- Партнёрский пост -
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
25 мая в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Как построить карьеру в кибербезопасности».
На онлайн‑дискуссии вы узнаете:
1️⃣ какие возможности открывает обучение в магистратуре и зададите вопросы руководителю программы;
2️⃣ какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
3️⃣ какие документы необходимы, этапы поступления и варианты оплаты обучения.
Присоединяйтесь → https://netolo.gy/imZ
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
25 мая в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Как построить карьеру в кибербезопасности».
На онлайн‑дискуссии вы узнаете:
1️⃣ какие возможности открывает обучение в магистратуре и зададите вопросы руководителю программы;
2️⃣ какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
3️⃣ какие документы необходимы, этапы поступления и варианты оплаты обучения.
Присоединяйтесь → https://netolo.gy/imZ
Не дает Ростех покоя расовым азиатским хакерам (тысячи их!). Два года назад северокорейцы из APT Kimsuky пытались взять на абордаж одно из подразделений госкомпании.
На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".
По крайней мере, так утверждает израильская инфосек компания Check Point.
По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт Минздрава России и вредоносный документ.
Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.
В ходе анализа полученных сэмплов Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный Указ Президента РФ).
Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали Twisted Panda, с китайскими группами Mustang Panda и Stone Panda aka APT 10.
Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.
Удалось ли взломать хакерам наши НИИ из отчета Check Point непонятно. Одно ясно точно - инструктаж должностных лиц Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".
На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".
По крайней мере, так утверждает израильская инфосек компания Check Point.
По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт Минздрава России и вредоносный документ.
Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.
В ходе анализа полученных сэмплов Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный Указ Президента РФ).
Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали Twisted Panda, с китайскими группами Mustang Panda и Stone Panda aka APT 10.
Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.
Удалось ли взломать хакерам наши НИИ из отчета Check Point непонятно. Одно ясно точно - инструктаж должностных лиц Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".
Когда речь идет об уязвимостях в WordPress, то в 9 из 10 случаев проблема кроется в каком-либо плагине, где можно выполнить произвольный PHP-код.
И сегодняшняя бага не исключение и затрагивает плагин School Management Pro, предназначенный для удобства управления школой с доступами пользователей на основе ролей от родителя до директора школы.
Проблема очень серьезная и предоставляет злоумышленнику полный контроль над уязвимыми веб-сайтами. Бага обнаружена в премиальных версиях до 9.9.7 и получила идентификатор CVE-2022-1609 с максимальной оценкой серьезности 10.
О проблеме сообщил Харальд Эйлертсен из Jetpack в своей статье, а индийская компания Weblizar, которая является создателем плагина утверждает, что более 340 000 клиентов используют его премиальные и бесплатные темы и плагины WordPress.
Специалисты по безопасности обнаружили имплантат 4 мая после того, как их предупредили о наличии сильно запутанного кода в исходниках проверки лицензии плагина. Причем уязвимость не влияет на бесплатную версию School Management, так как не содержит кода для проверки лицензий.
Тайной, покрытой мраком, остается тот факт, что никто не знает, как и когда код попал в их программное обеспечение.
Учитывая достаточно широкий горизонт угроз, исчисляемый в сотни тысяч школ, пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.
И сегодняшняя бага не исключение и затрагивает плагин School Management Pro, предназначенный для удобства управления школой с доступами пользователей на основе ролей от родителя до директора школы.
Проблема очень серьезная и предоставляет злоумышленнику полный контроль над уязвимыми веб-сайтами. Бага обнаружена в премиальных версиях до 9.9.7 и получила идентификатор CVE-2022-1609 с максимальной оценкой серьезности 10.
О проблеме сообщил Харальд Эйлертсен из Jetpack в своей статье, а индийская компания Weblizar, которая является создателем плагина утверждает, что более 340 000 клиентов используют его премиальные и бесплатные темы и плагины WordPress.
Специалисты по безопасности обнаружили имплантат 4 мая после того, как их предупредили о наличии сильно запутанного кода в исходниках проверки лицензии плагина. Причем уязвимость не влияет на бесплатную версию School Management, так как не содержит кода для проверки лицензий.
Тайной, покрытой мраком, остается тот факт, что никто не знает, как и когда код попал в их программное обеспечение.
Учитывая достаточно широкий горизонт угроз, исчисляемый в сотни тысяч школ, пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.
Jetpack
Backdoor found in The School Management Pro plugin for WordPress
We uncovered a backdoor in "The School Management Pro" plugin for WordPress. Read on for the full details. We strongly recommend updating to the latest version (9.9.7).
Google TAG всерьез взялась за индустрию коммерческого шпионажа. Компания призналась, что активно отслеживает более 30 поставщиков специализированного ПО, реализующих эксплойты и технологий наблюдения, в том числе и тех, кто действует при поддержке национальных государств.
По результатам инициированного в июле 2021 года анализа 0-day уязвимостей в Chrome, Internet Explorer и WebKit (Safari) аналитикам Google (TAG) удалось выйти на разработчика ПО Predator, ориентированного на компрометацию устройств под управлением ОС Android.
Как отмечает Google, для проведения атак на целевые устройства и установления шпионских имплантатов Predator использовались пять ранее неизвестных 0-day уязвимостей в Chrome и Android.
В целом, исследователи выделили три кампании с использованием Predator.
В самой первой обнаруженной в августе 2021 года использовалось HTTP-перенаправление на SBrowser из Chrome (CVE-2021-38000), в вторая была обнаружена в сентябре 2021 года и связана с выходом из песочницы Chrome (CVE-2021-37973, CVE-2021-37976), а в ходе третьей (октябрь 2021 года) применялась полная цепочка эксплойтов Android 0-day (CVE-2021-38003, CVE-2021-1048).
В рамках всех трех кампаний таргетировались одноразовые ссылки, имитирующие службы сокращения URL-адресов, целевым пользователям Android по электронной почте. После клика по ссылке жертвы перенаправлялись на подконтрольный злоумышленнику домен, посредством которого доставлялись эксплойты, после чего браузер отображал легитимный веб-сайт.
При этом злоумышленники для загрузки Android-имплантата Predator прибегали к функциональным RAT-возможностям банковского трояна Android Alien. Успешная инсталляция Predator обеспечивала оператору ПО доступ для записи аудио, добавлению CA-сертификатов и сокрытия приложений.
Все кампании были узко ограничены по целям и фокусировались не более чем на десятках пользователей.
По данным Google, за атаками с использованием Predator стоит коммерческая компания Cytrox, шпионские решения которой поставлялись для заражения Android-устройств в правительственные структуры Египта, Армении, Греции, Мадагаскара, Кот-д'Ивуара, Сербии, Испании и Индонезии. Впоследствии применялись ими для наблюдения за неугодными элементами, включая журналистов и политических деятелей.
Одним из объектов наблюдения стал египетский политик Айман Нура, в телефоне которого помимо Predator был обнаружен Pegasus от NSO Group. В результате резонансного расследования инцидента в декабре 2021 специалистами CitizenLab выяснилось, что политиком находился в поле зрения нескольких спецслужб одновременно.
Как помниться NSO Group после всех разоблачений стала фигурантом многочисленных судебных претензий и фактически лишилась клиентуры, на этот раз очередь дошла и до Cytrox, которая помимо того, что потеряла наработанные цепочки эксплойтов рискует растерять и напуганную клиентуру.
По результатам инициированного в июле 2021 года анализа 0-day уязвимостей в Chrome, Internet Explorer и WebKit (Safari) аналитикам Google (TAG) удалось выйти на разработчика ПО Predator, ориентированного на компрометацию устройств под управлением ОС Android.
Как отмечает Google, для проведения атак на целевые устройства и установления шпионских имплантатов Predator использовались пять ранее неизвестных 0-day уязвимостей в Chrome и Android.
В целом, исследователи выделили три кампании с использованием Predator.
В самой первой обнаруженной в августе 2021 года использовалось HTTP-перенаправление на SBrowser из Chrome (CVE-2021-38000), в вторая была обнаружена в сентябре 2021 года и связана с выходом из песочницы Chrome (CVE-2021-37973, CVE-2021-37976), а в ходе третьей (октябрь 2021 года) применялась полная цепочка эксплойтов Android 0-day (CVE-2021-38003, CVE-2021-1048).
В рамках всех трех кампаний таргетировались одноразовые ссылки, имитирующие службы сокращения URL-адресов, целевым пользователям Android по электронной почте. После клика по ссылке жертвы перенаправлялись на подконтрольный злоумышленнику домен, посредством которого доставлялись эксплойты, после чего браузер отображал легитимный веб-сайт.
При этом злоумышленники для загрузки Android-имплантата Predator прибегали к функциональным RAT-возможностям банковского трояна Android Alien. Успешная инсталляция Predator обеспечивала оператору ПО доступ для записи аудио, добавлению CA-сертификатов и сокрытия приложений.
Все кампании были узко ограничены по целям и фокусировались не более чем на десятках пользователей.
По данным Google, за атаками с использованием Predator стоит коммерческая компания Cytrox, шпионские решения которой поставлялись для заражения Android-устройств в правительственные структуры Египта, Армении, Греции, Мадагаскара, Кот-д'Ивуара, Сербии, Испании и Индонезии. Впоследствии применялись ими для наблюдения за неугодными элементами, включая журналистов и политических деятелей.
Одним из объектов наблюдения стал египетский политик Айман Нура, в телефоне которого помимо Predator был обнаружен Pegasus от NSO Group. В результате резонансного расследования инцидента в декабре 2021 специалистами CitizenLab выяснилось, что политиком находился в поле зрения нескольких спецслужб одновременно.
Как помниться NSO Group после всех разоблачений стала фигурантом многочисленных судебных претензий и фактически лишилась клиентуры, на этот раз очередь дошла и до Cytrox, которая помимо того, что потеряла наработанные цепочки эксплойтов рискует растерять и напуганную клиентуру.
Google
Protecting Android users from 0-Day attacks
To protect our users, Google’s Threat Analysis Group (TAG) routinely hunts for 0-day vulnerabilities exploited in-the-wild. In 2021, we reported nine 0-days affecting Ch…
Исследователи бьют тревогу и сообщают о компрометации библиотеки Python ctx и PHP phpass, которую используют более 3 и 2 миллионов пользователей соответственно.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features - SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features, Author: Yee Ching Tok
Совсем недавно мы высказывали мнение о том, что российские информационные ресурсы стали законной целью для взлома на условном Западе. Ан нет, не только российские. Китайские тоже.
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
BBC News
The faces from China’s Uyghur detention camps
Thousands of photos from a data hack of police files, reveal the human cost of China's Uyghur detention system.
Пока в PayPal думают над исправлением уязвимости кардеры уже потирают руки, как будут вбивать старую добрую "палку".
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
Medium
Vulnerability In PayPal worth 200000$ bounty, Attacker can Steal Your Balance by One-Click
what if I told you that: A black Hat hacker can steal your money from your bank account & credit card or PayPal balance with one click from…
Cyberint раскрывает набирающую вес на рынке вымогательства группу RansomHouse.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Cyberint
The New RansomHouse on The Block
RansomHouse, a new group skips the encryption phase, requests payment for stolen data. Once paid, report the victim on their security gaps.
Полтора года назад мы обратили внимание на сомнительную схему монетизации "анонимного" поисковика DuckDuckGo.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
͏- Партнёрский пост -
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Состоявшийся несколько дней назад Pwn2Own Vancouver 2022 приносит первые бонусы.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla
Security Vulnerabilities fixed in Firefox 100.0.2, Firefox for Android 100.3.0, Firefox ESR 91.9.1, Thunderbird 91.9.1
͏Пользователям Zoom рекомендуется обновиться до последней версии. Причем стоит быть крайне внимательным к устанавливаемой версии и позже поясним почему. На сегодняшний день актуальная 5.10.0.
На днях популярный сервис видеоконференций устранил целых четыре уязвимости в системе безопасности, которые могут быть использованы для компрометации пользователя в чате путем отправки специально созданных сообщений Extensible Messaging and Presence Protocol (XMPP) и выполнения вредоносного кода.
Обнаружение и сообщение обо всех четырех недостатках в феврале 2022 года приписывают Ивану Фретрику из Google Project Zero:
⁃ CVE-2022-22784 (оценка CVSS: 8,1) — неправильный анализ XML в клиенте Zoom для совещаний.
⁃ CVE-2022-22785 (оценка CVSS: 5,9) — неправильное ограничение сеансов файлов cookie в клиенте Zoom для совещаний.
⁃ CVE-2022-22786 (оценка CVSS: 7,5) — понижение версии пакета обновлений для Windows
⁃ CVE-2022-22787 (оценка CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для совещаний.
Благодаря функциям чата, построенным на основе стандарта XMPP использование уязвимостей может позволить злоумышленнику замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что собственно приведет к возможности выполнения произвольного кода.
Специалист назвал последовательность атак XMPP Stanza Smuggling (что-то типа "контрабанда строф XMPP"), так как один пользователь может подделывать сообщения, как если бы они исходили от другого пользователя, а также отправлять контрольные сообщения, которые будут приняты, как если бы они исходили от сервера.
Собственно на что мы и обращали внимание так это то, что цепочка эксплойтов может быть использована для взлома механизма обновления программного обеспечения путем MITM-атаки дабы заставить клиента подключаться к серверу с менее безопасной версией клиента Zoom.
Атака с понижением версии нацелена на версию приложения для Windows, а вот остальные CVE-2022-22784, CVE-2022-22785 и CVE-2022-22787 влияют на Android, iOS, Linux, macOS и Windows.
В настоящее время нет сообщений о том, что недостатки Zoom используются в дикой природе, но это уже не первый раз, когда исследователи Google Project Zero обнаруживают потенциально опасные уязвимости в платформе видеоконференций Zoom.
На днях популярный сервис видеоконференций устранил целых четыре уязвимости в системе безопасности, которые могут быть использованы для компрометации пользователя в чате путем отправки специально созданных сообщений Extensible Messaging and Presence Protocol (XMPP) и выполнения вредоносного кода.
Обнаружение и сообщение обо всех четырех недостатках в феврале 2022 года приписывают Ивану Фретрику из Google Project Zero:
⁃ CVE-2022-22784 (оценка CVSS: 8,1) — неправильный анализ XML в клиенте Zoom для совещаний.
⁃ CVE-2022-22785 (оценка CVSS: 5,9) — неправильное ограничение сеансов файлов cookie в клиенте Zoom для совещаний.
⁃ CVE-2022-22786 (оценка CVSS: 7,5) — понижение версии пакета обновлений для Windows
⁃ CVE-2022-22787 (оценка CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для совещаний.
Благодаря функциям чата, построенным на основе стандарта XMPP использование уязвимостей может позволить злоумышленнику замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что собственно приведет к возможности выполнения произвольного кода.
Специалист назвал последовательность атак XMPP Stanza Smuggling (что-то типа "контрабанда строф XMPP"), так как один пользователь может подделывать сообщения, как если бы они исходили от другого пользователя, а также отправлять контрольные сообщения, которые будут приняты, как если бы они исходили от сервера.
Собственно на что мы и обращали внимание так это то, что цепочка эксплойтов может быть использована для взлома механизма обновления программного обеспечения путем MITM-атаки дабы заставить клиента подключаться к серверу с менее безопасной версией клиента Zoom.
Атака с понижением версии нацелена на версию приложения для Windows, а вот остальные CVE-2022-22784, CVE-2022-22785 и CVE-2022-22787 влияют на Android, iOS, Linux, macOS и Windows.
В настоящее время нет сообщений о том, что недостатки Zoom используются в дикой природе, но это уже не первый раз, когда исследователи Google Project Zero обнаруживают потенциально опасные уязвимости в платформе видеоконференций Zoom.
Вслед за Mozilla обновления для флагманского браузера выпустила Google. В вышедшей стабильной версии Chrome 102 исправлено 32 уязвимости, в том числе критическая уязвимость, о которой сообщил анонимный исследователь.
Критическая ошибка CVE-2022-1853 связана с использованием после освобождения и влияет на индексированную базу данных. Google узнал о ней 12 мая и пока не определила награду за уязвимость.
В Chrome 102 также устранены 8 серьезных уязвимостей, обнаруженные сторонними исследователями.
Наиболее серьезной из них является CVE-2022-1854 (использование после освобождения) в компоненте ANGLE веб-браузера. За раскрытие уязвимости исследователь Сонхван Пак получил 10 000 долларов согласно таксам по программе вознаграждения Google.
Ошибку можно использовать для повреждения данных, DoS-атак или выполнения произвольного кода. Кроме того, такой тип ошибки в Chrome может позволить злоумышленнику выйти из песочницы, но для этого ему необходимо будет заручиться и другой уязвимостью.
Среди других уязвимостей высокой степени серьезности, исправленных в Chrome, также присутствуют CVE-2022-1855 (использование после освобождения в Messaging, исследователю выплачено 7500 долларов) и CVE-2022-1856 (использование после освобождения в User Education, исследователю выплачено 3000 долларов).
Оставшимся 15 уязвимостям, выявленным внешними исследователями, был присвоен рейтинг серьезности «средний» или «низкий». За три ошибки средней серьезности было выплачено вознаграждение в размере 5000 долларов США, а за уязвимость низкой степени серьезности — 7000 долларов США.
Сведений об использований уязвимостей в дикой природе Google не раскрывает. До настоящего момента известно лишь о трех уязвимостях Chrome, которые уже использовались в атаках в этом году.
Критическая ошибка CVE-2022-1853 связана с использованием после освобождения и влияет на индексированную базу данных. Google узнал о ней 12 мая и пока не определила награду за уязвимость.
В Chrome 102 также устранены 8 серьезных уязвимостей, обнаруженные сторонними исследователями.
Наиболее серьезной из них является CVE-2022-1854 (использование после освобождения) в компоненте ANGLE веб-браузера. За раскрытие уязвимости исследователь Сонхван Пак получил 10 000 долларов согласно таксам по программе вознаграждения Google.
Ошибку можно использовать для повреждения данных, DoS-атак или выполнения произвольного кода. Кроме того, такой тип ошибки в Chrome может позволить злоумышленнику выйти из песочницы, но для этого ему необходимо будет заручиться и другой уязвимостью.
Среди других уязвимостей высокой степени серьезности, исправленных в Chrome, также присутствуют CVE-2022-1855 (использование после освобождения в Messaging, исследователю выплачено 7500 долларов) и CVE-2022-1856 (использование после освобождения в User Education, исследователю выплачено 3000 долларов).
Оставшимся 15 уязвимостям, выявленным внешними исследователями, был присвоен рейтинг серьезности «средний» или «низкий». За три ошибки средней серьезности было выплачено вознаграждение в размере 5000 долларов США, а за уязвимость низкой степени серьезности — 7000 долларов США.
Сведений об использований уязвимостей в дикой природе Google не раскрывает. До настоящего момента известно лишь о трех уязвимостях Chrome, которые уже использовались в атаках в этом году.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 102 to the stable channel for Windows ( 102.0.5005.61/62/63) , 102.0.5005....
Forwarded from Russian OSINT
📲☕️Новостной дайджест
1️⃣ В РФ разработали комплекс скрытного досмотра людей "Досмотр". Специалисты разработали базовые инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, Youtube, "ВКонтакте", Yandex, Facebook (запрещен в РФ; принадлежит корпорации Meta*, которая признана в РФ экстремистской) и других сервисов. Принцип его действия основан на безопасных электромагнитных волнах миллиметрового и терагерцового диапазонов.
2️⃣ Twitter выплатит штраф в размере 150 миллионов долларов по иску о защите данных пользователей. С мая 2013 года по сентябрь 2019 года Twitter собирал номера телефонов и адреса электронной почты пользователей "в целях безопасности", но не раскрывал того факта, что он будет использовать эту информацию для таргетированной рекламы.
3️⃣ Rutube расширит штат по кибербезопасности после кибератаки
4️⃣ Прокуратура привлекла Google к делу The Tor Project. Ведомство просит удалить из Google Play приложение Tor Browser.
5️⃣ Индийская авиакомпания-лоукостер SpiceJet подверглась мощной атаке шифровальщика. Клиенты компании испытают многочисленные трудности с задержками рейсов, не могут дозвониться в компанию, система бронирования недоступна для использования. В компании работает более 14 000 сотрудников, и она занимает около 15% доли местного рынка в Индии.
6️⃣ ProtonMail объединяет свои сервисы: почту, календарь, VPN и облачное хранение под один бренд "Proton"
7️⃣ Пророссийская хакерская группировка "XakNet Team" при помощи DDoS-атаки вывела из строя систему корректировки огня артиллерии Украины
8️⃣ Хакеры из KillNet утверждают, что взломали системы СБУ, включая их сайты. Также взломан Укринформ.
9️⃣ GoodWill ransomware заставляет людей совершать добрые дела в обмен на дешифрование файлов: раздать одежду бездомным или оплатить медицинские счета тем, кто нуждается в срочной медицинской помощи.
🔟 Clearview AI планирует расширить свои услуги по распознаванию лиц для банков и школ
1️⃣ В РФ разработали комплекс скрытного досмотра людей "Досмотр". Специалисты разработали базовые инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, Youtube, "ВКонтакте", Yandex, Facebook (запрещен в РФ; принадлежит корпорации Meta*, которая признана в РФ экстремистской) и других сервисов. Принцип его действия основан на безопасных электромагнитных волнах миллиметрового и терагерцового диапазонов.
2️⃣ Twitter выплатит штраф в размере 150 миллионов долларов по иску о защите данных пользователей. С мая 2013 года по сентябрь 2019 года Twitter собирал номера телефонов и адреса электронной почты пользователей "в целях безопасности", но не раскрывал того факта, что он будет использовать эту информацию для таргетированной рекламы.
3️⃣ Rutube расширит штат по кибербезопасности после кибератаки
4️⃣ Прокуратура привлекла Google к делу The Tor Project. Ведомство просит удалить из Google Play приложение Tor Browser.
5️⃣ Индийская авиакомпания-лоукостер SpiceJet подверглась мощной атаке шифровальщика. Клиенты компании испытают многочисленные трудности с задержками рейсов, не могут дозвониться в компанию, система бронирования недоступна для использования. В компании работает более 14 000 сотрудников, и она занимает около 15% доли местного рынка в Индии.
6️⃣ ProtonMail объединяет свои сервисы: почту, календарь, VPN и облачное хранение под один бренд "Proton"
7️⃣ Пророссийская хакерская группировка "XakNet Team" при помощи DDoS-атаки вывела из строя систему корректировки огня артиллерии Украины
8️⃣ Хакеры из KillNet утверждают, что взломали системы СБУ, включая их сайты. Также взломан Укринформ.
9️⃣ GoodWill ransomware заставляет людей совершать добрые дела в обмен на дешифрование файлов: раздать одежду бездомным или оплатить медицинские счета тем, кто нуждается в срочной медицинской помощи.
🔟 Clearview AI планирует расширить свои услуги по распознаванию лиц для банков и школ
͏Однако не все гладко в ситуации с недавним исправлением Mozilla двух критических уязвимостей CVE-2022-1802 и CVE-2022-1529 в браузере Firefox, о которых стало известно в ходе прошедшего накануне Pwn2Own.
Разработчики проекта The Amnesic Incognito Live System (или сокращенно Tails) выпустили предупреждение о том, что входящий в состав ОС Tor Browser как модифицированная версия Firefox небезопасен с точки зрения конфиденциальности. Пользователям рекомендуется временно приостановить использование системы до выхода новой версии 5.1, которая ожидается к 31 мая.
Вместе с тем, браузер Tor с активированным режимом наивысшей безопасности, а также почтовый клиент Thunderbird в операционной системе не подвержены уязвимостям, поскольку в обоих случаях JavaScript по умолчанию отключен.
Как заявляют Tails, ошибки не влияют на анонимность и защиту шифрования, встроенную в Tor Browser, и по мнению разработчиков, пользователи, не работающие с конфиденциальной информацией (пароли, личные сообщения, личная информация и пр.), ничего не рискуют и могут продолжать использовать браузер.
Однако мы не совсем разделяем этот оптимизм.
Ведь, если помните журналисты FLB показывали официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов.
Безусловно, они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor.
Предупреждения и обновления - это, конечно же, приветствуется, но кому надо, тот и без JavaScript уже давно наблюдает через ширму вашей анонимности в Tor.
Разработчики проекта The Amnesic Incognito Live System (или сокращенно Tails) выпустили предупреждение о том, что входящий в состав ОС Tor Browser как модифицированная версия Firefox небезопасен с точки зрения конфиденциальности. Пользователям рекомендуется временно приостановить использование системы до выхода новой версии 5.1, которая ожидается к 31 мая.
Вместе с тем, браузер Tor с активированным режимом наивысшей безопасности, а также почтовый клиент Thunderbird в операционной системе не подвержены уязвимостям, поскольку в обоих случаях JavaScript по умолчанию отключен.
Как заявляют Tails, ошибки не влияют на анонимность и защиту шифрования, встроенную в Tor Browser, и по мнению разработчиков, пользователи, не работающие с конфиденциальной информацией (пароли, личные сообщения, личная информация и пр.), ничего не рискуют и могут продолжать использовать браузер.
Однако мы не совсем разделяем этот оптимизм.
Ведь, если помните журналисты FLB показывали официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов.
Безусловно, они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor.
Предупреждения и обновления - это, конечно же, приветствуется, но кому надо, тот и без JavaScript уже давно наблюдает через ширму вашей анонимности в Tor.
Forwarded from Social Engineering
⚙️ Инструменты для Red Team. Физическая безопасность.
Red Team — это попытки получить доступ к системе любыми способами, включающими в себя тестирование на проникновение; физический доступ; тестирование линий связи, беспроводных и радиочастотных систем; тестирование сотрудников посредством сценариев социальной инженерии.
• В этом репозитории ты сможешь найти более 60 вспомогательных инструментов, которые используются в реальных сценариях проникновения на территорию какого-либо объекта. Тут есть всё: от фонарика и скрытых камер, до набора отмычек и летающего дрона.
🧷 https://github.com/0xOverflow/RedTeam-Physical-Tools
Твой S.E. #Red_Team
Red Team — это попытки получить доступ к системе любыми способами, включающими в себя тестирование на проникновение; физический доступ; тестирование линий связи, беспроводных и радиочастотных систем; тестирование сотрудников посредством сценариев социальной инженерии.
🖖🏻 Приветствую тебя user_name.
• Мы уже говорили на тему методов проникновения в офисные здания или на территорию определенной организации, но мы не затрагивали тему вспомогательных инструментов, которые помогают социальным инженерам или red team проникнуть на объект и завершить задуманное.• В этом репозитории ты сможешь найти более 60 вспомогательных инструментов, которые используются в реальных сценариях проникновения на территорию какого-либо объекта. Тут есть всё: от фонарика и скрытых камер, до набора отмычек и летающего дрона.
🧷 https://github.com/0xOverflow/RedTeam-Physical-Tools
Твой S.E. #Red_Team
Не самая популярная в наших кругах американская компания Open Automation Software попала в поле зрение специалистов Cisco Talos, которым удалось обнаружить восемь уязвимостей в их платформе.
Компания предоставляет решения для подключения устройств ICS или IoT, но как заявляют представители ее решения используются некоторыми крупнейшими мировыми компаниями в сфере энергетики, обороны, аэрокосмической отрасли, здравоохранении, водном хозяйстве и автомобилестроении. Сама же платформа OAS основана на универсальной интеграции, передачи и визуализации данных для ПЛК от разных поставщиков.
О проблеме сообщил исследователь Джаред Риттл, который обнаружил в платформе OAS восемь багов потенциально позволяющие злоумышленникам использовать их для выполнения произвольного кода, DoS-атак, получения конфиденциальной информации и других целей.
Компания утверждает, что поставщик был проинформирован об уязвимостях в марте и апреле и выпустил соответствующие исправления на прошлой неделе.
Две уязвимости получили критический рейтинг серьезности на основе их оценки CVSS:
⁃ CVE-2022-26082 - уязвимость записи файла, которую можно использовать для удаленного выполнения кода с использованием специально созданных сетевых запросов;
⁃ CVE-2022-26833 - уязвимость, которая позволяет злоумышленнику аутентифицироваться как пользователь по умолчанию с отправленным пустым именем пользователя и паролем.
Пять проблем с высокой степенью серьезности связаны с незашифрованной передачей конфиденциальных данных, раскрытием информации злоумышленникам, не прошедшим проверку подлинности, причем которые могут отправлять специально созданные сетевые запросы приводящие к потере связи, а также возможность создания учетных записей пользователей и настройку безопасности групп.
Технические подробности для каждой из уязвимостей платформы OAS, а также меры по их устранению в Talos скрыли от нашего брата, но те кому интересно найдут способ посмотреть.
Компания предоставляет решения для подключения устройств ICS или IoT, но как заявляют представители ее решения используются некоторыми крупнейшими мировыми компаниями в сфере энергетики, обороны, аэрокосмической отрасли, здравоохранении, водном хозяйстве и автомобилестроении. Сама же платформа OAS основана на универсальной интеграции, передачи и визуализации данных для ПЛК от разных поставщиков.
О проблеме сообщил исследователь Джаред Риттл, который обнаружил в платформе OAS восемь багов потенциально позволяющие злоумышленникам использовать их для выполнения произвольного кода, DoS-атак, получения конфиденциальной информации и других целей.
Компания утверждает, что поставщик был проинформирован об уязвимостях в марте и апреле и выпустил соответствующие исправления на прошлой неделе.
Две уязвимости получили критический рейтинг серьезности на основе их оценки CVSS:
⁃ CVE-2022-26082 - уязвимость записи файла, которую можно использовать для удаленного выполнения кода с использованием специально созданных сетевых запросов;
⁃ CVE-2022-26833 - уязвимость, которая позволяет злоумышленнику аутентифицироваться как пользователь по умолчанию с отправленным пустым именем пользователя и паролем.
Пять проблем с высокой степенью серьезности связаны с незашифрованной передачей конфиденциальных данных, раскрытием информации злоумышленникам, не прошедшим проверку подлинности, причем которые могут отправлять специально созданные сетевые запросы приводящие к потере связи, а также возможность создания учетных записей пользователей и настройку безопасности групп.
Технические подробности для каждой из уязвимостей платформы OAS, а также меры по их устранению в Talos скрыли от нашего брата, но те кому интересно найдут способ посмотреть.
Cisco Talos Blog
Vulnerability Spotlight: Vulnerabilities in Open Automation Software Platform could lead to information disclosure, denial of service
Jared Rittle of Cisco Talos discovered these vulnerabilities.
Cisco Talos recently discovered eight vulnerabilities in the Open Automation Software Platform that could allow an adversary to carry out a variety of malicious actions, including improperly authenticating…
Cisco Talos recently discovered eight vulnerabilities in the Open Automation Software Platform that could allow an adversary to carry out a variety of malicious actions, including improperly authenticating…
Последнее китайское предупреждение от команды Horizon3 Attack Team.
В ближайшее время исследователи намерены раскрыть технические подробности и выпустить PoC для критической CVE-2022-22972 с оценкой CVSSv3 9,8, которая затрагивает VMware Workspace ONE Access, Identity Manager и vRealize Automation, позволяя злоумышленникам обходить аутентификацию и добраться до пользователей локального домена.
Как мы уже писали, проблема была экстренно устранена VMware в прошлую среду.
В качестве тизера Horizon3 опубликовали снимок экрана с демонстрацией доступа к экземпляру VMware Workspace ONE, при том, что ни один пользователь не вошел в систему через веб-интерфейс входа.
Несмотря на отсутствие официальных отчетов об атаках с использованием уязвимости, исследователи предполагают, что хакеры скорее всего уже располагают эксплойтом и, вероятно, начали его применять на практике.
Что еще хуже, в полку ориентированных на решения VMware ransomware-групп прибавилось. Ряды LockBit и Hive пополнились новой операцией Cheers (или Cheerscrypt). Новый вирус-вымогатель на нацелен на серверы виртуализации VMware ESXi под ОС Linux.
Новый штамм ransomware обнаружили аналитики Trend Micro, отслеживая его с марта 2022 года. Ресерчеры, несмотря на отсутствие образцов, не исключают модификации вируса под ОС Windows.
Малварь срабатывает на этапе компрометации сервера VMware ESXi, автоматически составляя перечень работающих виртуальных машин и отключая их посредством команды esxcli.
В процессе шифрования вирус реализует поиск файлов со расширениями log, vmdk, vmem, vswp и vmsn, связанные с образами ESXi, с файлами журналов, файлами подкачки, и виртуальными дисками, после чего добавляет к наименованию файлов расширение Cheers и кидает в каждую папку записку о выкупе. При этом переименование происходит до шифрования.
Схема шифрования использует пару в виде открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, после чего стирается, предотвращая восстановление.
Cheers осуществляет эксфильтрацию данных во время атак и использует украденные данные в атаках с двойным вымогательством. Каждая жертва получает уникальный сайт в Tor для ведения переговоров. Кроме того, в записках о выкупе указывается единый для всех жертв URL-адрес DLS, содержащий на данные момент сведения в отношении четырех жертв.
С момента заражения у жертвы Cheers есть три дня для выхода на связь с вымогателями. В случае отказа от уплаты выкупа, украденные сведения реализуются с молотка желающим их приобрести, при отсутствии которых публикуются на сайте утечек на всеобщее обозрение.
Судя по перечисленным жертвам, в приоритете у Cheers - крупный корпоративный сегмент, способный удовлетворить большие аппетиты хакеров.
Всем нежелающим попасть в шорт-лист вымогателей или прочих АРТ рекомендуем внимательно прислушаться к рекомендациям VMware и обновить уязвимые компоненты.
В ближайшее время исследователи намерены раскрыть технические подробности и выпустить PoC для критической CVE-2022-22972 с оценкой CVSSv3 9,8, которая затрагивает VMware Workspace ONE Access, Identity Manager и vRealize Automation, позволяя злоумышленникам обходить аутентификацию и добраться до пользователей локального домена.
Как мы уже писали, проблема была экстренно устранена VMware в прошлую среду.
В качестве тизера Horizon3 опубликовали снимок экрана с демонстрацией доступа к экземпляру VMware Workspace ONE, при том, что ни один пользователь не вошел в систему через веб-интерфейс входа.
Несмотря на отсутствие официальных отчетов об атаках с использованием уязвимости, исследователи предполагают, что хакеры скорее всего уже располагают эксплойтом и, вероятно, начали его применять на практике.
Что еще хуже, в полку ориентированных на решения VMware ransomware-групп прибавилось. Ряды LockBit и Hive пополнились новой операцией Cheers (или Cheerscrypt). Новый вирус-вымогатель на нацелен на серверы виртуализации VMware ESXi под ОС Linux.
Новый штамм ransomware обнаружили аналитики Trend Micro, отслеживая его с марта 2022 года. Ресерчеры, несмотря на отсутствие образцов, не исключают модификации вируса под ОС Windows.
Малварь срабатывает на этапе компрометации сервера VMware ESXi, автоматически составляя перечень работающих виртуальных машин и отключая их посредством команды esxcli.
В процессе шифрования вирус реализует поиск файлов со расширениями log, vmdk, vmem, vswp и vmsn, связанные с образами ESXi, с файлами журналов, файлами подкачки, и виртуальными дисками, после чего добавляет к наименованию файлов расширение Cheers и кидает в каждую папку записку о выкупе. При этом переименование происходит до шифрования.
Схема шифрования использует пару в виде открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, после чего стирается, предотвращая восстановление.
Cheers осуществляет эксфильтрацию данных во время атак и использует украденные данные в атаках с двойным вымогательством. Каждая жертва получает уникальный сайт в Tor для ведения переговоров. Кроме того, в записках о выкупе указывается единый для всех жертв URL-адрес DLS, содержащий на данные момент сведения в отношении четырех жертв.
С момента заражения у жертвы Cheers есть три дня для выхода на связь с вымогателями. В случае отказа от уплаты выкупа, украденные сведения реализуются с молотка желающим их приобрести, при отсутствии которых публикуются на сайте утечек на всеобщее обозрение.
Судя по перечисленным жертвам, в приоритете у Cheers - крупный корпоративный сегмент, способный удовлетворить большие аппетиты хакеров.
Всем нежелающим попасть в шорт-лист вымогателей или прочих АРТ рекомендуем внимательно прислушаться к рекомендациям VMware и обновить уязвимые компоненты.
Trend Micro
New Linux-Based Ransomware Cheerscrypt Targets ESXi Devices
New findings showed that Cheerscrypt, a new Linux-based ransomware variant that compromises ESXi servers, was derived from the leaked Babuk source code. We discuss our analysis in this report.
День Х настал, и не говорите, что не предупреждали.
Исследователи Horizon3 сегодня опубликовали эксплойт (PoC) и технический анализ критической уязвимости CVE-2022-22972 для обхода аутентификации в vRealize Automation и получения прав администратора в продуктах VMware.
Как вы помните, большинство атак АРТ в 2021 году были связаны отнюдь не с уникальными 0-day, а основывались на эксплуатации общеизвестного набора уязвимостей, который пополнился достаточно простой в эксплуатации и эффективной CVE-2022-22972.
Похоже, что следующие посты по инцидентам с VMware будем начинать с того, что «а ведь мы предупреждали».
Исследователи Horizon3 сегодня опубликовали эксплойт (PoC) и технический анализ критической уязвимости CVE-2022-22972 для обхода аутентификации в vRealize Automation и получения прав администратора в продуктах VMware.
Как вы помните, большинство атак АРТ в 2021 году были связаны отнюдь не с уникальными 0-day, а основывались на эксплуатации общеизвестного набора уязвимостей, который пополнился достаточно простой в эксплуатации и эффективной CVE-2022-22972.
Похоже, что следующие посты по инцидентам с VMware будем начинать с того, что «а ведь мы предупреждали».
Horizon3.ai
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
Technical deep dive into VMware’s recently patched authentication bypass vulnerability allowing an attacker to login as any known local user.
͏Обновления Microsoft Windows - это всегда как сериал. Настоящая Санта-Барбара бесконечной череды исправлений: патчится одно - вылетает другое, а потом сам патч нужно пропатчить. Про Defender даже и вспоминать не будем…
На этот раз накопительные обновления KB5014019 для Windows 11, Windows 10 версии 1809 и Windows Server 2022 вывели из строя решения безопасности Trend Micro, которые реализуют защиту системы, включая и от ransomware.
Проблема затрагивает драйвер User Mode Hooking (UMH) Trend Micro в компонентах Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.
Теперь японский разработчик ломает голову над решением проблемы, перед тем, как предварительные исправления не станут частью июньского PatchTuesday.
Конечно же, решение для возникшей проблемки стандартное: просто удалите предварительные обновления, используя команду wusa/uninstall/kb:5014022. К счастью, в отличие от обычных обновлений Windows, предварительные не являются обязательными. Установившие исправление для Windows клиенты Trend Micro могут либо временно удалить это исправление, либо получить в службе поддержки модуль отладки UMH.
Но радоваться не стоит и уж точно надеятся на PatchTuesday, по крайней мере, на июньский.
На этот раз накопительные обновления KB5014019 для Windows 11, Windows 10 версии 1809 и Windows Server 2022 вывели из строя решения безопасности Trend Micro, которые реализуют защиту системы, включая и от ransomware.
Проблема затрагивает драйвер User Mode Hooking (UMH) Trend Micro в компонентах Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.
Теперь японский разработчик ломает голову над решением проблемы, перед тем, как предварительные исправления не станут частью июньского PatchTuesday.
Конечно же, решение для возникшей проблемки стандартное: просто удалите предварительные обновления, используя команду wusa/uninstall/kb:5014022. К счастью, в отличие от обычных обновлений Windows, предварительные не являются обязательными. Установившие исправление для Windows клиенты Trend Micro могут либо временно удалить это исправление, либо получить в службе поддержки модуль отладки UMH.
Но радоваться не стоит и уж точно надеятся на PatchTuesday, по крайней мере, на июньский.
Forwarded from SecurityLab.ru
Спецвыпуск: PHDays 11
На Positive Hack Days 11 презентовали новую платформу Bug Bounty, выступили министр цифрового развития России Максут Шадаев и официальный представитель МИД РФ Мария Захарова, а атакующие на The Standoff реализовали 30 уникальных недопустимых событий. Главред SecurityLab.ru Александр Антипов и его гости рассказывают о самых интересных событиях форума: итогах эпичной кибербитвы и инвестициях в кибербез, докладах и конкурсах, креативных собеседованиях и даже музыкальном соревновании с участием дракона.
https://www.youtube.com/watch?v=cUhhbgUdbj8
На Positive Hack Days 11 презентовали новую платформу Bug Bounty, выступили министр цифрового развития России Максут Шадаев и официальный представитель МИД РФ Мария Захарова, а атакующие на The Standoff реализовали 30 уникальных недопустимых событий. Главред SecurityLab.ru Александр Антипов и его гости рассказывают о самых интересных событиях форума: итогах эпичной кибербитвы и инвестициях в кибербез, докладах и конкурсах, креативных собеседованиях и даже музыкальном соревновании с участием дракона.
https://www.youtube.com/watch?v=cUhhbgUdbj8
YouTube
Спецвыпуск: PHDays 11
Александр Антипов и команда посетили самый большой Форум по практической кибербезопасности PHDays 11
Наш интерактивный годовой отчёт можно посмотреть здесь 👉 https://ar2021.ptsecurity.com
#phdays11 #cybersecurity #кибербезопасность #phdays
Наш интерактивный годовой отчёт можно посмотреть здесь 👉 https://ar2021.ptsecurity.com
#phdays11 #cybersecurity #кибербезопасность #phdays