Forwarded from Social Engineering
🔭 Игра в прятки. Конкурсы и задачи по OSINT и геолокации. Качаем скилл.
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает в геометрической прогрессии.
🧷 Читать статью: https://habr.com/ru/company/timeweb/blog/652421/
📌 Дополнительный материал:
Руководства:
• Определение местоположения по фотографии.
• Определение местоположения по фотографии. Обратный поиск изображений.
• Используем тень для определения местоположения военной базы США.
• Извлечь, исследовать, проверить.
• Как природа может раскрывать секреты геолокации.
• GeoTips: советы по поиску геолокации в странах мира.
Инструменты:
• Набор погодных карт.
• Поиск информации о погоде в разное время по городу, почтовому индексу или коду аэропорта.
• Спутниковые снимки, аэрофотоснимки, снимки с беспилотников и многое другое.
• Необычный сервис для поиска кратчайшего маршрута от точки А до точки Б.
• Карта для отслеживания самолетов в реальном времени.
• Онлайн транспортир.
Твой S.E. #OSINT
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает в геометрической прогрессии.
🖖🏻 Приветствую тебя user_name.
• Сегодня ты узнаешь о полезных ресурсах, которые позволят прокачать твои навыки поиска информации из открытых источников по различным направлениям. Это очень полезный материал для специалистов в области #OSINT и Социальных Инженеров, в котором ты найдешь интересные ссылки на Twitter-аккаунты OSINT-экспертов, различные #CTF, инструменты и многое другое.🧷 Читать статью: https://habr.com/ru/company/timeweb/blog/652421/
📌 Дополнительный материал:
Руководства:
• Определение местоположения по фотографии.
• Определение местоположения по фотографии. Обратный поиск изображений.
• Используем тень для определения местоположения военной базы США.
• Извлечь, исследовать, проверить.
• Как природа может раскрывать секреты геолокации.
• GeoTips: советы по поиску геолокации в странах мира.
Инструменты:
• Набор погодных карт.
• Поиск информации о погоде в разное время по городу, почтовому индексу или коду аэропорта.
• Спутниковые снимки, аэрофотоснимки, снимки с беспилотников и многое другое.
• Необычный сервис для поиска кратчайшего маршрута от точки А до точки Б.
• Карта для отслеживания самолетов в реальном времени.
• Онлайн транспортир.
Твой S.E. #OSINT
Банда вымогателей Lockbit отработала Министерство финансов, бюджета и общественного транспорта республики Конго.
«Пошифрованным» чиновникам грозит утечка, которая произойдёт, если до 23 марта не будет выплачен выкуп.
«Пошифрованным» чиновникам грозит утечка, которая произойдёт, если до 23 марта не будет выплачен выкуп.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] LockBit ransomware gang has announced "Ministère des Finances, du Budget et du Portefeuille Public" on the victim list.
Уже не раз писали о том, как ваш умный девайс или роутер может втайне от вас участвовать в распределённых атаках и вовсе жить своей жизнью.
Зародившийся в 2016 году первоначально как банковский троян малварь TrickBot до сих пор используется в серьёзных кампаниях, нацеленных на клиентов десятков известных компаний. Только в последнее время операторы Trickbot нацелены на маршрутизаторы MikroTik, используя их в качестве прокси для серверов C&C для обеспечения большей скрытности.
После не совсем удачной попытки порушить TrickBot в 2020 году Microsoft решили подключить к этому процессу потенциальных жертв. Для этого технологический гигант создал инструмент, который можно использовать для проверки устройств на наличие признаков взлома, связанного с Trickbot.
По данным Microsoft, злоумышленники компрометируют маршрутизаторы MikroTik, как правило, используя пароли по умолчанию, атаки brute force или благодаря старой уязвимости чтения файла, содержащего пароли.
После чего злоумышленники перенаправляют трафик между двумя портами в маршрутизаторе, устанавливая линию связи между скомпрометированными устройствами, и C2. При этом NikroTik имеют уникальное аппаратное и программное обеспечение, RouterBOARD и RouterOS, что требует от злоумышленника определённых скиллов по этой части.
На этой неделе Microsoft представили инструмент с открытым исходным кодом RouterOS Scanner для оценки устройств MikroTik на предмет того, что устройство было скомпрометировано вредоносным ПО Trickbot.
В частности, инструмент проверяет версию устройства и сопоставляет ее с известными уязвимостями. Он также ищет запланированные задачи, правила перенаправления трафика, отравление кэша DNS, изменения портов по умолчанию, пользователей, не связанных с дефолтом, подозрительные файлы, а также прокси, SOCKS и правила брандмауэра.
Исходный код инструмента доступен на GitHub.
Правда, учитывая опыт микромягких в области антивирусных решений, радоваться появлению сканера, по всей видимости, рановато.
Зародившийся в 2016 году первоначально как банковский троян малварь TrickBot до сих пор используется в серьёзных кампаниях, нацеленных на клиентов десятков известных компаний. Только в последнее время операторы Trickbot нацелены на маршрутизаторы MikroTik, используя их в качестве прокси для серверов C&C для обеспечения большей скрытности.
После не совсем удачной попытки порушить TrickBot в 2020 году Microsoft решили подключить к этому процессу потенциальных жертв. Для этого технологический гигант создал инструмент, который можно использовать для проверки устройств на наличие признаков взлома, связанного с Trickbot.
По данным Microsoft, злоумышленники компрометируют маршрутизаторы MikroTik, как правило, используя пароли по умолчанию, атаки brute force или благодаря старой уязвимости чтения файла, содержащего пароли.
После чего злоумышленники перенаправляют трафик между двумя портами в маршрутизаторе, устанавливая линию связи между скомпрометированными устройствами, и C2. При этом NikroTik имеют уникальное аппаратное и программное обеспечение, RouterBOARD и RouterOS, что требует от злоумышленника определённых скиллов по этой части.
На этой неделе Microsoft представили инструмент с открытым исходным кодом RouterOS Scanner для оценки устройств MikroTik на предмет того, что устройство было скомпрометировано вредоносным ПО Trickbot.
В частности, инструмент проверяет версию устройства и сопоставляет ее с известными уязвимостями. Он также ищет запланированные задачи, правила перенаправления трафика, отравление кэша DNS, изменения портов по умолчанию, пользователей, не связанных с дефолтом, подозрительные файлы, а также прокси, SOCKS и правила брандмауэра.
Исходный код инструмента доступен на GitHub.
Правда, учитывая опыт микромягких в области антивирусных решений, радоваться появлению сканера, по всей видимости, рановато.
Microsoft News
Uncovering Trickbot’s use of IoT devices in command-and-control infrastructure
The Microsoft Defender for IoT research team has recently discovered the exact method through which MikroTik devices are used in Trickbot’s C2 infrastructure. In this blog, we share the analysis of this method and provide insights on how attackers gain access…
Мы писали недавно про то, что будем более пристально обращать внимание на проблемы информационной безопасности в АСУ ТП (или ICS на английском). Исполняем.
Пару дней назад NIST выпустили новое практическое руководство, которое посвящено вопросам кибербезопасности в промышленных системах управления. В создании руководства принимали непосредственное участие эксперты Microsoft, Dragos, VMware и других компаний.
И хотя с недавних пор эти товарищи нам совсем не товарищи стандарты и руководства NIST в области информационной безопасности - это то, что надо внимательно изучать и прислушиваться.
Так что пользуйтесь.
#АСУТП #ICS
Пару дней назад NIST выпустили новое практическое руководство, которое посвящено вопросам кибербезопасности в промышленных системах управления. В создании руководства принимали непосредственное участие эксперты Microsoft, Dragos, VMware и других компаний.
И хотя с недавних пор эти товарищи нам совсем не товарищи стандарты и руководства NIST в области информационной безопасности - это то, что надо внимательно изучать и прислушиваться.
Так что пользуйтесь.
#АСУТП #ICS
CSRC | NIST
NIST Special Publication (SP) 1800-10, Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity…
Today’s manufacturing organizations rely on industrial control systems (ICS) to conduct their operations. Increasingly, ICS are facing more frequent, sophisticated cyber attacks—making manufacturing the second-most-targeted industry. Cyber attacks against…
Консорциум интернет-систем (ISC) выпустил обновления для исправления серьезных уязвимостей в серверном ПО Berkeley Internet Name Domain (BIND).
BIND - это открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. BIND поддерживается организацией Internet Systems Consortium, при этом 10 из 13 корневых серверов DNS работают на BIND, оставшиеся 3 работают на NSD.
Разработчиком устранено четыре ошибки безопасности, две из которых затрагивают BIND версии 9.18. Оба недостатка имеют оценку CVSS 7,0.
Первая из них CVE-2022-0635 описывается как DNAME insist with synth-from-dnssec enabled.
BIND 9.18 проводит рефакторинг synth-from-dnssec (RFC 8198 — агрессивное использование DNSSEC-проверенного кэша) и автоматически включает его для распознавателей, проверяющих dnssec. Ошибка возникает из-за того, что повторяющиеся шаблоны определенных запросов к серверам с включенной этой функцией могут привести к сбою INSIST в query.c:query dname и неожиданному завершению named.
Определенные запросы могут использоваться для инициирования неудачной проверки , которая приводит к завершению указанного процесса. При этом затрагиваются только преобразователи BIND версии 9.18.0 с включенной проверкой dnssec и synth-from-dnssec. Отключение synth-from-dnssec предотвратит уязвимость, но только в качестве временного обходного пути, поскольку эта функция предназначена для защиты зон, подписанных DNSSEC, от псевдослучайных атак поддоменов.
Вторая уязвимость CVE-2022-0667 связана с функцией возобновления dslookup() и может привести к завершению процесса BIND. Пока BIND обрабатывает запрос на запись DS, которую необходимо переслать, он ожидает, пока эта обработка не будет завершена или пока не сработает таймер. Функция не проверяет, была ли загрузка ранее отключена.
Еще одна проблема высокой степени серьезности, решенная ISC, затрагивает версии BIND с 9.11.0 по 9.11.36, с 9.12.0 по 9.16.26 и с 9.17.0 по 9.18.0. Предыдущие версии также могут быть уязвимы.
CVE-2021-25220 (оценка CVSS 6,2) связана с использованием серверов пересылки: фальшивые записи NS, предоставленные этими серверами пересылки или через них, могут быть кэшированы и использованы named, если по какой-либо причине потребуется рекурсия, заставляя его получать и передавать потенциально неправильные ответы. Это может привести к тому, что неверные записи повредят кеш, а запросы будут отправлены не на те серверы. Таким образом, пользователи могут получить ложную информацию. При этом отключение пересылки или рекурсии предотвращает ошибку.
ISC заявляет, что ей неизвестно об эксплойтах, нацеленных на любую из этих уязвимостей, но призывает пользователей и администраторов ознакомиться с рекомендациями и устранить ошибки как можно скорее, с чем также согласны и мы.
BIND - это открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот. BIND поддерживается организацией Internet Systems Consortium, при этом 10 из 13 корневых серверов DNS работают на BIND, оставшиеся 3 работают на NSD.
Разработчиком устранено четыре ошибки безопасности, две из которых затрагивают BIND версии 9.18. Оба недостатка имеют оценку CVSS 7,0.
Первая из них CVE-2022-0635 описывается как DNAME insist with synth-from-dnssec enabled.
BIND 9.18 проводит рефакторинг synth-from-dnssec (RFC 8198 — агрессивное использование DNSSEC-проверенного кэша) и автоматически включает его для распознавателей, проверяющих dnssec. Ошибка возникает из-за того, что повторяющиеся шаблоны определенных запросов к серверам с включенной этой функцией могут привести к сбою INSIST в query.c:query dname и неожиданному завершению named.
Определенные запросы могут использоваться для инициирования неудачной проверки , которая приводит к завершению указанного процесса. При этом затрагиваются только преобразователи BIND версии 9.18.0 с включенной проверкой dnssec и synth-from-dnssec. Отключение synth-from-dnssec предотвратит уязвимость, но только в качестве временного обходного пути, поскольку эта функция предназначена для защиты зон, подписанных DNSSEC, от псевдослучайных атак поддоменов.
Вторая уязвимость CVE-2022-0667 связана с функцией возобновления dslookup() и может привести к завершению процесса BIND. Пока BIND обрабатывает запрос на запись DS, которую необходимо переслать, он ожидает, пока эта обработка не будет завершена или пока не сработает таймер. Функция не проверяет, была ли загрузка ранее отключена.
Еще одна проблема высокой степени серьезности, решенная ISC, затрагивает версии BIND с 9.11.0 по 9.11.36, с 9.12.0 по 9.16.26 и с 9.17.0 по 9.18.0. Предыдущие версии также могут быть уязвимы.
CVE-2021-25220 (оценка CVSS 6,2) связана с использованием серверов пересылки: фальшивые записи NS, предоставленные этими серверами пересылки или через них, могут быть кэшированы и использованы named, если по какой-либо причине потребуется рекурсия, заставляя его получать и передавать потенциально неправильные ответы. Это может привести к тому, что неверные записи повредят кеш, а запросы будут отправлены не на те серверы. Таким образом, пользователи могут получить ложную информацию. При этом отключение пересылки или рекурсии предотвращает ошибку.
ISC заявляет, что ей неизвестно об эксплойтах, нацеленных на любую из этих уязвимостей, но призывает пользователей и администраторов ознакомиться с рекомендациями и устранить ошибки как можно скорее, с чем также согласны и мы.
kb.isc.org
BIND 9 Security Vulnerability Matrix
The BIND 9 Security Vulnerability Matrix is a tool to help DNS operators understand the current security risk for a given version of BIND.
Forwarded from Russian OSINT
🇬🇧 Солдатам Великобритании запретили пользоваться мессенджером WhatsApp из-за "русских хакеров"
Как сообщает Daily Mail, военным отдан приказ прекратить использование WhatsApp в профессиональных целях, в противном случае они могут подвергнуться дисциплинарным взысканиям. Все дело в том, что командование туманного Альбиона опасается взлома мессенджера русскими хакерами, оценивая такую вероятность как хайли лайкли:
"It is considered highly likely Russia has acquired the same capability"
Регулярным войсковым подразделениям советуют использовать Signal вместо WhatsApp. Если верить источникам издания, то детище Open Whisper Systems уже давно зарекомендовало себя даже среди британских шпионов из MI6.
Новость не обойдет стороной и Бориса Джонсона, который постоянно использует WhatsApp для деловой переписки. Служба безопасности может запретить премьер-министру использовать WhatsApp по деловым моментам, иначе волосы могут встать дыбом не только у Бориса.
Как сообщает Daily Mail, военным отдан приказ прекратить использование WhatsApp в профессиональных целях, в противном случае они могут подвергнуться дисциплинарным взысканиям. Все дело в том, что командование туманного Альбиона опасается взлома мессенджера русскими хакерами, оценивая такую вероятность как хайли лайкли:
"It is considered highly likely Russia has acquired the same capability"
Регулярным войсковым подразделениям советуют использовать Signal вместо WhatsApp. Если верить источникам издания, то детище Open Whisper Systems уже давно зарекомендовало себя даже среди британских шпионов из MI6.
Новость не обойдет стороной и Бориса Джонсона, который постоянно использует WhatsApp для деловой переписки. Служба безопасности может запретить премьер-министру использовать WhatsApp по деловым моментам, иначе волосы могут встать дыбом не только у Бориса.
Новые вести с полей кибершпионских войн.
Товарищи хакеры из южнокорейской APT DarkHotel решили вернуться к своим истокам и организовали киберкампанию, направленную на элитные отели.
Как мы рассказывали два года назад, DarkHotel получили свое название именно из-за масштабной операции по взлому сетей Wi-Fi фешенебельных отелей по всему миру с целью дальнейшего заражения VIP-гостей. С точки зрения концепции - очень круто.
В конце прошлого года инфосек компания Zscaler обнаружила новую операцию южнокорейских хакеров, направленную, судя по вредоносной инфраструктуре, в первую очередь на Китай. Действительно, не стоит забывать, что с точки зрения геополитики Сеул и Пекин как бы не сильно дружат.
На прошлой же неделе эксперты из компании Trellix выкатили отчет, в котором, со ссылкой на элементы вскрытой Zscaler вредоносной инфраструктуры, с большой долей вероятности приписали DarkHotel проводившуюся в период с ноября 2021 по январь 2022 года фишинговую кампанию в отношении элитных отелей в китайском специальном административном районе Макао.
Макао - это такой китайский Лас-Вегас с кучей казино, отелей, ночных клубов и финансовых институтов в придачу. Хакеры организовали массовую рассылку фишинговых приманок с малварью сотрудникам 17 различных гостиниц Макао. Во всех случаях потенциальные жертвы имели доступ к различным сервисам отеля, включая систему бронирования.
На причастность к этой кампании DarkHotel указывают следующие признаки:
- использование IP-адреса C2, ранее вскрытого Zscaler;
- целевой сектор и страна атаки соответствуют профилю этой APT;
- шаблоны панели С2, ранее использовавшиеся DarkHotel.
Вместе с тем, IP-адрес управляющего центра оставался активным в течение достаточно долгого времени после его публичного раскрытия, а также являлся источником другого вредоносного контента. В связи с этим Trellix снизили достоверность своей атрибуции до умеренной.
И мы с этим согласны, поскольку в указанных условиях присутствует вероятность активности некой APT под флагом DarkHotel. Такой бы подход к атрибуции западным инфосек компаниям всегда использовать...
Товарищи хакеры из южнокорейской APT DarkHotel решили вернуться к своим истокам и организовали киберкампанию, направленную на элитные отели.
Как мы рассказывали два года назад, DarkHotel получили свое название именно из-за масштабной операции по взлому сетей Wi-Fi фешенебельных отелей по всему миру с целью дальнейшего заражения VIP-гостей. С точки зрения концепции - очень круто.
В конце прошлого года инфосек компания Zscaler обнаружила новую операцию южнокорейских хакеров, направленную, судя по вредоносной инфраструктуре, в первую очередь на Китай. Действительно, не стоит забывать, что с точки зрения геополитики Сеул и Пекин как бы не сильно дружат.
На прошлой же неделе эксперты из компании Trellix выкатили отчет, в котором, со ссылкой на элементы вскрытой Zscaler вредоносной инфраструктуры, с большой долей вероятности приписали DarkHotel проводившуюся в период с ноября 2021 по январь 2022 года фишинговую кампанию в отношении элитных отелей в китайском специальном административном районе Макао.
Макао - это такой китайский Лас-Вегас с кучей казино, отелей, ночных клубов и финансовых институтов в придачу. Хакеры организовали массовую рассылку фишинговых приманок с малварью сотрудникам 17 различных гостиниц Макао. Во всех случаях потенциальные жертвы имели доступ к различным сервисам отеля, включая систему бронирования.
На причастность к этой кампании DarkHotel указывают следующие признаки:
- использование IP-адреса C2, ранее вскрытого Zscaler;
- целевой сектор и страна атаки соответствуют профилю этой APT;
- шаблоны панели С2, ранее использовавшиеся DarkHotel.
Вместе с тем, IP-адрес управляющего центра оставался активным в течение достаточно долгого времени после его публичного раскрытия, а также являлся источником другого вредоносного контента. В связи с этим Trellix снизили достоверность своей атрибуции до умеренной.
И мы с этим согласны, поскольку в указанных условиях присутствует вероятность активности некой APT под флагом DarkHotel. Такой бы подход к атрибуции западным инфосек компаниям всегда использовать...
Trellix
Suspected DarkHotel APT Activity Update
Our advanced threat research team discovered a first-stage malicious campaign attacking management staff with a spear phishing email since November 2021.
Emsisoft выпустила бесплатный декриптор для расшифровки и востановления систем, пострадавших от ransomware Diavol. К нему также прилагается подробная инструкция.
В отличие от других штамов ransomware, которые используют симметричные алгоритмы для значительного ускорения процесса шифрования, процедура шифрования Diavol использует асинхронные вызовы процедур (APC) пользовательского режима с асимметричным алгоритмом шифрования. Diavol также поставляется без обфускации, но прячет свои основные подпрограммы в растровых изображениях.
Перед завершением процесса шифрования Diavol меняет фон скомпрометированных устройств Windows на черный с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt». С ноября также изменилась записка с условиями выплаты выкупа, сейчас она именуется Warning.txt. Размеры выкупа варьируются в диапазоне от 10 000 до 500 000 долларов США.
Исследователи FortiGuard Labs связывают этот штамм ransomware с бандой TrickBot (также известной как Wizard Spider), а случилось это после того, как в начале июня 2021 года обнаружили, что он развернут в разных системах вместе с полезными нагрузками программы-вымогателя Conti в ходе атаки, но в отличие от последних, Diavol ориентирован в том числе и российские цели. В августе 2021 года исследователи IBM X-Force подтвердили выводы коллег.
Несмотря на то, что программа-вымогатель Diavol существует с июня 2021 года, ее активность оставалась на достаточно низком уровне, в отличие от связанных с TrickBot вымогателей Conti и Ryuk.
Для работы расшифровщику Emsisoft требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы извлечь ключи шифрования, которые в последующем будут использованы для дешифрования оставшихся данных.
По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Кроме того, он имеет возможность производить частичную расшифровку больших файлов, размер которых превышает размер пары файлов, предоставленных для восстановления ключей шифрования. Необходимость в этом возникает, поскольку дешифратор может не восстановить такие файлы из-за технических ограничений.
Эксперты также указали, что дешифратор не может гарантировать, что расшифрованные данные идентичны тем, которые были ранее зашифрованы, поскольку вымогатель не сохраняет никакой информации о незашифрованных файлах.
В отличие от других штамов ransomware, которые используют симметричные алгоритмы для значительного ускорения процесса шифрования, процедура шифрования Diavol использует асинхронные вызовы процедур (APC) пользовательского режима с асимметричным алгоритмом шифрования. Diavol также поставляется без обфускации, но прячет свои основные подпрограммы в растровых изображениях.
Перед завершением процесса шифрования Diavol меняет фон скомпрометированных устройств Windows на черный с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt». С ноября также изменилась записка с условиями выплаты выкупа, сейчас она именуется Warning.txt. Размеры выкупа варьируются в диапазоне от 10 000 до 500 000 долларов США.
Исследователи FortiGuard Labs связывают этот штамм ransomware с бандой TrickBot (также известной как Wizard Spider), а случилось это после того, как в начале июня 2021 года обнаружили, что он развернут в разных системах вместе с полезными нагрузками программы-вымогателя Conti в ходе атаки, но в отличие от последних, Diavol ориентирован в том числе и российские цели. В августе 2021 года исследователи IBM X-Force подтвердили выводы коллег.
Несмотря на то, что программа-вымогатель Diavol существует с июня 2021 года, ее активность оставалась на достаточно низком уровне, в отличие от связанных с TrickBot вымогателей Conti и Ryuk.
Для работы расшифровщику Emsisoft требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы извлечь ключи шифрования, которые в последующем будут использованы для дешифрования оставшихся данных.
По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Кроме того, он имеет возможность производить частичную расшифровку больших файлов, размер которых превышает размер пары файлов, предоставленных для восстановления ключей шифрования. Необходимость в этом возникает, поскольку дешифратор может не восстановить такие файлы из-за технических ограничений.
Эксперты также указали, что дешифратор не может гарантировать, что расшифрованные данные идентичны тем, которые были ранее зашифрованы, поскольку вымогатель не сохраняет никакой информации о незашифрованных файлах.
Обнаружена критическая ошибка в Western Digital, а точнее в настольном приложения EdgeRover, которое представляет из себя централизованный и удобный набор инструментов для каталогизации, фильтрации, управления файлами и настройками конфиденциальности на накопителях Western Digital и SanDisk.
Ошибка приложения Western Digital создает угрозу повышения привилегии в Windows и macOS, которая в конечном итоге может позволить злоумышленникам получить доступ к конфиденциальной информации и совершать DoS-атаки.
Выявленная уязвимость, представляет собой ошибку обхода каталогов, позволяющую получить несанкционированный доступ к ограниченным каталогам и файлам. Уязвимости присвоен номер CVE-2022-22998 и рейтинг серьезности CVSS v3 9,1, что означает, что угроза классифицируется как критическая.
Учитывая, что Western Digital является одним из самых успешных в мире производителей и розничных продавцов продуктов для хранения цифровых данных, вероятно, значительное число людей использует EdgeRover для управления данными.
Дабы не позволить потенциальным злоумышленникам получить сведения о личных данных в Western Digital рекомендуют своим обеспокоенным клиентам в срочном порядке обновить настольные приложения EdgeRover до версии 1.5.1-594 или более поздней, выпущенной на прошлой неделе, чтобы устранить эту угрозу.
Порой не все что удобно – безопасно и не следует забывать, что каждое приложение сопряжено со своим собственным набором рисков для безопасности и конфиденциальности.
Ошибка приложения Western Digital создает угрозу повышения привилегии в Windows и macOS, которая в конечном итоге может позволить злоумышленникам получить доступ к конфиденциальной информации и совершать DoS-атаки.
Выявленная уязвимость, представляет собой ошибку обхода каталогов, позволяющую получить несанкционированный доступ к ограниченным каталогам и файлам. Уязвимости присвоен номер CVE-2022-22998 и рейтинг серьезности CVSS v3 9,1, что означает, что угроза классифицируется как критическая.
Учитывая, что Western Digital является одним из самых успешных в мире производителей и розничных продавцов продуктов для хранения цифровых данных, вероятно, значительное число людей использует EdgeRover для управления данными.
Дабы не позволить потенциальным злоумышленникам получить сведения о личных данных в Western Digital рекомендуют своим обеспокоенным клиентам в срочном порядке обновить настольные приложения EdgeRover до версии 1.5.1-594 или более поздней, выпущенной на прошлой неделе, чтобы устранить эту угрозу.
Порой не все что удобно – безопасно и не следует забывать, что каждое приложение сопряжено со своим собственным набором рисков для безопасности и конфиденциальности.
Western Digital
WDC-22004 EdgeRover Desktop App Version 1.5.1-594 | Western Digital
Western Digital delivers innovative storage solutions—HDDs, systems & personal data storage—powering innovation, reliability & future-ready performance.
В российском сегменте Telegram активно расходится новость о том, что хакерская группа Anonymous угрожает западным компаниям, которые продолжают свою работу в России и дают им 48 часов на прекращение деятельности. А то...
Ну, во-первых, нынче Анонимусов развелось как тараканов, особенно в Twitter. Конкретно аккаунт @YourAnonTV, который и дал сей "пресс-релиз" , достаточно старый - работает еще с 2015 года. Да вот только до событий на Украине его твиты собирали по несколько лайков и паре ретвитов. А судя по частым сообщениям на турецком языке "долой диктатора Эрдогана" - это не более чем прогюленовская пропагандистская помойка.
Во-вторых, было бы интересно посмотреть на реальные атаки Anonymous на ресурсы западных компаний в поддержку Украины. Полагаем, часть авторитетных западных инфосек экспертов порвало бы как грелку - когнитивный диссонанс штука опасная.
Вдобавок подвезли новостей по некой атаке Anonymous на незащищенные российские принтеры, которые стали печатать антивоенные листовки (типа вот таких).
Сначала шла речь о 156 взломанных принтерах, потом Анонимусы сообщили о распечатанных 100 тыс. копиях листовок. Теперь у компаний, которые не додумались закрыть свои сетевые принтеры, кончилась бумага. А она нынче дорожает!
Режим затрещал и накренился.
Ну, во-первых, нынче Анонимусов развелось как тараканов, особенно в Twitter. Конкретно аккаунт @YourAnonTV, который и дал сей "пресс-релиз" , достаточно старый - работает еще с 2015 года. Да вот только до событий на Украине его твиты собирали по несколько лайков и паре ретвитов. А судя по частым сообщениям на турецком языке "долой диктатора Эрдогана" - это не более чем прогюленовская пропагандистская помойка.
Во-вторых, было бы интересно посмотреть на реальные атаки Anonymous на ресурсы западных компаний в поддержку Украины. Полагаем, часть авторитетных западных инфосек экспертов порвало бы как грелку - когнитивный диссонанс штука опасная.
Вдобавок подвезли новостей по некой атаке Anonymous на незащищенные российские принтеры, которые стали печатать антивоенные листовки (типа вот таких).
Сначала шла речь о 156 взломанных принтерах, потом Анонимусы сообщили о распечатанных 100 тыс. копиях листовок. Теперь у компаний, которые не додумались закрыть свои сетевые принтеры, кончилась бумага. А она нынче дорожает!
Режим затрещал и накренился.
Twitter
Anonymous TV 🇺🇦
Press Release: We call on all companies that continue to operate in Russia by paying taxes to the budget of the Kremlin's criminal regime: Pull out of Russia! We give you 48 hours to reflect and withdraw from Russia or else you will be under our target! #Anonymous…
Lapsus$ продолжают хулиганить.
В понедельник Lapsus$ слили 37 ГБ исходного кода более 250 проектов Microsoft, включая Bing (например, Bing STC SV, Bing Test Agile и Bing UX), Cortana, сведения о которых хакерам удалось получить с внутреннего сервера Azure DevOps. Доступ к нему был наглядно продемонстрирован публикаций соответствующего скрина. Кроме того, некоторые из утекших проектов содержали также электронные письма и документацию.
Разработчик после непродолжительного расследования подтвердил инцидент. Однако по непонятным причинам хакеры удалили первоначальный пост из Telegram-канала и разместили сообщение «Удалено на данный момент, опубликую позже». И свое обещание сдержали, опубликовав соответсвующий архив.
Следующей под раздачу попала компания LG Electronics (LGE), которая, по словам хакеров, уже второй раз за год становится жертвой их кибератак. К настоящему времени слить дамп LGE.com с данными учетных записей сотрудников и служб, анонсирована дальнейшая утечка, которая произойдет в ближайшее время.
Своеобразной изюминкой на торте стала атака на ведущего поставщика услуг аутентификации и решений для управления идентификацией и доступом (IAM) Okta, который после публикации скринов с доступом к внутренним репозиториям с данными клиентов инициировал внутреннее расследование.
Генеральный директор компании Тодд Маккиннон подтвердил инцидент, отметив, что описанные события имели место в январе, что подтверждается также отметками даты и времени на представленных хакерами скринах.
Теперь же разработчику остается только гадать, сколько его клиентов уже стали или вот вот должны стать новыми жертвами Lapsus$, ведь компания с капитализацией более 6 миллиардов долларов и штатом более 5000 человек по всему миру предоставляет услуги крупным организациям, включая Siemens, ITV, Pret a Manger, Starling Bank и другим.
Но на этом Lapsus$ точно не намерены останавливаться и уже объявили набор инсайдеров в крупных технологических гигантах и интернет-провайдерах, таких как Microsoft, Apple, EA Games, IBM, Claro, Telefonica и AT&T, заявив о готовности приобретения удаленного доступа к VPN за вознаграждение.
Такой вот современный ransomware.
В понедельник Lapsus$ слили 37 ГБ исходного кода более 250 проектов Microsoft, включая Bing (например, Bing STC SV, Bing Test Agile и Bing UX), Cortana, сведения о которых хакерам удалось получить с внутреннего сервера Azure DevOps. Доступ к нему был наглядно продемонстрирован публикаций соответствующего скрина. Кроме того, некоторые из утекших проектов содержали также электронные письма и документацию.
Разработчик после непродолжительного расследования подтвердил инцидент. Однако по непонятным причинам хакеры удалили первоначальный пост из Telegram-канала и разместили сообщение «Удалено на данный момент, опубликую позже». И свое обещание сдержали, опубликовав соответсвующий архив.
Следующей под раздачу попала компания LG Electronics (LGE), которая, по словам хакеров, уже второй раз за год становится жертвой их кибератак. К настоящему времени слить дамп LGE.com с данными учетных записей сотрудников и служб, анонсирована дальнейшая утечка, которая произойдет в ближайшее время.
Своеобразной изюминкой на торте стала атака на ведущего поставщика услуг аутентификации и решений для управления идентификацией и доступом (IAM) Okta, который после публикации скринов с доступом к внутренним репозиториям с данными клиентов инициировал внутреннее расследование.
Генеральный директор компании Тодд Маккиннон подтвердил инцидент, отметив, что описанные события имели место в январе, что подтверждается также отметками даты и времени на представленных хакерами скринах.
Теперь же разработчику остается только гадать, сколько его клиентов уже стали или вот вот должны стать новыми жертвами Lapsus$, ведь компания с капитализацией более 6 миллиардов долларов и штатом более 5000 человек по всему миру предоставляет услуги крупным организациям, включая Siemens, ITV, Pret a Manger, Starling Bank и другим.
Но на этом Lapsus$ точно не намерены останавливаться и уже объявили набор инсайдеров в крупных технологических гигантах и интернет-провайдерах, таких как Microsoft, Apple, EA Games, IBM, Claro, Telefonica и AT&T, заявив о готовности приобретения удаленного доступа к VPN за вознаграждение.
Такой вот современный ransomware.
Twitter
Todd McKinnon
We believe the screenshots shared online are connected to this January event. Based on our investigation to date, there is no evidence of ongoing malicious activity beyond the activity detected in January. (2 of 2)
Всем пессимистам, которые говорили, что инфосек - всё, хотим дать свой решительный ответ. Похоже вы правы!
Намедни Джен Истерли, Директор американского Агентства кибербезопасности aka CISA, выступая на мероприятии Women in CyberSecurity 2022 заявила, что ее цель - добиться к 2030 году 50% женщин в американском инфосеке (сейчас - 24%). Начнется сей раскардаш, естественно, с CISA.
Главная черта в инфосек специалистах, по словам Истерли, - это "эмоциональный интеллект", по части которого "женщины превосходят мужчин". Эмоциональный интеллект - это будущее кибербезопасности (по словам сестры Джен)!
Все наши подписчики знают наше трепетное отношение к девушкам в инфосеке. Мы их очень любим и ценим.
Но, да простят нас боевые подруги, информационная безопасность, похоже, накрывается известно чем.
Намедни Джен Истерли, Директор американского Агентства кибербезопасности aka CISA, выступая на мероприятии Women in CyberSecurity 2022 заявила, что ее цель - добиться к 2030 году 50% женщин в американском инфосеке (сейчас - 24%). Начнется сей раскардаш, естественно, с CISA.
Главная черта в инфосек специалистах, по словам Истерли, - это "эмоциональный интеллект", по части которого "женщины превосходят мужчин". Эмоциональный интеллект - это будущее кибербезопасности (по словам сестры Джен)!
Все наши подписчики знают наше трепетное отношение к девушкам в инфосеке. Мы их очень любим и ценим.
Но, да простят нас боевые подруги, информационная безопасность, похоже, накрывается известно чем.
The Record
CISA’s Easterly calls on industry leaders to close gender gap
Cybersecurity and Infrastructure Security Agency Director Jen Easterly strutted onto the stage at the 2022 Women in Cybersecurity conference Friday — wearing a t-shirt displaying the Ukrainian flag as AC/DC’s hard rock anthem Thunderstruck blared in the background…
Forwarded from Positive Events
🚨 Долгожданные новости о майской кибербитве
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Microsoft в очередной раз уступает частным специалистам в вопросах исправления уязвимостей, над которыми IT-гигант тщетно работает месяцами, даже с учетом того, что в паблике появляются эксплойты под них.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0Patch
A Bug That Doesn't Want To Die (CVE-2021-34484, CVE-2022-21919, CVE-2022-26904)
Twice Bypassed and Twice Micropatched, Will Third Time be a Charm? by Mitja Kolsek, the 0patch Team Update 8/10/2022: April 2022 Windows...
Нас спрашивают - почему мы не пишем об кибератаке на Мираторг и кучу его дочек с использованием Windows BitLocker?
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
Компания Dell бьет тревогу и рекомендуют своим клиентам (не всем, но об этом позже) как можно скорее обновить BIOS на компьютерах Alienware, Inspiron, Vostro и Edge Gateway серии 3000.
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова. Выпуск #53
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
YouTube
Wildberries атакован, введен режим ЧС в Израиле из-за DDoS-атаки. Security-новости #53 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
Тем временем, Hive пополнили свой DLS новой строчкой - жертвой атаки ransomware стало Министерство иностранных дел Индонезии.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
В новый раунд вступили DeadBolt с производителем QNAP.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
В компания HP предупреждают об уязвимостях, которые затрагивают сотни моделей принтеров LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
Forwarded from Social Engineering
👁 Конференции 2021. Что посмотреть?
• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня делюсь с тобой полезным видеоматериалом с крутых конференций, которые прошли в 2021 году и доступы на YT. Первое с чего мы начнем, это Black Hat.• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• Black Hat USA 2021.• Black Hat Asia 2021.• Black Hat Europe 2021.• Обязательно ознакомься со статьей: 7 интересных хаков с Black Hat / DEF CON 2020• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.