Робин Гуд уже не тот :) Охотится на коммерческие организации и критически важной информацией

Один компьютер 3 биткоина, 13 биткоинов за сеть

Как работает вымогатель RobinHood, встречаем:

https://blog.malwarebytes.com/threat-spotlight/2020/02/threat-spotlight-robbinhood-ransomware-takes-the-drivers-seat/

Ох уж эти отели. +10.5 миллионов данных гостей MGM отеля (крупный отель в Las Vegas, в котором иногда проходят крупные конференции, там же имеется и казино) опубликованы на хакерских форумах.

MGM подтвердили, что факт утечки действительно был

Вспомним, что гость оставляет в отеле - это минимум, паспортные данные, иногда данные платежных карт...

https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/

Выполнение произвольного кода в VMWare vRealize Ops for Horizon Adapter

Кто не знает, эта штука позволяет автоматизировать управление приложениями и инфраструктурой между виртуальными, физическими средами

https://www.vmware.com/security/advisories/VMSA-2020-0003.html.

MS анонсировали свой антивирус (ATP который, и он коммерческий в той или иной мере) и он будет уметь Linux. Сразу скажу, что он работает напрямую с облаком и что в каждом продукте MS есть телеметрия и что в прошлом году министерство обороны США вложило ~10 млрд долларов в MS для помощи в реализации их проектов...

К чему это я, спроси себя ты готов это ставить себе в свой Linux/mac/etc..?)

Тот самый анонс (с большим количеством воды и букв):

https://www.microsoft.com/security/blog/?p=90583

Google индексирует ссылки на приглашения в групповые чаты WhatsApp. Т.е. любой желающий в теории может попасть в группу, увидеть сколько участников в ней, контекст группы, номера телефонов

https://www.vice.com/en_us/article/k7enqn/google-is-letting-people-find-invites-to-some-private-whatsapp-groups

Часто встречаются вопросы типа - как мне из внешки разрешить открывать сайт с домашнего компьютера..

Для некоторых, то что доктор прописал. Позволяет проксировать трафик прямо домой и из него. Правда нужен VPS :)

https://github.com/alexellis/inlets

Пример использования:

https://sysadmins.co.za/the-awesomeness-of-inlets/

Всем привет! 22.02.2020 прошел локальный SysConf, ну что сказать, было круто :)
⁠
Огромне спасибо всем, кто пришел, кто принял участие. Сам формат был фактически "тот самый" в духе SysConf, все познакомились, представились и самое главное все три часа были полны диалогов, докладов, обсуждения персональных и общественных перспектив

Очень понравилось, что участники были из разных сфер ИТ, разного опыта и возраста, крайне надеюсь, что это было не первый и не последний раз ;)

Большое спасибо за поддержку @r0crewKZ, @OrderOfSixAngles, @nitroteamchat

Краткое резюме + доклады на форуме: https://forum.sys-adm.in/t/2020-local-sysconf-almaty-22-feb/6852

Когда мы знаем информацию о чем-то, особенно когда это может помочь другим, этим нужно делиться. Всем PEACE ✌️

P.S. Кто был на конфе, стучитесь в личку, буду раз знакомству. Коля (AWS) ping :)

Моцарт (malware), попадает через pdf, скрывает трафик и получает команды используя DNS запросы. Подписан цифровым сертификатом и конечно же использует мною любимый WSH

PoC:

https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html

Google "говорит" пользователям Edge - переходите на Chrome :D

Конкурирующие боаузеры, использующие одну и туже платформу начали маркетинговую войну (ну бред же). Chrome vs Edge (неужели им кто-то пользуется?):

"У нас уже есть DoH, кросс-платформенный трекинг пользователей" Edge, дно, го к нам в Chrome :)

Особенно понравилась цитата "кросс-платформенный трекинг пользователей".

Борьба за слежку и рынок пользователей (более бредовой ситуации давно не встречал, хотя если все данные сливаются в итоге в одно место, то все выглядит вполне себе норм, с учётом того что разрабы google говорят спасибо разрабам MS за предоставленные модули и ряд фич в chromium складывается впечатление, что цели и этих групп разработчиков в принципе одни):

https://www.forbes.com/sites/zakdoffman/2020/02/21/google-warns-millions-of-microsoft-edge-users-to-switch-to-chrome/#382d26983549

Не баг, а фича. Любое запущенное приложение iOS, iPadOS может прочитать данные копируемой фотографии (если фото сделано на одном из мобильных устройств, в него будут записаны так-же данные GPS) в том числе и данные геолокации. Этот процесс может происходить без взаимодействия с пользователем. В Apple, со слов автора, говорят, что это нормально:

https://www.mysk.blog/2020/02/24/precise-location-information-leaking-through-system-pasteboard/

Скиммеры на сайтах дампили данные платежных карт. Обфусцированные JavaScript сниппеты в web-страницах, детали:

https://www.riskiq.com/blog/labs/magecart-group-12-olympics/

Исследование скиммера с сайта крупного ресцеллера по продаже билетов на спортивные мероприятия (на самом деле, это статья-продолжение, в ней же есть ссылки на предыдущие шаги направленные на исследование этой проблемы):

https://www.goggleheadedhacker.com/blog/post/15

CIS Benchmark for CentOS 8

Обнаружены новые типы атак в 4g/5g сетях - IMP4GT

С помощью IMP4GT злоумышленник может подделать любой интернет трафик, например, чтобы использовать личность жертвы для загрузки критичных данных...

Варианты атак, сценарии нападения, последствия:

https://imp4gt-attacks.net/

Zyxel NAS RCE инфа с офф сайта, патчи там же:

https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

WordPress + плагин = уязвимость. 1 миллион сайтов, снова:

https://www.wordfence.com/blog/2020/02/active-attack-on-recently-patched-duplicator-plugin-vulnerability-affects-over-1-million-sites/

И это не все :)

https://www.wordfence.com/blog/2020/02/critical-vulnerability-in-profile-builder-plugin-allowed-site-takeover/

Microsoft выпиливает из Windows возможность создавать локальную учётную запись, вынуждая пользователей использовать онлайн запись Microsoft...

Решить вопрос можно, если лишить возможности коннекта машины к сети интернет

С другой стороны, это еще один хороший повод начать изучать другие ОС / дистрибутивы / технологии :)

https://www.windowslatest.com/2020/02/22/microsoft-is-making-it-harder-to-use-windows-10-local-accounts/

KR00K - Уязвимость которая позволяет несанкционированно расшифровывать WPA2 трафик

Уязвимость затрагивает непатченные устройства с чипами Broadcom и Cypress FullMac Wi-Fi. Это распространенные чипы Wi-Fi, используемые в современных устройствах, изготовленные известными производителями, включая Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy)

https://www.eset.com/int/kr00k/

Снова скиммеры на веб-сайтах, маскировка под CDN службы с использованием Ngrok

Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:

https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/

Cisco FXOS - выполнение произвольного кода (hight):
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj