Fortinet пофиксили 16 уязвимостей в своих продуктах, включая шесть недостатков, которым была присвоена высокая степень серьезности.
Одна из таких проблем затрагивает FortiTester и позволяет аутентифицированному злоумышленнику выполнять команды с помощью специально созданных аргументов для существующих команд.
FortiSIEM подвержен уязвимости, которая позволяет локальному злоумышленнику с доступом к командной строке выполнять операции на сервере Glassfish напрямую с помощью жестко заданного пароля.
Остальные уязвимости высокой серьезности сохраняются и отражают ошибки межсайтового скриптинга (XSS).
Они влияют на FortiADC, FortiDeceptor, FortiManager и FortiAnalyzer. Некоторые из них можно использовать удаленно без аутентификации.
Уязвимости средней и низкой степени серьезности были исправлены в FortiOS, FortiTester, FortiSOAR, FortiMail, FortiEDR CollectorWindows, FortiClient для Mac и FortiADC.
Их можно использовать для повышения привилегий, XSS-атак, получения конфиденциальной информации, DoS-атак, обхода защиты, изменения настроек и выполнения произвольных команд.
Клиентам не следует пренебрегать рекомендациями разработчика, как в случае с CVE-2022-40684 в FortiOS, FortiProxy и FortiSwitchManager.
Она изначально использовалась в целевых атаках, а впоследствии были замечены массовые попытки эксплуатации. Ведь пользователи не спешили развертывать доступные исправления.
Одна из таких проблем затрагивает FortiTester и позволяет аутентифицированному злоумышленнику выполнять команды с помощью специально созданных аргументов для существующих команд.
FortiSIEM подвержен уязвимости, которая позволяет локальному злоумышленнику с доступом к командной строке выполнять операции на сервере Glassfish напрямую с помощью жестко заданного пароля.
Остальные уязвимости высокой серьезности сохраняются и отражают ошибки межсайтового скриптинга (XSS).
Они влияют на FortiADC, FortiDeceptor, FortiManager и FortiAnalyzer. Некоторые из них можно использовать удаленно без аутентификации.
Уязвимости средней и низкой степени серьезности были исправлены в FortiOS, FortiTester, FortiSOAR, FortiMail, FortiEDR CollectorWindows, FortiClient для Mac и FortiADC.
Их можно использовать для повышения привилегий, XSS-атак, получения конфиденциальной информации, DoS-атак, обхода защиты, изменения настроек и выполнения произвольных команд.
Клиентам не следует пренебрегать рекомендациями разработчика, как в случае с CVE-2022-40684 в FortiOS, FortiProxy и FortiSwitchManager.
Она изначально использовалась в целевых атаках, а впоследствии были замечены массовые попытки эксплуатации. Ведь пользователи не спешили развертывать доступные исправления.
Как стало известно, именно неудачное селфи подруги привело к аресту в Нидерландах украинца Марка Соколовского, предполагаемого автора Raccoon Stealer. Теперь софт товарища пытаются пристроить в дело его коллеги из Lockbit, о чем сообщили на XSS-форуме.
А между делом Lockbit успешно атаковали Тайваньские железные дороги, а также добавили Lincare в список жертв. Компания является крупнейшим поставщиков кислорода и услуг респираторной терапии, с доходом в 1 млрд. долл.
Команда Snatch добавила HENSOLDT France на DLS, которая является ведущей компанией в сфере оборонной промышленности, а Объединенное командование ВС Эквадора посетили Blackcat.
Одним из серьезных достижений Everest стала атака на крупнейшего оператора AT&T. Они взломали сеть и теперь продают к ней прямой доступ.
После двухмесячного перерыва LV пополнила свой DLS 10 новыми жертвами, одна из которых Grupo SIFU с доходом в 429 млн. дол. из Испании.
Вымогателей Yanluowang постигла участь Conti.
А между делом Lockbit успешно атаковали Тайваньские железные дороги, а также добавили Lincare в список жертв. Компания является крупнейшим поставщиков кислорода и услуг респираторной терапии, с доходом в 1 млрд. долл.
Команда Snatch добавила HENSOLDT France на DLS, которая является ведущей компанией в сфере оборонной промышленности, а Объединенное командование ВС Эквадора посетили Blackcat.
Одним из серьезных достижений Everest стала атака на крупнейшего оператора AT&T. Они взломали сеть и теперь продают к ней прямой доступ.
После двухмесячного перерыва LV пополнила свой DLS 10 новыми жертвами, одна из которых Grupo SIFU с доходом в 429 млн. дол. из Испании.
Вымогателей Yanluowang постигла участь Conti.
Forwarded from Social Engineering
🔖 S.E. Заметка. Полезные шпаргалки для ИБ специалистов.
• К слову, подсказки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачать свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.
• Basic Active Directory Domain Enumeration Cheat Sheet;
• Basic Active Directory Domain Enumeration Cheat Sheet2;
• Best of PowerShell;
• BloodHound Cheat Sheet;
• Burp Suite Cheat Sheet;
• Burp Suite Cheat Sheet2;
• Hacking Tools Cheat Sheet;
• Hacking Tools Cheat Sheet2;
• IPv4 Cheat Sheet;
• IPv4 Subnets;
• Incident Response;
• Incident Response2;
• John The Ripper;
• Kali Linux Cheat Sheet;
• Linux Command Line Cheat Sheet;
• Linux Commands with Denoscriptions;
• Linux Terminal Cheat Sheet;
• Log Parsing Cheat Sheet;
• Metasploit Cheat Sheet;
• Nessus and Nmap Cheat Sheet;
• Netcat Cheat Sheet;
• Network Topologies;
• Nikto Cheat Sheet;
• Nmap Cheat Sheet;
• Nmap Cheat Sheet2;
• Nmap Commands Cheat Sheet;
• OSI Layer Cheat Sheet;
• OSI Model Cheat Sheet;
• OSI Model and Cyber Attacks;
• PowerShell Cheat Sheet;
• SQLMap;
• SSH Common Commands;
• SSL TLS Handshake;
• Social Engineering Red Flags;
• TCP IP Cheat Sheet;
• TCP and UDP Common Ports;
• Windows Command Line;
• Wireshark Cheat Sheet;
• computer networking cheat sheet;
• network ports cheat sheet;
@S.E. #CheatSheet #ИБ
🖖🏻 Приветствую тебя user_name.• Добро пожаловать в рубрику "добавь в избранное". Сегодня будет неплохая подборка подсказок (в картинках) для начинающих #ИБ специалистов.
• К слову, подсказки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачать свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.
• Basic Active Directory Domain Enumeration Cheat Sheet;
• Basic Active Directory Domain Enumeration Cheat Sheet2;
• Best of PowerShell;
• BloodHound Cheat Sheet;
• Burp Suite Cheat Sheet;
• Burp Suite Cheat Sheet2;
• Hacking Tools Cheat Sheet;
• Hacking Tools Cheat Sheet2;
• IPv4 Cheat Sheet;
• IPv4 Subnets;
• Incident Response;
• Incident Response2;
• John The Ripper;
• Kali Linux Cheat Sheet;
• Linux Command Line Cheat Sheet;
• Linux Commands with Denoscriptions;
• Linux Terminal Cheat Sheet;
• Log Parsing Cheat Sheet;
• Metasploit Cheat Sheet;
• Nessus and Nmap Cheat Sheet;
• Netcat Cheat Sheet;
• Network Topologies;
• Nikto Cheat Sheet;
• Nmap Cheat Sheet;
• Nmap Cheat Sheet2;
• Nmap Commands Cheat Sheet;
• OSI Layer Cheat Sheet;
• OSI Model Cheat Sheet;
• OSI Model and Cyber Attacks;
• PowerShell Cheat Sheet;
• SQLMap;
• SSH Common Commands;
• SSL TLS Handshake;
• Social Engineering Red Flags;
• TCP IP Cheat Sheet;
• TCP and UDP Common Ports;
• Windows Command Line;
• Wireshark Cheat Sheet;
• computer networking cheat sheet;
• network ports cheat sheet;
@S.E. #CheatSheet #ИБ
Глобальная исследовательская и аналитическая группа GReAT Лаборатории Касперского уже более пяти лет публикует ежеквартальные отчеты об активности APT, которые считаются одними из самых авторитетных и емких в отрасли.
⚡️Последний отчет за третий квартал 2022 года теперь впервые также доступен и в формате видео 👇👇👇
⚡️Последний отчет за третий квартал 2022 года теперь впервые также доступен и в формате видео 👇👇👇
Хакеры атаковали австралийскую военную коммуникационную платформу ForceNet, попытавшись ее зарансомить.
Власти страны утверждают, что в результате инцидента чувствительные данные не были скомпрометированы.
По словам помощника министра обороны Мэтт Тистлтуэйт, на данном этапе нет никаких доказательств того, что какой-либо набор данных был скомпрометирован, отрицая напрочь факт взлома.
Однако сотрудники компании все же были проинформированы об утечке и проинструктированы о смене паролей.
При этом Австралийская радиовещательная корпорация также сообщила, что хакеры могли украсть личную информацию, такую как даты рождения солдат и данные о зачислении.
Новая беспрецедентная атака на учреждение в Австралии последовала за несколькими другими крупными взломами, ключаря телеком-гиганта Optus, крупнейшего медстраховщика Medibank.
Власти страны утверждают, что в результате инцидента чувствительные данные не были скомпрометированы.
По словам помощника министра обороны Мэтт Тистлтуэйт, на данном этапе нет никаких доказательств того, что какой-либо набор данных был скомпрометирован, отрицая напрочь факт взлома.
Однако сотрудники компании все же были проинформированы об утечке и проинструктированы о смене паролей.
При этом Австралийская радиовещательная корпорация также сообщила, что хакеры могли украсть личную информацию, такую как даты рождения солдат и данные о зачислении.
Новая беспрецедентная атака на учреждение в Австралии последовала за несколькими другими крупными взломами, ключаря телеком-гиганта Optus, крупнейшего медстраховщика Medibank.
Reuters
Ransomware hackers hit Australian defence communications platform
Hackers have targeted a communications platform used by Australian military personnel and defence staff with a ransomware attack, authorities said on Monday, as the country battles a recent spike in cyberattacks across businesses.
На прошлой неделе Cisco устранила ряд серьезных недостатков в приложениях для идентификации, электронной почты и веб-безопасности.
Самую серьезную уязвимость обнаружили и исправили в веб-интерфейсе управления Cisco Identity Services Engine (ISE).
ISE — это платформа управления политиками безопасности, которая обеспечивает безопасный доступ к сети для конечных пользователей и устройств.
Ошибка отслеживается как CVE-2022-20961, имеет оценку CVSS 8,8 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку с подделкой межсайтовых запросов (CSRF) с последующим выполнением произвольных команд на уязвимом устройстве.
Как пишут в рекомендациях, эта уязвимость связана с недостаточной защитой CSRF для веб-интерфейса управления уязвимого устройства. Злоумышленник может воспользоваться этой багой, убедив пользователя интерфейса перейти по вредоносной ссылке.
Успешная реализация такого сценария дает возможность злоумышленнику выполнять произвольные действия на уязвимом устройстве с привилегиями целевого пользователя.
Другая серьезная уязвимость CVE-2022-20956 (оценка CVSS 7,1) в том же ISE вызвана неправильным контролем доступа в веб-интерфейсе управления, где злоумышленник способен воспроизвести ошибку, отправив специально созданные HTTP-запросы на уязвимые устройства.
Успешная эксплуатация позволяет злоумышленнику получать список, загружать и удалять определенные файлы, к которым у него не должно быть доступа. Со слов Cisco PSIRT, в сети уже имеется экспериментальный кода эксплойта для этой уязвимости.
Также ИТ-гигант исправил уязвимость SQL Injection CVE-2022-20867 и уязвимость повышения привилегий CVE-2022-20868 в продуктах Cisco ESA, Cisco Secure Email и Web Manager Next Generation Management.
Помимо прочего Cisco пристально изучает потенциальное влияние пресловутых уязвимостей OpenSSL CVE-2022-3602 и CVE-2022-3786, о которых мы писали ранее.
Самую серьезную уязвимость обнаружили и исправили в веб-интерфейсе управления Cisco Identity Services Engine (ISE).
ISE — это платформа управления политиками безопасности, которая обеспечивает безопасный доступ к сети для конечных пользователей и устройств.
Ошибка отслеживается как CVE-2022-20961, имеет оценку CVSS 8,8 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку с подделкой межсайтовых запросов (CSRF) с последующим выполнением произвольных команд на уязвимом устройстве.
Как пишут в рекомендациях, эта уязвимость связана с недостаточной защитой CSRF для веб-интерфейса управления уязвимого устройства. Злоумышленник может воспользоваться этой багой, убедив пользователя интерфейса перейти по вредоносной ссылке.
Успешная реализация такого сценария дает возможность злоумышленнику выполнять произвольные действия на уязвимом устройстве с привилегиями целевого пользователя.
Другая серьезная уязвимость CVE-2022-20956 (оценка CVSS 7,1) в том же ISE вызвана неправильным контролем доступа в веб-интерфейсе управления, где злоумышленник способен воспроизвести ошибку, отправив специально созданные HTTP-запросы на уязвимые устройства.
Успешная эксплуатация позволяет злоумышленнику получать список, загружать и удалять определенные файлы, к которым у него не должно быть доступа. Со слов Cisco PSIRT, в сети уже имеется экспериментальный кода эксплойта для этой уязвимости.
Также ИТ-гигант исправил уязвимость SQL Injection CVE-2022-20867 и уязвимость повышения привилегий CVE-2022-20868 в продуктах Cisco ESA, Cisco Secure Email и Web Manager Next Generation Management.
Помимо прочего Cisco пристально изучает потенциальное влияние пресловутых уязвимостей OpenSSL CVE-2022-3602 и CVE-2022-3786, о которых мы писали ранее.
Cisco
Cisco Identity Services Engine Cross-Site Request Forgery Vulnerability
A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and perform arbitrary actions on an affected device.
This…
This…
LockBit продолжают знакомить крупные корпорации с ransomware.
В списке жертв 05 ноября оказалась ведущая консалтинговая компания Kearney & Company, предоставляющая аудиторские, консалтинговые и ИТ-услуги правительству США.
Вымогатели угрожают опубликовать украденные данные до 26 ноября 2022 года, если компания не заплатит выкуп. Опубликованный образец включает финансовые документы, контракты, аудиторские отчеты, платежные документы и многое другое.
LockBit требует 2 миллиона долларов за уничтожение украденных данных и 10 тысяч долларов за продление таймера еще на 24 часа.
Кроме того, банда взяла на себя ответственность за кибератаку на немецкий многонациональный автомобильный концерн Continental, которая имеет более 190 000 сотрудников в 58 странах и ежегодный объем продаж в 33,8 миллиарда евро.
До настоящего времени хакеры не предоставили подробностей инцидента и образцов эксфильтрованных в ходе взлома данных. Однако согласно пресс-релизу, Continental обнаружила вторжение в начале августа после того, как злоумышленники уже проникли в некоторые части ее ИТ-систем.
Руководство компании в лице вице-президента Кэтрин Блэквелл не подтверждает заявления LockBit и не комментируют инцидент, ссылаясь на продолжающееся расследование.
Тем временем в Дании в результате кибератаки на разработчика системы управления корпоративными активами железных дорог Supeo остановилось сообщение по всей стране.
По сообщению датской телекомпании DR, все поезда крупнейшей железнодорожной компании страны DSB в субботу утром остановились и не могли возобновить движение в течение нескольких часов. После отключения Supeo своих серверов часть ПО, используемого машинистами поездов, перестала работать.
Компания предоставляет мобильное приложение, которое машинисты поездов используют для доступа к критически важной оперативной информации, такой как ограничения скорости и информация о работе, выполняемой на железной дороге.
По всей видимости, Supeo подвергнулся атаке с использованием ransomware.
Компания не поделилась какой-либо информацией, но представитель DSB сообщил Reuters, что это «экономическое преступление», что указывает на предъявленные требования в рамках вымогательства.
Но будем посмотреть.
В списке жертв 05 ноября оказалась ведущая консалтинговая компания Kearney & Company, предоставляющая аудиторские, консалтинговые и ИТ-услуги правительству США.
Вымогатели угрожают опубликовать украденные данные до 26 ноября 2022 года, если компания не заплатит выкуп. Опубликованный образец включает финансовые документы, контракты, аудиторские отчеты, платежные документы и многое другое.
LockBit требует 2 миллиона долларов за уничтожение украденных данных и 10 тысяч долларов за продление таймера еще на 24 часа.
Кроме того, банда взяла на себя ответственность за кибератаку на немецкий многонациональный автомобильный концерн Continental, которая имеет более 190 000 сотрудников в 58 странах и ежегодный объем продаж в 33,8 миллиарда евро.
До настоящего времени хакеры не предоставили подробностей инцидента и образцов эксфильтрованных в ходе взлома данных. Однако согласно пресс-релизу, Continental обнаружила вторжение в начале августа после того, как злоумышленники уже проникли в некоторые части ее ИТ-систем.
Руководство компании в лице вице-президента Кэтрин Блэквелл не подтверждает заявления LockBit и не комментируют инцидент, ссылаясь на продолжающееся расследование.
Тем временем в Дании в результате кибератаки на разработчика системы управления корпоративными активами железных дорог Supeo остановилось сообщение по всей стране.
По сообщению датской телекомпании DR, все поезда крупнейшей железнодорожной компании страны DSB в субботу утром остановились и не могли возобновить движение в течение нескольких часов. После отключения Supeo своих серверов часть ПО, используемого машинистами поездов, перестала работать.
Компания предоставляет мобильное приложение, которое машинисты поездов используют для доступа к критически важной оперативной информации, такой как ограничения скорости и информация о работе, выполняемой на железной дороге.
По всей видимости, Supeo подвергнулся атаке с использованием ransomware.
Компания не поделилась какой-либо информацией, но представитель DSB сообщил Reuters, что это «экономическое преступление», что указывает на предъявленные требования в рамках вымогательства.
Но будем посмотреть.
Continental AG
Continental Informs – Cyberattack Averted
In a cyberattack, attackers infiltrated parts of Continental’s IT systems. The company detected the attack in early August and then averted it. Continental’s business activities have not been affected at any point.
Ресерчеры Zscaler ThreatLabz сообщили о новой кампании пакистанской APT-36 (ака Transparent Tribe, Operation C-Major и Mythic Leopard), нацеленной на индийские правительственные организации.
Хакеры злоупотребляют рекламой Google с целью распространения бэкдор-версий MFA-приложений Kavach.
АРТ была также замечена в проведении ограниченных фишинговых атак, маскируясь под официальные веб-сайты правительства Индии.
Злоумышленник не в первый раз таргетируется под Kavach - двухфакторную аутентификацию, которая по требованию правительства Индии обязательна доступа к службам электронной почты в доменах @gov.in и @nic.in.
Ранее в марте этого года ресечеры Cisco Talos уже наблюдали поддельные установщики Windows для Kavach в качестве приманки для заражения правительственных служащих с помощью CrimsonRAT и других артефактов.
В новой кампании использовалась уже проверенная тактика.
Злоумышленник зарегистрировал несколько новых доменов для размещения веб-страниц, замаскированных под официальный портал Kavach, а также использовал Google Ads для их продвижения в топ выдачи поисковика среди пользователей Индии по ключевым словам.
В среднем злоумышленник продвигал каждый веб-сайт в течение одного месяца, прежде чем переходить к следующему.
Кроме того, с мая 2022 года Transparent Tribe распространяет ПО Kavach с бэкдором через подконтрольные маркетплейсы приложений.
Причем они также занимают первые строчки в результатах поиска Google. Одним из таких примеров является магазин acmarketsapp[.]com.
Этот магазин приложений используется в качестве шлюза для перенаправления пользователей на домены, зарегистрированные злоумышленниками, на которых размещены версии приложения Kavach с бэкдором.
Ресерчеры отметили, что начиная с августа 2022 года, APT-36 усовершенствовала свои TTP, включив новые методы распространения и новые инструменты.
Пополнением в арсенале стал ранее недокументированный инструмент для эксфильтрации данных LimePad. Он распространяется как приложение на основе Python, упакованное в файл VHDX.
Основная цель этого нового инструмента — постоянно загружать любой новый интересующий файл с машины жертвы на сервер злоумышленника.
Он синхронизирует эту операцию по краже файлов между компьютером жертвы и сервером злоумышленника, поддерживая локальную пользовательскую базу данных SQLite.
Использование рекламы Google и LimePad указывает на последовательные попытки злоумышленника развивать и совершенствовать свой функционал.
APT-36 продолжает оставаться одной из самых активных угроз, нацеленных на индийский сегмент.
Хакеры злоупотребляют рекламой Google с целью распространения бэкдор-версий MFA-приложений Kavach.
АРТ была также замечена в проведении ограниченных фишинговых атак, маскируясь под официальные веб-сайты правительства Индии.
Злоумышленник не в первый раз таргетируется под Kavach - двухфакторную аутентификацию, которая по требованию правительства Индии обязательна доступа к службам электронной почты в доменах @gov.in и @nic.in.
Ранее в марте этого года ресечеры Cisco Talos уже наблюдали поддельные установщики Windows для Kavach в качестве приманки для заражения правительственных служащих с помощью CrimsonRAT и других артефактов.
В новой кампании использовалась уже проверенная тактика.
Злоумышленник зарегистрировал несколько новых доменов для размещения веб-страниц, замаскированных под официальный портал Kavach, а также использовал Google Ads для их продвижения в топ выдачи поисковика среди пользователей Индии по ключевым словам.
В среднем злоумышленник продвигал каждый веб-сайт в течение одного месяца, прежде чем переходить к следующему.
Кроме того, с мая 2022 года Transparent Tribe распространяет ПО Kavach с бэкдором через подконтрольные маркетплейсы приложений.
Причем они также занимают первые строчки в результатах поиска Google. Одним из таких примеров является магазин acmarketsapp[.]com.
Этот магазин приложений используется в качестве шлюза для перенаправления пользователей на домены, зарегистрированные злоумышленниками, на которых размещены версии приложения Kavach с бэкдором.
Ресерчеры отметили, что начиная с августа 2022 года, APT-36 усовершенствовала свои TTP, включив новые методы распространения и новые инструменты.
Пополнением в арсенале стал ранее недокументированный инструмент для эксфильтрации данных LimePad. Он распространяется как приложение на основе Python, упакованное в файл VHDX.
Основная цель этого нового инструмента — постоянно загружать любой новый интересующий файл с машины жертвы на сервер злоумышленника.
Он синхронизирует эту операцию по краже файлов между компьютером жертвы и сервером злоумышленника, поддерживая локальную пользовательскую базу данных SQLite.
Использование рекламы Google и LimePad указывает на последовательные попытки злоумышленника развивать и совершенствовать свой функционал.
APT-36 продолжает оставаться одной из самых активных угроз, нацеленных на индийский сегмент.
Zscaler
Indian Governmental Organizations Targeted by APT-36
Pakistan-based APT-36 returns with updated TTPs and a new data exfiltration tool called Limepad to target users in Indian government organizations.
Microsoft выкатился с новым 114-страничным отчетом о цифровой защите.
Технический гигант констатирует сокращение времени между объявлением об уязвимости и превращением ее в «товар», сетуя на всплеск атак с использованием 0-day со стороны криминальных киберструктур и АРТ для взлома целевых сред.
По мнению микромягких, виновниками такого положения дел следует считать Китай, принявший в 2021 году новое положение об отчетности об уязвимостях.
Оно определяет приоритет в информировании об ошибках госрегулятора до того, как они были переданы разработчикам продукта, что приведет к более широкому задействованию 0-day в шпионаже.
Перечитав отчет дважды, так и не нашли ничего про упоминание утечки Lost in Translation, в ходе которой была слита куча данных американской хакерской группы Equation, работающей под АНБ США, включая и эксплойты, а Microsoft молча устраняла уязвимости, не присваивая плашки CVE.
А что нашли - так это одни двойные стандарты.
Технический гигант констатирует сокращение времени между объявлением об уязвимости и превращением ее в «товар», сетуя на всплеск атак с использованием 0-day со стороны криминальных киберструктур и АРТ для взлома целевых сред.
По мнению микромягких, виновниками такого положения дел следует считать Китай, принявший в 2021 году новое положение об отчетности об уязвимостях.
Оно определяет приоритет в информировании об ошибках госрегулятора до того, как они были переданы разработчикам продукта, что приведет к более широкому задействованию 0-day в шпионаже.
Перечитав отчет дважды, так и не нашли ничего про упоминание утечки Lost in Translation, в ходе которой была слита куча данных американской хакерской группы Equation, работающей под АНБ США, включая и эксплойты, а Microsoft молча устраняла уязвимости, не присваивая плашки CVE.
А что нашли - так это одни двойные стандарты.
В США раскрыли личность хакера-миллиардер, укравшего 50 000 биткойнов с Silk Road, действовавшей в период с с 2011 по 2013 год и насчитывавшей более 100 000 участников.
Минюст штатов объявил об осуждении хакера Джеймса Чжуна, который посредством обнаружения и эксплуатации ошибки обработки вывода в системе транзакций в сентябре 2012 смог вывести внушительную сумму крипты с даркнет-площадки.
Чжун профинансировал девять разных счетов с первоначальным депозитом от 200 до 2000 биткойнов, а затем быстро инициировал 140 транзакций снятия средств. Хакер воспользовался задержкой в системе транзакций на рынке, что позволило кому-то несколько раз вывести свое условное депонирование.
Таким образом, Чжун обманом заставил систему выпустить 50 000 биткойнов, которые он затем перевел на разные кошельки, чтобы скрыть следы.
В ходе расследования хакер признал себя виновным в преступлениях по отмыванию денег, что и легко в основу обвинения, а силовикам удалось изъять 51 351,9 биткойнов на сумму более 3,3 миллиарда долларов в ноябре 2021 года.
В течение почти десяти лет таинственное исчезновение криптоактивов оставалось загадкой, но благодаря современным методам отслеживания криптовалюты в совокупности с хорошей оперской работой правоохранителям удалось найти все ответы и самого виновника.
Вооружившись ордером на обыск, силовики 9 ноября 2021 года обнаружили в доме Чжуна:
- 50 491 биткойн, спрятанный в сейфе на подземном этаже и на одноплатном компьютере, погруженном под одеяла в жестяную банку для попкорна в туалете;
- 11.12 биткойн;
- 661 900 долларов наличными;
- 25 монет Casascius стоимостью 174 биткойна;
- 4 серебряных слитка по 1 унции;
- 4 серебряных слитка по 10 унций;
- 3 золотых слитка по 1 унции;
- 1 золотую монету.
Кроме того, у хакера конфисковали почти все имущество, в том числе вложения в недвижимость и дополнительные цифровые активы, не связанные с уголовным производством.
В марте 2022 года Чжун добровольно сдал властям еще 825,4 биткойна, а в мае 2022 года — еще 35,5.
Приговор хакеру-миллиардеру будет оглашен 22 февраля 2023 года, при этом за мошенничество с использованием электронных средств ему грозит до 20 лет тюремного заключения.
Минюст штатов объявил об осуждении хакера Джеймса Чжуна, который посредством обнаружения и эксплуатации ошибки обработки вывода в системе транзакций в сентябре 2012 смог вывести внушительную сумму крипты с даркнет-площадки.
Чжун профинансировал девять разных счетов с первоначальным депозитом от 200 до 2000 биткойнов, а затем быстро инициировал 140 транзакций снятия средств. Хакер воспользовался задержкой в системе транзакций на рынке, что позволило кому-то несколько раз вывести свое условное депонирование.
Таким образом, Чжун обманом заставил систему выпустить 50 000 биткойнов, которые он затем перевел на разные кошельки, чтобы скрыть следы.
В ходе расследования хакер признал себя виновным в преступлениях по отмыванию денег, что и легко в основу обвинения, а силовикам удалось изъять 51 351,9 биткойнов на сумму более 3,3 миллиарда долларов в ноябре 2021 года.
В течение почти десяти лет таинственное исчезновение криптоактивов оставалось загадкой, но благодаря современным методам отслеживания криптовалюты в совокупности с хорошей оперской работой правоохранителям удалось найти все ответы и самого виновника.
Вооружившись ордером на обыск, силовики 9 ноября 2021 года обнаружили в доме Чжуна:
- 50 491 биткойн, спрятанный в сейфе на подземном этаже и на одноплатном компьютере, погруженном под одеяла в жестяную банку для попкорна в туалете;
- 11.12 биткойн;
- 661 900 долларов наличными;
- 25 монет Casascius стоимостью 174 биткойна;
- 4 серебряных слитка по 1 унции;
- 4 серебряных слитка по 10 унций;
- 3 золотых слитка по 1 унции;
- 1 золотую монету.
Кроме того, у хакера конфисковали почти все имущество, в том числе вложения в недвижимость и дополнительные цифровые активы, не связанные с уголовным производством.
В марте 2022 года Чжун добровольно сдал властям еще 825,4 биткойна, а в мае 2022 года — еще 35,5.
Приговор хакеру-миллиардеру будет оглашен 22 февраля 2023 года, при этом за мошенничество с использованием электронных средств ему грозит до 20 лет тюремного заключения.
www.justice.gov
U.S. Attorney Announces Historic $3.36 Billion Cryptocurrency Seizure
Мяса в Канаде не будет. По крайней мере в ближайшей перспективе.
В воскресенье у Maple Leaf Foods произошел сбой после кибератаки на выходных.
Maple Leaf Foods — крупнейший в Канаде производитель мясных полуфабрикатов и продуктов из птицы, располагающий 21 производственным предприятием, на котором работает 14 000 человек. В 2021 году объем продаж фирмы составил 3,3 миллиарда долларов.
Компания подтвердила киберинцидент, который привел к сбоям в работе предприятий. В настоящее время специалисты работают с экспертами по кибербезопасности и восстановлению, чтобы разрешить ситуацию как можно скорее, но им еще только предстоит определить все обстоятельства случившегося.
Maple Leaf Foods выполняет свои планы обеспечения непрерывности бизнеса, работая над восстановлением пострадавших систем, однако ожидается, что на полное устранение последствий инцидента потребуется время, что приведет к проблемам с поставками и обслуживанием клиентов.
Компания заявляет, что продолжит работу с клиентами и партнерами, чтобы свести к минимуму перебои с поставками продуктов питания на канадском рынке.
По всей видимости, компания стала жертвой ransomware, однако ни одна из групп еще не заявила о причастности к атаке.
Будем посмотреть.
В воскресенье у Maple Leaf Foods произошел сбой после кибератаки на выходных.
Maple Leaf Foods — крупнейший в Канаде производитель мясных полуфабрикатов и продуктов из птицы, располагающий 21 производственным предприятием, на котором работает 14 000 человек. В 2021 году объем продаж фирмы составил 3,3 миллиарда долларов.
Компания подтвердила киберинцидент, который привел к сбоям в работе предприятий. В настоящее время специалисты работают с экспертами по кибербезопасности и восстановлению, чтобы разрешить ситуацию как можно скорее, но им еще только предстоит определить все обстоятельства случившегося.
Maple Leaf Foods выполняет свои планы обеспечения непрерывности бизнеса, работая над восстановлением пострадавших систем, однако ожидается, что на полное устранение последствий инцидента потребуется время, что приведет к проблемам с поставками и обслуживанием клиентов.
Компания заявляет, что продолжит работу с клиентами и партнерами, чтобы свести к минимуму перебои с поставками продуктов питания на канадском рынке.
По всей видимости, компания стала жертвой ransomware, однако ни одна из групп еще не заявила о причастности к атаке.
Будем посмотреть.
Maple Leaf Foods
Confirms System Outage Linked to Cybersecurity Incident
Maple Leaf Foods Inc.. today confirmed that it is currently experiencing a system outage linked to a cybersecurity incident. Upon learning of the...
Разгорается новый шпионский скандал с участием бывших оперативников ЦРУ.
Согласно сообщениям швейцарских СМИ, официальные лица Катара организовали крупномасштабную и длительную разведывательную операцию в отношении официальных лиц FIFA, задействовав для этого бывших оперативников ЦРУ в преддверии FIFA 2022.
При этом в кибершпионаж были вовлечены высшие эшелоны правительства Катара, а сама кампания была нацелена на критиков как внутри FIFA, так и за ее пределами.
Масштабы шпионской деятельности были значительны. Только одно из мероприятий включало развертывание не менее 66 оперативников в течение девяти лет. Бюджет составил 387 миллионов долларов, а география атак охватывала пять континентов.
На прошлой неделе ФБР инициировало расследование в отношении Кевина Чалкера, бывшего агента ЦРУ, основателя и генерального директора Global Risk Advisors, компании, которая помогла правительству Катара проводить эту операцию.
Тем временем в Греции шпионские баталии все никак не прекращаются.
В воскресенье греческая газета
Согласно сообщопубликовала список из 33 имен, которые, по их утверждению, были атакованы и заражены шпионским ПО Predator в рамках незаконного наблюдения, проводимого по заказу правительства Греции во главе с премьер-министром Кириакосом Мицотакисом.
В список вошли государственные чиновники, журналисты и местные бизнесмены, а также четыре уже известных человека. Самый топ в списке — Никос Дендиас, нынешний министр иностранных дел Греции и член правящей партии «Новая демократия».
Рынок коммерческого кибершпионажа переживает глобальный передел.
Согласно сообщениям швейцарских СМИ, официальные лица Катара организовали крупномасштабную и длительную разведывательную операцию в отношении официальных лиц FIFA, задействовав для этого бывших оперативников ЦРУ в преддверии FIFA 2022.
При этом в кибершпионаж были вовлечены высшие эшелоны правительства Катара, а сама кампания была нацелена на критиков как внутри FIFA, так и за ее пределами.
Масштабы шпионской деятельности были значительны. Только одно из мероприятий включало развертывание не менее 66 оперативников в течение девяти лет. Бюджет составил 387 миллионов долларов, а география атак охватывала пять континентов.
На прошлой неделе ФБР инициировало расследование в отношении Кевина Чалкера, бывшего агента ЦРУ, основателя и генерального директора Global Risk Advisors, компании, которая помогла правительству Катара проводить эту операцию.
Тем временем в Греции шпионские баталии все никак не прекращаются.
В воскресенье греческая газета
Согласно сообщопубликовала список из 33 имен, которые, по их утверждению, были атакованы и заражены шпионским ПО Predator в рамках незаконного наблюдения, проводимого по заказу правительства Греции во главе с премьер-министром Кириакосом Мицотакисом.
В список вошли государственные чиновники, журналисты и местные бизнесмены, а также четыре уже известных человека. Самый топ в списке — Никос Дендиас, нынешний министр иностранных дел Греции и член правящей партии «Новая демократия».
Рынок коммерческого кибершпионажа переживает глобальный передел.
SWI swissinfo.ch
‘Project Merciless’: how Qatar spied on the world of football in Switzerland
Qatar orchestrated a major intelligence operation against FIFA officials helped by ex-CIA agents. Switzerland was a key theatre of operations.
Ресерчеры Sentinel Labs сообщают о начавшемся с середины 2022 года значительном диверсификации и расширении инфраструктуры SocGholish для размещения вредоносного ПО.
SocGholish — это платформа на основе JavaScript, которую злоумышленники используют для получения первоначального доступа к системам, начиная с 2017 года.
Операторы SocGholish реализуют социальную инженерию для заражения систем, обманом заставляя пользователей запускать вредоносную полезную нагрузку JavaScript, которая маскируется под обновление системы или ПО, например критическое обновление браузера.
В недавних кампаниях операторы SocGholish заражали законные веб-сайты, внедряя механизм «драйв-загрузка», который запускает полезную нагрузку через сервер второго уровня.
Последним ярким примером является заражение веб-ресурсов медиакомпании, используемых несколькими крупными новостными агентствами.
Причем операторы SocGholish заражают сайты для установления первоначальных точек контакта с жертвами почти в «промышленных» объемах: с начала года сообщается о более чем 25000 новых зараженных веб-сайтов.
После получения доступа через SocGholish злоумышленники проводят: разведку систем и сети, установление постоянства и развертывание дополнительных инструментов и вредоносных ПО, включяя инструменты для удаленного доступа Cobalt Strike и NetSupport, ransomware, такие как WastedLocker, которые приписываются EvilCorp.
В ходе недавних атак операторы SocGholish заражали законные веб-сайты, внедряя в них вредоносный код JavaScript, который загружает другой скрипт с сервера второго уровня, запускающий загрузку полезной нагрузки SocGholish, которая, в свою очередь, маскируется под обновление.
Ресерчеры заметили, что с середины 2022 года операторы SocGholish начали вводить новые серверы второго уровня с гораздо большей скоростью, чем раньше — в среднем 18 серверов в месяц, показав увеличение на 334% по сравнению с первым полугодием.
Большинство новых серверов были расположены в Европе, причем Нидерланды, Великобритания и Франция возглавляют список, а 28 из 73 серверов размещены в Нидерландах.
Новые сервера серьезно усиливают возможности SocGholish по противодействию защитным решениям, прежде всего в плане обхода черных списков.
При этом многие из серверов размещены в теневых поддоменах, созданных посредством теневого копирования, что позволяет операторам SocGholish злоупотреблять репутацией скомпрометированных доменов и затруднять их обнаружение.
SocGholish становится все более серьезной угрозой, что подчеркивает важность регулярного аудита состояния безопасности и целостности серверов, веб-сайтов и записей DNS для обнаружения и защиты от заражения и теневого копирования.
SocGholish — это платформа на основе JavaScript, которую злоумышленники используют для получения первоначального доступа к системам, начиная с 2017 года.
Операторы SocGholish реализуют социальную инженерию для заражения систем, обманом заставляя пользователей запускать вредоносную полезную нагрузку JavaScript, которая маскируется под обновление системы или ПО, например критическое обновление браузера.
В недавних кампаниях операторы SocGholish заражали законные веб-сайты, внедряя механизм «драйв-загрузка», который запускает полезную нагрузку через сервер второго уровня.
Последним ярким примером является заражение веб-ресурсов медиакомпании, используемых несколькими крупными новостными агентствами.
Причем операторы SocGholish заражают сайты для установления первоначальных точек контакта с жертвами почти в «промышленных» объемах: с начала года сообщается о более чем 25000 новых зараженных веб-сайтов.
После получения доступа через SocGholish злоумышленники проводят: разведку систем и сети, установление постоянства и развертывание дополнительных инструментов и вредоносных ПО, включяя инструменты для удаленного доступа Cobalt Strike и NetSupport, ransomware, такие как WastedLocker, которые приписываются EvilCorp.
В ходе недавних атак операторы SocGholish заражали законные веб-сайты, внедряя в них вредоносный код JavaScript, который загружает другой скрипт с сервера второго уровня, запускающий загрузку полезной нагрузки SocGholish, которая, в свою очередь, маскируется под обновление.
Ресерчеры заметили, что с середины 2022 года операторы SocGholish начали вводить новые серверы второго уровня с гораздо большей скоростью, чем раньше — в среднем 18 серверов в месяц, показав увеличение на 334% по сравнению с первым полугодием.
Большинство новых серверов были расположены в Европе, причем Нидерланды, Великобритания и Франция возглавляют список, а 28 из 73 серверов размещены в Нидерландах.
Новые сервера серьезно усиливают возможности SocGholish по противодействию защитным решениям, прежде всего в плане обхода черных списков.
При этом многие из серверов размещены в теневых поддоменах, созданных посредством теневого копирования, что позволяет операторам SocGholish злоупотреблять репутацией скомпрометированных доменов и затруднять их обнаружение.
SocGholish становится все более серьезной угрозой, что подчеркивает важность регулярного аудита состояния безопасности и целостности серверов, веб-сайтов и записей DNS для обнаружения и защиты от заражения и теневого копирования.
SentinelOne
SocGholish Diversifies and Expands Its Malware Staging Infrastructure to Counter Defenders
SocGholish operators continue to infect websites at a massive scale, and the threat actor is ramping up its infrastructure to match.