Позавчера VMware пофиксили критическую уязвимость CVE-2021-21972 в VMware vCenter, которую открыли исследователи из Positive Technologies. Ошибка позволяла злоумышленнику осуществить удаленное выполнение кода (RCE) без прохождения аутентификации.
А вчера китайцы из Qihoo 360 опубликовали PoC новой уязвимости и тем самым выпустили джина из бутылки.
Bad Packets сразу же сообщили о маccовом сканировании сети на предмет выявления уязвимых VMware vCenter со стороны злоумышленников. Таковых на данный момент насчитывается более 6 тыс.
С учетом того, что VMware vCenter стоят преимущественно в крупных корпоративных сетях, то в результате происходящего многие компании могут стать жертвами операторов ransomware. Одного дня, прошедшего с выпуска обновления до появления в сети PoC уязвимости, безусловно мало для того, чтобы бОльшая часть VMware vCenter была пропатчена.
Остается вопрос - чем руководствовались китайские ресерчеры, когда публиковали свой proof of concept.
А вчера китайцы из Qihoo 360 опубликовали PoC новой уязвимости и тем самым выпустили джина из бутылки.
Bad Packets сразу же сообщили о маccовом сканировании сети на предмет выявления уязвимых VMware vCenter со стороны злоумышленников. Таковых на данный момент насчитывается более 6 тыс.
С учетом того, что VMware vCenter стоят преимущественно в крупных корпоративных сетях, то в результате происходящего многие компании могут стать жертвами операторов ransomware. Одного дня, прошедшего с выпуска обновления до появления в сети PoC уязвимости, безусловно мало для того, чтобы бОльшая часть VMware vCenter была пропатчена.
Остается вопрос - чем руководствовались китайские ресерчеры, когда публиковали свой proof of concept.
root@cyberworld:~# Noah Lab
CVE-2021-21972 vCenter Server 文件写入漏洞分析
0x01. 漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。 vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向…
Лаборатория Касперского выпустила интересный отчет в отношении активности северокорейской APT Lazarus в 2020 году.
Как говорят исследователи, в середине прошлого года они наблюдали сразу несколько компаний со стороны Lazarus, направленных на предприятия оборонного сектора, в том числе, как можно понять из подробностей расследования, российские. При этом хакеры из КНДР использовали семейство вредоносов ThreatNeedle - дальнейшее развитие их авторского инструментария Manuscrypt.
Ранее об использовании северокорейцами ThreatNeedle в ходе кампании по компрометации инфосек экспертов сообщали Google TAG и S2W LAB.
Одной из целей Lazarus была некая российская компания, которую хакеры атаковали с помощью целевого фишинга, на ходу модифицируя приманки и устраняя ошибки в русскоязычных текстах ("Мы стараемся любезно служить всем, но иногда эти проблемы возникают"). Приманками служили письма о COVID-19, направленные, якобы, от лица одного из реальных руководителей медицинского центра, работающего с организацией-целью.
В конце концов один из сотрудников попался на фишинг и это послужило отправной точкой компрометации сети компании.
Из интересного также можно отметить, что Lazarus сумели проникнуть глубоко в сеть одной из жертв и, воспользовавшись недостатками в ее конфигурации, обойти сегментирование на офисную и изолированную (не имевшую прямого доступа в Интернет) части. С этой целью хакеры взломали один из маршрутизаторов, который подключался к обоим сегментам сети, и использовали его в качестве прокси для дальнейшей эксфильтрации данных из закрытого сегмента.
Вспоминая, что еще весной северокорейская же APT Kimsuky атаковала одно из предприятий Ростеха (тоже оборонное?), то можно смело говорить о ярко выраженном интересе хакеров из КНДР к российскому производственному сектору.
Как говорят исследователи, в середине прошлого года они наблюдали сразу несколько компаний со стороны Lazarus, направленных на предприятия оборонного сектора, в том числе, как можно понять из подробностей расследования, российские. При этом хакеры из КНДР использовали семейство вредоносов ThreatNeedle - дальнейшее развитие их авторского инструментария Manuscrypt.
Ранее об использовании северокорейцами ThreatNeedle в ходе кампании по компрометации инфосек экспертов сообщали Google TAG и S2W LAB.
Одной из целей Lazarus была некая российская компания, которую хакеры атаковали с помощью целевого фишинга, на ходу модифицируя приманки и устраняя ошибки в русскоязычных текстах ("Мы стараемся любезно служить всем, но иногда эти проблемы возникают"). Приманками служили письма о COVID-19, направленные, якобы, от лица одного из реальных руководителей медицинского центра, работающего с организацией-целью.
В конце концов один из сотрудников попался на фишинг и это послужило отправной точкой компрометации сети компании.
Из интересного также можно отметить, что Lazarus сумели проникнуть глубоко в сеть одной из жертв и, воспользовавшись недостатками в ее конфигурации, обойти сегментирование на офисную и изолированную (не имевшую прямого доступа в Интернет) части. С этой целью хакеры взломали один из маршрутизаторов, который подключался к обоим сегментам сети, и использовали его в качестве прокси для дальнейшей эксфильтрации данных из закрытого сегмента.
Вспоминая, что еще весной северокорейская же APT Kimsuky атаковала одно из предприятий Ростеха (тоже оборонное?), то можно смело говорить о ярко выраженном интересе хакеров из КНДР к российскому производственному сектору.
Securelist
Lazarus targets defense industry with ThreatNeedle
In mid-2020, we realized that Lazarus was launching attacks on the defense industry using the ThreatNeedle cluster, an advanced malware cluster of Manuscrypt (a.k.a. NukeSped).
Forwarded from Телекоммуналка
МТС сегодня решил провести открытую пресс-конференцию о новых принципах экосистемной культуры.
Логотип-хэштег, выбранный для конференции, отлично описывает текущее отношение к продуктам. Артемию Лебедеву до такого еще долго работать.
И да, похоже это единственное применение стрим-платформе, которое они смогли найти.
Логотип-хэштег, выбранный для конференции, отлично описывает текущее отношение к продуктам. Артемию Лебедеву до такого еще долго работать.
И да, похоже это единственное применение стрим-платформе, которое они смогли найти.
Дурдом на марше. В прямом смысле этого слова.
Как мы рассказывали, в начале февраля Infosecurity Magazine разразились статьей о том, как повысить уровень кибербезопасности путем наращивания диверсити и инклюзивности в инфосек подразделении.
Сегодня эстафету подхватывают ZDNet, которые выложили интервью с CISO Bank of America Крейгом Фройлихом о том, как важно привлекать к работе над информационной безопасностью нейроразнообразных людей.
Мы сначала было подумали, что речь идет об известном факте, что интроверты преобладают среди инфосек исследователей. Пока не наткнулись на термин "нейродивергентные люди".
Если вы не знакомы с этим выражением, то подскажем, что нейродивергентность - это, к примеру, аутизм, синдром Туррета, нарушение обработки сенсорной информации, дислексия и пр.
Для этого, говорит нам Фройлих, необходимо делать специальные офисы со специальным освещением, предоставлять нейродивергентным людям наушники с шумоподавлением, а то у них может начаться истерика, и пр. Зачем? Потому что это "чрезвычайно выгодно для бизнеса".
И знаете что? Судя по состоянию инфосека во множестве российских организаций, мы давно оторвались от западных демократий по уровню нейродивергентных сотрудников в информационной безопасности.
Дисклеймер. Редакция канала не выражает абсолютно никакого негатива к людям с перечисленными выше особенностями и заболеваниями. Они есть и им надо помогать. Но не делать из этого кадровый стандарт де-факто.
Как мы рассказывали, в начале февраля Infosecurity Magazine разразились статьей о том, как повысить уровень кибербезопасности путем наращивания диверсити и инклюзивности в инфосек подразделении.
Сегодня эстафету подхватывают ZDNet, которые выложили интервью с CISO Bank of America Крейгом Фройлихом о том, как важно привлекать к работе над информационной безопасностью нейроразнообразных людей.
Мы сначала было подумали, что речь идет об известном факте, что интроверты преобладают среди инфосек исследователей. Пока не наткнулись на термин "нейродивергентные люди".
Если вы не знакомы с этим выражением, то подскажем, что нейродивергентность - это, к примеру, аутизм, синдром Туррета, нарушение обработки сенсорной информации, дислексия и пр.
Для этого, говорит нам Фройлих, необходимо делать специальные офисы со специальным освещением, предоставлять нейродивергентным людям наушники с шумоподавлением, а то у них может начаться истерика, и пр. Зачем? Потому что это "чрезвычайно выгодно для бизнеса".
И знаете что? Судя по состоянию инфосека во множестве российских организаций, мы давно оторвались от западных демократий по уровню нейродивергентных сотрудников в информационной безопасности.
Дисклеймер. Редакция канала не выражает абсолютно никакого негатива к людям с перечисленными выше особенностями и заболеваниями. Они есть и им надо помогать. Но не делать из этого кадровый стандарт де-факто.
ZDNET
Why your diversity and inclusion efforts should include neurodiverse workers
Craig Froelich, chief information security officer at Bank of America, talks about hiring neurodiverse workers and how they can benefit cybersecurity teams.
В конце прошлой недели BleepingComputer сообщили, что хакерская группа Hotarus Corp взломала Министерство финансов Эквадора и крупнейший банк страны Banco Pichincha.
Для начала хакеры вскрыли сеть Министерства, украли конфиденциальную информацию, включая электронную переписку, зашифровали данные с помощью ransomware Ronggolawe, а также выкинули на один из хакерских форумов список из более чем 6,6 тыс. логинов и хешей паролей сотрудников.
Далее злоумышленники не остановились и взломали крупнейший эквадорский банк Banco Pichincha. Банкиры отморозились и сказали, что был взломан их маркетинговый партнер, однако хакеры из Hotarus Corp связались с BleepingComputer и сообщили, что маркетинговая платформа была лишь точкой первичной компрометации банковской сети. В ходе атаки, как говорят хакеры, они похитили более чем 31 млн. записей данных о клиентах, включая информацию о банковских картах.
Данные о 37 тысячах банковских карт Hotarus Corp уже продали кардерам, а информацию Министерства финансов обещают выставить на аукцион с ценой безусловной продажи в 250 тыс. долларов.
О Hotarus Corp мы раньше не слышали, видимо какие-то местные мучачос хулиганят.
Для начала хакеры вскрыли сеть Министерства, украли конфиденциальную информацию, включая электронную переписку, зашифровали данные с помощью ransomware Ronggolawe, а также выкинули на один из хакерских форумов список из более чем 6,6 тыс. логинов и хешей паролей сотрудников.
Далее злоумышленники не остановились и взломали крупнейший эквадорский банк Banco Pichincha. Банкиры отморозились и сказали, что был взломан их маркетинговый партнер, однако хакеры из Hotarus Corp связались с BleepingComputer и сообщили, что маркетинговая платформа была лишь точкой первичной компрометации банковской сети. В ходе атаки, как говорят хакеры, они похитили более чем 31 млн. записей данных о клиентах, включая информацию о банковских картах.
Данные о 37 тысячах банковских карт Hotarus Corp уже продали кардерам, а информацию Министерства финансов обещают выставить на аукцион с ценой безусловной продажи в 250 тыс. долларов.
О Hotarus Corp мы раньше не слышали, видимо какие-то местные мучачос хулиганят.
BleepingComputer
Ransomware gang hacks Ecuador's largest private bank, Ministry of Finance
A hacking group called 'Hotarus Corp' has hacked Ecuador's Ministry of Finance and the country's largest bank, Banco Pichincha, where they claim to have stolen internal data.
Нам пишут, что Евгений Валентинович Маск таки засветил внутри своей компании смартфон с Kaspersky OS и предложил желающим сотрудникам поучаствовать в тестировании. Впервые о мобильной версии своей операционки он заявил еще летом 2019 года.
Как тогда говорили сотрудники Лаборатории Касперского, ОС разрабатывалась с нуля и не имеет ни одной общей строчки кода с Linux.
Правда, как всегда, есть одно "но". Тестировать предложили не обычный смартфон, а некий терминал для промышленного применения. Понятно, что функционал такого устройства сильно урезан и TikTok на него не поставишь (пользователи TikTok вообще знают выражение "информационная безопасность"?). Зато, вроде как, в нем будет МойОфис, который ранее ЛК купили.
С точки зрения промышленного инфосек такие штуки, как защищенные мобильные терминалы безусловно нужны. Но мы, честно говоря, не отказались бы и от стандартного смартфона под управлением Kaspersky OS, пусть и с урезанным функционалом и скудным набором приложений.
Потому что, во-первых, зная конъюнктуру, не думаем, что Касперские будут сливать данные известно куда, по крайней мере на первых порах. А, во-вторых, имея оригинальную мобильную ОС, да еще от крупного инфосек вендора, можно надеется (робко, но все же) на достойный уровень безопасности. Хорошее решение для банковских приложений и мессенджеров.
Хоть и без TikTok'а.
На снимке - Евгений Валентинович демонстрирует размер безопасности, достигнутой на устройстве под управлением новой мобильной ОС.
Как тогда говорили сотрудники Лаборатории Касперского, ОС разрабатывалась с нуля и не имеет ни одной общей строчки кода с Linux.
Правда, как всегда, есть одно "но". Тестировать предложили не обычный смартфон, а некий терминал для промышленного применения. Понятно, что функционал такого устройства сильно урезан и TikTok на него не поставишь (пользователи TikTok вообще знают выражение "информационная безопасность"?). Зато, вроде как, в нем будет МойОфис, который ранее ЛК купили.
С точки зрения промышленного инфосек такие штуки, как защищенные мобильные терминалы безусловно нужны. Но мы, честно говоря, не отказались бы и от стандартного смартфона под управлением Kaspersky OS, пусть и с урезанным функционалом и скудным набором приложений.
Потому что, во-первых, зная конъюнктуру, не думаем, что Касперские будут сливать данные известно куда, по крайней мере на первых порах. А, во-вторых, имея оригинальную мобильную ОС, да еще от крупного инфосек вендора, можно надеется (робко, но все же) на достойный уровень безопасности. Хорошее решение для банковских приложений и мессенджеров.
Хоть и без TikTok'а.
На снимке - Евгений Валентинович демонстрирует размер безопасности, достигнутой на устройстве под управлением новой мобильной ОС.
Команда исследователей Insikt Group из инфосек компании RecordedFuture выпустила отчет о выявленной киберкампании, проводимой китайской APT RedEcho и направленной на индийский энергетический сектор.
Между Китаем и Индией после пограничного конфликта в мае 2020 года произошло обострение и в киберпространстве, в результате которого APT, работающие на ту или иную сторону, периодически атакуют своих визави. Из последнего - атаки APT Bitter, предположительно работающей на Индию, на китайские информационные ресурсы с эксплуатацией 0-day уязвимости в ядре Windows 10.
RedEcho - это внутреннее название, которое RecordedFuture дали причастной к атаке хакерской группе. Некоторые TTPs этого актора совпадают с другими известными APT - Winnti и Tonto. Первая группа и так всем хорошо известна, а Tonto - это те самые ребята, которые были причастны в 2017 году к атаке на южнокорейский зенитный ракетный комплекс THAAD.
Цели атаки - десять объектов из энергетической отрасли, в том числе электростанция в Нью-Дели, и два морских порта. А среди энергообъектов - четыре из пяти региональных центра распределения электронагрузки, нарушение работы которых повлекло бы за собой коллапс системы электроснабжения Индии. В ходе атаки использовался, в частности, бэкдор ShadowPad, автором которого считается APT Winnti и который используется по меньшей мере пятью китайскими хакерскими группами.
Также в отчете упомянут блэкаут, который случился в индийском городе Мумбаи 13 октября прошлого года. Отключение электричества длилось от 2 до 12 часов в зависимости от районов города, отделения интенсивной терапии городских больниц были вынуждены перейти на питание от генераторов.
Первоначально местные киберполицейские сообщили, что блэкаут произошел в результате атаки как раз на местный региональных центра распределения электронагрузки, а следы ведут в Китай. Но исследователи из RecordedFuture заключили, что эта связь является необоснованной.
Продолжение веселых кибервойнушек следует, полагаем. Ни Китай, ни Индия не испытывают недостатка как в подготовленных прогосударственных хакерских группах, так и в решимости их задействовать.
Между Китаем и Индией после пограничного конфликта в мае 2020 года произошло обострение и в киберпространстве, в результате которого APT, работающие на ту или иную сторону, периодически атакуют своих визави. Из последнего - атаки APT Bitter, предположительно работающей на Индию, на китайские информационные ресурсы с эксплуатацией 0-day уязвимости в ядре Windows 10.
RedEcho - это внутреннее название, которое RecordedFuture дали причастной к атаке хакерской группе. Некоторые TTPs этого актора совпадают с другими известными APT - Winnti и Tonto. Первая группа и так всем хорошо известна, а Tonto - это те самые ребята, которые были причастны в 2017 году к атаке на южнокорейский зенитный ракетный комплекс THAAD.
Цели атаки - десять объектов из энергетической отрасли, в том числе электростанция в Нью-Дели, и два морских порта. А среди энергообъектов - четыре из пяти региональных центра распределения электронагрузки, нарушение работы которых повлекло бы за собой коллапс системы электроснабжения Индии. В ходе атаки использовался, в частности, бэкдор ShadowPad, автором которого считается APT Winnti и который используется по меньшей мере пятью китайскими хакерскими группами.
Также в отчете упомянут блэкаут, который случился в индийском городе Мумбаи 13 октября прошлого года. Отключение электричества длилось от 2 до 12 часов в зависимости от районов города, отделения интенсивной терапии городских больниц были вынуждены перейти на питание от генераторов.
Первоначально местные киберполицейские сообщили, что блэкаут произошел в результате атаки как раз на местный региональных центра распределения электронагрузки, а следы ведут в Китай. Но исследователи из RecordedFuture заключили, что эта связь является необоснованной.
Продолжение веселых кибервойнушек следует, полагаем. Ни Китай, ни Индия не испытывают недостатка как в подготовленных прогосударственных хакерских группах, так и в решимости их задействовать.
💻Настало время создавать продукты для обеспечения приватности и доступа к информации!
20-21 марта РосКомСвобода @roskomsvoboda и Privacy Accelerator проведут хакатон DemHack2.
Участники хакатона будут искать технические решения, которые помогут гражданам защитить свои данные, обеспечить безопасность коммуникаций, сохранить приватность частной жизни, раскрыть важную для общества информацию и наладить связь даже в условиях шатдауна.
Команды могут воплотить в жизнь одно из предложенных на сайте решений или подать заявку со своим проектом.
💰Лучшие команды получат приставку Sony PlayStation 5 или 65 000 рублей и, конечно, поддержку в дальнейшем развитии своих проектов.
Приём заявок – до 11 марта.
Подробности и регистрация на сайте:
➡️ https://demhack.ru
20-21 марта РосКомСвобода @roskomsvoboda и Privacy Accelerator проведут хакатон DemHack2.
Участники хакатона будут искать технические решения, которые помогут гражданам защитить свои данные, обеспечить безопасность коммуникаций, сохранить приватность частной жизни, раскрыть важную для общества информацию и наладить связь даже в условиях шатдауна.
Команды могут воплотить в жизнь одно из предложенных на сайте решений или подать заявку со своим проектом.
💰Лучшие команды получат приставку Sony PlayStation 5 или 65 000 рублей и, конечно, поддержку в дальнейшем развитии своих проектов.
Приём заявок – до 11 марта.
Подробности и регистрация на сайте:
➡️ https://demhack.ru
Жуткий оффтоп и тем не менее.
Иллюстрация эволюции советских и российских реактивных истребителей c Reddit. Прямо распечатать и на стенку. Очень круто.
Иллюстрация эволюции советских и российских реактивных истребителей c Reddit. Прямо распечатать и на стенку. Очень круто.
Reddit
From the aviation community on Reddit: My chart of URSS and Russia jet fighter aircraft.
Explore this post and more from the aviation community
Мы рассказывали в сентябре, что сеть американской компании Universal Health Services (UHS), которая является крупным поставщиком медицинских услуг и имеет под управлением более 400 больниц в США и Великобритании, подверглась атаке ransomware Ryuk. В результате были прекращены лабораторные исследования, пациенты перенаправлялись в другие медицинские учреждения. В некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.
И вот теперь UHS выпустила финансовый отчет, в котором оценила суммарные потери от атаки вымогателя в 67 млн. долларов.
В стотысячепятнадцатый раз оставляем комментарий, что информационная безопасность вышла бы существенно дешевле.
И вот теперь UHS выпустила финансовый отчет, в котором оценила суммарные потери от атаки вымогателя в 67 млн. долларов.
В стотысячепятнадцатый раз оставляем комментарий, что информационная безопасность вышла бы существенно дешевле.
Universal Health Services Inc.
Universal Health Services, Inc. Reports 2020 Fourth Quarter And Full Year Financial Results And 2021 Full Year Earnings Guidance…
The Investor Relations website contains information about Universal Health Services Inc.'s business for stockholders, potential investors, and financial analysts.
Нас спрашивают почему мы не пишем про новый релиз джейлбрейка unc0ver, который теперь поддерживает все версии iOS вплоть до 14.3.
Да просто потому, что текущая версия iOS - это 14.4. А значит для всех наших подписчиков новый джейлбрейк не актуален, так как они своевременно проводят обновление своих устройств.
А кто этого не делает - том сам себе злобный Буратина.
Да просто потому, что текущая версия iOS - это 14.4. А значит для всех наших подписчиков новый джейлбрейк не актуален, так как они своевременно проводят обновление своих устройств.
А кто этого не делает - том сам себе злобный Буратина.
Вчера мы писали пост про атаку китайской APT RedEcho на индийский энергетический сектор, отчет о которой выдала инфосек компания RecordedFuture.
Сегодня продолжение про кибервойну Китая с Индией.
Reuters с подачи другой инфосек компании Cyfirma рассказала о кибероперации китайской APT, направленной на индийских производителей вакцин.
Как известно, в Индии фарма очень сильно развита. Кроме 60% всех вакцин, продаваемых в мире, индусы производят множество дженериков (лекарство, идентичное запатентованному, но производимое без лицензии и из-за этого гораздо более дешевое).
По данным исследователей, целями стали два фармацевтических гиганта - Bharat Biotech и Serum Institute of India. Вторая компания так вообще является крупнейшим в мире производителем вакцин. В настоящее время она, в числе прочего, выпускает по лицензии вакцину AstraZeneca от COVID-19. Правда, к примеру, украинцы, которым эту вакцину привез тов. Голобородько, прививаться не хотят - говорят, что не айс.
Атаковали индусов китайские хакеры из APT 10 aka Stone Panda. Группа старая, считается, что за ней стоит китайское МГБ. Ломали они много и успешно, в том числе и японскую фарму. Периодически использовали атаки на цепочку поставок.
Вот и в этот раз Stone Panda атаковали как IT-инфраструктуру индийских компаний напрямую, так и их цепочку поставок. Технических подробностей, к сожалению, нет, поскольку отчет в исходнике Cyfirma не выложили (ну или мы слепошарые не нашли).
Согласно комментарию Кумара Ритеша, генерального директора Cyfirma, основной целью хакеров была кража интеллектуальной собственности. Так что обвинить китайцев в попытке подрыва процесса производства вакцин от COVID-19 вряд ли получится, даже Reuters не попытались.
Кстати, интересный факт - Кумар Ритеш является бывшим высокопоставленным сотрудником киберподразделения британской разведки МИ-6 (где-то заикал Илья Константинович Сачков, который такое не любит, ну в России точно).
А мы говорили вчера, что продолжение следует. Китайские и индийские товарищи просто так не успокоятся.
Сегодня продолжение про кибервойну Китая с Индией.
Reuters с подачи другой инфосек компании Cyfirma рассказала о кибероперации китайской APT, направленной на индийских производителей вакцин.
Как известно, в Индии фарма очень сильно развита. Кроме 60% всех вакцин, продаваемых в мире, индусы производят множество дженериков (лекарство, идентичное запатентованному, но производимое без лицензии и из-за этого гораздо более дешевое).
По данным исследователей, целями стали два фармацевтических гиганта - Bharat Biotech и Serum Institute of India. Вторая компания так вообще является крупнейшим в мире производителем вакцин. В настоящее время она, в числе прочего, выпускает по лицензии вакцину AstraZeneca от COVID-19. Правда, к примеру, украинцы, которым эту вакцину привез тов. Голобородько, прививаться не хотят - говорят, что не айс.
Атаковали индусов китайские хакеры из APT 10 aka Stone Panda. Группа старая, считается, что за ней стоит китайское МГБ. Ломали они много и успешно, в том числе и японскую фарму. Периодически использовали атаки на цепочку поставок.
Вот и в этот раз Stone Panda атаковали как IT-инфраструктуру индийских компаний напрямую, так и их цепочку поставок. Технических подробностей, к сожалению, нет, поскольку отчет в исходнике Cyfirma не выложили (ну или мы слепошарые не нашли).
Согласно комментарию Кумара Ритеша, генерального директора Cyfirma, основной целью хакеров была кража интеллектуальной собственности. Так что обвинить китайцев в попытке подрыва процесса производства вакцин от COVID-19 вряд ли получится, даже Reuters не попытались.
Кстати, интересный факт - Кумар Ритеш является бывшим высокопоставленным сотрудником киберподразделения британской разведки МИ-6 (где-то заикал Илья Константинович Сачков, который такое не любит, ну в России точно).
А мы говорили вчера, что продолжение следует. Китайские и индийские товарищи просто так не успокоятся.
U.S.
Chinese hackers target Indian vaccine makers SII, Bharat Biotech, says security firm
A Chinese state-backed hacking group has in recent weeks targeted the IT systems of two Indian vaccine makers whose coronavirus shots are being used in the country's immunisation campaign, cyber intelligence firm Cyfirma told Reuters.
18 февраля исследователи компании Red Canary сообщили о странном вредоносе для macOS, обнаруженном более чем на 29 тыс. устройствах в 153 странах мира. Они назвали его Silver Sparrow.
Было найдено две версии вредоноса, одна из которых работает и на новом чипе M1, представленном Apple только в ноябре прошлого года. Таким образом, Silver Sparrow - это второй выявленный вредонос после обнаруженного также в середине февраля Pirrit.
Первая особенность Silver Sparrow была в использовании macOS Installer JS API, что отличает его от других вредоносов для macOS.
Вторая странность заключалась в отсутствии полезной нагрузки - раз в час вредонос отстукивался на управляющий центр, но ничего оттуда не получал.
Третья отличительная черта - наличие механизма полного удаления с атакованной машины следов своего присутствия в случае нахождения некоего пустого файла.
И, наконец, четвертая загадочная черта - наличие в обеих версиях Silver Sparrow сторонних двоичных файлов, в одном из которых содержалась фраза "Hello, World!", а в другом - "You did it!". Оба файла могут быть запущены только жертвой вручную.
Источник и каналы распространения Silver Sparrow остались неизвестными.
А сегодня свой голос подали словаки из ESET, которые сообщили, что обнаружили Silver Sparrow еще в сентябре прошлого года. С момент обнаружения исследователи также не заметили каких-либо следов полезной нагрузки, но обнаружили файл конфигурации, который хранится в корзине AWS S3.
Короче говоря, понятнее не стало. С одной стороны - продвинутый вредонос, модифицируемый под M1 и имеющий массовый охват, с другой - отсутствие вредоносной активности в течение полугода.
Загадочный инфосек - все как мы любим.
Было найдено две версии вредоноса, одна из которых работает и на новом чипе M1, представленном Apple только в ноябре прошлого года. Таким образом, Silver Sparrow - это второй выявленный вредонос после обнаруженного также в середине февраля Pirrit.
Первая особенность Silver Sparrow была в использовании macOS Installer JS API, что отличает его от других вредоносов для macOS.
Вторая странность заключалась в отсутствии полезной нагрузки - раз в час вредонос отстукивался на управляющий центр, но ничего оттуда не получал.
Третья отличительная черта - наличие механизма полного удаления с атакованной машины следов своего присутствия в случае нахождения некоего пустого файла.
И, наконец, четвертая загадочная черта - наличие в обеих версиях Silver Sparrow сторонних двоичных файлов, в одном из которых содержалась фраза "Hello, World!", а в другом - "You did it!". Оба файла могут быть запущены только жертвой вручную.
Источник и каналы распространения Silver Sparrow остались неизвестными.
А сегодня свой голос подали словаки из ESET, которые сообщили, что обнаружили Silver Sparrow еще в сентябре прошлого года. С момент обнаружения исследователи также не заметили каких-либо следов полезной нагрузки, но обнаружили файл конфигурации, который хранится в корзине AWS S3.
Короче говоря, понятнее не стало. С одной стороны - продвинутый вредонос, модифицируемый под M1 и имеющий массовый охват, с другой - отсутствие вредоносной активности в течение полугода.
Загадочный инфосек - все как мы любим.
Red Canary
Silver Sparrow macOS malware with M1 compatibility
Silver Sparrow includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a payload
Каталин Чимпану, который убежал из ZDNet в The Record, пишет, что вчера французский исследователь Жюльен Вуазен обнаружил на Virus Total боевой эксплойт знаменитой уязвимости Spectre.
Напомним, что обнаруженная в 2018 году Spectre стала вместе с Meltdown первыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Имевшиеся ранее в паблике эксплойты представляли собой достаточно безобидные варианты первоначального PoC, а доказательств использования Spectre в дикой природе не было.
Однако Вуазен обнаружил полностью рабочий эксплойт для Linux, сбрасывающий содержимое /etc/shadow, в котором находятся данные учетных записей, в том числе зашифрованных паролей. Также присутствовал эксплойт для Windows, однако ресерчер его не рассматривал.
В отношении происхождения эксплойта француз лишь заметил, что такое атрибутирование является простой задачей, но не стал называть конкретного виновника. Тем не менее, инфосек эксперты быстро раскусили, что скорее всего эксплойты являются модулями инструмента для пентестинга CANVAS от компании Immunity. По имеющимся данным, взломанные версии CANVAS гуляют по закрытым Telegram-каналам как минимум с октября 2020 года.
Теперь же можно считать дни до попадания эксплойтов Spectre в паблик и массовых атак по всем направлениям.
Напомним, что обнаруженная в 2018 году Spectre стала вместе с Meltdown первыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Имевшиеся ранее в паблике эксплойты представляли собой достаточно безобидные варианты первоначального PoC, а доказательств использования Spectre в дикой природе не было.
Однако Вуазен обнаружил полностью рабочий эксплойт для Linux, сбрасывающий содержимое /etc/shadow, в котором находятся данные учетных записей, в том числе зашифрованных паролей. Также присутствовал эксплойт для Windows, однако ресерчер его не рассматривал.
В отношении происхождения эксплойта француз лишь заметил, что такое атрибутирование является простой задачей, но не стал называть конкретного виновника. Тем не менее, инфосек эксперты быстро раскусили, что скорее всего эксплойты являются модулями инструмента для пентестинга CANVAS от компании Immunity. По имеющимся данным, взломанные версии CANVAS гуляют по закрытым Telegram-каналам как минимум с октября 2020 года.
Теперь же можно считать дни до попадания эксплойтов Spectre в паблик и массовых атак по всем направлениям.
therecord.media
First Fully Weaponized Spectre Exploit Discovered Online
Вышло обновление десктопной версии Chrome 89.0.4389.72, в котором исправлена уязвимость CVE-2021-21166, используемая неустановленными злоумышленниками в дикой природе. Как всегда технических подробностей нет (обещают позже, когда большая часть пользователей обновится), известно лишь, что ошибка была найдена в феврале Эллисон Хафман из Microsoft. Предположим, что приводит к RCE.
Кроме CVE-2021-21166 устранены еще 7 критических уязвимостей и куча остальных. Тем, кто использует десктопный Chrome - просто необходимо обновиться.
Кроме CVE-2021-21166 устранены еще 7 критических уязвимостей и куча остальных. Тем, кто использует десктопный Chrome - просто необходимо обновиться.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 89 to the stable channel for Windows, Mac and Linux. This will roll out ove...
Еще одно внеочередное обновление - патч для Microsoft Exchange, исправляющий четыре 0-day уязвимости, эксплойты которых, судя по всему, являются составляющими боевого эксплойт-кита.
Как заявляет Microsoft, этот эксплойт-кит принадлежит китайской APT Hafnium. Говорят, что обсуждают эту группу впервые, но нас не оставляет ощущение, что где-то мы подобное обозначение слышали.
По данным исследователей, Hafnium нацелены в первую очередь на организации в США. С помощью своего эксплойт-кита хакеры могли осуществить полный цикл проникновения от прохождения аутентификации до RCE. Конечная цель - поиск и эксфильтрация информации.
Соответственно, рекомендуем срочно обновить свои сервера Microsoft Exchange.
Как заявляет Microsoft, этот эксплойт-кит принадлежит китайской APT Hafnium. Говорят, что обсуждают эту группу впервые, но нас не оставляет ощущение, что где-то мы подобное обозначение слышали.
По данным исследователей, Hafnium нацелены в первую очередь на организации в США. С помощью своего эксплойт-кита хакеры могли осуществить полный цикл проникновения от прохождения аутентификации до RCE. Конечная цель - поиск и эксфильтрация информации.
Соответственно, рекомендуем срочно обновить свои сервера Microsoft Exchange.
Microsoft On the Issues
New nation-state cyberattacks
Today, we’re sharing information about a state-sponsored threat actor identified by the Microsoft Threat Intelligence Center (MSTIC) that we are calling Hafnium. Hafnium operates from China, and this is the first time we’re discussing its activity. It is…
Лаборатория Касперского в кои-то веки решила дать материал на русском языке. А то мы уже замучались их Prompt'ом переводить.
Исследователи обнаружили новую вредоносную компанию за авторством русскоязычной APT RTM, активная фаза которой началась в декабре 2020 года.
RTM - коммерческая хакерская группа, ориентированная на пользователей дистанционного банковского обслуживания (ДБО) из России и стран СНГ, для чего применяет одноименный банковский троян. Впервые их заметили словаки из ESET, по данным которых группа функционирует как минимум с 2015 года.
Как рассказывают Касперские, в середине 2019 года RTM организовали фишинговую рассылку с приманками "Повестка в суд", "Заявка на возврат", "Закрывающие документы" и "Копии документов за прошлый месяц". В приложенном файле - банкер RTM. Далее хакеры закреплялись в сети с помощью легитимных программ удаленного доступа или нескольких авторских вредоносных утилит. Основная цель - компьютеры бухгалтеров с установленным ДБО и последующая подмена банковских реквизитов.
Однако в этот раз RTM изменили привычный сценарий своих атак. В случае неудачи в доступе к ДБО они использовали опять таки авторский вымогатель, который получил название Quoter, шифровали данные и оставляли записку о выкупе. В дальнейшем в ход шел уже стандартный для операторов ransomware шантаж с угрозами о публикации украденных данных в сети.
Касперские говорят о примерно десяти жертвах среди российских компаний из транспорта и финансов. Что дает лишний повод российским компаниям не расслаблять меры инфосека.
А теперь - шарада. Если внимательно изучить скрины по ссылке, то можно заметить цитату из Криминального чтива, которую RTM оставили в зашифрованном файле. Если погуглить, то можно найти аналогично зашифрованные файлы, которые кто-то неаккуратно слил в сеть. А если посмотреть на имя файла, то можно найти название компании-жертвы. Интересно, кто бы это мог быть...
Исследователи обнаружили новую вредоносную компанию за авторством русскоязычной APT RTM, активная фаза которой началась в декабре 2020 года.
RTM - коммерческая хакерская группа, ориентированная на пользователей дистанционного банковского обслуживания (ДБО) из России и стран СНГ, для чего применяет одноименный банковский троян. Впервые их заметили словаки из ESET, по данным которых группа функционирует как минимум с 2015 года.
Как рассказывают Касперские, в середине 2019 года RTM организовали фишинговую рассылку с приманками "Повестка в суд", "Заявка на возврат", "Закрывающие документы" и "Копии документов за прошлый месяц". В приложенном файле - банкер RTM. Далее хакеры закреплялись в сети с помощью легитимных программ удаленного доступа или нескольких авторских вредоносных утилит. Основная цель - компьютеры бухгалтеров с установленным ДБО и последующая подмена банковских реквизитов.
Однако в этот раз RTM изменили привычный сценарий своих атак. В случае неудачи в доступе к ДБО они использовали опять таки авторский вымогатель, который получил название Quoter, шифровали данные и оставляли записку о выкупе. В дальнейшем в ход шел уже стандартный для операторов ransomware шантаж с угрозами о публикации украденных данных в сети.
Касперские говорят о примерно десяти жертвах среди российских компаний из транспорта и финансов. Что дает лишний повод российским компаниям не расслаблять меры инфосека.
А теперь - шарада. Если внимательно изучить скрины по ссылке, то можно заметить цитату из Криминального чтива, которую RTM оставили в зашифрованном файле. Если погуглить, то можно найти аналогично зашифрованные файлы, которые кто-то неаккуратно слил в сеть. А если посмотреть на имя файла, то можно найти название компании-жертвы. Интересно, кто бы это мог быть...
securelist.ru
Новые целевые атаки RTM
Мы обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM. Ее активная фаза началась в декабре 2020 года и продолжается до сих пор.
Forwarded from Эксплойт | Live
Найден способ заменить sudo-пароль на Touch ID
Консультант по JavaScript Дэвид Уолш рассказал, как настроить Touch ID в MacBook так, чтобы больше не вводить пароль при использовании sudo.
Причем, это можно реализовать с помощью буквально пары строк кода.
Теперь пользователям не нужно будет вводить пароль каждый раз из-за использования sudo.
Им будет достаточно просто приложить палец к сканеру отпечатка пальца своего MacBook.
Консультант по JavaScript Дэвид Уолш рассказал, как настроить Touch ID в MacBook так, чтобы больше не вводить пароль при использовании sudo.
Причем, это можно реализовать с помощью буквально пары строк кода.
Теперь пользователям не нужно будет вводить пароль каждый раз из-за использования sudo.
Им будет достаточно просто приложить палец к сканеру отпечатка пальца своего MacBook.
Исследователь Лаксман Муфия рассказал о выявленной уязвимости в механизме сброса пароля от учетной записи Microsoft, за которую он получил 50 тыс. долларов в качестве bug bounty.
При сбросе пароля на электронную почту или телефон пользователя направляется семизначный код, после ввода которого можно заменить пароль. Таким образом общее количество возможных вариантов составляет 10 млн.
Код шифруется перед отправкой на проверку, но Муфия смог разобраться с техникой шифрования. Тем не менее, ограничение на количество неверных вводов кода оказалось на месте и после 122 попыток механизм был заблокирован.
Решение оказалось простым - запросы на проверку следовало отправлять одновременно с точностью до миллисекунды. При одновременном отправлении 1000 зашифрованных кодов, среди которых был и верный, исследователь смог успешно сбросить пароль.
Аналогичным образом он обошел и 2FA, которая требовала дополнительную отправку шестизначного кода. Уязвимость также имела место.
Из-за сложности атаки уязвимость была признана Microsoft важной, а не критичной, но вознаграждение тем не менее Муфия получил. А Microsoft закрыли ошибку в ноябре 2020 года.
При сбросе пароля на электронную почту или телефон пользователя направляется семизначный код, после ввода которого можно заменить пароль. Таким образом общее количество возможных вариантов составляет 10 млн.
Код шифруется перед отправкой на проверку, но Муфия смог разобраться с техникой шифрования. Тем не менее, ограничение на количество неверных вводов кода оказалось на месте и после 122 попыток механизм был заблокирован.
Решение оказалось простым - запросы на проверку следовало отправлять одновременно с точностью до миллисекунды. При одновременном отправлении 1000 зашифрованных кодов, среди которых был и верный, исследователь смог успешно сбросить пароль.
Аналогичным образом он обошел и 2FA, которая требовала дополнительную отправку шестизначного кода. Уязвимость также имела место.
Из-за сложности атаки уязвимость была признана Microsoft важной, а не критичной, но вознаграждение тем не менее Муфия получил. А Microsoft закрыли ошибку в ноябре 2020 года.
The Zero Hack
How I Might Have Hacked Any Microsoft Account - The Zero Hack
This article is about how I found a vulnerability on Microsoft online services that might have allowed anyone to takeover any Microsoft account without consent permission. Microsoft security team patched the issue and rewarded me $50,000 as a part of their…