​​Claroty обнаружили 11 уязвимостей безопасности в системах управления сетью Nagios, которые позволяют удаленно выполнять код с наивысшими привилегиями, приводить к краже учетных данных и фишинговым атакам.

Nagios Core - это популярный инструмент для управления сетями с открытым исходным кодом, аналогичный SolarWinds Network Performance Monitor (NPM), который используется для мониторинга за ИТ-инфраструктурой на предмет выявления сбоев в работе критически важных компонентов. На базе Nagios Core функционирует Nagios XI - проприетарная веб-платформа, предоставляющая организациям контроль за ИТ-операциями и имеющая масштабируемый мониторинг с настраиваемым высокоуровневым обзором хостов, служб и сетевых устройств.

Основными являются две уязвимости удаленного выполнения кода (CVE-2021-37344, CVE-2021-37346) в Nagios XI Switch Wizard и Nagios XI WatchGuard Wizard, уязвимость SQL-инъекции (CVE-2021-37350) в Nagios XI и подделка запроса на стороне сервера (SSRF), влияющая на мастер Nagios XI Docker, а также RCE с пост-аутентификацией в инструменте автоматического обнаружения Nagios XI. В совокупности они дают возможность сбросить веб-оболочку или выполнить сценарии PHP, повышая привилегии до root, таким образом открывает доступ для произвольного выполнения команд.

Проблемы исправлены в обновлениях, выпущенных в августе: Nagios XI 5.8.5 и выше, Nagios XI Switch Wizard 2.5.7 и выше, Nagios XI Docker Wizard 1.13 и выше, а также Nagios XI WatchGuard 1.4.8 и выше.

Это уже далеко нет первый набор баг, в мае этого года Skylight Cyber уже находили 13 слабых мест в безопасности приложения для мониторинга сети, которые могут быть использованы злоумышленником для взлома инфраструктуры без вмешательства оператора.

Системы управления сетью требуют обширного доступа к компонентам сети и, безусловно, могут выходить за ее пределы через брандмауэр, чтобы обслуживать удаленные серверы и соединения. Все это делает такие сетевые концентраторы одной из главных мишеней для хакеров, ориентированных на цепочку поставок.

Достаточно вспомнить SolarWinds и Kaseya, обладающих, безусловно, куда большей и более интересной клиентской базой. Но это вовсе, не означает, что системы Nagios с таким «прекрасным» набором дыр не заинтересует теневой сегмент.

Владельцам камер и видеорегистраторов Hikvision рекомендуется накатить патч на свои девайсы, так как более 70 моделей подвержены критической уязвимости, которая позволяет хакерам удаленно управлять устройствами без какого-либо взаимодействия с пользователем.

Исследователь Watchful IP раскрыл в своем блоге сведения об уязвимости CVE-2021-36260, которая может быть использована для получения root-доступа и полного контроля над устройством. Самое эпичное, что злоумышленник также может использовать взломанные устройства для доступа к внутренним сетям. Со слов исследователя, для эксплуатации уязвимости требуется только доступ к порту сервера http(s) (обычно 80/443).

Как известно, производитель Hikvision крайне популярен в РФ, размещая устройства в коммерческих организациях и на объектах критической инфраструктуры, что потенциально подвергает их серьезному риску.

Китайская компания отметила, что эксплуатация возможна, если злоумышленник имеет сетевой доступ к устройству или если устройство подключено к Интернету. Проблема затрагивает как старые, так и новые камеры и сетевые видеорегистраторы Hikvision.

На сайте производителя представлен полный список уязвимых продуктов, а также пропатченные версии прошивок устройств, что определенно пригодится владельцам Hikvision из числа наших читателей.

​🔖 Актуальный список CTF и Bug Bounty площадок.

🖖🏻 Приветствую тебя user_name.

• Чтобы стать пентестером мирового уровня, тебе необходимо освоить наступательные концепции безопасности, использовать проверенную методологию и постоянно тренироваться. Для тренировок существуют различные площадки, благодаря которым, ты можешь получить практический опыт в различных направлениях.

🚩 CTF:

• https://hack.me/
• http://hax.tor.hu/
• http://pwnable.tw/
• http://reversing.kr/
• http://ctflearn.com/
• https://365.csaw.io/
• https://picoctf.com/
• https://w3challs.com/
• https://hackthebox.eu/
• https://ctf.hackucf.org/
• https://cryptopals.com/
• https://tryhackme.com/
• https://exploit.education/
• http://freehackquest.com/
• https://www.root-me.org/
• https://www.vulnhub.com/
• https://ctf.hacker101.com/
• http://ctf.komodosec.com/
• https://attackdefense.com/
• https://cmdchallenge.com/
• https://immersivelabs.com/
• http://www.hackthissite.org/
• http://ctf.infosecinstitute.com/
• https://www.hacking-lab.com/
• https://captf.com/practice-ctf/
• https://www.hacksplaining.com/
• https://junior.stillhackinganyway.nl/
• https://academy.hackaflag.com.br/

👾 Идем дальше. Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Если ты давно тренируешься на CTF площадках, то обрати внимания на список Bug Bounty платформ. Этот список я нашел в канале @qa_security, за что ребятам большое спасибо.

• https://firebounty.com/
• https://hackenproof.com
• https://www.synack.com/
• https://www.intigriti.com/
• https://www.hackerone.com/
• https://www.bugcrowd.com/
• https://www.yeswehack.com/
• https://internetbugbounty.org/
• https://www.vulnerability-lab.com/
• https://bughunter.withgoogle.com/
• https://www.facebook.com/whitehat
• https://google-gruyere.appspot.com/
• https://www.microsoft.com/en-us/msrc/bounty

‼️ Дополнительную информацию ты можешь найти по хештегу #Подборка. Твой S.E.

​​Фабиан Восар из Emsisoft раскрыл коварную криптографическую схему REvil, согласно которой в своем вредоносном ПО админы запилили криптобэкдор.

Применялся главный закрытый ключ, который являлся отмычкой REvil для операций своих аффилированных партнеров, позволяя оператору расшифровать любую их жертву. Как раз именно такой ключ попал в руки Bitdefender, о чем мы совсем недавно рассказывали и что полностью подтверждает нашу версию о поимке спецслужбами по наводке США одного из членов банды.

REvil достаточно умело использовали схему. Согласно исследованиям Advanced Intel, минимум с 2020 года на хакерских площадках появились сообщения о том, что операторы RaaS вели переговоры с жертвами в секретных чатах без ведома аффилированных лиц, получая плюсом к причитающимся 30% выкупа и долю партнера, выполнившего всю грязную работу по взлому и шифрованию (обычно доля составляла 70-80%).

Оказалось, что администраторы REvil попросту заводили второй чат, идентичный тому, который используется их партнером для переговоров с жертвой о выкупе. Когда переговоры доходили до критической точки, в чате с аффилированным лицом REvil изображали из себя жертву, прекращающую переговоры и желающую платить выкуп, продолжая реальные переговоры уже самостоятельно в основном чате.

Наличие такого козыря в рукаве давало операторам ransomware полный контроль над расшифровкой любой системы, заблокированной их вредоносным ПО, и в реальности является общей практикой, наблюдаемой в других, более новых группах программ-вымогателей. В частности, после ребрендинга, BlackMatter прямо об этом рассказывали, давая понять, что они оставляют за собой право в любой момент без объяснения причин замкнуть переговорный процесс на себя.

В то же время, по данным Advanced Intelligence, в последних образцах REvil главный ключ, который позволял бы операторам расшифровать зараженную их ПО систему, отсутствует.

С одной стороны, оно и верно: зачем кодерам, в моменте решившим заработать на репутации бренда, брать на себя ответственность за возможные инциденты, когда более выгодно продавать код, сняв в себя риски оказаться на месте задержанного Unknown.

С другой стороны, новых REvil все же следует опасаться, ведь возрождение легендарного бренда может быть ловушкой, нацеленной на обнаружение и разработку акторов первичного доступа, тестировщиков и других подельников банды вымогателей.

Apple совсем недавно закрыли две 0-day уязвимости, одна из которых использовалась израильтянами из NSO Group для кибершпионажа all over the world по заказу национальных спецслужб и других правоохранительных структур различных стран.

Но, согласно известной мудрости Уборщика - "если она злая баба вышла, то другая злая баба вошла". Поэтому минувшей ночью вышло очередное обновление для яблочных устройств, правда не для всех. Владельцы последних шести поколений iPhone, а также Mac под управлением Big Sur могут чувствовать себя спокойно (относительно, конечно).

А вот люди со старыми iPhone (5s, 6, 6 Plus), iPad (Air, mini 2, mini 3) и маками под управлением предыдущей версии macOS - Catalina - обязаны срочно обновиться. Поскольку во внеочередном патче Apple закрыли CVE-2021-30869 обнаруженную исследователями из Google TAG. А эта "замечательная" ошибка в ядре ОС в случае успешной эксплуатации приводит к удаленному выполнению кода (RCE) с рутовыми правами.

Что еще более неприятно - Google TAG говорят, что эта уязвимость активно эксплуатируется в дикой природе вместе с еще одним более старым эксплойтом, нацеленным на WebKit (коих дырок в текущем году Apple закрыли предостаточно).

И если владельцы старых iPhone вряд ли могут стать целью хакеров (хотя такое тоже исключить нельзя), то Catalina вместо более новой Big Sur используется достаточно активно (и на это есть причины, не так ли).

Поэтому если вы относитесь к перечисленным выше категориям граждан, то срочно ̶п̶р̶о̶с̶л̶е̶д̶у̶й̶т̶е̶ ̶к̶ ̶б̶л̶и̶ж̶а̶й̶ш̶е̶м̶у̶ ̶б̶о̶м̶б̶о̶у̶б̶е̶ж̶и̶щ̶у̶ обновитесь.

​​Больше года назад мы рассказывали про южнокорейскую APT DarkHotel, которая получила свое название благодаря длительной киберкампании по компрометации сетей дорогих отелей по всему миру с целью кибершпионажа в отношении их постояльцев. Атака на водопой, невероятно красивая в своей концепции.

Как теперь оказывается, идея атак на отели не была заброшена, и ее переняли (кто-бы вы думали!) китайцы.

Словацкая инфосек компания ESET выпустила отчет о выявленной ими новой хакерской группе FamousSparrow, которая активна по крайней мере с 2019 года. Впрочем, мы всегда держим в уме, что словаки временами несут такую дичь, что мы испытываем испанский стыд. Вот и в этот раз не все так гладко в их исследовании.

Итак, ESET заявляют, что FamousSparrow нацелена на отели, а также на правительственные организации, инжиниринговые компании и юридические фирмы, находящиеся практически во всех частях света. К примеру - в Бразилии, Буркина-Фасо, ЮАР, Израиле, Канаде, Литве, Саудовской Аравии, Тайланде и др.

APT использовала различные веб-приложения для первичной компрометации целевой сети. В частности, ESET обнаружили, что хакеры стали применяли эксплойт-кит ProxyLogon для уязвимостей в Microsoft Exchange 3 марта - на следующий день после выхода закрывающего ошибки обновления. Маловероятно, что хакеры успели за сутки сделать реинжиниринг патча, да еще и закрывающего не одну, а сразу несколько уязвимостей. Поэтому в данном случае потенциальная связь FamousSparrow с Китаем подтверждается. Так как именно китайцы начали эксплуатировать ProxyLogon более чем за два месяца до его обнаружения Microsoft, а мы так вообще полагаем, что они получили данные об этих дырках через взлом SolarWinds (а не эти ваши хакеры из российской разведки).

Согласно другим TTPs, приведенным словаками, APT в конечном счете связана с известными китайскими хакерскими группами Winnti и Emissary Panda aka APT 27. Все это похоже на правду и здесь у нас вопросов к ESET в общем-то нет.

А вот в отношении используемых FamousSparrow вредоносов словаки по привычке начали темнить. В ходе расследования выявленных инцидентов они нашли модифицированный Mimikatz и Nbtscan, а также небольшую утилиту для дампа lsass. А вот какой-то авторской малвари as is обнаружено не было.

Тогда ESET с помощью телеметрии нашли компонент некоего загрузчика, который использовался FamousSparrow. А на VirusTotal нашли другой загрузчик, который был "очень похож" на первый. И вот его они уже разобрали.

А после разбора нашли авторский бэкдор, названный ими SparrowDoor, который представляет собой полноценный кибершпионский RAT. Мы бы, если честно, предложили им другое название для этой малвари - PeaceDoorBall.

Но не будем.

Хьюстон, Хьюстон, у нас проблемы. Но в действительности проблемы у Хьюстона.

Пока не взявшая на себя ответственность и непровозглашённая APT напала на порт.

Пресечена очередная атака на критическую инфраструктуру США. Под ударом оказался один из крупнейших портов - Хьюстон, находящийся в Хьюстонском судоходном канале, на берегу Мексиканского залива. Представители объекта заявили, что успешно отразили атаку и в результате попытки проникновения в сеть не пострадали никакие информационные системы.

В расследовании инцидента принимали участие CISA и ФБР, которые сообщили, что атаки совершены известной АРТ с использованием уязвимостей нулевого дня CVE-2021-40539 в Zoho, о которой мы недавно писали. Вместе с тем, атака пока не атрибутировала публично.

На сегодняшних слушаниях в Сенате официальные лица CISA вновь предупредили общественность и конгрессменов об угрозах, так как уязвимость используется с августа по настоящее время, несмотря на то, что в Zoho исправили дыру еще 8 сентября, когда CISA выпустила первое предупреждение об инцидентах с CVE-2021-40539.

Ничего более об атаке пока ни официальные лица порта Хьюстон, ни CISA не предоставили, сославшись, что идет тесное сотрудничество с разведывательными службами, дабы лучше понять субъекта угрозы и обеспечить защиту своих систем.

Вероятно, проблемы не только у Хьюстона.

SonicWall исправил критическую багу CVE-2021-20034 в системах управления доступом продуктов серии 100 Secure Mobile Access (SMA), включая SMA 200, 210, 400, 410 и 500v.

Продукты SonicWall используют более 500 000 бизнес-клиентов в более, чем 215 странах. Многие из них развернуты в сетях крупнейших организаций, предприятий и государственных учреждений.

Обнаруженная ошибка связана с неправильным ограничением пути к файлу в каталоге с ограниченным доступом. Ее успешная эксплуатация может позволить злоумышленникам удалить произвольные файлы из непропатченных шлюзов безопасного доступа SMA 100 для возврата в заводские настройки и потенциально получить доступ с правами администратора к устройству.

Несмотря на то, что производитель не обнаружил доказательств того, что уязвимость в настоящее время эксплуатируется в дикой природе. Временных мер по устранению вектора атаки нет, в связи с чем SonicWall настоятельно призвал клиентов как можно скорее развернуть с MySonicWall.com обновления безопасности.

Как мы знаем, напутствие не беспочвенно, ведь с начала 2021 года устройства серии SonicWall SMA 100 неоднократно подвергались атакам ransomware, конечной целью которых было проникновение в сеть крупной организации.

Например, UNC2447 (по версии Mandiant) использовала ошибку нулевого дня CVE-2021-20016 в устройствах SonicWall SMA 100 для развертывания FiveHands в конце февраля, а в июле SonicWall фиксировали попытки атак вымогателей на непропатченные продукты серии SMA 100 с истекшим сроком службы (EoL) и продукты безопасного удаленного доступа (SRA).

По прогнозам CISA, CrowdStrike и Coveware, в ближайшее время вымогатели непременно воспользуется брешью в защите SonicWall для атак, если уже не воспользовались моментом и не находятся в сети жертв.

​​Совсем немного времени прошло с очередного скандала по поводу использования израильской компанией NSO Group, специализирующейся на кибершпионаже, 0-day уязвимостей для слежки за крупными политиками во многих странах мира. И вот вчера Zerohedge опубликовали материал в отношении связей израильских кибершпионов с администрацией Байдена.

Впрочем, сразу разместим дисклеймер - мы знаем, что Zerohedge это не самый доверенный источник информации в сети, товарищи умеют и любят в conspiracy theory. С другой стороны, множество конспирологий в конце концов оказывалось сущей правдой, а Zerohedge периодически выдает интересные инсайды.

По их данным, чикагское СМИ The Electronic Intifada направило официальный запрос о публичном раскрытии финансовой информации, в ответе на который указывается, что действующий (и предпредыдущий) пресс-секретарь Белого Дома Джейн Псаки в перерывах между служением идеалам американской демократии сотрудничала в качестве "консультанта по кризисным коммуникациям" с другой израильской компанией AnyVision.

AnyVision - это фирма, разрабатывающая технологии распознавания лиц и обработки биометрии. Еврейские дельцы демонстративно придерживались риторики отказа от сотрудничества с "авторитарными" режимами и декларировали продажу своего ПО только передовым западным демократиям и дружащим с ними людоедам. Но это все равно не помогло и в 2019-2020 годах по AnyVision проехался правозащитный каток, в результате чего они были обвинены в скрытом наблюдении за палестинцами в интересах Армии Израиля, что повлекло за собой отказ от инвестирования со стороны западных компаний, к примеру Microsoft.

Теперь же, как говорят Zerohedge, выясняется, что Псаки консультировала израильтян и, вероятнее всего, - консультировала по поводу возможности избежания скандала с правозащитниками. Ирония судьбы в том, что основную скрипку в расследовании деятельности AnyVision сыграл бывший генеральный прокурор США Эрик Холдер, другой член команды Обамы.

И хотя размер контракта Псаки был невелик - всего 5000 долларов, что для такого масштаба фигуры является несомненно смехотворной суммой, факт платного сотрудничества имеет место быть.

Остается выяснить кто сидит на зарплате у NSO Group 😎

Приватность почти 4 млрд. пользователей продается в даркнете всего за 100 тыс. долларов.

На хакерском форуме была выставлена на продажу приватная база данных о более чем 3,8 млрд. зарегистрированных пользователей Clubhouse и их телефонных контактов, в том числе и тех, у кого нет аккаунта в соцсети. Кроме того, база включает: имена, ранги в клубе и ссылки на профили Facebook.

Анонс утечки свидетельствует о компрометации злоумышленниками самого сервиса Clubhouse, после выдвижения соцсетью требования синхронизации приложения со списками контактов своих пользователей, то есть после 24 июля.

Мнения экспертов по этому поводу все же разняться. После недавних скандалов с утечками, которые по факту оказывались результатом парсинга Facebook и Clubhouse, новая база может оказаться их компиляцией. В частности, реализующий базу хакер также предлагает купить приватные массивы Facebook.

Эксклюзивность базы не вызывает споров, а вот уникальность похоже что кто-то уже пытался оценивать, судя по тому, как долго и как безуспешно она реализуется. Однако не стоит исключать, что появлению утечки в паблике не предшествовали ее активные эксплуатации или приватные продажи.

Похоже, что соцмедиа гигантам пора бы уже скомплектовать службы ИБ или хотя посадить кого-нибудь на аутсорс, иначе сложно придумать объяснения утечкам на миллиарды, даже если они добыты в ходе парсинга или вовсе магических обрядов. К - конфиденциальность.

Google выпустила экстренное обновление Chrome 94.0.4606.61 для Windows, Mac и Linux, причиной стала критическая 0-day уязвимость, активно эксплуатируемая в дикой природе.

Ошибка CVE-2021-37973 возникла после устранения недостатков в Portals, новой системе навигации по веб-страницам Google для Chrome. Успешная эксплуатация этой уязвимости может позволить злоумышленникам выполнить произвольный код на компьютерах с уязвимыми версиями Chrome.

Существование эксплойта для CVE-2021-37973 было признано самим разработчиком. Это уже 11 исправленная 0-day уязвимость в веб-браузере Chrome с начала 2021 года.

Несмотря на то, что Google заявила, что обнаружила в дикой природе атаки с использованием CVE-2021-37973 подробности о инцидентов не разглашаются.

Доступ к деталям ограничен до тех пор, пока большинство пользователей не обновят исправление, а также пока дыра не будет устранена также в сторонней библиотеке, от которой аналогичным образом зависят другие проекты.

Настоятельно рекомендуем не дожидаться подробностей и накатывать обновления Google Chrome, которые кстати уже доступны.

По неведанным причинам ребята из Купертино игнорируют нашего соотечественника. А речь, как бы идет о 3 уязвимостях 0-day в iOS.

Исследователь Денис Токарев опубликовал код эксплоитов на GitHub после того, как Apple отказалась их исправлять. Ранее, разработчик ПО обнаружил 4 уязвимости 0-day и сообщил о них в Apple еще 10 марта. Однако компания молча исправила всего лишь один из них в июле, выпустив версию 14.7 без упоминания исследователя в рекомендациях по безопасности.

Речь идет об этих багах:

- Gamed 0-day (iOS 15.0): предоставляет возможность несанкционированного доступа к конфиденциальным данным с помощью приложений, установленных пользователем из App Store (на странице Apple Security Bounty Program такая бага оценивается в 100 000 долларов).

- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому установленному ПО определять, установлено ли какое-либо приложение на устройстве.

- Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому использующему Wifi приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации о параметрах Wi-Fi без необходимого разрешения.

- Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению получать доступ к журналам аналитики: информация из категории "здоровье", сведения об использовании устройства, информация о времени экрана и количестве сеансов для приложений, данные об используемых аксессуарах с указанием производителя, модели, версии прошивки и присвоенных пользователем имен, языки веб-страниц, которые пользователи просматривали в Safari.

Попытки достучаться до компании не увенчались успехом. К сожалению, Денису так и не удалось получить объяснение о неспособности Apple исправить остальные уязвимости, а также узнать причины отказа признать их. Другие исследователи также подтвердили, что в iOS 15.0 сохраняются все раскрытые ошибки.

Печальная практика Apple снова в деле: это уже далеко не первый случай компрометации Apple своей программы вознаграждения Apple Security Bounty Program для обнаружения уязвимостей, в 2021 году уже известно не об одном таком инциденте. По итогу специалисты до сих пор дожидаются признания, вознаграждения и справедливости, по факту - ошибки исправляются, а компания процветает.

​​Eclypsium обнаружили критическую уязвимость в двоичной таблице платформы Microsoft Windows (WPBT), которую можно использовать для проведения атак и установки руткитов на все компьютеры с Windows, произведенные с 2012 года, когда эта функция была впервые представлена в Windows 8.

WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.

Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.

Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.

Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.

Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.

С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇

Чудесная чудесность.

В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.

Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).

Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.

От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.

​​Разработчик Ethereum Foundation проживавший в Сингапуре гражданин США Вирджил Гриффит получит 20 лет тюрьмы после участия в конференции по криптовалюте в КНДР.

В ноябре 2019 года исследователь был арестован сотрудниками ФБР США. По версии спецслужб, он выехал в Северную Корею для проведения презентация о том, как использовать криптовалюту и технологию блокчейн для отмывания денег и уклонения от санкций. Кроме того, рассказал и о том, как Северная Корея может использовать криптовалюту, чтобы стать независимой от мировой банковской системы.

А самое главное, по мнению Министерства юстиции США, Гриффит общался там по техническим вопросам с участниками, которые (о, боже!) работали на правительство КНДР. При этом он посетил Корею, несмотря на отказ Госдепартамента США и не имея лицензии Министерства финансов и Управления по контролю за иностранными активами (OFAC).

Безусловно, рассчитывая получить меньший срок в условиях неотвратимости наказания, в суде Вирджил Гриффит признал себя виновным в оказании помощи КНДР в уклонении от санкций США. Окончательный вердикт суд вынесет 18 января 2022 года.

Если отбросить грозные пасквили американских обвинителей, 20 лет жизни будет стоить разработчику поездка в КНДР с презентацией продукта, который при желании северокорейцы и без конференции вполне могли бы вполне и сами освоить.

Но прекрасно понимаем, что дело ни в поездке и ни в мировой финансовой независимости, тут дело принципа. Да, и отличный повод нарисовался, чтобы начать с подсудимым диалог до вынесения судом окончательного вердикта.

Microsoft Threat Intelligence Center сообщил об обнаружении нового вредоносного ПО FoggyWeb, который представляет собой пассивный и узконаправленный бэкдор для разворачивания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов Active Directory (AD FS).

FoggyWeb применяется для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена.

FoggyWeb работает как постоянный бэкдор, который позволяет злоумышленникам удаленно красть конфиденциальную информацию путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов, перехвата запросов GET/POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля и запускать их на скомпрометированном сервере.

Использование FoggyWeb в дикой природе, по данным MSTIC, реализуется с апреля 2021 года. Специалисты его характеризуют как «вредоносную резидентную DLL в памяти», поскольку устанавливается с помощью загрузчика с использованием техники перехвата порядка поиска DLL.

И, конечно же, такой изящный инструмент не остался без атрибуции и не может не принадлежать russian hackers, о чем MSTIC публично заявили, без какой-либо детальной проработки вопроса, как прочем и ранее отнесенные к Nobelium другие штаммы вредоносного ПО: BoomBox, EnvyScout, VaporRage, NativeZone (май) и GoldMax, Sibot, GoldFinder (март), а в принципе и не только штаммы - но и целые кампании, о чем мы уже писали.

Очень удобно, но, к сожалению, не всегда профессионально.

​​Производитель сетевых хранилищ (NAS) QNAP исправил свою систему управления видео QVR, устранив 2 критически важные проблемы, которые могут быть использованы для выполнения произвольных команд.

ПО QVR - это профессиональное решение, которое позволяет осуществлять видеонаблюдение, запись, воспроизведение и оповещение о тревогах в реальном времени с использованием IP-камер.

В целом, QNAP устранила в общей сложности 3 уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых CVE-2021-34351 и CVE-2021-34348 получили оценки 9,8 из 10 соответственно. Обе ошибки в совокупности позволяют удаленному злоумышленнику запускать команды в уязвимых системах и получать полный контроль над устройством. Третья бага CVE-2021-34349 с оценкой 7,2, принадлежит к тому же классу ошибок.

Исправленные критические уязвимости затрагивают продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, в связи с чем QNAP выпустили обновление ПО QVR 5.1.5 build 20210803.

И это не зря, ведь мы помним, как Qlocker уже использовали уязвимости в HBS (жестко заданные учетные данные) для массового взлома и шифрования данных на NAS-устройствах QNAP, потребовав выкуп размере 500 долларов за восстановление. Всего за пять дней операторам ransomware удалось поднять на этой кампании более 260 тыс. долларов.

Кроме того, периодически кадры с камер наблюдения попадают в сеть. В марте хакеры слили съемки с камер Verkada, установленных в крупных американских компаниях и госорганах, в том числе Tesla, Equinox и др.

—Партнерский пост—

В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.

Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.

Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!

Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку канал дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!

Воскресным вечером активно набирающий популярность мессенджер для зашифрованного обмена сообщениями Signal пострадал из-за короткого перебоя в работе, в результате чего услуги на платформе были прерваны. Также были зафиксированы сбои в работе некоторых других приложений, включая платформу знакомств Tinder и популярный сайт новостей и обсуждений Reddit.

Signal сослался на проблемы с хостингом, собственно всему виной и оказался Amazon со своими облачными решениями Amazon Web Services (AWS), сервера в северном штате Вирджиния по непонятным причинам стали "ложиться". По словам разработчиков Signal, к 07:00 по Гринвичу обслуживание абонентов уже было восстановлено и обмен сообщениями стал доступен для 99% пользователей и компания активно работает над оставшимся 1%.

Мы прекрасно помним, как глас вездесущего Илона Маска вызвал бунт скачиваний после его рекомендаций использовать приложение Signal. Совет стал реакцией на изменения в политике конфиденциальности WhatsApp, которое теперь будет в принудительной форме передавать часть данных пользователей Facebook.

Будем надеяться, что перебои в работе были случайностью, а не происками каких-нибудь АНБ. Ну, а что пользователи прибавляются и трафик растет, а съемники старые стоят, вот пришлось воткнуть новые.

Без комментариев.

https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene/?show=Y

Поспорили два мужика - бывают чудеса или нет.

- Вот смотри, упал поп с колокольни и не разбился! Разве не чудо?
- Это случайность.
- А вот он второй раз полез на колокольню, упал и опять не разбился!
- Это совпадение.
- А он третий раз полез, упал и снова целый!
- А это уже привычка.