Немного подумав, Microsoft решили откатить свое решение, которое откатывало предыдущее.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
В России и мире постоянно происходят утечки персональных данных. Миллионы записей из различных баз данных всплывают на теневых форумах и площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
͏Microsoft выпустили июльский PatchTuesday 2022, исправив 0-day и ещё 84 баги.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Президент Европейского центрального банка Кристин Лагард попала под прицел хакеров, став объектом таргетированной кибератаки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
AP News
European Central Bank head targeted in hacking attempt
The European Central Bank says its president, Christine Lagarde, was targeted in a hacking attempt but no information was compromised.
Сложно обойти и не сказать об Adobe, который выпустил крупное обновление безопасности для своих флагманских продуктов Acrobat и Reader, где исправлено не менее 22 задокументированных уязвимостей, ряд из которых имеет критический уровень серьезности и позволяет провести RCE-атаки.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB22-16
Целых восемь месяцев ушло у VMware на исправление обнаруженной в ноябре серьезной уязвитмости vCenter Server.
Ошибка связана с повышением привилегий, затрагивает механизм IWA (встроенная проверка подлинности Windows) vCenter Server и отслеживаемая как CVE-2021-22048. Она также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
Об уязвимости сообщили Ярон Зинар и Саги Шейнфельд из CrowdStrike.
По мнению ресерчеров, успешная эксплуатация позволяет злоумышленникам с неадминистративным доступом к неисправленным vCenter Server повышать привилегии до группы с более высоким уровнем привилегий, что приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и ресурсов.
VMware отмечают, что ошибку можно использовать только из той же физической или логической сети, в которой расположен целевой сервер, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Вместе с тем, согласно NIST NVD багу можно использовать удаленно в атаках низкой сложности. Впрочем и VMware оценили ее как «важную».
И за восемь месяцев разработчик подготовил патч vCenter Server 7.0 Update 3f лишь для последней доступной версии vCenter Server, хотя CVE-2021-22048 затрагивает и версии 6.5, 6.7 и 7.0.
Но, к счастью, VMware обещает выпустить исправления и для других уязвимых версий, предлагая обходной путь для устранения вектора атаки, который, правда, не обновлялся с ноября 2021 года.
Ошибка связана с повышением привилегий, затрагивает механизм IWA (встроенная проверка подлинности Windows) vCenter Server и отслеживаемая как CVE-2021-22048. Она также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
Об уязвимости сообщили Ярон Зинар и Саги Шейнфельд из CrowdStrike.
По мнению ресерчеров, успешная эксплуатация позволяет злоумышленникам с неадминистративным доступом к неисправленным vCenter Server повышать привилегии до группы с более высоким уровнем привилегий, что приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и ресурсов.
VMware отмечают, что ошибку можно использовать только из той же физической или логической сети, в которой расположен целевой сервер, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Вместе с тем, согласно NIST NVD багу можно использовать удаленно в атаках низкой сложности. Впрочем и VMware оценили ее как «важную».
И за восемь месяцев разработчик подготовил патч vCenter Server 7.0 Update 3f лишь для последней доступной версии vCenter Server, хотя CVE-2021-22048 затрагивает и версии 6.5, 6.7 и 7.0.
Но, к счастью, VMware обещает выпустить исправления и для других уязвимых версий, предлагая обходной путь для устранения вектора атаки, который, правда, не обновлялся с ноября 2021 года.
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова (securitylab.ru). Выпуск #67
Алгоритм ИИ предсказывает преступления на неделю вперед с точностью 90%, в США представили инструменты шифрования для защиты от квантовых компьютеров, криптомошенники взломали аккаунты британской армии в Twitter и Youtube, а Google и Mozilla опасаются глобальной слежки за пользователями.
Google защитит данные жертв домашнего насилия и клиенток абортариев, ИИ быстро усваивает расовые и сексистские стереотипы из соцсетей, а пользователи приложения для создания ИИ-ботов начинают верить в разум своих виртуальных ассистентов. В Китае кодекс поведения для стримеров запретит показ 31 категории контента, а в России доля поставляемых ноутбуков без ОС к осени может вырасти до 80–90%.
В шестьдесят седьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю:
https://www.youtube.com/watch?v=gp8F_lnG3ik
Алгоритм ИИ предсказывает преступления на неделю вперед с точностью 90%, в США представили инструменты шифрования для защиты от квантовых компьютеров, криптомошенники взломали аккаунты британской армии в Twitter и Youtube, а Google и Mozilla опасаются глобальной слежки за пользователями.
Google защитит данные жертв домашнего насилия и клиенток абортариев, ИИ быстро усваивает расовые и сексистские стереотипы из соцсетей, а пользователи приложения для создания ИИ-ботов начинают верить в разум своих виртуальных ассистентов. В Китае кодекс поведения для стримеров запретит показ 31 категории контента, а в России доля поставляемых ноутбуков без ОС к осени может вырасти до 80–90%.
В шестьдесят седьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю:
https://www.youtube.com/watch?v=gp8F_lnG3ik
YouTube
DID — новый этап в эволюции интернета, крупнейшая утечка в истории Китая. Security-новости #67 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
1:05 Разработан ИИ способный предсказывать преступления на неделю вперед - https://www.securitylab.ru/news/532604.php…
0:00 Security-новости
1:05 Разработан ИИ способный предсказывать преступления на неделю вперед - https://www.securitylab.ru/news/532604.php…
Ежемесячные обновления представили гиганты в области ICS Siemens и Schneider Electric.
Siemens выпустила 19 новых бюллетеней с описанием 46 уязвимостей, две из которых «критические» с оценкой CVSS 10 из 10.
Один из бюллетеней описывает критические и серьезные уязвимости в коммуникационном процессоре SIMATIC CP 1543-1. RCE-уязвимости могут быть проэксплуатированы только в том случае, если используется функция VPN Remote Connect Server (SRCS), которая выключена по умолчанию.
Другие критические и серьезные уязвимости исправлены в цифровом помощнике SIMATIC eaSie. Ошибки можно использовать удаленно путем отправки произвольных запросов в систему для вызова состояние DoS.
Еще одна исправленная Siemens критическая уязвимость, связанная с DHCP, затрагивает старые приводы SINAMICS Perfect Harmony GH180 и позволяет получить доступ к его внутренней сети.
Закрыта критическая уязвимость обхода аутентификации в системе управления качеством Opcenter Quality, а также несколько критических и серьезных уязвимостей в коммутаторах SCALANCE X, которые могут быть использованы для DoS или BruteForce, а также привести к перехвату сеанса.
Десять бюллетеней описывают уязвимости высокой степени серьезности. При этом 20 ошибок в продукте компании PADS Viewer можно использовать для RCE, обманом заставив целевого пользователя открыть специально созданный файл.
Для некоторых продуктов Siemens не представил исправлений, рекомендовав меры по смягчению последствий и обходные пути.
Schneider Electric выпустила четыре новых бюллетеня, описывающих 13 уязвимостей. В одном из них описывается серьезная проблема внедрения команд ОС в SpaceLogic C-Bus Home Controller.
Некоторые коммуникационных модулей OPC UA и X80 Advanced RTU подвержены трем уязвимостям высокой степени серьезности, которые могут быть использованы для DoS, а также 4 - средней степени серьезности, позволяющим загрузить несанкционированный образ прошивки.
Компания также выпустила рекомендации по уязвимостям высокой и средней степени серьезности в реле защиты Easergy P5, которые могут позволить злоумышленнику вызвать состояние DoS, получить учетные данные устройства или получить полный контроль над ним.
Уязвимость средней степени серьезности, позволяющую получить доступ к другим устройствам в сети, была обнаружена в Acti9 PowerTag Link C.
Поставщик выпустил все необходимые исправления и меры по устранению уязвимостей.
Siemens выпустила 19 новых бюллетеней с описанием 46 уязвимостей, две из которых «критические» с оценкой CVSS 10 из 10.
Один из бюллетеней описывает критические и серьезные уязвимости в коммуникационном процессоре SIMATIC CP 1543-1. RCE-уязвимости могут быть проэксплуатированы только в том случае, если используется функция VPN Remote Connect Server (SRCS), которая выключена по умолчанию.
Другие критические и серьезные уязвимости исправлены в цифровом помощнике SIMATIC eaSie. Ошибки можно использовать удаленно путем отправки произвольных запросов в систему для вызова состояние DoS.
Еще одна исправленная Siemens критическая уязвимость, связанная с DHCP, затрагивает старые приводы SINAMICS Perfect Harmony GH180 и позволяет получить доступ к его внутренней сети.
Закрыта критическая уязвимость обхода аутентификации в системе управления качеством Opcenter Quality, а также несколько критических и серьезных уязвимостей в коммутаторах SCALANCE X, которые могут быть использованы для DoS или BruteForce, а также привести к перехвату сеанса.
Десять бюллетеней описывают уязвимости высокой степени серьезности. При этом 20 ошибок в продукте компании PADS Viewer можно использовать для RCE, обманом заставив целевого пользователя открыть специально созданный файл.
Для некоторых продуктов Siemens не представил исправлений, рекомендовав меры по смягчению последствий и обходные пути.
Schneider Electric выпустила четыре новых бюллетеня, описывающих 13 уязвимостей. В одном из них описывается серьезная проблема внедрения команд ОС в SpaceLogic C-Bus Home Controller.
Некоторые коммуникационных модулей OPC UA и X80 Advanced RTU подвержены трем уязвимостям высокой степени серьезности, которые могут быть использованы для DoS, а также 4 - средней степени серьезности, позволяющим загрузить несанкционированный образ прошивки.
Компания также выпустила рекомендации по уязвимостям высокой и средней степени серьезности в реле защиты Easergy P5, которые могут позволить злоумышленнику вызвать состояние DoS, получить учетные данные устройства или получить полный контроль над ним.
Уязвимость средней степени серьезности, позволяющую получить доступ к другим устройствам в сети, была обнаружена в Acti9 PowerTag Link C.
Поставщик выпустил все необходимые исправления и меры по устранению уязвимостей.
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Ученые из ETH Zurich опубликовали исследование Retbleed с подробностями новой атаки по побочным каналам, которая затрагивает современные процессоры Intel и AMD, влияющей на спекулятивное выполнение.
После обнаружения Meltdown и Spectre в 2018 году, изменивших взгляды всех крупных производителей микросхем на конструкцию ЦП и безопасность данных, была разработана защитная технология Reptoline, в основе которой реализована замена инструкций перехода и вызова в ЦП инструкциями возврата, которые считались более безопасными.
ETH Zurich удалось провести атаку по побочному каналу на AMD Zen 1, Zen 1+, Zen 2 и Intel Core поколения 6–8 с помощью инструкций возврата, вызвав утечку памяти ядра, содержащую хэши паролей из систем Linux.
При этом теоретически все семейства процессоров AMD 0x15–0x17 и Intel Core поколения 6–8 также уязвимы. Таким образом, можно полагать, что все процессоры Intel возрастом от 3 до 6 лет и процессоры AMD возрастом от 1 до 11 лет могут быть затронуты уязвимостью.
Хорошей новостью является то, что исправления для Retbleed уже выпущены в рамках ежемесячных обновлений как ОС, так и облачной инфраструктуры от всех основных поставщиков.
Повторные исправления для процессоров AMD отслеживаются как CVE-2022-29900, для Intel - CVE-2022-29901, а дополнительная информация по смягчению последствий также доступна в блоге производителя.
Исследователи ETH отметили, что установка исправлений повлияет на показатели производительности ЦП в диапазоне от 14% до 39%. При этом другая обнаруженная в процессорах AMD проблема под название Phantom JMP (CVE-2022-23825), может на 209% повлиять на производительность.
По мнению исследователей, перед пользователями встанет выбор: либо защищать свою систему от подобных «экзотических» атак, но жертвуя производительностью, либо игнорировать исправление, полагаясь на то, что подобные атаки не фиксировались в дикой природе и реальная угроза их совершения близка к нулю.
В любом случае, у производителя выбора нет - задача доработки современной архитектуры и решений по безопасности ЦП безальтернативна и как никогда актуальна.
После обнаружения Meltdown и Spectre в 2018 году, изменивших взгляды всех крупных производителей микросхем на конструкцию ЦП и безопасность данных, была разработана защитная технология Reptoline, в основе которой реализована замена инструкций перехода и вызова в ЦП инструкциями возврата, которые считались более безопасными.
ETH Zurich удалось провести атаку по побочному каналу на AMD Zen 1, Zen 1+, Zen 2 и Intel Core поколения 6–8 с помощью инструкций возврата, вызвав утечку памяти ядра, содержащую хэши паролей из систем Linux.
При этом теоретически все семейства процессоров AMD 0x15–0x17 и Intel Core поколения 6–8 также уязвимы. Таким образом, можно полагать, что все процессоры Intel возрастом от 3 до 6 лет и процессоры AMD возрастом от 1 до 11 лет могут быть затронуты уязвимостью.
Хорошей новостью является то, что исправления для Retbleed уже выпущены в рамках ежемесячных обновлений как ОС, так и облачной инфраструктуры от всех основных поставщиков.
Повторные исправления для процессоров AMD отслеживаются как CVE-2022-29900, для Intel - CVE-2022-29901, а дополнительная информация по смягчению последствий также доступна в блоге производителя.
Исследователи ETH отметили, что установка исправлений повлияет на показатели производительности ЦП в диапазоне от 14% до 39%. При этом другая обнаруженная в процессорах AMD проблема под название Phantom JMP (CVE-2022-23825), может на 209% повлиять на производительность.
По мнению исследователей, перед пользователями встанет выбор: либо защищать свою систему от подобных «экзотических» атак, но жертвуя производительностью, либо игнорировать исправление, полагаясь на то, что подобные атаки не фиксировались в дикой природе и реальная угроза их совершения близка к нулю.
В любом случае, у производителя выбора нет - задача доработки современной архитектуры и решений по безопасности ЦП безальтернативна и как никогда актуальна.
ETH Zurich
Speculative calculations open a backdoor to information theft
ETH Zurich researchers have discovered a serious security vulnerability in computer hardware. The vulnerability, called
Три уязвимости переполнения буфера в прошивке UEFI затрагивают более 70 моделей ноутбуков Lenovo.
Обнаруженные ошибки CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892 средней степени серьезности могут позволить злоумышленникам перехватить запуск установки Windows.
Если первая из них связана с драйвером ReadyBootDxe лишь в некоторых ноутбуках, то две последние - с драйвером SystemLoadDefaultDxe, который используется в линейках Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540, S940 и в совокупности затрагивает более 70 отдельных моделей.
Уязвимости обнаружили ресерчеры ESET, которые заключили, что злоумышленник может использовать их для захвата потока выполнения ОС и последующего отключения функций безопасности.
Cама проблема вызвана недостаточной проверкой параметра DataSize, переданного функции GetVariable служб выполнения UEFI. Злоумышленник может создать специально созданную переменную NVRAM, что вызовет переполнение буфера данных во втором вызове GetVariable.
Атаки на UEFI чрезвычайно опасны, поскольку они позволяют злоумышленникам запускать вредоносное ПО на ранних этапах процесса загрузки ОС, до активации встроенных средств защиты Windows, что позволяет им обходить или отключать средства защиты на уровне ОС, избегать обнаружения и сохраняться даже после форматирования диска.
Во избежание подобных атак пользователям уязвимых устройств рекомендуется загрузить последнюю доступную версию драйвера для своих продуктов Lenovo.
Кроме того, производитель представил
информацию о затронутых моделях в таблице влияния вместе с рекомендациями по безопасности.
В свою очередь, ESET разработала улучшения кода для анализатора прошивки UEFI от Binarly efiXplorer, который находится в свободном доступе на GitHub.
Обнаруженные ошибки CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892 средней степени серьезности могут позволить злоумышленникам перехватить запуск установки Windows.
Если первая из них связана с драйвером ReadyBootDxe лишь в некоторых ноутбуках, то две последние - с драйвером SystemLoadDefaultDxe, который используется в линейках Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540, S940 и в совокупности затрагивает более 70 отдельных моделей.
Уязвимости обнаружили ресерчеры ESET, которые заключили, что злоумышленник может использовать их для захвата потока выполнения ОС и последующего отключения функций безопасности.
Cама проблема вызвана недостаточной проверкой параметра DataSize, переданного функции GetVariable служб выполнения UEFI. Злоумышленник может создать специально созданную переменную NVRAM, что вызовет переполнение буфера данных во втором вызове GetVariable.
Атаки на UEFI чрезвычайно опасны, поскольку они позволяют злоумышленникам запускать вредоносное ПО на ранних этапах процесса загрузки ОС, до активации встроенных средств защиты Windows, что позволяет им обходить или отключать средства защиты на уровне ОС, избегать обнаружения и сохраняться даже после форматирования диска.
Во избежание подобных атак пользователям уязвимых устройств рекомендуется загрузить последнюю доступную версию драйвера для своих продуктов Lenovo.
Кроме того, производитель представил
информацию о затронутых моделях в таблице влияния вместе с рекомендациями по безопасности.
В свою очередь, ESET разработала улучшения кода для анализатора прошивки UEFI от Binarly efiXplorer, который находится в свободном доступе на GitHub.
Экс-сотрудника элитного хакерского подразделения ЦРУ в федеральном суде Нью-Йорка признали виновным в крупнейшей утечке сверхсекретных данных, получивших название Vault 7, которая произошла в 2017 году и буквально ударила ведомство ниже пояса.
33-летний Джошуа Адам Шульте, уволившись с работы, слил на WikiLeaks украденный у ведомства массив из более чем 10 тысяч документов и файлов из изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли.
Vault 7 также включал арсенал передовых хакерских инструментов, вредоносное ПО и 0-day эксплойты, которые спецслужба применяла для взлома целевых компьютеров и технологических систем.
После их релиза на WikiLeaks экс-сотрудник стал главным подозреваемым, а тогдашний директор ЦРУ Майк Помпео назвал «враждебной разведывательной службой», после чего правительство США выдвинуло обвинение в шпионаже его основателю.
Как отметили коллеги, в ответ на публикацию Vault7 директор ЦРУ и вовсе поручил ведомству ликвидировать Джулиана Ассанжа.
В сентябре 2017 года у Шульте нашли на компьютере детское порно. После задержания позже ему накинули обвинения в краже и передаче противнику информации о национальной обороне.
В 2020 году его виновным по обвинения во лжи и неуважении к суду, а спустя два года - присяжные признали Шульте виновным по восьми пунктам закона о шпионаже и одному пункту обвинения в препятствовании.
Прокуратура в суде назвала Шульте обиженным, что, по мнению обвинителя, и стало главным мотивом преступления. Экс-сотрудника также в рамках отдельного процесса будут судить за детское порно. Общий приговор по его делу будет оглашен позднее.
Но есть во всей этой истории достаточно важный положительный момент.
Во многом благодаря именно Vault7 инфосек-сообщество не только узнало про аффилированную с ЦРУ Lamberts со всеми наглядными примерами, но и получило подтверждение принадлежности Equation к АНБ США.
33-летний Джошуа Адам Шульте, уволившись с работы, слил на WikiLeaks украденный у ведомства массив из более чем 10 тысяч документов и файлов из изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли.
Vault 7 также включал арсенал передовых хакерских инструментов, вредоносное ПО и 0-day эксплойты, которые спецслужба применяла для взлома целевых компьютеров и технологических систем.
После их релиза на WikiLeaks экс-сотрудник стал главным подозреваемым, а тогдашний директор ЦРУ Майк Помпео назвал «враждебной разведывательной службой», после чего правительство США выдвинуло обвинение в шпионаже его основателю.
Как отметили коллеги, в ответ на публикацию Vault7 директор ЦРУ и вовсе поручил ведомству ликвидировать Джулиана Ассанжа.
В сентябре 2017 года у Шульте нашли на компьютере детское порно. После задержания позже ему накинули обвинения в краже и передаче противнику информации о национальной обороне.
В 2020 году его виновным по обвинения во лжи и неуважении к суду, а спустя два года - присяжные признали Шульте виновным по восьми пунктам закона о шпионаже и одному пункту обвинения в препятствовании.
Прокуратура в суде назвала Шульте обиженным, что, по мнению обвинителя, и стало главным мотивом преступления. Экс-сотрудника также в рамках отдельного процесса будут судить за детское порно. Общий приговор по его делу будет оглашен позднее.
Но есть во всей этой истории достаточно важный положительный момент.
Во многом благодаря именно Vault7 инфосек-сообщество не только узнало про аффилированную с ЦРУ Lamberts со всеми наглядными примерами, но и получило подтверждение принадлежности Equation к АНБ США.
Telegram
Russian OSINT
🇺🇸Wikileaks: бывшего сотрудника ЦРУ признали виновным в крупнейшей утечке секретных данных
📡Как сообщает ТАСС, суд в Нью-Йорке признал бывшего программиста ЦРУ Джошуа Шульте виновным в крупнейшей утечке серии сверхсекретных материалов, получивших название…
📡Как сообщает ТАСС, суд в Нью-Йорке признал бывшего программиста ЦРУ Джошуа Шульте виновным в крупнейшей утечке серии сверхсекретных материалов, получивших название…
͏Microsoft опубликовала PoC размером с твит для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе.
Об ошибке Microsoft сообщила Apple в октябре прошлого года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6).
Компания опубликовала технические подробности CVE-2022-26706, пояснив, как можно обойти правила песочницы приложения macOS, чтобы обеспечить вредоносному макрокоду в документах Word выполнять команды на машине.
Злоупотребление макросами в документах Office для развертывания вредоносных ПО уже давно является излюбленной хакерами техникой взлома систем Windows. Как оказывается, то же самое может быть реализовано на уязвимых компьютерах под управлением macOS.
Уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Office на macOS.
Изучив более ранние отчеты (1, 2) о выходе из песочницы macOS, исследователи группы Microsoft 365 Defender обнаружили, что использование Launch Services для запуска команды open –stdin в специальном файле Python с вышеупомянутым префиксом «~$» позволяет выйти из песочницы приложения в macOS.
Исследователи разработали PoC c использованием опции -stdin для открытия файла Python, чтобы обойти ограничение расширенного атрибута com.apple.quarantine.
Код эксплойта оказался достаточно прост, исследователям даже удалось сжать его настолько, что он поместился в твит, как можно видеть ниже 👇
Об ошибке Microsoft сообщила Apple в октябре прошлого года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6).
Компания опубликовала технические подробности CVE-2022-26706, пояснив, как можно обойти правила песочницы приложения macOS, чтобы обеспечить вредоносному макрокоду в документах Word выполнять команды на машине.
Злоупотребление макросами в документах Office для развертывания вредоносных ПО уже давно является излюбленной хакерами техникой взлома систем Windows. Как оказывается, то же самое может быть реализовано на уязвимых компьютерах под управлением macOS.
Уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Office на macOS.
Изучив более ранние отчеты (1, 2) о выходе из песочницы macOS, исследователи группы Microsoft 365 Defender обнаружили, что использование Launch Services для запуска команды open –stdin в специальном файле Python с вышеупомянутым префиксом «~$» позволяет выйти из песочницы приложения в macOS.
Исследователи разработали PoC c использованием опции -stdin для открытия файла Python, чтобы обойти ограничение расширенного атрибута com.apple.quarantine.
Код эксплойта оказался достаточно прост, исследователям даже удалось сжать его настолько, что он поместился в твит, как можно видеть ниже 👇
Forwarded from Social Engineering
👾 Малварь на просвет. 99+ бесплатных инструментов для анализа зловредов.
• В дополнение, обратите внимание на полезный материал в нашем канале, в котором описано создание виртуальной среды для изучения вредоносного ПО: https://news.1rj.ru/str/Social_engineering/1371 и другие бесплатные инструменты для компьютерное криминалистики: https://habr.com/ru/company/bastion/blog/651869/
Твой S.E. #Malware #Форензика
🖖🏻 Приветствую тебя user_name.
• Вчера на хабре вышла интересная подборка бесплатных инструментов для анализа зловредов. Тема хоть и не относится к основной тематике нашего канала, но будет весьма интересной и полезной для изучения подозрительных файлов: https://habr.com/ru/company/bastion/blog/676310/• В дополнение, обратите внимание на полезный материал в нашем канале, в котором описано создание виртуальной среды для изучения вредоносного ПО: https://news.1rj.ru/str/Social_engineering/1371 и другие бесплатные инструменты для компьютерное криминалистики: https://habr.com/ru/company/bastion/blog/651869/
Твой S.E. #Malware #Форензика
Немецкий производитель программного обеспечения SAP к предыдущим примечаниям по безопасности добавил еще 20 новых. Из новых недостатков четыре с высокой степенью опасности, одно затрагивает SAP BusinessObjects и три найдено в Business One.
Наиболее серьезной из этих проблем является уязвимость CVE-2022-35228 (оценка CVSS 8,3), связанная с раскрытием информации в центральной консоли управления платформы BusinessObjects Business Intelligence.
Как заверили специалисты по безопасности из Onapsis проблема позволяет злоумышленнику, не прошедшему проверку подлинности, получить информацию о токене по сети, но для атаки требуется легитимный пользователь для доступа к приложению.
Не менее серьезной ошибкой, влияющей на Business One, является ошибка раскрытия информации (CVE-2022-32249), которая позволяет злоумышленнику с высоким уровнем привилегий получать доступ к конфиденциальной информации, а также может использоваться в последующих атаках на учетные данные.
Еще одна проблема связана с отсутствием проверки авторизации (CVE-2022-28771), которая позволяет злоумышленнику, не прошедшему проверку подлинности, скомпрометировать приложение с помощью вредоносных HTTP-запросов, отправляемых по сети.
Третья ошибка в Business One — это уязвимость внедрения кода (CVE-2022-31593) и она позволяет злоумышленнику с низким уровнем привилегий контролировать поведение приложения.
17 примечаний по безопасности, выпущенных SAP, касаются уязвимостей средней степени серьезности и большинство из них затрагивает корпоративный портал NetWeaver и бизнес-объекты.
В примечаниях рассматриваются уязвимости межсайтового скриптинга (XSS) в корпоративном портале NetWeaver и все они получили оценку CVSS 6,1. Часть других замечаний по безопасности касаются проблем средней серьезности в Business Objects, SAPS/4HANA, EA-DFPS, платформе ABAP и Business One.
Наиболее серьезной из этих проблем является уязвимость CVE-2022-35228 (оценка CVSS 8,3), связанная с раскрытием информации в центральной консоли управления платформы BusinessObjects Business Intelligence.
Как заверили специалисты по безопасности из Onapsis проблема позволяет злоумышленнику, не прошедшему проверку подлинности, получить информацию о токене по сети, но для атаки требуется легитимный пользователь для доступа к приложению.
Не менее серьезной ошибкой, влияющей на Business One, является ошибка раскрытия информации (CVE-2022-32249), которая позволяет злоумышленнику с высоким уровнем привилегий получать доступ к конфиденциальной информации, а также может использоваться в последующих атаках на учетные данные.
Еще одна проблема связана с отсутствием проверки авторизации (CVE-2022-28771), которая позволяет злоумышленнику, не прошедшему проверку подлинности, скомпрометировать приложение с помощью вредоносных HTTP-запросов, отправляемых по сети.
Третья ошибка в Business One — это уязвимость внедрения кода (CVE-2022-31593) и она позволяет злоумышленнику с низким уровнем привилегий контролировать поведение приложения.
17 примечаний по безопасности, выпущенных SAP, касаются уязвимостей средней степени серьезности и большинство из них затрагивает корпоративный портал NetWeaver и бизнес-объекты.
В примечаниях рассматриваются уязвимости межсайтового скриптинга (XSS) в корпоративном портале NetWeaver и все они получили оценку CVSS 6,1. Часть других замечаний по безопасности касаются проблем средней серьезности в Business Objects, SAPS/4HANA, EA-DFPS, платформе ABAP и Business One.
Onapsis
SAP Security Patch Day July 2022: Three Applications in Focus
Get the latest insights from Onapsis on the July 2022 SAP Security Notes. Find out about high priority notes and stay protected.
Исследователи Cyble предупреждают появлении трех новых штаммов ransomware Lilith, RedAlert и 0mega.
Написанный на C/C++ и предназначенный для 64-битных систем Windows, Lilith добавляет к зашифрованным файлам соответсnвующее расширение «.lilith», после чего по системе раскидываются заметки о выкупе. Операторы ransomware также практикуют двойное вымогательство, угрожая утечкой эксфильрованных данных.
После запуска на компьютере жертвы мальварь согласно жестко запрограммированного списка завершает запущенные процессов, что гарантирует постоянный доступ к файлам, предназначенным для шифрования. Целевые процессы включают: Outlook, Thunderbird, Firefox, SQL, Steam и т.д.
Ransomware, получая доступ к базе данных диспетчера управления службами, вызывает определенные API, чтобы получить контроль над целевыми службами для их остановки. После чего Lilith сканирует диски в системе и файлы для шифрования, перебирая все файловые каталоги на машине.
Далее файлы шифруются с помощью набора криптографических API и случайного ключа, сгенерированного локально. Шифратор игнорирует файлы EXE, DLL и SYS, а также ряд каталогов и имен файлов, включая локальный открытый ключ, который будет использоваться впоследствии Babuk для расшифровки.
Перед началом шифрования программа-вымогатель записывает записки с требованием выкупа в несколько папок. В ней сообщается о наличии у жертвы 72 часов для выхода на связь с операторами ransomware и организации переговоров по оплате.
В случае неуплаты выкупа злоумышленник угрожает обнародовать украденные данные, для чего в записке также есть ссылка на домен Tor сайта DLS.
Cyble также предупреждает об увеличении количества атак с использованием двух довольно новых семейств программ-вымогателей RedAlert и 0mega.
Как известно, в течение последних недель RedAlert атаковал на серверы Linux VMware ESXi, блокируя виртуальные машины и шифруя все связанные с ними файлы. Вредоносная программа запускается вручную, поддерживает несколько команд предварительного шифрования и принимает платежи в виде выкупа только в Monero.
Для 0mega, использующей тактику двойного вымогательства, индикаторы компрометации еще не опубликованы.
Технические подробности ТТР и рекомендации представлены в отчете Cyble Research Labs.
Написанный на C/C++ и предназначенный для 64-битных систем Windows, Lilith добавляет к зашифрованным файлам соответсnвующее расширение «.lilith», после чего по системе раскидываются заметки о выкупе. Операторы ransomware также практикуют двойное вымогательство, угрожая утечкой эксфильрованных данных.
После запуска на компьютере жертвы мальварь согласно жестко запрограммированного списка завершает запущенные процессов, что гарантирует постоянный доступ к файлам, предназначенным для шифрования. Целевые процессы включают: Outlook, Thunderbird, Firefox, SQL, Steam и т.д.
Ransomware, получая доступ к базе данных диспетчера управления службами, вызывает определенные API, чтобы получить контроль над целевыми службами для их остановки. После чего Lilith сканирует диски в системе и файлы для шифрования, перебирая все файловые каталоги на машине.
Далее файлы шифруются с помощью набора криптографических API и случайного ключа, сгенерированного локально. Шифратор игнорирует файлы EXE, DLL и SYS, а также ряд каталогов и имен файлов, включая локальный открытый ключ, который будет использоваться впоследствии Babuk для расшифровки.
Перед началом шифрования программа-вымогатель записывает записки с требованием выкупа в несколько папок. В ней сообщается о наличии у жертвы 72 часов для выхода на связь с операторами ransomware и организации переговоров по оплате.
В случае неуплаты выкупа злоумышленник угрожает обнародовать украденные данные, для чего в записке также есть ссылка на домен Tor сайта DLS.
Cyble также предупреждает об увеличении количества атак с использованием двух довольно новых семейств программ-вымогателей RedAlert и 0mega.
Как известно, в течение последних недель RedAlert атаковал на серверы Linux VMware ESXi, блокируя виртуальные машины и шифруя все связанные с ними файлы. Вредоносная программа запускается вручную, поддерживает несколько команд предварительного шифрования и принимает платежи в виде выкупа только в Monero.
Для 0mega, использующей тактику двойного вымогательства, индикаторы компрометации еще не опубликованы.
Технические подробности ТТР и рекомендации представлены в отчете Cyble Research Labs.
Пользователи WordPress снова под ударом, да еще под каким. Эксперты по безопасности выявили массовую волну кибератак, направленных на колоссальные 1,6 миллиона веб-сайтов WordPress. Кампания все еще активна и нацелена на несколько уязвимых плагинов, которые позволяют злоумышленникам захватывать сайты.
Об угрозе предупредили исследователи Wordfence и опубликовали отчет, в котором предупреждают, что хакеры нацелены на несколько уязвимых компонентов WordPress позволяющих злоумышленникам удаленно обновлять строки кода и взламывать уязвимые веб-ресурсы.
Уязвимыми плагинами являются PublishPress Capabilities (версия 2.3 или более ранняя), плагин Kiwi Social Plugin (версия 2.0.10 или более ранняя), Pinterest Automatic (4.14.3 или более ранняя) и WordPress Automatic (3.53.2 или более ранняя).
Все четыре плагина связаны с уязвимостями обновления произвольных параметров без проверки подлинности, которые позволяют злоумышленникам регистрироваться на любом сайте в качестве администратора.
Согласно отчету, сайты с темами, основанными наали отчет, в котором претакже затронуты. Общий анализ показал, что 1,6 миллиона ресурсов на WordPress подверглись 13,7 миллионам атак за 36 часов с 16 000 IP-адресов.
В этой связи владельцам сайтов WordPress, которые используют перечисленные компоненты, настоятельно рекомендуется обновить свои плагины или темы до последней исправленной версии.
Кроме того, специалисты рекомендуют владельцам сайтов блокировать права администратора для новых пользователей по умолчанию.
Об угрозе предупредили исследователи Wordfence и опубликовали отчет, в котором предупреждают, что хакеры нацелены на несколько уязвимых компонентов WordPress позволяющих злоумышленникам удаленно обновлять строки кода и взламывать уязвимые веб-ресурсы.
Уязвимыми плагинами являются PublishPress Capabilities (версия 2.3 или более ранняя), плагин Kiwi Social Plugin (версия 2.0.10 или более ранняя), Pinterest Automatic (4.14.3 или более ранняя) и WordPress Automatic (3.53.2 или более ранняя).
Все четыре плагина связаны с уязвимостями обновления произвольных параметров без проверки подлинности, которые позволяют злоумышленникам регистрироваться на любом сайте в качестве администратора.
Согласно отчету, сайты с темами, основанными наали отчет, в котором претакже затронуты. Общий анализ показал, что 1,6 миллиона ресурсов на WordPress подверглись 13,7 миллионам атак за 36 часов с 16 000 IP-адресов.
В этой связи владельцам сайтов WordPress, которые используют перечисленные компоненты, настоятельно рекомендуется обновить свои плагины или темы до последней исправленной версии.
Кроме того, специалисты рекомендуют владельцам сайтов блокировать права администратора для новых пользователей по умолчанию.
Wordfence
1.6 Million WordPress Sites Hit With 13.7 Million Attacks In 36 Hours From 16,000 IPs
Today, on December 9, 2021, our Threat Intelligence team noticed a drastic uptick in attacks targeting vulnerabilities that make it possible for attackers to update arbitrary options on vulnerable sites. This led us into an investigation which uncovered an…
Check Point Research утверждают, что штаб-квартира ВВС Пакистана стала жертвой успешной атаки, проведенной проиндийской АРТ Sidewinder.
Ресерчеры CPR обнаружили, что в мае 2022 на Virus Total были загружены несколько образцов вредоносных программ и два зашифрованных файла.
По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.
Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.
Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.
Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.
Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.
Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.
Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.
Что уже впрочем, стало понятно также одной из жертв.
Ресерчеры CPR обнаружили, что в мае 2022 на Virus Total были загружены несколько образцов вредоносных программ и два зашифрованных файла.
По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.
Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.
Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.
Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.
Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.
Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.
Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.
Что уже впрочем, стало понятно также одной из жертв.
Forwarded from Social Engineering
📧 Почтовое текстовое мошенничество: от «нигерийских» писем до вишинга.
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
🖖🏻 Приветствую тебя user_name.• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
За последние годы Infostealer-атаки стали достаточно популярны.
Украденные с помощью такого рода вредоносного ПО конфиденциальные учетные сведения активно перепродаются и становятся подспорьем для доступа ресурсам, кражи данных, бокового перемещения и развертывания вредоносных программ, в том числе и ransomware.
Самыми популярными и продвинутыми в даркнете считаются RedLine, Raccoon и Vidar.
Однако ресерчеры KELA провели свой обзор Infostealer-рынка и отметили изменения в ландшафте угроз, включая появление новых стилеров и сервисов.
По результатам представили отчет о новом поколении вредоносных программ и ведущих игроков рынка стиллеров, таких как Redline, Racoon, AZORult, Mars, BlackGuard, META, Arkei, Vidar, Ginzo, Eternity, 7.62mm, Inno, TigersTeam, а также проект Аврора.
Рекомендуем 👇
Украденные с помощью такого рода вредоносного ПО конфиденциальные учетные сведения активно перепродаются и становятся подспорьем для доступа ресурсам, кражи данных, бокового перемещения и развертывания вредоносных программ, в том числе и ransomware.
Самыми популярными и продвинутыми в даркнете считаются RedLine, Raccoon и Vidar.
Однако ресерчеры KELA провели свой обзор Infostealer-рынка и отметили изменения в ландшафте угроз, включая появление новых стилеров и сервисов.
По результатам представили отчет о новом поколении вредоносных программ и ведущих игроков рынка стиллеров, таких как Redline, Racoon, AZORult, Mars, BlackGuard, META, Arkei, Vidar, Ginzo, Eternity, 7.62mm, Inno, TigersTeam, а также проект Аврора.
Рекомендуем 👇
kelacyber
Evolving Info-Stealers: RedLine, Raccoon & New Threats
Explore the evolving landscape of info-stealing Trojans. KELA analyzes popular malware like RedLine and Raccoon, and highlights the rise of new private stealers.