ZeroDay сообщает, что исследователи из Malwarebytes нашли наконец способ полного удаления с Android-устройств трояна xHelper, который стал на этой неделе одним из главных информационных поводов в инфосек.
Напомним, что xHelper впервые был выявлен в марте 2019 года и стал широко известен благодаря тому, что полностью вычистить его с устройства не помогал даже сброс к заводским настройкам.
Последовательность действий для окончательного удаления xHelper приведена в статье - https://www.zdnet.com/article/theres-finally-a-way-to-remove-xhelper-the-unremovable-android-malware/#ftag=RSSbaffb68
Напомним, что xHelper впервые был выявлен в марте 2019 года и стал широко известен благодаря тому, что полностью вычистить его с устройства не помогал даже сброс к заводским настройкам.
Последовательность действий для окончательного удаления xHelper приведена в статье - https://www.zdnet.com/article/theres-finally-a-way-to-remove-xhelper-the-unremovable-android-malware/#ftag=RSSbaffb68
ZDNET
There's finally a way to remove xHelper, the unremovable Android malware
Malwarebytes researchers find a way to remove the malware, but they still don't know how it really operates.
Мы уже писали про выявленные американскими исследователями уязвимости BLE (Bluetooth Low Energy), позволяющие перехватывать управление электроскутерами.
Теперь подключились их сингапурские коллеги.
Группа ученых из Сингапурского университета технологий и дизайна (SUTD) опубликовала на этой неделе отчет, согласно которому в прошлом году ими был выявлен целый ряд уязвимостей BLE, которые объединены под общим названием SweynTooth.
Все эти уязвимости касаются BLE SDK, который предоставляется производителями чипсетов на кристалле SoC, и позволяют производить различные атаки вплоть до получения контроля над устройствами, в которых стоит уязвимый SoC.
Естественно, что для реализации атаки взломщик должен находится в радиусе действия BLE, то есть рядом с атакуемым устройством.
Исследователи назвали 6 производителей SoC, которые уже выпустили патчи, устраняющие уязвимости SweynTooth. Однако, по их словам, на этом список не исчерпывается.
В числе компаний, использующих уязвимый SoC в своих устройствах, - FitBit, Samsung и Xiaomi. В перечне уязвимых устройств - фитнес-браслеты, смарт-вилки (?), умные дверные замки, трекеры для домашних животных, системы управления умного дома, интеллектуальные световые решения, будильники, глюкометры и различные другие носимые и медицинские устройства.
Хотелось бы пошутить про ЗОЖ-Апокалипсис ("и восстали фитнес-браслеты и глюкометры из пепла и ядерного огня"), но уязвимые медицинские устройства - это серьезно.
https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/#ftag=RSSbaffb68
Теперь подключились их сингапурские коллеги.
Группа ученых из Сингапурского университета технологий и дизайна (SUTD) опубликовала на этой неделе отчет, согласно которому в прошлом году ими был выявлен целый ряд уязвимостей BLE, которые объединены под общим названием SweynTooth.
Все эти уязвимости касаются BLE SDK, который предоставляется производителями чипсетов на кристалле SoC, и позволяют производить различные атаки вплоть до получения контроля над устройствами, в которых стоит уязвимый SoC.
Естественно, что для реализации атаки взломщик должен находится в радиусе действия BLE, то есть рядом с атакуемым устройством.
Исследователи назвали 6 производителей SoC, которые уже выпустили патчи, устраняющие уязвимости SweynTooth. Однако, по их словам, на этом список не исчерпывается.
В числе компаний, использующих уязвимый SoC в своих устройствах, - FitBit, Samsung и Xiaomi. В перечне уязвимых устройств - фитнес-браслеты, смарт-вилки (?), умные дверные замки, трекеры для домашних животных, системы управления умного дома, интеллектуальные световые решения, будильники, глюкометры и различные другие носимые и медицинские устройства.
Хотелось бы пошутить про ЗОЖ-Апокалипсис ("и восстали фитнес-браслеты и глюкометры из пепла и ядерного огня"), но уязвимые медицинские устройства - это серьезно.
https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/#ftag=RSSbaffb68
ZDNet
Bluetooth LE devices impacted by SweynTooth vulnerabilities
BLE software kits from six chipset vendors impacted. More vendor names to be revealed soon.
Немного субботнего инфосек юмора.
В последние дни по сети разошлась памятка обеспокоенным британским родителям, в которой указаны признаки того, что их нежное чадо может стать хакером. Якобы за авторством британского National Crime Agency (NCA).
Среди опасных увлечений - использование Kali Linux, Discord и виртуальных машин (sic!).
NCA свою причастность отрицает.
Полагаем, что единственным необходимым и достаточным признаком склонности к хакерству является наличие у ребенка компьютера.
Хочешь для своего отпрыска счастливого будущего - выкинь его компьютер на хрен. Пусть считает на счетах, гаденыш!
В последние дни по сети разошлась памятка обеспокоенным британским родителям, в которой указаны признаки того, что их нежное чадо может стать хакером. Якобы за авторством британского National Crime Agency (NCA).
Среди опасных увлечений - использование Kali Linux, Discord и виртуальных машин (sic!).
NCA свою причастность отрицает.
Полагаем, что единственным необходимым и достаточным признаком склонности к хакерству является наличие у ребенка компьютера.
Хочешь для своего отпрыска счастливого будущего - выкинь его компьютер на хрен. Пусть считает на счетах, гаденыш!
МИД Австрии объявил, что полностью избавился от последствий атаки на свою корпоративную сеть. Сама атака началась 4 января этого года и, по сообщениям австрийского ведомства, была направлена на сбор конфиденциальной информации МИД.
Местные эксперты, ничтоже сумняшеся, тут же объявили российские госструктуры причастными к кибератаке. А местная государственная радиостанция Österreichischer Rundfunk (ORF) прямо обвинило полулегендарную хакерскую группу Turla в реализации атаки.
Turla обвиняют в кибершпионаже с 2008 года и связывают ее с российскими разведывательными службами.
Никаких доказательств кроме "это очень сложная атака на государственную структуру поэтому это русские!", как обычно, нет. Поэтому очередное highly likely.
Интересно, однако, то, что в течение целых полутора месяцев местный инфосек воевал с хакерами на просторах сети МИД. Это, действительно, хорошая и красивая заварушка. Такого масштаба битвы случаются нечасто.
#ХроникиСвободногоМира
https://securityaffairs.co/wordpress/97879/intelligence/austrias-foreign-ministry-attack.html
Местные эксперты, ничтоже сумняшеся, тут же объявили российские госструктуры причастными к кибератаке. А местная государственная радиостанция Österreichischer Rundfunk (ORF) прямо обвинило полулегендарную хакерскую группу Turla в реализации атаки.
Turla обвиняют в кибершпионаже с 2008 года и связывают ее с российскими разведывательными службами.
Никаких доказательств кроме "это очень сложная атака на государственную структуру поэтому это русские!", как обычно, нет. Поэтому очередное highly likely.
Интересно, однако, то, что в течение целых полутора месяцев местный инфосек воевал с хакерами на просторах сети МИД. Это, действительно, хорошая и красивая заварушка. Такого масштаба битвы случаются нечасто.
#ХроникиСвободногоМира
https://securityaffairs.co/wordpress/97879/intelligence/austrias-foreign-ministry-attack.html
Security Affairs
The cyber attack against Austria's foreign ministry has ended
Austria's foreign ministry announced that the cyber attack against its systems, allegedly carried by a state actor has ended.
Некоммерческая организация IOTA Foundation, приостановила функционирование одноименной криптовалюты IOTA после взлома официального кошелька Trinity 12 февраля.
Хакеры, воспользовавшись уязвимостью приложения, вывели с 10 аккаунтов более 1,6 млн. долларов.
В настоящее время IOTA занимает 23 место в CoinMarketCap по размеру рыночной капитализации криптовалюты. На фоне произошедшего взлома и последующей заморозки функционирования цена IOTA упала почти на 20% до 0,29 долларов.
Взлом как инструмент биржевых войн.
https://www.zdnet.com/article/iota-cryptocurrency-shuts-down-entire-network-after-wallet-hack/#ftag=RSSbaffb68
Хакеры, воспользовавшись уязвимостью приложения, вывели с 10 аккаунтов более 1,6 млн. долларов.
В настоящее время IOTA занимает 23 место в CoinMarketCap по размеру рыночной капитализации криптовалюты. На фоне произошедшего взлома и последующей заморозки функционирования цена IOTA упала почти на 20% до 0,29 долларов.
Взлом как инструмент биржевых войн.
https://www.zdnet.com/article/iota-cryptocurrency-shuts-down-entire-network-after-wallet-hack/#ftag=RSSbaffb68
ZDNET
IOTA cryptocurrency shuts down entire network after wallet hack
Hackers exploit vulnerability in official IOTA wallet to steal millions
А между тем в наш уютный инфосек подвезли молочных желез (модифицированных).
Французская компания NextMotion, специализирующаяся на разработке ПО для визуализации и учета лечения пациентов пластической хирургии, разместила пользовательские данные в облаке Amazon S3. И, естественно, они утекли.
Утекли они, правда, к исследователям vpnMentor, которые тестировали на проникновение случайно выбранные компании. По их информации, данные NextMotion, в числе прочего, содержали более 100 тыс. изображений лиц и «особо чувствительных участков тела» пациентов.
Французы сообщили, что немедленно все поправили. Тем не менее, получил ли кто-нибудь еще доступ к скомпрометированной БД не ясно. Так что история, вполне может быть, еще не закончена.
https://securityaffairs.co/wordpress/97905/data-breach/nextmotion-plastic-surgery-dataleak.html
Французская компания NextMotion, специализирующаяся на разработке ПО для визуализации и учета лечения пациентов пластической хирургии, разместила пользовательские данные в облаке Amazon S3. И, естественно, они утекли.
Утекли они, правда, к исследователям vpnMentor, которые тестировали на проникновение случайно выбранные компании. По их информации, данные NextMotion, в числе прочего, содержали более 100 тыс. изображений лиц и «особо чувствительных участков тела» пациентов.
Французы сообщили, что немедленно все поправили. Тем не менее, получил ли кто-нибудь еще доступ к скомпрометированной БД не ясно. Так что история, вполне может быть, еще не закончена.
https://securityaffairs.co/wordpress/97905/data-breach/nextmotion-plastic-surgery-dataleak.html
Security Affairs
NextMotion plastic surgery tech firm data leak ____
Photos and personal information of patients of the NextMotion plastic surgery tech firm have been exposed online through an unsecured S3 bucket.
Следующие пошли!
Похоже, что коронавирус серьезно изменит ландшафт ИТ конференций, по крайней мере в 2020 году.
Мы уже писали, что на фоне отмены MWC в Барселоне по индустрии ходит информация о возможной отмене ПМЭФ.
Эта тенденция продолжает наблюдаться - организаторы сразу двух азиатских конференций Black Hat Asia и DEF CON China объявили об отмене мероприятий.
DEF CON China планировалось провести во второй половине апреля в Пекине и ее отмена выглядит вполне логичной на фоне карантинных мер, принимаемых китайским правительством.
Black Hat Asia же должна была пройти с 31 марта по 3 апреля в Сингапуре, где на 17 февраля зарегистрировано 75 инфицированных коронавирусом. Видимо, складывающаяся эпидемиологическая ситуация вызывает опасения у властей островного государства, в связи с чем Black Hat Asia переносится на осень. Даты пока не определены.
Гадаем кто отменится дальше.
#коронавирус
https://securityaffairs.co/wordpress/97937/security/coronavirus-outbreak-events-asia.html
Похоже, что коронавирус серьезно изменит ландшафт ИТ конференций, по крайней мере в 2020 году.
Мы уже писали, что на фоне отмены MWC в Барселоне по индустрии ходит информация о возможной отмене ПМЭФ.
Эта тенденция продолжает наблюдаться - организаторы сразу двух азиатских конференций Black Hat Asia и DEF CON China объявили об отмене мероприятий.
DEF CON China планировалось провести во второй половине апреля в Пекине и ее отмена выглядит вполне логичной на фоне карантинных мер, принимаемых китайским правительством.
Black Hat Asia же должна была пройти с 31 марта по 3 апреля в Сингапуре, где на 17 февраля зарегистрировано 75 инфицированных коронавирусом. Видимо, складывающаяся эпидемиологическая ситуация вызывает опасения у властей островного государства, в связи с чем Black Hat Asia переносится на осень. Даты пока не определены.
Гадаем кто отменится дальше.
#коронавирус
https://securityaffairs.co/wordpress/97937/security/coronavirus-outbreak-events-asia.html
Security Affairs
Organizers of major hacking conferences in Asia put them on hold due to Coronavirus outbreak
Organizers of Black Hat Asia and DEF CON China security conferences announced that they put the events on hold due to the Coronavirus outbreak.
Медовая ловушка для израильских солдат или как Сара Орлова подрывала еврейскую боеготовность.
По заявлению Сил обороны Израиля (IDF), представители палестинского движения ХАМАС под видом молодых еврейских девушек склоняют израильских солдат к установке вредоносного ПО на свои смартфоны.
Палестинцы создали в Facebook, Instagram и Telegram поддельные аккаунты шести девушек, которые, якобы, являлись иммигрантками, в силу чего не владели ивритом. Из-под этих учеток молодые палестинские хакеры склоняли израильских солдат к установке фейковых чат-приложений, которые на самом деле являлись вредоносами.
Примечательный факт - двух поддельных соблазнительниц звали Сара Орлова и Марина Якобова.
По мнению израильской инфосек компании Check Point, за атакой возможно стоит группа APT-C-23, действующая с лета 2018 года.
Мы же полагаем, что это попытка ответных действий палестинцев на большие кибератаки на должностных лиц Палестины, которые периодически происходят на Ближнем Востоке. Пусть и неумелая.
https://www.zdnet.com/article/israeli-military-tricked-into-installing-malware-by-hamas-agents-posing-as-women/#ftag=RSSbaffb68
По заявлению Сил обороны Израиля (IDF), представители палестинского движения ХАМАС под видом молодых еврейских девушек склоняют израильских солдат к установке вредоносного ПО на свои смартфоны.
Палестинцы создали в Facebook, Instagram и Telegram поддельные аккаунты шести девушек, которые, якобы, являлись иммигрантками, в силу чего не владели ивритом. Из-под этих учеток молодые палестинские хакеры склоняли израильских солдат к установке фейковых чат-приложений, которые на самом деле являлись вредоносами.
Примечательный факт - двух поддельных соблазнительниц звали Сара Орлова и Марина Якобова.
По мнению израильской инфосек компании Check Point, за атакой возможно стоит группа APT-C-23, действующая с лета 2018 года.
Мы же полагаем, что это попытка ответных действий палестинцев на большие кибератаки на должностных лиц Палестины, которые периодически происходят на Ближнем Востоке. Пусть и неумелая.
https://www.zdnet.com/article/israeli-military-tricked-into-installing-malware-by-hamas-agents-posing-as-women/#ftag=RSSbaffb68
ZDNET
Israeli soldiers tricked into installing malware by Hamas agents posing as women
IDF: Six social media accounts were redirecting soldiers to installing three malware-infected apps.
Большой отчет израильской компании ClearSky в отношении атак проиранских хакерских группировок на VPN в 2019 году продолжает целый ряд публикаций, которые появились в западных СМИ в году текущем.
По данным израильтян, конечной целью иранских хакеров являются компании "из сектора информационных технологий, телекоммуникаций, нефти и газа, авиации, правительства и сектора безопасности".
В докладе ClearSky подчеркивается, что атаки на VPN-серверы по всему миру, по-видимому(!), являются работой, по меньшей мере, трех иранских групп, а именно APT33 (Elfin, Shamoon), APT34 (Oilrig) и APT39 (Chafer).
За ставшей в последнее время привычной риторикой относительно highly likely агрессивных действий иранских киберпрокси, по нашему мнению, скрывается подготовка к большому бадабуму.
Смотрим – в январе появилась публикация американской инфосек компании Recorded Future относительно атак иранских хакерских группировок на европейский энергетический сектор. Фактуры практически нет, а вот сама компания – плод венчурной политики ЦРУ через подручный фонд In-Q-Tel.
Далее – израильский министр энергетики объявляет, что отбита иранская атака на энергетический сектор Израиля. Потом ФБР выпускает официальное предупреждение о том, что иранские киберпрокси нацелены на индустриальный сектор США, в первую очередь – на энергетику.
Совпадение? Не думаю (с)
Если вспомнить, что новая ядерная доктрина США, опубликованная 2 года назад, предусматривает возможность нанесения ядерного удара в ответ на неядерное воздействие, включая кибератаки, на американскую инфраструктуру, то становится не по себе.
Судя по всему, в полный рост идет информационно-пропагандистская кампания, которая предназначена для подготовки общественного мнения к принятию последующих военных действий против Ирана. Ибо геополитический расклад максимально соответствует - Китай полностью увяз в коронавирусе и вряд ли способен в это году играть актора на международной арене, Россия вот вот сцепится с Турцией на сирийском направлении, а тут такой "законный" повод для маленькой ближневосточной войнушки нарисовывается. Точнее сами рисуют.
Поэтому надо внимательнее относится к новостям из отрасли информационной безопасности – а вдруг в них вестник Апокалипсиса.
https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/
По данным израильтян, конечной целью иранских хакеров являются компании "из сектора информационных технологий, телекоммуникаций, нефти и газа, авиации, правительства и сектора безопасности".
В докладе ClearSky подчеркивается, что атаки на VPN-серверы по всему миру, по-видимому(!), являются работой, по меньшей мере, трех иранских групп, а именно APT33 (Elfin, Shamoon), APT34 (Oilrig) и APT39 (Chafer).
За ставшей в последнее время привычной риторикой относительно highly likely агрессивных действий иранских киберпрокси, по нашему мнению, скрывается подготовка к большому бадабуму.
Смотрим – в январе появилась публикация американской инфосек компании Recorded Future относительно атак иранских хакерских группировок на европейский энергетический сектор. Фактуры практически нет, а вот сама компания – плод венчурной политики ЦРУ через подручный фонд In-Q-Tel.
Далее – израильский министр энергетики объявляет, что отбита иранская атака на энергетический сектор Израиля. Потом ФБР выпускает официальное предупреждение о том, что иранские киберпрокси нацелены на индустриальный сектор США, в первую очередь – на энергетику.
Совпадение? Не думаю (с)
Если вспомнить, что новая ядерная доктрина США, опубликованная 2 года назад, предусматривает возможность нанесения ядерного удара в ответ на неядерное воздействие, включая кибератаки, на американскую инфраструктуру, то становится не по себе.
Судя по всему, в полный рост идет информационно-пропагандистская кампания, которая предназначена для подготовки общественного мнения к принятию последующих военных действий против Ирана. Ибо геополитический расклад максимально соответствует - Китай полностью увяз в коронавирусе и вряд ли способен в это году играть актора на международной арене, Россия вот вот сцепится с Турцией на сирийском направлении, а тут такой "законный" повод для маленькой ближневосточной войнушки нарисовывается. Точнее сами рисуют.
Поэтому надо внимательнее относится к новостям из отрасли информационной безопасности – а вдруг в них вестник Апокалипсиса.
https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/
ZDNET
Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world
Iranian hackers have targeted Pulse Secure, Fortinet, Palo Alto Networks, and Citrix VPNs to hack into large companies.
Широко известный в узких кругах инфосек эксперт Thaddeus E. Grugq разразился намедни душевными терзаниями в своем Twitter.
"Я перестал публично заниматься OPSEC, когда узнал, что моими гайдами пользуются люди, который преследуют детей. Я был раздавлен, уничтожен, потрясен!" - переживает Grugq и продолжает - "Повсюду в инфосек есть моральные и этические ловушки. Некоторые из тех людей, которым вы помогаете, - плохие люди!"
Мы бы посочувствовали Таддеушу, да вот только это тот самый Grugq, который 8 лет назад являлся посредником по продаже 0-day эксплойтов и который отказывался отрывать от стула свой, извиняемся, афедрон если ценник был меньше 50 тыс. баксов. Причем клиентов гражданин не сортировал.
Вы прослушали урок "Избирательная мораль и ее практическое применение".
https://twitter.com/thegrugq/status/1229108307207442432
"Я перестал публично заниматься OPSEC, когда узнал, что моими гайдами пользуются люди, который преследуют детей. Я был раздавлен, уничтожен, потрясен!" - переживает Grugq и продолжает - "Повсюду в инфосек есть моральные и этические ловушки. Некоторые из тех людей, которым вы помогаете, - плохие люди!"
Мы бы посочувствовали Таддеушу, да вот только это тот самый Grugq, который 8 лет назад являлся посредником по продаже 0-day эксплойтов и который отказывался отрывать от стула свой, извиняемся, афедрон если ценник был меньше 50 тыс. баксов. Причем клиентов гражданин не сортировал.
Вы прослушали урок "Избирательная мораль и ее практическое применение".
https://twitter.com/thegrugq/status/1229108307207442432
Twitter
thaddeus e. grugq
I stopped doing OPSEC publicly when I learned my security guides were being used by child abusers. I was disgusted, shaken, very upset. But then I learned that people escaping abusive relationships were using my stuff too. I was told: “you literally saved…
Мы тут гадали, какая же конференция схлопнется из-за эпидемии коронавируса следующей. А нам на почту кинули ссылку на новость, что следующим сливается не мероприятие, а ключевой спонсор.
IBM объявила, что отменяет свое участие (в том числе как спонсор) в конференции RSA 2020 из-за ситуации с коронавирусом COVID-2019, поскольку их primary concern - это здоровье сотрудников компании.
Ну, молодцы! - подумали мы. А потом вспомнили, что RSA Conference 2020 должна пройти в Сан-Франциско уже через неделю, с 24 по 28 февраля. То есть одна из ведущих американских ИТ-компаний отказывается от участия в большой конференции, которая проходит на территории США же, из-за COVID-2019.
Может пора за противогазами уже бежать... (нет).
#коронавирус
IBM объявила, что отменяет свое участие (в том числе как спонсор) в конференции RSA 2020 из-за ситуации с коронавирусом COVID-2019, поскольку их primary concern - это здоровье сотрудников компании.
Ну, молодцы! - подумали мы. А потом вспомнили, что RSA Conference 2020 должна пройти в Сан-Франциско уже через неделю, с 24 по 28 февраля. То есть одна из ведущих американских ИТ-компаний отказывается от участия в большой конференции, которая проходит на территории США же, из-за COVID-2019.
Может пора за противогазами уже бежать... (нет).
#коронавирус
Twitter
IBM Security
The health of IBMers is our primary concern as we continue to monitor upcoming events and travel relative to Novel Coronavirus (COVID-19). We are cancelling our participation in this year's RSA conference.
Нам тут подсказывают, что Илья Константинович Сачков, ведущий эксперт всех экспертных групп на свете и, по совместительству, глава Group-IB так и не бросил своих плохих привычек бычить на всех окружающих по любому поводу.
Не далее как 3 с половиной месяца назад г-н Сачков пытался бороться с нелегальной миграцией посредством выпила киргизского таксиста из своего травматического пистолета. Пруфов на то, что иностранец злонамерено пытался убиться об его ствол, Илья Константинович нам так и не предоставил. Хотя обещал.
Теперь же, Сачков решил применить инновационные методы headhunting'а - под угрозой пистолета и изнасилования переманить к себе на работу Антона Окошкина, технического директора BIZONE.
Сотрудник же дочки Сбербанка, памятуя заветы г-на Грефа о PR'е с человеческим лицом, насадил Илье Константиновичу в жбан. После чего гендир Group-IB ушел к себе в номер дабы переварить полученный experience.
Произошло же сие действо не далее как вчера в вечернем караоке XII Уральского форума "Информационная безопасность финансовой сферы", проходящего в Магнитогорске, где оба дуэлянта выступали в качестве докладчиков.
Ждем веселых мемасиков в канальчике Group-IB.
Не далее как 3 с половиной месяца назад г-н Сачков пытался бороться с нелегальной миграцией посредством выпила киргизского таксиста из своего травматического пистолета. Пруфов на то, что иностранец злонамерено пытался убиться об его ствол, Илья Константинович нам так и не предоставил. Хотя обещал.
Теперь же, Сачков решил применить инновационные методы headhunting'а - под угрозой пистолета и изнасилования переманить к себе на работу Антона Окошкина, технического директора BIZONE.
Сотрудник же дочки Сбербанка, памятуя заветы г-на Грефа о PR'е с человеческим лицом, насадил Илье Константиновичу в жбан. После чего гендир Group-IB ушел к себе в номер дабы переварить полученный experience.
Произошло же сие действо не далее как вчера в вечернем караоке XII Уральского форума "Информационная безопасность финансовой сферы", проходящего в Магнитогорске, где оба дуэлянта выступали в качестве докладчиков.
Ждем веселых мемасиков в канальчике Group-IB.
Сообщения сразу о двух уязвимостях в плагинах WordPress появились сегодня на инфосек ресурсах.
Первая касается ThemeGrill Demo Importer, плагина, который поставляется с темами от ThemeGrill. Плагин установлен более чем на 200 тыс. сайтах.
По данным инфосек компании, версии плагина с 1.3.4 по 1.6.1 подвержены удаленной атаке, которая позволяет вайпнуть базу данных атакованного сайта, а также, в случае если в БД есть запись "admin", войти после этого с привилегиями администратора.
В прошедшие выходные ThemeGrill оперативно выпустили версию 1.6.2, в котором уязвимость устранена. Однако, как мы все знаем, не все ответственные лица вовремя проводят апдейт, поэтому возможны эксцессы.
https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/
Первая касается ThemeGrill Demo Importer, плагина, который поставляется с темами от ThemeGrill. Плагин установлен более чем на 200 тыс. сайтах.
По данным инфосек компании, версии плагина с 1.3.4 по 1.6.1 подвержены удаленной атаке, которая позволяет вайпнуть базу данных атакованного сайта, а также, в случае если в БД есть запись "admin", войти после этого с привилегиями администратора.
В прошедшие выходные ThemeGrill оперативно выпустили версию 1.6.2, в котором уязвимость устранена. Однако, как мы все знаем, не все ответственные лица вовремя проводят апдейт, поэтому возможны эксцессы.
https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/
Patchstack
Critical Issue In ThemeGrill Demo Importer - Patchstack
There is a critical vulnerability in ThemeGrill Demo Importer that leads to database wipe and auth bypass. In the versions 1.3.4 and above.
Вторая уязвимость WordPress (CVE-2020-9043) обнаружена командой Wordfence в плагине wpCentral, установленном на более чем 60 тыс. сайтах.
Уязвимость позволяет любому пользователю повысить свои привилегии до уровня администратора, а также дистанционно управлять сайтом через административную панель wpCentral.
Разработчик также оперативно отреагировал на информацию об уязвимости и 14 февраля выпустил исправленную версию 1.5.2.
Описание уязвимости - в блоге Wordfence.
https://www.wordfence.com/blog/2020/02/vulnerability-in-wpcentral-plugin-leads-to-privilege-escalation/
Уязвимость позволяет любому пользователю повысить свои привилегии до уровня администратора, а также дистанционно управлять сайтом через административную панель wpCentral.
Разработчик также оперативно отреагировал на информацию об уязвимости и 14 февраля выпустил исправленную версию 1.5.2.
Описание уязвимости - в блоге Wordfence.
https://www.wordfence.com/blog/2020/02/vulnerability-in-wpcentral-plugin-leads-to-privilege-escalation/
Wordfence
Vulnerability in wpCentral Plugin Leads to Privilege Escalation
Denoscription: Improper Access Control to Privilege Escalation Affected Plugin: wpCentral Affected Versions: <= 1.5.0 CVE ID: CVE-2020-9043 CVSS Score: 8.8 (High) CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H Patched Version: 1.5.1 On February 13th…
Хакеры из OurMine опять хулиганят.
Мы уже писали, что члены группы взломали официальные аккаунты Facebook в Twitter и Instagram.
15 февраля они добрались до официальных аккаунтов футбольного клуба Барселона, Олимпийских игр и МОК в Twitter.
В письме в адрес Business Insider члены OurMine подтвердили, что использовали уязвимости в стороннем приложении для того, чтобы получить доступ к аккаунтам. Судя по всему, речь идет все о том же приложении Khoros, которое используется в маркетинге и PR.
Кстати, по данным NBC News, группа базируется в Саудовской Аравии.
https://www.businessinsider.com/olympics-fc-barcelona-twitter-accounts-hacked-by-our-mine-2020-2?r=US&IR=T
Мы уже писали, что члены группы взломали официальные аккаунты Facebook в Twitter и Instagram.
15 февраля они добрались до официальных аккаунтов футбольного клуба Барселона, Олимпийских игр и МОК в Twitter.
В письме в адрес Business Insider члены OurMine подтвердили, что использовали уязвимости в стороннем приложении для того, чтобы получить доступ к аккаунтам. Судя по всему, речь идет все о том же приложении Khoros, которое используется в маркетинге и PR.
Кстати, по данным NBC News, группа базируется в Саудовской Аравии.
https://www.businessinsider.com/olympics-fc-barcelona-twitter-accounts-hacked-by-our-mine-2020-2?r=US&IR=T
Business Insider
'Everything is hackable' warns cyber group after hacking the Olympics and FC Barcelona Twitter accounts and posting about private…
The hackers claimed to have read private messages that indicated a popular player was heading back to FC Barcelona. Twitter confirmed the hacks.
В нашем мире все меняется - времена года, мода, люди и даже Владимир Рудольфович Соловьев (tm).
Не меняется одно - наплевательское отношение корпорации Microsoft к вопросам информационной безопасности.
Исследователь Jan Kopriva (https://twitter.com/jk0pr) в ходе изучения системы прав доступа к локальным данным в Windows обнаружил интересный баг.
Суть его в том, что, подобно уязвимым процессам аутентификации пользователей в web-приложениях, Windows возвращает разные значения, когда пользователь пытается получить доступ к содержимому папки или файлу, на чтение которых у него нет соответствующих прав.
Таким образом, методом перебора можно получить структуру изучаемой папки и имена содержащихся в них файлов.
На первый взгляд - баг весьма безобидный.
Но только не в том случае, когда по какой-либо причине возникла возможность доступа непривилегированного пользователя к подпапке, которая содержится в недоступной папке. Как показывает Jan Kopriva - при таких условиях можно получить доступ к ее содержимому.
Исследователь проинформировал Microsoft Security Response Center об этой уязвимости, после чего сотрудники корпорациисразу же выпустили патч, устраняющий баг сказали "Пф-ф-ф-ф..." и не стали ничего делать.
И это на фоне, когда Microsoft активно продвигает(https://www.zdnet.com/article/microsoft-to-deploy-electionguard-voting-software-for-the-first-time-tomorrow/) свое ПО для голосования ElectionGuard. Похоже, что выборы Президента США будут веселыми.
P.S. В обсуждении бага предполагают, что данный побочный эффект, возможно, может быть устранен путем отключения "Bypass traverse checking" у соответствующего пользователя.
https://isc.sans.edu/diary/rss/25816
Не меняется одно - наплевательское отношение корпорации Microsoft к вопросам информационной безопасности.
Исследователь Jan Kopriva (https://twitter.com/jk0pr) в ходе изучения системы прав доступа к локальным данным в Windows обнаружил интересный баг.
Суть его в том, что, подобно уязвимым процессам аутентификации пользователей в web-приложениях, Windows возвращает разные значения, когда пользователь пытается получить доступ к содержимому папки или файлу, на чтение которых у него нет соответствующих прав.
Таким образом, методом перебора можно получить структуру изучаемой папки и имена содержащихся в них файлов.
На первый взгляд - баг весьма безобидный.
Но только не в том случае, когда по какой-либо причине возникла возможность доступа непривилегированного пользователя к подпапке, которая содержится в недоступной папке. Как показывает Jan Kopriva - при таких условиях можно получить доступ к ее содержимому.
Исследователь проинформировал Microsoft Security Response Center об этой уязвимости, после чего сотрудники корпорации
И это на фоне, когда Microsoft активно продвигает(https://www.zdnet.com/article/microsoft-to-deploy-electionguard-voting-software-for-the-first-time-tomorrow/) свое ПО для голосования ElectionGuard. Похоже, что выборы Президента США будут веселыми.
P.S. В обсуждении бага предполагают, что данный побочный эффект, возможно, может быть устранен путем отключения "Bypass traverse checking" у соответствующего пользователя.
https://isc.sans.edu/diary/rss/25816
SANS Internet Storm Center
InfoSec Handlers Diary Blog
Американские спецслужбы CIA и NSA, более известные как ЦРУ и АНБ соответственно, - как неразлучная пара бурундуков Чип и Дейл из известного мультсериала. Там где обделался Чип поможет Дейл, и наоборот.
Вот и в очередной раз, не успело ЦРУ потерять свои позиции в качестве поставщика "надежного" шифрования для правительств сотни стран мира (мы, конечно же, про Crypto AG) - АНБ тут как тут, спешит на помощь!
Как сообщает SecurityWeek, компания Enveil, расположенная в штате Мэриленд, объявила, что получила финансирование в размере 10 млн. долл. США. Основной продукт фирмы – ПО ZeroReveal, предназначенное для шифрования данных во время их использования или обработки.
Компания молодая – основана в 2016 году дамой по имени Эллисон Уильямс, которая, по невероятному совпадению, до момента основания своего ИТ стартапа в течение 12 лет работала над подобным проектом в АНБ. А потом просто ушла из спецслужбы и забрала технологию с собой.
В любом приличном диктаторском режиме бывшую сотрудницу за такое посадили бы в тюрьму. Да и не в диктаторском тоже. А вот в самых демократичных на свете США Уильямс не только не тронули пальцем, но даже дали много денег (сарказм).
Поэтому, если увидите продукт под названием ZeroReveal либо другое крипто ПО от Enveil - не трогайте его, ибо это АНБшная гадость.
Кстати, одним из первых инвесторов в стартап стал In-Q-Tel, карманный венчурный фонд ЦРУ. Мы же говорим – Чип и Дейл.
https://www.securityweek.com/encryption-firm-nsa-roots-raises-10-million
Вот и в очередной раз, не успело ЦРУ потерять свои позиции в качестве поставщика "надежного" шифрования для правительств сотни стран мира (мы, конечно же, про Crypto AG) - АНБ тут как тут, спешит на помощь!
Как сообщает SecurityWeek, компания Enveil, расположенная в штате Мэриленд, объявила, что получила финансирование в размере 10 млн. долл. США. Основной продукт фирмы – ПО ZeroReveal, предназначенное для шифрования данных во время их использования или обработки.
Компания молодая – основана в 2016 году дамой по имени Эллисон Уильямс, которая, по невероятному совпадению, до момента основания своего ИТ стартапа в течение 12 лет работала над подобным проектом в АНБ. А потом просто ушла из спецслужбы и забрала технологию с собой.
В любом приличном диктаторском режиме бывшую сотрудницу за такое посадили бы в тюрьму. Да и не в диктаторском тоже. А вот в самых демократичных на свете США Уильямс не только не тронули пальцем, но даже дали много денег (сарказм).
Поэтому, если увидите продукт под названием ZeroReveal либо другое крипто ПО от Enveil - не трогайте его, ибо это АНБшная гадость.
Кстати, одним из первых инвесторов в стартап стал In-Q-Tel, карманный венчурный фонд ЦРУ. Мы же говорим – Чип и Дейл.
https://www.securityweek.com/encryption-firm-nsa-roots-raises-10-million
SecurityWeek
Encryption Firm With NSA Roots Raises $10 Million
Enveil, a Fulton, Maryland-based data security company, today announced that it has secured $10 million in Series A funding.
А помните, SecAtor полторы недели назад писал про кибератаку на сеть немецкого химического гиганта Lanxess?
Там мы еще напрягались по поводу возможных последствий - Предвосхищая возражения, что системы управления химическим производством разграничены с внешним периметром компании, отметим - а кто его знает. История информационной безопасности содержит множество случаев подобного раздолбайства
Как говорится - "не прошло и полгода, парень весточку шлет - перебило мне ноги, оторвало живот".
Вчера американская CISA опубликовало предупреждение объектам критической инфраструктуры США, в котором сообщило об атаке ransomware на сеть одного из операторов газового трубопровода. Инцидент повлек заморозку операционной деятельности на 2 суток, однако, к серьезным последствиям не привел. Подробности здесь - https://www.us-cert.gov/ncas/alerts/aa20-049a
Нас же больше всего напряг следующий факт, зафиксированный CISA:
The victim failed to implement robust segmentation between the IT and OT networks, which allowed the adversary to traverse the IT-OT boundary and disable assets on both networks
Это именно то, про что мы периодически говорим - подразделения ИТ и инфосек большого инфраструктурного оператора, у которого чрезвычайно опасное производство, оказались настолько криворукими, что не смогли грамотно сегментировать свою сеть, в результате чего злоумышленники смогли проникнуть в операционную ее часть.
И вот это, господа, всем афедронам афедрон. С большой буквы Ж.
Там мы еще напрягались по поводу возможных последствий - Предвосхищая возражения, что системы управления химическим производством разграничены с внешним периметром компании, отметим - а кто его знает. История информационной безопасности содержит множество случаев подобного раздолбайства
Как говорится - "не прошло и полгода, парень весточку шлет - перебило мне ноги, оторвало живот".
Вчера американская CISA опубликовало предупреждение объектам критической инфраструктуры США, в котором сообщило об атаке ransomware на сеть одного из операторов газового трубопровода. Инцидент повлек заморозку операционной деятельности на 2 суток, однако, к серьезным последствиям не привел. Подробности здесь - https://www.us-cert.gov/ncas/alerts/aa20-049a
Нас же больше всего напряг следующий факт, зафиксированный CISA:
The victim failed to implement robust segmentation between the IT and OT networks, which allowed the adversary to traverse the IT-OT boundary and disable assets on both networks
Это именно то, про что мы периодически говорим - подразделения ИТ и инфосек большого инфраструктурного оператора, у которого чрезвычайно опасное производство, оказались настолько криворукими, что не смогли грамотно сегментировать свою сеть, в результате чего злоумышленники смогли проникнуть в операционную ее часть.
И вот это, господа, всем афедронам афедрон. С большой буквы Ж.
us-cert.cisa.gov
Ransomware Impacting Pipeline Operations | CISA
Note: This Activity Alert uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) framework. See the MITRE ATT&CK for Enterprise and ATT&CK for Industrial Control Systems (ICS) frameworks for all referenced threat actor techniques and…