Израильские исследователи Checkmarx SCS раскрыли подготовку к крупномасштабной кампании криптомайнинга CuteBoi, таргетированной на репозитории JavaScript NPM.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Checkmarx
“CuteBoi” Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users
Checkmarx SCS team detected over 1200 npm packages released to the registry by over a thousand different user accounts. This was done using automation which includes the ability to pass NPM 2FA challenge. This cluster of packages seems to be a part of an…
В новом коде вымогателя LockBit обнаружены уязвимости.
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Forwarded from Russian OSINT
🏗🏭Хакеры "Gonjeshke Darande" совершили кибератаку на Иранскую сталелитейную промышленность (ICS)
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
Наступать на одни и те же грабли - это еще пол беды, но переходить при этом на детские - это прям печаль.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
Ресерчеры NCC Group смогли взломать популярный протокол для радиоуправляемых самолетов (RC) всего за несколько итераций.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Остерегайтесь, ибо вас может заразить OrBit и речь не об освежающей жвачке, а о недавно обнаруженной вредоносной программе для Linux используемой для скрытой кражи информации с бэкдором и заражением всех запущенных процессов на машине.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Intezer
OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow
OrBit is a new Linux malware that hijacks the execution flow, evading and gaining persistence to get remote access and steal information.
Cisco устранила критическую уязвимость в Cisco Expressway и TelePresence Video Communication Server (VCS).
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow a remote attacker to overwrite arbitrary files or conduct null byte poisoning attacks…
Emsisoft выпустила бесплатную утилиту для восстановления файлов, зашифрованных с помощью ransomware AstraLocker и Yashma.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
͏Fortinet выпустила исправления безопасности для устранения множества серьезных уязвимостей в нескольких продуктах поставщика, включая FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder и FortiVoiceEnterprise.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Список жертв Lockbit пополнился еще на одну строчку. На прошлой неделе под раздачу ransomware попал французский оператор виртуальной мобильной связи La Poste Mobile.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
La Tribune
Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?
Depuis le début de la semaine, le site de La Poste Mobile ne fonctionne plus en raison d'une cyberattaque rançongiciel. Celle-ci est revendiquée par LockBit 3.0, le numéro 1 du milieu cybercriminel, qui espère extorquer de l'argent à sa victime. Heureusement…
Forwarded from Russian OSINT
🚔 Motherboard опубликовали часть кода "анонимного и защищенного" мессенджера Anom от ФБР
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
Критически важные проекты в PyPI будут обязаны подключить 2FA, без которой сопровождающие ПО для Python не смогут публиковать, обновлять или изменять их.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Twitter
We’ve begun rolling out a 2FA requirement: soon, maintainers of critical projects must have 2FA enabled to publish, update, or modify them.
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
͏И, как обычно, ни дня без ransomware.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Облачные сервисы все чаще и чаще становятся лакомым кусочком для злоумышленников, которые "оптимизируют" работу виртуальных сред для добычи цифрового золота.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Trend Micro
Unpacking Cloud-Based Cryptocurrency Miners That Abuse GitHub Actions and Azure Virtual Machines
We investigate cloud-based cryptocurrency miners that leverage GitHub Actions and Azure virtual machines, including the cloud infrastructure and vulnerabilities that malicious actors exploit for easy monetary gain.
Немного подумав, Microsoft решили откатить свое решение, которое откатывало предыдущее.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
В России и мире постоянно происходят утечки персональных данных. Миллионы записей из различных баз данных всплывают на теневых форумах и площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
͏Microsoft выпустили июльский PatchTuesday 2022, исправив 0-day и ещё 84 баги.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Президент Европейского центрального банка Кристин Лагард попала под прицел хакеров, став объектом таргетированной кибератаки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
AP News
European Central Bank head targeted in hacking attempt
The European Central Bank says its president, Christine Lagarde, was targeted in a hacking attempt but no information was compromised.
Сложно обойти и не сказать об Adobe, который выпустил крупное обновление безопасности для своих флагманских продуктов Acrobat и Reader, где исправлено не менее 22 задокументированных уязвимостей, ряд из которых имеет критический уровень серьезности и позволяет провести RCE-атаки.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB22-16