Чилийская Комиссия по финансовому рынку (CMF) сообщила, что ее сервер Microsoft Exchange был скомпрометирован злоумышленниками с использованием эксплойт-кита ProxyLogon.
CMF регулирует банковские и финансовые учреждения Чили и подчиняется местному Министерству финансов.
Судя по IoC, хакеры развернули на скомпрометированном ресурсе веб-шелл China Chopper, а следовательно чилийцы стали жертвой китайских APT, а не свежего ransomware DearCry, также использующего ProxyLogon для проникновения в атакуемую сеть.
Однако, китайские APT работают с размахом. Полагаем, с ресурсов Комиссии по финансовому рынку можно добыть много разведывательной информации.
CMF регулирует банковские и финансовые учреждения Чили и подчиняется местному Министерству финансов.
Судя по IoC, хакеры развернули на скомпрометированном ресурсе веб-шелл China Chopper, а следовательно чилийцы стали жертвой китайских APT, а не свежего ransomware DearCry, также использующего ProxyLogon для проникновения в атакуемую сеть.
Однако, китайские APT работают с размахом. Полагаем, с ресурсов Комиссии по финансовому рынку можно добыть много разведывательной информации.
BleepingComputer
Chile's bank regulator shares IOCs after Microsoft Exchange hack
Chile's Comisión para el Mercado Financiero (CMF) has disclosed that their Microsoft Exchange server was compromised through the recently disclosed ProxyLogon vulnerabilities.
Какие-то хулиганы вчера взломали и отдефейсили два правительственных сайта в Польше, а также Twitter-аккаунт польского журналиста, пишущего о России и Восточной Европе.
На сайтах Национального агентства по атомной энергетике (нахрена такое агентство Польше, в которой только одна недостроенная АЭС, да и та заброшена еще в 1990, не до конца ясно) и Министерства здравоохранения было опубликовано сообщение об утечке ядерных отходов в соседней Литве, которая может угрожать польским гражданам. Такое же сообщение появилось и во взломанном Twitter.
Дефейсы быстро устранили, а в случившемся привычно обвинили русских хакеров. Потому что все это "выглядело как типичная попытка России посеять подозрения и раскол среди западных союзников", как сказал Станислав Жарын, пресс-секретарь Министра-координатора спецслужб Польши.
Кошка бросила котят - русский хакер виноват!
На сайтах Национального агентства по атомной энергетике (нахрена такое агентство Польше, в которой только одна недостроенная АЭС, да и та заброшена еще в 1990, не до конца ясно) и Министерства здравоохранения было опубликовано сообщение об утечке ядерных отходов в соседней Литве, которая может угрожать польским гражданам. Такое же сообщение появилось и во взломанном Twitter.
Дефейсы быстро устранили, а в случившемся привычно обвинили русских хакеров. Потому что все это "выглядело как типичная попытка России посеять подозрения и раскол среди западных союзников", как сказал Станислав Жарын, пресс-секретарь Министра-координатора спецслужб Польши.
Кошка бросила котят - русский хакер виноват!
Forwarded from SecurityLab.ru (SecurityLab news)
Власти РФ могут обязать операторов передавать Роскомнадзору данные абонентов в рамках борьбы с «серыми» SIM-картами. В документе, опубликованном на портале нормативных правовых актов, правительство предлагает предоставить ведомству доступ к хранящейся информации о голосовых вызовах, персональных сведениях и других данных. Примечательно, что в настоящее время подобный доступ есть только у правоохранительных органов.
https://www.securitylab.ru/news/517543.php
https://www.securitylab.ru/news/517543.php
t.me
Власти могут обязать операторов связи передавать Роскомнадзору сведения о звонках
Передаваемая информация необходима для борьбы с серыми SIM-картами.
Вообще говоря, ситуация с инициативой о передаче данных сотовых операторов Роскомнадзору весьма странная.
Во-первых, озвучиваемые причины усиления борьбы с серыми SIM-картами в виде предотвращения банковского мошенничества и ложных сообщений об угрозе террористических актов не выдерживает никакой критики.
Многие из тех, кто сталкивается со звонками мошенников видят на своих устройствах телефонные номера из пула стационарных, а не мобильных диапазонов. Почему-то Роскомнадзор не в состоянии регулировать деятельность множества мелких операторов, которые и предоставляют свои диапазоны фродстерам.
Также в Роскомнадзорe, видимо, не слышали про VoIP, не говоря уже о сервисах подмены входящего номера через возможности ОКС-7.
Это же относится и к ложным сообщениям об угрозах теракта. Если нам не изменяет наша старческая память, во всех последних громких историях с минированием различных объектов на территории России фигурировали иностранные VoIP-сервисы. И нигде не было упоминаний про серые SIM-карты.
Во-вторых, встает резонный вопрос - каким боком к серым SIM-картам относятся биллинги абонентов российских сотовых операторов? Невнятное блеяние представителей Роскомнадзора о том, что при получении такой информации не раскрывается содержание телефонных переговоров и SMS-переписок является не более чем грубым передергиванием. Потому что согласно российскому законодательству детализация телефонных соединений относится к тайне телефонных переговоров и точка.
Короче история крайне мутная, а ее бенефициары не ясны. Зато можно с уверенностью говорить, что если биллинги будут в автоматизированном режиме выгружаться на сторону Роскомнадзора, то совершенно точно часть из них окажется на черном рынке. Потому что - а) никто не отменяет человеческого фактора, а сотрудники РКН - не рыцари в сияющих доспехах. А б) - возникают конкретные угрозы информационной безопасности, когда данные биллингов могут быть перехвачены на стадии передачи, либо выдернуты из баз данных самого Роскомнадзора. Как госорганы защищают свои базы мы все прекрасно знаем, в Даркнете можно найти много предложений о продаже принадлежащей им информации.
Видимо, Роскомнадзор решил следовать правилу "не можешь победить - возглавь". Такое себе.
Во-первых, озвучиваемые причины усиления борьбы с серыми SIM-картами в виде предотвращения банковского мошенничества и ложных сообщений об угрозе террористических актов не выдерживает никакой критики.
Многие из тех, кто сталкивается со звонками мошенников видят на своих устройствах телефонные номера из пула стационарных, а не мобильных диапазонов. Почему-то Роскомнадзор не в состоянии регулировать деятельность множества мелких операторов, которые и предоставляют свои диапазоны фродстерам.
Также в Роскомнадзорe, видимо, не слышали про VoIP, не говоря уже о сервисах подмены входящего номера через возможности ОКС-7.
Это же относится и к ложным сообщениям об угрозах теракта. Если нам не изменяет наша старческая память, во всех последних громких историях с минированием различных объектов на территории России фигурировали иностранные VoIP-сервисы. И нигде не было упоминаний про серые SIM-карты.
Во-вторых, встает резонный вопрос - каким боком к серым SIM-картам относятся биллинги абонентов российских сотовых операторов? Невнятное блеяние представителей Роскомнадзора о том, что при получении такой информации не раскрывается содержание телефонных переговоров и SMS-переписок является не более чем грубым передергиванием. Потому что согласно российскому законодательству детализация телефонных соединений относится к тайне телефонных переговоров и точка.
Короче история крайне мутная, а ее бенефициары не ясны. Зато можно с уверенностью говорить, что если биллинги будут в автоматизированном режиме выгружаться на сторону Роскомнадзора, то совершенно точно часть из них окажется на черном рынке. Потому что - а) никто не отменяет человеческого фактора, а сотрудники РКН - не рыцари в сияющих доспехах. А б) - возникают конкретные угрозы информационной безопасности, когда данные биллингов могут быть перехвачены на стадии передачи, либо выдернуты из баз данных самого Роскомнадзора. Как госорганы защищают свои базы мы все прекрасно знаем, в Даркнете можно найти много предложений о продаже принадлежащей им информации.
Видимо, Роскомнадзор решил следовать правилу "не можешь победить - возглавь". Такое себе.
Если помните, в самом конце прошлого года, когда Дед Мороз уже раздавал хорошим детям подарки, представители финского парламента заявили, что осенью 2020 года несколько учетных записей электронной почты парламента были скомпрометированы в результате хакерской атаки со стороны неизвестной прогосударственной APT.
Финское Национальное бюро расследований (NBI) заявило тогда, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства.
Подавляющее большинство инфосек журналистов тогда начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. А значит и в случае со взломом парламента финского виноваты российские APT.
Сегодня, однако, оказалось, что все совсем не так и за атаками стояли китайцы из APT 31 aka Zirconium. По крайне мере, именно об этом заявила финская Полиция безопасности (Supo).
Zirconium - это именно та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian.
Кстати, в январе Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium. Возможно атака на финский парламент была частью киберкампании китайцев по компрометации государственных информационных ресурсов стран ЕС.
Ахъ, какой пассажъ!
Финское Национальное бюро расследований (NBI) заявило тогда, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства.
Подавляющее большинство инфосек журналистов тогда начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. А значит и в случае со взломом парламента финского виноваты российские APT.
Сегодня, однако, оказалось, что все совсем не так и за атаками стояли китайцы из APT 31 aka Zirconium. По крайне мере, именно об этом заявила финская Полиция безопасности (Supo).
Zirconium - это именно та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian.
Кстати, в январе Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium. Возможно атака на финский парламент была частью киберкампании китайцев по компрометации государственных информационных ресурсов стран ЕС.
Ахъ, какой пассажъ!
Suojelupoliisi
Suojelupoliisi tunnisti eduskuntaan kohdistuneen kybervakoiluoperaation APT31:ksi | Suojelupoliisi
В январе команда Google Project Zero начала публиковать материалы серии "В дикой природе" про свою новую программу выявления эксплуатации 0-day уязвимостей в этой самой дикой природе.
В цикле из шести статей исследователи рассказали про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Тогда хакеры использовали сразу четыре 0-day уязвимости, что само по себе весьма круто.
Никаких данных по атрибуции автора этой атаки Google тогда не привели. Судя по всему, исследователи нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но так и не смогли сделать хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Вчера Google Project Zero выпустили новый отчет, в котором рассказали про новую киберкампанию этой же хакерской группы, которая была обнаружена ими в октябре прошлого года. И в этот раз APT (а мы будем предполагать, что это именно прогосударственная APT) использовала уже семь (!) 0-day.
Project Zero нашли несколько скомпрометированных в ходе атаки на водопой легальных сайтов, которые перенаправляли посетивших их пользователей на один из двух серверов эксплойтов. Каждый из этих серверов использовал свою цепочку эксплойтов в зависимости от того, из-под какой системы работало пользовательское устройство.
Сервер эксплойтов №1 первоначально заражал только пользователей с iOS и Windows, однако когда второй сервер был отключен (судя по всему самими хакерами, обнаружившими проявление к ним интереса со стороны инфосек исследователей) он начал применять эксплойт CVE-2020-16009 к Android. Оставался активным более недели с того момента, как ресерчеры стали извлекать эксплойты.
Сервер эксплуатации №2 атаковал пользователей Android и оставался активным лишь 36 часов после обнаружения, после чего был отключен.
Всего Project Zero смогли собрать следующие эксплойты:
1. Одна полная цепочка эксплойтов, нацеленная на полностью обновленную Windows 10 с Google Chrome.
2. Две частичные цепочки, нацеленные на полностью обновленный Android с Google Chrome или Samsung Browser.
3. Эксплойты RCE и повышения привилегий для iOS 11-13.
При этом исследователи говорят, что устройства под управлением других ОС они не тестировали, поэтому нельзя сказать однозначно были или не были на серверах эксплойты, например, для Linux.
Всего ProjectZero нашли семь эксплойтов 0-day уязвимостей. При чем не факт, что это все эксплойты, которые использовались неизвестными хакерами. В одном случае хакеры продемонстрировали возможность "налету" менять один эксплойт в цепочке другим (CVE-2020-15999 на CVE-2020-16009), когда соответствующая уязвимость была исправлена производителем ПО.
Никаких новых догадок в отношении того, кто стоит за киберкампаниями, не появилось. Единственное что сказали исследователи, это обозначили возможность того, что за серверами эксплойтов стояли разные акторы, которые, тем не менее, работают скоординировано.
Каких-либо данных в отношении профилирования целей Google Project Zero по каким-то причинам не предоставляют. И это только прибавляет загадок всему происходящему.
Плюс одинадцать 0-day меньше чем за год. Рептилоиды?
В цикле из шести статей исследователи рассказали про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Тогда хакеры использовали сразу четыре 0-day уязвимости, что само по себе весьма круто.
Никаких данных по атрибуции автора этой атаки Google тогда не привели. Судя по всему, исследователи нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но так и не смогли сделать хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Вчера Google Project Zero выпустили новый отчет, в котором рассказали про новую киберкампанию этой же хакерской группы, которая была обнаружена ими в октябре прошлого года. И в этот раз APT (а мы будем предполагать, что это именно прогосударственная APT) использовала уже семь (!) 0-day.
Project Zero нашли несколько скомпрометированных в ходе атаки на водопой легальных сайтов, которые перенаправляли посетивших их пользователей на один из двух серверов эксплойтов. Каждый из этих серверов использовал свою цепочку эксплойтов в зависимости от того, из-под какой системы работало пользовательское устройство.
Сервер эксплойтов №1 первоначально заражал только пользователей с iOS и Windows, однако когда второй сервер был отключен (судя по всему самими хакерами, обнаружившими проявление к ним интереса со стороны инфосек исследователей) он начал применять эксплойт CVE-2020-16009 к Android. Оставался активным более недели с того момента, как ресерчеры стали извлекать эксплойты.
Сервер эксплуатации №2 атаковал пользователей Android и оставался активным лишь 36 часов после обнаружения, после чего был отключен.
Всего Project Zero смогли собрать следующие эксплойты:
1. Одна полная цепочка эксплойтов, нацеленная на полностью обновленную Windows 10 с Google Chrome.
2. Две частичные цепочки, нацеленные на полностью обновленный Android с Google Chrome или Samsung Browser.
3. Эксплойты RCE и повышения привилегий для iOS 11-13.
При этом исследователи говорят, что устройства под управлением других ОС они не тестировали, поэтому нельзя сказать однозначно были или не были на серверах эксплойты, например, для Linux.
Всего ProjectZero нашли семь эксплойтов 0-day уязвимостей. При чем не факт, что это все эксплойты, которые использовались неизвестными хакерами. В одном случае хакеры продемонстрировали возможность "налету" менять один эксплойт в цепочке другим (CVE-2020-15999 на CVE-2020-16009), когда соответствующая уязвимость была исправлена производителем ПО.
Никаких новых догадок в отношении того, кто стоит за киберкампаниями, не появилось. Единственное что сказали исследователи, это обозначили возможность того, что за серверами эксплойтов стояли разные акторы, которые, тем не менее, работают скоординировано.
Каких-либо данных в отношении профилирования целей Google Project Zero по каким-то причинам не предоставляют. И это только прибавляет загадок всему происходящему.
Плюс одинадцать 0-day меньше чем за год. Рептилоиды?
Гражданин России Егор Крючков, который был арестован в США в августе прошлого года за попытку подкупить сотрудника завода Tesla для внедрения вредоноса в сеть завода и последующего вымогательства, пошел на сделку с американским следствием.
Хотя изначально Крючков говорил о своей невиновности, теперь он решил соскочить на американский особый порядок и признал вину. В результате ему грозит срок от четырех до десяти месяцев и небольшой штраф в пользу Tesla.
А как дышал...
Хотя изначально Крючков говорил о своей невиновности, теперь он решил соскочить на американский особый порядок и признал вину. В результате ему грозит срок от четырех до десяти месяцев и небольшой штраф в пользу Tesla.
А как дышал...
Как можно с помощью дешевой рации вывести из строя IP-камеру? Да очень просто, знакомьтесь - EMFI-атака.
Twitter
Kevin2600
Inspired by @LockPickingLwyr and @colinoflynn EMFI attack :P Wonder if this is useful in the field @deviantollam https://t.co/W01BEwoLoj
MalwareHunterTeam обнаружили новый сэмпл ransomware REvil aka Sodinokibi, который может перезагружать атакованную машину в безопасный режим и уже там спокойно себе шифровать локальные файлы, что позволит лучше скрываться от антивирусного ПО.
Правда при этом требуется, чтобы пользователь залогинился в систему в процессе перезагрузки в безопасном режиме.
Правда при этом требуется, чтобы пользователь залогинился в систему в процессе перезагрузки в безопасном режиме.
X (formerly Twitter)
MalwareHunterTeam (@malwrhunterteam) on X
Not remember seeing these before in REvil ransomware samples.
🤔
So basically the actors using REvil now can use it to reboot target machines into safe mode with networking...
@demonslay335 @VK_Intel
🤔
So basically the actors using REvil now can use it to reboot target machines into safe mode with networking...
@demonslay335 @VK_Intel
И в конце трудной рабочей недели немного юмора.
Twitter
xssfox (She/Her)
does anyone know what type of ?spider this is?
Мы неоднократно писали, что исследователи Positive Technologies весьма успешно потрошат микрокод процессоров Intel.
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Twitter
Mark Ermolov
Wow, we (+@h0t_max and @_Dmit) have found two undocumented x86 instructions in Intel CPUs which completely control microarchitectural state (yes, they can modify microcode)
Ориентировочно 14 марта тайваньская компания Acer попала под каток ransomware REvil.
Acer - это действительно один из компьютерных гигантов, который имел в 2019 году почти 8 млрд. долларов прибыли.
REvil потребовали от тайваньцев выкуп в 50 млн. долларов, самый большой публичный выкуп в истории, а также выложили на свой сайт утечек изображения якобы украденных файлов.
BleepingComputer получили в свое распоряжение переписку представителей Acer с вымогателями, в ходе которой REvil дали тайваньцам странное предупреждение "не повторять судьбу SolarWinds". Что это значит - непонятно.
Со слов Виталия Кремеза из Advintel, его командой была обнаружена атака оператора REvil на сервер Microsoft Exchange, принадлежащий Acer. Вполне возможно, что вымогатели использовали ProxyLogon для компрометации целевой сети. Если это так, то подразделению ИБ Acer можно смело ставить кол за отсутствие грамотной процедуры обновления своих ресурсов, поскольку внеочередной патч для Exchange вышел еще 2 марта.
REvil потребовали от тайваньцев выкуп в 50 млн. долларов, самый крупный публичный выкуп на данный момент, и выложили на свой сайт утечек изображения якобы украденных файлов.
Acer - это действительно один из компьютерных гигантов, который имел в 2019 году почти 8 млрд. долларов прибыли.
REvil потребовали от тайваньцев выкуп в 50 млн. долларов, самый большой публичный выкуп в истории, а также выложили на свой сайт утечек изображения якобы украденных файлов.
BleepingComputer получили в свое распоряжение переписку представителей Acer с вымогателями, в ходе которой REvil дали тайваньцам странное предупреждение "не повторять судьбу SolarWinds". Что это значит - непонятно.
Со слов Виталия Кремеза из Advintel, его командой была обнаружена атака оператора REvil на сервер Microsoft Exchange, принадлежащий Acer. Вполне возможно, что вымогатели использовали ProxyLogon для компрометации целевой сети. Если это так, то подразделению ИБ Acer можно смело ставить кол за отсутствие грамотной процедуры обновления своих ресурсов, поскольку внеочередной патч для Exchange вышел еще 2 марта.
REvil потребовали от тайваньцев выкуп в 50 млн. долларов, самый крупный публичный выкуп на данный момент, и выложили на свой сайт утечек изображения якобы украденных файлов.
Исследователь Маркус Хатчинс пишет, что поймал на ханипот атаку со стороны ransomware BlackKingdom по использованию уязвимостей ProxyLogon в Microsoft Exchange. При этом вредоносный PowerShell-бэкдор не пытался шифровать файлы, а только оставлял записку о выкупе.
Однако, ID Ransomware заявили, что начиная с 18 марта фиксируют очередную волну атак BlackKingdom, в том числе, на сервера Microsoft Exchange. Сумма выкупа составляет 10 тыс. долларов в BTC.
Таким образом, BlackKingdom стал вторым штаммом ransomware после DearCry, в котором зашит функционал использования CVE из набора ProxyLogon. Это если не считать тот факт, что оператор REvil использовал, судя по всему, дырки в Microsoft Exchange для атаки на сеть Acer.
Впрочем, в этой истории нет ничего нового. Достаточно вспомнить как владельцы ransomware использовали дырки в необновленных Pulse VPN и другие похожие уязвимости.
Однако, ID Ransomware заявили, что начиная с 18 марта фиксируют очередную волну атак BlackKingdom, в том числе, на сервера Microsoft Exchange. Сумма выкупа составляет 10 тыс. долларов в BTC.
Таким образом, BlackKingdom стал вторым штаммом ransomware после DearCry, в котором зашит функционал использования CVE из набора ProxyLogon. Это если не считать тот факт, что оператор REvil использовал, судя по всему, дырки в Microsoft Exchange для атаки на сеть Acer.
Впрочем, в этой истории нет ничего нового. Достаточно вспомнить как владельцы ransomware использовали дырки в необновленных Pulse VPN и другие похожие уязвимости.
Twitter
MalwareTech
Someone just ran this noscript on all vulnerable Exchange servers via ProxyLogon vulnerability. It claims to be BlackKingdom "Ransomware", but it doesn't appear to encrypt files, just drops a ransom not to every directory.
Больше года назад израильская партия Ликуд, возглавляемая премьер-министром Нетаньяху, ухитрилась скомпрометировать персональные данные почти 6,5 млн. своих сторонников через дырку в мобильном приложении Elector. Причем прямо перед выборами.
Но завтра, 23 марта, в Израиле очередная итерация политического цикла - внеочередные выборы в Кнессет, местный парламент, а значит настало время для очередной утечки данных. И опять из Elector. На Ghostbin некая группа (или человек) под ником Israeli Autumn, делится обновленной базой избирателей партии Ликуд.
Очевидно, что вся эта движуха происходит в рамках внутривидовой еврейской предвыборной борьбы, но это не отменяет факта крайней криворукости создателей приложения Elector.
Паны дерутся, а у холопов чубы трещат.
Но завтра, 23 марта, в Израиле очередная итерация политического цикла - внеочередные выборы в Кнессет, местный парламент, а значит настало время для очередной утечки данных. И опять из Elector. На Ghostbin некая группа (или человек) под ником Israeli Autumn, делится обновленной базой избирателей партии Ликуд.
Очевидно, что вся эта движуха происходит в рамках внутривидовой еврейской предвыборной борьбы, но это не отменяет факта крайней криворукости создателей приложения Elector.
Паны дерутся, а у холопов чубы трещат.
Twitter
Yuval يوڤال Adam
דליפת מידע נוספת מאלקטור, והפעם בתוספת מה שנראה כמו דליפה של פנקס הבוחרים. תמשיכו להעמיד פנים שיש דבר כזה בחירות הוגנות כשתאגיד פשע מנהל פה הכל וסוחר במידע האישי שלנו.
Бен Хоукс, руководитель Google Project Zero, оставил в своем Twitter сообщение, в котором рассказал, что есть признаки того, что уязвимость CVE-2020-11261 в графическом компоненте Qualcomm для Android используется для проведения ограниченных целевых атак.
Уязвимость, представляющая собой переполнение буфера, была исправлена в январе этого года. Технических подробностей в ее отношении нет, но странно, что Google считает ее критичность высокой, а вот сам Qualcomm - средней. Предположим, что уязвимость приводит к выполнению произвольного кода, но в связи с необходимостью локального доступа для ее использования критичность была серьезно снижена.
Теперь же, как видим, она используется в дикой природе - по всей видимости, вредоносный код хакеры доставляют на атакуемое устройство посредством другой дырки.
По этой ссылке можно найти список чипсетов, подверженных CVE-2020-11261. Для некоторых может потребоваться исправление вручную.
Уязвимость, представляющая собой переполнение буфера, была исправлена в январе этого года. Технических подробностей в ее отношении нет, но странно, что Google считает ее критичность высокой, а вот сам Qualcomm - средней. Предположим, что уязвимость приводит к выполнению произвольного кода, но в связи с необходимостью локального доступа для ее использования критичность была серьезно снижена.
Теперь же, как видим, она используется в дикой природе - по всей видимости, вредоносный код хакеры доставляют на атакуемое устройство посредством другой дырки.
По этой ссылке можно найти список чипсетов, подверженных CVE-2020-11261. Для некоторых может потребоваться исправление вручную.
Twitter
Ben Hawkes
"Note: There are indications that CVE-2020-11261 may be under limited, targeted exploitation." https://t.co/NDFjKdfalz
Как сообщает DarkTracer, владельцы ransomware Babuk (оно же Babyk) заявили на своем сайте для утечек, что украли более 700 Гб данных у американской компании PDI Group. Это один из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командования спецопераций.
Babuk - это появившийся в начале года вымогатель, владельцы которого не любят BLM и ЛГБТ.
Babuk - это появившийся в начале года вымогатель, владельцы которого не любят BLM и ЛГБТ.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
BABUK gang claimed to have hacked into a defense and aerospace company and leaked internal data to DarkWeb.
Forwarded from SecurityLab.ru (Pipiggi)
Управление перспективных исследовательских проектов Министерства обороны США (Defense Advanced Research Projects Agency, DARPA) испытало нейросетевые алгоритмы виртуальным воздушным боем. Испытания были частью Фазы 1 программы Air Combat Evolution (ACE) DARPA, направленной на изучение помощи ИИ и машинного обучения в автоматизации различных аспектов воздушного боя.
Новый этап испытаний ИИ Scrimmage 1 проводился в Лаборатории прикладной физики Университета Джонса Хопкинса и включал демонстрацию моделирования столкновений «двое против одного» с двумя дружественными самолетами F-16 Fighting Falcon против скрытого вражеского самолета F-16 Fighting Falcon.
https://www.securitylab.ru/news/517682.php
Новый этап испытаний ИИ Scrimmage 1 проводился в Лаборатории прикладной физики Университета Джонса Хопкинса и включал демонстрацию моделирования столкновений «двое против одного» с двумя дружественными самолетами F-16 Fighting Falcon против скрытого вражеского самолета F-16 Fighting Falcon.
https://www.securitylab.ru/news/517682.php
SecurityLab.ru
Управляемые ИИ самолеты F-16 прошли испытания в виртуальных боях ACE
Испытания прошли в рамках программы Air Combat Evolution, направленной на изучение возможности ИИ автоматизировать различные аспекты воздушного боя.
Словаки из ESET показали статистику атак на открытые сервера Microsoft Exchange. Естественно с целью эксплуатации уязвимостей из набора ProxyLogon.
На пике 5 марта - 6,5 тысяч попыток. Масштаб внушает.
На пике 5 марта - 6,5 тысяч попыток. Масштаб внушает.
Что-то опять операторы ransomware разбушевались.
Cl0p поломали университеты Колорадо и Майями через дырку в Accellion FTA. Одна из крупнейших американских страховых компаний CNA Financial, имеющая годовой доход в 10 млрд. долларов, пострадала от атаки вымогателя, в результате которой были приостановлены ее бизнес-операции. И даже производитель отказоустойчивых серверов Stratus Technologies словил ransomware и был вынужден отключить часть систем, чтобы предотвратить распространение вредоноса.
Кстати, интересный факт, в своем заявлении Stratus сообщили, что после изолирования зараженного сегмента сети они "приступили к выполнению мероприятий плана по обеспечению непрерывности бизнеса". Это как раз то, про что мы говорили еще в прошлом году - назрела необходимость создания в крупных компаниях отдельного направления в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки вымогателя.
Но круче всех выступил крупный канадский производитель IoT Sierra Wireless (нет, это не те богоспасаемые Sierra Entertainment, которые авторы The Incredible Machine и Phantasmagoria), который ухитрился запустить ransomware в технологический сегмент своей сети, в результате чего встало производство на всех его площадках. При этом еще не понятно, получили ли хакеры доступ к чувствительным данным.
Концепция "ИБ за мелкий прайс" победно шагает по планете с подачи эффективных менеджеров. А то, что потом финансовые прогнозы приходится пересматривать, - так то ерунда. Главное успеть бонус за срезание костов освоить.
Cl0p поломали университеты Колорадо и Майями через дырку в Accellion FTA. Одна из крупнейших американских страховых компаний CNA Financial, имеющая годовой доход в 10 млрд. долларов, пострадала от атаки вымогателя, в результате которой были приостановлены ее бизнес-операции. И даже производитель отказоустойчивых серверов Stratus Technologies словил ransomware и был вынужден отключить часть систем, чтобы предотвратить распространение вредоноса.
Кстати, интересный факт, в своем заявлении Stratus сообщили, что после изолирования зараженного сегмента сети они "приступили к выполнению мероприятий плана по обеспечению непрерывности бизнеса". Это как раз то, про что мы говорили еще в прошлом году - назрела необходимость создания в крупных компаниях отдельного направления в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки вымогателя.
Но круче всех выступил крупный канадский производитель IoT Sierra Wireless (нет, это не те богоспасаемые Sierra Entertainment, которые авторы The Incredible Machine и Phantasmagoria), который ухитрился запустить ransomware в технологический сегмент своей сети, в результате чего встало производство на всех его площадках. При этом еще не понятно, получили ли хакеры доступ к чувствительным данным.
Концепция "ИБ за мелкий прайс" победно шагает по планете с подачи эффективных менеджеров. А то, что потом финансовые прогнозы приходится пересматривать, - так то ерунда. Главное успеть бонус за срезание костов освоить.
BusinessWire
Sierra Wireless Announces Ransomware Attack
Sierra Wireless (NASDAQ: SWIR) (TSX: SW), the world’s leading IoT solutions provider, today announced that it discovered it was the subject of a ranso
Мы как-то нелиепа (сборная КВН Санкт-Петербурга рулит, да) пропустили знаковый отчет швейцарской инфосек компании PRODAFT, в котором исследователи описали инфраструктуру новой APT, названную ими SilverFish.
Если вкратце, то они сумели распотрошить один из управляющих центров атаки Sunburst на компанию SolarWinds, в которой американские власти обвиняют APT, работающие на российские спецслужбы. А после этого обнаружили часть большой вредоносной инфраструктуры, которая, судя по IoC, была задействована на некоторых этапах атаки Sunburst.
А потом установили, что вредоносная инфраструктура SilverFish пересекается с вредоносной инфраструктурой Evil Corp и даже нашли связь между участвовавшими в атаке на SolarWinds серверами и ransomware WastedLocker, принадлежащем тем же Evil Corp.
Конечно, швейцарцы говорят об этой связи очень осторожно, чтобы не противоречить официальной версии о причастности к атаке Sunburst хакерских групп с "Bear" в названии.
А мы вспомним, что как только началась движуха с атакой на FireEye, которая потом оказалась частью компрометации SolarWinds, уважаемый датский инфосек исследователь Петер Крузе заявил, что FireEye стали жертвой Evil Corp и у в отношении этого есть определенные доказательства. Правда потом Крузе почему-то притих.
Связаны ли эти два факта? Действительно ли автором Sunburst является Evil Corp или аффилированная с ней группа? Мы не знаем. По крайней мере, пока.
Но если из-за проделок кибермошенников разразится новая холодная (а может и потеплее) война, то это будет ярчайшей насмешкой над тем миром, в котором мы живем сегодня.
Если вкратце, то они сумели распотрошить один из управляющих центров атаки Sunburst на компанию SolarWinds, в которой американские власти обвиняют APT, работающие на российские спецслужбы. А после этого обнаружили часть большой вредоносной инфраструктуры, которая, судя по IoC, была задействована на некоторых этапах атаки Sunburst.
А потом установили, что вредоносная инфраструктура SilverFish пересекается с вредоносной инфраструктурой Evil Corp и даже нашли связь между участвовавшими в атаке на SolarWinds серверами и ransomware WastedLocker, принадлежащем тем же Evil Corp.
Конечно, швейцарцы говорят об этой связи очень осторожно, чтобы не противоречить официальной версии о причастности к атаке Sunburst хакерских групп с "Bear" в названии.
А мы вспомним, что как только началась движуха с атакой на FireEye, которая потом оказалась частью компрометации SolarWinds, уважаемый датский инфосек исследователь Петер Крузе заявил, что FireEye стали жертвой Evil Corp и у в отношении этого есть определенные доказательства. Правда потом Крузе почему-то притих.
Связаны ли эти два факта? Действительно ли автором Sunburst является Evil Corp или аффилированная с ней группа? Мы не знаем. По крайней мере, пока.
Но если из-за проделок кибермошенников разразится новая холодная (а может и потеплее) война, то это будет ярчайшей насмешкой над тем миром, в котором мы живем сегодня.
Команда сайта обзоров WizCase рассказала о крупномасштабной утечке информации онлайн-брокера FBS, которую они обнаружили в октябре 2020 года.
FBS - это один из крупнейших онлайн-брокеров на Forex, который работает с 16 млн. трейдеров.
Осенью WizCase нашли криво настроенный Elasticsearch-сервер, принадлежащий FBS, который содержал в общей сложности 20 Тб данных в виде 16 миллиардов записей о клиентах брокера. Среди них - полные ФИО, электронная почта, физические адреса, номера телефонов, IP-адреса, фотографии паспортов и банковские карты и пр.
Плюс там были идентификаторы клиентов FBS, незашифрованные пароли в base64, логи входов и ссылки для сброса пароля. Соответственно все сведения были открыты для публики.
Сколько точно по времени это происходило - непонятно. WizCase нашли сервер 1 октября, сообщили в FBS, а 5 октября брокер все исправил.
Протекло так протекло.
FBS - это один из крупнейших онлайн-брокеров на Forex, который работает с 16 млн. трейдеров.
Осенью WizCase нашли криво настроенный Elasticsearch-сервер, принадлежащий FBS, который содержал в общей сложности 20 Тб данных в виде 16 миллиардов записей о клиентах брокера. Среди них - полные ФИО, электронная почта, физические адреса, номера телефонов, IP-адреса, фотографии паспортов и банковские карты и пр.
Плюс там были идентификаторы клиентов FBS, незашифрованные пароли в base64, логи входов и ссылки для сброса пароля. Соответственно все сведения были открыты для публики.
Сколько точно по времени это происходило - непонятно. WizCase нашли сервер 1 октября, сообщили в FBS, а 5 октября брокер все исправил.
Протекло так протекло.