Мы, как инфосек канал, логично заинтересованы в новых методах выявления malware. И, в то же время, как люди, не чуждые развитию современных технологий, верим в активное распространение в повседневной жизни "искусственного интеллекта" (хотя, конечно же, нейросети - это никакой не интеллект) и Big Data.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Поэтому следующую новость полагаем весьма позитивной.
Компании Microsoft и Intel, руководствуясь поговоркой "лучше один раз увидеть, чем сто раз услышать", разрабатывают технологию распознавания вредоносного кода на основе нейросети путем преобразования двоичных файлов в изображения.
Исследователи назвали этот проект STAMINA - STAtic Malware-as-Image Network Analysis. Код преобразуется в двухмерное изображение в градациях серого, а после анализируется специально обученной нейросетью. Для ее обучения были использованы более двух миллионов образцов вредоносов. Разработчики STAMINA заявляют, что достигли точности в 99,07% в обнаружении и классификации образцов вредоносного ПО.
С другой стороны, в таком методе выявления malware существуют и недостатки, свойственные системам распознания на основе машинного обучения. Во-первых, механизмы распознавания зачастую необъяснимы с точки зрения человеческой логики, по крайней мере, на первый взгляд. Во-вторых, STAMINA не сможет рассказать про функционал выявленного ПО, для этого нужен ручной анализ кода.
Тем не менее, звучит все это весьма многообещающе. STAMINA может служить первичным грубым фильтром, способным переваривать большие объемы данных. А уже далее будут подключаться эксперты для более тщательного исследования выявленных вредоносов.
Security Boulevard
Project STAMINA Uses Deep Learning for Innovative Malware Detection
You’re familiar with the phrase, “A picture is worth 1,000 words.” Well, Microsoft and Intel are applying this philosophy to malware detection—using deep learning and a neural network to turn malware into images for analysis at scale. Project STAMINA—an acronym…
Группа исследователей The DFIR Report разместила интересный отчет, в котором рассмотрела имевший место захват корпоративной сети оператором ransomware NetWalker.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP (насколько мы видим, в настоящее время это самый распространенный способ проникновения в сети у операторов ransomware, более популярный чем уязвимые VPN и пр).
Как сообщают исследователи, хакеры потребовали у жертвы 50 тыс. долларов с угрозой поднять сумму до 100 тыс. в случае невыплаты в течение недели. В итоге удалось договориться на 35 тыс. $. Сеть, как мы понимаем, была небольшая.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS). Замечен, в основном, в атаках на американские учебные заведения. В мае хакеры бахнули сеть Мичиганского государственного университета, в июне Калифорнийский университет, а в августе - Университет штата Юты, который в итоге выплатил им 457 тыс. долларов.
The DFIR Report
NetWalker Ransomware in 1 Hour
The threat actor logged in through RDP, attempted to run a Cobalt Strike Beacon, and then dumped memory using ProcDump and Mimikatz. Next, they RDPed into a Domain Controller, minutes before using …
Некоторые удивляются, почему продвинутые в технологиях японцы не являются лидерами в области информационной безопасности, а из крупняков у них одни Trend Micro, да и те тайваньские китайцы?
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Хех, а вы видели как они числа перемножают?
https://twitter.com/latestinspace/status/1300402073343848451
Twitter
Latest in space
The Japanese way of multiplication.
Исследователь Лука Эбах немецкой инфосек компании G DATA Advanced Analytics проанализировал модуль rdpScanDll трояна TrickBot, который, как наверное понятно из названия, предназначен для брутфорса RDP (удаленного рабочего стола). Того самого RDP, который является самой популярной у хакеров точкой компрометации сетей в настоящий момент .
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
Основной функционал модуля не изменился по сравнению с мартом этого года, когда его тщательно препарировали румыны из Bitdefender. Но в механизмах подбора паролей Эбах нашел много интересного.
Оказалось, что по состоянию на август 2020 года rdpScanDll использует 91 преобразование, с помощью которых вредонос пытается подобрать пароль к RDP, основываясь на имени пользователя, названии домена, его IP-адресе и пр.
Например, преобразование RemoveLetters удаляет все цифры из имени пользователя (us3rn4me -> usrnme), OriginalUsernameLetterEndInverse сохраняет все буквы в начале имени пользователя, а остальные меняет местами (admin123root -> admintoor321), а OriginaldomainNumsBeginSwap - меняет местами все нецифровые символы в начале домена до цифр с остальными (test-123 .com -> 123 .comtest-).
Полный список преобразований изложен в оригинальной статье по ссылке. Теперь вы знаете некоторые из уловок хакеров и можете усилить свои пароли или пароли своих пользователей.
Cisco нашли 0-day уязвимость высокой степени критичности в своей ОС Cisco IOS XR, которая стоит на коммутаторах операторского класса.
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Cisco
Cisco Security Advisory: Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
Multiple vulnerabilities in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR Software could allow an unauthenticated, remote attacker to either immediately crash the Internet Group Management Protocol (IGMP) process or make it…
Исследователи Mozilla опубликовали доклад, который сделали на конференции USENIX, посвященный изучению уникальности истории браузера и как она может повлиять на приватность пользователей.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
В основу анализа легли истории просмотра более чем 52 тысяч пользователей Mozilla. На их основе исследователи составили более 48 тысяч пользовательских профилей, 99% которых были уникальны.
Проведя последующее изучение истории просмотров за две недели сотрудники Mozilla смогли повторно идентифицировать почти 20 тысяч пользовательских профилей. При этом если тестовый набор составлял 100 доменов, то вероятность успеха идентификации была невысока - всего 10%. Однако, при увеличении этого набора до 10000 сайтов вероятность повторной идентификации возросла до 80%.
Разумеется, что при дополнительном использовании отпечатков браузера шанс на успех точной идентификации пользователя многократно возрастает.
Таким образом, защита от снятия отпечатков браузера в настоящий момент не гарантирует, что профиль пользователя останется приватным. Третьей стороне достаточно небольшого куска истории просмотров, чтобы с большой долей вероятности идентифицировать человека, находящегося по ту сторону монитора.
Поэтому пользуйтесь браузерами, предлагающими защиту от снятия отпечатков (Firefox, Tor Browser, Brave и др.), а также чаще применяйте режим частного просмотра. В наше время это уже не каприз, а необходимая мера по сохранению своей приватности в сети.
Check Point выпустили интересный материал, посвященный истории создания и развития семейства вредоносов Gozi, которое активно уже более 13 лет и породило несколько ответвлений от основного штамма.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Пересказывать не будем, смысла нет. Но если кто-то хочет поподробнее узнать о том, как развивается "полуприватное" вредоносное ПО - советуем ознакомиться.
Check Point Research
Gozi: The Malware with a Thousand Faces - Check Point Research
Introduction Most of the time, the relationship between cybercrime campaigns and malware strains is simple. Some malware strains, like the gone-but-not-forgotten GandCrab, are intimately tied to a single actor, who is using the malware directly or distributing…
Американские инфосек исследователи из Crowdstrike сообщили сегодня, что иранская APT Pioneer Kitten, она же Parasite и Fox Kitten, с конца июля была замечена в продаже на хакерских форумах доступов к взломанным корпоративным сетям.
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
Parasite активна как минимум с 2017 года и специализируется на осуществлении первичной компрометации целевых сетей и передаче полученного доступа другим иранским APT (APT 33 aka Elfin, APT 34 aka OilRig и APT 39 aka Chafer) для развертывания дальнейшего проникновения.
Основными целями Parasite являются североамериканские, европейские и ближневосточные компании, которые могут представлять разведывательный интерес для иранского правительства. Отрасли - авиация, энергетика, оборона, ИТ, добыча углеводородов и телеком.
Для компрометации сетей хакеры используют свежие (но не 0-day) уязвимости в VPN, Citrix и др.
Исходя из новых данных Crowdstrike полагает, что Parasite не являются штатным подразделением иранских сецслужб, а работают с ними на подряде. За последнее время это уже вторая прогосударственная APT, в отношении которой появляются подобные новости. Первой оказалась турецкая PROMETHIUM, успевающая одновременно и работать на турецкую разведку, и заниматься коммерческими взломами.
#APT #Parasite
CrowdStrike.com
PIONEER KITTEN: Targets & Methods [Adversary Profile]
PIONEER KITTEN is an Iran-based adversary that's highly opportunistic and has been active since at least 2017. Learn about its origins, methods, targets, and more.
По нашему мнению с вопросом "Как называлась ваша первая..." все очевидно.
Окончание вопроса "приставка" не подходит из-за слишком маленького количества вариантов.
"Как называлась ваша первая машина?" - тоже мимо, поскольку для настоящего мужчины машина - вещь одушевленная, она не может "называться", ее можно только "звать".
Поэтому остается один вариант - "Как называлась ваша первая жена?".
https://twitter.com/alukatsky/status/1300766457509359617
Окончание вопроса "приставка" не подходит из-за слишком маленького количества вариантов.
"Как называлась ваша первая машина?" - тоже мимо, поскольку для настоящего мужчины машина - вещь одушевленная, она не может "называться", ее можно только "звать".
Поэтому остается один вариант - "Как называлась ваша первая жена?".
https://twitter.com/alukatsky/status/1300766457509359617
Twitter
Alexey Lukatsky
Богатый выбор секретных вопросов. Причем первый и второй вариант показаны неполностью и понять, о чем конкретно идет речь, невозможно. И если с первым вариантом вариантов немного - мать или жена (хотя жена не подходит, так как приложение универсальное), то…
По данным ZDNet, вчера Парламент Норвегии сообщил, что его электронная почта была взломана неизвестными хакерами.
Об этом заявила глава администрации Парламента Марианн Андиассен, уточнив, что были скомпрометированы электронные почтовые ящики как депутатов Парламента, так и его сотрудников, из которых злоумышленники вытащили различные объемы данных.
Инцидент расследуется, но пока ничего конкретного норвежцы не говорят, даже сведений о точном количестве взломанных учетных записей. Видимо сами не знают еще. Поэтому к расследованию подключилась норвежская разведка.
Пока идет разбирательство норвежский Парламент отключил свой почтовый сервер, чтобы предотвратить дальнейшую утечку.
Что сказать по этому поводу - наличия работающих на Норвегию хакерских групп не отмечено, а вот в качестве целей норвежские государственные органы и коммерческие компании выступают у дюжины APT. Среди них и достаточно экзотические, например Desert Falcons aka APT-C-23, родом из Палестины.
Видно не высок пока их класс (с)
Об этом заявила глава администрации Парламента Марианн Андиассен, уточнив, что были скомпрометированы электронные почтовые ящики как депутатов Парламента, так и его сотрудников, из которых злоумышленники вытащили различные объемы данных.
Инцидент расследуется, но пока ничего конкретного норвежцы не говорят, даже сведений о точном количестве взломанных учетных записей. Видимо сами не знают еще. Поэтому к расследованию подключилась норвежская разведка.
Пока идет разбирательство норвежский Парламент отключил свой почтовый сервер, чтобы предотвратить дальнейшую утечку.
Что сказать по этому поводу - наличия работающих на Норвегию хакерских групп не отмечено, а вот в качестве целей норвежские государственные органы и коммерческие компании выступают у дюжины APT. Среди них и достаточно экзотические, например Desert Falcons aka APT-C-23, родом из Палестины.
Видно не высок пока их класс (с)
ZDNet
Norwegian Parliament discloses cyber-attack on internal email system
Norway's Parliament, Stortinget, says hackers gained access and downloaded content for "a small number of parliamentary representatives and employees."
Не только лишь преступники могут использовать выходные узлы Tor для своих темных дел. Иногда инфосек исследователи балуются тем же самым, разумеется, в интересах справедливости и правды.
Исследователи сборной группы инфосек компаний PRODAFT (Швейцария) и INVICTUS (Турция), которые именуют себя PTI, поставили множество подконтрольных выходных Tor-узлов и нашли в трафике много интересного. Ресерчеры назвали эту операцию Blue Raven.
В настоящее время PTI публикуют в нескольких частях статью о перехваченных материалах хакерской группы FIN 7.
FIN 7 - это вообще сложная штука, одна из коммерческих APT. И, хотя ее активность наблюдается с 2013 года, исследователи до сих пор не пришли к единому мнению, что же это за образование. То ли это конгломерат нескольких хакерских групп, включающий в себя непосредственно FIN 7 (aka APT-C-11), Anunak (aka Carbanak) и EmpireMonkey (aka CobaltGoblin), то ли все это и есть одна крупная группа.
С происхождением тоже было не все ясно - если западные эксперты склонялись к России, то отечественные специалисты утверждали, что это украинцы. И уже в 2019 году американцы арестовали четырех граждан Украины, являвшихся членами FIN 7. Да, у них был филиал в Москве и Хайфе. Нет, группа не умерла и продолжает активную деятельность.
Биография у FIN 7 достаточно богатая, они атаковали банковский сектор, ретейл, общепит и пр. и пр. Подозревается, что хакерам удалось украсть почти 900 млн. долларов в ходе кампании 2013-2014 годов. В 2020 году FIN 7 успели прославиться уже изрядно позабытой атакой типа BadUSB, в ходе которой компаниям-жертвам рассылались подарочные накопители USB, имитировавшие после подключения USB-клавиатуру и загружавшие из сети вредонос через PowerShell.
Вернемся к операции Blue Raven. Исследователи смогли перехватить несколько ранее не замеченных модулей для используемого хакерами вредоноса Carbanak, а также образцы нового бэкдора Tirion (хакеры фанаты Игры престолов или Warcraft?), который придет на смену Carbanak.
Также ресерчеры нашли демонстрационное видео той самой атаки BadUSB и код используемых в ее процессе модулей. В том числе, обнаружили фрагмент кода для атаки на устройства под управлением macOS, о чем раньше известно не было.
Исследователи получили статистику по жертвам хакеров за период с февраля по апрель 2020 года - 325 объектов в 16 странах, а также прелюбопытнейшие результаты проверки хакерами на обнаружение антивирусными продуктами своих вредоносных инструментов. Как из них видно, наиболее надежными оказались продукты от FireEye, ESET, Bitdefender и Касперских (да-да, за рекламу нам заплатили ЦРУ, Словацкая информационная служба, Сигуранца и Кремль).
PTI обещают еще как минимум 4 статьи по результатам Blue Raven, в частности данные о связях FIN 7 и группы REvil, оператора ransomware Sodinokibi. Будем с интересом наблюдать.
Исследователи сборной группы инфосек компаний PRODAFT (Швейцария) и INVICTUS (Турция), которые именуют себя PTI, поставили множество подконтрольных выходных Tor-узлов и нашли в трафике много интересного. Ресерчеры назвали эту операцию Blue Raven.
В настоящее время PTI публикуют в нескольких частях статью о перехваченных материалах хакерской группы FIN 7.
FIN 7 - это вообще сложная штука, одна из коммерческих APT. И, хотя ее активность наблюдается с 2013 года, исследователи до сих пор не пришли к единому мнению, что же это за образование. То ли это конгломерат нескольких хакерских групп, включающий в себя непосредственно FIN 7 (aka APT-C-11), Anunak (aka Carbanak) и EmpireMonkey (aka CobaltGoblin), то ли все это и есть одна крупная группа.
С происхождением тоже было не все ясно - если западные эксперты склонялись к России, то отечественные специалисты утверждали, что это украинцы. И уже в 2019 году американцы арестовали четырех граждан Украины, являвшихся членами FIN 7. Да, у них был филиал в Москве и Хайфе. Нет, группа не умерла и продолжает активную деятельность.
Биография у FIN 7 достаточно богатая, они атаковали банковский сектор, ретейл, общепит и пр. и пр. Подозревается, что хакерам удалось украсть почти 900 млн. долларов в ходе кампании 2013-2014 годов. В 2020 году FIN 7 успели прославиться уже изрядно позабытой атакой типа BadUSB, в ходе которой компаниям-жертвам рассылались подарочные накопители USB, имитировавшие после подключения USB-клавиатуру и загружавшие из сети вредонос через PowerShell.
Вернемся к операции Blue Raven. Исследователи смогли перехватить несколько ранее не замеченных модулей для используемого хакерами вредоноса Carbanak, а также образцы нового бэкдора Tirion (хакеры фанаты Игры престолов или Warcraft?), который придет на смену Carbanak.
Также ресерчеры нашли демонстрационное видео той самой атаки BadUSB и код используемых в ее процессе модулей. В том числе, обнаружили фрагмент кода для атаки на устройства под управлением macOS, о чем раньше известно не было.
Исследователи получили статистику по жертвам хакеров за период с февраля по апрель 2020 года - 325 объектов в 16 странах, а также прелюбопытнейшие результаты проверки хакерами на обнаружение антивирусными продуктами своих вредоносных инструментов. Как из них видно, наиболее надежными оказались продукты от FireEye, ESET, Bitdefender и Касперских (да-да, за рекламу нам заплатили ЦРУ, Словацкая информационная служба, Сигуранца и Кремль).
PTI обещают еще как минимум 4 статьи по результатам Blue Raven, в частности данные о связях FIN 7 и группы REvil, оператора ransomware Sodinokibi. Будем с интересом наблюдать.
Как сообщает BleepingComputer, вчера утром исследователь Гонсало Круз обнаружил уязвимость в популярном плагине File Manager для WordPress, которая позволяла хакеру удаленно выполнять код на сайтах под управлением WordPress и загружать на них файлы без прохождения какой-либо аутентификации.
В настоящее время плагин File Manager используется на более чем 700 тыс. сайтов.
Круз сразу же сообщил разработчику плагина о найденной ошибке и в течение нескольких часов она была исправлена. Вспомните о "молниеносных" Apple, которые для исправления ошибки в Safari запросили год (!)
Администрация файрвола Wordfence сообщилf, что видbт активные попытки использовать уязвимость со стороны хакеров. Вместе с тем, несмотря на оперативную заплатку, которую выпустили разработчики, около 300 тыс. сайтов продолжают использовать уязвимую версию File Manager, а значит являются потенциально опасными для посетителей.
В настоящее время плагин File Manager используется на более чем 700 тыс. сайтов.
Круз сразу же сообщил разработчику плагина о найденной ошибке и в течение нескольких часов она была исправлена. Вспомните о "молниеносных" Apple, которые для исправления ошибки в Safari запросили год (!)
Администрация файрвола Wordfence сообщилf, что видbт активные попытки использовать уязвимость со стороны хакеров. Вместе с тем, несмотря на оперативную заплатку, которую выпустили разработчики, около 300 тыс. сайтов продолжают использовать уязвимую версию File Manager, а значит являются потенциально опасными для посетителей.
BleepingComputer
Hackers actively exploiting severe bug in over 300K WordPress sites
Hackers are actively exploiting a critical remote code execution vulnerability allowing unauthenticated attackers to upload noscripts and execute arbitrary code on WordPress sites running vulnerable File Manager plugin versions.
Если вы думаете, что цифровой концлагерь придет со стороны авторитарной власти, то вы ошибаетесь. Нет, безусловно, они бы хотели, но у них не хватает ни ресурсов, ни понимания.
Цифровой концлагерь придет, точнее он уже на полпути, из сияющего стеклом и бетоном условного Сити, в котором сосредоточились владельцы крупного бизнеса, которые решили поиграть в наднациональных богов.
Цензуру мы уже видим в полный рост.
Теперь небожители решили разобраться с использованием непослушными людишками новых технологий.
Motherboard пишет, что у Amazon существует есть секретная комплексная программа по контролю закрытых групп в Facebook, которые создают сотрудники компании.
Во вторник Amazon удалила ранее публично размещенные вакансии по найму аналитиков разведки для своей программы Global Intelligence Program (GIP). В качестве рабочих обязанностей среди прочего фигурировало "слежение за угрозами профсоюзов против компании". После скандала в социальных сетях и прессе корпорация сообщила, что вакансии были размещены по ошибке.
Однако журналисты из Motherboard получили подготовленные в рамках GIP отчеты об активности в закрытых группах Facebook, в которых общаются водители, работающие на Amazon в рамках программы доставки Flex. Flex - что-то типа Uber, когда не состоящие в штате корпорации водители с помощью специального приложения доставляют грузы Amazon клиентам за денежное вознаграждение на личных автомобилях.
Аналитики GIP отслеживают не только сообщения о выявленных проблемах в работе приложения, например, но и возможные жалобы водителей на несправедливые условия труда и связанные с этим намерения по организации забастовок, либо каких-либо других инициатив, с помощью которых они хотят повлиять на трудовую политику Amazon.
У нас, кончено, интерес вызывает тот факт, что Amazon с помощью специального инструмента мониторит закрытые группы Facebook. Возможно, что это просто автоматизация внедренных в эти группы аккаунтов сотрудников GIP. Но возможно, что, несмотря на равенство всех животных, некоторые из них все-таки равнее и Facebook предложила коллегам-бизнесменам из Amazon специальные полномочия за скромный прайс.
Куда ты смотришь, холоп? Какие права? Твоим единственным интересом должно быть преумножение капитала Господина Безоса! Забудь про приватный Интернет, ни о какой приватности не может идти речи, когда дело касается бабла!
Цифровой концлагерь придет, точнее он уже на полпути, из сияющего стеклом и бетоном условного Сити, в котором сосредоточились владельцы крупного бизнеса, которые решили поиграть в наднациональных богов.
Цензуру мы уже видим в полный рост.
Теперь небожители решили разобраться с использованием непослушными людишками новых технологий.
Motherboard пишет, что у Amazon существует есть секретная комплексная программа по контролю закрытых групп в Facebook, которые создают сотрудники компании.
Во вторник Amazon удалила ранее публично размещенные вакансии по найму аналитиков разведки для своей программы Global Intelligence Program (GIP). В качестве рабочих обязанностей среди прочего фигурировало "слежение за угрозами профсоюзов против компании". После скандала в социальных сетях и прессе корпорация сообщила, что вакансии были размещены по ошибке.
Однако журналисты из Motherboard получили подготовленные в рамках GIP отчеты об активности в закрытых группах Facebook, в которых общаются водители, работающие на Amazon в рамках программы доставки Flex. Flex - что-то типа Uber, когда не состоящие в штате корпорации водители с помощью специального приложения доставляют грузы Amazon клиентам за денежное вознаграждение на личных автомобилях.
Аналитики GIP отслеживают не только сообщения о выявленных проблемах в работе приложения, например, но и возможные жалобы водителей на несправедливые условия труда и связанные с этим намерения по организации забастовок, либо каких-либо других инициатив, с помощью которых они хотят повлиять на трудовую политику Amazon.
У нас, кончено, интерес вызывает тот факт, что Amazon с помощью специального инструмента мониторит закрытые группы Facebook. Возможно, что это просто автоматизация внедренных в эти группы аккаунтов сотрудников GIP. Но возможно, что, несмотря на равенство всех животных, некоторые из них все-таки равнее и Facebook предложила коллегам-бизнесменам из Amazon специальные полномочия за скромный прайс.
Куда ты смотришь, холоп? Какие права? Твоим единственным интересом должно быть преумножение капитала Господина Безоса! Забудь про приватный Интернет, ни о какой приватности не может идти речи, когда дело касается бабла!
VICE
Inside Amazon’s Secret Program to Spy On Workers’ Private Facebook Groups
The company has a sophisticated and secret program that is surveilling dozens of private Facebook groups set up by workers, internal documents and reports show.
Наши подписчики знают, что SecAtor старается следить за знамениями информационного Апокалипсиса, который уже на горизонте. Мы имеем в виду, конечно же, "дивный новый мир", в котором каждый геополитический игрок будет иметь свой суверенный Интернет с суверенными же профурсетками и буру (или со своими нюй куй и го, у кого что).
Как пишет сегодня ZDNet, индийские власти во вторник запретили на территории страны 118 приложений, который "тайно крадут и передают данные пользователей за пределы Индии, подрывая тем самым ее суверенитет и национальную безопасность".
Среди приложений - Baidu, WeChat, AliPay, PUBG и пр. Все приложения, похоже, имеют отношение к китайским разработчикам. Ранее, в конце июня, Индия заблокировала 59 китайских приложений, среди которых были TikTok, WeChat и Weibo.
Конечно же это связано с геополитикой, а конкретнее - с очередным обострением пограничного конфликта между Китаем и Индией. Кроме официальных запретительных мер это противостояние сопровождают и хакерские войны, о чем мы неоднократно писали (например здесь).
Как пишет сегодня ZDNet, индийские власти во вторник запретили на территории страны 118 приложений, который "тайно крадут и передают данные пользователей за пределы Индии, подрывая тем самым ее суверенитет и национальную безопасность".
Среди приложений - Baidu, WeChat, AliPay, PUBG и пр. Все приложения, похоже, имеют отношение к китайским разработчикам. Ранее, в конце июня, Индия заблокировала 59 китайских приложений, среди которых были TikTok, WeChat и Weibo.
Конечно же это связано с геополитикой, а конкретнее - с очередным обострением пограничного конфликта между Китаем и Индией. Кроме официальных запретительных мер это противостояние сопровождают и хакерские войны, о чем мы неоднократно писали (например здесь).
ZDNet
India blocks 118 apps including Baidu, AliPay, PUBG, WeChat Work | ZDNet
Apps, mostly linked to China, accused of sending data outside of India and undermining its sovereignty.
Twitter-аккаунт премьер-министра Индии Нарендра Моди был сегодня взломан хакерами, сообщает CNN.
В течение почти часа злоумышленники контролировали Twitter индийского премьера, опубликовав несколько твитов, в числе которых просьба пожертвовать биткоины.
Администрация Twitter занимается расследованием инцидента. Министерство информационных технологий Индии молчит. Пользователи тихо обалдевают от этого цирка.
А мы напомним, что у нас тоже был один Премьерзидент, который страсть как любил вести бложики в ЖЖ, притом что сервера SUP стояли в США, а также постить в свой официальный аккаунт Twitter'а.
Хорошо, что переместили человека - сейчас он заместитель начальника Совета безопасности (сарказм).
В течение почти часа злоумышленники контролировали Twitter индийского премьера, опубликовав несколько твитов, в числе которых просьба пожертвовать биткоины.
Администрация Twitter занимается расследованием инцидента. Министерство информационных технологий Индии молчит. Пользователи тихо обалдевают от этого цирка.
А мы напомним, что у нас тоже был один Премьерзидент, который страсть как любил вести бложики в ЖЖ, притом что сервера SUP стояли в США, а также постить в свой официальный аккаунт Twitter'а.
Хорошо, что переместили человека - сейчас он заместитель начальника Совета безопасности (сарказм).
CNN
Twitter investigating apparent hack of account tied to Indian Prime Minister Narendra Modi | CNN Business
A Twitter account connected to Indian Prime Minister Narendra Modi appeared to have been hacked Thursday, prompting an investigation by the social media company.
Похоже, что оберег в виде СНГ-шного происхождения большинства крупных операторов ransomware (например, Maze, функционирующий как Ransomware-as-a-Service, не разрешает своим клиентам рансомить на территории СНГ), перестает работать. Просто потому, что кроме российских, украинских и других молдавских хакеров есть еще и весь остальной мир black hat.
Вторая крупнейшая ИТ-компания Украины SoftServe подверглась атаке ransomware. Как следствие - ряд сервисов компании недоступен, остальные украинцы отключили сами, дабы избежать дальнейшего проникновения вымогателя. Среди пострадавших - почта и вспомогательные тестовые среды.
Какое именно ransomware атаковало SoftServe пока не понятно. Вряд ли Maze, вряд ли Sodinokibi, вряд ли WastedLocker, вряд ли Nemty и Nefilim (потому что они Скриптонита любят).
Ну а мы в который раз уже криком кричим - товарищи владельцы российского бизнеса, обратите свое внимание на угрозу ransomware. Ведь если вас зарансомят - вы же охренеете. А вместе с вами охренеем и мы, скромные потребители ваших товаров и услуг.
Вторая крупнейшая ИТ-компания Украины SoftServe подверглась атаке ransomware. Как следствие - ряд сервисов компании недоступен, остальные украинцы отключили сами, дабы избежать дальнейшего проникновения вымогателя. Среди пострадавших - почта и вспомогательные тестовые среды.
Какое именно ransomware атаковало SoftServe пока не понятно. Вряд ли Maze, вряд ли Sodinokibi, вряд ли WastedLocker, вряд ли Nemty и Nefilim (потому что они Скриптонита любят).
Ну а мы в который раз уже криком кричим - товарищи владельцы российского бизнеса, обратите свое внимание на угрозу ransomware. Ведь если вас зарансомят - вы же охренеете. А вместе с вами охренеем и мы, скромные потребители ваших товаров и услуг.
www.itsec.ru
Вторая крупнейшая ИТ-компания Украины подверглась атаке шифровальщика
В итоге ряд сервисов SoftServe перестали работать, еще часть компания отключила, чтобы остановить распространение вируса.
Вот что снится инфосек ресерчеру после 12-часового расследования APT.
P.S. Оригинальный звук выключить, смотреть исключительно под Loser - Pump Fake.
P.S. Оригинальный звук выключить, смотреть исключительно под Loser - Pump Fake.
Twitter
Dave Eves 🍸
Reminder that early 30s cartoons were wild. BETTY BOOP'S PENTHOUSE (1933) | Directed by Dave Fleischer | Animated by Willard G Bowsky | Produced by Max Fleischer https://t.co/ujsLNrCPiK
Warner Music Group (WMG), третья по величине в мире компания звукозаписи, подала заявление в Департамент юстиции Калифорнии, в котором сообщила об обнаруженном взломе своих ресурсов.
По данным WMG, в период с 25 апреля по 5 мая этого года ряд электронных магазинов компании был скомпрометирован, в результате чего на их сайты были внедрены вредоносные скрипты, ворующие данные банковских карт пользователей, которые те вводили при покупке. Если кто не знает, такие атаки называются веб-скимминг или, как сейчас более модно говорить, Magecart.
Warner не раскрывает названия взломанных магазинов, но заявляет, что информации об утечке данных пользователей у них нет. Впрочем, так сейчас говорят все и это совсем не означает, что подобной утечки не было, скорее наоборот.
Подломанные на протяжении трех с половиной месяцев магазины корпорации с миллиардными доходами? Ничего удивительного, это просто "эффективная (с точки зрения костов) информационная безопасность".
По данным WMG, в период с 25 апреля по 5 мая этого года ряд электронных магазинов компании был скомпрометирован, в результате чего на их сайты были внедрены вредоносные скрипты, ворующие данные банковских карт пользователей, которые те вводили при покупке. Если кто не знает, такие атаки называются веб-скимминг или, как сейчас более модно говорить, Magecart.
Warner не раскрывает названия взломанных магазинов, но заявляет, что информации об утечке данных пользователей у них нет. Впрочем, так сейчас говорят все и это совсем не означает, что подобной утечки не было, скорее наоборот.
Подломанные на протяжении трех с половиной месяцев магазины корпорации с миллиардными доходами? Ничего удивительного, это просто "эффективная (с точки зрения костов) информационная безопасность".
State of California - Department of Justice - Office of the Attorney General
Submitted Breach Notification Sample
Израильское издание Haaretz опубликовало результаты расследования в отношении совершенно секретной израильской фирмы Candiru, специализирующаяся на взломах компьютеров и мобильных устройств.
Поскольку материал большой, то мы, как обычно, дадим краткую выжимку наиболее интересных фактов.
Отрасль наступательных киберопераций - это крупный бизнес в Израиле, его доход оценивается в 1 млрд. долларов в год. Самым известным ее представителем является скандальная NSO Group, с которой из-за взлома WhatsApp сейчас судится Facebook (мы много про это писали, там все очень интересно).
Компания Candiru до сей поры была не особо известна, что и неудивительно - она предпринимает все возможные усилия, чтобы остаться незамеченной. У нее нет сайта, сотрудники, коих сейчас ориентировочно 150 человек, подписывают строгий NDA и даже не имеют права вносить свое место работы в профиль в LinkedIn. Но рано или поздно все тайное становится явным.
Компания была основана в 2015 году. Крупнейшим ее акционером и председателем является Исаак Зак, один из основателей NSO Group (судя по фотографии - Моссад Моссадом). За время существования компания сменила 5 названий.
Журналисты получили в свое распоряжение документ, подписанный одним из вице-президентов Candiru, в котором описывается "высококлассная платформа киберразведки, предназначенная для скрытного проникновения в компьютеры, сети и мобильные устройства". Кибершпионское ПО может собирать информацию и вмешиваться в работу атакованных устройств.
А теперь действительно интересное. Во-первых, ПО от Candiru работает на устройствах под управлением Windows, iOS (!) и Android.
Во-вторых, Candiru предупреждает, что ее киберразведывательная платформа не работает в США, Израиле, России и Китае. И этому может быть только одно объяснение - Россия и Китай купили ПО у Candiru и используют его самостоятельно.
Все это стало известно в ходе рассмотрения иска одного из бывших топ-менеджеров Candiru к компании по поводу невыплаченного вознаграждения. По заявлению истца, в настоящее время фирма поставляет свои решения в более чем 60 стран мира на всех континентах, включая Африку. Общая стоимость всех проектов, которым присвоены кодовые обозначения Sphinx, Tiger, Ukulele, Oltron1, Oltron2, Pointer1, Pointer2 и т.д., составляет 367 миллионов долларов.
Candiru пытается закрыть материалы суда и удалить их из всех общедоступных источников, ссылаясь на то, что они представляют собой секретные сведения. Потому что законы - они для плебса, это гражданам нельзя компьютеры ломать, а государствам - можно.
Поскольку материал большой, то мы, как обычно, дадим краткую выжимку наиболее интересных фактов.
Отрасль наступательных киберопераций - это крупный бизнес в Израиле, его доход оценивается в 1 млрд. долларов в год. Самым известным ее представителем является скандальная NSO Group, с которой из-за взлома WhatsApp сейчас судится Facebook (мы много про это писали, там все очень интересно).
Компания Candiru до сей поры была не особо известна, что и неудивительно - она предпринимает все возможные усилия, чтобы остаться незамеченной. У нее нет сайта, сотрудники, коих сейчас ориентировочно 150 человек, подписывают строгий NDA и даже не имеют права вносить свое место работы в профиль в LinkedIn. Но рано или поздно все тайное становится явным.
Компания была основана в 2015 году. Крупнейшим ее акционером и председателем является Исаак Зак, один из основателей NSO Group (судя по фотографии - Моссад Моссадом). За время существования компания сменила 5 названий.
Журналисты получили в свое распоряжение документ, подписанный одним из вице-президентов Candiru, в котором описывается "высококлассная платформа киберразведки, предназначенная для скрытного проникновения в компьютеры, сети и мобильные устройства". Кибершпионское ПО может собирать информацию и вмешиваться в работу атакованных устройств.
А теперь действительно интересное. Во-первых, ПО от Candiru работает на устройствах под управлением Windows, iOS (!) и Android.
Во-вторых, Candiru предупреждает, что ее киберразведывательная платформа не работает в США, Израиле, России и Китае. И этому может быть только одно объяснение - Россия и Китай купили ПО у Candiru и используют его самостоятельно.
Все это стало известно в ходе рассмотрения иска одного из бывших топ-менеджеров Candiru к компании по поводу невыплаченного вознаграждения. По заявлению истца, в настоящее время фирма поставляет свои решения в более чем 60 стран мира на всех континентах, включая Африку. Общая стоимость всех проектов, которым присвоены кодовые обозначения Sphinx, Tiger, Ukulele, Oltron1, Oltron2, Pointer1, Pointer2 и т.д., составляет 367 миллионов долларов.
Candiru пытается закрыть материалы суда и удалить их из всех общедоступных источников, ссылаясь на то, что они представляют собой секретные сведения. Потому что законы - они для плебса, это гражданам нельзя компьютеры ломать, а государствам - можно.
Haaretz.com
Cellphone hacking, Gulf deals: Top secret Israeli cyberattack firm revealed
***