Gettr, правый аналог Твиттера, который задумывался как островок свободы слова, взломали 5 июля, в первый же день после запуска. Хакер раскрасил аккаунты известных республиканцев, дописав в ники лозунги о свободе Палестине. Что ж, наивно было ожидать чего-то другого и наивно было запускаться с настолько слабой защитой.
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/
Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.
Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.
Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.
А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.
https://xakep.ru/2021/07/07/gettr-leak/
Пуф! Onion-сайт REvil, организатора недавней атаки на Kaseya, куда-то исчез. Лежат и те страницы, на которых жертвы могли обсудить условия возвращения данных, и та, на которой это можно было оплатить. На хакерских форумах представители группировки тоже подзатихли.
Многие издания гадают, не знак ли это того, чтоИмперия США нанесли ответный удар. А может, до группировки наконец-таки добрались российские спецслужбы? На мой взгляд, едва ли. Не исключено, что они скоро вернутся — их Happy Blog, случалось, уже пропадал ненадолго и восставал обратно.
Даже если нет, не факт, что это вообще хоть что-нибудь значит — может, на фоне резко возросшего внимания со стороны самых разных спецслужб ребята просто решили организовать ребрендинг и тихо перекрасить паруса. В мае группировка DarkSide, атаковавшая Colonial Pipeline и положившая на пять дней трубопроводную систему по всей Америке, тоже полностью ушла в оффлайн, но было бы наивно предполагать, что они не пересоберутся под другим именем. То же справедливо и здесь: в конце коцнов, REvil — актор почти четверти всех кибератак на западные цели.
Интересно только, что сейчас будут делать жертвы, ещё не успевшие решить свои проблемы и выкупить доступ к данным. Вот уж кому не позавидуешь — совсем безответственные какие-то хакеры.
https://threatpost.com/ransomware-revil-sites-disappears/167745/
Многие издания гадают, не знак ли это того, что
Даже если нет, не факт, что это вообще хоть что-нибудь значит — может, на фоне резко возросшего внимания со стороны самых разных спецслужб ребята просто решили организовать ребрендинг и тихо перекрасить паруса. В мае группировка DarkSide, атаковавшая Colonial Pipeline и положившая на пять дней трубопроводную систему по всей Америке, тоже полностью ушла в оффлайн, но было бы наивно предполагать, что они не пересоберутся под другим именем. То же справедливо и здесь: в конце коцнов, REvil — актор почти четверти всех кибератак на западные цели.
Интересно только, что сейчас будут делать жертвы, ещё не успевшие решить свои проблемы и выкупить доступ к данным. Вот уж кому не позавидуешь — совсем безответственные какие-то хакеры.
https://threatpost.com/ransomware-revil-sites-disappears/167745/
Threat Post
Ransomware Giant REvil’s Sites Disappear
Just days after President Biden demanded that Putin shut down ransomware groups, the servers of one of the biggest groups mysteriously went dark.
Тут недавно вспомнили, что в Хроме, Сафари и IE были уязвимости нулевого дня, которые активно эксплуатировались в различных атаках за этот год. Особенно отмечу сейчас ту, что была в яблочном WebKit: с ней связаны занятные детали.
Суть простая: западноевропейские госслужащие получали в Линкедине ссылки, которые, если их открыть с Сафари на айфоне или айпаде, редиректили жертву на вредонос. Вредонос, в свою о чередь, тянул у пользователя куки для Google, Facebook, Linkedin и прочих популярных сайтов, а затем передавал на подконтрольный хакерам IP через вебсокет.
Подозревается, что за этим стоят те же деятели, что и за легендарной прошлогодней supply chain-атакой на SolarWinds. Microsoft предполагала, что в мае эти ребята через ту же уязвимость в яблочном WebKit получили доступ к почтам Агентства США по Международному развитию, с которых затем рассылались письма со ссылками на малварь. Цели впечатляющие — среди них политические аналитические центры, государственные органы и не только, например ОБСЕ. А хакеры, как водится, русские.
Многовато в последнее время как-то уязвимостей нулевого дня развелось, однако.
https://www.securitylab.ru/news/522349.php
Суть простая: западноевропейские госслужащие получали в Линкедине ссылки, которые, если их открыть с Сафари на айфоне или айпаде, редиректили жертву на вредонос. Вредонос, в свою о чередь, тянул у пользователя куки для Google, Facebook, Linkedin и прочих популярных сайтов, а затем передавал на подконтрольный хакерам IP через вебсокет.
Подозревается, что за этим стоят те же деятели, что и за легендарной прошлогодней supply chain-атакой на SolarWinds. Microsoft предполагала, что в мае эти ребята через ту же уязвимость в яблочном WebKit получили доступ к почтам Агентства США по Международному развитию, с которых затем рассылались письма со ссылками на малварь. Цели впечатляющие — среди них политические аналитические центры, государственные органы и не только, например ОБСЕ. А хакеры, как водится, русские.
Многовато в последнее время как-то уязвимостей нулевого дня развелось, однако.
https://www.securitylab.ru/news/522349.php
SecurityLab.ru
«Русские хакеры» атаковали пользователей LinkedIn через уязвимость 0-day в Safari
Google приоткрыла завесу над атаками с использованием четырех уязвимостей нулевого дня.
Неделя подходит к концу, так что подведём итоги ещё одной свежей атаки на SolarWinds: несколько дней назад специалисты из Microsoft нашли в её продуктах уязвимость нулевого дня.
Затрагивала она только Serv-U Managed File Transfer и Serv-U Secure FTP. В реализации SSH-протокола была уязвимость, позволявшая получать админские права и исполнять на машине любой код. Патч уже есть, но уязвимость, по словам SolarWinds, затрагивает все версии софта от 5 мая и старше.
Уязвимостью этой успели живо попользоваться загадочные китайские акторы — это выяснили те же исследователи из Microsoft, что и обнаружили изначально саму проблему. Целились в американские правительственные агентства и IT-корпорации. Напомню, что подобных клиентов у печально известной SolarWinds предостаточно.
Судя по отчёту, о котором вчера писали Cyberscoop, США изрядно обеспокоены хищным китайским киберинтересом к себе. АНБ, ФБР и Министерство внутренней безопасности говорят, что поднебесные хакеры крайне агрессивно ломятся к американской защитной промышленности, университетам и корпорациям, пока президент страны повышенное внимание уделяет группировкам из России.
Обсудить этот вопрос публично собираются на грядущих неделях — возможно, даже в этот понедельник.
Что ж, справедливо.
https://xakep.ru/2021/07/13/serv-u-rce/
Затрагивала она только Serv-U Managed File Transfer и Serv-U Secure FTP. В реализации SSH-протокола была уязвимость, позволявшая получать админские права и исполнять на машине любой код. Патч уже есть, но уязвимость, по словам SolarWinds, затрагивает все версии софта от 5 мая и старше.
Уязвимостью этой успели живо попользоваться загадочные китайские акторы — это выяснили те же исследователи из Microsoft, что и обнаружили изначально саму проблему. Целились в американские правительственные агентства и IT-корпорации. Напомню, что подобных клиентов у печально известной SolarWinds предостаточно.
Судя по отчёту, о котором вчера писали Cyberscoop, США изрядно обеспокоены хищным китайским киберинтересом к себе. АНБ, ФБР и Министерство внутренней безопасности говорят, что поднебесные хакеры крайне агрессивно ломятся к американской защитной промышленности, университетам и корпорациям, пока президент страны повышенное внимание уделяет группировкам из России.
Обсудить этот вопрос публично собираются на грядущих неделях — возможно, даже в этот понедельник.
Что ж, справедливо.
https://xakep.ru/2021/07/13/serv-u-rce/
XAKEP
SolarWinds устранила 0-day уязвимость в Serv-U, которую используют хакеры
Компания Microsoft обнаружила находящуюся под атаками уязвимость, затрагивающую некоторые продукты SolarWinds, а именно Serv-U Managed File Transfer и Serv-U Secure FTP.
Сегодня, к счастью, без экшна: никаких жертв не было, всё заметили и починили вовремя, но случай всё равно занятный.
Ты почти наверняка слышал про Cloudflare. Оказывается, в их cdnjs была только совсем недавно исправленная RCE-уязвимость, которая могла привести к настоящей эпидемии supply chain-атак — проектом пользуется каждый восьмой сайт.
В чём суть?
Если в cdnjs нет какой-то нужной библиотеки, её можно предложить на Гитхабе. В самом репозитории cdnjs есть скрипт-автообновлятор, тянущий новые версии библиотек по npm-путям, предоставленным их авторами.
Независимый исследователь присмотрелся к коду и понял, что автообновление запускается регулярно, плюс из-под юзера с write-правами. Кроме того, распаковщик архива с обновлениями написан на Go, в котором функция archive/tar сама по себе ничего не санитизирует.
Изучив всю эту картину, исследователь задумался о том, что будет, если в npm-версии предложенной библиотеки окажется эксплойт обхода каталога.
Залил тестовую библиотеку, попробовал, отошёл поужинать, вернулся и увидел, что всё сработало. Потянулся смотреть итоговый файл, чтобы отправить репорт в команду безопасности, а в файле, помимо прочего, ещё GITHUB_REPO_API_KEY репозитория cdnjs лежит. Получился изрядный оверкилл.
Поскольку у cdnjs вся инфраструктура завязана на Гитхабе, в худшем из возможных миров где-то здесь могла начаться масштабная supply chain-атака, способная дотянуться до каждого восьмого сайта. Но мы всё-таки живём в лучшем, поэтому и эксплойт был исследовательским, и команда cdnjs со скоростью света отреагировала на то, что в их репозитории в открытом виде появился гитхабовский API-ключ. Ключ инвалидировали ещё до того, как исследователь успел отправить репорт.
Из разряда потенциального «за секунду до».
https://www.bleepingcomputer.com/news/security/critical-cloudflare-cdn-flaw-allowed-compromise-of-12-percent-of-all-sites/
Больше деталей можно почитать в блоге исследователя, который отрепортил уязвимость: https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/
Ты почти наверняка слышал про Cloudflare. Оказывается, в их cdnjs была только совсем недавно исправленная RCE-уязвимость, которая могла привести к настоящей эпидемии supply chain-атак — проектом пользуется каждый восьмой сайт.
В чём суть?
Если в cdnjs нет какой-то нужной библиотеки, её можно предложить на Гитхабе. В самом репозитории cdnjs есть скрипт-автообновлятор, тянущий новые версии библиотек по npm-путям, предоставленным их авторами.
Независимый исследователь присмотрелся к коду и понял, что автообновление запускается регулярно, плюс из-под юзера с write-правами. Кроме того, распаковщик архива с обновлениями написан на Go, в котором функция archive/tar сама по себе ничего не санитизирует.
Изучив всю эту картину, исследователь задумался о том, что будет, если в npm-версии предложенной библиотеки окажется эксплойт обхода каталога.
Залил тестовую библиотеку, попробовал, отошёл поужинать, вернулся и увидел, что всё сработало. Потянулся смотреть итоговый файл, чтобы отправить репорт в команду безопасности, а в файле, помимо прочего, ещё GITHUB_REPO_API_KEY репозитория cdnjs лежит. Получился изрядный оверкилл.
Поскольку у cdnjs вся инфраструктура завязана на Гитхабе, в худшем из возможных миров где-то здесь могла начаться масштабная supply chain-атака, способная дотянуться до каждого восьмого сайта. Но мы всё-таки живём в лучшем, поэтому и эксплойт был исследовательским, и команда cdnjs со скоростью света отреагировала на то, что в их репозитории в открытом виде появился гитхабовский API-ключ. Ключ инвалидировали ещё до того, как исследователь успел отправить репорт.
Из разряда потенциального «за секунду до».
https://www.bleepingcomputer.com/news/security/critical-cloudflare-cdn-flaw-allowed-compromise-of-12-percent-of-all-sites/
Больше деталей можно почитать в блоге исследователя, который отрепортил уязвимость: https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/
BleepingComputer
Critical Cloudflare CDN flaw allowed compromise of 12% of all sites
Cloudflare has fixed a critical vulnerability in its free and open-source CDNJS potentially impacting 12.7% of all websites on the internet. CDNJS serves millions of websites with over 4,000 JavaScript and CSS libraries stored publicly on GitHub, making it…
Недавно Apple тихо и скромно пропатчила баг, считавшийся досадной мелочью. Баг заключался в следующем: если подключиться с айфона к вай-фай сети, у которой в названии есть сочетания знака процента и букв, айфон в принципе разучится подключаться к вайфаю и забудет, что это. Придётся изрядно потанцевать с бубном, чтобы вернуть всё обратно.
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Threat Post
Unpatched iPhone Bug Allows Remote Device Takeover
A format-string bug believed to be a low-risk denial-of-service issue turns out to be much nastier than expected.
Я за всю эту неделю ничего не написал про Пегасус: решил повременить и отфильтровать шум.
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Внимание: Apple выпустила срочное обновление с очень важным фиксом безопасности! Исправили RCE-уязвимость IOMobileFramebuffer.
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
BleepingComputer
Apple fixes zero-day affecting iPhones and Macs, exploited in the wild
Apple has released security updates to address a zero-day vulnerability exploited in the wild and impacting iPhones, iPads, and Macs.
Ага, кажется, это фикс для одной из тех самых уязвимостей и есть — речь об эксплойте, который NSO могла задействовать в своей цепочке атаки. Остаётся неизвестным, действительно ли патч именно под это и помешает ли он дальнейшей работе Пегасуса. Возможно, это только подорожник, приложенный к одному из звеньев цепи взлома.
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Анонимный сотрудник NSO рассказал National Public Radio, что компания ограничила нескольким клиентам — правительственным агентствам ряда стран — доступ к Пегасусу и изучает их деятельность. Видимо, это те самые, которые, по мнению CEO компании, во всём и виноваты, и незаслуженно втянули доброе имя компании в медиа-шумиху.
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
А вот теперь немного не про нашумевшую крылатую спайварь. Я совсем недавно писал об исследователе, который заметил и зарепортил RCE-уязвимость в коде Cloudflare. Если бы он был не внимательным изучателем уязвимостей, а злоумышленником, писал бы я тогда уже о массовых атаках на десятую с хвостиком часть интернета.
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
XAKEP
Из PyPI удалили восемь библиотек, воровавших токены Discord и номера банковских карт
На этой неделе операторы официального репозитория Python Package Index (PyPI) избавились от восьми библиотек, содержавших вредоносный код. Кроме того, в PyPI были исправлены три уязвимости, одна из которых позволяла злоумышленнику получить полный контроль…
Тут выкатили новые правила сбора биометрии, которые должны вступить в силу с января 2022.
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Коммерсантъ
Российские паспорта мало кому покажутся
Новые правила использования биометрии оказались жесткими
В апреле Amazon пропатчила баг, который позволял превращать электронки Kindle в ботов и воровать с них персональные данные. Заразить устройство можно было вредоносной книгой. Поскольку антивирей для электронок нет, распознать зловредность такой книжки было бы нечем, а вот к публикации её бы приняли в любой онлайн-библиотеке, включая собственную амазоновскую.
Обнаружившие уязвимость исследователи смогли собрать книжку, которая, если её открыть на Киндл, могла бы до патча исполнить любой код с рут-правами. Книжка подключалась к удалённому серверу, блокировала экран, получала рут-права и передавала хакеру полный доступ к устройству. Сюда входит и доступ к Амазон-аккаунту, в который залогинена книжка, кукам и приватным ключам.
Исследователи заметили занятную фичу у такого вредоноса — лёгкость в прицеливании на определённую аудиторию. Нужны румыны? Публикуем «перевод» популярной книжки на румынский, и вуаля.
Детали: https://threatpost.com/amazon-kindle-malicious-ebooks/168454/
Рассказ исследователей, обнаруживших и зарепортивших Амазону эту уязвимость: https://research.checkpoint.com/2021/i-can-take-over-your-kindle/
Вообще говоря, они тут не первые: в конце января этого года Амазон пропатчил KindleDrip, похожую RCE-уязвимость с вредоносной книжкой. Там исследователь обнаружил, что можно присылать вредоносные книжки пользователям на почты, пользуясь фичей Send to Kindle. Почты пользователей внутри системы довольно просто забрутфорсить, а остальное — дело техники. Подробнее про технические детали той истории рассказано вот тут: по идее, эти уязвимости лежали где-то рядом.
Обнаружившие уязвимость исследователи смогли собрать книжку, которая, если её открыть на Киндл, могла бы до патча исполнить любой код с рут-правами. Книжка подключалась к удалённому серверу, блокировала экран, получала рут-права и передавала хакеру полный доступ к устройству. Сюда входит и доступ к Амазон-аккаунту, в который залогинена книжка, кукам и приватным ключам.
Исследователи заметили занятную фичу у такого вредоноса — лёгкость в прицеливании на определённую аудиторию. Нужны румыны? Публикуем «перевод» популярной книжки на румынский, и вуаля.
Детали: https://threatpost.com/amazon-kindle-malicious-ebooks/168454/
Рассказ исследователей, обнаруживших и зарепортивших Амазону эту уязвимость: https://research.checkpoint.com/2021/i-can-take-over-your-kindle/
Вообще говоря, они тут не первые: в конце января этого года Амазон пропатчил KindleDrip, похожую RCE-уязвимость с вредоносной книжкой. Там исследователь обнаружил, что можно присылать вредоносные книжки пользователям на почты, пользуясь фичей Send to Kindle. Почты пользователей внутри системы довольно просто забрутфорсить, а остальное — дело техники. Подробнее про технические детали той истории рассказано вот тут: по идее, эти уязвимости лежали где-то рядом.
Threat Post
Amazon Kindle Vulnerable to Malicious EBooks
Prior to a patch, a serious bug could have allowed attackers to take over Kindles and steal personal data.
На днях Apple объявила о том, что теперь будет проверять фото в iCloud на предмет детской откровенности.
Как это выглядит? Хэши фотографий будут сопоставляться с материалами из базы CSAM (child sexual abuse materials), которую компания получает от правозащитных организаций. Всякое совпадение ставит пользователя на карандаш. Если совпадений набирается слишком много, аккаунт блокируется, а информация о нём отправляется правоохранительным органам.
Понятно, почему все из-за этого всполошились. Ровно тем же самым давным-давно занимаются все крупные корпорации и продукты, от Фейсбука и Твиттера до Реддита с Дискордом и иже с ними. Но для Apple, которая каждые пять минут без устали напоминает о том, как ценит приватность пользователей, такая история выглядит странно.
Флёр «всё ради защиты детей» — это, конечно, отличный карт-бланш на реализацию чего угодно. Любой, кто возмутится, будет встречен хитрыми шуточками или ответным возмущением о том, что посмел быть недовольным «защитой детей». Вполне очевидно, однако, что от такого безобидного анализа хэшей под благородными флагами легко прийти к чему-то куда менее однозначному.
Вопрос: если у нас есть система, которая — исключительно на стороне пользователя, конечно же — анализирует отправляемые и получаемые фото, можно ли вообще гарантировать, что она всегда будет использоваться только для защиты детей от откровенного контента?
Как справедливо заметили исследователи из Electronic Frontier Foundation, отсюда достаточно сделать пару шагов, чтобы протянуть руку местным требованиям различных авторитарных режимов. Недавно, например, в Индии обязали все платформы проверять содержание и происхождение сообщений. Чем наша система, в которой есть такой бэкдор «для защиты», может открутиться от этого, и почему бы ей не сделать исключение и здесь? Дорожка ой как скользковата.
https://xakep.ru/2021/08/06/apple-neuralhashes/
Как это выглядит? Хэши фотографий будут сопоставляться с материалами из базы CSAM (child sexual abuse materials), которую компания получает от правозащитных организаций. Всякое совпадение ставит пользователя на карандаш. Если совпадений набирается слишком много, аккаунт блокируется, а информация о нём отправляется правоохранительным органам.
Понятно, почему все из-за этого всполошились. Ровно тем же самым давным-давно занимаются все крупные корпорации и продукты, от Фейсбука и Твиттера до Реддита с Дискордом и иже с ними. Но для Apple, которая каждые пять минут без устали напоминает о том, как ценит приватность пользователей, такая история выглядит странно.
Флёр «всё ради защиты детей» — это, конечно, отличный карт-бланш на реализацию чего угодно. Любой, кто возмутится, будет встречен хитрыми шуточками или ответным возмущением о том, что посмел быть недовольным «защитой детей». Вполне очевидно, однако, что от такого безобидного анализа хэшей под благородными флагами легко прийти к чему-то куда менее однозначному.
Вопрос: если у нас есть система, которая — исключительно на стороне пользователя, конечно же — анализирует отправляемые и получаемые фото, можно ли вообще гарантировать, что она всегда будет использоваться только для защиты детей от откровенного контента?
Как справедливо заметили исследователи из Electronic Frontier Foundation, отсюда достаточно сделать пару шагов, чтобы протянуть руку местным требованиям различных авторитарных режимов. Недавно, например, в Индии обязали все платформы проверять содержание и происхождение сообщений. Чем наша система, в которой есть такой бэкдор «для защиты», может открутиться от этого, и почему бы ей не сделать исключение и здесь? Дорожка ой как скользковата.
https://xakep.ru/2021/08/06/apple-neuralhashes/
XAKEP
Apple будет искать детское порно среди фотографий пользователей
Компания Apple будет искать среди пользовательских изображений признаки сексуального насилия над детьми. В компании уверяют, что заботятся о приватности пользователей, однако многие эксперты встревожены.
А вот у нас ещё хорошие новости для пользователей Телеграма под macOS (сам такой). Новости касаются секретных чатов — тех, которые хранят всё на пользовательских устройствах и могут самоудаляться через какое-то время. Таймер на самоуничтожение запускается, как только собеседник открывает файл или читает сообщение.
Сначала другие исследователи обнаружили, что все самоуничтожающиеся материалы честно удалялись из самого приложения, как только пробивал таймер, но оставались в папке, в которую Телеграм всё кэширует. Из папки, разумеется, всё можно было уже перетащить куда угодно. Телеграм этот баг оперативно поправил, теперь всё удаляется по тому же таймеру.
Но остался ещё один. Впрочем, Телеграм пожал плечами и сказал, что не может его исправить, так что это, видимо, скорее фича.
Работает так. Отправляем человеку любой медиа-файл, от голосового сообщения до картинки. Человек предусмотрительно не читает сообщение с файлом в Телеграме, чтобы не запускать таймер. Вместо этого он идёт во всё ту же кэш-папку и забирает файл прямо оттуда. Само сообщение можно и не открывать: собеседник уже даже не поймёт, прочитано ли оно.
В Телеграме говорят, что не могут как-либо ограничить в системе доступ к этой папке, ищущий в любом случае обрящет. Обнаруживший баг исследователь с ними не согласен: считает, что можно просто-напросто не скачивать самоуничтожающиеся файлы в эту папку.
https://www.bleepingcomputer.com/news/security/telegram-for-mac-bug-lets-you-save-self-destructing-messages-forever/
Сначала другие исследователи обнаружили, что все самоуничтожающиеся материалы честно удалялись из самого приложения, как только пробивал таймер, но оставались в папке, в которую Телеграм всё кэширует. Из папки, разумеется, всё можно было уже перетащить куда угодно. Телеграм этот баг оперативно поправил, теперь всё удаляется по тому же таймеру.
Но остался ещё один. Впрочем, Телеграм пожал плечами и сказал, что не может его исправить, так что это, видимо, скорее фича.
Работает так. Отправляем человеку любой медиа-файл, от голосового сообщения до картинки. Человек предусмотрительно не читает сообщение с файлом в Телеграме, чтобы не запускать таймер. Вместо этого он идёт во всё ту же кэш-папку и забирает файл прямо оттуда. Само сообщение можно и не открывать: собеседник уже даже не поймёт, прочитано ли оно.
В Телеграме говорят, что не могут как-либо ограничить в системе доступ к этой папке, ищущий в любом случае обрящет. Обнаруживший баг исследователь с ними не согласен: считает, что можно просто-напросто не скачивать самоуничтожающиеся файлы в эту папку.
https://www.bleepingcomputer.com/news/security/telegram-for-mac-bug-lets-you-save-self-destructing-messages-forever/
BleepingComputer
Telegram for Mac bug lets you save self-destructing messages forever
Researchers have discovered a way for users on Telegram for Mac to keep specific self-destructing messages forever or view them without the sender ever knowing.
Кажется, я ничего тут вообще не писал про крипту, но здесь само просится. Новый рекорд в истории криптовалютной преступности! Хакер (или всё-таки хакеры?) похитил у китайской Poly Network крипты на сумму больше 600 миллионов долларов. В основном это самые разные токены на Ethereum, BSC и Polygon Network.
Компания рассказала, что хакер воспользовался уязвимостью в функции _executeCrossChainTx. Он изменил владельца контракта EthCrossChainData, получив возможность захватывать любую валюту, которая проходит через платформу. Всю крипту он далее вывел на свои кошельки.
Poly попросила хакера пойти на мировую, а также обратилась к майнерам и обменникам с просьбой следить за перемещением средств с этих адресов и замораживать их. Некоторые обменники, включая крупнейший Binance, на просьбу отреагировали, но вышла всё равно капля в море.
В комментариях к Ethereum-транзакциям общительный хакер оставил немало посланий. Заметил, например, что атака могла потянуть на весь миллиард, если бы он забрал все остальные щиткоины. Да и деньги, говорит, не то чтобы ему нужны: может, часть вернёт, а может, просто оставит всё лежать на тех адресах.
https://xakep.ru/2021/08/11/poly-network-hack/
Компания рассказала, что хакер воспользовался уязвимостью в функции _executeCrossChainTx. Он изменил владельца контракта EthCrossChainData, получив возможность захватывать любую валюту, которая проходит через платформу. Всю крипту он далее вывел на свои кошельки.
Poly попросила хакера пойти на мировую, а также обратилась к майнерам и обменникам с просьбой следить за перемещением средств с этих адресов и замораживать их. Некоторые обменники, включая крупнейший Binance, на просьбу отреагировали, но вышла всё равно капля в море.
В комментариях к Ethereum-транзакциям общительный хакер оставил немало посланий. Заметил, например, что атака могла потянуть на весь миллиард, если бы он забрал все остальные щиткоины. Да и деньги, говорит, не то чтобы ему нужны: может, часть вернёт, а может, просто оставит всё лежать на тех адресах.
https://xakep.ru/2021/08/11/poly-network-hack/
XAKEP
У китайской DeFi-платформы Poly Network похитили 600 млн долларов
Похоже, в области криптовалютных ограблений установлен новый рекорд: неизвестные хакеры похитили у DeFi-платформы Poly Network криптовалюту на сумму более 600 000 000 долларов. Администраторы Poly Network просят преступников вернуть средства.
Хакер-рекордсмен начал возвращать украденное: пока отправил обратно около половины. Ещё открыл сбор донатов.
https://www.securitylab.ru/news/523318.php
В этом Твиттер-треде можно почитать составленное самим хакером Q&A, прописанное в Ethereum-транзакциях. Он утверждает, что эта атака для него — просто способ развлечься и привлечь внимание к критической уязвимости, которой могли бы воспользоваться инсайдеры, если бы он о ней просто сообщил. Что ж, справедливо: если бы он хотел обогатиться, вряд ли бы беззаботно забрал 600 миллионов одной пачкой.
Ещё хакер рассказывает, что очень обиделся на Poly, которая призвала к бойкотированию адресов, не дав ему и слова сказать. Поэтому часть монет, чей курс привязан к доллару один к одному, он продал или обменял.
И нельзя не упомянуть презабавный момент в беседах с аудиторией. Один пользователь сообщил хакеру, что его USDT теперь в чёрном списке, и посоветовал этот токен не использовать. В ответ тронутый заботой хакер выслал ему 13.37 ETH — это больше 40 тысяч долларов. Сразу после этого толпы сочувствующих прямо-таки завалили хакера транзакциями с самыми разными сообщениями, надеясь, что и им что-нибудь на чай перепадёт. Увы, увы.
https://www.securitylab.ru/news/523318.php
В этом Твиттер-треде можно почитать составленное самим хакером Q&A, прописанное в Ethereum-транзакциях. Он утверждает, что эта атака для него — просто способ развлечься и привлечь внимание к критической уязвимости, которой могли бы воспользоваться инсайдеры, если бы он о ней просто сообщил. Что ж, справедливо: если бы он хотел обогатиться, вряд ли бы беззаботно забрал 600 миллионов одной пачкой.
Ещё хакер рассказывает, что очень обиделся на Poly, которая призвала к бойкотированию адресов, не дав ему и слова сказать. Поэтому часть монет, чей курс привязан к доллару один к одному, он продал или обменял.
И нельзя не упомянуть презабавный момент в беседах с аудиторией. Один пользователь сообщил хакеру, что его USDT теперь в чёрном списке, и посоветовал этот токен не использовать. В ответ тронутый заботой хакер выслал ему 13.37 ETH — это больше 40 тысяч долларов. Сразу после этого толпы сочувствующих прямо-таки завалили хакера транзакциями с самыми разными сообщениями, надеясь, что и им что-нибудь на чай перепадёт. Увы, увы.
SecurityLab.ru
Хакеры вернули почти половину средств, украденные у Poly Network
Один из злоумышленников уже начал возвращать украденные деньги после того, как специалисты по кибербезопасности из SlowMist обнаружили некие маркеры, позволяющие его идентифицировать.
В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.
ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.
Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.
Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32 — createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.
ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник .NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/
В начале этого года были похожие атаки, получившие название ProxyLogon (можно почитать больше тут). Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.
ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.
Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.
Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32 — createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.
ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник .NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/
В начале этого года были похожие атаки, получившие название ProxyLogon (можно почитать больше тут). Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.
BleepingComputer
Microsoft Exchange servers are getting hacked via ProxyShell exploits
Threat actors are actively exploiting Microsoft Exchange servers using the ProxyShell vulnerability to install backdoors for later access.
Тут хакер выложил на продажу за 6 биткоинов (около 285 тысяч долларов) треть базы данных пользователей T-Mobile, одного из крупнейших мобильных операторов США. Продавец говорит, что во всей базе в целом собраны данные около 100 миллионов клиентов: даты рождения, номера водительских лицензий и номера социального страхования. Возможно, там ещё есть имена, телефонные номера, IMSI и IMEI. Продажу оставшейся части базы, по словам продавца, он обсуждает с кем-то частно.
Данные появились якобы в результате взлома. Хакеры рассказывают, что им уже перекрыли доступы, но до этого они успели выгрузить все данные и надёжно их забэкапить.
Чем это страшно? Если у злоумышленника есть номер соцстрахования жертвы, этого достаточно, чтобы взять на её имя кредит и потратить медицинскую страховку. Если преступника потом арестуют, он может оставить полицейским этот номер и втянуть жертву в разбирательства, де-факто лишая её заодно шансов получить работу в сфере, где перед наймом проверяют, не был ли человек замешан в чём-то противозаконном.
С водительской лицензией схожая история. Злоумышленник может выпустить поддельную лицензию, например, или подать от имени владельца лицензии заявку на пособие по безработице.
Вариантов много, в общем, если датасет настоящий. Увы, очень на то похоже.
https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million
Данные появились якобы в результате взлома. Хакеры рассказывают, что им уже перекрыли доступы, но до этого они успели выгрузить все данные и надёжно их забэкапить.
Чем это страшно? Если у злоумышленника есть номер соцстрахования жертвы, этого достаточно, чтобы взять на её имя кредит и потратить медицинскую страховку. Если преступника потом арестуют, он может оставить полицейским этот номер и втянуть жертву в разбирательства, де-факто лишая её заодно шансов получить работу в сфере, где перед наймом проверяют, не был ли человек замешан в чём-то противозаконном.
С водительской лицензией схожая история. Злоумышленник может выпустить поддельную лицензию, например, или подать от имени владельца лицензии заявку на пособие по безработице.
Вариантов много, в общем, если датасет настоящий. Увы, очень на то похоже.
https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million
VICE
T-Mobile Investigating Claims of Massive Customer Data Breach
Hackers selling the data are claiming it affects 100 million users.
Я тут недавно рассказывал про рекордную крипто-атаку на 600 миллионов долларов. Тот хакер, кстати говоря, сейчас уже запутался в своём робингудстве и отказывается возвращать оставшуюся половину украденного, пока его заблокированные стейблкоины на $33 миллиона не разморозят. Страсти всё накаляются.
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
XAKEP
У японской криптовалютной биржи Liquid украли 94 млн долларов
Японская криптовалютная биржа Liquid подверглась хакерской атаке. Неизвестные хакеры взломали ее серверы и похитили криптоактивы, чья стоимость по текущим курсам составляет около 94 000 000 долларов.
Ещё я недавно писал об уязвимостях в Microsoft Exchange, которые объединили под общим названием ProxyShell: они пропатчены и затрагивают только необновлённые сервера. Тогда мы остановились на том, что хакеры получали доступ к машине и ставили на неё ежедневную автоподгрузку файла с удалённого сервера. На тот момент с сервера тянулся обычный бинарник .NET, но было очевидно, что дело этим не закончится.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
BleepingComputer
Microsoft Exchange servers being hacked by new LockFile ransomware
A new ransomware gang known as LockFile encrypts Windows domains after hacking into Microsoft Exchange servers using the recently disclosed ProxyShell vulnerabilities.