Девочки, неожиданно обнаружили, что вельми уважаемый нами канал Беспощадный пиарщик (aka БП) выпустил пост, который непосредственно касается области инфосека. То есть нашей с вами. А конкретно – интервью, которое Wired взяли у уходящей главы CISA Джен Истерли. И с интересом этот пост прочитали.
Отвечаем.
Все, что затрагивает тонкости непосредственно PR, как всегда, написано талантливо и с юмором. Собственно, не будем кривить душой, наша редакция с самого начала существования SecAtor’а смотрела на БП как на один из образцов ведения русскоязычных ТГ-каналов в принципе.
А вот то, что имеет отношение к информационной безопасности, девочки, написано, мягко скажем, без знания дела.
Во-первых, можно сколь угодно иронизировать над описываемым журналистами образом Истерли (да-да, мы тоже помним "черную обтягивающую водолазку и сельдереевый фреш"), но факт остается фактом – в настоящее время CISA является передовым примером грамотного подхода к государственному регулированию отрасли кибербезопасности. Это не значит, что у них все замечательно. Это значит, что лучше пока в мире ничего не сделали. И при Истерли агентство не только не сдало свои позиции, а наоборот - укрепило их.
А во-вторых, скомпилированная редакцией БП фраза "первыми предупредили американцев о кибератаке под названием "Солнечный ветер" со стороны России в декабре 2020 года и со стороны китайцев под названием "Солёный тайфун" в начале 2024 года" звучит крайне потешно с точки зрения инфосека.
Это как если бы мы написали материал по PR в информационной безопасности, в котором заявили бы про известные российские Интернет-СМИ под названиями Болтик и Фабричников.
Короче говоря, за оформление – 5, за содержание – 3 с минусом.
Так видим.
Отвечаем.
Все, что затрагивает тонкости непосредственно PR, как всегда, написано талантливо и с юмором. Собственно, не будем кривить душой, наша редакция с самого начала существования SecAtor’а смотрела на БП как на один из образцов ведения русскоязычных ТГ-каналов в принципе.
А вот то, что имеет отношение к информационной безопасности, девочки, написано, мягко скажем, без знания дела.
Во-первых, можно сколь угодно иронизировать над описываемым журналистами образом Истерли (да-да, мы тоже помним "черную обтягивающую водолазку и сельдереевый фреш"), но факт остается фактом – в настоящее время CISA является передовым примером грамотного подхода к государственному регулированию отрасли кибербезопасности. Это не значит, что у них все замечательно. Это значит, что лучше пока в мире ничего не сделали. И при Истерли агентство не только не сдало свои позиции, а наоборот - укрепило их.
А во-вторых, скомпилированная редакцией БП фраза "первыми предупредили американцев о кибератаке под названием "Солнечный ветер" со стороны России в декабре 2020 года и со стороны китайцев под названием "Солёный тайфун" в начале 2024 года" звучит крайне потешно с точки зрения инфосека.
Это как если бы мы написали материал по PR в информационной безопасности, в котором заявили бы про известные российские Интернет-СМИ под названиями Болтик и Фабричников.
Короче говоря, за оформление – 5, за содержание – 3 с минусом.
Так видим.
Telegram
Беспощадный пиарщик
Девочки, вот уже четыре дня мы живём в реальности победившего мема: вся редакция благодарит Дональда Трампа за бодрое начало года, и ведь это ещё не развернулся на полную силу ДОГЕ-департамент во главе с Илоном Маском, которому предстоит задача сокращения…
Исследователи Black Lotus Labs из Lumen Technologies сообщают о вредоносной кампании, нацеленной на маршрутизаторы и VPN-шлюзы Juniper с использованием вредоносного ПО под названием J-magic, разработанного специально для Junos OS.
Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.
Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.
По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.
На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.
J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.
Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.
J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.
Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.
Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.
Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.
В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.
В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.
Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.
Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.
Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.
По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.
На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.
J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.
Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.
J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.
Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.
Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.
Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.
В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.
В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.
Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.
Lumen Blog
The J-magic show: Magic packets and where to find them
Black Lotus Labs uncovered the threat of magic packet malware in the J-magic campaign targeting Juniper routers. Read the analysis.
Исследователи из Positive Technologies расчехлили новую финансово мотивированную группу злоумышленников, которая на протяжении почти двух лет атаковала финансовые подразделения российских компаний.
Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.
Основным инструментом является готовый инструмент под названием Revenge RAT.
Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.
На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.
Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.
Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.
Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.
Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.
Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.
Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.
Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.
Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.
Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.
С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.
Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.
Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.
Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.
Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.
Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.
При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.
Технический разбор и IoC - в отчете.
Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.
Основным инструментом является готовый инструмент под названием Revenge RAT.
Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.
На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.
Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.
Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.
Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.
Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.
Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.
Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.
Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.
Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.
Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.
С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.
Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.
Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.
Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.
Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.
Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.
При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.
Технический разбор и IoC - в отчете.
Дела с UnitedHealth приобретают совсем иной оборот в связи с прошлогодним инцидентом, связанным с ransomware-атакой на дочернюю Change Healthcare.
Как выяснилось по итогам всех расследований, вымогателям AlphV удалось в феврале прошлого года выкрасть личные и медицинские данные 190 миллионов американцев, что почти вдвое превышает ранее озвученную цифру.
Тогда инцидент еще и парализовал работу аптек по всей стране.
В октябре UnitedHealth официально уведомила Управление по гражданским правам Министерства здравоохранения и социальных служб США и сообщила, что атака затронула 100 миллионов граждан страны.
Однако на текущий момент UnitedHealth была вынуждена признать полное фиаско, заявляя о значительной увеличении числа пострадавших, которых компания спешно уведомляет о нарушении.
Подавляющему большинству этих людей уже были направлены индивидуальные или альтернативные уведомления. Окончательное число будет подтверждено и передано в Управление по гражданским правам позднее.
UnitedHealth заверяет, что нет никаких признаков того, что злоумышленники каким-либо образом использовали украденные данные, однако объем утекшей конфиденциальной информации (почти 6 ТБ) вызывает серьезные опасения.
Фактически утекли данные о медстраховании, медицинские записи, сведения по счетам и платежам, а также личная информация, включая номера телефонов, адреса и, в некоторых случаях, номера соцстрахования и идентификационные госномера.
Атака на дочернюю компанию UnitedHealth, Change Healthcare можно считать крупнейшей утечкой данных в сфере здравоохранения в современной истории США.
Вероятно, и с самым большим выкупом, который UnitedHealth вынуждена была перечислить вымогателям, чтобы получить дешифратор и не допустить дальнейшего публичного распространения данных.
Пока речь идет о 22 млн. долларов.
При этом ответственный за атаку оператор BlackCat после получения транша просто исчез. Но самое интересное, что одним траншем все не закончилось. Объединившись с RansomHub банда продолжила вымогать кеш у компании, обещая слить украденные данные.
Несколько дней спустя запись Change Healthcare на DLS RansomHub загадочным образом исчезла, что указывает на вероятную уплату United Health второго транша запрошенного выкупа, сумма которого не разглашается и может оказаться одной из крупнейших на текущий момент.
Но будем посмотреть.
Как выяснилось по итогам всех расследований, вымогателям AlphV удалось в феврале прошлого года выкрасть личные и медицинские данные 190 миллионов американцев, что почти вдвое превышает ранее озвученную цифру.
Тогда инцидент еще и парализовал работу аптек по всей стране.
В октябре UnitedHealth официально уведомила Управление по гражданским правам Министерства здравоохранения и социальных служб США и сообщила, что атака затронула 100 миллионов граждан страны.
Однако на текущий момент UnitedHealth была вынуждена признать полное фиаско, заявляя о значительной увеличении числа пострадавших, которых компания спешно уведомляет о нарушении.
Подавляющему большинству этих людей уже были направлены индивидуальные или альтернативные уведомления. Окончательное число будет подтверждено и передано в Управление по гражданским правам позднее.
UnitedHealth заверяет, что нет никаких признаков того, что злоумышленники каким-либо образом использовали украденные данные, однако объем утекшей конфиденциальной информации (почти 6 ТБ) вызывает серьезные опасения.
Фактически утекли данные о медстраховании, медицинские записи, сведения по счетам и платежам, а также личная информация, включая номера телефонов, адреса и, в некоторых случаях, номера соцстрахования и идентификационные госномера.
Атака на дочернюю компанию UnitedHealth, Change Healthcare можно считать крупнейшей утечкой данных в сфере здравоохранения в современной истории США.
Вероятно, и с самым большим выкупом, который UnitedHealth вынуждена была перечислить вымогателям, чтобы получить дешифратор и не допустить дальнейшего публичного распространения данных.
Пока речь идет о 22 млн. долларов.
При этом ответственный за атаку оператор BlackCat после получения транша просто исчез. Но самое интересное, что одним траншем все не закончилось. Объединившись с RansomHub банда продолжила вымогать кеш у компании, обещая слить украденные данные.
Несколько дней спустя запись Change Healthcare на DLS RansomHub загадочным образом исчезла, что указывает на вероятную уплату United Health второго транша запрошенного выкупа, сумма которого не разглашается и может оказаться одной из крупнейших на текущий момент.
Но будем посмотреть.
TechCrunch
UnitedHealth confirms 190 million Americans affected by Change Healthcare data breach | TechCrunch
The number of individuals confirmed to be affected by the data breach is almost double the company's previous estimate.
Подкатил ежегодный отчет по управлению уязвимостями (Vulnerabilities Equities Process, VEP) за 2023 год (FY23) от американского правительства, согласно которому поставщикам ПО было раскрыто 39 уязвимостей.
При этом 29 уязвимостей относились к новым (выявленным за отчетный период), но также власти рассекретили данные в отношении 10 проблем в безопасности ПО за предыдущие года, которые скрывались, вероятно, использовались в оперативных целях национальных спецслужб.
По всей видимости, публикация подробностей последовала после того, как все они были отработаны в полном объеме в операциях и кампаниях кибершпионажа, а может и еще где, обеспечивая стратегический паритет в киберсреде.
Между тем, как признались авторы отчета статус исправлений их вообще не интересовал и не отслеживался, одним словом, власти США попросту забили на состояние безопасности отрасли.
И более того, из отчета неясно сколько вообще уязвимсотей попадало в поле зрения федерального правительства, по каким критериям проводился отбор и тем более неизвестно, сколько из них все еще задействуются.
В общем, никогда такого не было и вот опять.
При этом 29 уязвимостей относились к новым (выявленным за отчетный период), но также власти рассекретили данные в отношении 10 проблем в безопасности ПО за предыдущие года, которые скрывались, вероятно, использовались в оперативных целях национальных спецслужб.
По всей видимости, публикация подробностей последовала после того, как все они были отработаны в полном объеме в операциях и кампаниях кибершпионажа, а может и еще где, обеспечивая стратегический паритет в киберсреде.
Между тем, как признались авторы отчета статус исправлений их вообще не интересовал и не отслеживался, одним словом, власти США попросту забили на состояние безопасности отрасли.
И более того, из отчета неясно сколько вообще уязвимсотей попадало в поле зрения федерального правительства, по каким критериям проводился отбор и тем более неизвестно, сколько из них все еще задействуются.
В общем, никогда такого не было и вот опять.
Исследователи CloudSEK расчехлили атаку на цепочку мамкиных хацкеров, которую удалось провернуть с помощью троянизированного билдера вредоносного ПО, который тайно доставлял бэкдор для кражи данных и захвата компьютеров.
Задействованное в кампании вредоносное ПО XWorm RAT заразило 18 459 устройств по всему миру, большинство из которых расположены в России, США, Индии, Украине и Турции.
При этом он специально был нацелен на новичков в кибербезе, которые попросту скачивали и использовали инструменты, упомянутые в различных руководствах.
CloudSEK обнаружила, что вредоносное ПО включало функцию аварийного отключения, которая активировалась для удаления вредоносного ПО со многих зараженных машин, но в виду ряда ограничений некоторые из них остались зараженными.
Обнаруженный троянизированный билдер распространялся по различным каналам, включая репозитории GitHub, платформы хостинга файлов, каналы в Telegram, ролики на YouTube и другие сайты.
Для завлечения ничего не подозревающих жертв акторы продвигали билдер в качестве альтернативы бесплатной версии вредоносного ПО.
Однако вместо этого устройства новоиспеченных операторов взламывали. После заражения вредоносная программа XWorm проверяла реестр Windows на наличие признаков виртуализированной среды.
После необходимых тестов вредоносная ПО вносила необходимые изменения в реестр, обеспечивая сохранение между перезагрузками системы.
Каждая зараженная система регистрировалась на сервере C2 на базе Telegram с использованием жестко запрограммированного идентификатора и токена бота Telegram.
Вредоносная ПО также автоматически крала токены Discord, системную информацию и данные о местоположении (с IP-адреса), передавая их на C2 в ожидании команд от операторов.
56 поддерживаемых команд обеспечивали решение широкого диапазона задач, включая кражу сохраненных паролей и cookie из браузеров, кейлоггинг, контроль экрана, шифрование файлов, прекращение запущенных процессов, эксфильтрация файлов и самоудаление.
По данным CloudSEK, операторы вредоносного ПО смогли извлечь данные примерно с 11% зараженных устройств, преимущественно реализуя снимки экрана и похищая данные из браузеров.
В общем, в CloudSEK решили прекратить дальнейшие соития жаб и гадюк, нейтрализовав ботнет через жестко запрограммированные API-токены и встроенную функцию экстренного отключения.
Задействованное в кампании вредоносное ПО XWorm RAT заразило 18 459 устройств по всему миру, большинство из которых расположены в России, США, Индии, Украине и Турции.
При этом он специально был нацелен на новичков в кибербезе, которые попросту скачивали и использовали инструменты, упомянутые в различных руководствах.
CloudSEK обнаружила, что вредоносное ПО включало функцию аварийного отключения, которая активировалась для удаления вредоносного ПО со многих зараженных машин, но в виду ряда ограничений некоторые из них остались зараженными.
Обнаруженный троянизированный билдер распространялся по различным каналам, включая репозитории GitHub, платформы хостинга файлов, каналы в Telegram, ролики на YouTube и другие сайты.
Для завлечения ничего не подозревающих жертв акторы продвигали билдер в качестве альтернативы бесплатной версии вредоносного ПО.
Однако вместо этого устройства новоиспеченных операторов взламывали. После заражения вредоносная программа XWorm проверяла реестр Windows на наличие признаков виртуализированной среды.
После необходимых тестов вредоносная ПО вносила необходимые изменения в реестр, обеспечивая сохранение между перезагрузками системы.
Каждая зараженная система регистрировалась на сервере C2 на базе Telegram с использованием жестко запрограммированного идентификатора и токена бота Telegram.
Вредоносная ПО также автоматически крала токены Discord, системную информацию и данные о местоположении (с IP-адреса), передавая их на C2 в ожидании команд от операторов.
56 поддерживаемых команд обеспечивали решение широкого диапазона задач, включая кражу сохраненных паролей и cookie из браузеров, кейлоггинг, контроль экрана, шифрование файлов, прекращение запущенных процессов, эксфильтрация файлов и самоудаление.
По данным CloudSEK, операторы вредоносного ПО смогли извлечь данные примерно с 11% зараженных устройств, преимущественно реализуя снимки экрана и похищая данные из браузеров.
В общем, в CloudSEK решили прекратить дальнейшие соития жаб и гадюк, нейтрализовав ботнет через жестко запрограммированные API-токены и встроенную функцию экстренного отключения.
Cloudsek
No Honour Among Thieves: Uncovering a Trojanized XWorm RAT Builder Propagated by Threat Actors and Disrupting Its Operations |…
Discover how a trojanized version of the XWorm RAT builder exploited novice cybersecurity enthusiasts, spreading malware through GitHub, Telegram, and file-sharing platforms to compromise over 18,000 devices globally. This malicious tool exfiltrates sensitive…
Тем временем, в штатах новый серьезный инцидент, жертвой которого стал Stark Aerospace, ведущий поставщик высокотехнологичных ракетных и авиационных систем со штаб-квартирой в Миссисипи.
Подрядчика ВС и Минобороны США зарансомила банда вымогателей INC Ransom, разместив объявление на своем DLS с указанием украденных колоссальных 4 ТБ данных, включая исходники, проектную документацию, данные сотрудников и прошивки для всей линейки БПЛА.
Помимо военных поставщик также фигурирует в качестве подрядчика Boeing и General Dynamics.
Помимо ракетных систем в Stark Aerospace ведется разработка барражирующих боеприпасов, а также сборка и ремонт электроники и авионики, в том числе для военно-морских навигационных систем.
Разрабатываемые сверхсекретные технологии Stark Aerospace используются для военного наблюдения, пограничного патрулирования, морского наблюдения, мониторинга окружающей среды и инфраструктуры, включая критически важные объекты.
Согласно представленному INC Ransom описанию, представлен внушительный кэш с пакетом пруффов, включая 40 образцов файлов, предположительно похищенных из аэрокосмической компании.
Хакеры заявили, что располагают полным спектром конструкторской документации, исходными кодами ПО, включая прошивки всех типов производимых БПЛА, информацию о контрактах с Минобороны и другими военными ведомствами.
Кроме того, INC Ransom по всей видимости, располагает информацией о цепочке поставок и технологических партнерах, кодами и номерами деталей всей компонентной базы, строительными планами и научными рабработками, задействованными в производстве.
Помимо этого, украдены личные данные и копии документов ведущих инструкторов компании, которые командируют в горячие точки для обучения и презентаций.
Банда вымогателей также заявила о доступе к конфиденциальная информация по производственным программам, разведывательным спутникам и документам, связанным с материнской компанией IAI North America, которая, в свою очередь, является дочерней для крупнейшего израильского аэрокосмического и оборонного холдинга Israel Aerospace Industries Ltd.
Теперь банда угрожает выкатить украденные массивы, если не будет выплачен выкуп.
Правда сроков для Stark Aerospace пока не обозначили. Видимо, вопрос предельно серьезный и требует особого подхода.
Учитывая, что впервые появившаяся в июле 2023 года INC Ransom к настоящему времени уже положила не менее 135 организаций (в том числе Tri-City, департамент шерифа Сан-Франциско, город Лестер в Англии и корпорацию Xerox), дело пахнет жаренным.
Но будем, кончено, посмотреть.
Подрядчика ВС и Минобороны США зарансомила банда вымогателей INC Ransom, разместив объявление на своем DLS с указанием украденных колоссальных 4 ТБ данных, включая исходники, проектную документацию, данные сотрудников и прошивки для всей линейки БПЛА.
Помимо военных поставщик также фигурирует в качестве подрядчика Boeing и General Dynamics.
Помимо ракетных систем в Stark Aerospace ведется разработка барражирующих боеприпасов, а также сборка и ремонт электроники и авионики, в том числе для военно-морских навигационных систем.
Разрабатываемые сверхсекретные технологии Stark Aerospace используются для военного наблюдения, пограничного патрулирования, морского наблюдения, мониторинга окружающей среды и инфраструктуры, включая критически важные объекты.
Согласно представленному INC Ransom описанию, представлен внушительный кэш с пакетом пруффов, включая 40 образцов файлов, предположительно похищенных из аэрокосмической компании.
Хакеры заявили, что располагают полным спектром конструкторской документации, исходными кодами ПО, включая прошивки всех типов производимых БПЛА, информацию о контрактах с Минобороны и другими военными ведомствами.
Кроме того, INC Ransom по всей видимости, располагает информацией о цепочке поставок и технологических партнерах, кодами и номерами деталей всей компонентной базы, строительными планами и научными рабработками, задействованными в производстве.
Помимо этого, украдены личные данные и копии документов ведущих инструкторов компании, которые командируют в горячие точки для обучения и презентаций.
Банда вымогателей также заявила о доступе к конфиденциальная информация по производственным программам, разведывательным спутникам и документам, связанным с материнской компанией IAI North America, которая, в свою очередь, является дочерней для крупнейшего израильского аэрокосмического и оборонного холдинга Israel Aerospace Industries Ltd.
Теперь банда угрожает выкатить украденные массивы, если не будет выплачен выкуп.
Правда сроков для Stark Aerospace пока не обозначили. Видимо, вопрос предельно серьезный и требует особого подхода.
Учитывая, что впервые появившаяся в июле 2023 года INC Ransom к настоящему времени уже положила не менее 135 организаций (в том числе Tri-City, департамент шерифа Сан-Франциско, город Лестер в Англии и корпорацию Xerox), дело пахнет жаренным.
Но будем, кончено, посмотреть.
Apple выпустила обновления безопасности для десятков уязвимостей в своих мобильных и настольных продуктах, включая исправления для первой в этом году 0-day, которая активно эксплуатируется в атаках.
Исправленная сегодня уязвимость нулевого дня отслеживается как CVE-2025-24085 (iOS/iPadOS, macOS, tvOS, watchOS, visionOS) и описывается как проблема использования памяти после освобождения в CoreMedia.
При этом Apple отметила, что ей известно о том, что эта проблема могла активно эксплуатироваться в версиях до iOS 17.2.
0-day в CoreMedia позволяет киберпреступникам получить контроль над целевыми устройствами с помощью поддельного приложения, имитирующего воспроизведение мультимедийных файлов, что обеспечивает доступ к конфиденциальным данным
Уязвимость была устранена путем улучшения управления памятью в iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3, но в компании не раскрывают конкретных подробностей о ее эксплуатации.
Среди затронутых этой уязвимостью устройств как старые, так и новые модели, в том числе: модели iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, macOS Sequoia, Apple Watch серии 6 и Apple TV HD и Apple TV 4K (и все более поздние).
iOS 18.3 и iPadOS 18.3 включают исправление и для 28 других ошибок, которые могут привести к обходу аутентификации, DoS, RCE,EoP, снятию фингерпринта, изменению системных файлов, спуфингу, раскрытию информации и внедрению команд.
В macOS Sequoia 15.3 устранено также 60 других проблем, приводящих к аналогичным результатам, в macOS Sonoma 14.7.3 и macOS Ventura 13.7.3 - более 40 и 30 дефектов, еще 17 недостатков закрыто в iPadOS 17.7.4, 18 в - tvOS 18.3 и watchOS 11.3, а также 21 - в visionOS 2.3.
Кроме того, выпущена Safari 18.3 с исправлениями 7 уязвимостей, которые могли привести к обходу аутентификации расширений браузера, подмене пользовательского интерфейса, подмене адресной строки, снятию фингерпринта, DoS, сбою процесса и внедрению команд.
По всей видимости, 0-day, скорее всего, использовалась только в целевых атаках, поэтому настоятельно рекомендуется как можно скорее установить обновления, нейтрализовав возможности для потенциально продолжающихся атак.
Исправленная сегодня уязвимость нулевого дня отслеживается как CVE-2025-24085 (iOS/iPadOS, macOS, tvOS, watchOS, visionOS) и описывается как проблема использования памяти после освобождения в CoreMedia.
При этом Apple отметила, что ей известно о том, что эта проблема могла активно эксплуатироваться в версиях до iOS 17.2.
0-day в CoreMedia позволяет киберпреступникам получить контроль над целевыми устройствами с помощью поддельного приложения, имитирующего воспроизведение мультимедийных файлов, что обеспечивает доступ к конфиденциальным данным
Уязвимость была устранена путем улучшения управления памятью в iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3, но в компании не раскрывают конкретных подробностей о ее эксплуатации.
Среди затронутых этой уязвимостью устройств как старые, так и новые модели, в том числе: модели iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, macOS Sequoia, Apple Watch серии 6 и Apple TV HD и Apple TV 4K (и все более поздние).
iOS 18.3 и iPadOS 18.3 включают исправление и для 28 других ошибок, которые могут привести к обходу аутентификации, DoS, RCE,EoP, снятию фингерпринта, изменению системных файлов, спуфингу, раскрытию информации и внедрению команд.
В macOS Sequoia 15.3 устранено также 60 других проблем, приводящих к аналогичным результатам, в macOS Sonoma 14.7.3 и macOS Ventura 13.7.3 - более 40 и 30 дефектов, еще 17 недостатков закрыто в iPadOS 17.7.4, 18 в - tvOS 18.3 и watchOS 11.3, а также 21 - в visionOS 2.3.
Кроме того, выпущена Safari 18.3 с исправлениями 7 уязвимостей, которые могли привести к обходу аутентификации расширений браузера, подмене пользовательского интерфейса, подмене адресной строки, снятию фингерпринта, DoS, сбою процесса и внедрению команд.
По всей видимости, 0-day, скорее всего, использовалась только в целевых атаках, поэтому настоятельно рекомендуется как можно скорее установить обновления, нейтрализовав возможности для потенциально продолжающихся атак.
Apple Support
About the security content of iOS 18.3 and iPadOS 18.3 - Apple Support
This document describes the security content of iOS 18.3 and iPadOS 18.3.
Пошел накат на китайскую ИИ после того, как вдруг DeepSeek стала самым популярным приложением Apple AppStore, лишив при этом IT-гигантов США средств на $1 трлн. и обогнав ChatGPT (OpenAI) по производительности при в 100 раз меньших затратах на разработку.
Китайский стартап фактически обвалил акции Nvidia более чем на 16% ($600 млрд), Oracle – на 7%. Пострадали Microsoft, Meta Platforms Inc. и Tesla.
Но в ответ сразу же получил серьезный канат.
Разработчики были вынуждены отключить регистрацию на своей платформе DeepSeek-V3 из-за продолжающейся крупномасштабной кибератаки, нацеленной на ее сервисы.
Подробности атаки не разглашаются, предполагается, что компания столкнулась с атакой DDoS на свой API и платформу, которая повлияла на процесс регистрации.
Помимо сугубо конкурентных атак, посыпались доводы относительно безопасности платформы.
Так, KELA выкатила отчет, согласно
которому утверждает, что ей удалось взломать модель.
KELA отметила, что хотя DeepSeek R1 имеет сходство с ChatGPT, он значительно более уязвим.
Команде AI Red Team из KELA удалось взломать модель в широком диапазоне сценариев.
По итогам им удалось сгенерировать вредоносные результаты, включая разработку ransomware, создание конфиденциального контента, а также получить подробные инструкции по созданию токсинов или взрывных устройств.
В DeepSeek пока никак не комментируют ситуацию. Будем следить.
Китайский стартап фактически обвалил акции Nvidia более чем на 16% ($600 млрд), Oracle – на 7%. Пострадали Microsoft, Meta Platforms Inc. и Tesla.
Но в ответ сразу же получил серьезный канат.
Разработчики были вынуждены отключить регистрацию на своей платформе DeepSeek-V3 из-за продолжающейся крупномасштабной кибератаки, нацеленной на ее сервисы.
Подробности атаки не разглашаются, предполагается, что компания столкнулась с атакой DDoS на свой API и платформу, которая повлияла на процесс регистрации.
Помимо сугубо конкурентных атак, посыпались доводы относительно безопасности платформы.
Так, KELA выкатила отчет, согласно
которому утверждает, что ей удалось взломать модель.
KELA отметила, что хотя DeepSeek R1 имеет сходство с ChatGPT, он значительно более уязвим.
Команде AI Red Team из KELA удалось взломать модель в широком диапазоне сценариев.
По итогам им удалось сгенерировать вредоносные результаты, включая разработку ransomware, создание конфиденциального контента, а также получить подробные инструкции по созданию токсинов или взрывных устройств.
В DeepSeek пока никак не комментируют ситуацию. Будем следить.
Deepseek
DeepSeek Service Status
Welcome to DeepSeek Service's home for real-time and historical data on system performance.
Исследователи BI.ZONE представили свое видение рынка инфосека в 2025 году, выделив основные тренды киберландшафта как стороны нападающих, так и с противоположной.
Общая картина, по мнению исследователей, характеризуется увеличением числа атак и 2025-й не станет исключением.
Важный тренд - увеличение числа атак, связанных с хактивизмом: в 2024 году доля таких атак увеличилась и составила 12%.
Вероятно, 2025 год принесет новые крупные публичные взломы.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно - хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации: фишинг, задействование скомпрометированных подрядчиков и легитимных учетных записей, а также эксплуатация уязвимостей в сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами, что в BI.ZONE связывают с высокой ключевой ставкой, которая ограничивает бизнес в привлечении финансирования для реализации крупных проектов.
Основное по трендам в защите:
- Законодательные изменения по части переданных и требования по переходу на отечественные IT-решения для объектов КИИ будут выступать драйверами развития отечественного рынка ИБ.
- Практическая помощь от государства будет продолжена: создана Национальная система противодействия DDoS-атакам; появился российский репозиторий программ с открытым исходным кодом; запущена государственная система сканирования российского адресного пространства на уязвимости; может продолжиться развитие национальной системы доменных имен.
- Развитие рынка next-generation firewall: объем российского рынка NGFW в 2024 году составил 52 млрд руб. и будет ежегодно расти (по прогнозам на 12%) после ухода большинства зарубежных решений.
- Активное продвижение концепции zero trust.
- Использование защищенных облачных ресурсов: на 32% вырос рынок облачных ресурсов в 2024 году, важным моментом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных.
- Укрепление позиций artificial intelligence (AI) и machine learning (ML), в том числе внедрение в работу SOC.
- Переход от сканирования периметра к extended attack surface managment (EASM): тренд 2025 года - переход российских поставщиков от отдельных инструментов к комплексным решениям, соответствующих потребностям в контроле внешней поверхности атаки.
Тренды атакующих сводятся к тому, что методы и тактики злоумышленников радикально не меняются из года в год.
Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года.
Среди унаследованных трендов: хактивизм, вымогательство, использование стилеров, коммерческое вредоносное ПО, опенсорс-инструменты и C2-фреймворки, средства для туннелирования трафика.
Помимо этого прогнозируются следующие тренды: атаки через подрядчиков; удар по гражданам через атаки на бизнес и госорганы; использование украденных персональных данных и переход мошенников в мессенджеры.
Подробное описание каждого прогноза - в отчете.
Общая картина, по мнению исследователей, характеризуется увеличением числа атак и 2025-й не станет исключением.
Важный тренд - увеличение числа атак, связанных с хактивизмом: в 2024 году доля таких атак увеличилась и составила 12%.
Вероятно, 2025 год принесет новые крупные публичные взломы.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно - хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации: фишинг, задействование скомпрометированных подрядчиков и легитимных учетных записей, а также эксплуатация уязвимостей в сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами, что в BI.ZONE связывают с высокой ключевой ставкой, которая ограничивает бизнес в привлечении финансирования для реализации крупных проектов.
Основное по трендам в защите:
- Законодательные изменения по части переданных и требования по переходу на отечественные IT-решения для объектов КИИ будут выступать драйверами развития отечественного рынка ИБ.
- Практическая помощь от государства будет продолжена: создана Национальная система противодействия DDoS-атакам; появился российский репозиторий программ с открытым исходным кодом; запущена государственная система сканирования российского адресного пространства на уязвимости; может продолжиться развитие национальной системы доменных имен.
- Развитие рынка next-generation firewall: объем российского рынка NGFW в 2024 году составил 52 млрд руб. и будет ежегодно расти (по прогнозам на 12%) после ухода большинства зарубежных решений.
- Активное продвижение концепции zero trust.
- Использование защищенных облачных ресурсов: на 32% вырос рынок облачных ресурсов в 2024 году, важным моментом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных.
- Укрепление позиций artificial intelligence (AI) и machine learning (ML), в том числе внедрение в работу SOC.
- Переход от сканирования периметра к extended attack surface managment (EASM): тренд 2025 года - переход российских поставщиков от отдельных инструментов к комплексным решениям, соответствующих потребностям в контроле внешней поверхности атаки.
Тренды атакующих сводятся к тому, что методы и тактики злоумышленников радикально не меняются из года в год.
Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года.
Среди унаследованных трендов: хактивизм, вымогательство, использование стилеров, коммерческое вредоносное ПО, опенсорс-инструменты и C2-фреймворки, средства для туннелирования трафика.
Помимо этого прогнозируются следующие тренды: атаки через подрядчиков; удар по гражданам через атаки на бизнес и госорганы; использование украденных персональных данных и переход мошенников в мессенджеры.
Подробное описание каждого прогноза - в отчете.
BI.ZONE
Обзор трендов кибербезопасности 2025 года: мнение экспертов BI.ZONE
Количество атак на Россию и внутренний рынок кибербезопасности растет уже несколько лет подряд. В материале рассказываем, какие новшества и тенденции принесет 2025 год, по мнению экспертов BI.ZONE
Банда вымогателей BASHE, также известная как APT73, добавила ICICI Bank на свой сайт DLS и выставила срок в три дня на выплату выкупа.
Правда инцидент до настоящего времени официально не подтвержден.
Тем не менее BASHE угрожает опубликовать данные клиентов, если их требования не будут выполнены до 10:00 UTC 31 января 2025 года.
Представленные пруффы с образцами данных содержат имена, номера телефонов, адреса, возраст, пол, типы кредитных карт, такие как Gold или Diamond, а также временные метки марта 2024 года.
Таблица также включает, предположительно, балансы на счетах. Однако, это невозможно подтвердить, так как названия столбцов отсутствуют.
До настоящего времени неизвестно, относятся ли данные к новому инциденту и каковы могут быть его реальные масштабы.
В ICICI Bank сохраняют режим радиомолчание.
Ранее в 2023 году в ICICI Bank фиксировалась крупная утечка данных.
Тогда исследователи Cybernews обнаружили личные и финансовые сведения, которые оказались в общем доступе в виду неправильной настройки систем.
Стоит отметить, что ICICI Bank - это не рядовая финкомпания, а на минуту - второй по величине банк в Индии с более чем 6600 филиалами и рыночной капитализацией почти в $100 млрд.
В свою очередь, APT73 запустила свой сайт DLS 25 апреля 2024 года, разместив на нем десятки жертв.
При этом их сайт напоминает стиль Lockbit, что неудивительно, ведь APT73 была сформирована предполагаемым бывшим оператором банды после того, как правоохранительные органы провернули свои операции в отношении вымогателей.
Насколько ребята соответствуют эталонам эффективности Lockbit станет понятно совсем скоро, если конечно, не найдутся желающие прикупить награбленное или инцидент не окажется щеконадувательством.
Но будем в любом случае посмотреть.
Правда инцидент до настоящего времени официально не подтвержден.
Тем не менее BASHE угрожает опубликовать данные клиентов, если их требования не будут выполнены до 10:00 UTC 31 января 2025 года.
Представленные пруффы с образцами данных содержат имена, номера телефонов, адреса, возраст, пол, типы кредитных карт, такие как Gold или Diamond, а также временные метки марта 2024 года.
Таблица также включает, предположительно, балансы на счетах. Однако, это невозможно подтвердить, так как названия столбцов отсутствуют.
До настоящего времени неизвестно, относятся ли данные к новому инциденту и каковы могут быть его реальные масштабы.
В ICICI Bank сохраняют режим радиомолчание.
Ранее в 2023 году в ICICI Bank фиксировалась крупная утечка данных.
Тогда исследователи Cybernews обнаружили личные и финансовые сведения, которые оказались в общем доступе в виду неправильной настройки систем.
Стоит отметить, что ICICI Bank - это не рядовая финкомпания, а на минуту - второй по величине банк в Индии с более чем 6600 филиалами и рыночной капитализацией почти в $100 млрд.
В свою очередь, APT73 запустила свой сайт DLS 25 апреля 2024 года, разместив на нем десятки жертв.
При этом их сайт напоминает стиль Lockbit, что неудивительно, ведь APT73 была сформирована предполагаемым бывшим оператором банды после того, как правоохранительные органы провернули свои операции в отношении вымогателей.
Насколько ребята соответствуют эталонам эффективности Lockbit станет понятно совсем скоро, если конечно, не найдутся желающие прикупить награбленное или инцидент не окажется щеконадувательством.
Но будем в любом случае посмотреть.
Cybernews
Multinational bank leaks passports and credit card numbers
ICICI Bank leaked millions of records with sensitive data, including financial information and personal documents of the bank's clients.
Группа исследователей из Технологического института Джорджии и Рурского университета в Бохуме, сообщившие ранее о Meltdown, Spectre, SGX Fail и RAMBleed, представили подробности новых атак по побочным каналам FLOP и SLAP вместе с демонстрацией способов их проведения.
Новые обнаруженные уязвимости в современных процессорах Apple могут привести к краже конфиденциальной информации из браузеров.
К затронутым устройствам относятся все ноутбуки Mac, проданные после 2022 года, все настольные компьютеры Mac, проданные после 2023 года, и все iPhone, проданные после 2021 года.
Проблемы обусловлены неправильной реализации спекулятивного исполнения, что является основной причиной таких известных атак, как Spectre и Meltdown.
FLOP и SLAP нацелены на функции, ускоряющие обработку путем угадывания будущих инструкций вместо их ожидания, и могут оставлять следы в памяти для извлечения конфиденциальной информации.
Начиная с поколения M2/A15, процессоры Apple пытаются предсказать следующий адрес памяти, к которому будет обращаться ядро, а yачиная с поколения M3/A17 - значение данных, которое будет возвращено из памяти.
Однако неверные прогнозы в этих механизмах могут привести к выполнению произвольных вычислений на данных, выходящих за пределы допустимого диапазона, или неверных значениях данных.
Эти прогнозы могут иметь реальные последствия по части безопасности, включая выход из изолированной программной среды браузера и считывание кросс-источниковой персональной идентификационной информации в Safari и Chrome.
Атаки выполняются удаленно через браузер с использованием вредоносной веб-страницы, содержащей код JavaScript или WebAssembly для их запуска, минуя «песочницу» браузера, ASLR и традиционные средства защиты памяти.
Скрипты, используемые на демонстрационных сайтах, реализуют последовательность загрузок памяти, разработанных для манипулирования FLOP и SLAP Apple, поэтому не требуется заражения вредоносным ПО.
Исследователи сообщили об уязвимостях компании Apple 24 марта 2024 года (SLAP) и 3 сентября 2024 года (FLOP).
Компания, в свою очередь, подтвердила ошибки, их потенциальный риск для пользователей и планирует планирует устранить их в предстоящем обновлении безопасности.
До тех пор, пока не появятся обновления от Apple, возможным способом смягчения последствий может стать отключение JavaScript в Safari и Chrome, хотя это, как ожидается, приведет к сбоям в работе многих сайтов.
Технические подробности по False Load Output Predictions (FLOP) в новейших процессорах Apple M3, M4 и A17 - здесь, по Speculation Attacks via Load Address Prediction (SLAP) в процессорах Apple M2 и A15 (включая и более поздние модели) - здесь.
Новые обнаруженные уязвимости в современных процессорах Apple могут привести к краже конфиденциальной информации из браузеров.
К затронутым устройствам относятся все ноутбуки Mac, проданные после 2022 года, все настольные компьютеры Mac, проданные после 2023 года, и все iPhone, проданные после 2021 года.
Проблемы обусловлены неправильной реализации спекулятивного исполнения, что является основной причиной таких известных атак, как Spectre и Meltdown.
FLOP и SLAP нацелены на функции, ускоряющие обработку путем угадывания будущих инструкций вместо их ожидания, и могут оставлять следы в памяти для извлечения конфиденциальной информации.
Начиная с поколения M2/A15, процессоры Apple пытаются предсказать следующий адрес памяти, к которому будет обращаться ядро, а yачиная с поколения M3/A17 - значение данных, которое будет возвращено из памяти.
Однако неверные прогнозы в этих механизмах могут привести к выполнению произвольных вычислений на данных, выходящих за пределы допустимого диапазона, или неверных значениях данных.
Эти прогнозы могут иметь реальные последствия по части безопасности, включая выход из изолированной программной среды браузера и считывание кросс-источниковой персональной идентификационной информации в Safari и Chrome.
Атаки выполняются удаленно через браузер с использованием вредоносной веб-страницы, содержащей код JavaScript или WebAssembly для их запуска, минуя «песочницу» браузера, ASLR и традиционные средства защиты памяти.
Скрипты, используемые на демонстрационных сайтах, реализуют последовательность загрузок памяти, разработанных для манипулирования FLOP и SLAP Apple, поэтому не требуется заражения вредоносным ПО.
Исследователи сообщили об уязвимостях компании Apple 24 марта 2024 года (SLAP) и 3 сентября 2024 года (FLOP).
Компания, в свою очередь, подтвердила ошибки, их потенциальный риск для пользователей и планирует планирует устранить их в предстоящем обновлении безопасности.
До тех пор, пока не появятся обновления от Apple, возможным способом смягчения последствий может стать отключение JavaScript в Safari и Chrome, хотя это, как ожидается, приведет к сбоям в работе многих сайтов.
Технические подробности по False Load Output Predictions (FLOP) в новейших процессорах Apple M3, M4 и A17 - здесь, по Speculation Attacks via Load Address Prediction (SLAP) в процессорах Apple M2 и A15 (включая и более поздние модели) - здесь.
predictors.fail
SLAP and FLOP
The SLAP and FLOP Address and Value Prediction Attacks
По узвимостям сегодня VMware Avi Load Balancer и Zyxel CPE.
Что касаемо первой Broadcom сообщила об обнаружении серьезной проблемы в VMware Avi Load Balancer, которую злоумышленники могут использовать для получения защищенного доступа к базе данных.
CVE-2025-22217 имеет оценку CVSS: 8,6 и была обнаружена исследователями Даниэлом Кукучка и Матеушом Дарда.
Злоумышленник, имеющий доступ к сети, может использовать специально созданные SQL-запросы для получения доступа к базе данных.
Ошибка затрагивает VMware Avi Load Balancer 30.1.1 (исправлено в 30.1.2-2p2), 30.1.2 (исправлено в 30.1.2-2p2), 30.2.1 (исправлено в 30.2.1-2p5) и 30.2.2 (исправлено в 30.2.2-2p2)
Broadcom также отметила, что версии 22.x и 21.x не подвержены уязвимости CVE-2025-22217.
Пользователи, использующие версию 30.1.1, должны сначала обновиться до 30.1.2 или более поздней версии перед применением исправления.
Обходных путей не существует.
А критическая 0-day, затрагивающая устройства серии Zyxel CPE, уже подвергается активным попыткам эксплуатации.
GreyNoise сообщает, что злоумышленники могут воспользоваться ей для выполнения произвольных команд на уязвимых устройствах, что приведет к полной компрометации системы, утечке данных или проникновению в сеть.
CVE-2024-40891 связана с инъекцией команд и не была публично раскрыта или исправлена.
О существовании ошибки впервые сообщила VulnCheck в июле 2024 года.
Телеметрия GreyNoise показывает, что попытки атак исходили с десятков IP-адресов, большинство из которых находились на Тайване.
По данным Censys, в сети насчитывается более 1500 уязвимых устройств.
CVE-2024-40891 очень схожа с CVE-2024-40890, главное отличие в том, что первая основана на Telnet, а вторая — на HTTP.
Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб.
VulnCheck сообщил, что работает над процессом раскрытия информации с тайваньской компанией.
В Zyxel пока дополнительно не комментирует ситуацию.
Пользователям рекомендуется фильтровать трафик на предмет необычных HTTP-запросов к интерфейсам управления Zyxel CPE и ограничивать доступ к административному интерфейсу доверенными IP-адресами.
Что касаемо первой Broadcom сообщила об обнаружении серьезной проблемы в VMware Avi Load Balancer, которую злоумышленники могут использовать для получения защищенного доступа к базе данных.
CVE-2025-22217 имеет оценку CVSS: 8,6 и была обнаружена исследователями Даниэлом Кукучка и Матеушом Дарда.
Злоумышленник, имеющий доступ к сети, может использовать специально созданные SQL-запросы для получения доступа к базе данных.
Ошибка затрагивает VMware Avi Load Balancer 30.1.1 (исправлено в 30.1.2-2p2), 30.1.2 (исправлено в 30.1.2-2p2), 30.2.1 (исправлено в 30.2.1-2p5) и 30.2.2 (исправлено в 30.2.2-2p2)
Broadcom также отметила, что версии 22.x и 21.x не подвержены уязвимости CVE-2025-22217.
Пользователи, использующие версию 30.1.1, должны сначала обновиться до 30.1.2 или более поздней версии перед применением исправления.
Обходных путей не существует.
А критическая 0-day, затрагивающая устройства серии Zyxel CPE, уже подвергается активным попыткам эксплуатации.
GreyNoise сообщает, что злоумышленники могут воспользоваться ей для выполнения произвольных команд на уязвимых устройствах, что приведет к полной компрометации системы, утечке данных или проникновению в сеть.
CVE-2024-40891 связана с инъекцией команд и не была публично раскрыта или исправлена.
О существовании ошибки впервые сообщила VulnCheck в июле 2024 года.
Телеметрия GreyNoise показывает, что попытки атак исходили с десятков IP-адресов, большинство из которых находились на Тайване.
По данным Censys, в сети насчитывается более 1500 уязвимых устройств.
CVE-2024-40891 очень схожа с CVE-2024-40890, главное отличие в том, что первая основана на Telnet, а вторая — на HTTP.
Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб.
VulnCheck сообщил, что работает над процессом раскрытия информации с тайваньской компанией.
В Zyxel пока дополнительно не комментирует ситуацию.
Пользователям рекомендуется фильтровать трафик на предмет необычных HTTP-запросов к интерфейсам управления Zyxel CPE и ограничивать доступ к административному интерфейсу доверенными IP-адресами.
www.greynoise.io
Active Exploitation of Zero-day Zyxel CPE Vulnerability (CVE-2024-40891) | GreyNoise Blog
CVE-2024-40891: Zyxel CPE Zero-day Exploitation. Hackers are actively exploiting a telnet-based command injection vulnerability in Zyxel CPE devices, impacting 1,500+ exposed systems. No patch is available yet.
Исследователи предупреждают о двух кампаниях, связанных с активной эксплуатацией узявимостей в SimpleHelp Remote Monitoring and Management (RMM) и SonicWall Secure Mobile Access (SMA) 1000.
Первая связана с использованием недавно исправленных уязвимостей программного обеспечения SimpleHelp RMM для получения первоначального доступа к целевым сетям.
CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 позволяют злоумышленникам загружать и выгружать файлы на устройства и повышать привилегии до административного уровня.
Уязвимости были обнаружены и раскрыты исследователями Horizon3 две недели назад. SimpleHelp выпустила исправления между 8 и 13 января в версиях продукта 5.5.8, 5.4.10 и 5.3.9.
Вредоносная активность была замечена исследователями Arctic Wolf и нацелена на серверы SimpleHelp примерно через неделю после того, как Horizon3 публично раскрыла уязвимости.
Исследователи пока точно не определили, что атаки задействуют именно эти уязвимости, но связывает свои наблюдения с отчетом Horizon3 со средней степенью уверенности.
Тем не менее, Arctic Wolf настоятельно рекомендует обновиться до последних доступных исправленных версий серверного программного обеспечения SimpleHelp, где это возможно.
В ситуациях, когда клиент SimpleHelp был ранее установлен на устройствах для сеансов сторонней поддержки, но не используется активно в повседневной работе, Arctic Wolf рекомендует удалить ПО, чтобы уменьшить потенциальную поверхность атаки.
В свою очередь, Shadowserver Foundation сообщила, что обнаружила в сети 580 уязвимых экземпляров, большинство из которых (345) - в США.
Компания SonicWall подтвердила, что 0-day в SMA 1000, отслеживаемая как CVE-2025-23006, была эксплуатирована в реальных условиях.
Компания опубликовала бюллетень и проинформировала, что инструменты администрирования Appliance Management Console (AMC) и Central Management Console (CMC) шлюза безопасного доступа подвержены критической проблеме ненадежной десериализации данных, которая позволяет выполнять удаленные команды без аутентификации.
CVE-2025-23006 была исправлена в устройствах SMA1000 с выпуском версии 12.4.3-02854 и изначально обнаружена Microsoft.
Тогда SonicWall в срочном уведомлении подтвердила факт эксплуатации уязвимости в реальных условиях, настоятельно рекомендовав клиентов как можно скорее установить доступные обновления прошивки.
Злоумышленники, имеющие доступ к внутреннему интерфейсу устройства (как в одно-, так и в двухдоменной конфигурации интерфейса), могут использовать CVE-2025-23006 для удаленного выполнения кода
Shodan и Censys показывают около 2000 устройств SMA, доступных через Интернет, а Netlas - около 4000, большинство из которых находятся в США.
Исследователи пишут, что только 215 из обнаруженных на Shodan устройств, по-видимому, раскрывают свой интерфейс управления и подвержены уязвимости CVE-2025-23006.
Но будем посмотреть. Злоумышленники достаточно часто нацеливаются на уязвимые продукты SonicWall и вряд ли упустят очередную возможность.
Первая связана с использованием недавно исправленных уязвимостей программного обеспечения SimpleHelp RMM для получения первоначального доступа к целевым сетям.
CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 позволяют злоумышленникам загружать и выгружать файлы на устройства и повышать привилегии до административного уровня.
Уязвимости были обнаружены и раскрыты исследователями Horizon3 две недели назад. SimpleHelp выпустила исправления между 8 и 13 января в версиях продукта 5.5.8, 5.4.10 и 5.3.9.
Вредоносная активность была замечена исследователями Arctic Wolf и нацелена на серверы SimpleHelp примерно через неделю после того, как Horizon3 публично раскрыла уязвимости.
Исследователи пока точно не определили, что атаки задействуют именно эти уязвимости, но связывает свои наблюдения с отчетом Horizon3 со средней степенью уверенности.
Тем не менее, Arctic Wolf настоятельно рекомендует обновиться до последних доступных исправленных версий серверного программного обеспечения SimpleHelp, где это возможно.
В ситуациях, когда клиент SimpleHelp был ранее установлен на устройствах для сеансов сторонней поддержки, но не используется активно в повседневной работе, Arctic Wolf рекомендует удалить ПО, чтобы уменьшить потенциальную поверхность атаки.
В свою очередь, Shadowserver Foundation сообщила, что обнаружила в сети 580 уязвимых экземпляров, большинство из которых (345) - в США.
Компания SonicWall подтвердила, что 0-day в SMA 1000, отслеживаемая как CVE-2025-23006, была эксплуатирована в реальных условиях.
Компания опубликовала бюллетень и проинформировала, что инструменты администрирования Appliance Management Console (AMC) и Central Management Console (CMC) шлюза безопасного доступа подвержены критической проблеме ненадежной десериализации данных, которая позволяет выполнять удаленные команды без аутентификации.
CVE-2025-23006 была исправлена в устройствах SMA1000 с выпуском версии 12.4.3-02854 и изначально обнаружена Microsoft.
Тогда SonicWall в срочном уведомлении подтвердила факт эксплуатации уязвимости в реальных условиях, настоятельно рекомендовав клиентов как можно скорее установить доступные обновления прошивки.
Злоумышленники, имеющие доступ к внутреннему интерфейсу устройства (как в одно-, так и в двухдоменной конфигурации интерфейса), могут использовать CVE-2025-23006 для удаленного выполнения кода
Shodan и Censys показывают около 2000 устройств SMA, доступных через Интернет, а Netlas - около 4000, большинство из которых находятся в США.
Исследователи пишут, что только 215 из обнаруженных на Shodan устройств, по-видимому, раскрывают свой интерфейс управления и подвержены уязвимости CVE-2025-23006.
Но будем посмотреть. Злоумышленники достаточно часто нацеливаются на уязвимые продукты SonicWall и вряд ли упустят очередную возможность.
Horizon3.ai
Critical Vulnerabilities in SimpleHelp Remote Support Software
SimpleHelp remote support software is susceptible to critical vulnerabilities that could allow full takeover of SimpleHelp servers. Users of SimpleHelp should upgrade to the latest version ASAP.
Forescout выкатили отчет об угрозах за 2024 год, констатируя, что протоколы промышленной автоматизации по-прежнему остаются наиболее уязвимыми для атак, нацеленных на операционные технологии (OT), однако все чаще мишенью становятся системы автоматизации зданий.
В основу исследования положены результаты анализа, зафиксированные ханипотами компании в прошлом году, включая сканирование портов, атаки методом подбора и попытки эксплуатации уязвимостей.
Отчет охватывает воздействия на веб-сервисы и устройства сетевой инфраструктуры, действия после эксплуатации, а также атаки на системы OT и критическую инфраструктуру.
Исследователи также поделились данными о вредоносном ПО и субъектах угроз, которые инициировали эти атаки.
Что касается атак OT, то в 2024 году наиболее целевым протоколом был Modbus, за которым следуют Ethernet/IP, Step7, DNP3 и BACnet.
Процент атак на Modbus увеличился с 33% до 40% с 2023 по 2024 год, а в случае Ethernet/IP — с 19% до 28%. Атаки на DNP3 и Step7 снизились с 18% до 8% для обоих протоколов OT.
Наиболее уязвимыми по-прежнему остаются протоколы, связанные с системами промышленной автоматизации: на них приходится 79% атак (по сравнению с 71% в 2023 году), далее следуют коммунальные службы с 12% (по сравнению с 28%) и автоматизация зданий с 9% (по сравнению с 1%)
Как отмечают в Forescout, наиболее существенный рост наблюдается в категории автоматизации зданий - особенно если посмотреть на новые протоколы, подвергающиеся атакам.
При этом в прошлом году атаки на автоматизацию зданий были сосредоточены на эксплуатации уязвимостей, а не на прямом взаимодействии с протоколами.
В 2024 исследователи увидели, что интерес к протоколам автоматизации зданий растет, поскольку злоумышленники по-прежнему используют уязвимости на этих устройствах.
Для этого в их распоряжении представлено множество «удобных» уязвимостей, из которых есть что выбирать при проведении атак.
Например, исследователь Джоко Крстич недавно предупредил, что широко используемый продукт управления зданиями от ABB подвержен более чем 1000 уязвимостям, включая недостатки, которые могут подвергнуть многие объекты удаленному взлому.
В целом Forescout обнаружила, что 73% эксплуатируемых уязвимостей не были включены в список KEV CISA, что на 65% больше, чем в 2023 году.
Если рассматривать конкретно уязвимости, затрагивающие ОТ и промышленные продукты IoT, то по крайней мере 25 уязвимостей, эксплуатируемых ботнетами и автоматизированными атаками, не были включены в каталог KEV.
Сюда входят CVE с 2018 по 2023 год, затрагивающие продукцию Apsystems, Carel, Chiyu, Contec, Eaton, Ecoa, Emerson, Endress+Hauser, Frangoteam, Honeywell, KevinLab, Linear, Loytec, OAS, Schneider Electric, Teltonika, Viessman, Wago и ZKTeco.
Другие подробности исследования - в отчете.
В основу исследования положены результаты анализа, зафиксированные ханипотами компании в прошлом году, включая сканирование портов, атаки методом подбора и попытки эксплуатации уязвимостей.
Отчет охватывает воздействия на веб-сервисы и устройства сетевой инфраструктуры, действия после эксплуатации, а также атаки на системы OT и критическую инфраструктуру.
Исследователи также поделились данными о вредоносном ПО и субъектах угроз, которые инициировали эти атаки.
Что касается атак OT, то в 2024 году наиболее целевым протоколом был Modbus, за которым следуют Ethernet/IP, Step7, DNP3 и BACnet.
Процент атак на Modbus увеличился с 33% до 40% с 2023 по 2024 год, а в случае Ethernet/IP — с 19% до 28%. Атаки на DNP3 и Step7 снизились с 18% до 8% для обоих протоколов OT.
Наиболее уязвимыми по-прежнему остаются протоколы, связанные с системами промышленной автоматизации: на них приходится 79% атак (по сравнению с 71% в 2023 году), далее следуют коммунальные службы с 12% (по сравнению с 28%) и автоматизация зданий с 9% (по сравнению с 1%)
Как отмечают в Forescout, наиболее существенный рост наблюдается в категории автоматизации зданий - особенно если посмотреть на новые протоколы, подвергающиеся атакам.
При этом в прошлом году атаки на автоматизацию зданий были сосредоточены на эксплуатации уязвимостей, а не на прямом взаимодействии с протоколами.
В 2024 исследователи увидели, что интерес к протоколам автоматизации зданий растет, поскольку злоумышленники по-прежнему используют уязвимости на этих устройствах.
Для этого в их распоряжении представлено множество «удобных» уязвимостей, из которых есть что выбирать при проведении атак.
Например, исследователь Джоко Крстич недавно предупредил, что широко используемый продукт управления зданиями от ABB подвержен более чем 1000 уязвимостям, включая недостатки, которые могут подвергнуть многие объекты удаленному взлому.
В целом Forescout обнаружила, что 73% эксплуатируемых уязвимостей не были включены в список KEV CISA, что на 65% больше, чем в 2023 году.
Если рассматривать конкретно уязвимости, затрагивающие ОТ и промышленные продукты IoT, то по крайней мере 25 уязвимостей, эксплуатируемых ботнетами и автоматизированными атаками, не были включены в каталог KEV.
Сюда входят CVE с 2018 по 2023 год, затрагивающие продукцию Apsystems, Carel, Chiyu, Contec, Eaton, Ecoa, Emerson, Endress+Hauser, Frangoteam, Honeywell, KevinLab, Linear, Loytec, OAS, Schneider Electric, Teltonika, Viessman, Wago и ZKTeco.
Другие подробности исследования - в отчете.
Штаты задействуют все возможные ресурсы в битве за лидерство в сфере ИИ, которое заметно пошатнулось после стремительного взлета китайской DeepSeek, опередившей в рейтингах OpenAI с ее ChatGPT.
Вслед за посыпавшимися DDoS-атаками и исследовательскими отчетами в отношении проблем с безопасностью, на китайскую модель ИИ накатили авторитетные журналистские издания с разоблачающими статьями по поводу своего рода «плагиатства» и кражи перспективных наработок по ИИ.
По всей видимости, подобными аргументами на западе пытаются оправдать сгорающие инвестиции и успех китайцев в развивающейся отрасли, которому, как предполагают, журналисты способствовал кибершпионаж.
OpenAI официально заявила, что китайские компании «постоянно» пытались заполучить доступ к американским технологиям для улучшения собственных инструментов ИИ.
Предварительно, речь идет о задействовании китайцами API OpenAI через подставные учетные записи для дистилляции в нарушение регламента пользования сервисом.
Нарративы американских разработчиков относительно дистилляцией знаний быстро подхватили такие гиганты журналисткой мысли, как Financial Times, BBC, Bloomberg, Reuters и другие.
Сразу нашлись еще и эксперты, заявляющие, что DeepSeek выдавала ответы, указывающие на то, что она была обучена на выходных данных GPT-4 OpenAI.
В стороне не остались и в Белом доме, где Дэвид Сакс, глава отдела по искусственному интеллекту и крипте, инициировал обсуждения по вопросу о возможности предполагаемой кражи интеллектуальной собственности, по итогам которых, очевидно, будет заложена база для запрета китайской разработки.
Кроме того, по словам пресс-секретаря Белого дома Кэролайн Ливитт, американские чиновники также рассматривают последствия появления DeepSeek для национальной безопасности, который рассматривают как «сигнал тревоги для американской технологической отрасли».
Согласно Bloomberg, к расследованию китайского следа в намечающимся деле промышленного кибершпионажа подключили специалистов из Microsoft, которых не раз ловили за руку при проведении заказных расследований с выдачей «правильных» отчетов.
В OpenAI пока почему-то отказалась от дальнейших комментариев или предоставления имеющихся в их распоряжении доказательств.
Впрочем, как и Microsoft.
Полагаем, что все необходимые доказательства все же найдут, а затем используют новый прецедент для начала глобального передела рынка ИИ, почти по аналогии с индустрией по разработке spyware, где после многолетних скандалов, санкций и судебных тяжб теперь все разложено по своим полочкам (карманам).
Вслед за посыпавшимися DDoS-атаками и исследовательскими отчетами в отношении проблем с безопасностью, на китайскую модель ИИ накатили авторитетные журналистские издания с разоблачающими статьями по поводу своего рода «плагиатства» и кражи перспективных наработок по ИИ.
По всей видимости, подобными аргументами на западе пытаются оправдать сгорающие инвестиции и успех китайцев в развивающейся отрасли, которому, как предполагают, журналисты способствовал кибершпионаж.
OpenAI официально заявила, что китайские компании «постоянно» пытались заполучить доступ к американским технологиям для улучшения собственных инструментов ИИ.
Предварительно, речь идет о задействовании китайцами API OpenAI через подставные учетные записи для дистилляции в нарушение регламента пользования сервисом.
Нарративы американских разработчиков относительно дистилляцией знаний быстро подхватили такие гиганты журналисткой мысли, как Financial Times, BBC, Bloomberg, Reuters и другие.
Сразу нашлись еще и эксперты, заявляющие, что DeepSeek выдавала ответы, указывающие на то, что она была обучена на выходных данных GPT-4 OpenAI.
В стороне не остались и в Белом доме, где Дэвид Сакс, глава отдела по искусственному интеллекту и крипте, инициировал обсуждения по вопросу о возможности предполагаемой кражи интеллектуальной собственности, по итогам которых, очевидно, будет заложена база для запрета китайской разработки.
Кроме того, по словам пресс-секретаря Белого дома Кэролайн Ливитт, американские чиновники также рассматривают последствия появления DeepSeek для национальной безопасности, который рассматривают как «сигнал тревоги для американской технологической отрасли».
Согласно Bloomberg, к расследованию китайского следа в намечающимся деле промышленного кибершпионажа подключили специалистов из Microsoft, которых не раз ловили за руку при проведении заказных расследований с выдачей «правильных» отчетов.
В OpenAI пока почему-то отказалась от дальнейших комментариев или предоставления имеющихся в их распоряжении доказательств.
Впрочем, как и Microsoft.
Полагаем, что все необходимые доказательства все же найдут, а затем используют новый прецедент для начала глобального передела рынка ИИ, почти по аналогии с индустрией по разработке spyware, где после многолетних скандалов, санкций и судебных тяжб теперь все разложено по своим полочкам
Ft
OpenAI says it has evidence China’s DeepSeek used its model to train competitor
White House AI tsar David Sacks raises possibility of alleged intellectual property theft
Продолжается мощный накат на китайскую DeepSeek, у которой исследователи Wiz Research случайно обнаружили общедоступную незащищенную базу данных ClickHouse на oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000.
И, по стечению обстоятельств, в ней размещались миллионы строк конфиденциальной информации, включая историю чатов пользователей, API-ключи, логи и даже данные бэкенда с внутренней информацией о работе инфраструктуры.
Как отметили в Wiz, после простой разведки общедоступной инфраструктуры DeepSeek нашлась общедоступная база данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации.
Любой мог получить доступ к данным и полный контроль над системой без аутентификации, о чем исследователи оперативно сообщили команде DeepSeek, которая немедленно ограничила доступ к БД из Интернета
При этом в Wiz отметили, что обнаружить утечку специалисты смогли буквально в течении нескольких минут, а занялись этим, поскольку DeepSeek произвел фурор в сфере ИИ.
По всей видимости, к развернувшейся против DeepSeek кампании подключены все имеющиеся ресурсы, будем следить за развитием ситуации.
И, по стечению обстоятельств, в ней размещались миллионы строк конфиденциальной информации, включая историю чатов пользователей, API-ключи, логи и даже данные бэкенда с внутренней информацией о работе инфраструктуры.
Как отметили в Wiz, после простой разведки общедоступной инфраструктуры DeepSeek нашлась общедоступная база данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации.
Любой мог получить доступ к данным и полный контроль над системой без аутентификации, о чем исследователи оперативно сообщили команде DeepSeek, которая немедленно ограничила доступ к БД из Интернета
При этом в Wiz отметили, что обнаружить утечку специалисты смогли буквально в течении нескольких минут, а занялись этим, поскольку DeepSeek произвел фурор в сфере ИИ.
По всей видимости, к развернувшейся против DeepSeek кампании подключены все имеющиеся ресурсы, будем следить за развитием ситуации.
X (formerly Twitter)
Wiz (@wiz_io) on X
BREAKING: Internal #DeepSeek database publicly exposed 🚨
Wiz Research has discovered "DeepLeak" - a publicly accessible ClickHouse database belonging to DeepSeek, exposing highly sensitive information, including secret keys, plain-text chat messages, backend…
Wiz Research has discovered "DeepLeak" - a publicly accessible ClickHouse database belonging to DeepSeek, exposing highly sensitive information, including secret keys, plain-text chat messages, backend…
Forwarded from Social Engineering
• В нашем втором канале проходит небольшой розыгрыш, где победители смогут получить коллекцию актуальных и полезных книг для ИБ специалистов:
- Сети глазами хакера;
- Linux глазами хакера. 7-е издание;
- Веб-сервер глазами хакера. 4-е изд;
- Реагирование на инциденты на основе аналитических данных. 2-е издание;
- Контролируемый взлом. Библия социальной инженерии. 2-е издание;
- Linux. От новичка к профессионалу. 9 изд.
• Каждый победитель получит сразу весь пул книг в бумажном варианте, которые перечислены выше. Принять участие можно тут: https://news.1rj.ru/str/it_secur/2635
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM