Коммерсант пишет, что мамкины хакеры рассылают владельцам ТГ-каналов трояны под видом рекламных материалов, чтобы эти самые каналы увести.

Никита Могутин, руководитель Baza, говорит, что злоумышленники могут представляться рекламными менеджерами платформы GeekBrains.

Самое смешное, что нам перед НГ тоже писали "менеджеры, ищущие площадки под рекламу GeekBrains". Но ничего не прислали и ушли в закат. Прямо как особист-контрразведчик из фильма ДМБ - "Денег предлагал, но не дал".

Жалко. Такой кейс прикольный мог бы получиться...

ZDNet сообщает, что на одном из хакерских форумов актором под псевдонимом ShinyHunters была выброшена в паблик база данных сайта знакомств MeetMindful.

База размером в 1,2 Гб содержит регистрационные данные пользователей, включая место проживания, информацию о предпочтениях при свидании, ID и токены аутентификации Facebook, а также хэшированные в bcrypt пароли. Внутренней переписки нет. Всего были выложены данные 2,28 млн. пользователей.

Утечка, конечно, приличная, но не самая большая и не первая. Кратенько только за 2020 год:
- в мае были украдены данные 3,6 млн. пользователей мобильного приложения для знакомств MobiFriends;
- в июне найдена незакрытая корзина Amazon S3, в которой лежали 845 Гб данных специализированных приложений для знакомств (3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и др.), в том числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовая информация, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты;
- в сентябре найден открытый Elasticsearch сервер, содержащий базу данных 66 млн. push-уведомлений, которые сайты знакомств отправляли своим пользователям с помощью маркетинговой платформы Mailfire. Кроме копий сообщений, на база содержала "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса, а также ссылка на профиль пользователя и ключ аутентификации.

Так что сервисами знакомств надо пользоваться аккуратно. Лучшее решение по защите конфиденциальности - противогаз. Морду лица не видно, а душу - да.

Голландский исследователь (или исследовательница, их там хрен поймешь с этим дайверсити) VriesHd выложил результаты своего анализа более 200 тыс. поддоменов avsvmcloud .com, использовавшегося в ходе атаки Sunburst на американского IT-разработчика SolarWinds.

Напомним, что бэкдор Sunburst шифровал собранные сведения о зараженной сети и передавал их управляющему центру в виде DNS-запросов. Таким образом, расшифровав эти данные можно попробовать получить информацию о предполагаемой жертве.

VriesHd отбросил "белый шум", расшифровал данные, в том числе с использованием ранее созданных для этих целей инструментов инфосек вендоров FireEye, QiAnXin и NETRESEC, и получил информацию в отношении порядка 35 тыс. жертв, которые были заражены Sunburst. Несколько российских доменов мы в нем нашли - к примеру detmir-group .ru или bristolcapital .ru.

Конечно, этот список не окончательный и если домена компании, использующей SolarWinds Orion, в нем нет, то из этого автоматически не следует, что она не была заражена.

​​Нестареющая классика

Южноафриканские СМИ рассказывают как просто и незатейливо можно свиснуть IP-адресов на 80 миллионов долларов.

Соучредитель и по совместительству инженер Африканского сетевого информационного центра (AFRINIC) Эрнест Бьяруханга в течение нескольких лет переписал на своих подельников более 4,1 млн. IP-адресов, распределением которых и занимается AFRINIC.

Первым на это обратил внимание интернет-активист Рон Гильметт, который еще в ноябре 2016 года обнаружил, что большие блоки африканских IP-адресов захвачены спамерами. Только через два с половиной года правоохранительные органы (в первую очередь ФБР) обратили на это внимание, а год назад AFRINIC стал возвращать в свое ведение украденные IP-адреса. При этом спамеры и подельники Бьяруханги стали с ним судиться. Правда в суде отказались предоставить какие-либо документы, подтверждающие покупку этих IP-адресов.

А сейчас AFRINIC опубликовал официальный отчет внутренней ревизии, в котором подтвердил факт кражи Бьярухангой этих самых 4,1 млн. IP-адресов.

Киберпреступность по-южноафрикански.

На Hackmaggedon стали публиковать интерактивные карты кибератак. Ранее исследователи представляли данные в виде таблиц.

Безусловно, на сайте отражены не все кибератаки, но если вы интересуетесь темой, то это весьма удобный формат для первичного ознакомления.

Иран решил не отставать от США в части применения передовых демократических практик и во славу народовластия и свободы слова заблокировал Signal.

Google Threat Analysis Group (TAG) выпустили отчет, в котором рассказали, что северокорейские хакеры создали своеобразную "медовую ловушку" для инфосек исследовтелей.

Если в обычном случае "медовой ловушки" в качестве приманки используется образ прекрасной незнакомки, одиноко грустящей где-то в недрах Tinder или Facebook, то в случае с инфосек экспертами это вряд ли бы прокатило. Ведь единственное, что может затмить им глаза - это информация о новой, свежей уязвимости. Этим хонгильдоновы сыны и воспользовались.

Северокорейцы создали фейковый блог, посвященный информационной безопасности, а также множество вымышленных аккаунтов в Twitter, в которых постили ссылки на материалы блога, видео с использованием эксплойтов и т.д. Далее они устанавливали контакт с настоящими инфосек исследователями и предлагали совместное взаимодействие.

В одном случае они, кстати, запостили фейковое видео про якобы работающий эксплойт свежей уязвимости CVE-2021-1647 в Windows Defender, но их быстро раскусили, после чего они стали дефендить себя же с других своих аккаунтов.

После установления контакта и использования приемов социальной инженерии хакеры из КНДР предлагали работать над совместным проектом Visual Studio, в котором, естественно, сидела вредоносная библиотека.

Само собой, что этот прием срабатывал, как мы полагаем, нечасто, в силу чего северокорейцы развернули цепочку эксплойтов 0-day уязвимостей для Chrome и Windows 10 на своем инфосек-блоге, посредством которых заражали посещающих его экспертов.

Северокорейский фейковый инфосек блог находится здесь - blog .br0vvnn .io. Ни в коем случае не заходите! Информация чисто для сведения!

Остается добавить, что один из наших редакторов около года назад чуть не поймал два трояна, посещая исключительно инфосек ресурсы. Мы бы погрешили на то, что он тайком смотрит порно, но он абсолютный гик и асексуал. Думаем на китайцев.

Что-то мы в последнее время редко пишем про атаки ransomware. Исправляемся.

Австрийская компания Palfinger AG, которая является ведущими в мире производителем кранов и подъемников и имеет доход за 2019 год в размере 1,75 млрд. евро, подверглась атаке неназванного вымогателя.

Как сообщается на сайте фирмы, Palfinger находится под продолжающейся кибератакой, в результате которой отключена электронная почта и не работает ERP. Затронута значительная часть офисов по всему миру.

Исходя из заданных параметров можно откинуть DDoS и считать доказанным, что австрийцы попали под каток ransomware. Осталось только узнать какого и дождаться информации о сумме выкупа.

Ну а мы, как всегда в таких случаях, напоминаем прекрасную поговорку "Кроилово приводит к попадалову", которая в вопросах информационной безопасности особенно актуальна. Особенно в компаниях с доходом в 1,75 млрд. евро.

​​В продолжение этого поста. Народ во всю стебется над "близкими контактами" с северокорейскими хакерами.

—Партнерский материал—

DevSecOps Wine

В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.

В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.

В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.

Все это является следствием упущений в обеспечении DevSecOps.

DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.

​​И еще одно последствие истории с северокорейскими хакерами - взаимное доверие между инфосек исследователями восстановится теперь нескоро.

Apple выпустили обновления безопасности для iOS и iPadOS. Обновления исправляют три 0-day уязвимости - CVE-2021-1780,1781, 1782.

Две первых ошибки находятся в браузерном движке WebKit, который используется в Safari, и позволяют осуществить удаленное выполнение кода (RCE). Третья CVE касается ядра и позволяет повысить привилегии.

Информация обо всех трех уязвимостях получены Apple от анонимного источника и, по сообщениям компании, они используются в дикой природе.

Есть мнение, что эти три уязвимости являются составляющими одного эксплойт-кита, который применяется хакерами для атак на яблочные гаджеты посредством вредоносных или скомпрометированных сайтов.

В любом случае, три использующиеся в дикой природе CVE, которые позволяют осуществлять RCE и повышение привилегий, - это повод каждому пользователю iPhone или iPad СРОЧНО обновить свое устройство.

Как сообщают сразу несколько изданий, к примеру ZDNet, на этой неделе сразу четыре инфосек компании признали, что стали жертвами атаки Sunburst посредством затрояненого SolarWinds Orion.

Целями хакеров стали Palo Alto Networks, Mimecast, Qualys и Fidelis.

Palo Alto Networks заявили, что в сентябре и октябре 2020 года обнаружили два инцидента безопасности, связанные с одним из серверов. Однако тогда было установлено, что компрометации данных не произошло, вследствие чего попытка атаки была признана неудачной. Поэтому Palo Alto Networks забили на дальнейшее расследование и только после вскрытия атаки Sunburst экспертами FireEye догадались еще раз пересмотреть имеющиеся данные и обнаружили, что их пытались накрячить (а возможно и накрячили, коли они в первый раз не обнаружили первоисточника атаки) через SolarWinds Orion. Прекрасная демонстрация "серьезного" отношения к инцидентам ИБ со стороны одного из ведущих инфосек вендоров.

Mimecast были уведомлены в январе этого года Microsoft, что один из их сертификатов скомпрометирован и используется хакерами для доступа у учетным записям клиентов компании. По результатам двухнедельного расследования Mimecast сообщили, что их ресурсы были взломаны через SolarWinds Orion. Видимо, до этого проверить есть ли в ПО троян они не догадались

В понедельник из отчетов исследователей о доменах жертв Sunburst (данные можно получить дешифровкой DNS-запросов, мы писали об этом здесь) стало известно, что компания Qualys также получила свою порцию бэкдора Sunburst. Но калифорнийские товарищи решили мазаться с порога и заявили, что это они сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com. Очередной яркий пример PR с человеческим лицом имени Грефа, выражающийся бессмертной фразой "я не я и корова не моя".

Еще одни кудесники паблик релейшонс из Fidelis заявили, что установили SolarWinds Orion в тестовую среду аж в мае 2020 года, при этом с целью маскировки (а для чего еще?!) они обозвали ее hq .fidelis. HQ напоминает вам сокращение от Headquaters? Окститесь, это тестовая среда и никак иначе!

Не инфосек, а Гайдай какой-то.

Американская компания Qualys, несмотря на явные косяки с SolarWinds Orion, умеет и в хороший инфосек.

Исследователи обнаружили уязвимость в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует аж с июля 2011 года. Ошибка получила CVE-2021-3156 и собственное название Baron Samedit.

Qualys разработали три эксплойта уязвимости, в результате применения которых получили рутовые права в Ubuntu 20.04, Debian 10 и Fedora 33. Как эксперты говорят, вероятно ей подвержены и другие nix-системы.

Рекомендуется всем срочно обновить sudo до версии 1.9.5p2, которая вышла вчера.

​​Правоохранительные органы США и Болгарии закрыли сайты в Даркнете, принадлежащие группе-владельцу ransomware NetWalker, в том числе и сайт, на котором публиковалась украденная у жертв информация (DLS).

На ресурсах появились заглушки с информацией о том, что они захвачены ФБР. Какой-либо иной информации, в том числе при чем здесь болгары, пока не опубликовано.

NetWalker - ransomware, работающее по схеме as-a-Service. Не самый мощный вымогатель, по оценкам McAfee за первые пять месяцев 2020 года его владелец заработал 25 млн. долларов. Зато во второй половине года NetWalker отличился несколькими громкими атаками.

Специализировавшийся ранее, в основном, в атаках на американские учебные заведения, в сентябре NetWalker зашифровал сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе. В том же месяце жертвой стала пакистанская электросетевая компания K-Electric, являющаяся единственным поставщиком электричества в 15-миллионный Карачи. А в октябре NetWalker удачно атаковал европейского энергетического гиганта Enel Group, размер требуемого выкупа составил 14 млн. долларов.

Охота за сайтами утечек ransomware в настоящее время, пожалуй, единственная внятная мера борьбы с вымогателями.

​​Как мы помним, в конце прошлого года компания Apple ввела новые правила для разработчиков приложений, в соответствии с которыми последние обязаны сообщать какую конкретно пользовательскую информацию их ПО собирает и каким образом использует. Соответственно, пользователям доступны эти данные и они сами могут судить насколько то или иное приложение затрагивает их конфиденциальность.

Мелкие разработчики подчинились этим требованиям под угрозой выпила из AppStore, а вот технологические гиганты стали выражать свое недовольство и юлить.

Сначала Цукерберг на совещании по доходам за 4 квартал прошлого года заявил, что Apple все это придумало специально, чтобы выиграть конкуренцию у Facebook. И вообще яблочники сами редиски, поскольку в iMessage в некоторых случаях сообщения хранятся нешифрованными, в отличие от принадлежащего Цукербергу WhatsApp.

Владельцу Facebook действительно есть из-за чего переживать. Во-первых из WhatsApp после анонса изменения политики конфиденциальности в сторону альтернативных мессенджеров валят десятки миллионов пользователей. А во-вторых, после введения Apple новых правил стало понятно, что приложение Facebook тащит с устройства пользователя вообще все, до чего только может дотянуться. Не далеко от него ушел и WhatsApp, в отличие от тех же Telegram и Signal.

Да и камланиям Цукерберга относительно приватности WhatsApp мы тоже не сильно доверяем, поскольку Марк ярко показал свою полную подконтрольность победившему в США истеблишменту. А следовательно и американские спецслужбы пасутся на серверах мессенджера в полный рост (мы вам даже по секрету всему свету скажем, что кое-какие хитрые американские партнеры подторговывают переписками WhatsApp, используя предоставленный им доступ).

Вторыми выступили Google, которые сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут. Правда будут не сразу, а по мере появления обновления своих приложений. Но при этом они будут предпринимать меры по разработке новых способов сбора сведений, которые не будут подпадать под правила Apple.

И уже сегодня Apple накрыли всех медным тазом и опубликовали отчет, в котором сообщили, что, оказывается, в среднем в мобильном приложении содержится ШЕСТЬ (!) трекеров от сторонних компаний, предназначенных для сбора и агрегации персональных данных. А вообще этот рынок приносит 227 млрд. долларов в год.

На этом фоне беспокойство Facebook и Google более чем понятно.

Уязвимость в TikTok привела к раскрытию данных пользователей

Позавчера исследователи из компании по кибербезопасности CheckPoint обнаружили уязвимость в TikTok.

Эта уязвимость позволяла извлекать личную информацию пользователей из их профилей, включая номера телефона.

По словам исследователей, с помощью этой уязвимости можно было создать целую базу данных пользователей, чтобы использовать её в злонамеренных целях.


Эту ошибку обнаружили в функции поиска друзей. К счастью, уязвимость уже устранена.

Нет никаких доказательств того, что этот недостаток как-то использовался.

​​В ноябре мы писали про то, что журналисты Motherboard раскопали информацию про американскую компанию X-Mode, которая за деньги предлагала разработчикам включать в свое мобильное ПО ее SDK, собирающий данные местоположения пользователей. SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее, по последним данным, более 90 млн. загрузок, а также в многие другие.

Клиентами X-Mode являлись крупные американские частные разведывательные компании, а также Командование специальных операций ВС США (USSOCOM).

Теперь обнаружилось, что SDK от X-Mode был встроен еще как минимум в пять приложений, предназначенных для мусульманских молитв, в приложение с картой метро США и пр. При этом в качестве очередного покупателя аналитики от X-Mode нарисовалось Разведывательное управление Министерства обороны США (DIA).

Некоторые разработчики ПО, судя по всему, сами не знали, что SDK передает геоданные в X-Mode. Более того, согласно результатам исследований, SDK начинал передачу данных еще до принятия пользователем политики конфиденциальности в приложении.

И хотя в декабре прошлого года на фоне скандала SDK от X-Mode было запрещено к использованию для разработчиков ПО для Android и Apple, использовавшие его ранее приложения предоставляют сведения другим агрегаторам данных, например Opensignal и Tutela, которые декларируют, что продают информацию телекоммуникационным компаниям (как оно там на самом деле - неизвестно).

Лишнее подтверждение тому, насколько важна прозрачность в сборе мобильными приложениями пользовательских данных.

Инфосек компания Clearsky выпустила отчет о новой кибероперации хакерской группы Lebanese Cedar aka Volatile Cedar, за которой якобы стоит часть руководства Ливана, а точнее шиитская организация и политическая партия Хезболла.

Впервые Volatile Cedar был описан исследователями Check Point в 2015 году. Тогда израильские ресерчеры выявили продолжающуюся на протяжении 3 лет кибершпионскую компанию, в ходе которой использовался авторский RAT Explosive. Среди используемых APT приемов было заражение USB с целью проникновения в изолированные сегменты атакуемой сети.

Целями хакеров были телекоммуникационные и медиа-компании, образовательные учреждения США, Канады, Великобритании, Турции, Ливана и Израиля.

В продолжение расследования Check Point эксперты из Лаборатории Касперского опубликовали результаты собственных наблюдений в отношении вредоносной инфраструктуры Volatile Cedar, из которых стало понятно, что на первом месте в списке целей с огромным отрывом стоят именно ливанские организации (Ливан - 22, США - 9, далее Канада - 3). А одна жертва была в России.

Тут пытливые подписчики испытают разрыв шаблона и зададутся вопросом зачем ливанской APT атаковать ливанские же организации в товарных количествах. На этот случай у Check Point было заготовлено универсальное объяснение, что за Volatile Cedar стоит не национальное правительство Ливана, а именно Хеболла, которая является одной из составляющих ливанского политического процесса и таким образом осуществляет разборки со своими оппонентами.

Новая выявленная ClearSky компания продолжалась с начала 2020 года, в ее ходе хакерами было заражено более 250 серверов по всему миру - в США, Великобритании, Египте, Ливане (опять), Иордании, Израиле. Основные цели - хостинги, телеком и IT-компании, в том числе весьма крупные, к примеру - Vodafone Egypt.

В ходе атак преимущественно использовались авторские вредоносы Caterpillar, вариант опенсорсного веб-шелла ASPXspy, и RAT Explosion V4. Анализируя код Caterpillar ресерчеры получили ники трех его разработчиков - Nido, Zero Lord и Tatra. А вот в ходе анализа ClearSky других использованных вредоносов начинают появляться следы сторонних APT.

В некоторых веб-шеллах исследователи нашли фрагменты кода, связанные с инструментами иранской группы ITSecTeam, она же Cutting Kitten. В другом веб-шелле обнаружили ник его автора - Mamad Warning, по утверждению ClearSky это член группы иранских хактивистов Persian Hacker aka Pars (мы такой группы, если честно, не встречали).

Таким образом, более логичным было бы предположить, что за APT Volatile Cedar стоит Иран. В этом случае объясняется и высокая активность группы на ливанском направлении - иранцы активно участвуют во внутриполитической жизни Ливана и должны иметь неофициальные источники информации. Тем не менее, ClearSky утверждают, что поддерживают точку зрения Check Point о принадлежности Volatile Cedar ливанскому правительству или Хезболле, хотя и не обосновывают такое мнение.

​​Microsoft вносит уточнения в информацию о действиях хакеров КНДР по целевым атакам на исследователей безопасности, о которых ранее на этой неделе сообщили Google Threat Analysis Group.

По данным исследователей за атакой стоят хакеры из самой активной и известной северокорейской APT - Lazarus, которую Microsoft называют Zinc. Согласно их информации, киберкампания началась в середине 2020 года, в результате кросс-ссылок фейковых аккаунтов друг на друга хакеры из КНДР смогли раскрутить авторитет выдуманных инфосек экспертов среди экспертов настоящих.

Также ресерчеры Microsoft сообщили об других методах заражения, не указанных Google TAG, которые применяли Lazarus, - распространение в блоге MHTML файлов, содержащих ссылку на вредоносный JS, попытки использовать CVE-2017-16238 в Vir.IT eXplorer (неудачные) и кража паролей Chrome.

Исследователи предупреждают, что если вы посещали вредоносный блог на br0vvnn .io и у вас присутствуют приведенные в их отчете IOCs, то следует предполагать, что ваше устройство находится под полным контролем хакеров из Lazarus.