Не знаешь куда пристроить свою старую PS4? А вот предприимчивые украинские геймеры построили крупнейшую подпольную майнинг-ферму в стране.
На днях тысячи PS4 были конфискованы, а их владельцы арестованы СБУ за незаконную добычу крипты.
В реальности обвинения были предъявлены за кражу электричества. Сама ферма располагалась в промышленной зоне города Винницы, на территории заброшенного склада, который когда-то принадлежал АО «Винницаоблэнерго».
В общей сложности на металлических стойках было смонтировано около 3800 игровых консолей, а также было найдено более 500 видеокарт и 50 процессоров. По данным силовиков, ущерб от украденной электроэнергии составил от 186 200 до 259 300 долларов в месяц. Однако в коммунальной компании заявили, что никакими доказательствами кражи электроэнергии не располагают.
Судя по всему, урожайные площади перешли в руки новых более способных фермеров.
На днях тысячи PS4 были конфискованы, а их владельцы арестованы СБУ за незаконную добычу крипты.
В реальности обвинения были предъявлены за кражу электричества. Сама ферма располагалась в промышленной зоне города Винницы, на территории заброшенного склада, который когда-то принадлежал АО «Винницаоблэнерго».
В общей сложности на металлических стойках было смонтировано около 3800 игровых консолей, а также было найдено более 500 видеокарт и 50 процессоров. По данным силовиков, ущерб от украденной электроэнергии составил от 186 200 до 259 300 долларов в месяц. Однако в коммунальной компании заявили, что никакими доказательствами кражи электроэнергии не располагают.
Судя по всему, урожайные площади перешли в руки новых более способных фермеров.
Под конец недели подведем небольшие итоги и поделимся, пожалуй, важными результатами латания дыр и устранения багов вендорами-тяжеловесами:
- 12,7% всех сайтов сети Интернет удалось спасти команде Cloudflare от возможной компрометации благодаря устранению критической уязвимости в бесплатном CDNJS с открытым исходным кодом. Он обслуживает миллионы веб-сайтов с более чем 4000 библиотек JavaScript и CSS, публично хранящихся на GitHub. Эксплойты уязвимости включали публикацию пакетов в CDNJS Cloudflare с использованием GitHub и npm для активации уязвимости обхода пути и, в конечном итоге, удаленного выполнения кода. В случае эксплуатации уязвимость могла бы привести к полной компрометации инфраструктуры CDNJS.
- В популярных плагинах WooCommerce и WooCommerce Blocks компании Automattic, предназначенном для WordPress, была устранена критическая ошибка. До момента выпуска патча уязвимыми оставались более 5 миллионов сайтов. Оба плагина получили обновление до версии 5.5.1. Исправление устраняет недостаток в двух файлах PHP, которые позволяли внедрять вредоносный код в операторы SQL без необходимости аутентификации. Злоумышленник, воспользовавшись этой уязвимостью SQL-инъекции, может получить информацию о магазине, административные данные, а также данные о заказах и клиентах.
- Разработчик популярного проекта программно-определяемого радио KiwiSDR удалил бэкдор, дающий root-доступ к радиоустройствам. SDR предназначены для замены аппаратного обеспечения радиочастотной RF связи программным или встроенным программным обеспечением для выполнения операций по обработке сигналов, для которых обычно требуются аппаратные устройства. По признанию автора, бага присутствовала во всех версиях устройств для обеспечения удаленного администрирования и отладки. Несмотря на то, что устройства KiwiSDR в основном действуют как радиоприемники, стоит отметить, что вход в систему с использованием жестко запрограммированного мастер-пароля дает доступ на уровне root к консоли устройства (на базе Linux), что позволяет злоумышленникам проникнуть в устройства, захватить их и начать обход соседних сетей, к которым они подключены.
- 12,7% всех сайтов сети Интернет удалось спасти команде Cloudflare от возможной компрометации благодаря устранению критической уязвимости в бесплатном CDNJS с открытым исходным кодом. Он обслуживает миллионы веб-сайтов с более чем 4000 библиотек JavaScript и CSS, публично хранящихся на GitHub. Эксплойты уязвимости включали публикацию пакетов в CDNJS Cloudflare с использованием GitHub и npm для активации уязвимости обхода пути и, в конечном итоге, удаленного выполнения кода. В случае эксплуатации уязвимость могла бы привести к полной компрометации инфраструктуры CDNJS.
- В популярных плагинах WooCommerce и WooCommerce Blocks компании Automattic, предназначенном для WordPress, была устранена критическая ошибка. До момента выпуска патча уязвимыми оставались более 5 миллионов сайтов. Оба плагина получили обновление до версии 5.5.1. Исправление устраняет недостаток в двух файлах PHP, которые позволяли внедрять вредоносный код в операторы SQL без необходимости аутентификации. Злоумышленник, воспользовавшись этой уязвимостью SQL-инъекции, может получить информацию о магазине, административные данные, а также данные о заказах и клиентах.
- Разработчик популярного проекта программно-определяемого радио KiwiSDR удалил бэкдор, дающий root-доступ к радиоустройствам. SDR предназначены для замены аппаратного обеспечения радиочастотной RF связи программным или встроенным программным обеспечением для выполнения операций по обработке сигналов, для которых обычно требуются аппаратные устройства. По признанию автора, бага присутствовала во всех версиях устройств для обеспечения удаленного администрирования и отладки. Несмотря на то, что устройства KiwiSDR в основном действуют как радиоприемники, стоит отметить, что вход в систему с использованием жестко запрограммированного мастер-пароля дает доступ на уровне root к консоли устройства (на базе Linux), что позволяет злоумышленникам проникнуть в устройства, захватить их и начать обход соседних сетей, к которым они подключены.
blog.ryotak.net
Remote code execution in cdnjs of Cloudflare
Preface
(日本語版も公開されています。)
Cloudflare, which runs cdnjs, is running a “Vulnerability Disclosure Program” on HackerOne, which allows hackers to perform vulnerability assessments.
This article describes vulnerabilities reported through this program and published…
(日本語版も公開されています。)
Cloudflare, which runs cdnjs, is running a “Vulnerability Disclosure Program” on HackerOne, which allows hackers to perform vulnerability assessments.
This article describes vulnerabilities reported through this program and published…
Как мы и предсказывали в этом деле 👆аутсайдерами остаются Microsoft, вынужденные исправлять и переисправлять косяки диспетчера очереди печати Windows.
В дополнение к многострадальному PrintNightmare исследователем Бенджамином Делпи, создателем Mimikatz, обнаружена еще одна бага, обусловленная отсутствием проверки разрешений при установке драйверов печати, позволяющей накатывать вредонос для удаленного выполнения кода или локального повышения привилегий в уязвимых системах.
Новый локальный метод повышения привилегий эффективен при применении мер защиты: не спасет даже недавнее обновление безопасности KB5004945 (которое и само по себе, как оказалось, дырявое и вовсе не спасает от PrintNightmare). Он основан на стандартных процедурах Windows, позволяющих администратору устанавливать любые драйвера принтера (даже те, которые могут быть заведомо вредоносными), а пользователю без прав админа - устанавливать на свои устройства подписанные драйвера.
Таким образом, злоумышленнику для успешной эксплуатации баги достаточно создать вредоносный драйвер печати и подписать его с помощью доверенного сертификата Authenticode. Получив подписанный пакет драйвера, установить его на любое другое сетевое устройство, на которое у него есть права администратора. А затем использовать это «поворотное» устройство для получения привилегий SYSTEM на других устройствах, где у них нет повышенных привилегий, просто установив вредоносный драйвер.
Вы скажете не баг, а фитча: но для Microsoft - это скорее всего судьба.
В дополнение к многострадальному PrintNightmare исследователем Бенджамином Делпи, создателем Mimikatz, обнаружена еще одна бага, обусловленная отсутствием проверки разрешений при установке драйверов печати, позволяющей накатывать вредонос для удаленного выполнения кода или локального повышения привилегий в уязвимых системах.
Новый локальный метод повышения привилегий эффективен при применении мер защиты: не спасет даже недавнее обновление безопасности KB5004945 (которое и само по себе, как оказалось, дырявое и вовсе не спасает от PrintNightmare). Он основан на стандартных процедурах Windows, позволяющих администратору устанавливать любые драйвера принтера (даже те, которые могут быть заведомо вредоносными), а пользователю без прав админа - устанавливать на свои устройства подписанные драйвера.
Таким образом, злоумышленнику для успешной эксплуатации баги достаточно создать вредоносный драйвер печати и подписать его с помощью доверенного сертификата Authenticode. Получив подписанный пакет драйвера, установить его на любое другое сетевое устройство, на которое у него есть права администратора. А затем использовать это «поворотное» устройство для получения привилегий SYSTEM на других устройствах, где у них нет повышенных привилегий, просто установив вредоносный драйвер.
Вы скажете не баг, а фитча: но для Microsoft - это скорее всего судьба.
Twitter
🥝 Benjamin Delpy
#printnightmare - Episode 3 You know that even patched, with default config (or security enforced with #Microsoft settings), a standard user can load drivers as SYSTEM? - Local Privilege Escalation - #feature
Исследователи продолжают расчехлять Windows Print Spooler.
На этот раз после тщательного изучения API-интерфейсов печати Windows создатель Mimikatz исследователь Бенджамин Делпи раскрыл еще одну уязвимость нулевого дня, которая позволяет злоумышленнику повысить привилегии на компьютере или удаленно выполнить код.
Все благодаря функции автоматической загрузки и выполнения вредоносной библиотеки DLL, когда клиент подключается к серверу печати, находящемуся под контролем злоумышленника. Во время установки принтера поставляемое поставщиком установочное приложение может указать набор файлов любого типа, которые будут связаны с конкретной очередью печати. При запуске вредоносной DLL она будет работать с правами SYSTEM и может использоваться для выполнения любой команды на компьютере.
CERT оперативно сообщили, как можно противодействовать новой ошибке. Помочь может блокировка исходящего SMB-трафика на границе сети, чтобы предотвратить доступ к удаленному компьютеру. При этом следует помнить, что для для установки драйверов без использования SMB, злоумышленник, по-прежнему, может использовать этот метод с локальным сервером печати. Но лучший способ предотвратить эту уязвимость - ограничить Point and print списком утвержденных доверенных серверов.
Всем пользователям Microsoft Windows лишь пожелаем удачной недели.
На этот раз после тщательного изучения API-интерфейсов печати Windows создатель Mimikatz исследователь Бенджамин Делпи раскрыл еще одну уязвимость нулевого дня, которая позволяет злоумышленнику повысить привилегии на компьютере или удаленно выполнить код.
Все благодаря функции автоматической загрузки и выполнения вредоносной библиотеки DLL, когда клиент подключается к серверу печати, находящемуся под контролем злоумышленника. Во время установки принтера поставляемое поставщиком установочное приложение может указать набор файлов любого типа, которые будут связаны с конкретной очередью печати. При запуске вредоносной DLL она будет работать с правами SYSTEM и может использоваться для выполнения любой команды на компьютере.
CERT оперативно сообщили, как можно противодействовать новой ошибке. Помочь может блокировка исходящего SMB-трафика на границе сети, чтобы предотвратить доступ к удаленному компьютеру. При этом следует помнить, что для для установки драйверов без использования SMB, злоумышленник, по-прежнему, может использовать этот метод с локальным сервером печати. Но лучший способ предотвратить эту уязвимость - ограничить Point and print списком утвержденных доверенных серверов.
Всем пользователям Microsoft Windows лишь пожелаем удачной недели.
Twitter
🥝 Benjamin Delpy
#printnightmare - Episode 4 You know what is better than a Legit Kiwi Printer ? 🥝Another Legit Kiwi Printer...👍 No prerequiste at all, you even don't need to sign drivers/package🤪
Отметили для себя новую парадигму: все чаще межправительственные конфликты проистекают из IT-плоскости. Вот небольшой дайджест, судите сами:
1. Правительство Великобритании в лице Национального центра кибербезопасности (NCSC) официально возложило вину за кибератаки на Microsoft Exchange Server с использованием уязвимостей ProxyLogon на КНР, поддержав в этом вопросе своих союзников: США, ЕС и НАТО. Актором признали APT Hafnium, а всю кампанию признали крупномасштабным шпионажем. Под раздачу попали также две другие группы, известные как APT40 и APT31, которых обвинили в связях с МГБ КНР. Согласно данным британской разведки, APT40 вели работу в отношении компаний в сфере различных секторов промышленности США и ЕС, а APT31 реализовывало целевки на правительственных и политических деятелей. Существенно нового к атрибуции добавить британцы не смогли. Но вот Минюст США сегодня объявил в розыск 4 граждан КНР - членов АРТ 40, а 3 из них - были офицерами МГБ и еще 1 хакер-наемник goodperson или ha0r3n. Все они, по данным США, использовали подставную компанию Hainan Xiandun как прикрытие. После бесед с русскими, воодушевлённый запад переориентировался на восток, только упреки Байдена в данном случае пришлось подкреплять королевскими регалиями. Ничего нового, мы уже об этом вас информировали.
2. Серьезный пинок прилетел Израилю, предоставляющему серьезные наступательные возможности в сфере ИБ правительствам и частным компаниям по всему миру: NSO Group, реализующая на рынок шпионское ПО Pegasus для таргетированных атак на мобильные устройства, стала фигурантом громкого публичного расследования НКО Forbidden Stories, Amnesty International и СМИ-гигантов, в том числе Guardian. Суть претензий - использование ПО для шпионажа за правозащитниками, политическими диссидентами, неугодными журналистами и прочими политическими деятелями со стороны спецслужб стран, закупивших софт, вопреки заявленным задачам по борьбе с терроризмом и преступностью. Pegasus способен по своим ТТХ вести наблюдение за смартфонами на базе iOS и Android, получая полный доступ к их камерам, микрофонам и файловой структуре. При этом журналисты каким-то образом достали список из 50 000 номеров, состоящих на контроле в NSO Group. Как выяснилось, заражение было подтверждено «в десятках случаев». Согласно списку - следили даже за президентами. Учитывая инициированную в 2020 году проверку компании со стороны ФБР и накопившихся претензий от Microsoft, Google, Cisco и Facebook источники утечки как бы налицо. Удивляться не стоит - сильные мира делят сферы влияния.
3. Прилетело 👆еще с одного фланга: Microsoft и Citizen Lab заявили, что израильская компания Candiru причастна к разработке и применению DevilsEye, который представляет собой штамм вредоносного ПО для Windows, предоставляющий клиентам полный доступ к зараженному устройству после его разворачивания в целевой системе. Жертвами Candiru, по мнению исследователей, стали более 100 политиков, правозащитников, активистов, журналистов, ученых, дипломатов и политические диссиденты. Microsoft отметили, что распространялось DevilsEye посредствам веб-сайтов с размещенными эксплойтами под уязвимости браузеров, а на втором этапе - под саму ОС. К ним относятся два Chrome zero-days (CVE-2021-21166 и CVE-2021-30551), один Internet Explorer (CVE-2021-33742) и два в ОС Windows (CVE-2021-31979 и CVE-2021- 33771).
Похоже, что на очереди новые обладатели санкционных плюшек. В ближайшее время ждем новых сенсаций. Сноуден уже отличился, назвав происходящее «историей года»: многообещающе, не правда ли.
1. Правительство Великобритании в лице Национального центра кибербезопасности (NCSC) официально возложило вину за кибератаки на Microsoft Exchange Server с использованием уязвимостей ProxyLogon на КНР, поддержав в этом вопросе своих союзников: США, ЕС и НАТО. Актором признали APT Hafnium, а всю кампанию признали крупномасштабным шпионажем. Под раздачу попали также две другие группы, известные как APT40 и APT31, которых обвинили в связях с МГБ КНР. Согласно данным британской разведки, APT40 вели работу в отношении компаний в сфере различных секторов промышленности США и ЕС, а APT31 реализовывало целевки на правительственных и политических деятелей. Существенно нового к атрибуции добавить британцы не смогли. Но вот Минюст США сегодня объявил в розыск 4 граждан КНР - членов АРТ 40, а 3 из них - были офицерами МГБ и еще 1 хакер-наемник goodperson или ha0r3n. Все они, по данным США, использовали подставную компанию Hainan Xiandun как прикрытие. После бесед с русскими, воодушевлённый запад переориентировался на восток, только упреки Байдена в данном случае пришлось подкреплять королевскими регалиями. Ничего нового, мы уже об этом вас информировали.
2. Серьезный пинок прилетел Израилю, предоставляющему серьезные наступательные возможности в сфере ИБ правительствам и частным компаниям по всему миру: NSO Group, реализующая на рынок шпионское ПО Pegasus для таргетированных атак на мобильные устройства, стала фигурантом громкого публичного расследования НКО Forbidden Stories, Amnesty International и СМИ-гигантов, в том числе Guardian. Суть претензий - использование ПО для шпионажа за правозащитниками, политическими диссидентами, неугодными журналистами и прочими политическими деятелями со стороны спецслужб стран, закупивших софт, вопреки заявленным задачам по борьбе с терроризмом и преступностью. Pegasus способен по своим ТТХ вести наблюдение за смартфонами на базе iOS и Android, получая полный доступ к их камерам, микрофонам и файловой структуре. При этом журналисты каким-то образом достали список из 50 000 номеров, состоящих на контроле в NSO Group. Как выяснилось, заражение было подтверждено «в десятках случаев». Согласно списку - следили даже за президентами. Учитывая инициированную в 2020 году проверку компании со стороны ФБР и накопившихся претензий от Microsoft, Google, Cisco и Facebook источники утечки как бы налицо. Удивляться не стоит - сильные мира делят сферы влияния.
3. Прилетело 👆еще с одного фланга: Microsoft и Citizen Lab заявили, что израильская компания Candiru причастна к разработке и применению DevilsEye, который представляет собой штамм вредоносного ПО для Windows, предоставляющий клиентам полный доступ к зараженному устройству после его разворачивания в целевой системе. Жертвами Candiru, по мнению исследователей, стали более 100 политиков, правозащитников, активистов, журналистов, ученых, дипломатов и политические диссиденты. Microsoft отметили, что распространялось DevilsEye посредствам веб-сайтов с размещенными эксплойтами под уязвимости браузеров, а на втором этапе - под саму ОС. К ним относятся два Chrome zero-days (CVE-2021-21166 и CVE-2021-30551), один Internet Explorer (CVE-2021-33742) и два в ОС Windows (CVE-2021-31979 и CVE-2021- 33771).
Похоже, что на очереди новые обладатели санкционных плюшек. В ближайшее время ждем новых сенсаций. Сноуден уже отличился, назвав происходящее «историей года»: многообещающе, не правда ли.
www.ncsc.gov.uk
UK and allies hold Chinese state responsible for pervasive pattern of hacking
Chinese state-backed actors were responsible for gaining access to computer networks around the world via Microsoft Exchange servers.
Forwarded from SecurityLab.ru (SecurityLab news)
Правительства должны наложить глобальный мораторий на международную торговлю программным обеспечением для шпионажа, иначе ни один мобильный телефон не будет в безопасности от спонсируемых властями хакеров, заявил бывший подрядчик американских спецслужб Эдвард Сноуден в интервью британскому изданию The Guardian.
https://www.securitylab.ru/news/522433.php
https://www.securitylab.ru/news/522433.php
t.me
Эдвард Сноуден призвал запретить торговлю шпионским ПО
По мнению Сноудена, если ничего не делать, ни один мобильный телефон не будет в безопасности от правительственных хакеров.
Оказывается начиная с 2005 года на протяжении 16 лет драйвер принтеров HP, Xerox и Samsung имел уязвимость, которая затрагивает сотни миллионов устройств и миллионы пользователей по всему миру и дает хакерам права администратора.
Доисторический баг открыли SentinelOne, присвоив ему CVE-2021-3438. Исследователи славятся тем, что ранее уже находили ошибку повышения привилегий 12-летней давности в Microsoft Defender, которая давала рута в незащищенных системах Windows.
На этот раз им удалось выяснить, что ошибка кроется в переполнении буфера в драйвере SSPORT.SYS для определенных моделей принтеров, которое может привести к локальному повышению привилегий пользователя. Самое печальное, что драйвер с ошибками автоматически устанавливается вместе с программным обеспечением принтера и загружается Windows после каждой перезагрузки системы. Ошибкой можно злоупотреблять, даже если принтер не подключен к целевому устройству. Для успешной эксплуатации требуется доступ локального пользователя, а это означает, что злоумышленникам необходимо сначала закрепиться на целевых устройствах, после этого они могут применять багу.
Несмотря на то, что примеры эксплуатации CVE-2021-3438 в дикой природе не обнаружены, производители настоятельно рекомендуют как можно скорее применить исправления.
Доисторический баг открыли SentinelOne, присвоив ему CVE-2021-3438. Исследователи славятся тем, что ранее уже находили ошибку повышения привилегий 12-летней давности в Microsoft Defender, которая давала рута в незащищенных системах Windows.
На этот раз им удалось выяснить, что ошибка кроется в переполнении буфера в драйвере SSPORT.SYS для определенных моделей принтеров, которое может привести к локальному повышению привилегий пользователя. Самое печальное, что драйвер с ошибками автоматически устанавливается вместе с программным обеспечением принтера и загружается Windows после каждой перезагрузки системы. Ошибкой можно злоупотреблять, даже если принтер не подключен к целевому устройству. Для успешной эксплуатации требуется доступ локального пользователя, а это означает, что злоумышленникам необходимо сначала закрепиться на целевых устройствах, после этого они могут применять багу.
Несмотря на то, что примеры эксплуатации CVE-2021-3438 в дикой природе не обнаружены, производители настоятельно рекомендуют как можно скорее применить исправления.
SentinelOne
CVE-2021-3438: 16 Years In Hiding - Millions of Printers Worldwide Vulnerable - SentinelLabs
A high severity flaw in HP, Samsung and Xerox printer drivers has existed since 2005 and could lead to an escalation of privilege.
Желающие получить 10 миллионов долларов от правительства США могут поделиться информацией со спецслужбами и махнуть пальцем на причастных к атаке с использованием ransomware на хостинг-провайдера Cloudstar.
Компания управляет центрами обработки данных в США, предоставляет облачные услуги для организации в сфере ипотченого кредитования, недвижимости, страхования, юриспруденции, финансов и местного самоуправления, в том числе обеспечивает хостинг виртуальных рабочих столов, программ, а в некоторых случаях поддерживает и вовсе всю IT-структуру.
В результате изощренной атаки пошифровалась почта и вся информация на серверах, основными бенефициарами которых были риэлторы и промышленники. Конечно не крах Фени Мэй и Фреди Мак, но секторальный ущерб все же оказался значимым, Cloudstar даже начала переговоры с хакерами и отчаянно пытается восстановить данные своих клиентов.
Самыми сладкими клиентами вымогателей все ще остаются веб-хостинговые компании, которые всегда платят выкуп. Достаточно вспомнить инциденты с Swiss Cloud, Managed.com, Equinix, CyrusOne, Cognizant, X-Cart, A2 Hosting, SmarterASP.NET, Dataresolution.net, iNSYNQ, Internet Nayana и др.
Но не в этом случае, ведь предметом выкупа операторы ransomware могут оказаться сами. Впрочем поглядим, репутация новой киберкоманды CISA на кону.
Компания управляет центрами обработки данных в США, предоставляет облачные услуги для организации в сфере ипотченого кредитования, недвижимости, страхования, юриспруденции, финансов и местного самоуправления, в том числе обеспечивает хостинг виртуальных рабочих столов, программ, а в некоторых случаях поддерживает и вовсе всю IT-структуру.
В результате изощренной атаки пошифровалась почта и вся информация на серверах, основными бенефициарами которых были риэлторы и промышленники. Конечно не крах Фени Мэй и Фреди Мак, но секторальный ущерб все же оказался значимым, Cloudstar даже начала переговоры с хакерами и отчаянно пытается восстановить данные своих клиентов.
Самыми сладкими клиентами вымогателей все ще остаются веб-хостинговые компании, которые всегда платят выкуп. Достаточно вспомнить инциденты с Swiss Cloud, Managed.com, Equinix, CyrusOne, Cognizant, X-Cart, A2 Hosting, SmarterASP.NET, Dataresolution.net, iNSYNQ, Internet Nayana и др.
Но не в этом случае, ведь предметом выкупа операторы ransomware могут оказаться сами. Впрочем поглядим, репутация новой киберкоманды CISA на кону.
Twitter
vickjawn
surprised the ransomware attack on cloudstar isn't being reported like, at all?? I didn't find out until yesterday when my job told me all of our files were gone :')))
Вновь назначенная кибервоеначальница CISA, как мы и предсказывали, приступила к активным наступательным действиям. Можно вздохнуть, потому как все активности выражаются пока что в новых публичных обвинениях в адрес КНР, России и Ирана.
CISA и FBI заявили о предпринятых в период 2011 - 2013 атаках APT, курируемых КНР, на 23 компании в области топливно-энергетического комплекса США. По заключению спецслужб, китайским хакерам удалось проникнут на 13 объектов, 3 были близки к взлому и 8 - с неуточненным статусом.
Деятельность APT была описана как кампания целевого фишинга, преследующая задачи сбора инсайдерской информации, относящейся к SCADA, в том числе в отношении сотрудников, учетных данных и системных руководств. Кроме того, по оценке CISA и ФБР, успешные атаки позволяли китайской стороне закрепиться в инфраструктуре и использовать бэкдор при необходимости для диверсий.
В догонку США выкатили обвинения Ирану в реализации атак с использованием вредоносного ПО Shamoon (W32.DistTrack) и новый вагон претензий к России: вменили использование вредоносного ПО Havex против систем промышленного контроля, припомнили ПО CrashOverRide, и атаки на критически важную инфраструктуру Украины, ну и не обошлось без атрибуции атак на промышленные системы управления посредством ПО BlackEnergy v2 и v3 в период с 2011 по 2016 год.
В ответ на агрессивную риторику США и союзники представитель МИД КНР Лицзянь Чжао назвал Соединенные Штаты главной хакерской империей в мире и отметил, что фактически США являются крупнейшим источником кибератак в мире. Вспомнили их программы прослушки за союзниками и грязные операции разведки в ЕС и Австралии.
Зачетное время наступило для конспирологов, раздувающих мифы о глобальной войне. Но контуры ее могут быть не столь очевидны, как последствия новых кибератак, которые могут быть предприняты одной из сторон в качестве превентивных мер.
Чего ожидать - однозначно, что качественной переоценки взглядов на современный инфосек.
CISA и FBI заявили о предпринятых в период 2011 - 2013 атаках APT, курируемых КНР, на 23 компании в области топливно-энергетического комплекса США. По заключению спецслужб, китайским хакерам удалось проникнут на 13 объектов, 3 были близки к взлому и 8 - с неуточненным статусом.
Деятельность APT была описана как кампания целевого фишинга, преследующая задачи сбора инсайдерской информации, относящейся к SCADA, в том числе в отношении сотрудников, учетных данных и системных руководств. Кроме того, по оценке CISA и ФБР, успешные атаки позволяли китайской стороне закрепиться в инфраструктуре и использовать бэкдор при необходимости для диверсий.
В догонку США выкатили обвинения Ирану в реализации атак с использованием вредоносного ПО Shamoon (W32.DistTrack) и новый вагон претензий к России: вменили использование вредоносного ПО Havex против систем промышленного контроля, припомнили ПО CrashOverRide, и атаки на критически важную инфраструктуру Украины, ну и не обошлось без атрибуции атак на промышленные системы управления посредством ПО BlackEnergy v2 и v3 в период с 2011 по 2016 год.
В ответ на агрессивную риторику США и союзники представитель МИД КНР Лицзянь Чжао назвал Соединенные Штаты главной хакерской империей в мире и отметил, что фактически США являются крупнейшим источником кибератак в мире. Вспомнили их программы прослушки за союзниками и грязные операции разведки в ЕС и Австралии.
Зачетное время наступило для конспирологов, раздувающих мифы о глобальной войне. Но контуры ее могут быть не столь очевидны, как последствия новых кибератак, которые могут быть предприняты одной из сторон в качестве превентивных мер.
Чего ожидать - однозначно, что качественной переоценки взглядов на современный инфосек.
Twitter
Lijian Zhao 赵立坚
The US is the world's top "hacking empire". It mustered allies to make groundless accusations against China on cybersecurity. By distorting facts, they aim to smear & suppress China to serve political purposes. We categorically reject their allegations.
Forwarded from Эксплойт | Live
В шпионском списке Pegasus обнаружили номер Макрона и 14 других глав государств
Из-за утечки данных, к Forbidden Stories попал список из 50 тыс. номеров, предположительно выбранных для слежки через шпионскую программу Pegasus.
По условиям соглашения, эту программу можно использовать только для слежки за особо опасными преступниками и террористами.
Однако, как мы видим по базе слитых номеров, кто-то считает опасными журналистов, правозащитников, бизнесменов и даже политических деятелей.
А буквально вчера стало известно, что в этом также списке содержатся номера аж 14 глав государств, включая Францию, Пакистан и ЮАР.
Из-за утечки данных, к Forbidden Stories попал список из 50 тыс. номеров, предположительно выбранных для слежки через шпионскую программу Pegasus.
По условиям соглашения, эту программу можно использовать только для слежки за особо опасными преступниками и террористами.
Однако, как мы видим по базе слитых номеров, кто-то считает опасными журналистов, правозащитников, бизнесменов и даже политических деятелей.
А буквально вчера стало известно, что в этом также списке содержатся номера аж 14 глав государств, включая Францию, Пакистан и ЮАР.
Авторитетные Check Point раскрыли фишку нового вредоносного ПО XLoader, заточенного под системы macOS.
Оказалось, что его кодовая база совпадает с Formbook, функционал которого позволял собирать учетные данные из различных веб-браузеров, скриншотить экраны, логировать нажатия клавиш, разворачивать полезные нагрузки в системах под управлением ОС Windows. Наследник перенял весь арсенал и способен также собирать учетные данные для входа в систему яблочника.
Такая роскошь доступна в Darknet за 49 долларов США, ровно за такой прайс операторы предлагают лицензию. И ровно поэтому ПО приобрело высокую популярность среди хакеров, которым с его помощью удалось с начала 2021 инфицировать системы в 69 странах, причем 53% случаев заражения были зарегистрированы только в США, затем уже - в КНР, Мексике, Германии и Франции. Для доставки обычно использовались рассылки электронных писем с вредоносными файлами Microsoft Office.
Не менее востребованным, как отмечают Check Point, был Formbook, продажи которого стартовали в январе 2016 года и прекратились в октябре 2017, успев стать третьим среди самых распространяемых штаммов ВПО, заразив 4% организаций по всему миру. Вскоре продажи модернизированного ПО возобновились на том же форуме под брендом XLoader в феврале 2020 года.
XLoader фактически сокращает существовавший до настоящего времени разрыв на рынке malware, адаптированного под MacOS и Windows системы. Можно считать, что яблочники лишились своего негласного привилегированного положения среди юзеров.
Оказалось, что его кодовая база совпадает с Formbook, функционал которого позволял собирать учетные данные из различных веб-браузеров, скриншотить экраны, логировать нажатия клавиш, разворачивать полезные нагрузки в системах под управлением ОС Windows. Наследник перенял весь арсенал и способен также собирать учетные данные для входа в систему яблочника.
Такая роскошь доступна в Darknet за 49 долларов США, ровно за такой прайс операторы предлагают лицензию. И ровно поэтому ПО приобрело высокую популярность среди хакеров, которым с его помощью удалось с начала 2021 инфицировать системы в 69 странах, причем 53% случаев заражения были зарегистрированы только в США, затем уже - в КНР, Мексике, Германии и Франции. Для доставки обычно использовались рассылки электронных писем с вредоносными файлами Microsoft Office.
Не менее востребованным, как отмечают Check Point, был Formbook, продажи которого стартовали в январе 2016 года и прекратились в октябре 2017, успев стать третьим среди самых распространяемых штаммов ВПО, заразив 4% организаций по всему миру. Вскоре продажи модернизированного ПО возобновились на том же форуме под брендом XLoader в феврале 2020 года.
XLoader фактически сокращает существовавший до настоящего времени разрыв на рынке malware, адаптированного под MacOS и Windows системы. Можно считать, что яблочники лишились своего негласного привилегированного положения среди юзеров.
Check Point Research
Top prevalent malware with a thousand campaigns migrates to macOS - Check Point Research
As reported by Check Point in December 2020, Formbook Info Stealer affected 4% of organizations worldwide and made it to the top 3 list of the most prevalent malware. Now it received a second birth under the name of XLoader, migrated to macOS and is able…
Набирает обороты скандал вокруг израильской компании NSO Group, реализующей на рынок лицензируемые технологии для шпионажа, в фокус общественности попало ПО Pegasus.
В Индии по этому поводу разразился настоящий «Уотергейт», а во Франции на расследование инцидента брошены все силы спецслужб.
Ситуация со слитым списком целевых номеров жертв ровным счетом такая же, которая ожидает клиентов заблокированного «Глаза бога»: дозировано будут придаваться огласке сведения об объектах и заказчиках наблюдения. При этом следует понимать, что пока одни наблюдают за другими админы палят и тех и других.
В случае с Pegasus портянку с номерами выкатили одномоментно: в списке потенциальных объектов слежки были действующие президенты Эммануэль Макрон (Франция), Бархам Салех (Ирак) и Сирил Рамафоса (ЮАР), среди нынешних премьеров - Имран Хан (Пакистан), Мустафа Мадбули (Египет) и Саад ад-Дин аль-Усмани (Марокко), бывшие и действующие министры, политики, политтехнологи, журналисты и даже монарх - король Марокко Мухаммед VI. Кроме того, под колпак попал даже основатель Telegram Павел Дуров.
Нового в этой истории нет, NSO Group далеко не единственная в Израиле, а тем более в мире - компания, которая разрабатывает технологий для шпионажа и электронной разведки. Вопрос в другом, умелая игра в демократию и права человека - отличный инструмент для давления на «попутавших берега» вендоров.
Хочешь следить за президентами и тем более из числа первой лиги - спроси сначала разрешения у дяди Сэма. А если забыл - тебе напомнят.
В Индии по этому поводу разразился настоящий «Уотергейт», а во Франции на расследование инцидента брошены все силы спецслужб.
Ситуация со слитым списком целевых номеров жертв ровным счетом такая же, которая ожидает клиентов заблокированного «Глаза бога»: дозировано будут придаваться огласке сведения об объектах и заказчиках наблюдения. При этом следует понимать, что пока одни наблюдают за другими админы палят и тех и других.
В случае с Pegasus портянку с номерами выкатили одномоментно: в списке потенциальных объектов слежки были действующие президенты Эммануэль Макрон (Франция), Бархам Салех (Ирак) и Сирил Рамафоса (ЮАР), среди нынешних премьеров - Имран Хан (Пакистан), Мустафа Мадбули (Египет) и Саад ад-Дин аль-Усмани (Марокко), бывшие и действующие министры, политики, политтехнологи, журналисты и даже монарх - король Марокко Мухаммед VI. Кроме того, под колпак попал даже основатель Telegram Павел Дуров.
Нового в этой истории нет, NSO Group далеко не единственная в Израиле, а тем более в мире - компания, которая разрабатывает технологий для шпионажа и электронной разведки. Вопрос в другом, умелая игра в демократию и права человека - отличный инструмент для давления на «попутавших берега» вендоров.
Хочешь следить за президентами и тем более из числа первой лиги - спроси сначала разрешения у дяди Сэма. А если забыл - тебе напомнят.
Foreign Policy
India’s Watergate Moment
A journalist hacked by Pegasus says he will survive, but Indian democracy may not.
Microsoft выкатили временное решение для ошибки CVE-2021-36934, известной как SeriousSAM, которая затрагивает все версии Windows 10, выпущенные за последние 2,5 года.
Об уязвимости стало известно на прошлой неделе, когда в результате тестирования Windows 11 исследователь Jonas Lyk обратил внимание на то, что конфиденциальные файлы конфигурации SAM, SECURITY и SYSTEM были доступны в резервных копиях, созданных Shadow Volume Copy.
Ошибка затрагивает базу данных диспетчера учетных записей безопасности во всех версиях Windows 10,начиная с v 1809. Доступ к файлу конфигурации Security Account Manager дает злоумышленникам возможность украсть хешированные пароли, взломать хэши в автономном режиме и захватить учетные записи. Другие файлы конфигурации, хранящиеся в папках SYSTEM и SECURITY, также могут содержать критичные данные, в том числе ключи шифрования DPAPI и сведения об учетной записи компьютера, используемые для присоединения компьютеров к Active Directory. По итогу уязвимость может позволить локальному злоумышленнику запустить свой собственный код с системными привилегиями.
Несмотря на всю серьезность в Microsoft скептически отнеслись к CVE, отметив, что злоумышленник должен прежде получить возможность выполнять код в целевой системе, чтобы воспользоваться этой уязвимостью.
Тем не менее, для купирования угроз они предлагают ограничить доступ к содержимому % windir% \ system32 \ config и удалить все точки восстановления системы и теневые тома, которые существовали до вводимого ограничения доступа.
Об уязвимости стало известно на прошлой неделе, когда в результате тестирования Windows 11 исследователь Jonas Lyk обратил внимание на то, что конфиденциальные файлы конфигурации SAM, SECURITY и SYSTEM были доступны в резервных копиях, созданных Shadow Volume Copy.
Ошибка затрагивает базу данных диспетчера учетных записей безопасности во всех версиях Windows 10,начиная с v 1809. Доступ к файлу конфигурации Security Account Manager дает злоумышленникам возможность украсть хешированные пароли, взломать хэши в автономном режиме и захватить учетные записи. Другие файлы конфигурации, хранящиеся в папках SYSTEM и SECURITY, также могут содержать критичные данные, в том числе ключи шифрования DPAPI и сведения об учетной записи компьютера, используемые для присоединения компьютеров к Active Directory. По итогу уязвимость может позволить локальному злоумышленнику запустить свой собственный код с системными привилегиями.
Несмотря на всю серьезность в Microsoft скептически отнеслись к CVE, отметив, что злоумышленник должен прежде получить возможность выполнять код в целевой системе, чтобы воспользоваться этой уязвимостью.
Тем не менее, для купирования угроз они предлагают ограничить доступ к содержимому % windir% \ system32 \ config и удалить все точки восстановления системы и теневые тома, которые существовали до вводимого ограничения доступа.
Twitter
Jonas L
yarh- for some reason on win11 the SAM file now is READ for users. So if you have shadowvolumes enabled you can read the sam file like this: I dont know the full extent of the issue yet, but its too many to not be a problem I think.
Работа над ошибками коснулась и Linux. Выпущен патч для двух уязвимостей файловой системы Linux, который дает даже непривилегированному пользователю привилегии root в Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Другие сборки Linux, вероятно, также уязвимы для атак.
Ошибку файловой системы ядра совсем недавно обнаружила команда Qualys Research. Дыра в безопасности Linux была названа Sequoia и обозначена как CVE-2021-33909. Ранее они же выявили и уязаимость (CVE-2021-33910) отказа в обслуживании при исчерпании стека в systemd.
Достаточно оперативно Эрик Сандин, ведущий разработчик файловой системы Red Hat, предложил решение, а Грег Кроа-Хартман, разработчик ядра Linux, воплотил его, выпустив исправление Linux 5.13.4. Так что вперед: оно доступно для большинства дистрибутивов Linux с 3.16 по 5.13.x.
Кроме того, если вы не можете обновить ядро, вы все равно можете смягчить проблему, установив / proc / sys / kernel / unprivileged_userns_clone на 0 и / proc / sys / kernel / unprivileged_bpf_disabled равным 1. Но если вы не хотите превращать свою систему в лейку - все же лучше прикрыть дыру в безопасности, обновив ядро.
Ошибку файловой системы ядра совсем недавно обнаружила команда Qualys Research. Дыра в безопасности Linux была названа Sequoia и обозначена как CVE-2021-33909. Ранее они же выявили и уязаимость (CVE-2021-33910) отказа в обслуживании при исчерпании стека в systemd.
Достаточно оперативно Эрик Сандин, ведущий разработчик файловой системы Red Hat, предложил решение, а Грег Кроа-Хартман, разработчик ядра Linux, воплотил его, выпустив исправление Linux 5.13.4. Так что вперед: оно доступно для большинства дистрибутивов Linux с 3.16 по 5.13.x.
Кроме того, если вы не можете обновить ядро, вы все равно можете смягчить проблему, установив / proc / sys / kernel / unprivileged_userns_clone на 0 и / proc / sys / kernel / unprivileged_bpf_disabled равным 1. Но если вы не хотите превращать свою систему в лейку - все же лучше прикрыть дыру в безопасности, обновив ядро.
Qualys
Sequoia: A Local Privilege Escalation Vulnerability in Linux’s Filesystem Layer (CVE-2021-33909) | Qualys
The Qualys Research Team has discovered a size_t-to-int type conversion vulnerability in the Linux Kernel’s filesystem layer affecting most Linux operating systems. Any unprivileged user can gain root…
Везде уже распиарили новость о том, что спустя почти три недели Kaseya после проваленных переговоров и безуспешных попыток получить ключ дешифрования, наконец-то достали универсальный дешифратор вымогателя REvil для разблокировки систем и помощи пострадавшим клиентам в восстановлении их данных.
Жертвы вели торги с представителем REvil, прогнув вымогателей до 50 млн. зелёных, однако после таинственного исчезновения хакеров возможности разрулить инцидент были исчерпаны. Critical Insight сообщали, что один из ее клиентов приобретал у REvil ключ, но в процессе работ пришли к выводу о его бесполезности.
Легитимность и эффективность вновь полученного Kaseya ключа подтвердили даже в Emsisoft, привлеченной разработчиком для помощи клиентам в восстановлении и устранении последствий инцидента.
Сейчас главный вопрос, который интересует весь инфосек - откуда взялся дешифратор, ведь Kaseya скупо назвала источник «доверенной третьей стороной».
Быть может, именно на такой мажорной ноте заканчивался тот самый разговор, ну вы понимаете, о чем это мы.
Жертвы вели торги с представителем REvil, прогнув вымогателей до 50 млн. зелёных, однако после таинственного исчезновения хакеров возможности разрулить инцидент были исчерпаны. Critical Insight сообщали, что один из ее клиентов приобретал у REvil ключ, но в процессе работ пришли к выводу о его бесполезности.
Легитимность и эффективность вновь полученного Kaseya ключа подтвердили даже в Emsisoft, привлеченной разработчиком для помощи клиентам в восстановлении и устранении последствий инцидента.
Сейчас главный вопрос, который интересует весь инфосек - откуда взялся дешифратор, ведь Kaseya скупо назвала источник «доверенной третьей стороной».
Быть может, именно на такой мажорной ноте заканчивался тот самый разговор, ну вы понимаете, о чем это мы.
Telegram
SecAtor
Сегодня взбудораженные поклонники инфосека пытаются понять, что же случилось на самом деле: сразу после телефонного разговора лидеров РФ и США веб-сайты и сервера банды вымогателей REvil странным образом закрылись.
По сведениям Аль Смита из Tor Project…
По сведениям Аль Смита из Tor Project…
Составлен новый список наиболее распространенных и опасных уязвимостей программного обеспечения за 2019-2020 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
cwe.mitre.org
CWE -
2021 CWE Top 25 Most Dangerous Software Weaknesses
2021 CWE Top 25 Most Dangerous Software Weaknesses
Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.
Начинаем новую неделю новостями deep state.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
therecord.media
NSA review finds that Tucker Carlson’s communications were not targeted
The NSA has found no evidence to support Tucker Carlson’s accusations that the agency had been spying on him in an effort to knock his show off the air, two people familiar with the matter told The Record.
Telegram опасносте!
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Trend Micro
Updated XCSSET Malware Targets Telegram, Other Apps
In our last update on the XCSSET campaign, we updated some of its features targeting latest macOS 11 (Big Sur). Since then, the campaign added more features to its toolset, which we have continually monitored. We have also discovered the mechanism used to…
По наводке Лукацкого посмотрели интересный материал - сколько получают в США специалисты по информационной безопасности.
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
CSO
Cybersecurity salaries: What 8 top security jobs pay
IT security is of major concern to all organizations, and they're willing to pay to get top talent. Are you being paid what you are worth? Take a minute to check.
Вчерашнее обновление iOS, iPadOS и MacOS, как оказалось, исправляет очередную 0-day уязвимость CVE-2021-30807 в расширении ядра IOMobileFramebuffer.
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Загадочная история компании Kaseya продолжается.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Telegram
SecAtor
Везде уже распиарили новость о том, что спустя почти три недели Kaseya после проваленных переговоров и безуспешных попыток получить ключ дешифрования, наконец-то достали универсальный дешифратор вымогателя REvil для разблокировки систем и помощи пострадавшим…