Вслед за Revil, неожиданно схлопнулся Ragnarok. Еще совсем недавно сайт со списком жертв блистал 12-ью позициями жертв атак, которые располагались во Франции, Эстонии, Шри-Ланке, Турции, Таиланде, США, Малайзии, Гонконге, Испании и Италии, представляя различные сектора экономики: от производства до юридических услуг.
Но на текущий момент с сайта удалены все элементы дизайна и визуализации. Все, что осталось - это краткая текстовая ссылка на архив, содержащий ключ и сопутствующие двоичные файлы для его использования.
Похоже, что начавшаяся с января 2020 года история вымогателей Ragnarok, на этом официально закончена, об этом свидетельствует публикация masterkey, которым можно расшифровать файлы, заблокированные их ransomware, что подтверждается тем, что декриптор смог расшифровать blob из случайного файла thor.
Универсальный дешифратор для ПО Ragnarok находится в разработке и совсем скоро будет выпущен Emsisoft, специализирующейся на расшифровке систем жертв ransomware.
Похоже, что операторы решили подчистить карму, взять паузу на ребрендинг и отточку нового софта. Отсвечивать репутацией в нынешних условиях весьма расточительное дело, новые тренды по борьбе с вымогателями диктуют новый формат работы.
Но на текущий момент с сайта удалены все элементы дизайна и визуализации. Все, что осталось - это краткая текстовая ссылка на архив, содержащий ключ и сопутствующие двоичные файлы для его использования.
Похоже, что начавшаяся с января 2020 года история вымогателей Ragnarok, на этом официально закончена, об этом свидетельствует публикация masterkey, которым можно расшифровать файлы, заблокированные их ransomware, что подтверждается тем, что декриптор смог расшифровать blob из случайного файла thor.
Универсальный дешифратор для ПО Ragnarok находится в разработке и совсем скоро будет выпущен Emsisoft, специализирующейся на расшифровке систем жертв ransomware.
Похоже, что операторы решили подчистить карму, взять паузу на ребрендинг и отточку нового софта. Отсвечивать репутацией в нынешних условиях весьма расточительное дело, новые тренды по борьбе с вымогателями диктуют новый формат работы.
Ожидаемое продолжение получила история с утечкой баз данных на клиентов T-Mobile, являющегося телекоммуникационным гигантом, вторым по величине оператором в США после Verizon.
Наша версия с участием спецслужб и кибертеррористов подтвердилась: причастный ко взлому хакер признался и раскрыл подробности инцидента. Пруфы также продемонстрировал.
Помните, как мы упоминали, что Hudson Rock удалось связаться с ним и в ходе переговоров стало известно, что атака была призвана привлечь внимание общественности к делу жителя Турции Джона Эрина Биннса, которого в 2019 году спецслужбы США и Турции похитили и пытали в Германии, а сейчас является инициатором судебных исков в адрес ЦРУ, ФБР и Минюста США. так вот хакер ещё пояснил, что в его отношении спецслужбами ведется расследование по различным киберпреступлениям, включая историю с ботнетом Satori.
Он рассказал, что хакал IT-гиганта прямо из дома в Измире (Турция), где он живет со своей матерью. Первоначально получил доступ к сети T-Mobile через незащищенный маршрутизатор в центре обработки данных недалеко от Ист-Уэнатчи, штат Вашингтон, в июле, откуда смог просканировать более 100 серверов компании. После этого потребовалась еще неделя, чтобы получить доступ к серверам, содержащим личные данные абонентов и только к 4 августа он их украл.
В этой истории все классно, как в настоящем голливудском боевике: хакер-одиночка нагнул целую корпорацию, ведет войну со спецслужбами, на которые вероятно, раньше работал.
Но ряд моментов заставляют задуматься, прежде всего, его принудительное психлечение и умелый обход систем защиты и мониринга утечек стратегической компании, а также прочие невероятные «если».
Так это или не так (ведь прекрасно знаем отношение к ИБ в крупняках), но помимо красивой картинки - в центре внимания все же миллионы реально утекших сведений на будущих потенциальных жертв, когда их данные попадут в умелые руки.
Наша версия с участием спецслужб и кибертеррористов подтвердилась: причастный ко взлому хакер признался и раскрыл подробности инцидента. Пруфы также продемонстрировал.
Помните, как мы упоминали, что Hudson Rock удалось связаться с ним и в ходе переговоров стало известно, что атака была призвана привлечь внимание общественности к делу жителя Турции Джона Эрина Биннса, которого в 2019 году спецслужбы США и Турции похитили и пытали в Германии, а сейчас является инициатором судебных исков в адрес ЦРУ, ФБР и Минюста США. так вот хакер ещё пояснил, что в его отношении спецслужбами ведется расследование по различным киберпреступлениям, включая историю с ботнетом Satori.
Он рассказал, что хакал IT-гиганта прямо из дома в Измире (Турция), где он живет со своей матерью. Первоначально получил доступ к сети T-Mobile через незащищенный маршрутизатор в центре обработки данных недалеко от Ист-Уэнатчи, штат Вашингтон, в июле, откуда смог просканировать более 100 серверов компании. После этого потребовалась еще неделя, чтобы получить доступ к серверам, содержащим личные данные абонентов и только к 4 августа он их украл.
В этой истории все классно, как в настоящем голливудском боевике: хакер-одиночка нагнул целую корпорацию, ведет войну со спецслужбами, на которые вероятно, раньше работал.
Но ряд моментов заставляют задуматься, прежде всего, его принудительное психлечение и умелый обход систем защиты и мониринга утечек стратегической компании, а также прочие невероятные «если».
Так это или не так (ведь прекрасно знаем отношение к ИБ в крупняках), но помимо красивой картинки - в центре внимания все же миллионы реально утекших сведений на будущих потенциальных жертв, когда их данные попадут в умелые руки.
WSJ
WSJ News Exclusive | T-Mobile Hacker Who Stole Data on 50 Million Customers: ‘Their Security Is Awful’
John Binns said he managed to pierce T-Mobile’s defenses after discovering in July an unprotected router exposed on the internet. The 21-year-old said he did it to gain attention: “Generating noise was one goal.”
Известные раскрытием уязвимости DNSaaS, позволяющей снифить трафик на уровне Google, спецы из компании Wiz заставили на этой неделе понервничать Microsoft.
Все дело в критической уязвимости в облачной платформе Azure Cosmos DB, которая позволяет удаленному злоумышленнику захватить системы Cosmos DB без авторизации с полными административными правами. Эксплойт под уязвимость ChaosDB тривиален и не требует предварительного доступа к целевой среде, затрагивая тысячи организаций, в том числе и из списка Fortune 500.
Используя баги функции Jupyter Notebook в Cosmos DB, включенной по умолчанию и предназначенной для помощи клиентам в визуализации данных, злоумышленник может получить доступ к учетным данным других пользователей, включая их первичный ключ, что обеспечивает им неограниченный удаленный доступ к базам данных и учетным записям клиентов Microsoft Azure.
Первоначально, как только стало известно о проблеме ещё 12 августа Microsoft отключили Jupyter Notebook на 48 часов, после чего отозвала некоторые учетные данные, а 26 августа уведомили более 30% клиентов Cosmos DB о проблеме.
Как обычно, Microsoft уверяет об отсутствии эксплуатации уязвимости в дикой природе, но тем не менее советует клиентам повторно сгенерировать ключи в интересах безопасности.
На деле же, по данным исследовательской группы Wiz, фактическое количество потенциальных жертв, составляет большую часть клиентов Cosmos DB
и доходит до нескольких тясяч, ведь уязвимость ChaosDB могла использоваться в течение нескольких месяцев до их раскрытия.
Технические подробности уязвимости в настоящее время не разглашаются, отчет будет обнародован позже. Но пока на видео ниже можно поближе ознакомиться с ChaosDB.
Все дело в критической уязвимости в облачной платформе Azure Cosmos DB, которая позволяет удаленному злоумышленнику захватить системы Cosmos DB без авторизации с полными административными правами. Эксплойт под уязвимость ChaosDB тривиален и не требует предварительного доступа к целевой среде, затрагивая тысячи организаций, в том числе и из списка Fortune 500.
Используя баги функции Jupyter Notebook в Cosmos DB, включенной по умолчанию и предназначенной для помощи клиентам в визуализации данных, злоумышленник может получить доступ к учетным данным других пользователей, включая их первичный ключ, что обеспечивает им неограниченный удаленный доступ к базам данных и учетным записям клиентов Microsoft Azure.
Первоначально, как только стало известно о проблеме ещё 12 августа Microsoft отключили Jupyter Notebook на 48 часов, после чего отозвала некоторые учетные данные, а 26 августа уведомили более 30% клиентов Cosmos DB о проблеме.
Как обычно, Microsoft уверяет об отсутствии эксплуатации уязвимости в дикой природе, но тем не менее советует клиентам повторно сгенерировать ключи в интересах безопасности.
На деле же, по данным исследовательской группы Wiz, фактическое количество потенциальных жертв, составляет большую часть клиентов Cosmos DB
и доходит до нескольких тясяч, ведь уязвимость ChaosDB могла использоваться в течение нескольких месяцев до их раскрытия.
Технические подробности уязвимости в настоящее время не разглашаются, отчет будет обнародован позже. Но пока на видео ниже можно поближе ознакомиться с ChaosDB.
YouTube
ChaosDB - Azure Cosmos DB Takeover Vulnerability
Please visit https://chaosdb.wiz.io/ for more details
Еще не утихли в памяти воспоминания об эпопее с американской IT-компанией Kaseya Limited и бандой вымогателей Revil, которой удалось парализовать по скромной оценке от 800 до 1500 предприятий и потребовать за это аж целых 70 миллионов долларов.
Теперь страсти вновь разогрелись благодаря Kaseya Unitrends, облачному корпоративному решению, вдумайтесь только!: для резервного копирования и восстановления, а если быть точнее, то программного пакета для удаленного мониторинга и управления Kaseya VSA (Virtual System Administrator).
Вновь выявленная уязвимость позволяет удаленно выполнять код на сервере, а также повышать привилегий с only read до admin, собственно что более чем достаточно, чтоб злоумышленникам начать шифровать скомпрометированные системы.
По заверению специалистов количество уязвимых серверов Unitrends не так уж и велико по сравнению с тем, что было месяц назад и компания в темпе вальса выкатила патч обновлений на облачные решения.
Но под угрозой до сих пор остаётся больная часть клиентов, так как уязвимость на их стороне в настоящее время не исправлена и Kaseya призывает пользователей локализовать эти уязвимости с помощью правил межсетевого экрана.
Несмотря на то, что снаряд не падает в одну лунку дважды, стоит полагать в следующий раз звонком дело может и не обойтись.
Теперь страсти вновь разогрелись благодаря Kaseya Unitrends, облачному корпоративному решению, вдумайтесь только!: для резервного копирования и восстановления, а если быть точнее, то программного пакета для удаленного мониторинга и управления Kaseya VSA (Virtual System Administrator).
Вновь выявленная уязвимость позволяет удаленно выполнять код на сервере, а также повышать привилегий с only read до admin, собственно что более чем достаточно, чтоб злоумышленникам начать шифровать скомпрометированные системы.
По заверению специалистов количество уязвимых серверов Unitrends не так уж и велико по сравнению с тем, что было месяц назад и компания в темпе вальса выкатила патч обновлений на облачные решения.
Но под угрозой до сих пор остаётся больная часть клиентов, так как уязвимость на их стороне в настоящее время не исправлена и Kaseya призывает пользователей локализовать эти уязвимости с помощью правил межсетевого экрана.
Несмотря на то, что снаряд не падает в одну лунку дважды, стоит полагать в следующий раз звонком дело может и не обойтись.
Forwarded from Social Engineering
🗝 Patator. Многоцелевой брутфорсер.
• Перечислю некоторые имеющиеся модули:
• Patator более сложен по сравнению с вышеперечисленными утилитами, но в то же время намного более гибкий. Для изучения данного инструмента, обрати внимание на мануалы и примеры использования:
• GitHub Patator.
• Описание, примеры использования, руководство, установка и т.д.
• Атаки на RDP. Поиск и брут.
Твой S.E. #Patator
🖖🏻 Приветствую тебя user_name.
• Patator был написан из-за неудовлетворённости от работы с Hydra, Medusa, Ncrack, модулями #Metasploit и скриптами NSE Nmap, которые применяются для брута. Автор patator выбрал другой подход, чтобы не создавать ещё один инструмент по брутфорсу, который бы повторял те же самые недостатки. Patator — это многопоточный инструмент, написанный на Python, который стремиться быть более надёжным и гибким.• Перечислю некоторые имеющиеся модули:
ftp_login : Брут FTP;ssh_login : Брут SSH;telnet_login : Брут Telnet;smtp_login : Брут SMTP;http_fuzz : Брут HTTP;pop_login : Брут POP3;imap_login : Брут IMAP4;smb_login : Брут SMB;mysql_login : Брут MySQL;mysql_query : Брут запросов MySQL;rdp_login : Брут RDP (NLA);pgsql_login : Брут PostgreSQL;vnc_login : Брут VNC.• Patator более сложен по сравнению с вышеперечисленными утилитами, но в то же время намного более гибкий. Для изучения данного инструмента, обрати внимание на мануалы и примеры использования:
• GitHub Patator.
• Описание, примеры использования, руководство, установка и т.д.
• Атаки на RDP. Поиск и брут.
Твой S.E. #Patator
👆весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы, и всё самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://news.1rj.ru/str/Social_engineering. А в комплексе с изучением OSINT открывается большие перспективы.
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Активно эксплуатирующие ProxyShell и PetitPotam операторы LockFile поставили на вооружение передовую технологию обхода большинства штатных средств защиты от ransomware.
Новое семейство вредоносных ПО использует для компрометации серверов Windows прерывистое шифрование, которое обычно внедряется для ускорения процесса шифрования. Но в отличие от BlackMatter, DarkSide и LockBit 2.0, шифрующих первые несколько байтов, LockFile работает со всеми остальными 16 байтами документа.
На деле это выглядит таким образом, что текстовый документ, остается частично читаемым и статистически выглядит как оригинал, но по факту оказывается битым, по итогу аномалия не детектится типовым статистическим анализом обнаружения шифрования.
Новую фишку вымогателей LockFile обнаружили спецы из Sophos. Кроме того, они выяснили, что через интерфейс управления Windows (WMI) вредоносное ПО сворачивает все задействованные в виртуализации и работе с базами данных критические процессы, прежде чем окончательно все пошифровать. Помимо этого ransomware удаляет себя из системы после успешного шифрования всех документов на машине, не оставляя вообще никаких следов двоичного кода. Стилистически сообщение для жертвы схоже с LockBit 2.0, а с выбором адреса для обратной связи LockFile похоже что вообще не заморочились, судите сами: contact@contipauper.com.
В ответ на импульсивные меры противодействия, которые мы видим на примере Администрации Президента США, сосредоточенные на компрометации мясистых жертв хакеры совершенствуют свои технологии и идут в ногу со временем, а зачастую и на шаг впереди. Впрочем, так было и раньше.
Новое семейство вредоносных ПО использует для компрометации серверов Windows прерывистое шифрование, которое обычно внедряется для ускорения процесса шифрования. Но в отличие от BlackMatter, DarkSide и LockBit 2.0, шифрующих первые несколько байтов, LockFile работает со всеми остальными 16 байтами документа.
На деле это выглядит таким образом, что текстовый документ, остается частично читаемым и статистически выглядит как оригинал, но по факту оказывается битым, по итогу аномалия не детектится типовым статистическим анализом обнаружения шифрования.
Новую фишку вымогателей LockFile обнаружили спецы из Sophos. Кроме того, они выяснили, что через интерфейс управления Windows (WMI) вредоносное ПО сворачивает все задействованные в виртуализации и работе с базами данных критические процессы, прежде чем окончательно все пошифровать. Помимо этого ransomware удаляет себя из системы после успешного шифрования всех документов на машине, не оставляя вообще никаких следов двоичного кода. Стилистически сообщение для жертвы схоже с LockBit 2.0, а с выбором адреса для обратной связи LockFile похоже что вообще не заморочились, судите сами: contact@contipauper.com.
В ответ на импульсивные меры противодействия, которые мы видим на примере Администрации Президента США, сосредоточенные на компрометации мясистых жертв хакеры совершенствуют свои технологии и идут в ногу со временем, а зачастую и на шаг впереди. Впрочем, так было и раньше.
Sophos News
LockFile ransomware’s box of tricks: intermittent encryption and evasion
A new ransomware family leveraging the ProxyShell attack uses intermittent encryption of files in an attempt to defeat detection by anti-ransomware tools.
Всегда интересно наблюдать за компанией, которая создает решения в сфере безопасности, а фактически является основной угрозой для своих клиентов. В этот раз под удар попал гонконгский производитель Annke предлагающий решения для безопасности дома и бизнеса более чем 5 млн. клиентов по всему миру. Критическую уязвимость обнаружили специалисты компании Nozomi Networks, профилирующийся на промышленной безопасности и безопасности IoT-устройств.
Выявленная бага CVE-2021-32941 имеет рейтинг CVSS 9.4 и основана на переполнении буфера и может использоваться злоумышленником для выполнения произвольного кода с привилегиями root и по сути приводит к полной компрометации устройства. Уязвимость касается сетевого видеорегистратора Annke N48PBB (NVR), который используется для хранения и просмотра потокового видео, а также управления камерами, что при эксплуатации позволяет получить доступ к записанным видео, удалить отснятый материал, изменить конфигурации (например, сигналы обнаружения движения) и выключить определенные камеры или сетевой видеорегистратор, чтобы прекратить их запись.
Агентство по кибербезопасности CISA также заявило, что системы видеонаблюдения Annke NVR используется во всем мире. По заввлению производителя патч доступен через обновление прошивки, в связи с чем клиентам Annke рекомендуется как можно скорее обновить используемые в работе и личных целях устройства.
Выявленная бага CVE-2021-32941 имеет рейтинг CVSS 9.4 и основана на переполнении буфера и может использоваться злоумышленником для выполнения произвольного кода с привилегиями root и по сути приводит к полной компрометации устройства. Уязвимость касается сетевого видеорегистратора Annke N48PBB (NVR), который используется для хранения и просмотра потокового видео, а также управления камерами, что при эксплуатации позволяет получить доступ к записанным видео, удалить отснятый материал, изменить конфигурации (например, сигналы обнаружения движения) и выключить определенные камеры или сетевой видеорегистратор, чтобы прекратить их запись.
Агентство по кибербезопасности CISA также заявило, что системы видеонаблюдения Annke NVR используется во всем мире. По заввлению производителя патч доступен через обновление прошивки, в связи с чем клиентам Annke рекомендуется как можно скорее обновить используемые в работе и личных целях устройства.
Nozominetworks
New Annke Vulnerability Shows Risks of IoT Security Camera Systems
Nozomi Networks Labs has discovered a remote code execution vulnerability in the Annke N48PBB network video recorder. A patch is available.
Следующий пошел: операторы malware Phorpiex, а в простонародье Trick, закрыли свой ботнет и выставили исходники на продажу в даркнете.
Причиной завершения проекта стал выход одного из участников из «бизнеса». Trik, как сами разработчики назвали свой продукт, был обнаружен и исследован ещё более 10 лет назад специалистами Check Point, они же и подтвердили подлинность реализуемого исходного кода. При этом озвученная версия также подтверждает еще и тем, что уже больше двух месяцев сервера управления и контроля malware по факту деактивированы.
Даже принимая во внимание, что ботнет будет продан, новый админ не только сможет развернуть сеть на новых хостах, но и подключить все ранее зараженные системы. Check Point указывает на то, что хостов в ботнете остается еще достаточно много.
Впрочем, такие заявления играют определённо на руку продавцам, чьей продукт и без того пользуется заслуженной репутацией: ботнет имеет стабильную историю монетизации за счет модулей спама и функции захвата буфера обмена криптовалюты.
Только спамом сеть принесла более 115000 долларов прибыли в 2019 году, а в 2020 году доступ к зараженным хостам реализовывался Ryuk, Avaddon и Conti, которые уверенно применяли Phorpiex для развертывания своих ransomware и выстригания кеша. Кроме того, функционал Trick также приносил пассивный заработок на криптовырезке (изменении адресов криптовалютного кошелька в буфере обмена), для которой не требовалось взаимодействие с С2.
Уверены, такой продукт долго не залежится на полке, отлично уйдет по цене в 9к баксов, даже без особого дисконта.
Причиной завершения проекта стал выход одного из участников из «бизнеса». Trik, как сами разработчики назвали свой продукт, был обнаружен и исследован ещё более 10 лет назад специалистами Check Point, они же и подтвердили подлинность реализуемого исходного кода. При этом озвученная версия также подтверждает еще и тем, что уже больше двух месяцев сервера управления и контроля malware по факту деактивированы.
Даже принимая во внимание, что ботнет будет продан, новый админ не только сможет развернуть сеть на новых хостах, но и подключить все ранее зараженные системы. Check Point указывает на то, что хостов в ботнете остается еще достаточно много.
Впрочем, такие заявления играют определённо на руку продавцам, чьей продукт и без того пользуется заслуженной репутацией: ботнет имеет стабильную историю монетизации за счет модулей спама и функции захвата буфера обмена криптовалюты.
Только спамом сеть принесла более 115000 долларов прибыли в 2019 году, а в 2020 году доступ к зараженным хостам реализовывался Ryuk, Avaddon и Conti, которые уверенно применяли Phorpiex для развертывания своих ransomware и выстригания кеша. Кроме того, функционал Trick также приносил пассивный заработок на криптовырезке (изменении адресов криптовалютного кошелька в буфере обмена), для которой не требовалось взаимодействие с С2.
Уверены, такой продукт долго не залежится на полке, отлично уйдет по цене в 9к баксов, даже без особого дисконта.
Check Point Research
Phorpiex Breakdown - Check Point Research
Research by: Alexey Bukhteyev Introduction We recently wrote about the massive “sextortion” spam campaign carried out by the Phorpiex botnet. However, this is only a small part of this botnet’s malicious activity. Capable of acting like both a computer worm…
Бинго!
После успешных прошлогодних тестов с атакой на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом, исследователи Швейцарского федерального технологического института (ETH) похакали аналогичным образом бесконтактные карты Mastercard и Maestro.
Используется та же уязвимость, заключающаяся в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой и бесконтактным POS-терминалом данных, а также специальное ПО, разработанное швейцарцами. Для реализации атаки все также необходимо еще и два Android-смартфона, один из которых эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
Только на этот раз схема масштабирована тем, что исследователи подменяют и саму карту таким образом, что PoS-терминал вместо Mastercard и Maestro видит входящую транзакцию от карты Visa с AID: A0000000031010.
А далее уже по отработанному сценарию: в момент оплаты на крупную сумму эмулятор POS запрашивает у карты данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту.
Для демонстрации своих возможностей исследователи провели транзакции на сумму до 400 швейцарских франков.
ETH Zurich своевременно информировала Visa и Mastercard об уязвимостях, однако должным образом потрудились лишь последние. В Visa который год просто динамят проблему.
Выводы делайте сами, господа.
После успешных прошлогодних тестов с атакой на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом, исследователи Швейцарского федерального технологического института (ETH) похакали аналогичным образом бесконтактные карты Mastercard и Maestro.
Используется та же уязвимость, заключающаяся в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой и бесконтактным POS-терминалом данных, а также специальное ПО, разработанное швейцарцами. Для реализации атаки все также необходимо еще и два Android-смартфона, один из которых эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
Только на этот раз схема масштабирована тем, что исследователи подменяют и саму карту таким образом, что PoS-терминал вместо Mastercard и Maestro видит входящую транзакцию от карты Visa с AID: A0000000031010.
А далее уже по отработанному сценарию: в момент оплаты на крупную сумму эмулятор POS запрашивает у карты данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту.
Для демонстрации своих возможностей исследователи провели транзакции на сумму до 400 швейцарских франков.
ETH Zurich своевременно информировала Visa и Mastercard об уязвимостях, однако должным образом потрудились лишь последние. В Visa который год просто динамят проблему.
Выводы делайте сами, господа.
YouTube
Demo: Bypassing the PIN for a Maestro card
Demo video of the attack we have reported in our research article for the 30th USENIX Security Symposium (2021)
Visit https://emvrace.github.io for details
Visit https://emvrace.github.io for details
Тайландская авиакомпания Bangkok Airways заявила, что 23 августа обнаружила себя жертвой кибериницдента.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских каратах, а также, что немаловажно, историю перелетов.
Так что на месте любителей погонять по Тайланду в компании ледибоев мы бы уже меняли ФИО.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских каратах, а также, что немаловажно, историю перелетов.
Так что на месте любителей погонять по Тайланду в компании ледибоев мы бы уже меняли ФИО.
Bangkok Airways
Bangkok Airways clarifies the incident of a cybersecurity attack
Fly full-service with Bangkok Airways. Enjoy a 20kg baggage allowance, in-flight meals, and seat selection for domestic and international flights.
Forwarded from SecurityLab.ru
Главный редактор Securitylab.ru Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
Власти Москвы вручат 150 тыс. руб. тому, кто сможет взломать систему онлайн-голосования, в Швеции вернули наркодилеру $1,6 млн в биткоинах, хакеры похитили 1,5 млн сканов паспортов, взломав серверы Oriflame, а ошибка ИИ может завести невиновного в тюрьму. Смотрите 29-й выпуск наших новостей https://www.youtube.com/watch?v=IA8RVXkLaz8
Власти Москвы вручат 150 тыс. руб. тому, кто сможет взломать систему онлайн-голосования, в Швеции вернули наркодилеру $1,6 млн в биткоинах, хакеры похитили 1,5 млн сканов паспортов, взломав серверы Oriflame, а ошибка ИИ может завести невиновного в тюрьму. Смотрите 29-й выпуск наших новостей https://www.youtube.com/watch?v=IA8RVXkLaz8
Сегодня новые горизонты, или точнее выразимся, вектора открылись перед предприимчивыми хакерами в рамках Zero-Day Initiative.
Ошибка была обнаружена вьетнамским исследователем Ле Суаном Туеном из компании VNPT ISC в марте 2021 года. Сразу после июльского обновления стали раскрыты технические подробности еще одной критической уязвимости Microsoft Exchange Server, которая получила условное наименование ProxyToken (CVE-2021-33766).
Бага по прогнозам ресерчеров, должна начать также активно эксплуатироваться как и ProxyShell.
ProxyToken позволяет неаутентифицированным злоумышленникам получать доступ к параметрам конфигурации почтовых ящиков пользователей, где они могут определить правило пересылки электронной почты и вносить изменения в конфигурацию панели управления Exchange (ECP), таким образом, что хакер может зеркалить почтовый трафик.
Механизм ошибки основан на делегированной аутентификации, которая позволяет отправлять неаутентифицированные запросы, содержащие непустой файл cookie с именем «SecurityToken» с внешнего интерфейса (сайт Microsoft Exchange, Outlook Web Access, Exchange Control Panel) на серверный (Exchange Back End). Это выполняется в комбинации с другой ошибкой HTTP 500, содержащей допустимую строку, необходимую для успешной выдачи неаутентифицированного запроса.
Ждем первых ласточек: от классической почтовой перлюстрации до серьезных операций с прерывистой пошифровкой.
Ошибка была обнаружена вьетнамским исследователем Ле Суаном Туеном из компании VNPT ISC в марте 2021 года. Сразу после июльского обновления стали раскрыты технические подробности еще одной критической уязвимости Microsoft Exchange Server, которая получила условное наименование ProxyToken (CVE-2021-33766).
Бага по прогнозам ресерчеров, должна начать также активно эксплуатироваться как и ProxyShell.
ProxyToken позволяет неаутентифицированным злоумышленникам получать доступ к параметрам конфигурации почтовых ящиков пользователей, где они могут определить правило пересылки электронной почты и вносить изменения в конфигурацию панели управления Exchange (ECP), таким образом, что хакер может зеркалить почтовый трафик.
Механизм ошибки основан на делегированной аутентификации, которая позволяет отправлять неаутентифицированные запросы, содержащие непустой файл cookie с именем «SecurityToken» с внешнего интерфейса (сайт Microsoft Exchange, Outlook Web Access, Exchange Control Panel) на серверный (Exchange Back End). Это выполняется в комбинации с другой ошибкой HTTP 500, содержащей допустимую строку, необходимую для успешной выдачи неаутентифицированного запроса.
Ждем первых ласточек: от классической почтовой перлюстрации до серьезных операций с прерывистой пошифровкой.
Zero Day Initiative
Zero Day Initiative — ProxyToken: An Authentication Bypass in Microsoft Exchange Server
Continuing with the theme of serious vulnerabilities that have recently come to light in Microsoft Exchange Server, in this article we present a new vulnerability we call ProxyToken. It was reported to the Zero Day Initiative in March 2021 by researcher Le…
Знакомьтесь, Mannus Gott! Это новая банда, работающая в формате datamarketplace, участники которой по факту админят веб-аукцион Marketo.
В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.
Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.
В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.
Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.
Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.
Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.
К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.
Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.
Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.
В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.
Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.
В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.
Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.
Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.
Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.
К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.
Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.
Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.
Twitter
Mannus Gott (@GottMannus) | Twitter
The latest Tweets from Mannus Gott (@GottMannus). There is one place that you'll remember for a long time. I can lead you to this place
Новые критические уязвимости в ICS (Industrial Control Systems, АСУ ТП) - все как мы любим. Да какие дырки!
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце прошлой недели американское Агентство кибербезопасности. CISA уведомило, что ошибки были выявлены еще в апреле, но исправляющие их патчи ожидаются не ранее 15 сентября. Комплексная оценка критичности - угрожающие 9.8
Позже более подробная информация в отношении дырок была дана исследователем Майклом Хайнцлом. Пять из выявленных им уязвимостей позволяют осуществить удаленное выполнение кода (RCE) неаутентифицированному пользователю. Остальные CVE по мелочи - обход аутентификации путем создания неаутентифицированным пользователем нового админа, получение пароля в cleartext и подделка межсайтовых запросов (XSRF).
Ну и кагбе чего, спросит пытливый подписчик. А дело в том, что DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением.
Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства. Мы, конечно, не специалисты, но понимаем, что если в телевизор дать 320 Вольт вместо 220, то телевизору будет плохо. А если туда же впихнуть невпихуемый энергопоток - зомбоящик может и бахнуть.
А если представить на месте телевизора какой-нибудь теоретический котел на теоретическом химическом производстве, в котором варится теоретический фосген, то можно неиллюзорно оконфузиться (кто сказал Бхопал?)
Вообще вопросы киберзащиты ICS - это за гранью добра и зла, конечно.
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце прошлой недели американское Агентство кибербезопасности. CISA уведомило, что ошибки были выявлены еще в апреле, но исправляющие их патчи ожидаются не ранее 15 сентября. Комплексная оценка критичности - угрожающие 9.8
Позже более подробная информация в отношении дырок была дана исследователем Майклом Хайнцлом. Пять из выявленных им уязвимостей позволяют осуществить удаленное выполнение кода (RCE) неаутентифицированному пользователю. Остальные CVE по мелочи - обход аутентификации путем создания неаутентифицированным пользователем нового админа, получение пароля в cleartext и подделка межсайтовых запросов (XSRF).
Ну и кагбе чего, спросит пытливый подписчик. А дело в том, что DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением.
Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства. Мы, конечно, не специалисты, но понимаем, что если в телевизор дать 320 Вольт вместо 220, то телевизору будет плохо. А если туда же впихнуть невпихуемый энергопоток - зомбоящик может и бахнуть.
А если представить на месте телевизора какой-нибудь теоретический котел на теоретическом химическом производстве, в котором варится теоретический фосген, то можно неиллюзорно оконфузиться (кто сказал Бхопал?)
Вообще вопросы киберзащиты ICS - это за гранью добра и зла, конечно.
Прелестное от BleepingComputer.
Ошибка в онлайн-системе приема иммиграционных заявлений канадского Управления по делам миграции привела к тому, что лимит в 40 тыс. заявок на прием в постоянное гражданство имеющих ВНЖ лиц был превышен более чем на 7 тыс. Ошибка простая - в отдельных случаях при одновременном поступлении нескольких заявок система полагала, что приняла одну.
Поэтому не грешите на Собянина, который якобы завез в Москву толпу мигрантов. Просто система ошиблась и вместо допустимых 5 тысяч выдала 8,5 миллионов разрешений.
Ошибка в онлайн-системе приема иммиграционных заявлений канадского Управления по делам миграции привела к тому, что лимит в 40 тыс. заявок на прием в постоянное гражданство имеющих ВНЖ лиц был превышен более чем на 7 тыс. Ошибка простая - в отдельных случаях при одновременном поступлении нескольких заявок система полагала, что приняла одну.
Поэтому не грешите на Собянина, который якобы завез в Москву толпу мигрантов. Просто система ошиблась и вместо допустимых 5 тысяч выдала 8,5 миллионов разрешений.
BleepingComputer
Canada accepted 7,300 more immigration applications due to technical bug
A bug in the Canadian immigration system led to the government accepting an additional 7,307 immigration applications, surpassing the imposed limit. This comprised files from international graduate stream applicants aspiring to change their temporary visa…
Однофакторная аутентификация (SFA) в системах, доступных в Интернете, отныне будет считаться BAD PRACTICES.
Отныне SFA официально признана Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) неэффективным методом кибербезопасности и включена в соответствующий реестр наряду с такими рискованными методами как: использование ПО с истекшим сроком службы (или без поддержки) и дефолтных учетных данных.
Перечисленные меры, по стандартам регулятора, не могут более применяться на объектах критической инфраструктуры (NCF), обеспечивающих национальную безопасность и экономическую стабильность.
Таким образом, как мы и прогнозировали, CISA реализовали опцию 2FA (в перспективе MFA) по умолчанию на весь правительственный и наиболее значимый частный сектор. Оно и понятно, ведь по данным исследований MFA позволяет блокировать до 99% фишинговых атак и 66% целевых. В целом, вероятность взлома учетной записи становится более чем на 99,9% ниже при использовании MFA.
В перспективе в перечень BAD PRACTICES также могут попасть: использование слабой криптографии, пересечение IT и OT сетей, слабая сегментация сети, отсутствие распределения прав, передача незашифрованного трафика, повторное использование скомпрометированных систем без должного реагирования на инциденты.
Глядя на современный ландшафт киберугроз, настоятельно рекомендуем избегать в работе BAD PRACTICES.
Отныне SFA официально признана Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) неэффективным методом кибербезопасности и включена в соответствующий реестр наряду с такими рискованными методами как: использование ПО с истекшим сроком службы (или без поддержки) и дефолтных учетных данных.
Перечисленные меры, по стандартам регулятора, не могут более применяться на объектах критической инфраструктуры (NCF), обеспечивающих национальную безопасность и экономическую стабильность.
Таким образом, как мы и прогнозировали, CISA реализовали опцию 2FA (в перспективе MFA) по умолчанию на весь правительственный и наиболее значимый частный сектор. Оно и понятно, ведь по данным исследований MFA позволяет блокировать до 99% фишинговых атак и 66% целевых. В целом, вероятность взлома учетной записи становится более чем на 99,9% ниже при использовании MFA.
В перспективе в перечень BAD PRACTICES также могут попасть: использование слабой криптографии, пересечение IT и OT сетей, слабая сегментация сети, отсутствие распределения прав, передача незашифрованного трафика, повторное использование скомпрометированных систем без должного реагирования на инциденты.
Глядя на современный ландшафт киберугроз, настоятельно рекомендуем избегать в работе BAD PRACTICES.
Forwarded from Эксплойт | Live
Баг поиска Google сломал звонки на Android
Об этом сообщила сама Google: после установки последних обновлений приложения «Поиск Google», пользователи некоторых моделей смартфонов не могли ни принимать, ни совершать звонки.
К счастью, компания уже выпустила новую версию приложения с исправленным багом.
Сейчас разработчики продолжают изучать проблему. Или, по крайней мере, уверяют нас в этом.
На всякий случай: если этот баг затронул и вас, перейдите по этой ссылке и нажмите «Обновить».
Об этом сообщила сама Google: после установки последних обновлений приложения «Поиск Google», пользователи некоторых моделей смартфонов не могли ни принимать, ни совершать звонки.
К счастью, компания уже выпустила новую версию приложения с исправленным багом.
Сейчас разработчики продолжают изучать проблему. Или, по крайней мере, уверяют нас в этом.
На всякий случай: если этот баг затронул и вас, перейдите по этой ссылке и нажмите «Обновить».
Выясняются интересные подробности взлома тайландской авиакомпании Bangkok Airways.
О киберинциденте объявила сама компания еще 23 августа. Утекли личные данные клиентов и сведения об их перелетах в объёме более 200 ГБ.
Признать себя жертвой оператору пришлось после того, как LockBit поставили их на счётчик на сайте утечки, вымогая выкуп.
Но если вы вспомните о том, как мы писали о переговорах вымогателей с IT-гигантом Accenture, то вполне обоснованно можете предположить, что атаки на Bangkok Airways и другого оператора Ethiopian были проведены во многом благодаря доступам к учетным данным, полученным в ходе кейса с Accenture. Правильно, LockBit в ходе давления на жертву как раз сообщали о своих намерениях пошифровать аэропорт, который использовал ПО Accenture.
Новости весьма тревожные, прежде всего, для других клиентов Accenture, особенно осознавая, что недополученную прибыль с которой LockBit компенсируют как раз за их счёт.
О киберинциденте объявила сама компания еще 23 августа. Утекли личные данные клиентов и сведения об их перелетах в объёме более 200 ГБ.
Признать себя жертвой оператору пришлось после того, как LockBit поставили их на счётчик на сайте утечки, вымогая выкуп.
Но если вы вспомните о том, как мы писали о переговорах вымогателей с IT-гигантом Accenture, то вполне обоснованно можете предположить, что атаки на Bangkok Airways и другого оператора Ethiopian были проведены во многом благодаря доступам к учетным данным, полученным в ходе кейса с Accenture. Правильно, LockBit в ходе давления на жертву как раз сообщали о своих намерениях пошифровать аэропорт, который использовал ПО Accenture.
Новости весьма тревожные, прежде всего, для других клиентов Accenture, особенно осознавая, что недополученную прибыль с которой LockBit компенсируют как раз за их счёт.
Telegram
SecAtor
Тайландская авиакомпания Bangkok Airways заявила, что 23 августа обнаружила себя жертвой кибериницдента.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских…
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских…
Еще 20 августа мы разбирались в новом функционале IoT-ботнета Mozi, который обеспечил админам возможность перехвата HTTP-сеансов и выполнения спуфинга DNS, а сегодня сами операторы уже под уголовкой.
Несмотря не то, что подробности арестов и имена подозреваемых не разглашаются. Известно, что админы были в разработке китайских спецслужб, и были арестованы во многом благодаря помощи спецов из Netlab, являющейся подразделением кибербезопасности китайского технологического гиганта Qihoo 360.
В ходе независимого расследования работы группировки, отчеты: 1 и 2, они смогли отследить инфраструктуру ботнета и его авторов.
Наблюдение начали еще в сентябре 2019 года, когда ботнет заразил более 15 тысяч систем. На тот момент развивался за счет сканирования и компрометации сети, к которой было подключено заражённое устройство, используя эксплойты или слабые пароли Telnet. Червеобразный ботнет содержал на вооружении более десяти эксплойтов, что обеспечило ему молниеносный рост, достигнув пика в более чем 1,5 млн. устройств, из которых 830 тыс. были расположены в КНР.
Netlab установили, что помимо упомянутого Microsoft модуля контроля трафика, за две недели до ареста развернули функционал, который подгружал на боты майнеры крипты, что позволяло монетизировать сеть в перерывах между заказами на DDoS.
Работая на протоколе DHT, ботнет реализовывал одноранговую P2P сеть между всеми зараженными устройствами, позволяя ботам напрямую отправлять обновления и рабочие инструкции друг другу, что также позволяет Mozi продолжать работать по сути автономно, в связи с чем остановить его будет достаточно сложной задачей.
Аналогчным образом продолжают существовать зомби-боты ботнета Hoaxcall, который схлопнули в начале этого года.
Пока авторов будут предавать уголовным утехам Mozi, Hajime и Hoaxcalls будут дистанционно радовать своих хозяев, пополняя кошельки криптой и подгружая в сеть новых ботов еще продолжительное время в будущем.
Несмотря не то, что подробности арестов и имена подозреваемых не разглашаются. Известно, что админы были в разработке китайских спецслужб, и были арестованы во многом благодаря помощи спецов из Netlab, являющейся подразделением кибербезопасности китайского технологического гиганта Qihoo 360.
В ходе независимого расследования работы группировки, отчеты: 1 и 2, они смогли отследить инфраструктуру ботнета и его авторов.
Наблюдение начали еще в сентябре 2019 года, когда ботнет заразил более 15 тысяч систем. На тот момент развивался за счет сканирования и компрометации сети, к которой было подключено заражённое устройство, используя эксплойты или слабые пароли Telnet. Червеобразный ботнет содержал на вооружении более десяти эксплойтов, что обеспечило ему молниеносный рост, достигнув пика в более чем 1,5 млн. устройств, из которых 830 тыс. были расположены в КНР.
Netlab установили, что помимо упомянутого Microsoft модуля контроля трафика, за две недели до ареста развернули функционал, который подгружал на боты майнеры крипты, что позволяло монетизировать сеть в перерывах между заказами на DDoS.
Работая на протоколе DHT, ботнет реализовывал одноранговую P2P сеть между всеми зараженными устройствами, позволяя ботам напрямую отправлять обновления и рабочие инструкции друг другу, что также позволяет Mozi продолжать работать по сути автономно, в связи с чем остановить его будет достаточно сложной задачей.
Аналогчным образом продолжают существовать зомби-боты ботнета Hoaxcall, который схлопнули в начале этого года.
Пока авторов будут предавать уголовным утехам Mozi, Hajime и Hoaxcalls будут дистанционно радовать своих хозяев, пополняя кошельки криптой и подгружая в сеть новых ботов еще продолжительное время в будущем.
360 Netlab Blog - Network Security Research Lab at 360
Mozi已死,余毒犹存
背景
360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。
现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的…
360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。
现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的…
В даркнете реализован PoC, позволяющий использовать буфер памяти графического процессора для хранения и выполнения вредоносного кода, что обеспечивает ему надежную защиту от антивирусных средств, нацеленных, прежде всего, на оперативную память.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.