Eclypsium обнаружили критическую уязвимость в двоичной таблице платформы Microsoft Windows (WPBT), которую можно использовать для проведения атак и установки руткитов на все компьютеры с Windows, произведенные с 2012 года, когда эта функция была впервые представлена в Windows 8.
WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.
Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.
Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.
Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.
Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.
С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇
WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.
Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.
Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.
Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.
Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.
С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇
YouTube
Firmware Under Fire: Implants via Email
Firmware is increasingly the most unprotected and accessible beachhead for attackers. In this demo, see how opening a simple email allows a firmware implant — invisible, untraceable, and un-erasable — to successfully bypass “modern” endpoint defenses.
Чудесная чудесность.
В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.
Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).
Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.
От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.
В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.
Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).
Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.
От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.
Twitter
Costin Raiu
In iOS 15, the phone is findable even when “Powered off”.
Разработчик Ethereum Foundation проживавший в Сингапуре гражданин США Вирджил Гриффит получит 20 лет тюрьмы после участия в конференции по криптовалюте в КНДР.
В ноябре 2019 года исследователь был арестован сотрудниками ФБР США. По версии спецслужб, он выехал в Северную Корею для проведения презентация о том, как использовать криптовалюту и технологию блокчейн для отмывания денег и уклонения от санкций. Кроме того, рассказал и о том, как Северная Корея может использовать криптовалюту, чтобы стать независимой от мировой банковской системы.
А самое главное, по мнению Министерства юстиции США, Гриффит общался там по техническим вопросам с участниками, которые (о, боже!) работали на правительство КНДР. При этом он посетил Корею, несмотря на отказ Госдепартамента США и не имея лицензии Министерства финансов и Управления по контролю за иностранными активами (OFAC).
Безусловно, рассчитывая получить меньший срок в условиях неотвратимости наказания, в суде Вирджил Гриффит признал себя виновным в оказании помощи КНДР в уклонении от санкций США. Окончательный вердикт суд вынесет 18 января 2022 года.
Если отбросить грозные пасквили американских обвинителей, 20 лет жизни будет стоить разработчику поездка в КНДР с презентацией продукта, который при желании северокорейцы и без конференции вполне могли бы вполне и сами освоить.
Но прекрасно понимаем, что дело ни в поездке и ни в мировой финансовой независимости, тут дело принципа. Да, и отличный повод нарисовался, чтобы начать с подсудимым диалог до вынесения судом окончательного вердикта.
В ноябре 2019 года исследователь был арестован сотрудниками ФБР США. По версии спецслужб, он выехал в Северную Корею для проведения презентация о том, как использовать криптовалюту и технологию блокчейн для отмывания денег и уклонения от санкций. Кроме того, рассказал и о том, как Северная Корея может использовать криптовалюту, чтобы стать независимой от мировой банковской системы.
А самое главное, по мнению Министерства юстиции США, Гриффит общался там по техническим вопросам с участниками, которые (о, боже!) работали на правительство КНДР. При этом он посетил Корею, несмотря на отказ Госдепартамента США и не имея лицензии Министерства финансов и Управления по контролю за иностранными активами (OFAC).
Безусловно, рассчитывая получить меньший срок в условиях неотвратимости наказания, в суде Вирджил Гриффит признал себя виновным в оказании помощи КНДР в уклонении от санкций США. Окончательный вердикт суд вынесет 18 января 2022 года.
Если отбросить грозные пасквили американских обвинителей, 20 лет жизни будет стоить разработчику поездка в КНДР с презентацией продукта, который при желании северокорейцы и без конференции вполне могли бы вполне и сами освоить.
Но прекрасно понимаем, что дело ни в поездке и ни в мировой финансовой независимости, тут дело принципа. Да, и отличный повод нарисовался, чтобы начать с подсудимым диалог до вынесения судом окончательного вердикта.
www.justice.gov
United States Citizen Pleads Guilty To Conspiring To Assist North Korea In Evading Sanctions
Microsoft Threat Intelligence Center сообщил об обнаружении нового вредоносного ПО FoggyWeb, который представляет собой пассивный и узконаправленный бэкдор для разворачивания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов Active Directory (AD FS).
FoggyWeb применяется для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена.
FoggyWeb работает как постоянный бэкдор, который позволяет злоумышленникам удаленно красть конфиденциальную информацию путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов, перехвата запросов GET/POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля и запускать их на скомпрометированном сервере.
Использование FoggyWeb в дикой природе, по данным MSTIC, реализуется с апреля 2021 года. Специалисты его характеризуют как «вредоносную резидентную DLL в памяти», поскольку устанавливается с помощью загрузчика с использованием техники перехвата порядка поиска DLL.
И, конечно же, такой изящный инструмент не остался без атрибуции и не может не принадлежать russian hackers, о чем MSTIC публично заявили, без какой-либо детальной проработки вопроса, как прочем и ранее отнесенные к Nobelium другие штаммы вредоносного ПО: BoomBox, EnvyScout, VaporRage, NativeZone (май) и GoldMax, Sibot, GoldFinder (март), а в принципе и не только штаммы - но и целые кампании, о чем мы уже писали.
Очень удобно, но, к сожалению, не всегда профессионально.
FoggyWeb применяется для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена.
FoggyWeb работает как постоянный бэкдор, который позволяет злоумышленникам удаленно красть конфиденциальную информацию путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов, перехвата запросов GET/POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля и запускать их на скомпрометированном сервере.
Использование FoggyWeb в дикой природе, по данным MSTIC, реализуется с апреля 2021 года. Специалисты его характеризуют как «вредоносную резидентную DLL в памяти», поскольку устанавливается с помощью загрузчика с использованием техники перехвата порядка поиска DLL.
И, конечно же, такой изящный инструмент не остался без атрибуции и не может не принадлежать russian hackers, о чем MSTIC публично заявили, без какой-либо детальной проработки вопроса, как прочем и ранее отнесенные к Nobelium другие штаммы вредоносного ПО: BoomBox, EnvyScout, VaporRage, NativeZone (май) и GoldMax, Sibot, GoldFinder (март), а в принципе и не только штаммы - но и целые кампании, о чем мы уже писали.
Очень удобно, но, к сожалению, не всегда профессионально.
Microsoft News
FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor
In-depth analysis of newly detected NOBELIUM malware: a post-exploitation backdoor that Microsoft Threat Intelligence Center (MSTIC) refers to as FoggyWeb. NOBELIUM uses FoggyWeb to remotely exfiltrate the configuration database of compromised AD FS servers…
Производитель сетевых хранилищ (NAS) QNAP исправил свою систему управления видео QVR, устранив 2 критически важные проблемы, которые могут быть использованы для выполнения произвольных команд.
ПО QVR - это профессиональное решение, которое позволяет осуществлять видеонаблюдение, запись, воспроизведение и оповещение о тревогах в реальном времени с использованием IP-камер.
В целом, QNAP устранила в общей сложности 3 уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых CVE-2021-34351 и CVE-2021-34348 получили оценки 9,8 из 10 соответственно. Обе ошибки в совокупности позволяют удаленному злоумышленнику запускать команды в уязвимых системах и получать полный контроль над устройством. Третья бага CVE-2021-34349 с оценкой 7,2, принадлежит к тому же классу ошибок.
Исправленные критические уязвимости затрагивают продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, в связи с чем QNAP выпустили обновление ПО QVR 5.1.5 build 20210803.
И это не зря, ведь мы помним, как Qlocker уже использовали уязвимости в HBS (жестко заданные учетные данные) для массового взлома и шифрования данных на NAS-устройствах QNAP, потребовав выкуп размере 500 долларов за восстановление. Всего за пять дней операторам ransomware удалось поднять на этой кампании более 260 тыс. долларов.
Кроме того, периодически кадры с камер наблюдения попадают в сеть. В марте хакеры слили съемки с камер Verkada, установленных в крупных американских компаниях и госорганах, в том числе Tesla, Equinox и др.
ПО QVR - это профессиональное решение, которое позволяет осуществлять видеонаблюдение, запись, воспроизведение и оповещение о тревогах в реальном времени с использованием IP-камер.
В целом, QNAP устранила в общей сложности 3 уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых CVE-2021-34351 и CVE-2021-34348 получили оценки 9,8 из 10 соответственно. Обе ошибки в совокупности позволяют удаленному злоумышленнику запускать команды в уязвимых системах и получать полный контроль над устройством. Третья бага CVE-2021-34349 с оценкой 7,2, принадлежит к тому же классу ошибок.
Исправленные критические уязвимости затрагивают продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, в связи с чем QNAP выпустили обновление ПО QVR 5.1.5 build 20210803.
И это не зря, ведь мы помним, как Qlocker уже использовали уязвимости в HBS (жестко заданные учетные данные) для массового взлома и шифрования данных на NAS-устройствах QNAP, потребовав выкуп размере 500 долларов за восстановление. Всего за пять дней операторам ransomware удалось поднять на этой кампании более 260 тыс. долларов.
Кроме того, периодически кадры с камер наблюдения попадают в сеть. В марте хакеры слили съемки с камер Verkada, установленных в крупных американских компаниях и госорганах, в том числе Tesla, Equinox и др.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Command Injection Vulnerabilities in QVR - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку канал дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку канал дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Воскресным вечером активно набирающий популярность мессенджер для зашифрованного обмена сообщениями Signal пострадал из-за короткого перебоя в работе, в результате чего услуги на платформе были прерваны. Также были зафиксированы сбои в работе некоторых других приложений, включая платформу знакомств Tinder и популярный сайт новостей и обсуждений Reddit.
Signal сослался на проблемы с хостингом, собственно всему виной и оказался Amazon со своими облачными решениями Amazon Web Services (AWS), сервера в северном штате Вирджиния по непонятным причинам стали "ложиться". По словам разработчиков Signal, к 07:00 по Гринвичу обслуживание абонентов уже было восстановлено и обмен сообщениями стал доступен для 99% пользователей и компания активно работает над оставшимся 1%.
Мы прекрасно помним, как глас вездесущего Илона Маска вызвал бунт скачиваний после его рекомендаций использовать приложение Signal. Совет стал реакцией на изменения в политике конфиденциальности WhatsApp, которое теперь будет в принудительной форме передавать часть данных пользователей Facebook.
Будем надеяться, что перебои в работе были случайностью, а не происками каких-нибудь АНБ. Ну, а что пользователи прибавляются и трафик растет, а съемники старые стоят, вот пришлось воткнуть новые.
Signal сослался на проблемы с хостингом, собственно всему виной и оказался Amazon со своими облачными решениями Amazon Web Services (AWS), сервера в северном штате Вирджиния по непонятным причинам стали "ложиться". По словам разработчиков Signal, к 07:00 по Гринвичу обслуживание абонентов уже было восстановлено и обмен сообщениями стал доступен для 99% пользователей и компания активно работает над оставшимся 1%.
Мы прекрасно помним, как глас вездесущего Илона Маска вызвал бунт скачиваний после его рекомендаций использовать приложение Signal. Совет стал реакцией на изменения в политике конфиденциальности WhatsApp, которое теперь будет в принудительной форме передавать часть данных пользователей Facebook.
Будем надеяться, что перебои в работе были случайностью, а не происками каких-нибудь АНБ. Ну, а что пользователи прибавляются и трафик растет, а съемники старые стоят, вот пришлось воткнуть новые.
I24news
Encrypted messaging app Signal operational after outage - I24NEWS
Other apps like Tinder and Reddit also experienced simultaneous outages - Click the link for more details.
Без комментариев.
https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene/?show=Y
https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene/?show=Y
RTVI
Силовики проводят обыски в Group-IB. Руководство компании может быть задержано
В московском офисе Group-IB идут обыски, рассказал RTVI источник, близкий к правоохранительным органам. Другой источник добавил, что в офисе идут следственные действия по уголовному делу, в рамках которого задержан основатель и гендиректор компании Group…
Поспорили два мужика - бывают чудеса или нет.
- Вот смотри, упал поп с колокольни и не разбился! Разве не чудо?
- Это случайность.
- А вот он второй раз полез на колокольню, упал и опять не разбился!
- Это совпадение.
- А он третий раз полез, упал и снова целый!
- А это уже привычка.
- Вот смотри, упал поп с колокольни и не разбился! Разве не чудо?
- Это случайность.
- А вот он второй раз полез на колокольню, упал и опять не разбился!
- Это совпадение.
- А он третий раз полез, упал и снова целый!
- А это уже привычка.
Компания Trend Micro выпустила исправления для критической уязвимости CVE-2021-36745 (рейтинг CVSS 9,8), которая позволяет злоумышленникам обойти аутентификацию в Trend Micro ServerProtect.
ServerProtect - это решение для обнаружения вредоносного ПО корпоративного уровня в реальном времени, которое должно обеспечивать защиту серверов от malware, а также автоматизировать операции по обеспечению безопасности.
Об уязвимости стало известно еще в апреле. Его обнаружил Юто Маэда из Института киберзащиты, • который сообщил о баге в рамках Zero Day Initiative (ZDI) компании Trend Micro.
По заявлению производителя уязвимость затрагивает решения ServerProtect for Storage (SPFS) 6.0 для Windows, ServerProtect для EMC Celerra (SPEMC) 5.8, ServerProtect для файловых серверов сетевого устройства (SPNAF) 5.8 и ServerProtect для Microsoft Windows / Novell Netware (SPNT) 5.8.
Смягчающим фактором для этого типа уязвимости является то, что злоумышленнику требуется физический или удаленный доступ к уязвимой машине. Таким образом, вероятность успеха эксплуатации снижается, если удаленный доступ недоступен и безопасность периметра актуальна.
Однако, несмотря на то, что для эксплойта может потребоваться выполнение условий, в Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок. И мы тоже.
ServerProtect - это решение для обнаружения вредоносного ПО корпоративного уровня в реальном времени, которое должно обеспечивать защиту серверов от malware, а также автоматизировать операции по обеспечению безопасности.
Об уязвимости стало известно еще в апреле. Его обнаружил Юто Маэда из Института киберзащиты, • который сообщил о баге в рамках Zero Day Initiative (ZDI) компании Trend Micro.
По заявлению производителя уязвимость затрагивает решения ServerProtect for Storage (SPFS) 6.0 для Windows, ServerProtect для EMC Celerra (SPEMC) 5.8, ServerProtect для файловых серверов сетевого устройства (SPNAF) 5.8 и ServerProtect для Microsoft Windows / Novell Netware (SPNT) 5.8.
Смягчающим фактором для этого типа уязвимости является то, что злоумышленнику требуется физический или удаленный доступ к уязвимой машине. Таким образом, вероятность успеха эксплуатации снижается, если удаленный доступ недоступен и безопасность периметра актуальна.
Однако, несмотря на то, что для эксплойта может потребоваться выполнение условий, в Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок. И мы тоже.
Мотавшего 9-ти летний срок в США за мошенничество с платежными картами админа форумов CardPlanet и DirectConnection, известного в даркнете k0pa, а в жизни 31-летнего гражданина России Алексея Буркова, вопреки многолетней практике со стороны американских властей экстрадировали в РФ.
Но радоваться хакеру не приходится, в аэропорту его ждал прием, хакеру вменяют аналогичные уголовные обвинения только уже по российскому законодательству. Как сообщают МВД России, Бурков обвиняется в причастности к изготовлению и продаже поддельных банковских карт и торговле конфиденциальными данными клиентов финансовых учреждений.
Как известно, большую часть своей прибыли хакер организовал через кардинг-форум CardPlanet, на котором в период с 2008 по 2013 год было продано более 150 000 платежных карт. Свой авторитет одного из самых влиятельных хакеров Бурков заработал в ходе проекта DirectConnection, на базе которого было сформирована подпольная элита хакеров, вступить можно было лишь по 3 инвайтам и через депозит в 5 тысяч долларов.
В 2013 году американские спецслужбы раскрыли преступный синдикат и нацелились на его организатора. В 2015 году им удалось спланировать операцию и задержать хакера в Израиле, куда Бурков выехал для проведения отпуска. Сразу после ареста российские правоохранители пытались экстрадировать Буркова в Россию для привлечения его к уголовной ответственности, опередив в этом вопросе США.
После многолетних юридических и политических баталий в 2017 году Израиль обвинил Россию в попытке повлиять на решение вопроса об экстрадиции Буркова путем фальсификации ареста ее гражданина в РФ и навязывании сделки. В 2019 году израильские власти экстрадировали Буркова в США, где в январе 2020 года он признал себя виновным и через полгода был приговорен к девяти годам лишения свободы.
В ходе расследования сотрудники ФБР охарактеризовали Буркова как «чрезвычайно важный актив» для российского правительства, что в условиях тайны относительно обстоятельств принятого решения вызывает еще больше вопросов у экспертов инфосека, до последнего считавших за парадигму почти нулевой уровень сотрудничества двух держав по вопросам ИБ.
Озвученная в ходе контактов Кремля и Вашингтона телефонная линия все же заработала. Вероятно, это уже не первый звонок. Что же касается уголовного преследования и судьбы Буркова, то это больше вопрос не процессуального характера.
Но радоваться хакеру не приходится, в аэропорту его ждал прием, хакеру вменяют аналогичные уголовные обвинения только уже по российскому законодательству. Как сообщают МВД России, Бурков обвиняется в причастности к изготовлению и продаже поддельных банковских карт и торговле конфиденциальными данными клиентов финансовых учреждений.
Как известно, большую часть своей прибыли хакер организовал через кардинг-форум CardPlanet, на котором в период с 2008 по 2013 год было продано более 150 000 платежных карт. Свой авторитет одного из самых влиятельных хакеров Бурков заработал в ходе проекта DirectConnection, на базе которого было сформирована подпольная элита хакеров, вступить можно было лишь по 3 инвайтам и через депозит в 5 тысяч долларов.
В 2013 году американские спецслужбы раскрыли преступный синдикат и нацелились на его организатора. В 2015 году им удалось спланировать операцию и задержать хакера в Израиле, куда Бурков выехал для проведения отпуска. Сразу после ареста российские правоохранители пытались экстрадировать Буркова в Россию для привлечения его к уголовной ответственности, опередив в этом вопросе США.
После многолетних юридических и политических баталий в 2017 году Израиль обвинил Россию в попытке повлиять на решение вопроса об экстрадиции Буркова путем фальсификации ареста ее гражданина в РФ и навязывании сделки. В 2019 году израильские власти экстрадировали Буркова в США, где в январе 2020 года он признал себя виновным и через полгода был приговорен к девяти годам лишения свободы.
В ходе расследования сотрудники ФБР охарактеризовали Буркова как «чрезвычайно важный актив» для российского правительства, что в условиях тайны относительно обстоятельств принятого решения вызывает еще больше вопросов у экспертов инфосека, до последнего считавших за парадигму почти нулевой уровень сотрудничества двух держав по вопросам ИБ.
Озвученная в ходе контактов Кремля и Вашингтона телефонная линия все же заработала. Вероятно, это уже не первый звонок. Что же касается уголовного преследования и судьбы Буркова, то это больше вопрос не процессуального характера.
мвд.рф
МВД России публикует видео депортации из США в Россию обвиняемого в киберпреступлениях
Новости официального сайта МВД России
Forwarded from SecurityLab.ru
Семейный дуэт этичных хакеров помогает вернуть «потерянные» биткоины, в Литве призвали отказаться от двух китайских смартфонов из-за секретных функций, кибератака на компанию NEW Cooperative в США может превзойти по ущербу взлом Colonial Pipeline, а ФБР из-за тайной операции три недели утаивало от жертв REvil ключ дешифрования.
Смотрите 33-й выпуск наших новостей: https://www.youtube.com/watch?v=7rWQTXL87j0
Смотрите 33-й выпуск наших новостей: https://www.youtube.com/watch?v=7rWQTXL87j0
YouTube
Cекреты китайских смартфонов, кибератака оставила людей без мяса и зерна. Security-новости #33 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
Крупнейшего телекоммуникационного провайдера Афганистана Roshan атаковали китайские АРТ, которым более года удавалось сливать из его систем гигабайты технических данных. Атаки подчеркивают особый интерес китайской разведки к региону.
Раскрыть китайский след смогли исследователи Future's Insikt Group, констатировавших, что после известных событий и прихода к власти Талибов количество утечек резко возросло.
Roshan - единственный стабильный оператор мобильной связи, работающий по всему Афганистану, охватывающий все 34 провинции с более чем 6,5 миллионами активных абонентов. Согласно интернет-анализу Kentik, он выступает крупнейшим поставщиком доступа в Интернет и главным шлюзом с внешним сегментом.
Future's Insikt Group зафиксировали проникновение в корпоративный почтовый сервер оператора в ходе анализа трафика, в том числе соединений зараженной системы с серверами управления и контроля.
Первые атаки на Roshan датируются июлем 2020 года и были инициированы АРТ Calypso, которая оставалась в сети оператора вплоть до сентября 2021 года. Кроме того, с марта по май этого года фиксировались подключения этому же взломанному серваку с инфраструктуры другой китайской APT RedFoxtrot, которая, как предполагается, связана с подразделением подразделением 69010 НОАК, дислоцированным в Урумчи, Синьцзян.
Согласно отчету Insikt, RedFoxtrot также проникала в этот период в сети еще одного афганского оператора связи. Об устремлениях группы к телекоммуникационному сектору Афганистана, Индии, Пакистана и Казахстана Insikt сообщали еще в июне.
Последние атаки на Roshan были реализованы с применением свойственной группам ТТР, и были связаны с кластером PlugX и Winnti, последний из которых продемонстрировал повышенную активность эксфильтрации. Хакерам удалось вытянуть не менее 4 ГБ данных за последние 4 итерации, в целом реальные контуры утечки назвать сложно в силу значительного объема.
Установить содержание утечек исследователи не смогли, однако предположили, что украденные данные представляют интерес для хакеров с точи зрения разведки будущих целей. Также Insikt не смогли установить обстоятельства взлома серверов Roshan, предполагая, что доступ был получен путем бокового перемещения с других скомпрометированных устройств в сети оператора.
Интерес китайских АРТ к сетевой инфраструктуре Афганистана понятен и прогнозируем. Еще в 2019 году Cybereason раскрыла многолетнюю кампанию кибершпионажа на поставщиков телекоммуникационных услуг сотовой связи в Азии, Африке, на Ближнем Востоке и в Европе, для доступа к системам которых активно применялось боковое перемещение, предоставляя хакерам доступ к метаданным разговоров и активности абонентов. В августе Cybereason вновь детектил китайский след в атаках на телеком Юго-Восточной Азии.
Представители китайской стороны опровергли доводы Future's Insikt Group и посоветовали исследователям поднабрать побольше пруфов, в особенности, когда речь идет о сложных киберинцидентах. Вообще с атрибуцией у западных инфосек-компаний все достаточно сложно, а вот с выводами всегда проще, уж мы то знаем.
Раскрыть китайский след смогли исследователи Future's Insikt Group, констатировавших, что после известных событий и прихода к власти Талибов количество утечек резко возросло.
Roshan - единственный стабильный оператор мобильной связи, работающий по всему Афганистану, охватывающий все 34 провинции с более чем 6,5 миллионами активных абонентов. Согласно интернет-анализу Kentik, он выступает крупнейшим поставщиком доступа в Интернет и главным шлюзом с внешним сегментом.
Future's Insikt Group зафиксировали проникновение в корпоративный почтовый сервер оператора в ходе анализа трафика, в том числе соединений зараженной системы с серверами управления и контроля.
Первые атаки на Roshan датируются июлем 2020 года и были инициированы АРТ Calypso, которая оставалась в сети оператора вплоть до сентября 2021 года. Кроме того, с марта по май этого года фиксировались подключения этому же взломанному серваку с инфраструктуры другой китайской APT RedFoxtrot, которая, как предполагается, связана с подразделением подразделением 69010 НОАК, дислоцированным в Урумчи, Синьцзян.
Согласно отчету Insikt, RedFoxtrot также проникала в этот период в сети еще одного афганского оператора связи. Об устремлениях группы к телекоммуникационному сектору Афганистана, Индии, Пакистана и Казахстана Insikt сообщали еще в июне.
Последние атаки на Roshan были реализованы с применением свойственной группам ТТР, и были связаны с кластером PlugX и Winnti, последний из которых продемонстрировал повышенную активность эксфильтрации. Хакерам удалось вытянуть не менее 4 ГБ данных за последние 4 итерации, в целом реальные контуры утечки назвать сложно в силу значительного объема.
Установить содержание утечек исследователи не смогли, однако предположили, что украденные данные представляют интерес для хакеров с точи зрения разведки будущих целей. Также Insikt не смогли установить обстоятельства взлома серверов Roshan, предполагая, что доступ был получен путем бокового перемещения с других скомпрометированных устройств в сети оператора.
Интерес китайских АРТ к сетевой инфраструктуре Афганистана понятен и прогнозируем. Еще в 2019 году Cybereason раскрыла многолетнюю кампанию кибершпионажа на поставщиков телекоммуникационных услуг сотовой связи в Азии, Африке, на Ближнем Востоке и в Европе, для доступа к системам которых активно применялось боковое перемещение, предоставляя хакерам доступ к метаданным разговоров и активности абонентов. В августе Cybereason вновь детектил китайский след в атаках на телеком Юго-Восточной Азии.
Представители китайской стороны опровергли доводы Future's Insikt Group и посоветовали исследователям поднабрать побольше пруфов, в особенности, когда речь идет о сложных киберинцидентах. Вообще с атрибуцией у западных инфосек-компаний все достаточно сложно, а вот с выводами всегда проще, уж мы то знаем.
Recordedfuture
4 Chinese APT Groups Identified Targeting Mail Server of Afghan Telecommunications Firm Roshan
Insikt Group has detected intrusion activity targeting a mail server of Roshan, one of Afghanistan’s largest telecommunications providers.
Forwarded from Social Engineering
🔘 Фишинг и AirTag.
• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
🖖🏻 Приветствую тебя user_name.
• Вчера Брайан Кребс опубликовал в своем блоге интересную статью, касательно AirTag. Дело в том, что если AirTag находится в "режиме пропажи", то любой нашедший эту метку, может просканировать её с помощью мобильного телефона и получить номер телефона владельца. Однако этой функцией можно злоупотребить и владелец метки может указать вместо номера телефона любую информацию, в том числе и адрес фишинговой страницы.• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
Сегодня ночью злоумышленники в рамках масштабной фишинговой кампании атаковали россиян от имени ФНС России.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.
Британские ученые доказали, ну и молодцы ...
Исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что в Apple Pay и картах Visa возможно осуществлять безлимитные транзакции с заблокированного iPhone. Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или вовсе в чьем-то кармане.
Изучая ретрансляционные атаки на бесконтактные платежи, исследователи обнаружили, что в обычных условиях для совершения платежа, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля.
Однако в некоторых случаях, например, при оплате проезда в общественном транспорте, разблокировка устройства делала процесс оплаты неудобным и Apple Pay решила проблему с помощью функции Express Transit, которая позволяет совершать транзакцию без разблокировки устройства.
Функция Express Transit работает с определенными службами, такими как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов в обход экрана блокировки Apple Pay. Эту функцию можно использовать для несанкционированной оплаты с заблокированного iPhone с помощью карты Visa и любого устройства чтения EMV.
Ребятам удалось сымитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивалось данными с целевым iPhone, и телефоном Android с чипом NFC, который в свою очередь обменивался данными с платежным терминалом.
Этот метод представляет собой активную атаку «злоумышленник посередине», при которой Proxmark воспроизводит «магические байты» на iPhone, чтобы обмануть его, заставив поверить в то, что это транзакция с билетом, поэтому аутентификация пользователя для авторизации платежа не требуется.
Самое интересное, что уязвимость до сих пор не исправлена, а результаты исследования были отправлены в Apple и Visa еще в октябре 2020 года и в мае 2021 года соответственно, но ни одна из компаний не устранил проблему.
Вместо этого гиганты перекладывают ответственность друг на друга, поэтому уязвимость все еще присутствует и может быть использована злоумышленниками с помощью стандартного оборудования и ПО.
Исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что в Apple Pay и картах Visa возможно осуществлять безлимитные транзакции с заблокированного iPhone. Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или вовсе в чьем-то кармане.
Изучая ретрансляционные атаки на бесконтактные платежи, исследователи обнаружили, что в обычных условиях для совершения платежа, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля.
Однако в некоторых случаях, например, при оплате проезда в общественном транспорте, разблокировка устройства делала процесс оплаты неудобным и Apple Pay решила проблему с помощью функции Express Transit, которая позволяет совершать транзакцию без разблокировки устройства.
Функция Express Transit работает с определенными службами, такими как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов в обход экрана блокировки Apple Pay. Эту функцию можно использовать для несанкционированной оплаты с заблокированного iPhone с помощью карты Visa и любого устройства чтения EMV.
Ребятам удалось сымитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивалось данными с целевым iPhone, и телефоном Android с чипом NFC, который в свою очередь обменивался данными с платежным терминалом.
Этот метод представляет собой активную атаку «злоумышленник посередине», при которой Proxmark воспроизводит «магические байты» на iPhone, чтобы обмануть его, заставив поверить в то, что это транзакция с билетом, поэтому аутентификация пользователя для авторизации платежа не требуется.
Самое интересное, что уязвимость до сих пор не исправлена, а результаты исследования были отправлены в Apple и Visa еще в октябре 2020 года и в мае 2021 года соответственно, но ни одна из компаний не устранил проблему.
Вместо этого гиганты перекладывают ответственность друг на друга, поэтому уязвимость все еще присутствует и может быть использована злоумышленниками с помощью стандартного оборудования и ПО.
Транспортный гигант Forward Air признал утечку данных после атаки с использованием ransomware, известной как Hades, которая произошла еще 15 декабря 2020 года. Как выяснилось позже, в реальности же, за атакой стояли Evil Corp, действующие таким образом из-под санкций.
Согласно подсчетам Комиссии по ценным бумагам и биржам США компания понесла убытки в размере 7,5 млн. долларов из-за необходимости компании временно отключить электронные интерфейсы обмена данными со своими клиентами.
Помимо того, что атака парализовала работу сети и привела к невозможности выпуска грузов для транспорта, в руки к злоумышленникам также попала и личная информация в отношении сотрудников компании: имена сотрудников, адреса, даты рождения, номера социального страхования, водительских прав, паспортов и банковских счетов.
Хакеры создали учетную запись Twitter, через которую намеревались сливать украденные данные пока не получат выкуп, однако этого не произошло.
Хотя Forward Air полагает, что нет никаких признаков неправомерного использования данных, они оплатили сотрудникам услуги myTrueIdentity.
Несмотря на это, мы все же полагаем, что в таких случаях можно считать все данные скомпрометированными и уже проданными под целевые фишинговые атаки или под прочий негатив.
Согласно подсчетам Комиссии по ценным бумагам и биржам США компания понесла убытки в размере 7,5 млн. долларов из-за необходимости компании временно отключить электронные интерфейсы обмена данными со своими клиентами.
Помимо того, что атака парализовала работу сети и привела к невозможности выпуска грузов для транспорта, в руки к злоумышленникам также попала и личная информация в отношении сотрудников компании: имена сотрудников, адреса, даты рождения, номера социального страхования, водительских прав, паспортов и банковских счетов.
Хакеры создали учетную запись Twitter, через которую намеревались сливать украденные данные пока не получат выкуп, однако этого не произошло.
Хотя Forward Air полагает, что нет никаких признаков неправомерного использования данных, они оплатили сотрудникам услуги myTrueIdentity.
Несмотря на это, мы все же полагаем, что в таких случаях можно считать все данные скомпрометированными и уже проданными под целевые фишинговые атаки или под прочий негатив.
FreightWaves
News Alert: Forward Air suffering significant IT outage
The communication from the company to its customers said freight now moving will make it to its destination.
Мы писали о том, как Microsoft Threat Intelligence Center обнаружили бэкдор FoggyWeb под сервера Active Directory (AD FS) и неведомым образом атрибутировали его принадлежность к Nobelium.
Этой же АРТ, по данным Kaspersky Security, принадлежит и вновь раскрытый бэкдор Tomiris. Новое вредоносное ПО было впервые обнаружено в июне в ходе расследования серии атак с перехватом DNS в нескольких правительственных зонах государств СНГ, первые образцы были задействованы в дикой природе еще в феврале 2021 года.
Жертвы инцидентов перенаправлялись на подконтрольные хакерам копии страниц веб-почты, которые перехватывали их учетные данные, а в некоторых случаях, предлагали пользователям установить обновление ПО, ссылка на который вела к исполняемому файлу-загрузчику Tomiris.
Tomiris - это бэкдор, написанный на Go, постоянно запрашивающий у C2 исполняемые файлы для загрузки и выполнения кода в системе жертвы. Перед инициированием каких-либо операций он не подает активности не менее девяти минут, чтобы попытаться обойти системы анализа на основе песочницы. Адрес C2 не встроен непосредственно в Tomiris: вместо этого он подключается к серверу сигнализации, который предоставляет URL-адрес и порт, к которому должен подключаться бэкдор.
Другой вариант ПО также собирает и извлекает документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и др.
Анализируя Tomiris, эксперты обнаружили определенное сходство с вредоносным ПО Sunshuttle (например, оба они разработаны на Go, постоянство через запланированные задачи, та же схема кодирования для связи C2, автоматические триггеры сна для уменьшения сетевого шума), что, с вероятностью, указывает на общее авторство или общие методы разработки.
Однако в Kaspersky признаются, что с достаточной уверенностью утверждать этого нельзя, допуская возможности «атаки под ложным флагом». Из-за громкого характера Sunshuttle другие субъекты угроз могли целенаправленно попытаться воспроизвести его дизайн, чтобы ввести аналитиков в заблуждение.
Вместе с тем, косвенным доказательством связи может быть и то, что другие машины в сети, зараженные Tomiris, были заражены бэкдором Kazuar. Но, с другой стороны, самый ранний из известных нам образцов Tomiris появился в феврале 2021, за месяц до того, как Sunshuttle был представлен миру, и вряд ли другие APT знали о существовании этого инструмента или попытались бы его имитировать до раскрытия.
Гораздо более вероятна (но пока не подтверждена) гипотеза того, что авторы Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена операция SolarWinds, в качестве замены сгоревшего набора инструментов.
И, по нашему глубокому мнению, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Этой же АРТ, по данным Kaspersky Security, принадлежит и вновь раскрытый бэкдор Tomiris. Новое вредоносное ПО было впервые обнаружено в июне в ходе расследования серии атак с перехватом DNS в нескольких правительственных зонах государств СНГ, первые образцы были задействованы в дикой природе еще в феврале 2021 года.
Жертвы инцидентов перенаправлялись на подконтрольные хакерам копии страниц веб-почты, которые перехватывали их учетные данные, а в некоторых случаях, предлагали пользователям установить обновление ПО, ссылка на который вела к исполняемому файлу-загрузчику Tomiris.
Tomiris - это бэкдор, написанный на Go, постоянно запрашивающий у C2 исполняемые файлы для загрузки и выполнения кода в системе жертвы. Перед инициированием каких-либо операций он не подает активности не менее девяти минут, чтобы попытаться обойти системы анализа на основе песочницы. Адрес C2 не встроен непосредственно в Tomiris: вместо этого он подключается к серверу сигнализации, который предоставляет URL-адрес и порт, к которому должен подключаться бэкдор.
Другой вариант ПО также собирает и извлекает документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и др.
Анализируя Tomiris, эксперты обнаружили определенное сходство с вредоносным ПО Sunshuttle (например, оба они разработаны на Go, постоянство через запланированные задачи, та же схема кодирования для связи C2, автоматические триггеры сна для уменьшения сетевого шума), что, с вероятностью, указывает на общее авторство или общие методы разработки.
Однако в Kaspersky признаются, что с достаточной уверенностью утверждать этого нельзя, допуская возможности «атаки под ложным флагом». Из-за громкого характера Sunshuttle другие субъекты угроз могли целенаправленно попытаться воспроизвести его дизайн, чтобы ввести аналитиков в заблуждение.
Вместе с тем, косвенным доказательством связи может быть и то, что другие машины в сети, зараженные Tomiris, были заражены бэкдором Kazuar. Но, с другой стороны, самый ранний из известных нам образцов Tomiris появился в феврале 2021, за месяц до того, как Sunshuttle был представлен миру, и вряд ли другие APT знали о существовании этого инструмента или попытались бы его имитировать до раскрытия.
Гораздо более вероятна (но пока не подтверждена) гипотеза того, что авторы Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена операция SolarWinds, в качестве замены сгоревшего набора инструментов.
И, по нашему глубокому мнению, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Securelist
Tomiris backdoor and its connection to Sunshuttle and Kazuar
We discovered a campaign delivering the Tomiris backdoor that shows a number of similarities with the Sunshuttle malware distributed by DarkHalo APT and target overlaps with Kazuar.
Google, похоже, решили догнать Microsoft в части какчества своего кода и коликчества выявленных в своих продуктах 0-day уязвимостей, активно используемых в дикой природе.
Пяти дней не прошло с предыдущего обновления Chrome, которым была устранена подобная ошибка, как появился новый патч, который закрывает уже два 0-day. И оба, что характерно, используются хакерами.
Технических подробностей Google, как обычно, не дают, однако, судя по представленному скудному описанию, CVE-2021-37976 касается утечки информации в ядре и имеет среднюю степень критичности. Вторая же ошибка, CVE-2021-37975, является критичной и относится к UAF-уязвимостям (Use After Free). Такие дырки обычно приводят к удаленному выполнению кода со стороны злоумышленника. По-пацански выражаясь - атас.
До кучи закрыли еще и критичную уязвимость CVE-2021-37974, которая тоже вроде как 0-day и UAF, но не наблюдается в дикой природе.
Таким образом, Google с начала года закрыли, если нам не изменяет склероз, четырнадцать 0-day в Chrome. Впечатляющий результат.
Всем, кто использует Chrome, срочно обновляться.
- Дырков эксплуатируете?
- Нет, только делаем.
- Красивое!
Пяти дней не прошло с предыдущего обновления Chrome, которым была устранена подобная ошибка, как появился новый патч, который закрывает уже два 0-day. И оба, что характерно, используются хакерами.
Технических подробностей Google, как обычно, не дают, однако, судя по представленному скудному описанию, CVE-2021-37976 касается утечки информации в ядре и имеет среднюю степень критичности. Вторая же ошибка, CVE-2021-37975, является критичной и относится к UAF-уязвимостям (Use After Free). Такие дырки обычно приводят к удаленному выполнению кода со стороны злоумышленника. По-пацански выражаясь - атас.
До кучи закрыли еще и критичную уязвимость CVE-2021-37974, которая тоже вроде как 0-day и UAF, но не наблюдается в дикой природе.
Таким образом, Google с начала года закрыли, если нам не изменяет склероз, четырнадцать 0-day в Chrome. Впечатляющий результат.
Всем, кто использует Chrome, срочно обновляться.
- Дырков эксплуатируете?
- Нет, только делаем.
- Красивое!
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 94.0.4606.71 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended stab...
Forwarded from Эксплойт | Live
Google решил лишить пользователей возможности отключать рекламу в браузере.
Речь о переходе IT-гиганта на Manifest v3 - это платформа расширений для Chrome.
Новинка вынуждает разрабов использовать новый интерфейс, а он в свою очередь не дает устанавливать пользователям те расширения, которые не нравятся Google. В их число включены блокировщики рекламы.
После перехода на Manifest v3 браузер ограничит число фильтров в блокировщиках и это может сказаться на их эффективности. По словам разрабов таких расширений, как uBlock Origin, uMatrix и NoScript, тех фильтров, которые разрешает использовать интерфейс, не хватит на сборку даже простейшего работоспособного софта.
В настоящее время значительная доля выручки Google – доход от рекламы. За второй квартал поступления в этом сегменте составили $50,4 млрд, $35 млрд из них пришлись на Google-поиск. Выходит, что этого "довольствия" мало, и можно поступиться желанием и удобством пользователей, для еще большей выгоды одной из самых богатых компаний мира.
Речь о переходе IT-гиганта на Manifest v3 - это платформа расширений для Chrome.
Новинка вынуждает разрабов использовать новый интерфейс, а он в свою очередь не дает устанавливать пользователям те расширения, которые не нравятся Google. В их число включены блокировщики рекламы.
После перехода на Manifest v3 браузер ограничит число фильтров в блокировщиках и это может сказаться на их эффективности. По словам разрабов таких расширений, как uBlock Origin, uMatrix и NoScript, тех фильтров, которые разрешает использовать интерфейс, не хватит на сборку даже простейшего работоспособного софта.
В настоящее время значительная доля выручки Google – доход от рекламы. За второй квартал поступления в этом сегменте составили $50,4 млрд, $35 млрд из них пришлись на Google-поиск. Выходит, что этого "довольствия" мало, и можно поступиться желанием и удобством пользователей, для еще большей выгоды одной из самых богатых компаний мира.
Китайская APT GhostEmperor внедряет новый руткит Demodex для Windows 10.
С таким слоганом выступили на конференции по безопасности SAS 2021 специалисты из компании Kaspersky Lab опубликовав подробности о новой китайской хакерской группе, работа которых нацелена на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии. По мнению экспертов, группа осуществляет свою деятельность как минимум с июля 2020 года и использует очень сложные инструменты для получения и сохранения долгосрочного доступа к системам своих жертвам. Новый руткит может работать даже в последних версиях операционной системы Windows 10.
Точкой входа для GhostEmperor использовались известные уязвимости в серверном программном обеспечении Apache, Oracle и Microsoft Exchange с целью проникновения в сеть и преодоления периметра, а затем применялся набор различных скриптов и инструментов для развертывания бэкдоров в более чувствительных участках сети жертвы. Например, GhostEmperor устанавливала Cheat Engine (читерская геймерская программка) для обхода функции безопасности Windows PatchGuard и установки руткита в ОС Windows.
Примечательно, что Demodex чрезвычайно продвинутый руткит и позволяет сохранить доступ к устройству даже после переустановки ОС. Не менее интересно, что вредоносное ПО хакерской группировки имело широкий набор необычных и сложных методов защиты от криминалистического исследования и анализа вредоносного ПО. Еще один хитрый трюк, заключался в изменении связи между зараженными хостами и его серверами управления, путем переупаковки данных в поддельные мультимедийные форматы (RIFF, JPEG или PNG).
Представители Лаборатории по ряду причин целей злоумышленников не раскрыли, но оговорились, что подавляющее большинство атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии, таких как Малайзия, Таиланд, Вьетнам, Индонезия. Кроме того, согласно отчету, специалистами фиксировались инциденты в других геополитических областях, включая такие страны, как Египет, Эфиопия и Афганистан.
С таким слоганом выступили на конференции по безопасности SAS 2021 специалисты из компании Kaspersky Lab опубликовав подробности о новой китайской хакерской группе, работа которых нацелена на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии. По мнению экспертов, группа осуществляет свою деятельность как минимум с июля 2020 года и использует очень сложные инструменты для получения и сохранения долгосрочного доступа к системам своих жертвам. Новый руткит может работать даже в последних версиях операционной системы Windows 10.
Точкой входа для GhostEmperor использовались известные уязвимости в серверном программном обеспечении Apache, Oracle и Microsoft Exchange с целью проникновения в сеть и преодоления периметра, а затем применялся набор различных скриптов и инструментов для развертывания бэкдоров в более чувствительных участках сети жертвы. Например, GhostEmperor устанавливала Cheat Engine (читерская геймерская программка) для обхода функции безопасности Windows PatchGuard и установки руткита в ОС Windows.
Примечательно, что Demodex чрезвычайно продвинутый руткит и позволяет сохранить доступ к устройству даже после переустановки ОС. Не менее интересно, что вредоносное ПО хакерской группировки имело широкий набор необычных и сложных методов защиты от криминалистического исследования и анализа вредоносного ПО. Еще один хитрый трюк, заключался в изменении связи между зараженными хостами и его серверами управления, путем переупаковки данных в поддельные мультимедийные форматы (RIFF, JPEG или PNG).
Представители Лаборатории по ряду причин целей злоумышленников не раскрыли, но оговорились, что подавляющее большинство атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии, таких как Малайзия, Таиланд, Вьетнам, Индонезия. Кроме того, согласно отчету, специалистами фиксировались инциденты в других геополитических областях, включая такие страны, как Египет, Эфиопия и Афганистан.
Securelist
GhostEmperor: From ProxyLogon to kernel mode
With a long-standing operation, high profile victims, advanced toolset and no affinity to a known threat actor, we decided to dub the threat GhostEmperor.