Яндекс регулярно получает запросы от органов государственной власти, касающиеся пользовательских данных

Раскрытие информации о запросах:

https://yandex.ru/company/privacy/transparencyreport

Патчи HPE закрывают несколько критических RCE уязвимостей

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbst04045en_us

Атака шифровальщика Ryuk на одну из крупных софтварных компаний - Sopra Steria

40 тыс работников, 20 стран.. в официальном заявлении на сайте компании говорится о факте нападения вымогателя, что антивирус его "пропустил" и факт инцидента расследуется.

В данном случае деталей много не предоставляется, но сам факт того, что инцидент произошел в технологической компании, которая помимо всего прочего оказывает и SaaS услуги, говорит о том, что даже такие гиганты подвержены такого рода атакам:

https://www.soprabanking.com/news/sopra-steria-group-cyberattack-information-update/

Про сам вымогатель писал ранее.

Анатомия Ryuk:

https://news.1rj.ru/str/sysadm_in_channel/2274

Release Notes for Zabbix 5.2.0
https://www.zabbix.com/rn/rn5.2.0

Сбор данных при помощи фишинга - на тему регистрации избирателей на выборы

Письмо очень похоже на письмо от комиссии по содействию выборам, со ссылкой на взломанный WordPress с формой регистрации избирателя

Производится сбор:
- имя
- дата рождения
- номер социального страхования
- номер водительского удостоверения
- множество банковских данных (включая пароли)

Пока это касается выборов в США (дата - 3 ноября 2020), но сценарий потенциально вполне примерим к другим регионам:

https://www.proofpoint.com/us/blog/threat-insight/agile-threat-actors-pivot-covid-19-voter-registration-themes-phishing-lures

Fedora 33 - Новый релиз

Новый Gnome (3.38), используемая фс по умолчанию btrfs, а новый редактор по умолчанию nano, свежие релизы python, RoR, perl

https://fedoramagazine.org/announcing-fedora-33/

YARA - инструмент, помогающий исследователям вредоносного ПО индентифицировать и классифицировать образцы вредоносных программ

С помощью YARA можно создавать описания семейств вредоносных программ (или все, что есть желание описать) на основе текстовых или двоичных шаблонов. Каждое описание, то есть правило, состоит из набора строк и логического выражения, которые определяют его логику

http://virustotal.github.io/yara/

Детектирование password spray атак в MS Azure

Если кратко spray атака, это брут (подбор) пароля под множество пользователей/учётных записей, базой для данного мероприятия является принцип - медленно и долго

В чем кроется опасность, в том, что быстрый подбор за короткий промежуток времени определяется довольно легко, но если это предположим 3 - 4 попытки в сутки, то это может сойти вполне за обычное действие, что детектировать на много сложнее (если вообще кто-то это отслеживает)

Для детекта такого рода атак MS пробует использовать ML:

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/advancing-password-spray-attack-detection/ba-p/1276936

[nginx-announce] nginx-1.19.4
https://mailman.nginx.org/pipermail/nginx-announce/2020/000283.html

CVE-2020-16939: Windows Group Policy DACL Overwrite Privilege Escalation https://www.thezdi.com/blog/2020/10/27/cve-2020-16939-windows-group-policy-dacl-overwrite-privilege-escalation

Update for the removal of Adobe Flash Player - KB4577586

Это обновление удаляет Adobe Flash Player, установленный в любой из операционных систем Windows

https://support.microsoft.com/en-us/help/4577586/update-for-removal-of-adobe-flash-player

Active Directory (AD) Attacks & Enumeration at the Network Layer

Понятный гайд с описанием, powershell'ом и изображениями:

https://www.lares.com/blog/active-directory-ad-attacks-enumeration-at-the-network-layer/

Understanding YAML for Ansible | Enable Sysadmin
https://www.redhat.com/sysadmin/understanding-yaml-ansible

Abusing Teams client protocol to bypass Teams security policies
https://o365blog.com/post/teams-policies/

KubeLinter - Инструмент для поиска мисконфигов Kubernetes

https://github.com/stackrox/kube-linter

Фишинг + тема о нарушении авторских прав = обход Facebook 2FA

Благо авторы фишингового письма не в полной мере владеют английским (в отличии от великолепных технических навыков), в не зависимости от качества пришедшего в почту контента, всегда:

- проверйте адрес отправителя
- проверяйте даресную строку браузера
- избегайте запросов на вход в аккаунт из ссылок в письмах
- просто будьте внимательны

PoC:

https://nakedsecurity.sophos.com/2020/10/27/facebook-copyright-violation-tries-to-get-past-2fa-dont-fall-for-it/

NGINX Service Mesh - NGINX
https://www.nginx.com/products/nginx-service-mesh?utm_source=thenewstack&utm_medium=website&utm_campaign=platform

CVE-2020-14882 RCE Oracle Weblogic

Actively Exploited Against Honeypots

https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

https://isc.sans.edu/diary/26734

Ты пропатчил свой SMBGhost?

Несмотря на то, что патч для уязвимости SMBGhost вышел еще в марте текущего года его применили не все

В открытом доступе, в сети Интернет находится порядка 10к машин с торчащей уязвимостью наружу. Процентное соотношение по регионам:

- Taiwan 22%
- Japan 20%
- Russia 11%
- U.S.A. 9%

Обязательно проверь, не входят твои сервера в те проценты, что указаны выше

Исследование проведено институтом SANS:

https://isc.sans.edu/forums/diary/SMBGhost+the+critical+vulnerability+many+seem+to+have+forgotten+to+patch/26732/

Вымогатель как сервис (RaaS) - бизнес-модели, которым может позавидовать серьезный энтерпрайз

Организационные структуры, стратегия и модели бизнеса стимулирующие рост бизнеса, а значит и прибыль поставщикам RaaS услуг, включают в себя связи с общественностью, автоматизацию поставки и доставки услуг... На сегодня операторам REvil такого рода бизнес приносит в год около 100 миллионов долларов США

Такое положение дел говорит о том, что риски растут и будут расти для конечного бизнеса, его данных, его репутации и тп, модели зашиты тоже должны эволюционировать, превентивные меры со стороны ИБ должны постоянно и динамически внедряться и тестироваться...

С другой стороны положение с RaaS должено заставлять ИБ быть конкурентным, грамотным, квалифицированным.

Немного о RaaS и его бизнес-парадигме:

https://www.flashpoint-intel.com/blog/cybercrime/revil-moves-to-ransomware-as-a-service/

Если взломать ML сервер? Machine Learning сервера NVIDIA DGX подвержены уязвимостям. Похоже это уже в той или иной мере реальность..

Есть RCE и раскрытие информации.

Описание CVE и несомого им "вреда":

http://www.scada.sl/2020/10/nvidia-dgx-machine-learning-servers.html

Бюллетень безопасности Nvidia:

https://nvidia.custhelp.com/app/answers/detail/a_id/5010