Ресерчеры Лаборатории Касперского поделились своими наблюдениями за китайской АРТ DiceyF, которая с ноября 2021 года развертывает вредоносную структуру атак против онлайн-казино в Юго-Восточной Азии.
Стоит отметить, что TTP, вредоносное ПО и таргетинг согласуется с Earth Berberoka/GamblingPuppet, о которой Trend Micro сообщила в марте 2022 года.
Согласно новому отчету, DiceyF, похоже, не нацелена на получение финансовой выгоды от казино, а занимается тайным кибершпионажем и кражей интеллектуальной собственности.
Используемая APT платформа для атаки называется GamePlayerFramework и представляет собой переписанную на C# вредоносную программу C++ PuppetLoader, включающая загрузчики полезной нагрузки, средства запуска вредоносных программ, плагины, модули удаленного доступа, кейлоггеры, похитители буфера обмена и многое другое.
Исследованные ЛК последние исполняемые файлы представляют собой 64-разрядные файлы .NET, но в обращении также находятся 32-разрядные исполняемые файлы и библиотеки DLL.
Фреймворк поддерживает Tifa и Yuna, которые разрабатываются отдельно и имеют разные уровни сложности и сложности.
После того, как он загружен на целевой компьютер, осуществляется подключение к серверу C2 и каждые 20 секунд происходит отправка зашифрованных с помощью XOR пакетов, содержащих имя пользователя жертвы, статус пользовательского сеанса, размер собранных журналов, а также текущую дату и время.
C2 может ответить набором из 15 команд, которые могут приказать платформе собрать дополнительные данные, выполнить команду в «cmd.exe», обновить конфигурацию C2 и загрузить новый плагин. Любые плагины, загруженные с C2, загружаются прямо в фреймворк, не касаясь диска, чтобы свести к минимуму вероятность обнаружения.
Их функции включают кражу файлов cookie из Chrome или Firefox, захват содержимого буфера обмена, установление сеансов виртуального рабочего стола, создание снимков экрана, выполнение переадресации портов и др.
Кроме того, Лаборатория Касперского также обнаружила, что DiceyF использует приложение с графическим интерфейсом, которое имитирует синхронизатор данных сотрудников Mango, который сбрасывает загрузчики Yuna в сети организации. Доставляется через фишинговые электронные письма как установщик приложения безопасности.
Приложение подключается к той же инфраструктуре C2, что и GamePlayerFramework, и извлекает данные ОС, системы, сети и данные мессенджера Mango.
Ресерчеры отмечают, что код постоянно меняется, и его версии отражают полупрофессиональное управление модификациями кодовой базы. Со временем АРТ добавила поддержку библиотеки Newtonsoft JSON, улучшенное ведение журнала и шифрование для него.
Чтобы сделать этот инструмент еще более скрытным от решений безопасности, злоумышленники подписали его украденным действительным цифровым сертификатом, который также используется для платформы.
По мнению ресерчеров, у кампаний DiceyF и TTP есть много интересных характеристик. Группа со временем изменяет свою кодовую базу и развивает функциональность в коде во время своих вторжений.
Желающие могут наглядно ознакомиться с результатами исследования в видеопрезентации.
Стоит отметить, что TTP, вредоносное ПО и таргетинг согласуется с Earth Berberoka/GamblingPuppet, о которой Trend Micro сообщила в марте 2022 года.
Согласно новому отчету, DiceyF, похоже, не нацелена на получение финансовой выгоды от казино, а занимается тайным кибершпионажем и кражей интеллектуальной собственности.
Используемая APT платформа для атаки называется GamePlayerFramework и представляет собой переписанную на C# вредоносную программу C++ PuppetLoader, включающая загрузчики полезной нагрузки, средства запуска вредоносных программ, плагины, модули удаленного доступа, кейлоггеры, похитители буфера обмена и многое другое.
Исследованные ЛК последние исполняемые файлы представляют собой 64-разрядные файлы .NET, но в обращении также находятся 32-разрядные исполняемые файлы и библиотеки DLL.
Фреймворк поддерживает Tifa и Yuna, которые разрабатываются отдельно и имеют разные уровни сложности и сложности.
После того, как он загружен на целевой компьютер, осуществляется подключение к серверу C2 и каждые 20 секунд происходит отправка зашифрованных с помощью XOR пакетов, содержащих имя пользователя жертвы, статус пользовательского сеанса, размер собранных журналов, а также текущую дату и время.
C2 может ответить набором из 15 команд, которые могут приказать платформе собрать дополнительные данные, выполнить команду в «cmd.exe», обновить конфигурацию C2 и загрузить новый плагин. Любые плагины, загруженные с C2, загружаются прямо в фреймворк, не касаясь диска, чтобы свести к минимуму вероятность обнаружения.
Их функции включают кражу файлов cookie из Chrome или Firefox, захват содержимого буфера обмена, установление сеансов виртуального рабочего стола, создание снимков экрана, выполнение переадресации портов и др.
Кроме того, Лаборатория Касперского также обнаружила, что DiceyF использует приложение с графическим интерфейсом, которое имитирует синхронизатор данных сотрудников Mango, который сбрасывает загрузчики Yuna в сети организации. Доставляется через фишинговые электронные письма как установщик приложения безопасности.
Приложение подключается к той же инфраструктуре C2, что и GamePlayerFramework, и извлекает данные ОС, системы, сети и данные мессенджера Mango.
Ресерчеры отмечают, что код постоянно меняется, и его версии отражают полупрофессиональное управление модификациями кодовой базы. Со временем АРТ добавила поддержку библиотеки Newtonsoft JSON, улучшенное ведение журнала и шифрование для него.
Чтобы сделать этот инструмент еще более скрытным от решений безопасности, злоумышленники подписали его украденным действительным цифровым сертификатом, который также используется для платформы.
По мнению ресерчеров, у кампаний DiceyF и TTP есть много интересных характеристик. Группа со временем изменяет свою кодовую базу и развивает функциональность в коде во время своих вторжений.
Желающие могут наглядно ознакомиться с результатами исследования в видеопрезентации.
Securelist
DiceyF deploys GamePlayerFramework in online casino development studio
In this report we provide technical analysis of the GamePlayerFramework deployed by an APT we call DiceyF, which is targeting online casinos in Southeast Asia.
Forwarded from SecurityLab.ru
Минпромторг РФ просит промышленность отказаться от иностранных мессенджеров
— Минпромторг РФ направил руководителями промышленных предприятий обращение с просьбой отказаться от использования иностранных мессенджеров и систем видеоконференцсвязи для служебных целей.
— Для обеспечения кибербезопасности министерство предлагает прекратить использование в работе как на компьютерах, так и на смартфонах таких популярных мессенджеров и систем ВКС, как Zoom, Skype и WhatsApp.
— В качестве альтернативы ведомство предлагает сервисы российских разработчиков, состоящих в реестре отечественного ПО.
— В реестре российского софта зарегистрировано 258 коммуникационных программных продуктов, у 74 из них соответствующий код классификатора указан основным. Среди мессенджеров и программ видеосвязи, включенных в реестр, - "Яндекс.Мессенджер" и "Яндекс.Телемост", Jazz (разработан "Сбером"), TrueConf, "Контур.Толк", ICQ и "ТамТам", а также "VK мессенджер" (представлен в реестре в составе решений "ВК Экосистема").
https://www.securitylab.ru/news/534430.php
— Минпромторг РФ направил руководителями промышленных предприятий обращение с просьбой отказаться от использования иностранных мессенджеров и систем видеоконференцсвязи для служебных целей.
— Для обеспечения кибербезопасности министерство предлагает прекратить использование в работе как на компьютерах, так и на смартфонах таких популярных мессенджеров и систем ВКС, как Zoom, Skype и WhatsApp.
— В качестве альтернативы ведомство предлагает сервисы российских разработчиков, состоящих в реестре отечественного ПО.
— В реестре российского софта зарегистрировано 258 коммуникационных программных продуктов, у 74 из них соответствующий код классификатора указан основным. Среди мессенджеров и программ видеосвязи, включенных в реестр, - "Яндекс.Мессенджер" и "Яндекс.Телемост", Jazz (разработан "Сбером"), TrueConf, "Контур.Толк", ICQ и "ТамТам", а также "VK мессенджер" (представлен в реестре в составе решений "ВК Экосистема").
https://www.securitylab.ru/news/534430.php
SecurityLab.ru
Минпромторг РФ просит промышленность отказаться от иностранных мессенджеров
Эта мера необходима для обеспечения безопасности информации, не составляющей гостайну.
Китайская хакерская группировка Winnti в очередной раз была замечена в шпионаже против правительственных учреждений Гонконга.
Цепочку атак обнаружили исследователи из Symantec, которые достаточно давно отслеживают Winnti (также известную как APT41) и по заявлению специалистов в ряде случаев хакерам удавалось оставаться незамеченными в течение года.
Symantec возложил ответственность на APT41 за атаки на Гонконг по причине того, что злоумышленник использовал специальное вредоносное ПО под названием Spyder Loader, которое ранее приписывалось группе.
В мае 2022 года исследователи из Cybereason писали о кампании CuckooBees, которая проводилась с 2019 года с акцентом на высокотехнологичные и производственные предприятия в Северной Америке, Восточной Азии и Западной Европе.
В отчете Symantec отмечается, что есть признаки того, что недавно обнаруженная деятельность в Гонконге является частью той же операции, только целями Winnti в этот раз являлись правительственные учреждения в особом административном районе.
Во время операции CuckooBees как раз таки использовалась новая версия бэкдора Spyder Loader, которую хакеры продолжают развивать и в зависимости от ситуации разварачивать несколько вариантов вредоносного ПО на целях с одинаковыми функциями.
Кроме того, в последних кампания аналитики Symantec наблюдали за развертыванием малвари для извлечения паролей Mimikatz, что позволяло злоумышленнику глубже проникнуть в сеть жертвы.
Также, исследователи обнаружили протрояненный ZLib DLL с несколькими вредоносными загрузками, одна из которых, ожидала связи с C2, а другая загружала полезную нагрузку из предоставленного имени файла в командной строке.
Хотя Symantec не смогла получить окончательную полезную нагрузку, но похоже, что целью последней кампании APT41 был сбор разведывательных данных от критически важных организаций в Гонконге.
Цепочку атак обнаружили исследователи из Symantec, которые достаточно давно отслеживают Winnti (также известную как APT41) и по заявлению специалистов в ряде случаев хакерам удавалось оставаться незамеченными в течение года.
Symantec возложил ответственность на APT41 за атаки на Гонконг по причине того, что злоумышленник использовал специальное вредоносное ПО под названием Spyder Loader, которое ранее приписывалось группе.
В мае 2022 года исследователи из Cybereason писали о кампании CuckooBees, которая проводилась с 2019 года с акцентом на высокотехнологичные и производственные предприятия в Северной Америке, Восточной Азии и Западной Европе.
В отчете Symantec отмечается, что есть признаки того, что недавно обнаруженная деятельность в Гонконге является частью той же операции, только целями Winnti в этот раз являлись правительственные учреждения в особом административном районе.
Во время операции CuckooBees как раз таки использовалась новая версия бэкдора Spyder Loader, которую хакеры продолжают развивать и в зависимости от ситуации разварачивать несколько вариантов вредоносного ПО на целях с одинаковыми функциями.
Кроме того, в последних кампания аналитики Symantec наблюдали за развертыванием малвари для извлечения паролей Mimikatz, что позволяло злоумышленнику глубже проникнуть в сеть жертвы.
Также, исследователи обнаружили протрояненный ZLib DLL с несколькими вредоносными загрузками, одна из которых, ожидала связи с C2, а другая загружала полезную нагрузку из предоставленного имени файла в командной строке.
Хотя Symantec не смогла получить окончательную полезную нагрузку, но похоже, что целью последней кампании APT41 был сбор разведывательных данных от критически важных организаций в Гонконге.
Security
Spyder Loader: Malware Seen in Recent Campaign Targeting Organizations in Hong Kong
Activity appears to be a continuation of previously documented Operation CuckooBees campaign.
WordPress выпускает обновление, устранив 16 уязвимостей.
WordPress 6.0.3 исправляет девять уязвимостей межсайтового скриптинга (XSS), открытых перенаправлений, раскрытия данных, подделки межсайтовых запросов (CSRF) и SQL-инъекций.
Как отметили в Defiant, четыре из них имеют рейтинг высокой степени серьезности, остальные - средний или низкий уровень.
По мнению ресерчеров, ошибки вряд ли получат как массовые эксплойты, но некоторые из них могут позволить высококлассным хакерам таргетироваться на значимые сайты в ходе целевых атак.
Одной из уязвимостей с высокой степенью серьезности является проблема XSS, которую может использовать, отправив сообщения с вредоносным кодом JavaScript на веб-сайт по электронной почте.
Код будет выполняться после доступа к вредоносному сообщению.
Другим серьезным недостатком является отраженный XSS, который может быть использован для RCE злоумышленником, не прошедшим проверку подлинности, с помощью специально созданного поискового запроса в медиатеке.
Эксплуатация требует взаимодействия с пользователем, а создать полезную нагрузку достаточно сложно.
Однако Defiant считает, что как раз эта бага может стать наиболее востребованной, поскольку злоумышленнику не нужно проходить аутентификацию.
Третья проблема высокой степени серьезности — это SQL-инъекция, которая может быть реализована сторонним плагином или темой — само ядро WordPress не затрагивается.
Последней серьезной проблемой является ошибка CSRF, которую может использовать злоумышленник, не прошедший проверку подлинности, для запуска обратной связи от имени законного пользователя, но для успешной эксплуатации требуется социальная инженерия.
Веб-сайты WordPress, поддерживающие автоматическое фоновое обновление, будут автоматически исправлены.
В противном случае админам следует озаботиться этим вопросом, ведь согласно отчету Sucuri, на веб-сайты под управлением WordPress приходилось более 95% заражений CMS, и примерно треть содержала скиммеры.
WordPress 6.0.3 исправляет девять уязвимостей межсайтового скриптинга (XSS), открытых перенаправлений, раскрытия данных, подделки межсайтовых запросов (CSRF) и SQL-инъекций.
Как отметили в Defiant, четыре из них имеют рейтинг высокой степени серьезности, остальные - средний или низкий уровень.
По мнению ресерчеров, ошибки вряд ли получат как массовые эксплойты, но некоторые из них могут позволить высококлассным хакерам таргетироваться на значимые сайты в ходе целевых атак.
Одной из уязвимостей с высокой степенью серьезности является проблема XSS, которую может использовать, отправив сообщения с вредоносным кодом JavaScript на веб-сайт по электронной почте.
Код будет выполняться после доступа к вредоносному сообщению.
Другим серьезным недостатком является отраженный XSS, который может быть использован для RCE злоумышленником, не прошедшим проверку подлинности, с помощью специально созданного поискового запроса в медиатеке.
Эксплуатация требует взаимодействия с пользователем, а создать полезную нагрузку достаточно сложно.
Однако Defiant считает, что как раз эта бага может стать наиболее востребованной, поскольку злоумышленнику не нужно проходить аутентификацию.
Третья проблема высокой степени серьезности — это SQL-инъекция, которая может быть реализована сторонним плагином или темой — само ядро WordPress не затрагивается.
Последней серьезной проблемой является ошибка CSRF, которую может использовать злоумышленник, не прошедший проверку подлинности, для запуска обратной связи от имени законного пользователя, но для успешной эксплуатации требуется социальная инженерия.
Веб-сайты WordPress, поддерживающие автоматическое фоновое обновление, будут автоматически исправлены.
В противном случае админам следует озаботиться этим вопросом, ведь согласно отчету Sucuri, на веб-сайты под управлением WordPress приходилось более 95% заражений CMS, и примерно треть содержала скиммеры.
Исследователи из компании SOCRadar зафиксировали и сообщили об утечке конфиденциальной информации клиентов Microsoft, которая стала возможной благодаря неправильно настроенным серверам, доступным через Интернет.
Инцидент был выявлен 24 сентября 2022 года. Неправильная конфигурация привела к потенциальному доступу без проверки подлинности к некоторым данным бизнес-транзакций, связанных с взаимодействием между Microsoft и потенциальными клиентами.
Расследование не выявило никаких признаков того, что учетные записи или системы клиентов были скомпрометированы.
По данным Microsoft, раскрытая информация включает имена, адреса электронной почты, содержимое электронной почты, название компании и номера телефонов, а также корпоративные клиентские данные.
Редмонд добавил, что утечка была вызвана непреднамеренной неправильной настройкой конечной точки, которая не используется в экосистеме Microsoft, а не уязвимостью системы безопасности, после чего воздержалась от предоставления каких-либо дополнительных сведений.
В свою очередь, SOCRadar сообщил, что данные хранились в хранилище BLOB-объектовсообщили об содержащем конфиденциальную информацию в отношении 65 000 объектов из 111 стран, датированную с 2017 по август 2022 года.
Согласно ее анализу, утекшие данные включают в себя документы, подтверждающие выполнение (PoE) и техническое задание (SoW), информацию о пользователях, заказы/предложения продуктов, детали проекта, PII (личную информацию) данные и документы, которые могут раскрывать интеллектуальную собственность.
Microsoft в ответ возразила и добавила, что, по ее мнению, SOCRadar сильно преувеличила масштабы и цифры этой проблемы.
Но SOCRadar добила Ремонд, сообщив, что только на сервере было обнаружено 2,4 ТБ данных, содержащих конфиденциальную информацию, с более чем 335 000 электронных писем, 133 000 проектов и 548 000 незащищенных пользователей
Кроме того, Редмонд крайне возмущен решением SOCRadar собрать данные и сделать их доступными для поиска с помощью специального поискового портала BlueBleed также не отвечает интересам обеспечения конфиденциальности или безопасности клиентов и потенциально подвергает их ненужному риску.
Инцидент был выявлен 24 сентября 2022 года. Неправильная конфигурация привела к потенциальному доступу без проверки подлинности к некоторым данным бизнес-транзакций, связанных с взаимодействием между Microsoft и потенциальными клиентами.
Расследование не выявило никаких признаков того, что учетные записи или системы клиентов были скомпрометированы.
По данным Microsoft, раскрытая информация включает имена, адреса электронной почты, содержимое электронной почты, название компании и номера телефонов, а также корпоративные клиентские данные.
Редмонд добавил, что утечка была вызвана непреднамеренной неправильной настройкой конечной точки, которая не используется в экосистеме Microsoft, а не уязвимостью системы безопасности, после чего воздержалась от предоставления каких-либо дополнительных сведений.
В свою очередь, SOCRadar сообщил, что данные хранились в хранилище BLOB-объектовсообщили об содержащем конфиденциальную информацию в отношении 65 000 объектов из 111 стран, датированную с 2017 по август 2022 года.
Согласно ее анализу, утекшие данные включают в себя документы, подтверждающие выполнение (PoE) и техническое задание (SoW), информацию о пользователях, заказы/предложения продуктов, детали проекта, PII (личную информацию) данные и документы, которые могут раскрывать интеллектуальную собственность.
Microsoft в ответ возразила и добавила, что, по ее мнению, SOCRadar сильно преувеличила масштабы и цифры этой проблемы.
Но SOCRadar добила Ремонд, сообщив, что только на сервере было обнаружено 2,4 ТБ данных, содержащих конфиденциальную информацию, с более чем 335 000 электронных писем, 133 000 проектов и 548 000 незащищенных пользователей
Кроме того, Редмонд крайне возмущен решением SOCRadar собрать данные и сделать их доступными для поиска с помощью специального поискового портала BlueBleed также не отвечает интересам обеспечения конфиденциальности или безопасности клиентов и потенциально подвергает их ненужному риску.
SOCRadar® Cyber Intelligence Inc.
Sensitive Data of 65,000+ Entities in 111 Countries Leaked due to a Single Misconfigured Data Bucket
SOCRadar has detected that sensitive data of 65,000 entities became public because of a misconfigured server. The leak includes Proof-of-Execution (PoE) and
SafeBreach обнаружили новый бэкдор PowerShell, который маскируется под процесс обновления Windows, оставаясь полностью незамеченным.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
SafeBreach
SafeBreach Uncovers Fully Undetectable PowerShell Backdoor | New Research
SafeBreach Labs discovered a novel, fully undetectable PowerShell backdoor disguised as part of the Windows update process.
Lapsus$ продолжают кошмарить бизнес, а силовики продолжают потрошить их структуру.
На днях Бразильская федеральная полиция арестовала подозреваемого в Фейра-де-Сантана, штат Баия, который, как считается, был членом банды вымогателей Lapsus$.
Он был задержан после стартовавшего в декабре 2021 года расследования, когда жертвой вымогателей стало Министерство здравоохранения Бразилии.
В результате инцидента Lapsus$ удалили файлы и отдефейсили веб-сайт Министерства здравоохранения, заявив таким образом о своей причастности ко взлому.
Расследование стало частью глобальной операции Dark Cloud, направленной на установление и поимку участников хакерского картеля, который стоит за многочисленными кибератаками на бразильские правительственные учреждения с конца прошлого года.
Помимо Минздрава, группа также атаковала десятки других органов и организаций Бразилии, включая Министерство экономики, Генерального контролера и Федеральную дорожную полицию.
Помимо компьютерных преступлений, хакерам вменяются нарушения закона о детях и легализация преступных средств.
Ранее британские полицейские провели два рейда, в результате которых им удалось в марте арестовать семь пособников группировки, а позже 2 апреля и еще одного 17-летнего подростка, предположительно стоящего за взломом Uber.
Тем временем Lapsus$ уже удалось добиться серьезных результатов, взломав известные технологические компании по всему миру, включая Microsoft, Nvidia, Samsung, Ubisoft, Okta, Vodafone и Mercado.
Во многих случаях группа также сливала закрытый исходный код и проприетарные данные, украденные у жертв, что приводило к массовым утечкам данных.
Считается, что большинство участников Lapsus$ - это подростки, движимые не финансовыми мотивами, а главным образом, стремлением сделать себе имя и репутация на хакерской среде.
Вместе с тем, до сих пор неясно, сколько в команде Lapsus$ активных членов, но предполагается, что группировка успела обзавестись сетью операторов по всему миру.
На днях Бразильская федеральная полиция арестовала подозреваемого в Фейра-де-Сантана, штат Баия, который, как считается, был членом банды вымогателей Lapsus$.
Он был задержан после стартовавшего в декабре 2021 года расследования, когда жертвой вымогателей стало Министерство здравоохранения Бразилии.
В результате инцидента Lapsus$ удалили файлы и отдефейсили веб-сайт Министерства здравоохранения, заявив таким образом о своей причастности ко взлому.
Расследование стало частью глобальной операции Dark Cloud, направленной на установление и поимку участников хакерского картеля, который стоит за многочисленными кибератаками на бразильские правительственные учреждения с конца прошлого года.
Помимо Минздрава, группа также атаковала десятки других органов и организаций Бразилии, включая Министерство экономики, Генерального контролера и Федеральную дорожную полицию.
Помимо компьютерных преступлений, хакерам вменяются нарушения закона о детях и легализация преступных средств.
Ранее британские полицейские провели два рейда, в результате которых им удалось в марте арестовать семь пособников группировки, а позже 2 апреля и еще одного 17-летнего подростка, предположительно стоящего за взломом Uber.
Тем временем Lapsus$ уже удалось добиться серьезных результатов, взломав известные технологические компании по всему миру, включая Microsoft, Nvidia, Samsung, Ubisoft, Okta, Vodafone и Mercado.
Во многих случаях группа также сливала закрытый исходный код и проприетарные данные, украденные у жертв, что приводило к массовым утечкам данных.
Считается, что большинство участников Lapsus$ - это подростки, движимые не финансовыми мотивами, а главным образом, стремлением сделать себе имя и репутация на хакерской среде.
Вместе с тем, до сих пор неясно, сколько в команде Lapsus$ активных членов, но предполагается, что группировка успела обзавестись сетью операторов по всему миру.
Polícia Federal
PF prende brasileiro suspeito de integrar organização criminosa internacional
Homem seria integrante do Lapsus Group, responsável por ataques cibernéticos a diversos órgãos governamentais
͏Ресерчеры Cybernews обнаружили, что почти два миллиона папок .git, содержащих потенциально важную информацию о проектах, находятся в открытом доступе.
Git — это самая популярная распределенная система контроля версий (VCS) с открытым исходным кодом, разработанная почти 20 лет назад, координирует работу программистов, разрабатывающих исходный код, и позволяет отслеживать изменения.
Папка .git содержит важную информацию о проектах, включая адреса удаленных репозиториев, журналы истории коммитов и другие метаданные, которые при наличии их в открытом доступе могут привести к раскрытию исходного кода, киберинцидентам и уязвимостям систем.
Несмотря на всю серьезность этой информации, недавнее исследование Интернет-протокола версии 4 (IPv4), проведенное Cybernews, в частности наиболее распространенных портов веб-служб 80 и 443, показало, что об этом не всегда заботятся должным образом.
Ресерчеры обнаружили 1 931 148 IP-адресов с работающими серверами, которые имели общедоступную структуру папок .git.
Инструменты, необходимые для получения частей или полного исходного кода из папки .git, доступны и хорошо известны, что может привести к еще большему количеству внутренних утечек или более легкому доступу к системе для злоумышленника.
Более 31% общедоступных папок .git находятся в США, за ними следуют Китай (8%) и Германия (6,5%), Россия также не далеко ушла лидеров антирейтинга.
Копнув немного глубже, Cybernews обнаружили, что около 6,3% открытых файлов конфигурации .git имеют учетные данные для развертывания в самом файле конфигурации.
Злоумышленники могут использовать их для просмотра (доступа, загрузки, передачи) всех репозиториев, что открывает еще больше возможностей для размещения вредоносной рекламы, изменения контента и скимминга.
Разработчикам необходимо использовать файл .gitignore, сообщающийCybernews какие файлы следует игнорировать при фиксации проекта в репозиторий GitHub. В общем, никогда не рекомендуется фиксировать что-либо конфиденциальное, даже в частных репозиториях.
Git — это самая популярная распределенная система контроля версий (VCS) с открытым исходным кодом, разработанная почти 20 лет назад, координирует работу программистов, разрабатывающих исходный код, и позволяет отслеживать изменения.
Папка .git содержит важную информацию о проектах, включая адреса удаленных репозиториев, журналы истории коммитов и другие метаданные, которые при наличии их в открытом доступе могут привести к раскрытию исходного кода, киберинцидентам и уязвимостям систем.
Несмотря на всю серьезность этой информации, недавнее исследование Интернет-протокола версии 4 (IPv4), проведенное Cybernews, в частности наиболее распространенных портов веб-служб 80 и 443, показало, что об этом не всегда заботятся должным образом.
Ресерчеры обнаружили 1 931 148 IP-адресов с работающими серверами, которые имели общедоступную структуру папок .git.
Инструменты, необходимые для получения частей или полного исходного кода из папки .git, доступны и хорошо известны, что может привести к еще большему количеству внутренних утечек или более легкому доступу к системе для злоумышленника.
Более 31% общедоступных папок .git находятся в США, за ними следуют Китай (8%) и Германия (6,5%), Россия также не далеко ушла лидеров антирейтинга.
Копнув немного глубже, Cybernews обнаружили, что около 6,3% открытых файлов конфигурации .git имеют учетные данные для развертывания в самом файле конфигурации.
Злоумышленники могут использовать их для просмотра (доступа, загрузки, передачи) всех репозиториев, что открывает еще больше возможностей для размещения вредоносной рекламы, изменения контента и скимминга.
Разработчикам необходимо использовать файл .gitignore, сообщающийCybernews какие файлы следует игнорировать при фиксации проекта в репозиторий GitHub. В общем, никогда не рекомендуется фиксировать что-либо конфиденциальное, даже в частных репозиториях.
Вагон и маленькую тележку ежеквартальных обновлений анонсировал IT-гигант Oracle и объявил о выпуске 370 исправлений.
Только за октябрь 2022 года обновления устраняют более 50 критических уязвимостей. Более 200 исправлений устраняют недостатки, которые можно использовать удаленно без аутентификации.
Рекорд по исправленным недостаткам поставил корпоративный продукт Oracle Communications, получивший наибольшее количество новых исправлений — 74. Из устраненных дефектов безопасности 64 можно использовать удаленно без проверки подлинности, а 19 оценили как "критически серьезные".
Вторым рекордсменом стало приложение Fusion Middleware с 56 новыми исправлениями безопасности, в числе которых 43 недостатка можно использовать удаленно без аутентификации, а 9 оцениваются как "критические".
В этом месяце в MySQL пофиксили 37 ошибок (11 удаленно эксплуатируемых ошибок без проверки подлинности). В категории приложений Retail и Communications исправлено по 27 недостатков, а приложения Financial Services получили 24 исправления.
Oracle также выпустила множество исправлений для Siebel CRM, Supply Chain, JD Edwards, Virtualization, Java SE, PeopleSoft, Systems и Database Server.
Октябрьский патч также содержит исправления для Communications Data Model, GoldenGate, Secure Backup, Commerce, Construction and Engineering, E-Business Suite, Enterprise Manager, HealthCare Applications, Hospitality Applications, Hyperion, Insurance Applications, and Utilities Applications.
Продукты Oracle, такие как Airlines Data Model, Big Data Graph, NoSQL Database, SQL Developer и TimesTen In-Memory Database, не получили новых исправлений безопасности, но софтверный гигант выпустил для них сторонние исправления.
Традиционно Oracle предупреждает о попытках злоумышленников использовать незакрытые уязвимости, для которых доступны обновления, призывая клиентов как можно скорее установить доступные патчи.
Кроме того, в компании сообщили, что ими неоднократно фиксировались факты когда злоумышленники добивались успеха, по причине того, что клиенты не применили доступные исправления Oracle своевременно.
Только за октябрь 2022 года обновления устраняют более 50 критических уязвимостей. Более 200 исправлений устраняют недостатки, которые можно использовать удаленно без аутентификации.
Рекорд по исправленным недостаткам поставил корпоративный продукт Oracle Communications, получивший наибольшее количество новых исправлений — 74. Из устраненных дефектов безопасности 64 можно использовать удаленно без проверки подлинности, а 19 оценили как "критически серьезные".
Вторым рекордсменом стало приложение Fusion Middleware с 56 новыми исправлениями безопасности, в числе которых 43 недостатка можно использовать удаленно без аутентификации, а 9 оцениваются как "критические".
В этом месяце в MySQL пофиксили 37 ошибок (11 удаленно эксплуатируемых ошибок без проверки подлинности). В категории приложений Retail и Communications исправлено по 27 недостатков, а приложения Financial Services получили 24 исправления.
Oracle также выпустила множество исправлений для Siebel CRM, Supply Chain, JD Edwards, Virtualization, Java SE, PeopleSoft, Systems и Database Server.
Октябрьский патч также содержит исправления для Communications Data Model, GoldenGate, Secure Backup, Commerce, Construction and Engineering, E-Business Suite, Enterprise Manager, HealthCare Applications, Hospitality Applications, Hyperion, Insurance Applications, and Utilities Applications.
Продукты Oracle, такие как Airlines Data Model, Big Data Graph, NoSQL Database, SQL Developer и TimesTen In-Memory Database, не получили новых исправлений безопасности, но софтверный гигант выпустил для них сторонние исправления.
Традиционно Oracle предупреждает о попытках злоумышленников использовать незакрытые уязвимости, для которых доступны обновления, призывая клиентов как можно скорее установить доступные патчи.
Кроме того, в компании сообщили, что ими неоднократно фиксировались факты когда злоумышленники добивались успеха, по причине того, что клиенты не применили доступные исправления Oracle своевременно.
На фоне охватившей Европу антироссийской истерии, почти в каждом ЧП первым делом спешат обвинить во всем Россию, а уже потом разбираться в ситуации.
Так и случилось на прошлой неделе, когда был поврежден подводный кабель связи в Шотландии.
Полиция Шотландии заявила, что сигнал по линии связи SHEFA-2 между Фарерскими островами, Шетландскими островами и Шотландией была прерван рано утром в четверг.
Из-за разрыва прямого подводного кабеля, соединяющего Шетландские острова с материковой частью Шотландии, стали недоступны некоторые телефонные, широкополосные и мобильные услуги.
В результате чего 22 000 человек субарктического архипелага остались без связи.
По аналогии с инцидентом на Северном потоке первым делом у расследовавших возникли опасения, что срыв мог быть преднамеренным саботажем.
Однако управляющий директор NET, дочерней компании Faroese Telecom, Палл Хойгаард Вестурбу после изучения ситуации сделал заявление о том, что обрыв подводного кабеля произошел по вине рыболовного суда, как это случалось и ранее в 2013 году.
Главное, в ходе следственных действий не выйти на самих себя… Так что там с Северным потоком?
Так и случилось на прошлой неделе, когда был поврежден подводный кабель связи в Шотландии.
Полиция Шотландии заявила, что сигнал по линии связи SHEFA-2 между Фарерскими островами, Шетландскими островами и Шотландией была прерван рано утром в четверг.
Из-за разрыва прямого подводного кабеля, соединяющего Шетландские острова с материковой частью Шотландии, стали недоступны некоторые телефонные, широкополосные и мобильные услуги.
В результате чего 22 000 человек субарктического архипелага остались без связи.
По аналогии с инцидентом на Северном потоке первым делом у расследовавших возникли опасения, что срыв мог быть преднамеренным саботажем.
Однако управляющий директор NET, дочерней компании Faroese Telecom, Палл Хойгаард Вестурбу после изучения ситуации сделал заявление о том, что обрыв подводного кабеля произошел по вине рыболовного суда, как это случалось и ранее в 2013 году.
Главное, в ходе следственных действий не выйти на самих себя… Так что там с Северным потоком?
The Record
Fishing vessel, not sabotage, to blame for Shetland Island submarine cable cut
Damage to a submarine cable which cut connectivity Thursday to the remote Shetland Islands north of Scotland is believed to have been accidentally caused by a fishing vessel and not sabotage.
F5 выпустила ежеквартальные исправления, информируя клиентов об устранении 18 уязвимостей, затрагивающих ее продукты.
Десяти уязвимостям был присвоен рейтинг высокой степени серьезности.
Одной из них является аутентифицированная RCE-уязвимость, затрагивающая системы, развернутые в стандартном режиме или в режиме устройства.
Проблема имеет критическую оценку, если активирован режим устройства. Злоумышленник с повышенными привилегиями может использовать багу для запуска произвольных системных команд, создания или удаления файлов или отключения служб.
Большинство других уязвимостей высокой степени серьезности могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, запустить атаку типа DoS.
Кроме того, три из рекомендаций связаны с модулями NGINX и описывают недостатки, которые могут позволить локальному злоумышленнику вызвать завершение рабочего процесса NGINX.
Рейтинг высокой степени серьезности также был присвоен уязвимости F5OS, которую можно использовать для повышения привилегий.
Следующие ежеквартальные обновления F5 запланированы на 1 февраля 2023 года. В двух предыдущих ежеквартальных уведомлениях, выпущенных в мае и августе, сообщалось о 50 и 21 уязвимости соответственно.
Пользователям BIG-IP не следует игнорировать эти исправления, поскольку известно, что злоумышленники нацелены на уязвимые продукты.
Самым последним примером является CVE-2022-1388, которая в начале этого года подверглась массовой эксплуатации, и некоторые хакеры использовали ее для вывода из строя устройств BIG-IP.
Десяти уязвимостям был присвоен рейтинг высокой степени серьезности.
Одной из них является аутентифицированная RCE-уязвимость, затрагивающая системы, развернутые в стандартном режиме или в режиме устройства.
Проблема имеет критическую оценку, если активирован режим устройства. Злоумышленник с повышенными привилегиями может использовать багу для запуска произвольных системных команд, создания или удаления файлов или отключения служб.
Большинство других уязвимостей высокой степени серьезности могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, запустить атаку типа DoS.
Кроме того, три из рекомендаций связаны с модулями NGINX и описывают недостатки, которые могут позволить локальному злоумышленнику вызвать завершение рабочего процесса NGINX.
Рейтинг высокой степени серьезности также был присвоен уязвимости F5OS, которую можно использовать для повышения привилегий.
Следующие ежеквартальные обновления F5 запланированы на 1 февраля 2023 года. В двух предыдущих ежеквартальных уведомлениях, выпущенных в мае и августе, сообщалось о 50 и 21 уязвимости соответственно.
Пользователям BIG-IP не следует игнорировать эти исправления, поскольку известно, что злоумышленники нацелены на уязвимые продукты.
Самым последним примером является CVE-2022-1388, которая в начале этого года подверглась массовой эксплуатации, и некоторые хакеры использовали ее для вывода из строя устройств BIG-IP.
Forwarded from Борьба с киберпреступностью | F6
#отчет #OldGremlin #ransomware
👿Никогда не кормите гремлинов после полуночи.
Впервые о группировке OldGremlin мы рассказывали еще в 2020-м году, и вот она снова в центре внимания. Сегодня Group-IB представляет новый отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", в котором проанализированы 16 вредоносных кампаний, которые "гремлины" провели за эти два с половиной года.
📍Аппетиты группировки бьют рекорды: если в 2021 году OldGremlin требовали у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб.
📍Среди жертв "гремлинов" — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
📍Как и большинство "классических" вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма.
Новый отчет Group-IB "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес" содержит подробную информацию об актуальных техниках, тактиках и процедурах атакующих (TTPs), а также полный цикл атаки (Kill Chain) "гремлинов". Скачать👈
Кстати, гремлина на обложке отчета сгенерировала нейросеть Midjourney🤖
👿Никогда не кормите гремлинов после полуночи.
Впервые о группировке OldGremlin мы рассказывали еще в 2020-м году, и вот она снова в центре внимания. Сегодня Group-IB представляет новый отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", в котором проанализированы 16 вредоносных кампаний, которые "гремлины" провели за эти два с половиной года.
📍Аппетиты группировки бьют рекорды: если в 2021 году OldGremlin требовали у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб.
📍Среди жертв "гремлинов" — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
📍Как и большинство "классических" вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма.
Новый отчет Group-IB "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес" содержит подробную информацию об актуальных техниках, тактиках и процедурах атакующих (TTPs), а также полный цикл атаки (Kill Chain) "гремлинов". Скачать👈
Кстати, гремлина на обложке отчета сгенерировала нейросеть Midjourney🤖
Закономерно после появления PoC для Text4Shell, отслеживаемой как CVE-2022-42889, начались первые атаки с использованием новой уязвимости Apache Commons Text.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Wordfence
Threat Advisory: Monitoring CVE-2022-42889 "Text4Shell" Exploit Attempts
On October 17, 2022, the Wordfence Threat Intelligence team began monitoring for activity targeting CVE-2022-42889, or “Text4Shell” on our network of 4 million websites. We started seeing activity targeting this vulnerability on October 18, 2022. Text4Shell…
Очередная резня и разборки с Google по поводу того, что они собирают биометрические данные без надлежащего на то согласия.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
The Texas Tribune
Texas Attorney General Ken Paxton sues Google for compiling Texans’ biometric data
The lawsuit, filed Thursday, claims Google illegally collects and indefinitely stores information about Texans’ facial geometry and voiceprints without their consent, even if they’re not the ones usi…
Forwarded from Social Engineering
🛡 Создаём свой собственный VPN WireGuard на Raspberry Pi.
• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
🖖🏻 Приветствую тебя user_name.
• В начале неделе была опубликована статья, в которой описывается бесплатный способ реализации личного прокси-сервера #Shadowsocks . Сегодня предлагаю продолжить данное направление и ознакомиться с полезным материалом по созданию собственного VPN WireGuard на Raspberry Pi.• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
Группа хактивистов, называющая себя Black Reward, взяла на себя ответственность за взлом Организации по атомной энергии Ирана, опубликовав более 50 ГБ данных.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Не менее громкими стали и недавние ransomware-атаки.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
LA NACION
Detectan un “virus malicioso” en el sistema informático del Estado Mayor Conjunto de las Fuerzas Armadas
El organismo militar confirmó el “ciberincidente” en la red de datos, que obligó a desconectar los servidores del máximo organismo militar del país; hace un mes se produjo un golpe similar en las Fuerzas Armadas de Chile
Эксплуатируемая 0-day в Windows позволяет злоумышленникам использовать вредоносные автономные файлы, подписанные Authenticode и с внесенными изменениями, для обхода предупреждений безопасности Mark-of-the-Web.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.