В современных условиях безопасность информационных систем корпораций и государственных структур приобретает особую значимость, и в 2023-м - ее роль еще более возрастет.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
securelist.ru
Угрозы для корпораций: предсказания на 2023 год
Предсказания «Лаборатории Касперского» об угрозах для корпораций на 2023 год: шантаж в СМИ, фейковые утечки, атаки через облако и усложнение инструментария вымогателей.
В маршрутизаторах TP-Link и NetComm были обнаружены RCE-уязвимости.
CVE-2022-4498 и CVE-2022-4499 затрагивают TP-Link WR710N-V1-151022 и Archer-C5-V2-160201 SOHO.
Они были обнаружены исследователем Microsoft Джеймсу Халлу.
Ошибки позволяют злоумышленникам выполнять код, вызывать сбои в работе устройств или раскрывать учетные данные для входа.
Первая проблема описывается как переполнение кучи, вызванное специально созданными пакетами в режиме базовой аутентификации HTTP.
Злоумышленник может использовать эту ошибку, чтобы вызвать DoS или RCE.
Вторая CVE-2022-4499 связана с тем, что функция HTTPD подвержена атаке по сторонним каналам, которая позволяет злоумышленнику узнать каждый байт строки имени пользователя и пароля.
TP-Link была уведомлена об этих недостатках еще в ноябре 2022 года, но обе проблемы остаются несправленными.
Две уязвимости затрагивают маршрутизаторы NetComm NF20MESH, NF20 и NL1902.
Первая CVE-2022-4873 представляет собой переполнение буфера, которое может привести к сбою приложения.
Вторая - CVE-2022-4874, представляет собой обход аутентификации, ведущий к несанкционированному доступу к контенту.
Объединенные в цепочку уязвимости позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код.
Злоумышленник может сначала получить несанкционированный доступ к уязвимым устройствам, а затем использовать эти точки входа, чтобы получить доступ к другим сетям или поставить под угрозу доступность, целостность или конфиденциальность данных, передаваемых из внутренней сети.
В декабре 2022 года NetComm выпустила обновления для прошивки, которые устраняют недостатки.
Позже в январе 2023 года обнаруживший их исследователь Брендан Скарвелл опубликовал технические подробности, а также PoC-эксплойт.
CVE-2022-4498 и CVE-2022-4499 затрагивают TP-Link WR710N-V1-151022 и Archer-C5-V2-160201 SOHO.
Они были обнаружены исследователем Microsoft Джеймсу Халлу.
Ошибки позволяют злоумышленникам выполнять код, вызывать сбои в работе устройств или раскрывать учетные данные для входа.
Первая проблема описывается как переполнение кучи, вызванное специально созданными пакетами в режиме базовой аутентификации HTTP.
Злоумышленник может использовать эту ошибку, чтобы вызвать DoS или RCE.
Вторая CVE-2022-4499 связана с тем, что функция HTTPD подвержена атаке по сторонним каналам, которая позволяет злоумышленнику узнать каждый байт строки имени пользователя и пароля.
TP-Link была уведомлена об этих недостатках еще в ноябре 2022 года, но обе проблемы остаются несправленными.
Две уязвимости затрагивают маршрутизаторы NetComm NF20MESH, NF20 и NL1902.
Первая CVE-2022-4873 представляет собой переполнение буфера, которое может привести к сбою приложения.
Вторая - CVE-2022-4874, представляет собой обход аутентификации, ведущий к несанкционированному доступу к контенту.
Объединенные в цепочку уязвимости позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код.
Злоумышленник может сначала получить несанкционированный доступ к уязвимым устройствам, а затем использовать эти точки входа, чтобы получить доступ к другим сетям или поставить под угрозу доступность, целостность или конфиденциальность данных, передаваемых из внутренней сети.
В декабре 2022 года NetComm выпустила обновления для прошивки, которые устраняют недостатки.
Позже в январе 2023 года обнаруживший их исследователь Брендан Скарвелл опубликовал технические подробности, а также PoC-эксплойт.
kb.cert.org
CERT/CC Vulnerability Note VU#572615
Vulnerabilities in TP-Link routers, WR710N-V1-151022 and Archer C5 V2
Oracle объявила о выпуске первого критического обновления в 2023 году, которое включает 327 новых исправлений безопасности.
При это более 70 исправлений устраняют критические уязвимости, а почти 200 исправлений устраняют ошибки, которые можно использовать удаленно без аутентификации. Некоторые из исправленных недостатков затрагивают не один продукт компании.
Наибольшее количество новых исправлений было выпущено для Oracle Communications — 79. Из них 63 уязвимости можно использовать удаленно без аутентификации, а 19 имеют рейтинг критической степени серьезности.
Патч включает 50 исправлений безопасности, которые устраняют недостатки в ПО Fusion. 39 ошибок могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, а 14 из них - оцениваются как критические.
Также было выпущено много исправлений для коммуникационных приложений (39 исправлений, 31 для удаленного использования без аутентификации) и для MySQL (37 исправлений, 8 - для неаутентифицированных, удаленно эксплуатируемых недостатков).
Среди другого пропатченного ПО: приложения для финансовых служб (16 исправлений — 12 удаленно эксплуатируемых проблем без проверки подлинности), E-Business Suite (12–10), PeopleSoft (12–10), Database Server (9–1), приложения для коммунальных служб (7–7), строительства и проектирования (7–4), производства продуктов питания и напитков (7–2), а также инструменты поддержки (6–6) и виртуализация (6–1).
Обновления также включают исправления для Essbase, GoldenGate, TimesTen In-Memory, Commerce, Enterprise Manager, Hyperion, Java SE, JD Edwards, Siebel CRM, приложений для медицины и здравоохранения, гостиничного и страхового бизнеса, розничной торговли.
Технический гигант также объявил, что, хотя для таких приложений, как Big Data Graph, Global Lifecycle Management, Graph Server and Client и Spatial Studio, не было выпущено новых исправлений, для них были доступны обновления для решения сторонних проблем. Oracle выпустила сторонние исправления и для других продуктов.
Oracle рекомендует клиентам как можно скорее установить доступные исправления, подчеркнув, что она располагает сведениями о попытках злоумышленников использовать неисправленные проблемы, для которых доступны исправления.
При это более 70 исправлений устраняют критические уязвимости, а почти 200 исправлений устраняют ошибки, которые можно использовать удаленно без аутентификации. Некоторые из исправленных недостатков затрагивают не один продукт компании.
Наибольшее количество новых исправлений было выпущено для Oracle Communications — 79. Из них 63 уязвимости можно использовать удаленно без аутентификации, а 19 имеют рейтинг критической степени серьезности.
Патч включает 50 исправлений безопасности, которые устраняют недостатки в ПО Fusion. 39 ошибок могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, а 14 из них - оцениваются как критические.
Также было выпущено много исправлений для коммуникационных приложений (39 исправлений, 31 для удаленного использования без аутентификации) и для MySQL (37 исправлений, 8 - для неаутентифицированных, удаленно эксплуатируемых недостатков).
Среди другого пропатченного ПО: приложения для финансовых служб (16 исправлений — 12 удаленно эксплуатируемых проблем без проверки подлинности), E-Business Suite (12–10), PeopleSoft (12–10), Database Server (9–1), приложения для коммунальных служб (7–7), строительства и проектирования (7–4), производства продуктов питания и напитков (7–2), а также инструменты поддержки (6–6) и виртуализация (6–1).
Обновления также включают исправления для Essbase, GoldenGate, TimesTen In-Memory, Commerce, Enterprise Manager, Hyperion, Java SE, JD Edwards, Siebel CRM, приложений для медицины и здравоохранения, гостиничного и страхового бизнеса, розничной торговли.
Технический гигант также объявил, что, хотя для таких приложений, как Big Data Graph, Global Lifecycle Management, Graph Server and Client и Spatial Studio, не было выпущено новых исправлений, для них были доступны обновления для решения сторонних проблем. Oracle выпустила сторонние исправления и для других продуктов.
Oracle рекомендует клиентам как можно скорее установить доступные исправления, подчеркнув, что она располагает сведениями о попытках злоумышленников использовать неисправленные проблемы, для которых доступны исправления.
Американские силовики задержали основателя зарегистрированной в Гонконге криптовалютной биржи Bitzlato Анатолия Легкодымова, который обвиняет в сотрудничестве с вымогателями и отмывании денег, полученных от незаконного оборота наркотиков.
Легкодымов был арестован во вторник вечером в Майами, и сегодня должен предстать перед судом в Окружном суде США по Южному округу штата Флориды.
Операция проводилась во взаимодействии с Европолом и правоохранителями Франции, Испании, Португалии и Кипра.
Согласно отчету Chainalysis, Bitzlato получила криптовалюту на сумму более 2 млрд. долл. в период с 2019 по 2021 год, из которых более 966 млн. долл. представляли собой незаконные активы.
По их данным, криптобиржа получила 206 млн. долл. с даркнета, 224,5 млн. долл. от мошенничества и 9 млн. долл. от участников рынка ransowmare. Крупнейшим контрагентом Bitzlato в транзакциях с криптой был Hydra Market, прежде чем он был закрыт властями США и Германии в апреле 2022 года.
По данным силовиков, пользователи Hydra Market обменяли более 700 млн. долл. в криптовалюте через Bitzlato напрямую или через посредников, и более 15 миллионов долларов, которые составляли доходы от программ-вымогателей.
По версии Минюста США, руководство Bitzlato знало, что платформа используется в преступной деятельности, а многие пользователи зарегистрировали свои учетные записи, используя поддельные личные данные.
Администрация Bitzlato предупредила своих пользователей о том, что биржа была взломана, и несмотря на инцидент, все средства клиентов в безопасности, в связи с чем были приостановлены выводы и пополнения.
Американские силовики выдвигают обвинения в задействовании биржи, прежде всего, в интересах российских хакерских групп.
Однако анализ трафика платформы позволил выявить более 250 миллионов посещений с IP-адресов США только в июле 2022 года, которые вряд ли ограничивались легальной активностью.
Легкодымов был арестован во вторник вечером в Майами, и сегодня должен предстать перед судом в Окружном суде США по Южному округу штата Флориды.
Операция проводилась во взаимодействии с Европолом и правоохранителями Франции, Испании, Португалии и Кипра.
Согласно отчету Chainalysis, Bitzlato получила криптовалюту на сумму более 2 млрд. долл. в период с 2019 по 2021 год, из которых более 966 млн. долл. представляли собой незаконные активы.
По их данным, криптобиржа получила 206 млн. долл. с даркнета, 224,5 млн. долл. от мошенничества и 9 млн. долл. от участников рынка ransowmare. Крупнейшим контрагентом Bitzlato в транзакциях с криптой был Hydra Market, прежде чем он был закрыт властями США и Германии в апреле 2022 года.
По данным силовиков, пользователи Hydra Market обменяли более 700 млн. долл. в криптовалюте через Bitzlato напрямую или через посредников, и более 15 миллионов долларов, которые составляли доходы от программ-вымогателей.
По версии Минюста США, руководство Bitzlato знало, что платформа используется в преступной деятельности, а многие пользователи зарегистрировали свои учетные записи, используя поддельные личные данные.
Администрация Bitzlato предупредила своих пользователей о том, что биржа была взломана, и несмотря на инцидент, все средства клиентов в безопасности, в связи с чем были приостановлены выводы и пополнения.
Американские силовики выдвигают обвинения в задействовании биржи, прежде всего, в интересах российских хакерских групп.
Однако анализ трафика платформы позволил выявить более 250 миллионов посещений с IP-адресов США только в июле 2022 года, которые вряд ли ограничивались легальной активностью.
Chainalysis
Russian Cybercriminals Drive Significant Ransomware and Cryptocurrency-based Money Laundering Activity
Significant ransomware and crypto-based money laundering comes from Russian cybercriminals. Learn more from the 2022 Crypto Crime Report.
Некоторые вендоры и пользователи Adobe Commerce и Magento решили сделать нелегкий выбор между "безопасно" и "удобно".
Как мы сообщали, февральский патч от Adobe, выпущенный для устранения критической уязвимости почтовых шаблонов CVE-2022-24086 (оценка CVSS 9,8), активно обходился злоумышленниками.
Во второй серии исправлений, с уже новым идентификатором CVE (CVE-2022-24087) разработчики выпустили очередной патч.
Примерно в то же время был выпущен PoC, нацеленный на эту уязвимость.
Так в чем, собственно, вся соль разъяснили специалисты по безопасности электронной коммерции Sansec.
Чтобы устранить уязвимость, Adobe удалила «умные» почтовые шаблоны и заменила старый преобразователь переменных почтового шаблона новым, чтобы предотвратить потенциальные атаки путем внедрения.
Однако этот шаг застал многих поставщиков врасплох, и некоторым из них пришлось вернуться к исходной функциональности.
При этом они подвергли себя критической уязвимости несмотря на то, что применили последнее исправление безопасности.
Специалисты наблюдали, как некоторые поставщики пытались повторно ввести функциональность устаревшего распознавателя в рабочие магазины Magento, либо переопределяя функциональность нового распознавателя, либо копируя код из более старых версий Magento и используя его в качестве предпочтения.
В компании заявили, что ряд вендоров все же пытались снизить риски безопасности, добавляя в системы заказов базовую фильтрацию небезопасных пользовательских данных.
Однако эти шаги не позволили предотвратить эксплуатацию, ведь уязвимость может быть активирована из других подсистем, если они касаются электронной почты.
Как мы сообщали, февральский патч от Adobe, выпущенный для устранения критической уязвимости почтовых шаблонов CVE-2022-24086 (оценка CVSS 9,8), активно обходился злоумышленниками.
Во второй серии исправлений, с уже новым идентификатором CVE (CVE-2022-24087) разработчики выпустили очередной патч.
Примерно в то же время был выпущен PoC, нацеленный на эту уязвимость.
Так в чем, собственно, вся соль разъяснили специалисты по безопасности электронной коммерции Sansec.
Чтобы устранить уязвимость, Adobe удалила «умные» почтовые шаблоны и заменила старый преобразователь переменных почтового шаблона новым, чтобы предотвратить потенциальные атаки путем внедрения.
Однако этот шаг застал многих поставщиков врасплох, и некоторым из них пришлось вернуться к исходной функциональности.
При этом они подвергли себя критической уязвимости несмотря на то, что применили последнее исправление безопасности.
Специалисты наблюдали, как некоторые поставщики пытались повторно ввести функциональность устаревшего распознавателя в рабочие магазины Magento, либо переопределяя функциональность нового распознавателя, либо копируя код из более старых версий Magento и используя его в качестве предпочтения.
В компании заявили, что ряд вендоров все же пытались снизить риски безопасности, добавляя в системы заказов базовую фильтрацию небезопасных пользовательских данных.
Однако эти шаги не позволили предотвратить эксплуатацию, ведь уязвимость может быть активирована из других подсистем, если они касаются электронной почты.
Sansec
Vendors defeat Magento security patch (+ simple check)
Magento and Adobe Commerce stores around the world have been hammered with Trojan Order attacks this winter. And even if you have patched or installed Adobe’...
͏Kraken поглотила даркнет-площадку Solaris после того, как последняя была взломана.
В настоящее время сайт Tor Solaris перенаправляет пользователей на Kraken.
Solaris появилась несколько месяцев назад после падения Hydra в надежде захватить часть ее рынка. Админам удалось завести около 25% клиентов и провернуть более 150 000 000 долларов на сделках.
В начале года в отчете Resecurity в отношении новых рынков незаконного оборота наркотиков утверждалось, что Solaris привлекла до 60 000 новых лидов после закрытия Hydra, в то время как Kraken смогла завести лишь около 10% этого количества.
Как выяснилось, в декабре 2022 года Solaris взламывали и сливали исходный код и базы данных, предположительно, связанную с даркмаркетом.
Тем не менее, в пятницу, 13 января 2023 года, Kraken объявила о захвате инфраструктуры Solaris, репозиториев GitLab и всех исходных кодов проекта благодаря нескольким серьезным ошибкам в коде.
В заявлении Kraken утверждается, что им потребовалось три дня, чтобы украсть пароли и ключи, хранящиеся на серверах Solaris, получить доступ к его инфраструктуре, расположенной в Финляндии, а затем эксфильтровать практически всю информацию.
Кроме того, хакеры заявили, что отключили BTC-сервер Solaris, что подтверждается также наблюдениями Elliptic.
На данный момент никто из основной команды Solaris не делал никаких заявлений о статусе платформы и обоснованности заявлений Kraken, который по итогу смог отжать аудиторию платформы.
Будем посмотреть.
В настоящее время сайт Tor Solaris перенаправляет пользователей на Kraken.
Solaris появилась несколько месяцев назад после падения Hydra в надежде захватить часть ее рынка. Админам удалось завести около 25% клиентов и провернуть более 150 000 000 долларов на сделках.
В начале года в отчете Resecurity в отношении новых рынков незаконного оборота наркотиков утверждалось, что Solaris привлекла до 60 000 новых лидов после закрытия Hydra, в то время как Kraken смогла завести лишь около 10% этого количества.
Как выяснилось, в декабре 2022 года Solaris взламывали и сливали исходный код и базы данных, предположительно, связанную с даркмаркетом.
Тем не менее, в пятницу, 13 января 2023 года, Kraken объявила о захвате инфраструктуры Solaris, репозиториев GitLab и всех исходных кодов проекта благодаря нескольким серьезным ошибкам в коде.
В заявлении Kraken утверждается, что им потребовалось три дня, чтобы украсть пароли и ключи, хранящиеся на серверах Solaris, получить доступ к его инфраструктуре, расположенной в Финляндии, а затем эксфильтровать практически всю информацию.
Кроме того, хакеры заявили, что отключили BTC-сервер Solaris, что подтверждается также наблюдениями Elliptic.
На данный момент никто из основной команды Solaris не делал никаких заявлений о статусе платформы и обоснованности заявлений Kraken, который по итогу смог отжать аудиторию платформы.
Будем посмотреть.
Forwarded from SecurityLab.ru
Хакеры распространяют вредоносное ПО в пустых изображениях
— Исследователи ИБ-компании Avanan обнаружили , что злоумышленники обходят службу VirusTotal, внедряя вредоносное ПО в пустые изображения в электронных письмах.
— Основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. Вложение содержит SVG-изображение, закодированное с использованием Base64. Хотя изображение пустое, этот файл содержит JavaScript-код, перенаправляющий на вредоносный URL-адрес, на котором хакеры дальше заражают пользователя.
— Эта кампания отличается от других тем, что она использует пустое изображения с активным содержимым внутри. Такое изображение традиционные сервисы, такие как VirusTotal, не обнаруживают, как поясняют исследователи.
https://www.securitylab.ru/news/535892.php
— Исследователи ИБ-компании Avanan обнаружили , что злоумышленники обходят службу VirusTotal, внедряя вредоносное ПО в пустые изображения в электронных письмах.
— Основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. Вложение содержит SVG-изображение, закодированное с использованием Base64. Хотя изображение пустое, этот файл содержит JavaScript-код, перенаправляющий на вредоносный URL-адрес, на котором хакеры дальше заражают пользователя.
— Эта кампания отличается от других тем, что она использует пустое изображения с активным содержимым внутри. Такое изображение традиционные сервисы, такие как VirusTotal, не обнаруживают, как поясняют исследователи.
https://www.securitylab.ru/news/535892.php
SecurityLab.ru
Хакеры распространяют вредоносное ПО в пустых изображениях
Если изображение пустое - не значит, что в нём ничего нет.
T-Mobile раскрыла новую утечку данных после того, как злоумышленники похитили конфиденциальную учетную информацию 37 миллионов клиентов через один из интерфейсов API.
Как удалось выяснить T-Mobile, хакеры приступили к краже данных еще 25 ноября 2022 года. Обнаружив вредоносную активность 5 января 2023 года, оператор отключил злоумышленнику доступ к уязвимому API.
Компания пояснила, что задействованный в инциденте API не открывал злоумышленникам доступа к водительским удостоверениям клиентов, номерам социального страхования, налоговым идентификаторам, паролям, PIN-кодам, платежной информации (PCI) или другой финансовой информации.
Уязвимый API позволял хакерам извлечь данные об учетной записи клиента, включая имя, платежный адрес, адрес электронной почты, номер телефона, дату рождения, номер учетной записи T-Mobile и функционал тарифного плана.
Предварительный результат расследования указывает на то, что злоумышленникам удалось собрать в разной степени ограниченный набор личных данных 37 миллионов клиентов с постоплатой и предоплатой.
В настоящее время вредоносная активность полностью локализована, доказательств того, что злоумышленник смог взломать или скомпрометировать системы или сеть T-Mobile, не получено.
T-Mobile уведомила об инциденте компетентные ведомства и ведет активную работу с правоохранителями над расследованием нарушения.
Вообще же, когда речь идет крупных технологических IT-гигантах, не стоит полагаться на то, что снаряд в одну воронку не падает дважды.
Начиная с 2018 года T-Mobile становилась фигурантом семи серьезных киберинцедентов.
Последними в апреле 2022 года сеть оператора навещали Lapsus$, использовав скомпрометированные учетные данные.
Как удалось выяснить T-Mobile, хакеры приступили к краже данных еще 25 ноября 2022 года. Обнаружив вредоносную активность 5 января 2023 года, оператор отключил злоумышленнику доступ к уязвимому API.
Компания пояснила, что задействованный в инциденте API не открывал злоумышленникам доступа к водительским удостоверениям клиентов, номерам социального страхования, налоговым идентификаторам, паролям, PIN-кодам, платежной информации (PCI) или другой финансовой информации.
Уязвимый API позволял хакерам извлечь данные об учетной записи клиента, включая имя, платежный адрес, адрес электронной почты, номер телефона, дату рождения, номер учетной записи T-Mobile и функционал тарифного плана.
Предварительный результат расследования указывает на то, что злоумышленникам удалось собрать в разной степени ограниченный набор личных данных 37 миллионов клиентов с постоплатой и предоплатой.
В настоящее время вредоносная активность полностью локализована, доказательств того, что злоумышленник смог взломать или скомпрометировать системы или сеть T-Mobile, не получено.
T-Mobile уведомила об инциденте компетентные ведомства и ведет активную работу с правоохранителями над расследованием нарушения.
Вообще же, когда речь идет крупных технологических IT-гигантах, не стоит полагаться на то, что снаряд в одну воронку не падает дважды.
Начиная с 2018 года T-Mobile становилась фигурантом семи серьезных киберинцедентов.
Последними в апреле 2022 года сеть оператора навещали Lapsus$, использовав скомпрометированные учетные данные.
T-Mobile Newsroom
T-Mobile Informing Impacted Customers about Unauthorized Activity - T-Mobile Newsroom
January 19, 2023 – (Bellevue, Wash.) – We are currently in the process of informing impacted customers that after a thorough investigation we have
Как мы предупреждали, исследователи Horizon3 раскрыли PoC-эксплойт и представили технический анализ для критической RCE-уязвимости CVE-2022-47966 в продуктах Zoho ManageEngine.
Уязвимость позволяет злоумышленнику реализовать RCE, отправив запрос HTTP POST, содержащий вредоносный ответ SAML.
POC злоупотребляет ей для запуска команды с помощью метода Java Runtime.exec.
Эксплойт был успешно протестирован на ServiceDesk Plus и Endpoint Central, и как полагают в Horizon3, POC будет работать без изменений во многих продуктах ManageEngine, которые используют часть своей кодовой базы с ServiceDesk Plus или EndpointCentral.
Несмотря на то, что сообщений об атаках с использованием этой уязвимости не поступало и попыток ее использования в реальных условиях не фиксировалось, злоумышленники, вероятно, быстро перейдут к разработке собственных RCE-эксплойтов на основе PoC-кода Horizon3.
Ведь как известно, в последние годы финансово мотивированные и АРТ группировки активно атаковали серверы Zoho ManageEngine в ходе своих кампаний.
Уязвимость позволяет злоумышленнику реализовать RCE, отправив запрос HTTP POST, содержащий вредоносный ответ SAML.
POC злоупотребляет ей для запуска команды с помощью метода Java Runtime.exec.
Эксплойт был успешно протестирован на ServiceDesk Plus и Endpoint Central, и как полагают в Horizon3, POC будет работать без изменений во многих продуктах ManageEngine, которые используют часть своей кодовой базы с ServiceDesk Plus или EndpointCentral.
Несмотря на то, что сообщений об атаках с использованием этой уязвимости не поступало и попыток ее использования в реальных условиях не фиксировалось, злоумышленники, вероятно, быстро перейдут к разработке собственных RCE-эксплойтов на основе PoC-кода Horizon3.
Ведь как известно, в последние годы финансово мотивированные и АРТ группировки активно атаковали серверы Zoho ManageEngine в ходе своих кампаний.
Telegram
SecAtor
Ресерчеры Horizon3 Attack Team предупреждают, что к концу недели станет доступен PoC для критической RCE-уязвимости, затрагивающей продукты Zoho ManageEngine.
CVE-2022-47966 связана с использованием устаревшей и уязвимой сторонней зависимости Apache Santuario.…
CVE-2022-47966 связана с использованием устаревшей и уязвимой сторонней зависимости Apache Santuario.…
Cisco объявила об исправлениях для серьезной SQL-уязвимости в Unified Communications Manager (CM) и Unified Communications Manager Session Management Edition (CM SME).
Разработанные как корпоративные платформы управления вызовами и сеансами Cisco Unified CM и Unified CM SME обеспечивают совместимость таких приложений, как Webex, Jabber и других, а также обеспечивают их общую доступность и безопасность.
CVE-2023-20010 с оценкой CVSS 8,1 обусловлена тем, что вводимые пользователем данные неправильно проверяются в веб-интерфейсе управления платформами.
Ошибка позволяет удаленному злоумышленнику, прошедшему проверку подлинности, запустить атаку SQL-инъекцией на уязвимую систему.
Злоумышленник может воспользоваться этой уязвимостью, войдя в приложение как пользователь с низким уровнем привилегий и отправив созданные SQL-запросы в уязвимую систему.
Успешный эксплойт может позволить злоумышленнику прочитать или изменить любые данные в базовой базе данных или повысить свои привилегии.
Ошибка влияет на Cisco Unified CM и Unified CM SME версий 11.5(1), 12.5(1) и 14, была устранен в версии 12.5(1)SU7.
Патч также будет включен в версию 14SU3, выпуск которой запланирован на март 2023 года.
Cisco также проинформировала клиентов об уязвимости обхода фильтрации URL-адресов средней степени серьезности в ПО AsyncOS для Email Security Appliance (ESA).
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать ошибку через URL-адреса.
На этой неделе Cisco также объявила об исправлениях трех ошибок средней степени серьезности в Expressway Series и TelePresence Video Communication Server (VCS).
Затрагивая API и веб-интерфейсы управления этих продуктов, уязвимости могут быть использованы удаленным злоумышленником, прошедшим проверку подлинности, для записи файлов или доступа к конфиденциальным данным на уязвимом устройстве.
Уязвимы все выпуски Expressway Series и TelePresence VCS до 14.0.7.
Cisco заявляет, что ей неизвестно об использовании какой-либо из этих уязвимостей в реальных условиях.
Дополнительную информацию о недостатках можно найти в рекомендациях по безопасности.
Разработанные как корпоративные платформы управления вызовами и сеансами Cisco Unified CM и Unified CM SME обеспечивают совместимость таких приложений, как Webex, Jabber и других, а также обеспечивают их общую доступность и безопасность.
CVE-2023-20010 с оценкой CVSS 8,1 обусловлена тем, что вводимые пользователем данные неправильно проверяются в веб-интерфейсе управления платформами.
Ошибка позволяет удаленному злоумышленнику, прошедшему проверку подлинности, запустить атаку SQL-инъекцией на уязвимую систему.
Злоумышленник может воспользоваться этой уязвимостью, войдя в приложение как пользователь с низким уровнем привилегий и отправив созданные SQL-запросы в уязвимую систему.
Успешный эксплойт может позволить злоумышленнику прочитать или изменить любые данные в базовой базе данных или повысить свои привилегии.
Ошибка влияет на Cisco Unified CM и Unified CM SME версий 11.5(1), 12.5(1) и 14, была устранен в версии 12.5(1)SU7.
Патч также будет включен в версию 14SU3, выпуск которой запланирован на март 2023 года.
Cisco также проинформировала клиентов об уязвимости обхода фильтрации URL-адресов средней степени серьезности в ПО AsyncOS для Email Security Appliance (ESA).
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать ошибку через URL-адреса.
На этой неделе Cisco также объявила об исправлениях трех ошибок средней степени серьезности в Expressway Series и TelePresence Video Communication Server (VCS).
Затрагивая API и веб-интерфейсы управления этих продуктов, уязвимости могут быть использованы удаленным злоумышленником, прошедшим проверку подлинности, для записи файлов или доступа к конфиденциальным данным на уязвимом устройстве.
Уязвимы все выпуски Expressway Series и TelePresence VCS до 14.0.7.
Cisco заявляет, что ей неизвестно об использовании какой-либо из этих уязвимостей в реальных условиях.
Дополнительную информацию о недостатках можно найти в рекомендациях по безопасности.
Исследователи Лаборатории Касперского обнаружили обновление Roaming Mantis своего вредоносного ПО для Android, которое теперь включает функцию смены DNS, которая использовалась для проникновения в WiFi-маршрутизаторы и перехвата DNS.
Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).
Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.
Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.
Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.
Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.
В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.
Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.
После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.
XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.
DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.
Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.
После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.
Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.
Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.
Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).
Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.
Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.
Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.
Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.
В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.
Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.
После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.
XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.
DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.
Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.
После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.
Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.
Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.
Securelist
Roaming Mantis implements new DNS changer in its malicious mobile app in 2022
Roaming Mantis (a.k.a Shaoye) is a long-term cyberattack campaign that uses malicious Android package (APK) files to control infected Android devices and steal data. In 2022, we observed a DNS changer function implemented in its Android malware Wroba.o.
Исследователи Mandiant установили, что недавняя уязвимость Fortinet экспулатировалась как 0-day для доставки вредоносного ПО в октябре 2022 года, почти за два месяца до выпуска исправлений.
Ресерчеры подозревают актора в связях с КНР, полагая, что инцидент продолжает практику китайских АРТ по использованию устройств, подключенных к Интернету, особенно тех, которые применяются для управляемой безопасности (например, брандмауэры, устройства IPS\IDS и т.д.).
Злоумышленник использовал уязвимость в Fortinet FortiOS SSL-VPN в атаках на неназванное европейское госучреждение и MSP-поставщика в Африке.
В ходе нападений актор задействовали сложный бэкдор, получивший наменование BOLDMOVE, версия которого для Linux специально разработана для работы на межсетевых экранах FortiGate.
Рассматриваемый вектор вторжения связан с эксплуатацией уязвимости переполненияем буфера в динамической памяти в FortiOS SSL-VPN (CVE-2022-42475), которая может привести к RCE без проверки подлинности с помощью специально созданных запросов.
Ранее в этом месяце Fortinet также сообщала, что попытках эксплуатации неустановленных АРТ этого недостатка в ходе атак на правительства и другие крупные организации с помощью универсального имплантата Linux, доставляющего дополнительные полезные нагрузки и выполняющего команды с С2.
Последние данные Mandiant показывают, что злоумышленнику удалось использовать уязвимость в качестве 0-day в своих интересах и взломать целевые сети для шпионских операций.
С помощью BOLDMOVE злоумышленники разработали не только эксплойт, но и вредоносное ПО, демонстрирующее глубокое понимание систем, служб, ведения журналов и недокументированных проприетарных форматов.
Утверждается, что вредоносное ПО, написанное на C, имеет варианты как для Windows, так и для Linux, причем последний способен считывать данные из формата файла, принадлежащего Fortinet.
Анализ метаданных версии бэкдора для Windows показывает, что они были скомпилированы еще в 2021 году, хотя образцы в дикой природе не обнаруживались.
BOLDMOVE предназначен для проведения анализа системы и способен получать команды от C2, который, в свою очередь, позволяет злоумышленникам выполнять операции с файлами, запускать удаленную оболочку и ретранслировать трафик через зараженный хост.
Расширенный образец вредоносного ПО для Linux поставляется с дополнительными функциями для отключения и управления функциями ведения журнала в попытке избежать обнаружения, что подтверждает и отчет Fortinet.
Ресерчеры подозревают актора в связях с КНР, полагая, что инцидент продолжает практику китайских АРТ по использованию устройств, подключенных к Интернету, особенно тех, которые применяются для управляемой безопасности (например, брандмауэры, устройства IPS\IDS и т.д.).
Злоумышленник использовал уязвимость в Fortinet FortiOS SSL-VPN в атаках на неназванное европейское госучреждение и MSP-поставщика в Африке.
В ходе нападений актор задействовали сложный бэкдор, получивший наменование BOLDMOVE, версия которого для Linux специально разработана для работы на межсетевых экранах FortiGate.
Рассматриваемый вектор вторжения связан с эксплуатацией уязвимости переполненияем буфера в динамической памяти в FortiOS SSL-VPN (CVE-2022-42475), которая может привести к RCE без проверки подлинности с помощью специально созданных запросов.
Ранее в этом месяце Fortinet также сообщала, что попытках эксплуатации неустановленных АРТ этого недостатка в ходе атак на правительства и другие крупные организации с помощью универсального имплантата Linux, доставляющего дополнительные полезные нагрузки и выполняющего команды с С2.
Последние данные Mandiant показывают, что злоумышленнику удалось использовать уязвимость в качестве 0-day в своих интересах и взломать целевые сети для шпионских операций.
С помощью BOLDMOVE злоумышленники разработали не только эксплойт, но и вредоносное ПО, демонстрирующее глубокое понимание систем, служб, ведения журналов и недокументированных проприетарных форматов.
Утверждается, что вредоносное ПО, написанное на C, имеет варианты как для Windows, так и для Linux, причем последний способен считывать данные из формата файла, принадлежащего Fortinet.
Анализ метаданных версии бэкдора для Windows показывает, что они были скомпилированы еще в 2021 году, хотя образцы в дикой природе не обнаруживались.
BOLDMOVE предназначен для проведения анализа системы и способен получать команды от C2, который, в свою очередь, позволяет злоумышленникам выполнять операции с файлами, запускать удаленную оболочку и ретранслировать трафик через зараженный хост.
Расширенный образец вредоносного ПО для Linux поставляется с дополнительными функциями для отключения и управления функциями ведения журнала в попытке избежать обнаружения, что подтверждает и отчет Fortinet.
Google Cloud Blog
Suspected Chinese Threat Actors Exploiting FortiOS Vulnerability (CVE-2022-42475) | Mandiant | Google Cloud Blog
Новый банковский троян Hook всего за 5000 долларов в месяц открывает злоумышленникам возможности кражи учетных записей из более чем 450 приложений интернет-банкинга и криптокошельков.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
ThreatFabric
Hook: a new Ermac fork with RAT capabilities
Hook, the latest project of the criminals behind the Ermac banking malware, adds Remote Access Tool features, allowing this variant to perform On Device Fraud.
Система управления корпоративным контентом (ECM) OpenText подвержена множеству уязвимостей, в том числе и критической RCE без проверки подлинности.
OpenText Extended ECM — это корпоративная платформа CMS, которая реализует управление и интеграцию с ведущими корпоративными приложениями, такими как SAP, Microsoft 365, Salesforce и SAP SuccessFactors.
Уязвимости OpenText Extended ECM были обнаружены исследователем Армином Стоком из Sec Consult.
Проблемы в основном затрагивают Content Server и описываются в трех различных бюллетенях.
По данным Sec Consult, OpenText была проинформирована об уязвимостях в октябре 2022 года, после чего разработчику удалось выпустить в январе 2023 года версию 22.4 с необходимыми исправлениями.
Одна из критических уязвимостей CVE-2022-45923 может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных запросов.
Вторая критическая CVE-2022-45927 влияет на внешний интерфейс Java компонента OpenText Content Server и может позволить злоумышленнику обойти аутентификацию.
Эксплуатация может в конечном итоге привести к удаленному выполнению кода.
Другие обнаруженные Sec Consult уязвимости (CVE-2022-45922, CVE-2022-45924, CVE-2022-45925, CVE-2022-45926 и CVE-2022-45928) могут быть использованы злоумышленниками, прошедшими проверку подлинности.
Все они оцениваются как серьезные и могут быть использованы для удаления произвольных файлов на сервере, повышения привилегий, получения потенциально ценной информации, запуска атак с подделкой запросов на стороне сервера (SSRF) и выполнения произвольного кода.
PoC доступен для всех проблем, за исключением критических недостатков, чтобы предотвратить их возможное злонамеренное использование.
OpenText Extended ECM — это корпоративная платформа CMS, которая реализует управление и интеграцию с ведущими корпоративными приложениями, такими как SAP, Microsoft 365, Salesforce и SAP SuccessFactors.
Уязвимости OpenText Extended ECM были обнаружены исследователем Армином Стоком из Sec Consult.
Проблемы в основном затрагивают Content Server и описываются в трех различных бюллетенях.
По данным Sec Consult, OpenText была проинформирована об уязвимостях в октябре 2022 года, после чего разработчику удалось выпустить в январе 2023 года версию 22.4 с необходимыми исправлениями.
Одна из критических уязвимостей CVE-2022-45923 может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных запросов.
Вторая критическая CVE-2022-45927 влияет на внешний интерфейс Java компонента OpenText Content Server и может позволить злоумышленнику обойти аутентификацию.
Эксплуатация может в конечном итоге привести к удаленному выполнению кода.
Другие обнаруженные Sec Consult уязвимости (CVE-2022-45922, CVE-2022-45924, CVE-2022-45925, CVE-2022-45926 и CVE-2022-45928) могут быть использованы злоумышленниками, прошедшими проверку подлинности.
Все они оцениваются как серьезные и могут быть использованы для удаления произвольных файлов на сервере, повышения привилегий, получения потенциально ценной информации, запуска атак с подделкой запросов на стороне сервера (SSRF) и выполнения произвольного кода.
PoC доступен для всех проблем, за исключением критических недостатков, чтобы предотвратить их возможное злонамеренное использование.
SEC Consult
Multiple post-authentication vulnerabilities including RCE (OpenText™ Extended ECM)
The OpenText™ Content Server component of the OpenText™ Extended ECM has multiple vulnerabilities, which allow the execution of own “OScript” code in the worst case. The other vulnerabilities include information disclosure, deletion of arbitrary files on…
NCC Group опубликовала технические подробности и PoC-эксплойт для двух уязвимостей Samsung Galaxy App Store.
Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.
Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.
Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).
Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.
Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.
NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.
PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.
Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.
Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.
PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.
NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.
В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.
Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.
Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.
Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.
Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.
Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.
Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).
Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.
Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.
NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.
PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.
Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.
Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.
PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.
NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.
В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.
Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.
Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.
Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.
NCC Group Research Blog
Technical Advisory – Multiple Vulnerabilities in the Galaxy App Store (CVE-2023-21433, CVE-2023-21434)
The Galaxy App Store is an alternative application store that comes pre-installed on Samsung Android devices. Several Android applications are available on both the Galaxy App Store and Google App …
Rapid7 сообщает о начале эксплуатации недавно исправленной критической CVE-2022-47966 в Zoho ManageEngine еще до того, как Horizon3.ai выпустила свой PoC-эксплойт.
Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.
Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.
Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.
В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.
К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.
Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.
Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.
Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.
Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.
В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.
К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.
Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.
Rapid7
CVE-2022-47966: Rapid7 Observed Exploitation of Critical ManageEngine Vulnerability | Rapid7 Blog
Разработчику видеоигр из Лос-Анджелеса не до игр.
Riot Games — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.
Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.
Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.
Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.
Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.
Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.
Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.
Riot Games — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.
Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.
Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.
Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.
Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.
Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.
Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.
X (formerly Twitter)
Riot Games (@riotgames) on X
Earlier this week, systems in our development environment were compromised via a social engineering attack. We don’t have all the answers right now, but we wanted to communicate early and let you know there is no indication that player data or personal information…
Канадский дистрибьютор спиртных напитков Liquor Control Board of Ontario (LCBO) подвергся атаке Magecart, что привело к компрометации личных данных пользователей.
LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.
На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.
Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.
По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.
В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.
LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.
Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.
Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.
Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.
Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.
Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.
LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.
На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.
Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.
По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.
В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.
LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.
Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.
Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.
Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.
Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.
Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.
Apple выпустила исправления для устранения многочисленных серьезных уязвимостей безопасности для флагманских платформ iOS и macOS.
Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.
Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.
Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.
Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.
При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.
Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.
Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.
После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.
В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.
Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.
Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.
Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.
Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.
Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.
Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.
При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.
Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.
Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.
После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.
В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.
Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.
Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
Секретные документы Бюро национальной безопасности Тайваня (NSB) можно приобрести на breached за 150 000 долларов.
Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.
По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.
При этом сообщается, что последняя партия уже продана.
Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.
Будем следить за ситуацией.
Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.
По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.
При этом сообщается, что последняя партия уже продана.
Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.
Будем следить за ситуацией.
自由時報電子報
獨家》疑似我國情報資料再被公佈 網站宣稱首批資料已售出 - 政治 - 自由時報電子報
有軍事迷在國外網站「breach forums」發現有人兜售台灣的情治機關機密文件,10G資料要價15萬美元,今天凌晨網站公布更多台灣內部文件,此次疑似是我軍情駐外單位與友邦人員往來餐敘丶情報蒐整的定期匯報等資料,駭客並開出6G要價10萬美元,並聲稱首批資料已售出,調查局先前雖強調掌握有關資訊,但仍未公布相關偵辦細節。16日有軍事迷在國外網站發現有人兜售台灣情報機構的機密文件,範例中針對人員家庭背景描述完整,資料10G要價15萬美元,更強調「有足夠的錢,可以提供更多」。資料範例提到一名35歲的台灣人「金…
͏Две новости сделали наш день.
Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.
Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.
В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна:нет ног - нет варенья нет детей - нет расстрелов.
Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".
Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.
Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!
Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.
Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.
В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна:
Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".
Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.
Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!