Производитель решений для сетевой безопасности SonicWall настоятельно призывает клиентов обновить свои устройства серии SMA 100 до последней версии.
Дело в том, что исследователями по безопасности Джейком Бейнсом (Rapid7) и Ричардом Уорреном (NCC Group) обнаружены уязвимости, которые могут быть использованы потенциальным злоумышленником для получения полного удаленного контроля над уязвимой системой.
Угроза нависла над продуктами SMA 200, 210, 400, 410 и 500v под управлением версий 9.0.0.11-31sv, 10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv, а также более ранних версий.
Речь идет о восьми уязвимостях:
- CVE-2021-20038 (CVSS: 9,8) - уязвимость переполнения буфера на основе стека в переменных среды модуля mod_cgi;
- CVE-2021-20039 (CVSS: 7,2) - уязвимость внедрения аутентифицированных команд от имени пользователя root;
- CVE-2021-20040 (CVSS: 6.5) - уязвимость, связанная с неаутентифицированным обходом пути загрузки файлов;
- CVE-2021-20041 (CVSS: 7,5) - уязвимость неаутентифицированного "истощения" ЦП;
- CVE-2021-20042 (CVSS: 6,3) - уязвимость проверки подлинности Confused Deputy;
- CVE-2021-20043 (CVSS: 8,8) - уязвимость getBookmarks, связанная с переполнением буфера;
- CVE-2021-20044 (CVSS: 7,2) - уязвимость RCE после аутентификации;
- CVE-2021-20045 (CVSS: 9,4) - уязвимость выполнения неаутентифицированным пользователем кода в качестве пользователя nobody.
Успешная эксплуатация дыр может позволить злоумышленнику выполнять произвольный код, загружать специально созданную полезную нагрузку, изменять или удалять файлы, расположенные в определенных каталогах, удаленно перезагружать систему, обходить правила брандмауэра и даже использовать весь ЦП устройства, потенциально вызывая отказ обслуживания (DoS).
Пока в дикой природе фактов использования уязвимостей пока еще не установлено, но тем не менее пользователям настоятельно рекомендуется обновиться, ведь мы же все помним, как в последнее время продукты SonicWall не раз становились мишенью для хакеров.
Дело в том, что исследователями по безопасности Джейком Бейнсом (Rapid7) и Ричардом Уорреном (NCC Group) обнаружены уязвимости, которые могут быть использованы потенциальным злоумышленником для получения полного удаленного контроля над уязвимой системой.
Угроза нависла над продуктами SMA 200, 210, 400, 410 и 500v под управлением версий 9.0.0.11-31sv, 10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv, а также более ранних версий.
Речь идет о восьми уязвимостях:
- CVE-2021-20038 (CVSS: 9,8) - уязвимость переполнения буфера на основе стека в переменных среды модуля mod_cgi;
- CVE-2021-20039 (CVSS: 7,2) - уязвимость внедрения аутентифицированных команд от имени пользователя root;
- CVE-2021-20040 (CVSS: 6.5) - уязвимость, связанная с неаутентифицированным обходом пути загрузки файлов;
- CVE-2021-20041 (CVSS: 7,5) - уязвимость неаутентифицированного "истощения" ЦП;
- CVE-2021-20042 (CVSS: 6,3) - уязвимость проверки подлинности Confused Deputy;
- CVE-2021-20043 (CVSS: 8,8) - уязвимость getBookmarks, связанная с переполнением буфера;
- CVE-2021-20044 (CVSS: 7,2) - уязвимость RCE после аутентификации;
- CVE-2021-20045 (CVSS: 9,4) - уязвимость выполнения неаутентифицированным пользователем кода в качестве пользователя nobody.
Успешная эксплуатация дыр может позволить злоумышленнику выполнять произвольный код, загружать специально созданную полезную нагрузку, изменять или удалять файлы, расположенные в определенных каталогах, удаленно перезагружать систему, обходить правила брандмауэра и даже использовать весь ЦП устройства, потенциально вызывая отказ обслуживания (DoS).
Пока в дикой природе фактов использования уязвимостей пока еще не установлено, но тем не менее пользователям настоятельно рекомендуется обновиться, ведь мы же все помним, как в последнее время продукты SonicWall не раз становились мишенью для хакеров.
Forwarded from Social Engineering
🔎 OSINT. Поиск геолокации нашей цели.
• Сегодня я поделюсь с тобой подборкой статей, с помощью которых ты научишься определять геолокацию цели, будь то человек или другой объект. Это очень полезный материал для специалистов в области #OSINT и Социальных Инженеров:
• Определение местоположения по фотографии.
• Определение местоположения по фотографии. Обратный поиск изображений.
• Используем тень для определения местоположения военной базы США.
• Извлечь, исследовать, проверить.
• Как природа может раскрывать секреты геолокации.
• GeoTips: советы по поиску геолокации в странах мира.
Перевод статей от @cybred:
• Определяем дату сделанного снимка.
• Как определить геолокацию фотографии по отражению в стекле.
• Как определить местоположение по фотографиям, сделанным на природе.
• Используем Солнце и тени для определения геолокации по фотографии.
Инструменты:
• Набор погодных карт.
• Поиск информации о погоде в разное время по городу, почтовому индексу или коду аэропорта.
• Спутниковые снимки, аэрофотоснимки, снимки с беспилотников и многое другое.
• Необычный сервис для поиска кратчайшего маршрута от точки А до точки Б.
• Карта для отслеживания самолетов в реальном времени.
• Онлайн транспортир.
• Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации.
‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Многие популярные социальные сети, мессенджеры, сервисы, заботятся о том, что бы при загрузке любых файлов, из них удалялись метаданные. И когда ты планируешь скачать фотографию или видео того или иного человека \ объекта, то ты можешь не обнаружить там никакой полезной информации.
• Сегодня я поделюсь с тобой подборкой статей, с помощью которых ты научишься определять геолокацию цели, будь то человек или другой объект. Это очень полезный материал для специалистов в области #OSINT и Социальных Инженеров:
• Определение местоположения по фотографии.
• Определение местоположения по фотографии. Обратный поиск изображений.
• Используем тень для определения местоположения военной базы США.
• Извлечь, исследовать, проверить.
• Как природа может раскрывать секреты геолокации.
• GeoTips: советы по поиску геолокации в странах мира.
Перевод статей от @cybred:
• Определяем дату сделанного снимка.
• Как определить геолокацию фотографии по отражению в стекле.
• Как определить местоположение по фотографиям, сделанным на природе.
• Используем Солнце и тени для определения геолокации по фотографии.
Инструменты:
• Набор погодных карт.
• Поиск информации о погоде в разное время по городу, почтовому индексу или коду аэропорта.
• Спутниковые снимки, аэрофотоснимки, снимки с беспилотников и многое другое.
• Необычный сервис для поиска кратчайшего маршрута от точки А до точки Б.
• Карта для отслеживания самолетов в реальном времени.
• Онлайн транспортир.
• Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации.
‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Твой S.E.
В ходе очередной чистки библиотек JavaScript группа безопасности Node Package Manager удалила 17 вредоносных npm-пакетов, которые содержали вредоносный код для сбора и кражи токенов доступа Discord и переменных среды с компьютеров пользователей.
На этот раз обнаружившим библиотеки исследователям из компании JFrog удалось сработать достаточно оперативно и избежать широкого распространения вредоносных пакетов среди разработчиков, как это было не так давно с PyPI: пакеты успели набрать по несколько тысяч загрузок.
И не зря, ведь в случае загрузки любой из этих библиотек - вредоносный код закружает ПО и отправляет данные злоумышленникам, предоставляя возможность захватить учетную запись Discord зараженного разработчика. Кроме того, один из пакетов инициировал PirateStealer, с помощью которого из приложений и учетных записей Discord извлекаются помимо прочего данные платежных карт, личная информация и пр.
Другие библиотки также включали функцию сбора переменных данных с информацией о пользователе и ОС, ключах API и учетных данных для входа. И наконец, 17-й пакет доставлял RAT, открывающий злоумышленнику полный контроль над компьютером разработчика.
В совокупности труды JFrog, DevOps и Sonatype на поприще борьбы с десятками вредоносных библиотек, загруженных в репозитории пакетов npm (JavaScript) и PyPI (Python) указывают на растущую популярность среди хакеров атак, нацеленных на кражу токенов Discord. Несмотря на выводы авторитетных RiskIQ, Check Point, Sophos и Zscaler и фактически запущенный конвейер по созданию вредоносных библиотек, npm и PyPI уже который год не меняют своих подходов к проверкам загрузок пакетов в репозитории.
Тем временем предприимчивые хакеры видят определённую в этом перспективу, которая позволяет им масштабировать уровень своих вредоносных кампаний.
На этот раз обнаружившим библиотеки исследователям из компании JFrog удалось сработать достаточно оперативно и избежать широкого распространения вредоносных пакетов среди разработчиков, как это было не так давно с PyPI: пакеты успели набрать по несколько тысяч загрузок.
И не зря, ведь в случае загрузки любой из этих библиотек - вредоносный код закружает ПО и отправляет данные злоумышленникам, предоставляя возможность захватить учетную запись Discord зараженного разработчика. Кроме того, один из пакетов инициировал PirateStealer, с помощью которого из приложений и учетных записей Discord извлекаются помимо прочего данные платежных карт, личная информация и пр.
Другие библиотки также включали функцию сбора переменных данных с информацией о пользователе и ОС, ключах API и учетных данных для входа. И наконец, 17-й пакет доставлял RAT, открывающий злоумышленнику полный контроль над компьютером разработчика.
В совокупности труды JFrog, DevOps и Sonatype на поприще борьбы с десятками вредоносных библиотек, загруженных в репозитории пакетов npm (JavaScript) и PyPI (Python) указывают на растущую популярность среди хакеров атак, нацеленных на кражу токенов Discord. Несмотря на выводы авторитетных RiskIQ, Check Point, Sophos и Zscaler и фактически запущенный конвейер по созданию вредоносных библиотек, npm и PyPI уже который год не меняют своих подходов к проверкам загрузок пакетов в репозитории.
Тем временем предприимчивые хакеры видят определённую в этом перспективу, которая позволяет им масштабировать уровень своих вредоносных кампаний.
JFrog
Malicious npm Packages Are After Your Discord Tokens - 17 New Packages Disclosed
Software supply chain security threat: automated scanning of open-source packages in the npm registry uncovered malware that puts sensitive data and devices at risk.
Если в вашей организации есть MikroTik, то у вас, вероятно, есть проблемы.
Специалистами Eclypsium выявлено более 300 000 устройств MikroTik, уязвимых для ошибок удаленного взлома. Самое парадоксальное, что баги давно исправлены популярным поставщиком сетевого оборудования.
В отчете компании по информационной безопасности говорится, что наибольшее число уязвимых устройств находятся в Китае, Бразилии, России, Италии, Индонезии, США.
Печальный факт, что MikroTik является популярной целью у злоумышленников и активно ими используются начиная от DDoS-атак и заканчивая туннелированем трафика.
Ну еще бы, у вендора более двух миллионов девайсов развернуто по всему миру, что создает огромную поверхность для воздействия у хакерского контингента.
Как мы помним недавние сообщения о новом ботнете Mēris, который организовал рекордную распределенную DDoS-атаку на Яндекс, использовал как раз сетевые устройства Mikrotik в качестве вектора атаки и устраненную на данный момент уязвимость системы безопасности в операционной системе (CVE-2018-14847).
А вот еще четыре уязвимости, обнаруженные за последние три года, которые могут позволить полностью захватить ваш MikroTik, если вы до сих пор не воспользовались рекомендациями по безопасности производителя:
Кроме того, исследователи Eclypsium обнаружили, что более 20 000 незащищенных устройств MikroTik запускали скрипты майнинга криптовалюты на веб-страницах, которые посещали пользователи.
Не будите лихо пока оно тихо, регулярно проведите ревизию своих сетей и не пренебрегайте рекомендациями производителей.
Специалистами Eclypsium выявлено более 300 000 устройств MikroTik, уязвимых для ошибок удаленного взлома. Самое парадоксальное, что баги давно исправлены популярным поставщиком сетевого оборудования.
В отчете компании по информационной безопасности говорится, что наибольшее число уязвимых устройств находятся в Китае, Бразилии, России, Италии, Индонезии, США.
Печальный факт, что MikroTik является популярной целью у злоумышленников и активно ими используются начиная от DDoS-атак и заканчивая туннелированем трафика.
Ну еще бы, у вендора более двух миллионов девайсов развернуто по всему миру, что создает огромную поверхность для воздействия у хакерского контингента.
Как мы помним недавние сообщения о новом ботнете Mēris, который организовал рекордную распределенную DDoS-атаку на Яндекс, использовал как раз сетевые устройства Mikrotik в качестве вектора атаки и устраненную на данный момент уязвимость системы безопасности в операционной системе (CVE-2018-14847).
А вот еще четыре уязвимости, обнаруженные за последние три года, которые могут позволить полностью захватить ваш MikroTik, если вы до сих пор не воспользовались рекомендациями по безопасности производителя:
• CVE-2019-3977 (CVSS: 7,5) - недостаточная проверка происхождения пакета обновления, что позволяет сбросить все имена пользователей и пароли. • CVE-2019-3978 (CVSS: 7,5) - уязвимость, связанная с возможностью отправлять DNS-запросы, что приводит к заражению кеша. • CVE-2018-14847 (CVSS: 9,1) - уязвимость, связанная с обходом каталогов в интерфейсе WinBox. • CVE-2018-7445 (CVSS: 9,8) - уязвимость переполнения буфера SMB.Кроме того, исследователи Eclypsium обнаружили, что более 20 000 незащищенных устройств MikroTik запускали скрипты майнинга криптовалюты на веб-страницах, которые посещали пользователи.
Не будите лихо пока оно тихо, регулярно проведите ревизию своих сетей и не пренебрегайте рекомендациями производителей.
Eclypsium | Supply Chain Security for the Modern Enterprise
When Honey Bees Become Murder Hornets - Eclypsium | Supply Chain Security for the Modern Enterprise
What do you do when two million cheap and powerful devices become the launchpad for one of the most powerful botnets ever? You stop treating the threat like a newly discovered and unexpected honey bee hive and you start remediating like you’ve discovered…
Merry Christmas!!!
В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.
На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.
Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).
В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.
Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.
Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.
Apache Foundation пьют валерьянку и молчат.
Merry Christmas, дорогие наши, Merry Christmas!!!
В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.
На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.
Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).
В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.
Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.
Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.
Apache Foundation пьют валерьянку и молчат.
Merry Christmas, дорогие наши, Merry Christmas!!!
GitHub
GitHub - tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce: Apache Log4j 远程代码执行
Apache Log4j 远程代码执行. Contribute to tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce development by creating an account on GitHub.
Вслед за Chrome обновления безопасности для браузера Firefox и почтового клиента Thunderbird выпустила Mozilla.
В общем исправлено 13 уязвимостей, в том числе 6 с высоким степенью серьезности (некоторые из этих патчей также были включены в Firefox ESR 91.4 и Thunderbird 91.4.0).
В случае эксплуатации ошибок безопасности злоумышленнику вполне будет под силу выполнить произвольный код в контексте уязвимого приложения, что потенциально может привести к полной компрометации системы.
Одна из критических уязвимостей может привести к тому, что целевой URL-адрес будет открыт во время навигации при выполнении асинхронных функций (CVE-2021-43536), другая проблема - переполнение буфера кучи, вызванное некорректным преобразованием размеров из 64-битных в 32-битные целые числа (CVE-2021-43537).
Mozilla также исправила потенциальную атаку спуфинга, при которой уведомление о полноэкранном режиме и блокировке указателя отсутствовало при запросе обоих (CVE-2021-43538) и использования после освобождения, вызванного некорректной работой активных указателей (CVE-2021-43539).
Производитель браузера также выпустил исправления для ошибок безопасности памяти с высокой степенью серьезности, которые были обнаружены в предыдущих итерациях его приложений, а также исправления для нескольких уязвимостей средней и низкой степени серьезности. Пропатченная версия Firefox 95 получила новую технологию RLBox, предназначенную для улучшения защиты от веб-атак путем изолирования потенциально проблемных подкомпонентов в песочнице.
Критичность некоторых из дыр побудило даже Агентство кибербезопасности и безопасности инфраструктуры США (CISA) напомнить пользователям о необходимости обновлений в Firefox, Firefox ESR и Thunderbird. Рекомендуем прислушаться.
В общем исправлено 13 уязвимостей, в том числе 6 с высоким степенью серьезности (некоторые из этих патчей также были включены в Firefox ESR 91.4 и Thunderbird 91.4.0).
В случае эксплуатации ошибок безопасности злоумышленнику вполне будет под силу выполнить произвольный код в контексте уязвимого приложения, что потенциально может привести к полной компрометации системы.
Одна из критических уязвимостей может привести к тому, что целевой URL-адрес будет открыт во время навигации при выполнении асинхронных функций (CVE-2021-43536), другая проблема - переполнение буфера кучи, вызванное некорректным преобразованием размеров из 64-битных в 32-битные целые числа (CVE-2021-43537).
Mozilla также исправила потенциальную атаку спуфинга, при которой уведомление о полноэкранном режиме и блокировке указателя отсутствовало при запросе обоих (CVE-2021-43538) и использования после освобождения, вызванного некорректной работой активных указателей (CVE-2021-43539).
Производитель браузера также выпустил исправления для ошибок безопасности памяти с высокой степенью серьезности, которые были обнаружены в предыдущих итерациях его приложений, а также исправления для нескольких уязвимостей средней и низкой степени серьезности. Пропатченная версия Firefox 95 получила новую технологию RLBox, предназначенную для улучшения защиты от веб-атак путем изолирования потенциально проблемных подкомпонентов в песочнице.
Критичность некоторых из дыр побудило даже Агентство кибербезопасности и безопасности инфраструктуры США (CISA) напомнить пользователям о необходимости обновлений в Firefox, Firefox ESR и Thunderbird. Рекомендуем прислушаться.
www.cisa.gov
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird | CISA
Mozilla has released security updates to address vulnerabilities in Firefox, Firefox ESR, and Thunderbird. An attacker could exploit some of these vulnerabilities to take control of an affected system.
В полку вымогателей пополнение.
Исследователи безопасности из Recorded Future и MalwareHunterTeam представили профессиональный ransomware картель с большим набором настраиваемых функций, позволяющих атаковать широкий спектр корпоративных сред. Знакомьтесь, ALPHV (или BlackCat)!
BlackCat - первая профессиональная группа программ-вымогателей, использующая профессиональный штамм на языке программирования Rust и насчитывающая к настоящему времени не менее 10 жертв в США, Австралии и Индии.
По мнению исследователей, автором ALPHV (BlackCat) может быть один из участников печально известной REvil.
Следуя модели REvil, с начала декабря новая программа как услуга под названием ALPHV продвигается на XSS и Exploit, предлагая сотрудничество и участие в купаных атаках с целью получения выкупа. По итогу аффилированным лицам выдают образцы ALPHV (BlackCat) с возможностью шифрования данных в системах Windows, Linux и VMWare eSXI, обещая комиссионные в зависимости от размера выкупа. Например, при выплате выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов и 90% выплат более 3 миллионов.
Установить начальный вектор входа BlackCat пока не удалось, дальнейшая схема работы вымогателей мало чем отличается от уже известных групп и включает двойное вымогательство с угрозой утечек похищенных конфиденциальных данных. В качестве дополнительного аргумента злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп. BlackCat имеет несколько сайтов утечек с различными URL-адресами, на каждом из которых публикуются данные одной или двух жертв, что объясняется их обслуживанием филиалами ALPHV.
Программа-вымогатель BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. Ransomware полностью управляется из командной строки и имеет различные настройки, с возможностью использовать разные процедуры шифрования, распространения между компьютерами, уничтожения виртуальных машин и ESXi, а также способна автоматически стирать моментальные снимки ESXi для предотвращения восстановления.
Шифрование может быть реализовано с использованием 2 алгоритмов ChaCha20 или AES, а также в нескольких режимах:
⁃ Full: полное шифрование файлов.
⁃ Fast: шифрование первых N мегабайт.
⁃ DotPattern: шифрование N мегабайт через M шаг.
⁃ Auto: в зависимости от типа и размера файлов выбирается наиболее оптимальная (с точки зрения скорости и стойкости) модель шифрования.
⁃ SmartPattern: шифрование N мегабайт с шагом в процентах (по умолчанию он шифрует 10 мегабайт каждые 10% файла, начиная с заголовка).
BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования. Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы.
Изменения коснулись и процесса переговоров: разработчики ALPHV ввели токен, который используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте в Tor. Поскольку этот токен не включен в образец вредоносного ПО, при попадании на сайты анализа ВПО исследователи не смогут получать доступ доступ к переговорным чатам, как это было ранее.
Исследователи отмечают, что BlackCat смогли обойти предшественников, в частности BadBeeTeam, BuerLoader и FickerStealer, и создать по-настоящему боевой штамм ransomware в Rust, что значительно усложняет ПО с точки зрения поиска уязвимостей кода, позволяющих обнаружить возможные решения для дешифровки данных. Выводы подтвердил Майкл Гиллеспи, аналитик вредоносных программ в Emsisoft.
Похоже, что на поле зашли новые тяжеловесы.
Исследователи безопасности из Recorded Future и MalwareHunterTeam представили профессиональный ransomware картель с большим набором настраиваемых функций, позволяющих атаковать широкий спектр корпоративных сред. Знакомьтесь, ALPHV (или BlackCat)!
BlackCat - первая профессиональная группа программ-вымогателей, использующая профессиональный штамм на языке программирования Rust и насчитывающая к настоящему времени не менее 10 жертв в США, Австралии и Индии.
По мнению исследователей, автором ALPHV (BlackCat) может быть один из участников печально известной REvil.
Следуя модели REvil, с начала декабря новая программа как услуга под названием ALPHV продвигается на XSS и Exploit, предлагая сотрудничество и участие в купаных атаках с целью получения выкупа. По итогу аффилированным лицам выдают образцы ALPHV (BlackCat) с возможностью шифрования данных в системах Windows, Linux и VMWare eSXI, обещая комиссионные в зависимости от размера выкупа. Например, при выплате выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов и 90% выплат более 3 миллионов.
Установить начальный вектор входа BlackCat пока не удалось, дальнейшая схема работы вымогателей мало чем отличается от уже известных групп и включает двойное вымогательство с угрозой утечек похищенных конфиденциальных данных. В качестве дополнительного аргумента злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп. BlackCat имеет несколько сайтов утечек с различными URL-адресами, на каждом из которых публикуются данные одной или двух жертв, что объясняется их обслуживанием филиалами ALPHV.
Программа-вымогатель BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. Ransomware полностью управляется из командной строки и имеет различные настройки, с возможностью использовать разные процедуры шифрования, распространения между компьютерами, уничтожения виртуальных машин и ESXi, а также способна автоматически стирать моментальные снимки ESXi для предотвращения восстановления.
Шифрование может быть реализовано с использованием 2 алгоритмов ChaCha20 или AES, а также в нескольких режимах:
⁃ Full: полное шифрование файлов.
⁃ Fast: шифрование первых N мегабайт.
⁃ DotPattern: шифрование N мегабайт через M шаг.
⁃ Auto: в зависимости от типа и размера файлов выбирается наиболее оптимальная (с точки зрения скорости и стойкости) модель шифрования.
⁃ SmartPattern: шифрование N мегабайт с шагом в процентах (по умолчанию он шифрует 10 мегабайт каждые 10% файла, начиная с заголовка).
BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования. Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы.
Изменения коснулись и процесса переговоров: разработчики ALPHV ввели токен, который используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте в Tor. Поскольку этот токен не включен в образец вредоносного ПО, при попадании на сайты анализа ВПО исследователи не смогут получать доступ доступ к переговорным чатам, как это было ранее.
Исследователи отмечают, что BlackCat смогли обойти предшественников, в частности BadBeeTeam, BuerLoader и FickerStealer, и создать по-настоящему боевой штамм ransomware в Rust, что значительно усложняет ПО с точки зрения поиска уязвимостей кода, позволяющих обнаружить возможные решения для дешифровки данных. Выводы подтвердил Майкл Гиллеспи, аналитик вредоносных программ в Emsisoft.
Похоже, что на поле зашли новые тяжеловесы.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
BlackCat (ALPHV) ransomware gang's network infrastructure
—Партнерский пост—
Group-IB продолжают публиковать свои отчеты в рамках Hi-Tech Crime Trends 2021/22. В прошлый раз было про доступы в скомпрометированные сети, поэтому логичным продолжением стал отчет про ransomware.
Краткой истории становления современного рынка вымогателей касаться не будем, хотя она там тоже есть. Интересны тренды ransomware 2021 года, основанные на анализе партнерских программ (RaaS) и сливных сайтов (DLS) различных группировок.
А они следующие:
- за год появились 34 новых RaaS;
- RaaS и рынок доступов во взломанные сети стали катализатором развития друг для друга;
- количество появившихся за год DLS выросло более чем вдвое - с 13 до 28;
- на DLS были выставлены данные 2 371 компании, ставшей жертвами ransomware. Рост по сравнению с прошлым годом - "скромные" 935%.
Отдельного внимания заслуживает детальный разбор закрытой партнерской программы ransomware Hive (это те самые, которые требовали у MediaMarkt 240 млн. долларов выкупа), включающий скриншоты переписки с жертвами и реверс сэмпла Hive (подробности здесь).
Group-IB продолжают публиковать свои отчеты в рамках Hi-Tech Crime Trends 2021/22. В прошлый раз было про доступы в скомпрометированные сети, поэтому логичным продолжением стал отчет про ransomware.
Краткой истории становления современного рынка вымогателей касаться не будем, хотя она там тоже есть. Интересны тренды ransomware 2021 года, основанные на анализе партнерских программ (RaaS) и сливных сайтов (DLS) различных группировок.
А они следующие:
- за год появились 34 новых RaaS;
- RaaS и рынок доступов во взломанные сети стали катализатором развития друг для друга;
- количество появившихся за год DLS выросло более чем вдвое - с 13 до 28;
- на DLS были выставлены данные 2 371 компании, ставшей жертвами ransomware. Рост по сравнению с прошлым годом - "скромные" 935%.
Отдельного внимания заслуживает детальный разбор закрытой партнерской программы ransomware Hive (это те самые, которые требовали у MediaMarkt 240 млн. долларов выкупа), включающий скриншоты переписки с жертвами и реверс сэмпла Hive (подробности здесь).
Group-IB
Research Hub
Deep dives on previously unknown APTs, insights into the most recent cybersecurity trends and technologies, and predictions and recommendations that can help shape your security strategy.
Ботнет Dark Mirai нацелен на RCE в популярном роутере TP-Link.
Порой кажется, что рекомендациями по безопасности пользуются в основном только специалисты по безопасности, да и это далеко не всегда так.
Очередную исправленную производителем багу в маршрутизаторах взяли в оборот небезызвестные ботоводы Dark Mirai (он же MANGA) и используют уязвимость на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году.
Уязвимость отслеживается как CVE-2021-41653 и вызвана уязвимой переменной host, которую аутентифицированный пользователь может использовать для выполнения команд на устройстве.
Производитель исправил ошибку и выпустил обновление прошивки (TL-WR840N (EU) _V5_211109) еще 12 ноября 2021 года. Однако многие пользователи до сих пор не применили обновление безопасности. На самом деле, ну куда обычному обывателю до его роутера, который приколочен к потолку или стоит в шкафу. Тем не менее...
Ну и снова смехопанорама, когда исследователь, обнаруживший уязвимость, опубликовал эксплойт PoC для RCE, а злоумышленники благополучно использовали багу в своих не самых чистых намерениях.
Согласно отчету исследователей Fortinet, которые следили за деятельностью Dark Mirai, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.
Аналогичная история приключилась и с ботнетом Moobot, который распространяется через критическую уязвимость CVE-2021-36260 в камерах Hikvision, эксплуатируемую удаленно путем отправки специально созданных сообщений, содержащих вредоносные команды. Еще в сентябре Hikvision исправила ошибку, выпустив обновление прошивки (v 210628), но не все поспешили его применить.
Moobot использует эту уязвимость для компрометации непропатченных устройств и извлечения конфиденциальных данных от жертв. Среди различных полезных нагрузок Fortinet обнаружил загрузчик, замаскированный как macHelper, который выбирает и запускает Moobot с параметром hikivision. Вредоносная программа также блокирует возможность перезагрузки устройства.
Аналитики Fortinet обнаружили общие черты между Moobot и Mirai, например строку данных, используемую в функции генератора случайных буквенно-цифровых строк, использование отдельного загрузчика, разветвление процесса usr/sbin, подмена файла macHelper исполняемым файлом Moobot.
Впервые Moobot был замечен в дикой природе Unit42 еще в феврале 2021 года и до настоящего времени добавляет новые CVE, создавая новый потенциал для таргетинга. Изучая захваченные пакетные данные, Fortinet как раз смогли отследить канал в Телеге, который начал предлагать услуги DDoS в августе прошлого года.
Не будем возвращаться к очередному ликбезу на тему о том, как защитить свой маршрутизатор от Mirai или любого другого ботнета, мы уже неоднократно об этом говорили.
Порой кажется, что рекомендациями по безопасности пользуются в основном только специалисты по безопасности, да и это далеко не всегда так.
Очередную исправленную производителем багу в маршрутизаторах взяли в оборот небезызвестные ботоводы Dark Mirai (он же MANGA) и используют уязвимость на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году.
Уязвимость отслеживается как CVE-2021-41653 и вызвана уязвимой переменной host, которую аутентифицированный пользователь может использовать для выполнения команд на устройстве.
Производитель исправил ошибку и выпустил обновление прошивки (TL-WR840N (EU) _V5_211109) еще 12 ноября 2021 года. Однако многие пользователи до сих пор не применили обновление безопасности. На самом деле, ну куда обычному обывателю до его роутера, который приколочен к потолку или стоит в шкафу. Тем не менее...
Ну и снова смехопанорама, когда исследователь, обнаруживший уязвимость, опубликовал эксплойт PoC для RCE, а злоумышленники благополучно использовали багу в своих не самых чистых намерениях.
Согласно отчету исследователей Fortinet, которые следили за деятельностью Dark Mirai, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.
Аналогичная история приключилась и с ботнетом Moobot, который распространяется через критическую уязвимость CVE-2021-36260 в камерах Hikvision, эксплуатируемую удаленно путем отправки специально созданных сообщений, содержащих вредоносные команды. Еще в сентябре Hikvision исправила ошибку, выпустив обновление прошивки (v 210628), но не все поспешили его применить.
Moobot использует эту уязвимость для компрометации непропатченных устройств и извлечения конфиденциальных данных от жертв. Среди различных полезных нагрузок Fortinet обнаружил загрузчик, замаскированный как macHelper, который выбирает и запускает Moobot с параметром hikivision. Вредоносная программа также блокирует возможность перезагрузки устройства.
Аналитики Fortinet обнаружили общие черты между Moobot и Mirai, например строку данных, используемую в функции генератора случайных буквенно-цифровых строк, использование отдельного загрузчика, разветвление процесса usr/sbin, подмена файла macHelper исполняемым файлом Moobot.
Впервые Moobot был замечен в дикой природе Unit42 еще в феврале 2021 года и до настоящего времени добавляет новые CVE, создавая новый потенциал для таргетинга. Изучая захваченные пакетные данные, Fortinet как раз смогли отследить канал в Телеге, который начал предлагать услуги DDoS в августе прошлого года.
Не будем возвращаться к очередному ликбезу на тему о том, как защитить свой маршрутизатор от Mirai или любого другого ботнета, мы уже неоднократно об этом говорили.
Fortinet Blog
MANGA aka Dark Mirai-based Campaign Targets New TP-Link Router RCE Vulnerability
FortiGuard Labs encountered a malware sample that’s currently being distributed in the wild targeting TP-link wireless routers. Learn more on MANGA aka Dark Mirai-based Campaign.…
This media is not supported in your browser
VIEW IN TELEGRAM
—Партнерский пост—
Сергей Голованов, главный эксперт Лаборатории Касперского, приглашает на открытую запись подкаста «Смени пароль!»
Компания подведет итоги года в инфосеке, раскроет уникальные данные и попробует заглянуть в будущее.
14 декабря, 11:00, онлайн. В прямом эфире можно будет задать вопросы ведущим подкаста. Присоединяйтесь по ссылке!
Сергей Голованов, главный эксперт Лаборатории Касперского, приглашает на открытую запись подкаста «Смени пароль!»
Компания подведет итоги года в инфосеке, раскроет уникальные данные и попробует заглянуть в будущее.
14 декабря, 11:00, онлайн. В прямом эфире можно будет задать вопросы ведущим подкаста. Присоединяйтесь по ссылке!
Судная ночь продолжается.
0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.
Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.
Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.
Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.
А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.
По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.
Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.
Ну, а пока, дорогие наши, Merry Christmas!!!
0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.
Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.
Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.
Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.
А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.
По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.
Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.
Ну, а пока, дорогие наши, Merry Christmas!!!
Twitter
vx-underground
*Not originally our meme *Unable to find author to give credit
В результате атаки у шведского автопроизводителя Volvo украли передовые разработки.
Как и любая известная корпорация с доходами в миллиарды долларов, Volvo до последнего момента отрицала инцидент и ссылалась на потенциальную кибератаку. Однако после того, как данные просочились в сеть производитель сделал соответствующее официальное заявление, отметив, что инцидент может повлиять на работу компании.
Volvo Cars стало известно о незаконном доступе к одному из файловых репозиториев третьей стороной. На данный момент расследование подтверждают, что во время вторжения была украдена ограниченная часть научно-исследовательских работ. Что конкретно утекло не сообщается, но, как и известно, Volvo сейчас активно участвует в разработке передовых электромобилей.
25 ноября хакерская группа Snatch опубликовала запись с указанием Volvo Cars в качестве одной из своих жертв, а 30 ноября были преданы огласке образцы файлов из сети Volvo. Хакеры заявили, что не будут настаивать на переговорах, а вместо этого пообещали утечку данных, если Volvo не сможет разумно и всесторонне защитить от утечки.
Как правило, официальное признание обычно означает, что компания отказалась взаимодействовать с хакерами и готова смириться с последствиями утечки. Если бы не один нюанс 👇
Как и любая известная корпорация с доходами в миллиарды долларов, Volvo до последнего момента отрицала инцидент и ссылалась на потенциальную кибератаку. Однако после того, как данные просочились в сеть производитель сделал соответствующее официальное заявление, отметив, что инцидент может повлиять на работу компании.
Volvo Cars стало известно о незаконном доступе к одному из файловых репозиториев третьей стороной. На данный момент расследование подтверждают, что во время вторжения была украдена ограниченная часть научно-исследовательских работ. Что конкретно утекло не сообщается, но, как и известно, Volvo сейчас активно участвует в разработке передовых электромобилей.
25 ноября хакерская группа Snatch опубликовала запись с указанием Volvo Cars в качестве одной из своих жертв, а 30 ноября были преданы огласке образцы файлов из сети Volvo. Хакеры заявили, что не будут настаивать на переговорах, а вместо этого пообещали утечку данных, если Volvo не сможет разумно и всесторонне защитить от утечки.
Как правило, официальное признание обычно означает, что компания отказалась взаимодействовать с хакерами и готова смириться с последствиями утечки. Если бы не один нюанс 👇
Twitter
DarkFeed
🌐 Oops, The real IP address of Snatch #Ransomware group 🤫 #Snatch
В числе банд-вымогателей закрепились новички.
Исследователи из Accenture подробно описали деятельность новой группы киберпреступников под названием Karakurt, которая стоит за недавними атаками.
Впервые активность группы была зафиксирована в июне текущего года, но пик хакерских атаки пришелся на третий квартал. В период с сентября 2021 года по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях.
В июне 2021 года банда зарегистрировала одноименные домены group и tech, на которых размещала добытые утечки от своей деятельности, а в августе у группы появился аккаунт в Twitteе под ником karakurtlair.
Как и большинство коллег по цеху, группа занимается кражей данных и вымогательством, но стоит отметить, что она не использует программы-вымогатели для шифрования данных своих жертв.
По мнению Accenture Security самопровозглашенная Karakurt Hacking Team финансово ориентирована и нацелена на более мелкие предприятия или дочерние компании, а не на крупные корпорации. Оно отчасти и правильно, за крупные потом и прилипаешь по-крупному, а за развертывание программ-вымогателей автоматически становишься объектом розыска всех спецслужб и инфосек сообществ мира.
Пока воздержимся от гипотез о геополитической принадлежности группы, но для справки большинство известных жертв проживают в Северной Америке (95%), а остальные 5% - в Европе.
Анализ вектора атак группы, показал, что они в первую очередь использует учетные данные VPN для получения первоначального доступа к сети жертвы. В своих атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Также специалисты заметили, что для кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io.
Отчет о тактике и методах MITER ATT & CK для этого злоумышленника, а также предлагаемые меры по их устранению можно посмотреть у исследователей Accenture.
Исследователи из Accenture подробно описали деятельность новой группы киберпреступников под названием Karakurt, которая стоит за недавними атаками.
Впервые активность группы была зафиксирована в июне текущего года, но пик хакерских атаки пришелся на третий квартал. В период с сентября 2021 года по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях.
В июне 2021 года банда зарегистрировала одноименные домены group и tech, на которых размещала добытые утечки от своей деятельности, а в августе у группы появился аккаунт в Twitteе под ником karakurtlair.
Как и большинство коллег по цеху, группа занимается кражей данных и вымогательством, но стоит отметить, что она не использует программы-вымогатели для шифрования данных своих жертв.
По мнению Accenture Security самопровозглашенная Karakurt Hacking Team финансово ориентирована и нацелена на более мелкие предприятия или дочерние компании, а не на крупные корпорации. Оно отчасти и правильно, за крупные потом и прилипаешь по-крупному, а за развертывание программ-вымогателей автоматически становишься объектом розыска всех спецслужб и инфосек сообществ мира.
Пока воздержимся от гипотез о геополитической принадлежности группы, но для справки большинство известных жертв проживают в Северной Америке (95%), а остальные 5% - в Европе.
Анализ вектора атак группы, показал, что они в первую очередь использует учетные данные VPN для получения первоначального доступа к сети жертвы. В своих атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Также специалисты заметили, что для кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io.
Отчет о тактике и методах MITER ATT & CK для этого злоумышленника, а также предлагаемые меры по их устранению можно посмотреть у исследователей Accenture.
Accenture
What We Think | Business & Technology Insights
Accenture thought leadership offers business and technology insights on key market forces & technologies to set your company on the path to value. Learn more.
Злоумышленники получили доступ к аккаунту премьер-министра Индии и попытались встряхнуть рынок криптовалют.
Ну еще бы, рынок не может не реагировать когда "сам" премьер-министр Индии опубликует в Twitter, что его страна приняла биткойн в качестве законного платежного средства и распределяет криптовалюту среди граждан. Нарендра Моди, конечно не Илон Маск, но для справки в Индии население 1,38 миллиарда человек, а у премьер-министра более 73 миллионов подписчиков и он является самым популярным политиком в социальной сети.
К разочарованию хакеров данный инцидент почти незаметно отразился на стоимости криптовалюты, так как твит о покупке и официальном принятии BTC был быстро удален, а контроль над учетной записью восстановлен. Возможно, хакерам удалось заработать некоторые крохи, так как в сообщении была размешена мошенническая ссылка.
Это был уже второй случай взлома одной из учетных записей Моди в Твиттере. Как известно, в прошлом году был взломан другой аккаунт, с которого был опубликован твит, призывающий общественность сделать пожертвования в "фонд помощи при коронавирусе".
По иронии судьбы воскресный взлом произошел, когда Индия готовилась как раз таки подавить новым законом процветающую в стране торговлю криптовалютой, который, вероятно, будет внесен в парламент в этом месяце. Детали закона пока не разглашаются, но правительство объявило о широком запрете на частные цифровые активы.
Видимо под грядущим железным занавесом, злоумышленники пытались отбить вложенные инвестиции, так как в памяти остался момент резкого роста на местных рынках после того, как Верховный суд Индии отменил предыдущий запрет, принятый в прошлом году.
Сам Моди заявил в прошлом месяце, что криптовалюты могут «испортить нашу молодость», а центральный банк неоднократно заявлял, что криптоиндустрия вызывает серьезные опасения по поводу макроэкономической и финансовой стабильности страны.
Ну еще бы, рынок не может не реагировать когда "сам" премьер-министр Индии опубликует в Twitter, что его страна приняла биткойн в качестве законного платежного средства и распределяет криптовалюту среди граждан. Нарендра Моди, конечно не Илон Маск, но для справки в Индии население 1,38 миллиарда человек, а у премьер-министра более 73 миллионов подписчиков и он является самым популярным политиком в социальной сети.
К разочарованию хакеров данный инцидент почти незаметно отразился на стоимости криптовалюты, так как твит о покупке и официальном принятии BTC был быстро удален, а контроль над учетной записью восстановлен. Возможно, хакерам удалось заработать некоторые крохи, так как в сообщении была размешена мошенническая ссылка.
Это был уже второй случай взлома одной из учетных записей Моди в Твиттере. Как известно, в прошлом году был взломан другой аккаунт, с которого был опубликован твит, призывающий общественность сделать пожертвования в "фонд помощи при коронавирусе".
По иронии судьбы воскресный взлом произошел, когда Индия готовилась как раз таки подавить новым законом процветающую в стране торговлю криптовалютой, который, вероятно, будет внесен в парламент в этом месяце. Детали закона пока не разглашаются, но правительство объявило о широком запрете на частные цифровые активы.
Видимо под грядущим железным занавесом, злоумышленники пытались отбить вложенные инвестиции, так как в памяти остался момент резкого роста на местных рынках после того, как Верховный суд Индии отменил предыдущий запрет, принятый в прошлом году.
Сам Моди заявил в прошлом месяце, что криптовалюты могут «испортить нашу молодость», а центральный банк неоднократно заявлял, что криптоиндустрия вызывает серьезные опасения по поводу макроэкономической и финансовой стабильности страны.
- Партнёрский пост -
Сегодня, 14 декабря компания Positive Technologies впервые покажет свой продукт PT XDR — это абсолютно новое решение для обнаружения киберугроз и реагирования на них. Оно помогает быстрее выявлять кибератаки, эффективнее реагировать на них и тратить при этом меньше ресурсов подразделения информационной безопасности - все благодаря автоматизации.
В честь этого Positive Technologies приглашает всех, кто интересуется рынком информационной безопасности, на презентацию решения в онлайн-формате.
Эксперты инфосек компании расскажут и продемонстрируют, что такое XDR-решения и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Кроме того, компания анонсирует финальный элемент своего XDR-решения — продукт для защиты конечных точек.
🎮 В программе — презентация PT XDR, квест и игровой формат онлайн-трансляции.
Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы!
🗓 Мероприятие проходит сегодня, 14 декабря в 14:00 (мск), станьте участником по ссылке: Подробности и сюрприз от команды Positive Technologies
Сегодня, 14 декабря компания Positive Technologies впервые покажет свой продукт PT XDR — это абсолютно новое решение для обнаружения киберугроз и реагирования на них. Оно помогает быстрее выявлять кибератаки, эффективнее реагировать на них и тратить при этом меньше ресурсов подразделения информационной безопасности - все благодаря автоматизации.
В честь этого Positive Technologies приглашает всех, кто интересуется рынком информационной безопасности, на презентацию решения в онлайн-формате.
Эксперты инфосек компании расскажут и продемонстрируют, что такое XDR-решения и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Кроме того, компания анонсирует финальный элемент своего XDR-решения — продукт для защиты конечных точек.
🎮 В программе — презентация PT XDR, квест и игровой формат онлайн-трансляции.
Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы!
🗓 Мероприятие проходит сегодня, 14 декабря в 14:00 (мск), станьте участником по ссылке: Подробности и сюрприз от команды Positive Technologies
Под шумок log4shell компания Google решили устранить 0-day уязвимость в Chrome.
Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:
- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).
CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.
В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.
Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:
- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).
CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.
В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 96.0.4664.110 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended sta...
Международная логистическая компания Hellmann Worldwide Logistics до сих пор продолжает расследование и изо всех сил пытается восстановить свою деятельность после масштабной кибератаки, из-за которой пришлось изолировать свой центральный центр обработки данных от остальной среды.
Компания сообщает, что инцидент существенно повлиял на ее работу, в основном из-за разрыва соединения с центром обработки данных. Поставщик логистических услуг также сообщил, что привлек к работе внешних специалистов по информационной безопасности для оказания помощи в расследовании и процессе восстановления.
На сегодняшний день Hellmann не предоставил сведений об атаке, а также о возможных утечках. Учитывая, что была прервана связь с центральным центром обработки данных, вероятно в инциденте имела место работа с использованием программ-вымогателей.
Такой вот масштаб последствий. Для справки, немецкая компания предоставляет широкий спектр услуг, включая авиа и морские, а также железнодорожные и автомобильные перевозки в 173 странах.
В общем, ни дня без ransomware.
Компания сообщает, что инцидент существенно повлиял на ее работу, в основном из-за разрыва соединения с центром обработки данных. Поставщик логистических услуг также сообщил, что привлек к работе внешних специалистов по информационной безопасности для оказания помощи в расследовании и процессе восстановления.
На сегодняшний день Hellmann не предоставил сведений об атаке, а также о возможных утечках. Учитывая, что была прервана связь с центральным центром обработки данных, вероятно в инциденте имела место работа с использованием программ-вымогателей.
Такой вот масштаб последствий. Для справки, немецкая компания предоставляет широкий спектр услуг, включая авиа и морские, а также железнодорожные и автомобильные перевозки в 173 странах.
В общем, ни дня без ransomware.
Hellmann Worldwide Logistics
IT Infrastructure
To demonstrate our efforts regarding Cyber Security and the professionality of IT service delivery, Hellmann undergoes several external audits conducted by recognized third party auditors every year.
Forwarded from SecurityLab.ru
В Китае с помощью ИИ создали миниатюрное мощное оружие, в Уганде взломали смартфоны дипломатов США, вымогатели Cuba получили $40 млн от организаций в США, а исчезающие сообщения WhatsApp могут угрожать детям. Смотрите 43-й выпуск наших новостей:
https://www.youtube.com/watch?v=C6CA3I5g084
https://www.youtube.com/watch?v=C6CA3I5g084
YouTube
Сотрудников госдепа США взломали, еще и кубинские хакеры влезли в КИИ. Security-новости #43 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
Не прошло и месяца после подачи иска против израильского производителя шпионского ПО NSO Group в суд Северной Калифорнии Apple выпустила крупное обновление для флагманской мобильной операционной системы iOS 15.2.
В то время как судебная претензия направлена на привлечение NSO Group к ответственности за взлом мобильной платформы iOS с использованием эксплойтов с нулевым щелчком, обновление, следуя логике разработчиков призвано качественно обезопасить яблочников от «сложной, спонсируемой государством технологии наблюдения, которая позволяет ее целевому шпионскому программному обеспечению следить за своими жертвами».
Акцент сделан на защите конфиденциальности приложений, исправлено не менее 42 CVEs, которые некоторые из которых достаточно серьезны, чтобы привести к атакам выполнения кода, если пользователи iPhone или iPad просто открывают изображения или аудиофайлы.
Большинство из них связаны с повреждением памяти, переполнением буфера и проблемами использования после освобождения в следующих компонентах: ColorSync, CoreAudio, ImageIO, Model I / O и WebKit.
При этом движок браузера WebKit был одним из наиболее уязвимых компонентов: Apple исправила 12 баг безопасности в памяти, которые могли привести к хакерским атакам через веб-контент.
Несмотря на то, что в Apple не сообщает об эксплуатации какой-либо из перечисленных 0-day, исследователи фиксировали не менее 17 атак на устройства под управлением macOS или iOS.
Кроме того, Apple также объявила об улучшениях, связанных с конфиденциальностью: новые настройки позволят пользователям получать информацию о том, как часто приложения имеют доступ к местоположению, фотографиям, камере, микрофону, контактам в течение последних семи дней, а также сетевая активность приложения.
Помимо прочего Apple выделяет 10 миллионов долларов по bugbounty, но только за информацию о угрозах конфиденциальности и слежки. Ну ну, учитывая репутацию компании по выплатам вознаграждений, заявление компании следует больше рассматривать больше как пиар ход на фоне скандалов со взломами девайсов высокопоставленных лиц из ЕС и США.
Но, как бы то ни было, обновление весьма кстати и требует скорейшей инсталляции.
В то время как судебная претензия направлена на привлечение NSO Group к ответственности за взлом мобильной платформы iOS с использованием эксплойтов с нулевым щелчком, обновление, следуя логике разработчиков призвано качественно обезопасить яблочников от «сложной, спонсируемой государством технологии наблюдения, которая позволяет ее целевому шпионскому программному обеспечению следить за своими жертвами».
Акцент сделан на защите конфиденциальности приложений, исправлено не менее 42 CVEs, которые некоторые из которых достаточно серьезны, чтобы привести к атакам выполнения кода, если пользователи iPhone или iPad просто открывают изображения или аудиофайлы.
Большинство из них связаны с повреждением памяти, переполнением буфера и проблемами использования после освобождения в следующих компонентах: ColorSync, CoreAudio, ImageIO, Model I / O и WebKit.
При этом движок браузера WebKit был одним из наиболее уязвимых компонентов: Apple исправила 12 баг безопасности в памяти, которые могли привести к хакерским атакам через веб-контент.
Несмотря на то, что в Apple не сообщает об эксплуатации какой-либо из перечисленных 0-day, исследователи фиксировали не менее 17 атак на устройства под управлением macOS или iOS.
Кроме того, Apple также объявила об улучшениях, связанных с конфиденциальностью: новые настройки позволят пользователям получать информацию о том, как часто приложения имеют доступ к местоположению, фотографиям, камере, микрофону, контактам в течение последних семи дней, а также сетевая активность приложения.
Помимо прочего Apple выделяет 10 миллионов долларов по bugbounty, но только за информацию о угрозах конфиденциальности и слежки. Ну ну, учитывая репутацию компании по выплатам вознаграждений, заявление компании следует больше рассматривать больше как пиар ход на фоне скандалов со взломами девайсов высокопоставленных лиц из ЕС и США.
Но, как бы то ни было, обновление весьма кстати и требует скорейшей инсталляции.
Apple Support
About the security content of iOS 15.2 and iPadOS 15.2
This document describes the security content of iOS 15.2 and iPadOS 15.2.
Внезапно ушедший из жизни в апреле этого года настоящий профессионал в сфере инфосек Дэн Камински был занесен в Зал славы Интернет-сообщества за уникальный вклад в безопасность DNS. Ранее в июле этого года Каминский был включен в зал славы FIRST по реагированию на инциденты.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.
Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.
Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.
Forwarded from Social Engineering
👤 Подборка поисковиков, обеспечивающих конфиденциальность.
• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:
• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.
• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.
‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Выбор поисковой системы под наши потребности является субъективным процессом. Нельзя назвать какую-то одну поисковую систему, которая станет лучшей для всех. Нужно принимать во внимание множество факторов. В идеале поисковая система должна отвечать на ваши запросы и при этом уважать вашу конфиденциальность.• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:
• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.
• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.
‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.