Нарисовалась новая жертва в кейсе Snowflake, чьи данные утекли в даркнет и теперь реализуются за 750 000 долларов.
Cylance подтвердила утечку данных и связала инцидент со «сторонней» платформой. Продает их все тот же селлер Sp1d3r, о котором ранее сообщала Dark Web Informer.
Данные включают в себя значительный объем информации в отношении 34 000 000 электронных писем клиентов и сотрудников, а также личную информацию, принадлежащую клиентам, партнерам и сотрудникам Cylance.
Правда, утекшие образцы, по всей видимости, представляют собой старые маркетинговые данные. Тем не менее, BlackBerry Cylance осведомлены о заявлениях злоумышленников и проводят расследование, заверяя о безопасности данных и систем, связанных с текущими клиентами, продуктами и операциями.
Предварительно, данные, о которых идет речь, были получены со сторонней платформы, не связанной с BlackBerry, и, судя по всему, относятся к 2015–2018 годам, до приобретения BlackBerry портфеля продуктов Cylance.
Несмотря на сохранение втайне наименования стороннего поставщика, уже известно, что Cylance является клиентом Snowflake, а данные реализует все тот же злоумышленник.
Однако Snowflake продолжает настаивать на том, что все нарушения произошли на стороне клиентов и обусловлены упущениями в безопасности на их стороне.
В свою очередь, для своей защиты уже подтянули CrowdStrike и Mandiant, которые якобы отыскали кучу артефактов, свидетельствующих о задействовании в продолжающейся кампании слитых кредов для взлома учеток клиентов Snowflake, не имеющих 2Fa.
Mandiant даже выкатила отчет, атрибутировав атаки Snowflake с финансово мотивированным злоумышленником, которого она отслеживает как UNC5537 и обвиняет в сотнях атак с вымогательством на организаций по всему миру.
Хакеры при этом получили доступ к учетным записям клиентов Snowflake, используя учетные данные клиентов, украденные в результате заражения вредоносным ПО аж в 2020 году.
При этом Mandiant сообщает, что выявила сотни учетных данных клиентов Snowflake, раскрытых в результате атак с использованием вредоносных ПО Vidar, RisePro, Redline, Racoon Stealer, Lumm и Metastealer, начиная с 2020 года.
В связи с чем Snowflake и Mandiant уведомили около 165 организаций, потенциально подвергающихся этим продолжающимся атакам.
Вот только почему-то, формулировка «сотни» ссузилась до одной с небольшим. Может еще какие результаты расследования имеются.
Будем следить.
Cylance подтвердила утечку данных и связала инцидент со «сторонней» платформой. Продает их все тот же селлер Sp1d3r, о котором ранее сообщала Dark Web Informer.
Данные включают в себя значительный объем информации в отношении 34 000 000 электронных писем клиентов и сотрудников, а также личную информацию, принадлежащую клиентам, партнерам и сотрудникам Cylance.
Правда, утекшие образцы, по всей видимости, представляют собой старые маркетинговые данные. Тем не менее, BlackBerry Cylance осведомлены о заявлениях злоумышленников и проводят расследование, заверяя о безопасности данных и систем, связанных с текущими клиентами, продуктами и операциями.
Предварительно, данные, о которых идет речь, были получены со сторонней платформы, не связанной с BlackBerry, и, судя по всему, относятся к 2015–2018 годам, до приобретения BlackBerry портфеля продуктов Cylance.
Несмотря на сохранение втайне наименования стороннего поставщика, уже известно, что Cylance является клиентом Snowflake, а данные реализует все тот же злоумышленник.
Однако Snowflake продолжает настаивать на том, что все нарушения произошли на стороне клиентов и обусловлены упущениями в безопасности на их стороне.
В свою очередь, для своей защиты уже подтянули CrowdStrike и Mandiant, которые якобы отыскали кучу артефактов, свидетельствующих о задействовании в продолжающейся кампании слитых кредов для взлома учеток клиентов Snowflake, не имеющих 2Fa.
Mandiant даже выкатила отчет, атрибутировав атаки Snowflake с финансово мотивированным злоумышленником, которого она отслеживает как UNC5537 и обвиняет в сотнях атак с вымогательством на организаций по всему миру.
Хакеры при этом получили доступ к учетным записям клиентов Snowflake, используя учетные данные клиентов, украденные в результате заражения вредоносным ПО аж в 2020 году.
При этом Mandiant сообщает, что выявила сотни учетных данных клиентов Snowflake, раскрытых в результате атак с использованием вредоносных ПО Vidar, RisePro, Redline, Racoon Stealer, Lumm и Metastealer, начиная с 2020 года.
В связи с чем Snowflake и Mandiant уведомили около 165 организаций, потенциально подвергающихся этим продолжающимся атакам.
Вот только почему-то, формулировка «сотни» ссузилась до одной с небольшим. Может еще какие результаты расследования имеются.
Будем следить.
Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
A campaign targeting Snowflake customer database instances with the intent of data theft and extortion.
Подкатил PoC-эксплойт для критической уязвимости обхода аутентификации для решения по управлению резервным копированием и восстановлением Veeam Backup Enterprise Manager (VBEM).
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию, войти в веб-интерфейс VBEM от имени любого пользователя, о чем Veeam предупредила клиентов 21 мая, выпустив бюллетень по безопасности.
Как поясняет в технической статье исследователь Сины Хейрха, ошибка затрагивает сервис Veeam.Backup.Enterprise.RestAPIService.exe, который взаимодействует по TCP-порту 9398 и функционирует как сервер REST API для основного веб-приложения.
Эксплойт предполагает отправку специально созданного токена единого входа (SSO) VMware в уязвимую службу с помощью API Veeam.
Он содержит запрос аутентификации, который выдает себя за администратора, и URL-адрес службы единого входа, который Veeam, что особенно важно, не проверяет.
Токен единого входа в кодировке Base64 декодируется и интерпретируется в форме XML для проверки его достоверности посредством запроса SOAP к URL-адресу, контролируемому злоумышленником.
Подконтрольный злоумышленнику сервер, при этом положительно реагирует на запросы проверки, поэтому Veeam принимает запрос аутентификации и предоставляет злоумышленнику административный доступ.
Предоставленный эксплойт демонстрирует все шаги по использованию уязвимости, включая настройку сервера обратного вызова, отправку созданного токена и получение списка файловых серверов в качестве доказательства успешной эксплуатации.
Несмотря на отсутствие сообщений о задействовании CVE-2024-29849 в реальных атаках, появление работающего эксплойта определенно изменить ситуацию к худшему в самое ближайшее время.
Так что клиентам крайне важно как можно скорее обновиться до версии 12.1.2.172 или более поздней, а также следовать этим рекомендациям поставщика.
Прежде всего, необходимо ограничить доступ к веб-интерфейсу VBEM только доверенным IP-адресам, настроить правила брандмауэра и заблокировать доступ к портам сервисов Veeam (9398 для REST API), включить MFa для всех учетных записей с доступом к VBEM, а также изолировать сервер VBEM от других критически важных систем.
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию, войти в веб-интерфейс VBEM от имени любого пользователя, о чем Veeam предупредила клиентов 21 мая, выпустив бюллетень по безопасности.
Как поясняет в технической статье исследователь Сины Хейрха, ошибка затрагивает сервис Veeam.Backup.Enterprise.RestAPIService.exe, который взаимодействует по TCP-порту 9398 и функционирует как сервер REST API для основного веб-приложения.
Эксплойт предполагает отправку специально созданного токена единого входа (SSO) VMware в уязвимую службу с помощью API Veeam.
Он содержит запрос аутентификации, который выдает себя за администратора, и URL-адрес службы единого входа, который Veeam, что особенно важно, не проверяет.
Токен единого входа в кодировке Base64 декодируется и интерпретируется в форме XML для проверки его достоверности посредством запроса SOAP к URL-адресу, контролируемому злоумышленником.
Подконтрольный злоумышленнику сервер, при этом положительно реагирует на запросы проверки, поэтому Veeam принимает запрос аутентификации и предоставляет злоумышленнику административный доступ.
Предоставленный эксплойт демонстрирует все шаги по использованию уязвимости, включая настройку сервера обратного вызова, отправку созданного токена и получение списка файловых серверов в качестве доказательства успешной эксплуатации.
Несмотря на отсутствие сообщений о задействовании CVE-2024-29849 в реальных атаках, появление работающего эксплойта определенно изменить ситуацию к худшему в самое ближайшее время.
Так что клиентам крайне важно как можно скорее обновиться до версии 12.1.2.172 или более поздней, а также следовать этим рекомендациям поставщика.
Прежде всего, необходимо ограничить доступ к веб-интерфейсу VBEM только доверенным IP-адресам, настроить правила брандмауэра и заблокировать доступ к портам сервисов Veeam (9398 для REST API), включить MFa для всех учетных записей с доступом к VBEM, а также изолировать сервер VBEM от других критически важных систем.
Summoning Team
Bypassing Veeam Authentication CVE-2024-29849
An interesting authentication bypass exploit in Veeam Backup Enterprise Manager
Forwarded from Social Engineering
🐬 Flipper Zero — мнение пентестера после двух лет «полевой» эксплуатации.
• Летом 2020 года компания Flipper Devices Inc. вышла на Kickstarter с девайсом Flipper Zero. Их стартовой целью было собрать 60К$. Но за первые сутки было собрано 1млн$. За сутки?! Мультитул произвел настолько сильную шумиху в сообществе, что про Flipper Zero теперь знает каждый второй пользователь интернета, сидящий в YouTube.
• Одновременно с этим, у некоторых людей складывается определённое мнение, что с помощью этого инструмента можно только развлекаться с крышками зарядного порта Tesla, копировать ключи от домофона и выключать телевизоры в KFC. Таких людей встречал очень много и они все мне старались доказать, что данный инструмент только для баловства и с точки зрения проведения пентестов он совершенно не подходит, хотя это абсолютно не так...
• Один из пентестеров и социальных инженеров компании Бастион согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.
• Содержание статьи:
- Для чего может понадобиться Flipper?
- Первые впечатления;
- Как применяют Flipper в бою;
- Клонирование пропусков;
- Эмуляция радиокнопок;
- Преимущества Flipper с точки зрения пентестера;
- Минусы Flipper Zero c точки зрения пентестера.
➡ Читать статью [8 min].
S.E. ▪️ infosec.work ▪️ VT
• Летом 2020 года компания Flipper Devices Inc. вышла на Kickstarter с девайсом Flipper Zero. Их стартовой целью было собрать 60К$. Но за первые сутки было собрано 1млн$. За сутки?! Мультитул произвел настолько сильную шумиху в сообществе, что про Flipper Zero теперь знает каждый второй пользователь интернета, сидящий в YouTube.
• Одновременно с этим, у некоторых людей складывается определённое мнение, что с помощью этого инструмента можно только развлекаться с крышками зарядного порта Tesla, копировать ключи от домофона и выключать телевизоры в KFC. Таких людей встречал очень много и они все мне старались доказать, что данный инструмент только для баловства и с точки зрения проведения пентестов он совершенно не подходит, хотя это абсолютно не так...
• Один из пентестеров и социальных инженеров компании Бастион согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.
• Содержание статьи:
- Для чего может понадобиться Flipper?
- Первые впечатления;
- Как применяют Flipper в бою;
- Клонирование пропусков;
- Эмуляция радиокнопок;
- Преимущества Flipper с точки зрения пентестера;
- Минусы Flipper Zero c точки зрения пентестера.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатил июньский PatchTuesday от Microsoft с исправлениями 51 уязвимости, включая 18 RCE и 0-day, а также 7 - в Chromium/Edge.
К удивлению, лишь одна CVE в Microsoft Message Queuing имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний, а в распределении по категориям превалирует EoP - 25 уязвимостей, затем уже 18 - RCE, 5 - DoS и 3 - связаны с раскрытием информации.
Единственный публично раскрыты нуль - CVE-2023-50868 в протоколе DNS, которая реализует атаку Keytrap, по поводу которой было много шумихи, но до практической плоскости так и не дошло.
Отмеченная как критическая RCE-уязвимость (CVE-2024-30080 с CVSS 9.8) в MSMQ не грозит привести к массовой эксплуатации, посколько компонент не включён по умолчанию.
Другой важный недостаток, CVE-2024-30103 (оценка CVSS 8,8), позволяет злоумышленникам обходить черные списки реестра Microsoft Outlook и создавать вредоносные файлы DLL.
При этом сложность атаки c вектором из панели предварительного просмотра невелика и возможна эксплуатация по сети без взаимодействия с пользователем, а создать эксплойт очень просто.
Всё это в совокупности, как полагают ресерчеры Morphisec, предвещает начало массовой кампании.
Другие уязвимости, исправленные в этом месяце, включают многочисленные недостатки удаленного выполнения кода Microsoft Office и EoP-проблемы в ядре Windows.
Полный список с описанием каждой уязвимости и систем, на которые она влияет, - здесь.
К удивлению, лишь одна CVE в Microsoft Message Queuing имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний, а в распределении по категориям превалирует EoP - 25 уязвимостей, затем уже 18 - RCE, 5 - DoS и 3 - связаны с раскрытием информации.
Единственный публично раскрыты нуль - CVE-2023-50868 в протоколе DNS, которая реализует атаку Keytrap, по поводу которой было много шумихи, но до практической плоскости так и не дошло.
Отмеченная как критическая RCE-уязвимость (CVE-2024-30080 с CVSS 9.8) в MSMQ не грозит привести к массовой эксплуатации, посколько компонент не включён по умолчанию.
Другой важный недостаток, CVE-2024-30103 (оценка CVSS 8,8), позволяет злоумышленникам обходить черные списки реестра Microsoft Outlook и создавать вредоносные файлы DLL.
При этом сложность атаки c вектором из панели предварительного просмотра невелика и возможна эксплуатация по сети без взаимодействия с пользователем, а создать эксплойт очень просто.
Всё это в совокупности, как полагают ресерчеры Morphisec, предвещает начало массовой кампании.
Другие уязвимости, исправленные в этом месяце, включают многочисленные недостатки удаленного выполнения кода Microsoft Office и EoP-проблемы в ядре Windows.
Полный список с описанием каждой уязвимости и систем, на которые она влияет, - здесь.
Morphisec
You’ve Got Mail: Critical Microsoft Outlook Vulnerability CVE-2024-30103 Executes as Email is Opened
Morphisec researchers have identified a critical Microsoft Outlook vulnerability, CVE-2024-30103, and detail its technical impact and recommended actions.
По результатам расследования инцидента со взломом министерства обороны Нидерландов в феврале этого года правительство страны заявило, что причастные к атаке китайские хакеры на самом деле действовали с более широким размахом, чем предполагалось ранее.
Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.
Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.
Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.
Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.
За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.
Последнее, вообще без комментариев.
Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.
Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.
Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.
Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.
За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.
Последнее, вообще без комментариев.
Ministerie van Defensie
MIVD onthult werkwijze Chinese spionage in Nederland
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft Chinese cyberspionage in Nederland blootgelegd. De dienst ontdekte geavanceerde Chinese malware die dit mogelijk maakt. Een Chinese statelijke actor is hiervoor verantwoordelijk. Dit stelt de MIVD…
Исследователь Dohyun Lee, что по-русски читается как Дахун Ли, рассказал печальную историю о том, как стал жертвой произвола со стороны Apple в ходе взаимодействия по BugBounty.
Ресерчеру удалось раскопать критическую уязвимость iOS и macOS (CVE-2024-23282), которая позволяет задействовать вредоносные электронные письма для инициирования вызовов FaceTime без авторизации пользователя.
Обнаруженная ошибка может быть использована для того, чтобы инициировать атаки, приводящие к утечке пользовательских данных с устройства через FaceTime, поскольку в режиме блокировки не блокируются исходящие вызовы.
Фактически разработанный и продемонстрированный рабочий PoC позволял реализовать удаленное включение звука без щелчка.
Тем не менее, по мнению Apple, исправившей баг в iOS 17.5 iPadOS 17.5 и macOC Sonoma 14.5, все труды заслуживают награды в размере 5000 долларов.
И, после того, как Apple выплатила за выявленную весьма серьезную уязвимость всего лишь пятерик, исследователь возмутился.
"Дахунли так мало?!!!" - сказал он. И решил перевести дискуссию с яблочниками в публичную плоскость.
Ресерчеру удалось раскопать критическую уязвимость iOS и macOS (CVE-2024-23282), которая позволяет задействовать вредоносные электронные письма для инициирования вызовов FaceTime без авторизации пользователя.
Обнаруженная ошибка может быть использована для того, чтобы инициировать атаки, приводящие к утечке пользовательских данных с устройства через FaceTime, поскольку в режиме блокировки не блокируются исходящие вызовы.
Фактически разработанный и продемонстрированный рабочий PoC позволял реализовать удаленное включение звука без щелчка.
Тем не менее, по мнению Apple, исправившей баг в iOS 17.5 iPadOS 17.5 и macOC Sonoma 14.5, все труды заслуживают награды в размере 5000 долларов.
И, после того, как Apple выплатила за выявленную весьма серьезную уязвимость всего лишь пятерик, исследователь возмутился.
"Дахунли так мало?!!!" - сказал он. И решил перевести дискуссию с яблочниками в публичную плоскость.
X (formerly Twitter)
Dohyun Lee (@l33d0hyun) on X
CVE-2024-23282 : A maliciously crafted email may be able to initiate FaceTime calls without user authorization
I submitted a complete PoC for this vulnerability to Apple, but they awarded me a reward of $5,000. I requested a re-evaluation, but Apple declined.😢
I submitted a complete PoC for this vulnerability to Apple, but they awarded me a reward of $5,000. I requested a re-evaluation, but Apple declined.😢
Ресерчеры из Лаборатории Касперского прошерстили даркнет и представили аналитику рынка OTP-ботов, широко распространенных в киберпреступности инструментов для обхода 2FA.
Растущая популярность такого метода защиты аккаунтов привела к разработке многочисленных способов его взломать или обойти, которые постоянно развиваются и подстраиваются под современные реалии.
При этом конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены.
Чаще всего - это верификация с помощью одноразовых кодов, или OTP (One Time Password) по SMS, звонку, письму на email или пуш-уведомлением.
В своем исследовании ЛК сфокусировались на методах получения этих кодов посредством социальной инженерии, когда в результате манипуляций жертва сама сообщает код, а для автоматизации используются инструменты: OTP-боты и административные панели для управления фиш-китами.
В основе типичной схемы с использованием OTP-бота для получения кода 2FA — звонок жертве. Мошенники делают ставку именно на звонок, потому как время действия кода сильно ограничено.
Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр.
Имеется и круглосуточный саппорт, многоязычность, спуфинг входящего номера, индивидуализация вызова, а также выбор звонящего голоса.
Кроме того, некоторые боты предлагают отправку жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации или получение других данных в ходе звонка.
Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram.
Тарифные планы варьируются от 140 до 420 баксов в неделю с оплатой исключительно в криптовалюте.
Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть актуальные данные жертвы, которые, как правило, злоумышленники получают при помощи фишинга.
Для этих целей в даркнете реализуется множество фиш-китов, одновременно нацеленных на разные виды персональных данных.
Причем с распространением 2FA создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать и одноразовые пароли.
Подробное описание схем работы, примеры OTP-ботов и актуальная статистика по угрозам - в отчете.
Растущая популярность такого метода защиты аккаунтов привела к разработке многочисленных способов его взломать или обойти, которые постоянно развиваются и подстраиваются под современные реалии.
При этом конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены.
Чаще всего - это верификация с помощью одноразовых кодов, или OTP (One Time Password) по SMS, звонку, письму на email или пуш-уведомлением.
В своем исследовании ЛК сфокусировались на методах получения этих кодов посредством социальной инженерии, когда в результате манипуляций жертва сама сообщает код, а для автоматизации используются инструменты: OTP-боты и административные панели для управления фиш-китами.
В основе типичной схемы с использованием OTP-бота для получения кода 2FA — звонок жертве. Мошенники делают ставку именно на звонок, потому как время действия кода сильно ограничено.
Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр.
Имеется и круглосуточный саппорт, многоязычность, спуфинг входящего номера, индивидуализация вызова, а также выбор звонящего голоса.
Кроме того, некоторые боты предлагают отправку жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации или получение других данных в ходе звонка.
Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram.
Тарифные планы варьируются от 140 до 420 баксов в неделю с оплатой исключительно в криптовалюте.
Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть актуальные данные жертвы, которые, как правило, злоумышленники получают при помощи фишинга.
Для этих целей в даркнете реализуется множество фиш-китов, одновременно нацеленных на разные виды персональных данных.
Причем с распространением 2FA создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать и одноразовые пароли.
Подробное описание схем работы, примеры OTP-ботов и актуальная статистика по угрозам - в отчете.
Securelist
How scammers bypass 2FA
Explaining how scammers use phishing and OTP bots to gain access to accounts protected with 2FA.
Инфосек журналистика пробивает очередное дно.
Вчера полиция Украины арестовала в Киеве 28-летнего подозреваемого в сотрудничестве с бандами вымогателей Conti и LockBit, о чем и отрапортовала на своем сайте. Оставим без оценок пассажи типа "хакери рф" и прочее, разговор не об этом.
Интереснее другое - как это действо описали инфосек журналисты. TheHackerNews, к примеру, сообщили, что задержан "local man", CyberNews - "man from Kyiv".
А вот BleepingComputer жеманничать не стали и прямо заявили, что арестован "28-year-old Russian man in Kyiv". Ага, россиянин, житель Киева, уроженец Харькова.
Мы же ответственно полагаем, что это все-таки был румын. Хотя может быть и болгарин. А какая разница...
Вчера полиция Украины арестовала в Киеве 28-летнего подозреваемого в сотрудничестве с бандами вымогателей Conti и LockBit, о чем и отрапортовала на своем сайте. Оставим без оценок пассажи типа "хакери рф" и прочее, разговор не об этом.
Интереснее другое - как это действо описали инфосек журналисты. TheHackerNews, к примеру, сообщили, что задержан "local man", CyberNews - "man from Kyiv".
А вот BleepingComputer жеманничать не стали и прямо заявили, что арестован "28-year-old Russian man in Kyiv". Ага, россиянин, житель Киева, уроженец Харькова.
Мы же ответственно полагаем, что это все-таки был румын. Хотя может быть и болгарин. А какая разница...
BleepingComputer
Police arrest Conti and LockBit ransomware crypter specialist
The Ukraine cyber police have arrested a 28-year-old Russian man in Kyiv for working with Conti and LockBit ransomware operations to make their malware undetectable by antivirus software and conducting at least one attack himself.
Forwarded from Russian OSINT
Свежих новостей про
Как сообщают исследователи из "Лаборатории Касперского", биометрические устройства, используемые в целях
В ходе исследования
Многие из них оказались похожи друг на друга, потому что возникали из-за ошибки в одном месте внутри библиотеки, служащей «оберткой» для базы данных. Мы обобщили эти уязвимости как множественные, указав тип и причину возникновения, поэтому конкретных CVE в итоге вышло меньше.
📊Статистика выглядит следующим образом:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Под конец недели подоспели PoC для разного рода уязвимостей, включая и те, которые непременно будут использованы в дикой природе.
Определенно киберподполье заинтересует PoC для критической уязвимости обхода аутентификации Veeam Recovery Orchestrator версий 7.0.0.337 и 7.1.0.205 и старше,отслеживаемой как CVE-2024-29855 с рейтингом 9.0 по CVSS v3.1.
Она позволяет без проверки проверки подлинности, войти в веб-интерфейс VRO с правами администратора.
Эксплойт разработал исследователь Сина Хейркхах, опубликовав подробный разбор по этому поводу у себя на сайте.
А вот российская Qrator Labs сообщает, что злоумышленники делятся кодом PoC для DDoS-атаки HTTP/2 Rapid Reset (CVE-2023-44487).
Исследователь CertiK SkyFall Ван Тилей опубликовал PoC для CVE-2024-27801, ошибки в компоненте NSXPC в macOS и iOS от Apple.
Она ошибка затрагивает все версии компонентов с момента их выпуска десять лет назад. Apple исправила уязвимость в мае.
Horizon3 опубликовала подробное описание и PoC для CVE-2024-29824, уязвимости внедрения SQL в Ivanti EPM.
Пока никаких нападений в дикой природе пока не наблюдалось, но только пока.
Вышло описание и PoC для уязвимости обхода пути без аутентификации (CVE-2024–4956) в Sonatype Nexus. Компания исправила уязвимость в мае.
Определенно киберподполье заинтересует PoC для критической уязвимости обхода аутентификации Veeam Recovery Orchestrator версий 7.0.0.337 и 7.1.0.205 и старше,отслеживаемой как CVE-2024-29855 с рейтингом 9.0 по CVSS v3.1.
Она позволяет без проверки проверки подлинности, войти в веб-интерфейс VRO с правами администратора.
Эксплойт разработал исследователь Сина Хейркхах, опубликовав подробный разбор по этому поводу у себя на сайте.
А вот российская Qrator Labs сообщает, что злоумышленники делятся кодом PoC для DDoS-атаки HTTP/2 Rapid Reset (CVE-2023-44487).
Исследователь CertiK SkyFall Ван Тилей опубликовал PoC для CVE-2024-27801, ошибки в компоненте NSXPC в macOS и iOS от Apple.
Она ошибка затрагивает все версии компонентов с момента их выпуска десять лет назад. Apple исправила уязвимость в мае.
Horizon3 опубликовала подробное описание и PoC для CVE-2024-29824, уязвимости внедрения SQL в Ivanti EPM.
Пока никаких нападений в дикой природе пока не наблюдалось, но только пока.
Вышло описание и PoC для уязвимости обхода пути без аутентификации (CVE-2024–4956) в Sonatype Nexus. Компания исправила уязвимость в мае.
GitHub
GitHub - sinsinology/CVE-2024-29855: PoC for the Veeam Recovery Orchestrator Authentication CVE-2024-29855
PoC for the Veeam Recovery Orchestrator Authentication CVE-2024-29855 - sinsinology/CVE-2024-29855
Амбициозные планы Microsoft по внедрению глобальной системы шпионажа Recall на ПК Copilot+ откладываются.
Но, по всей видимости, будут реализованы под ширмой новой стратегии по безопасности после резкой критики со стороны сообщества.
Первоначально Microsoft анонсировала Recall как функцию предварительного просмотра по умолчанию на ПК Copilot+, основанную на ИИ, которая должна была стать доступной с 18 июня.
Позже в ответ на негативную реакцию Microsoft объявила 7 июня, что эта функция будет отключена по умолчанию.
Но буквально вчера компания решила вообще не делать Recall доступным на ПК Copilot+.
Вместо этого предварительная версия Recall впервые станет доступна в Windows Insider Program (WIP) в ближайшие недели, а уже по результатам обратной связи будет развернута на ПК Copilot+.
При этом клиентам WIP по-прежнему потребуется ПК Copilot+ для использования Recall из-за требований к оборудованию.
Так что ждем, когда империя нанесет ответный удар, конечно, предварительно посовещавшись с нужными людьми.
Но, по всей видимости, будут реализованы под ширмой новой стратегии по безопасности после резкой критики со стороны сообщества.
Первоначально Microsoft анонсировала Recall как функцию предварительного просмотра по умолчанию на ПК Copilot+, основанную на ИИ, которая должна была стать доступной с 18 июня.
Позже в ответ на негативную реакцию Microsoft объявила 7 июня, что эта функция будет отключена по умолчанию.
Но буквально вчера компания решила вообще не делать Recall доступным на ПК Copilot+.
Вместо этого предварительная версия Recall впервые станет доступна в Windows Insider Program (WIP) в ближайшие недели, а уже по результатам обратной связи будет развернута на ПК Copilot+.
При этом клиентам WIP по-прежнему потребуется ПК Copilot+ для использования Recall из-за требований к оборудованию.
Так что ждем, когда империя нанесет ответный удар, конечно, предварительно посовещавшись с нужными людьми.
Windows Experience Blog
Update on the Recall preview feature for Copilot+ PCs
Update: June 13, 2024: Today, we are communicating an additional update on the Recall (preview) feature for Copilot+ PCs. Recall will now shift from a preview experience broadly available for Copilot+ PCs on June 18, 2024, to a preview ava
Rockwell Automation сообщает об исправлении трех серьезных уязвимостей в своем ПО HMI FactoryTalk View Site Edition (SE), выпустив версию 14.
Один из них, CVE-2024-37368, описывается как проблема аутентификации пользователя, которая может привести к утечке информации.
Уязвимость позволяет пользователю из удаленной системы с FTView отправить пакет на сервер клиента для просмотра проекта HMI.
Из-за отсутствия надлежащей аутентификации это действие разрешено без надлежащей проверки аутентификации.
Вторая дыра в безопасности, CVE-2024-37367, имеет аналогичное описание, а третья в FactoryTalk View SE, CVE-2024-37369, представляет собой локальную EoP.
Она позволяет пользователям с низким уровнем привилегий редактировать сценарии, обходя списки контроля доступа и потенциально получая дополнительный доступ внутри системы.
Кроме того, на этой неделе Rockwell также предупредила клиентов об уязвимости, затрагивающей некоторые из ее контроллеров ControlLogix, GuardLogix и CompactLogix.
Уязвимость может привести к тому, что все затронутые контроллеры в одной сети войдут в состояние неустранимой неисправности через отправку специально созданных пакетов на порт mDNS.
Компания Rockwell Automation выпустила уведомление по безопасности, призываяя клиентов обеспечить ограничение доступа систем ICS к Интернету дабы купировать имеющиеся киберугрозы.
Один из них, CVE-2024-37368, описывается как проблема аутентификации пользователя, которая может привести к утечке информации.
Уязвимость позволяет пользователю из удаленной системы с FTView отправить пакет на сервер клиента для просмотра проекта HMI.
Из-за отсутствия надлежащей аутентификации это действие разрешено без надлежащей проверки аутентификации.
Вторая дыра в безопасности, CVE-2024-37367, имеет аналогичное описание, а третья в FactoryTalk View SE, CVE-2024-37369, представляет собой локальную EoP.
Она позволяет пользователям с низким уровнем привилегий редактировать сценарии, обходя списки контроля доступа и потенциально получая дополнительный доступ внутри системы.
Кроме того, на этой неделе Rockwell также предупредила клиентов об уязвимости, затрагивающей некоторые из ее контроллеров ControlLogix, GuardLogix и CompactLogix.
Уязвимость может привести к тому, что все затронутые контроллеры в одной сети войдут в состояние неустранимой неисправности через отправку специально созданных пакетов на порт mDNS.
Компания Rockwell Automation выпустила уведомление по безопасности, призываяя клиентов обеспечить ограничение доступа систем ICS к Интернету дабы купировать имеющиеся киберугрозы.
Rockwell Automation
SD1676 | Security Advisory | Rockwell Automation | US
FactoryTalk® View SE v11 Information Leakage Vulnerability via Authentication Restriction
Пакистанская APT, которую Volexity отслеживает как UTA0137, использует смайлики для управления вредоносным ПО.
Хакеры нацелены на правительственные учреждения в Индии и занимаются кибершпионажем с использованием основного инструментария в виде DISGOMOJI.
При этом вредоносное ПО нацелено исключительно на системы Linux, в частности на специализированный дистрибутив BOSS, который используется правительством Индии.
Исследователи полагают, что злоумышленники использовали фишинговые атаки для первоначального доступа, о чем свидетельствуют замеченные фейковые документы, используемые в качестве приманки.
После запуска Disgomoji отправляет сообщение о регистрации, включающее IP-адрес, имя пользователя и хоста, ОС и текущий рабочий каталог, сохраняя постоянство и переживая перезагрузку системы в ожидании дополнительных сообщений.
Особенностью DISGOMOJI является задействование канала Discord в качестве С2, а также смайликов в качестве команд для управления зараженными системами.
Вместо ввода команд UTA0137 использует эмодзи с камерой для снимка экрана на устройстве жертвы.
Смайлик с лисой архивирует все профили Firefox на устройстве, а «указательный палец» пересылает файлы на С2.
Вредоносная ПО имеет множество функций, таких как использование Nmap для сканирования сетей жертв, Chisel и Ligolo для сетевого туннелирования, а также службу обмена файлами для загрузки и размещения украденных данных.
Кроме того, маскируясь под обновление Firefox, вредоносное ПО иногда просит жертв ввести свои пароли.
Атрибуция основывается на жестко запрограммированном пакистанском часовом поясе, слабых инфраструктурных связях с уже известным злоумышленником, языке пенджаби и виктимологии.
Однозначно идентифицировать APT ресерчеры Volexity пока затруднились.
Хакеры нацелены на правительственные учреждения в Индии и занимаются кибершпионажем с использованием основного инструментария в виде DISGOMOJI.
При этом вредоносное ПО нацелено исключительно на системы Linux, в частности на специализированный дистрибутив BOSS, который используется правительством Индии.
Исследователи полагают, что злоумышленники использовали фишинговые атаки для первоначального доступа, о чем свидетельствуют замеченные фейковые документы, используемые в качестве приманки.
После запуска Disgomoji отправляет сообщение о регистрации, включающее IP-адрес, имя пользователя и хоста, ОС и текущий рабочий каталог, сохраняя постоянство и переживая перезагрузку системы в ожидании дополнительных сообщений.
Особенностью DISGOMOJI является задействование канала Discord в качестве С2, а также смайликов в качестве команд для управления зараженными системами.
Вместо ввода команд UTA0137 использует эмодзи с камерой для снимка экрана на устройстве жертвы.
Смайлик с лисой архивирует все профили Firefox на устройстве, а «указательный палец» пересылает файлы на С2.
Вредоносная ПО имеет множество функций, таких как использование Nmap для сканирования сетей жертв, Chisel и Ligolo для сетевого туннелирования, а также службу обмена файлами для загрузки и размещения украденных данных.
Кроме того, маскируясь под обновление Firefox, вредоносное ПО иногда просит жертв ввести свои пароли.
Атрибуция основывается на жестко запрограммированном пакистанском часовом поясе, слабых инфраструктурных связях с уже известным злоумышленником, языке пенджаби и виктимологии.
Однозначно идентифицировать APT ресерчеры Volexity пока затруднились.
Volexity
DISGOMOJI Malware Used to Target Indian Government
In 2024, Volexity identified a cyber-espionage campaign undertaken by a suspected Pakistan-based threat actor that Volexity currently tracks under the alias UTA0137. The malware used in these recent campaigns, which Volexity tracks as DISGOMOJI, is written…
Forwarded from Russian OSINT
Как сообщают MurciaToday и Cybernews, 22-летний британец был арестован в Пальма-де-Майорке в результате совместных усилий испанской полиции и ФБР. Западные силовики считают, что обвиняемый является главарем хакерской группы, которая причастна к 45 атакам на различные компании и людей в 🇺🇸США. Мужчина был арестован в аэропорту.
По данным полиции, в какой-то момент британец "контролировал"
22-летний парень под псевдонимом "Тайлер" предположительно является одним из ключевых членов известной группировки
Группа также участвовала в других крупных хакерских акциях, в ходе которых были атакованы LastPass, DoorDash и другие известные организации.
KrebsOnSecurity пишет у себя в блоге: "британец" на самом деле является 22-летним жителем Шотландии, по имени Тайлер Бьюкенен, также предположительно известный под ником "tylerb" в чатах Telegram, посвященных SIM-swapping.
Please open Telegram to view this post
VIEW IN TELEGRAM
ASUS выпустила обновления для прошивки с исправлением критической уязвимости обхода аутентификации, затрагивающей семь моделей маршрутизаторов
CVE-2024-3080 имеет оценку CVSS v3.1: 9,8 и позволяет неаутентифицированным удаленным злоумышленникам получить контроль над устройством.
Проблема затрагивает следующие модели маршрутизаторов: XT8 (ZenWiFi AX XT8), XT8_V2 (ZenWiFi AX XT8 V2), RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U и RT-AC68U.
Владельцам рекомендуется обновить свои устройства до последних версий прошивки, убедиться в надежности паролей учетной записи и Wi-Fi.
Кроме того, рекомендуется отключить доступ в Интернет к панели администратора, удаленный доступ из WAN, переадресацию портов, DDNS, VPN-сервер, DMZ и триггер портов.
Другая исправленная уязвимость, CVE-2024-3079, имеет высокую степень серьезности (7.2) и связана с переполнением буфера, для использования которой требуется доступ к учетной записи администратора.
Поставщик также устранил критическую ошибку загрузки произвольного встроенного ПО (CVE-2024-3912, CVSS 9,8), которая был а обнаружена Карлосом Кёпке из PLASMALABS и затрагивает DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL- AC52U, DSL-AC55U, DSL-AC56U.
Причем для DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55 наступил EoL, поэтому исправлений для них не намечается.
И, наконец, ASUS анонсировала обновление для утилиты Download Master, новая версия 3.1.0.114 устраняет пять ошибок средней и высокой степени серьезности (загрузка произвольных файлов, внедрение команд ОС, переполнение буфера, XSS).
CVE-2024-3080 имеет оценку CVSS v3.1: 9,8 и позволяет неаутентифицированным удаленным злоумышленникам получить контроль над устройством.
Проблема затрагивает следующие модели маршрутизаторов: XT8 (ZenWiFi AX XT8), XT8_V2 (ZenWiFi AX XT8 V2), RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U и RT-AC68U.
Владельцам рекомендуется обновить свои устройства до последних версий прошивки, убедиться в надежности паролей учетной записи и Wi-Fi.
Кроме того, рекомендуется отключить доступ в Интернет к панели администратора, удаленный доступ из WAN, переадресацию портов, DDNS, VPN-сервер, DMZ и триггер портов.
Другая исправленная уязвимость, CVE-2024-3079, имеет высокую степень серьезности (7.2) и связана с переполнением буфера, для использования которой требуется доступ к учетной записи администратора.
Поставщик также устранил критическую ошибку загрузки произвольного встроенного ПО (CVE-2024-3912, CVSS 9,8), которая был а обнаружена Карлосом Кёпке из PLASMALABS и затрагивает DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL- AC52U, DSL-AC55U, DSL-AC56U.
Причем для DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55 наступил EoL, поэтому исправлений для них не намечается.
И, наконец, ASUS анонсировала обновление для утилиты Download Master, новая версия 3.1.0.114 устраняет пять ошибок средней и высокой степени серьезности (загрузка произвольных файлов, внедрение команд ОС, переполнение буфера, XSS).
TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報
ASUS 路由器 - Improper Authentication-TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-資安服務-台灣漏洞揭露平台 (TVN)-TVN (Taiwan Vulnerability…
Ресерчеры Cisco Talos раскрывают новую кампанию Operation Celestial Force, которая активна как минимум с 2018 года и связана с пакистанской APT Cosmic Leopard (aka SpaceCobra), по тактике схожей с Transparent Tribe.
По данным исследователей, наблюдаемая активность все еще продолжается и включает постоянно расширяющийся набор вредоносных ПО с таргетом на Индийский субконтинент и цели в оборонном, технологическом и правительственном секторах.
Среди них замечено вредоносное ПО для Android под названием GravityRAT в совокупности с загрузчиком для Windows HeavyLift, администрирование которых реализуется с помощью инструмента GravityAdmin.
GravityRAT впервые задетектился в 2018, а введен в эксплуатацию еще раньше в 2016 году.
Он был нацелен на системы Windows в индийских организациях посредством целевого фишинга и имел широкий шпионских функционал.
С тех пор вредоносное ПО было адаптировано под ОС Android и macOS, превратившись в мультиплатформатный инструмент кибершпионажа.
Как отмечают исследователи, Cosmic Leopard преимущественно задействует целевой фишинг и социнженерию для формирования с жертвой доверительных отношений, после чего побуждает ее загрузить якобы безобидную программу, предоставляя ссылку, которая по итогу доставляет GravityRAT или HeavyLift в зависимости от ОС.
В свою очередь, GravityAdmin представляет собой двоичный файл, используемый для управления зараженными системами по крайней мере с августа 2021 года, установливая соединения с GravityRAT и C2 HeavyLift.
GravityAdmin включает несколько встроенных пользовательских интерфейсов (UI), которые соответствуют конкретным кампаниям с кодовыми названиями.
Например, FOXTROT, CLOUDINFINITY и CHATICO - это имена, присвоенные всем заражениям GravityRAT на базе Android, тогда как CRAFTWITHME, SEXYBER и CVSCOUT - для атак с использованием HeavyLift.
Недавно обнаруженный компонент в арсенале злоумышленников - HeavyLift, представляет собой штамм загрузчиков вредоносных ПО на базе Electron, распространяемый через вредоносные установщики, нацеленные на ОС Windows.
Он также имеет сходство с версиями GravityRAT Electron, задокументированными Лабораторией Касперского ранее в 2020 году.
Вредоносное ПО после запуска способно собирать и экспортировать системные метаданные на жестко запрограммированный C2, после чего периодически опрашивает сервер на наличие новых полезных данных, которые будут выполняться в системе.
Более того, он способен выполнять аналогичные функции и в macOS.
IOC также можно найти в репозитории на GitHub (здесь).
По данным исследователей, наблюдаемая активность все еще продолжается и включает постоянно расширяющийся набор вредоносных ПО с таргетом на Индийский субконтинент и цели в оборонном, технологическом и правительственном секторах.
Среди них замечено вредоносное ПО для Android под названием GravityRAT в совокупности с загрузчиком для Windows HeavyLift, администрирование которых реализуется с помощью инструмента GravityAdmin.
GravityRAT впервые задетектился в 2018, а введен в эксплуатацию еще раньше в 2016 году.
Он был нацелен на системы Windows в индийских организациях посредством целевого фишинга и имел широкий шпионских функционал.
С тех пор вредоносное ПО было адаптировано под ОС Android и macOS, превратившись в мультиплатформатный инструмент кибершпионажа.
Как отмечают исследователи, Cosmic Leopard преимущественно задействует целевой фишинг и социнженерию для формирования с жертвой доверительных отношений, после чего побуждает ее загрузить якобы безобидную программу, предоставляя ссылку, которая по итогу доставляет GravityRAT или HeavyLift в зависимости от ОС.
В свою очередь, GravityAdmin представляет собой двоичный файл, используемый для управления зараженными системами по крайней мере с августа 2021 года, установливая соединения с GravityRAT и C2 HeavyLift.
GravityAdmin включает несколько встроенных пользовательских интерфейсов (UI), которые соответствуют конкретным кампаниям с кодовыми названиями.
Например, FOXTROT, CLOUDINFINITY и CHATICO - это имена, присвоенные всем заражениям GravityRAT на базе Android, тогда как CRAFTWITHME, SEXYBER и CVSCOUT - для атак с использованием HeavyLift.
Недавно обнаруженный компонент в арсенале злоумышленников - HeavyLift, представляет собой штамм загрузчиков вредоносных ПО на базе Electron, распространяемый через вредоносные установщики, нацеленные на ОС Windows.
Он также имеет сходство с версиями GravityRAT Electron, задокументированными Лабораторией Касперского ранее в 2020 году.
Вредоносное ПО после запуска способно собирать и экспортировать системные метаданные на жестко запрограммированный C2, после чего периодически опрашивает сервер на наличие новых полезных данных, которые будут выполняться в системе.
Более того, он способен выполнять аналогичные функции и в macOS.
IOC также можно найти в репозитории на GitHub (здесь).
Cisco Talos Blog
Operation Celestial Force employs mobile and desktop malware to target Indian entities
Cisco Talos is disclosing a new malware campaign called “Operation Celestial Force” running since at least 2018. It is still active today, employing the use of GravityRAT, an Android-based malware, along with a Windows-based malware loader we track as “HeavyLift.”
͏Поскольку IP-камер Dahua в России продается dahua, да и вообще это ведущий китайский производитель подобных девайсов, мы решили что на этот факт стоит обратить внимание.
Некто на известном ресурсе анонсировал продажу 0-day для камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.
Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.
За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения селлер просит 400 000 долларов США.
При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC.
Цена, конечно, не dahua, но тоже не мало.
Некто на известном ресурсе анонсировал продажу 0-day для камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.
Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.
За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения селлер просит 400 000 долларов США.
При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC.
Цена, конечно, не dahua, но тоже не мало.
͏Куда более солидный гонорар в киберподполье просит Sp3ns3r за Zero-click эксплойт под Android, который может быть реализован через MMS и открывает полный контроль над целевым устройством.
По цене всего лишь в $5 000 000 злоумышленнику гарантируется простота атаки, поддержка версий 11, 12, 13 и 14, а также эффективность на всех телефонах Android. PoC в наличии.
По цене всего лишь в $5 000 000 злоумышленнику гарантируется простота атаки, поддержка версий 11, 12, 13 и 14, а также эффективность на всех телефонах Android. PoC в наличии.