Полезные знания Обзор событий по кибербезопасности

[fenix]

Команда Discourse выпустила срочный патч для устранения критической уязвимости

Команда разработчиков Discourse выпустила обновление, призванное устранить уязвимость удаленного выполнения кода в платформе.

Discourse – популярный интернет-форум с открытым исходным кодом и программное обеспечение для управления списком рассылки, клиентская база которого составляет более чем 2 тыс. клиентов, включая сайт Amazon Seller Central с ежемесячной аудиторией в 30 млн пользователей.

Уязвимость (CVE-2021-41163) представляет собой ошибку проверки в upstream-потоке aws-sdk-sns gem, которая может быть проэксплуатирована для удаленного выполнения кода с помощью специально сформированного запроса. Уязвимость, получившая максимальную степень опасности (CVSS 10), существует из-за отсутствия проверки в значениях subscribe_url.

Проблема была устранена в версиях Discourse 2.7.9 (стабильная) и 2.8.0.beta7. Команда Discourse не предоставила полную информацию о проблеме, однако обнаруживший уязвимость ИБ-эксперт, известный как joernchen, опубликовал некоторые подробности о ней.

Разработчикам рекомендуется как можно скорее обновиться до Discourse 2.7.9 и выше, а если это пока невозможно, применить защитные меры, в частности, блокировать запросы, содержащие путь /webhooks/aws, на уровне вышестоящих (upstream) прокси.

 

[fenix]

Кибервымогатели вооружились уязвимостью 0-day в EntroLink PPX-AnyLink

Целый ряд кибервымогательских группировок стали эксплуатировать уязвимость нулевого дня в EntroLink VPN после публикации на хакерском форуме эксплоита в сентябре 2021 года.

Уязвимость затрагивает устройства EntroLink PPX-AnyLink, популярные в южнокорейских компаниях и использующиеся в качестве шлюзов для аутентификации пользователей и VPN, которые обеспечивают сотрудникам удаленный доступ к сетям и внутренним ресурсам их компаний.

Эксплоит для уязвимости был опубликован 13 сентября. Изначально он продавался на другом форуме за $50 тыс., но затем был опубликован бесплатно администратором нового киберпреступного форума в качестве промо-акции с целью привлечения киберпреступников.

Согласно публикации на форуме, уязвимость все еще не исправлена. Эксплоит использует сетевой протокол и позволяет удаленно выполнить код с привилегиями суперпользователя на устройствах PPX-AnyLink.

В публикации уязвимость описывается как проблема с подтверждением подлинности входных данных. Эксплоит является полностью автономным и позволяет скомпрометировать устройство за считанные секунды.

После публикации эксплоитом предположительно вооружились участники партнерских программ BlackMatter и LockBit.

По данным исследователей безопасности Аллана Лиски (Allan Liska) и Pancak3 , уязвимость в EntroLink PPX-AnyLink является 54-й уязвимостью нулевого дня, эксплуатирующейся кибервымогательскими группировками.

 

[fenix]

ФБР получило ордер на разблокировку устройства с помощью биометрии

Для получения информации о деятельности мужчины, обвиняемого в участии в захвате Капитолия 6 января 2021 года и нападении на полицейских с применением перцового баллончика, ФБР использовало один из самых противоречивых своих методов.

Как сообщает Forbes, 4 февраля нынешнего года агенты ФБР получили ордер на обыск по месту жительства подозреваемого в городе Юнионтаун (штат Пенсильвания, США) и разблокировку устройств с помощью его отпечатков пальцев, лица или других биометрических данных. Попав внутрь помещения, они обнаружили, что подозреваемый Питер Шварц (Peter Schwartz) использовал для разблокировки своего Samsung S10 отпечаток большого пальца.

"В соответствии с формулировкой ордера, разрешающего использование биометрии для разблокировки цифровых устройств в помещениях, агенты ФБР использовали отпечаток пальца Шварца для разблокировки сотового телефона Samsung Galaxy S10", - сообщается в ордере.

Сейчас ФБР надеется извлечь из смартфона все возможные полезные данные. После изъятия устройства в феврале, признались в бюро, провести криминалистическую экспертизу не удалось. Тем не менее, агенты все же смогли просмотреть сообщения на смартфоне, в которых Шварц пересылал фотографии с Капитолийского холма и утверждал, что он и другие были готовы умереть во время беспорядков.

В настоящее время отношение общества к подобным обыскам с использованием биометрических разблокировок весьма противоречиво. В случаях отказа подозреваемых выполнять требование ордера на разблокировку устройств ряд судей в разных штатах ссылались на четвертую и пятую поправки к Конституции США, защищающие граждан от ненужных обысков и свидетельствования против себя.

В некоторых предыдущих делах судьи пресекали попытки властей заставить подозреваемых передать свой пароль для разблокировки устройства, однако разблокировка с помощью биометрических данных зачастую считалась приемлемой. Это объясняется тем, что отпечатки пальцев, радужная оболочка глаза или лицо не считались «свидетельствованием», поскольку свой пароль подозреваемые не раскрывали.

Тем не менее, как отметил один из судей из Калифорнии в 2019 году, "если человека нельзя принуждать к раскрытию пароля, поскольку это является свидетельствованием, то его нельзя принуждать и к предоставлению своего пальца, радужной оболочки глаза, лица или других биометрических данных для разблокировки того же устройства".

 

[fenix]

Кибератака нарушила работу автозаправок в Иране

Сбой в работе государственной системы, регулирующей продажу топлива населению по квотам, привела к перебоям в работе автозаправок по всей территории Ирана.

По сообщениям иранских государственных телеканалов, на автозаправках в Тегеране выстроились очереди автомобилей, при этом сами заправки не работают. Правительство Ирана уже созвало срочное совещание по этому вопросу.

По данным иранского информационного агентства ИСНА, речь идет о кибератаке. Как сообщают СМИ, при попытке купить топливо по карте, на экране

Для просмотра ссылки необходимо нажать Вход или Регистрация

сообщение «кибератака 64441», а на электронных биллбордах в иранском городе Исфахан появилось сообщение «Хаменеи! Где наше топливо?».

Пока ни одна группировка не взяла на себя ответственность за инцидент, однако номер «64411» ранее фигурировал в масштабной

Для просмотра ссылки необходимо нажать Вход или Регистрация

на иранскую железную дорогу в июле нынешнего года. ИБ-эксперты связали данную атаку с хакерской группировкой под названием Indra.

 

[fenix]

Список сетевых угроз, выявляемых с помощью PT NAD, расширен до 37

Компания Positive Technologies выпустила новую версию PT Network Attack Discovery (PT NAD) — 10.2. В список подозрительных активностей, которые отслеживает система анализа трафика, добавлены еще 33, в том числе сканирование сети и флуд, говорящий о возможной DoS-атаке.

В PT NAD также увеличилась скорость обработки трафика, обновился фильтр для узлов, участвующих в сетевом взаимодействии, и пополнился список определяемых протоколов. Начиная с предыдущего выпуска, вся выявленная подозрительная активность выводится пользователю в единой ленте, что позволяет быстрее реагировать на угрозы.

В частности, юзер теперь может своевременно узнавать о таких потенциальных и явных нарушениях ИБ:
передача учетных данных в открытом виде;
обращения к внешним VPN и прокси-серверам (OpenVPN, SOCKS5);
использование инструментов удаленного администрирования (TeamViewer, AeroAdmin, RMS и проч.), выполнение удаленных команд с помощью PsExec и PowerShell;
активность вредоносного ПО;
срабатывание IoC;
использование словарных паролей;
подключение неизвестной DHCP-службы.

Из новшеств, которыми может похвастаться PT NAD 10.2, стоит особо отметить реализацию механизма обнаружения сканов, флуда и DDoS-атак, который к тому же способен обеспечить защиту от переполнения базы данных. Вместо раздельного сохранения информации о каждом соединении система создает всего две записи, но с агрегированными данными: одну — о сессии, другую — об атаке (в ленте активностей). Такое нововведение также повышает стабильность работы сенсора.

Кроме того, система анализа трафика научилась автоматически определять типы и роли узлов – участников подозрительной активности. По типу узлы разделяются на рабочие станции, серверы, мобильные устройства, принтеры. При определении их роли (функции) PT NAD руководствуется списком из 15 вариантов — DNS-сервер, VPN, контроллер домена, прокси-сервер, система мониторинга и т. п. Примечательно, что оба новых признака пользователь может переназначить вручную.

«Знания о том, из чего состоит инфраструктура компании, необходимы, чтобы качественно защищать ее и точно выявлять в ней атаки, — поясняет Дмитрий Ефанов, руководитель разработки PT NAD. — Эти сведения в PT NAD дают операторам безопасности понимание, какие в сети есть устройства и какие роли они выполняют, таким образом, помогая проводить инвентаризацию сети».

Повышение скорости PT NAD до десятков Гбит/с было достигнуто за счет использования DPDK (Data Plane Development Kit) — библиотеки Intel, способной, среди прочего, эффективно и без потерь захватывать трафик в Linux. Список определяемых и разбираемых протоколов теперь включает 86 позиций; в него добавлены такие варианты SQL, как MySQL, PostgreSQL, Transparent Network Substrate, а также протоколы системы Elasticsearch и печати PostScript.

 

[fenix]

«Русские» хакеры маскировались под американцев, чтобы скрыть кибершпионаж

Хакерская группировка Nobelium, связываемая ИБ-экспертами с РФ, пыталась замаскировать свою деятельность с помощью «резидентных прокси» - IP-адресов мобильных и домашних компьютерных сетей обычных американцев.

Речь идет о новой кампании Nobelium (группировка также считается организатором нашумевшей кибератаки на американского производителя ПО SolarWinds), направленной организации, связанные с глобальными цепочками поставок IT. По данным компании Microsoft, с мая нынешнего года хакеры

Для просмотра ссылки необходимо нажать Вход или Регистрация

более чем 140 поставщиков технологических сервисов, 14 из них им удалось скомпрометировать.

В период с 1 июля по 19 октября нынешнего года Microsoft зафиксировала более 22 тыс. атак Nobelium на 609 своих клиентов, однако большая часть нападений была неуспешной.

По данным источника Bloomberg, целью кампании были американские правительственные ведомства, неправительственные организации и технологические фирмы.

По словам старшего вице-президента ИБ-компании Mandiant Чарлза Кармакала (Charles Carmakal), хакеры использовали резидентные IP-прокси – IP-адреса, связанные с определенной локацией, которые можно приобрести через интернет.

Использование таких прокси позволяет замаскировать попытки взлома под трафик, исходящий с американских мобильных телефонов или домашних интернет-сетей. Например, попытка хакера проникнуть в компьютерную сеть со стороны будет выглядеть будто сотрудник компании авторизуется с мобильного телефона.

Что касается провайдеров резидентных прокси, услугами которых пользуются Nobelium и прочие хакерские группировки, по словам главы ИБ-компании Resecurity Джин Йу (Gene Yoo) это Bright Data, Oxylabs и IP Burger.

В ответ на запрос Bloomberg прокомментировать ситуацию, представители базирующейся в Израиле Bright Data сообщили, что компания тщательно проверяет клиентов и не нашла признаков использования Nobelium их сетей. В литовской Oxylabs заявили, что проводят внутреннее расследование, которое в настоящее время не выявило признаков злонамеренного использования сервиса. Bloomberg не удалось выяснить, где базируется IP Burger, и кто ее владелец. В компании не отреагировали на запрос информагентства.

 

[fenix]

Представитель вымогательской группировки LockBit дал развернутое интервью аналитику безопасности.

Хотя вымогательская группировка LockBit существует с сентября 2019 года, до прошлого июня она была малозначимым игроком на киберпреступной арене. Однако после запуска новой версии ее платформы "вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS) под названием LockBit 2.0 и ухода конкурентов Darkside, Avaddon и REvil она стала одной из крупнейших на сегодняшний день партнерских программ RaaS.

Киберпреступные группировки, ранее использовавшие другое вымогательское ПО, летом 2021 года переключились на LockBit, что привело к резкому росту числа атак на австралийские компании. По данным ИБ-компании Recorded Future, LockBit, с большим отрывом, была самой активной кибевымогательской операцией в прошлом месяце - на ее долю пришлась почти треть жертв, представленных на сайтах утечек кибервымогательских группировок.

Теперь, когда LockBit крепко встала на ноги, она решила последовать примеру REvil и BlackMatter и дать интервью специалисту Recorded Future Дмитрию Смилянцу.

Как пояснил представитель группировки, называющий себя LockBitSupp, LockBit пока еще не начала завоевывать рынок по-настоящему и находится на стадии разработки и улучшения своего ПО. Резкое увеличение числа атак с использованием вымогательского ПО LockBit он объясняет "безупречной репутацией".

"Мы единственные, кто никогда никого не обманывал и не менял свой бренд. Люди доверяют нам. Соответственно, чем больше партнеров, тем больше атак", - пояснил LockBitSupp.

Группировка не намерена снижать свою активность даже в случае, если в некоторых странах жертв вымогателей законодательно обяжут незамедлительно сообщать об атаках властям. LockBit не боится чрезмерного внимания со стороны властей и целиком и полностью полагается на свои средства обеспечения безопасности.

"С шумихой или без, любой прокол в анонимности может тебя уничтожить. Нам все равно, раскроет компания информацию об атаке или нет, это ее личное дело", - заявил LockBitSupp.

Одной из отличительных черт LockBit является то, что она разрешает участникам своей партнерской программы общаться с жертвами и получать от них деньги напрямую.

"У нас нет причин не доверять своим партнерам. Если человек настроен на долгосрочное сотрудничество, то он нас никогда не кинет. Но самое важное - это поддерживать безупречную репутацию. Мы не можем разочаровать своих партнеров и украсть выкуп, как это делали Avvadon, Darkside и REvil (в прошлом месяце SecurityLab

Для просмотра ссылки необходимо нажать Вход или Регистрация

о том, что у REvil была возможность обворовывать своих партнеров - ред.)", - сообщил LockBitSupp.

По словам представителя LockBit, в течение пяти следующих лет конкуренция на рынке кибервымогательства усилится, в то же время, компании станут лучше защищены от атак.

На вопрос, какую роль в успехе LockBit сыграла ликвидация REvil, LockBitSupp ответил, что никакой, и к группировке перешли только четыре партнера REvil.

"Запустить партнерскую программу легко, а вот поддерживать ее на плаву - это настоящее искусство", - отметил представитель LockBit.

Интересно, что LockBitSupp считает исчезновение REvil самым обычным мошенничеством (exit scam или "мошенничество с уходом" - уловка, при которой существующий бизнес прекращает выполнять заказы, одновременно получая оплату за новые, а затем исчезает, прикарманив деньги клиентов).
"Я уверен, это классический exit scam, то же самое было с Avvadon и Darkside. Как только приходит крупный платеж, владелец партнерской программы задумывается, а стоит ли работать дальше и рисковать своей жизнью, или лучше уйти прямо сейчас и спокойно тратить деньги всю оставшуюся жизнь", - заявил LockBitSupp.

Отметим, на прошлой неделе сообщалось , что деятельность REvil была прекращена совместными усилиями американских спецслужб и их союзников.

Как отметил представитель группировки, LockBit не атакует больницы. Было несколько случаев, когда партнеры по ошибке зашифровали сети стоматологических кабинетов и домов престарелых, но группировка предоставила им ключ для восстановления файлов бесплатно.

По словам LockBitSupp, встреча Джо Байдена и Владимира Путина летом нынешнего года никак не повлияла на кибервымогательский рынок, а временное снижение количества атак объясняется тем, что "никто не хочет работать летом, особенно если у тебя миллионы долларов". Тем более, никто, кто "работает серьезно", не живет ни в России, ни в США. Сам LockBitSupp уверяет, что живет в Китае (однако интервью он давал на русском) и чувствует себя "в полной безопасности".

 

[fenix]

Эксперты показали лёгкий способ взломать 70% паролей от сетей Wi-Fi

Исследователи в области кибербезопасности из компании CyberArk продемонстрировали, как можно легко взломать более 70% паролей от сетей Wi-Fi, используя при этом достаточно банальное и дешёвое оборудование.

Исследование проводили в Тель-Авиве, а по его результатам стало понятно, насколько легко потенциальный злоумышленник может проникнуть в домашние и корпоративные сети. Для этого достаточно ходить по интересующей местности с правильным оборудованием.

В эксперименте CyberArk использовалась сетевая плата AWUS036ACH ALFA стоимостью около 3500 тысяч рублей, которая могла мониторить и внедрять пакеты, а также устройство с установленной операционной системой Ubuntu.

Со всем этим добром в рюкзаке эксперт Идо Хурвитч ходил по центру Тель-Авива и пробовал сниффить сети Wi-Fi. В частности, специалиста интересовал PMKID-хеш, который он пытался получить с помощью Hcxdumptool, утилиты от ZerBea.

По словам Хурвитча, он задействовал уязвимость в RSN IE (Robust Security Network Information Element), позволяющую добраться до PMKID-хеша. Сначала исследователь «прощупал» около пяти тысяч сетей, а уже затем приступил к взлому паролей.

Здесь Хурвитч уже использовал утилиту Hashcat, предназначенную для восстановления учётных данных. С помощью Hashcat можно, например, подбирать пароли по словарям. В результате эксперт смог успешно взломать 3600 паролей, большая часть которых состояла из десяти символов.

Причём подавляющее большинство взломанных сетей также были защищены с помощью телефонного номера владельца. Тем не менее, по словам специалиста, многие маршрутизаторы просто не поддерживали функции роуминга, а значит, не были уязвимы к PMKID-атаке.

 

[fenix]

Вымогатели атаковали минфин Папуа-Новой Гвинеи

Финансовый отдел Папуа-Новой Гвинеи подвергся атаке с использованием программ-вымогателей, заблокировав доступ к сотням миллионов долларов в виде иностранной помощи. Об этом сообщает Bloomberg со ссылкой на людей, знакомых с ситуацией.

По словам источников, на прошлой неделе произошла атака на Интегрированную систему финансового управления (IFMS) Министерства финансов. IFMS объединила бюджет тихоокеанской страны и отчетность для всех уровней и департаментов правительства на платформе. Он контролирует доступ к фондам для правительства, которое сильно зависит от иностранной помощи.

Хакеры потребовали от властей выкуп в биткойнах. При этом сумма не называется.

По словам источников, в государственных сетевых системах есть несколько критических уязвимостей, которые позволили бы злоумышленникам взломать сети.

Сотрудники бухгалтерии одного министерства подтвердили Bloomberg, что система не работает, и что Департамент финансов занимается решением проблемы, но не объяснил причину.

Пока официальных комментариев из правительства Папуа — Новой Гвинеи по этому вопросу не поступало.

 

[fenix]

Протокол Cream Finance потерял $130 млн из-за очередного хакерского взлома

Протокол децентрализованного финансирования Cream Finance в очередной раз пострадал от уязвимости в механике флеш-кредитов. Мошенники вывели активы на сумму около $130 млн

Специализирующаяся на вопросах безопасности блокчейнов компания PeckShield идентифицировала крупную транзакцию по получению ссуды на площадке по быстрому кредитованию DeFi Cream Finance. Зафиксированный эксплойт в CREAM v1 дал основание утверждать, что Cream Finance подверглась третьему по счету взлому на сумму около $130 млн. Похищены токены Cream LP и прочие токены стандарта ERC-20.

Команда проекта подтвердила факт взлома и сообщила, что ведет расследование.

В этом году Cream Finance взломали уже третий раз. В феврале 2021 года злоумышленники похитили $37,5 млн, воспользовавшись уязвимостью флеш-кредитов. В августе протокол снова взломали. На этот раз вывели около $25 млн.

 

[fenix]

В Европе похищены цифровые ключи для ковид-пропусков

Неизвестные в одной из европейских стран выкрали у компетентного органа электронные ключи, при помощи которых происходит выдача цифровых ковид-сертификатов ("грин-пассов") в странах ЕС, включающих информацию о вакцинации от коронавируса, перенесенном заболевании или отрицательном тесте на инфекцию. Об этом в среду сообщило итальянское агентство ANSA со ссылкой на источники.

Целью похищения данных было изготовление фальшивых ковид-сертификатов, сообщил собеседник агентства. Он добавил, что по результатам совещания 27 октября в компетентном ведомстве ЕС было принято решение о блокировке похищенных электронных ключей.

Также известно, что кража данных произошла не в Италии. Число украденных ключей для «грин-пассов» пока не установлено.

ANSA пишет, что компетентные органы уже приняли решение об аннулировании ковид-сертификатов с похищенными кодами. Также в среду утром якобы должна была состояться серия встреч на европейском уровне между техническими экспертами для глубокого анализа сложившейся ситуации.

Со вчерашнего вечера в сети появился QR-код привитого от ковид Адольфа Гитлера. Если проверить его приложением Covid-19 Verify, оно распознает этот код, как действительный. А также указывает дату рождения – 1 января 1900 года.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий за 28.10.21

Спойлер: Британский подросток заработал более £2 млн с помощью фишинга

Полиция графства Линкольншир конфисковала у подростка 48 биткойнов и другие криптоактивы на общую сумму более £2 млн, обвинив его в мошенничестве и отмывании денег через криптовалюты.

По данным полиции, 17-летний подросток, имя которого не раскрывается, так как он еще несовершеннолетний, создал фишинговый сайт, имитирующий интернет-ресурс компании Love2Shop, занимающейся продажей цифровых подарочных карт и сертификатов. Свой сайт подросток рекламировал через online-сервис Google Ads. Думая, что заходят на настоящий сайт, посетители оставляли на мошеннической платформе личные данные.

Компания Love2Shop начала собственное расследование в апреле 2020 года в связи с жалобами клиентов, после чего подросток отключил фишинговый сайт. К тому времени малолетнему преступнику удалось украсть подарочные сертификаты на сумму £6500, которые он конвертировал в сертификаты Love2Shop в собственном аккаунте и использовал для покупки биткойнов.

По информации местного издания Lincolnshire Live, полицейские обнаружили на компьютере подростка 12 тыс. номеров кредитных карт и данные 197 счетов в PayPal, с которых он украл в общей сложности £323 тыс.

Также правоохранители изъяли 48 биткойнов, стоимость которых на момент ареста подростка в августе 2020 года составляла примерно £200 тыс., а в настоящее время превышает £2 млн.

Суд приговорил юного «фишера» к 1 году в реабилитационном центре для молодежи и 150 часам общественных работ.

Спойлер: В США запретили работу China Telecom из-за угрозы нацбезопасности

Власти США запретили подразделению China Telecom Ltd., одного из крупнейших китайских государственных операторов связи, работать в стране, ссылаясь на угрозу национальной безопасности.

Согласно

Для просмотра ссылки необходимо нажать Вход или Регистрация

Федеральной комиссии связи США (FCC), China Telecom (Americas) Corp., которая проработала в стране почти 20 лет, обязана прекратить деятельность в течение 60 дней. Как указывается в документе, существует опасность, что Пекин может использоваться компанию для прослушивания или нарушения работы коммуникаций, а также осуществлять шпионаж и заниматься прочей деятельностью, способной навредить Соединенным Штатам.

Представитель China Telecom отметил, что решение американской комиссии вызывает разочарование. Он так же добавил, что компания сделает все возможное для дальнейшего обслуживания клиентов.

О намерении отозвать лицензию у China Telecom комиссия сообщила еще в 2019 году. Тогда FCC отклонила заявку на лицензию еще одного китайского оператора - China Mobile Ltd. В январе 2021 года по решению на то время президента США Дональда Трампа China Telecom была исключена из листинга Нью-Йоркской фондовой биржи наряду с другими коммуникационными компаниями, в частности, Huawei.

Спойлер: Шпионское ПО уже три года атакует пользователей Android-устройств в Израиле

Ряд на первый взгляд безобидных Android-приложений заражают устройства израильских пользователей шпионским ПО еще с 2018 года. По словам обнаруживших приложения специалистов компании Qihoo 360, в настоящее время вредоносная кампания все еще продолжается.

Вредоносные приложения маскируются под Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, просмотр PDF, Wire и пр. Самой агрессивной является подделка защищенного мессенджера Threema.

По мнению исследователей, приложения попадают на устройства жертв через публикации в Facebook или сообщения в WhatsApp, направляющие пользователей на web-сайты, предлагающие загрузить APK. В некоторых случаях сообщения содержат ссылки на Google Диск, где якобы хранится важный засекреченный PDF-документ. Жертву убеждают загрузить шпионское ПО под видом мобильной версии Adobe Reader.

В ходе вредоносной кампании злоумышленники использовали разные типовые вредоносные программы, в частности SpyNote, Mobihok, WH-RAT и 888RAT. Все они представляют собой коммерческое шпионское ПО, способное извлекать файлы, записывать звонки, отслеживать местоположение, записывать нажатия клавиш, захватывать фото и видео, управлять буфером обмена, выполнять команды оболочки.

В некоторых случаях в APK были обнаружены Metasploit и EsecretRAT. В обоих случаях злоумышленники реализовали дополнительный кастомный код поверх инструментов с открытым исходным кодом.

EsecretRAT базируется на приложении ChatApp и представляет собой шпионское ПО, способное извлекать списки контактов, SMS-сообщения, IMEI, данные о местоположении, IP-адреса и фотографии.

По мнению специалистов Qihoo 360, за вредоносной кампанией стоит группировка APT-C-23, связанная с ХАМАС. В октябре 2020 года было обнаружено, что группировка использовала шпионское ПО для Android, замаскированное под Threema и Telegram, в атаках на пользователей в Израиль.

Спойлер: За три месяца хакеры украли более $1 миллиарда в криптовалюте

По данным Atlas VPN, в период с июля по сентябрь мировой рынок криптовалюты потерял свыше $1 млрд в результате взлома блокчейн-сетей. Больше прочих пострадала экосистема Ethereum, на долю которой в III квартале пришлось 20 хакерских атак.

Опубликованная статистика составлена по результатам анализа данных об известных атаках в этой сфере, собранных китайским провайдером ИБ-услуг Slowmist. Финансовые потери определялись с учетом курса криптовалюты на момент киберинцидента.

Всего за три месяца взломщики провели 69 атак на участников блокчейн-рынка, совокупно украв $1,138 млрд в криптовалюте. Больше прочих потеряли платформы Ethereum — свыше $800 млн, из которых $613 млн было украдено в августе в результате взлома Poly Network (объединенными усилиями хакера удалось убедить все вернуть).

На долю криптобирж пришлось пять хакерских атак, суммарные потери составили $114 млн. Здесь отличилась японская биржа Liquid: из ее горячего кошелька украли более $91 миллиона.

В целом за три квартала число атак хакеров, мечтающих сорвать большой куш в криптовалюте, уже на 20% превысило прошлогодний уровень — 166 против 123. Рекорд 2019 года (133) тоже оказался побитым, как и по сумме украденного ($5,5 млрд, а сейчас уже $6,6 млрд).

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий за 29.10.21

Спойлер: Германия вычислила ключевого члена группировки REvil (угадайте, откуда он)

Правоохранители Германии сообщили, что им удалось идентифицировать одного из членов киберпреступной группировки, распространяющей программу-вымогатель REvil. В поле зрения немецких полицейских попался некто Николай К.

Поскольку REvil является одной из самых успешных банд, оперирующих шифровальщиком, вполне очевидно, что власти многих стран хотят вычислить и задержать участников группировки. В начале июля этого года операторы REvil поразили американскую компанию Kaseya, предоставляющую услуги MSP. На тот момент преступники запросили 70 миллионов долларов за расшифровку файлов.

По данным правоохранителей, подозреваемый Николай К. занимается торговлей криптовалютой в социальных сетях. Он якобы проживает в России и демонстрирует приличный достаток на своих страницах в соцсетях.

Немецкие полицаи считают, что именно Николай К. стоит за операциями кибергруппы, распространяющей программу-вымогатель REvil. Как сообщают местные СМИ, правоохранители «вели» подозреваемого на протяжении нескольких месяцев.

Согласно опубликованной информации, полиция начала с анализа серии биткоин-переводов, которые были связаны с деятельностью GandCrab. Позже немецкие правоохранители вышли на адрес электронной почты Николая К., которым последний пользовался для регистрации более чем на 60 веб-сайтах.

Позже полицейские добыли и телефонный номер подозреваемого, который был привязан к аккаунту в Telegram. Эта учётная запись использовалась для легальных операций с цифровой валютой, однако расследование показало, что некоторые из переводов связаны с выкупами.

Напомним, что на прошлой неделе банда REvil внезапно залегла на дно после того, как её Tor-сайты оказались взломанными. Об этом сообщили сами участники группировки на одном из форумов киберпреступной тематики.

Спойлер: Иранские хакеры опубликовали личные данные военнослужащих Израиля

Иранская хакерская группировка Moses Staff опубликовала в открытом доступе в даркнете и Telegram-каналах персональные данные сотен военнослужащих Израиля, сообщило израильское издание Ynet.

Опубликованный массив данных содержит информацию о военнослужащих и лицах предпризывного возраста, включая звания, телефонные номера, адреса электронной почты, адреса проживания, служебную переписку, а также сведения о социально-экономическом статусе семей военнослужащих.

Группировка заявила, что имеет в распоряжении секретные документы Министерства обороны Израиля, военные оперативные карты и информацию о расположении войск. Хакеры также опубликовали фотографии министра обороны Израиля Бени Ганца, заявив, что следят за ним.

На этой неделе Иран подвергся хакерской атаке, которая привела к сбою в поставках топлива. По словам иранских чиновников, атака, вероятно, была осуществлена «иностранным государством».

Спойлер: Microsoft раскрыли подробности об опасной уязвимости в macOS

Специалисты Microsoft раскрыли подробности об уязвимости в macOS, о которой они в соответствующем порядке уведомили Apple и которую "яблочная" компания уже исправила.

Исследователи Microsoft назвали эту уязвимость Shrootless. С ее помощью злоумышленники могут обходить функцию защиты целостности системы (Integrity Protection, SIP) и выполнять произвольный код. В ходе исследования специалисты также обнаружили новый метод атаки, позволяющий повысить привилегии.

Проблема связана с тем, как программный пакет подписан Apple, и каким образом в нем установлены пост-инсталляционные скрипты. Как обнаружили исследователи, злоумышленники могут использовать этот механизм в вредоносных целях путем создания кастомного пакета, способного перехватывать процесс установки. После обхода SIP атакующий может устанавливать руткиты и недетектируемое вредоносное ПО и даже перезаписывать системные файлы.

Причиной проблемы является недочет в проектировании. В некоторых случаях программные пакеты требуют доступа к директориям, защищенным с помощью SIP (ярким примером являются обновления системы). Apple назначает таким пакетам права com.apple.rootless.install и com.apple.rootless.install.inheritable, что позволяет обходить проверки SIP.

В ходе анализа процессов macOS для обхода SIP специалисты натолкнулись на демон system_installd с мощными правами com.apple.rootless.install.inheritable. С этими правами любой дочерний процесс system_installd может обходить все установленные SIP ограничения файловой системы.

Исследователи решили изучить все дочерние процессы system_installd и с удивлением обнаружили несколько случаев, позволяющих хакерам злоупотреблять этим функционалом для обхода SIP.

К примеру, при установке подписанного Apple пакета (файла .pkg) этот пакет инициирует процесс system_installd, ответственный за его установку. Если в пакете содержатся какие-либо пост-установочные скрипты, system_installd запускает их путем инициирования оболочки по умолчанию (в macOS это zsh). Примечательно, что после запуска zsh ищет файл /etc/zshenv и в случае его обнаружения автоматически запускает команды из него, даже в неинтерактивном режиме. Следовательно, для того чтобы выполнять произвольные операции на устройстве, злоумышленники могут создать вредоносный файл /etc/zshenv, а затем дождаться, пока system_installd вызовет zsh.

Как упоминалось ранее, в ходе этого процесса Microsoft также обнаружила, что можно использовать как общую схему атаки не только Shrootless, но и zshenv. Злоупотребление этой оболочкой может привести к повышению привилегий.

Уязвимость, получившая идентификатор CVE-2021-30892 , была исправлена Apple 26 октября 2021 года с выходом обновлений для macOS Monterey, Catalina и Big Sur.

Спойлер: Редкий вредонос с правами суперпользователя атакует Android-устройства

Исследователи безопасности ИБ-компании Lookout обнаружили новое вредоносное ПО для Android, способное получать на устройствах привилегии суперпользователя - функция, в последние годы редко встречающаяся у вредоносных программ для Android.

Вредоносное ПО, получившее название AbstractEmu, распространялось через 19 мобильных приложений из Google Play, Amazon Appstore, Samsung Galaxy Store и неофициальных магазинов. Только одно из 19 приложений, Launcher, попало в Google Play, откуда оно было загружено только 10 тыс. раз.

Попав на устройство жертвы, AbstractEmu загружает и выполняет один из пяти эксплоитов для старых уязвимостей в Android, позволяющих получить привилегии суперпользователя: CVE-2020-0041, CVE-2020-0069, CVE-2019-2215, CVE-2015-3636 и CVE-2015-1805.

Повысив свои привилегии с помощью эксплоита, AbstractEmu получает доступ к опасным разрешениям, а затем получает доступ к дополнительным вредоносным компонентам на устройстве.

После заражения устройства вредонос собирает и отправляет на удаленный сервер следующие данные: сведения о телефоне (производитель, модель, версия, серийный номер), IP-адрес, Wi-Fi/Bluetooth и MAC-адреса, имя пакета приложения, полученные приложением разрешения, данные о SIM-карте (номер, оператор связи, IMEI), часовой пояс, данные учетной записи, идентификатор процесса приложения, номера поддерживаемых приложением команд, имя пакета установщика приложения и статус суперпользователя.

По словам исследователей, разработчиками AbstractEmu является "группа, обладающая большими ресурсами и преследующая финансовую выгоду".

Как пояснили в Lookout, было выбрано название AbstractEmu, поскольку вредонос использует абстракцию кода и анти-эмуляционную проверку, чтобы избежать запуска в песочнице и анализа ИБ-специалистами.

Спойлер: Правоохранители арестовали организаторов вымогательской атаки на Norsk Hydro

Аресты были произведены в Швейцарии и Украине 26 октября.

Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак на более 1,8 тыс. организаций в 71 стране мира.

В атаках был задействован ряд семейств программ-вымогателей, в том числе LockerGoga, MegaCortex и Dharma, а также вредонос Trickbot и пост-эксплутационные инструменты, такие как Cobalt Strike.

Впервые группировка LockerGoga заявила о себе в январе 2019 года после атак на французскую компанию Altran Technologies и норвежского производителя алюминия Norsk Hydro . По оценкам, ущерб последней от атаки составил $35-41 млн.

Аресты, ставшие результатом масштабной международной полицейской операции, были произведены в Швейцарии и Украине 26 октября. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. налички.

Согласно пресс-релизу Европола, у каждого подозреваемого была своя роль в «профессиональных, высокоорганизованных преступных организациях». Некоторые из них использовали многочисленные техники для компрометации IT-сетей, включая брутфорс, внедрение SQL-кода, краденные учетные данные и фишинговые письма с вредоносными вложениями.

Проникнув в сеть, злоумышленники устанавливали вредоносное ПО, например, Trickbot или фреймворки Cobalt Strike или PowerShell Empire для дальнейшего продвижения.

Преступники таились в сетях по несколько месяцев, изучая окружение на предмет уязвимостей, а затем разворачивали вымогательское ПО.

Как отметили в полицейском ведомстве, некоторые из задержанных подозреваются в отмывании полученных в качестве выкупа биткойнов через миксеры криптовалют.

Спойлер: Kaspersky объединила усилия с Интерполом для борьбы со stalkerware

Проблема сталкерского софта вышла на международный уровень. Состоящие в коалиции по борьбе со stalkerware компании совместно с Интерполом провели два тренинга, темой которых стало преследование и домашнее насилие.

Участниками онлайн-мероприятий стали более 200 представителей международной полиции. Организацию со стороны коалиции представляла «Лаборатория Касперского», австралийская компания Wesnet и Национальная сеть по борьбе с домашним насилием (NNEDV).

Сталкерский софт известен своими возможностями слежки за человеком. Установив такую программу на смартфон жертвы, злоумышленник или, как сейчас модно говорить, абьюзер получит доступ к перепискам, личным данным, информации о местоположении, аудио- и видеозаписям, фотографиям и т. п.

Представители Интерпола отметили, что правоохранители в курсе этой проблемы, однако у них пока нет достаточного количества данных, чтобы качественно распознавать сталкерский софт. При этом ещё надо учитывать, чтобы преследовать не знал о том, что жертва обратилась в полицию.

На проведённых тренингах специалисты «Лаборатории Касперского» объясняли, что собой представляет stalkerware, как его можно установить на мобильное устройство и как его там обнаружить без последствий для объекта слежки.

Эксперты отметили собственную разработку — утилиту TinyCheck с открытым исходным, позволяющую детектировать сталкерский софт. Kaspersky надеется, что в скором времени уровень осведомлённости о stalkerware значительно повысится, а правоохранители смогут грамотно принимать решения по борьбе с использованием таких программ.

Напомним, что на прошлой неделе стало известно о массовой утечке у разработчиков сталкерского софта. Оказались скомпрометированы записи телефонных разговоров, текстовые сообщения, фотографии, истории посещения веб-страниц, местоположения.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий 30.11 - 01.11

Спойлер: Новая троянская техника позволяет прятать уязвимости в исходном коде

Атака Trojan Source базируется на использовании неуловимых различий в стандартах кодирования символов наподобие Юникода.

Специалисты Кембриджского университета Николас Боучер (Nicholas Boucher) и Росс Андерсон (Ross Anderson) обнаружили новый класс уязвимостей, позволяющих злоумышленникам внедрять визуально обманчивое вредоносное ПО способом, который является семантически допустимым, но изменяет определенную исходным кодом логику, что делает код уязвимым к самым разным киберугрозам, в том числе связанными с цепочками поставок.

Описанная специалистами техника под названием "Атака Trojan Source" базируется на использовании "неуловимых различий в стандартах кодирования символов наподобие Юникода для создания исходного кода, чьи токены логически закодированы не в том порядке, в каком они отображаются, что приводит к уязвимостям, которые рецензирующие код люди не могут увидеть".

Уязвимости, получившие идентификаторы CVE-2021-42574 и CVE-2021-42694, затрагивают компиляторы всех популярных языков программирования, такие как C, C++, C#, JavaScript, Java, Rust, Go и Python.

Проблема связана с двунаправленным алгоритмом Юникода (алгоритмом Bidi), обеспечивающим поддержку письма как слева направо (например, русский язык), так и справа налево (например, иврит). Алгоритм Bidia также поддерживает двунаправленное переопределение, позволяющее писать слова слева направо в предложении на языке с письмом справа налево и наоборот. Иначе говоря, алгоритм позволяет тексту, написанному слева направо, восприниматься как написанный справа налево.

Предполагается, что выходные данные компилятора будут корректно реализовывать исходный код, однако несоответствия, возникающие при вставке символов переопределения Юникода Bidi в комментарии и строки, позволяют создавать синтаксически допустимый исходный код, в котором порядок отображения символов представляет логику, которая расходится с реальной логикой.

"То есть, мы анаграммируем программу A в программу Б. Если изменения в логике достаточно неуловимые для того, чтобы обходить обнаружение в последующих тестированиях, злоумышленник может создать целевые уязвимости и не быть обнаруженным", - пояснили исследователи.

Подобное состязательное программирование может оказать серьезное влияние на цепочку поставок, предупреждают исследователи, когда внедренные в ПО с открытым исходным кодом уязвимости передаются конечным продуктам, затрагивая всех пользователей программного обеспечения. Хуже того, "Атака Trojan Source" может стать более серьезной, если злоумышленник использует омоглифы для переопределения ранее существовавших функций в исходном пакете и вызова их из программы-жертвы.

Спойлер: Список наиболее распространенных уязвимостей в оборудовании

Список включает 12 опасных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании.

Некоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.

Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.

1. CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);
2. CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);
3. CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);
4. CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);
5. CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);
6. CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);
7. CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);
8. CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);
9. CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);
10. CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);
11. CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);
12. CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).

Пять других проблем не вошли в окончательный список, однако специалистам также необходимо обратить на них внимание, сообщили эксперты.

1. CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);
2. CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);
3. CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);
4. CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);
5. CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).

Спойлер: Троян Snake стоимостью $25 обходит антивирусы и атакует Windows

Snake способен похищать учетные данные для 50 приложений, в том числе Discord, Pidgin, Outlook, Chrome, Edge, "Яндекс" и пр.

Киберпреступники используют троян Snake для кражи паролей, что делает его одним из самых популярных семейств вредоносных программ, используемых в атаках на компьютеры под управлением Windows.

Snake активный как минимум с ноября 2020 года и не имеет отношения к вымогательскому ПО с таким же названием, использовавшемуся в прошлом.

Как сообщают специалисты ИБ-компании Cybereason, троян написан на языке программирования .NET и использует тот же механизм переноса данных, что и вымогательское ПО FormBook и Agent Tesla.

В настоящее время Snake можно купить на киберпреступных форумах в даркнете всего за $25, чем и объясняется резкое увеличение числа атак с его применением.

Основной способ распространения трояна - фишинг. Как правило, он устанавливается на систему жертвы через вредоносный документ, вложенный в электронное письмо, или фишинговые сайты, ссылки на которых представлены в электронных письмах.

После заражения компьютера Snake способен похищать учетные данные для 50 приложений, в том числе почтовых клиентов, web-браузеров и мессенджеров (Discord, Pidgin, FileZilla, Thunderbird, Outlook, Brave, Chrome, Edge, Firefox, Opera, Vivaldi, "Яндекс" и пр.).

Помимо прочего, Snake способен записывать нажатия клавиш на клавиатуре, похищать данные из буфера обмена и даже делать скриншоты всего экрана целиком.

Для обхода обнаружения троян отключает антивирусные решения путем завершения связанных процессов и даже отключает анализаторы сетевого трафика наподобие Wireshark. Затем Snake добавляет себя в список исключений Защитника Windows, что позволяет ему выполнять вредоносные команды PowerShell в обход обнаружения.

Вредонос добавляет запланированную задачу и редактирует ключ реестра, выполняющийся после авторизации пользователя в Windows и позволяющий Snake сохранять персистентность на компьютере.

Стоит также отметить, что Snake дает своим операторам возможность еще на этапе упаковки выбирать, какие функции они будут активировать для вредоносного ПО. Эта настройка позволяет им оставаться скрытыми за счет уменьшения количества используемых в атаках функций.

Наконец, когда дело доходит до кражи данных, Snake использует подключение к серверу FTP или SMTP или протокол HTTPS POST на конечной точке Telegram.

Спойлер: Хакеры эксплуатируют тему сериала «Игра в кальмара» для рассылки банковского трояна

Группировка TA575 отправляет тысячи электронных писем сотням организаций.

Специалисты компании Proofpoint обнаружили вредоносную кампанию, в ходе которой киберпреступники из группировки TA575 распространяют вредоносное ПО Dridex с помощью писем на тему популярного сериала Netflix «Игра в кальмара».

В письмах содержатся такие сообщения, как «Игра в кальмара возвращается, смотрите новый сезон раньше всех», «Приглашения клиента для доступа к новому сезону», «Предварительный просмотр рекламных роликов нового сезона Игры в кальмара» и пр.

Эксперты выявили тысячи электронных писем с использованием приманок, предназначенных для различных отраслей в США. Некоторые электронные письма пытаются заманить жертв, предлагая роль в сериале, если пользователь загрузит и заполнит прикрепленный документ.

«Вложения представляют собой документы Microsoft Excel с макросами, которые при включении загружают партнерский идентификатор банковского трояна Dridex 22203 из URL-адресов Discord», — пояснили эксперты.

Dridex — банковский троян, используемый для хищения денежных средств непосредственно с банковского счета жертвы. Вредонос также используется для сбора информации или в роли загрузчика вредоносных программ, в том числе вымогателей.

«TA575 отправляет в среднем тысячи электронных писем на каждую кампанию, затрагивающую сотни организаций. TA575 также использует сеть доставки контента Discord (CDN) для размещения и распространения Dridex», — отметили специалисты.

Злоумышленники активно атакуют пользователей через мобильные каналы, такие как SMS, платформы социальных сетей, сторонние приложения для обмена сообщениями, игры и даже приложения для знакомств.

Спойлер: Эксперт предупредил о целом поколении "взломанных людей"

Человечеству необходимо разработать принципы регулирования технологий искусственного интеллекта (ИИ), в противном случае у крупных корпораций появится возможность "взламывать" людей. Об этом предупредил израильский военный историк-медиевист, профессор исторического факультета Еврейского университета в Иерусалиме Юваль Харари.

Как сообщил Харари в эфире телепрограммы "60 минут" на телеканале CBS, стремительное усложнение технологий ИИ может привести к появлению поколения "взломанных людей". Чтобы не допустить этого, профессор призывает лидеров стран мира начать регулировать ИИ и сбор данных крупными корпорациями.

"Взломать человека - это знать его лучше, чем он сам себя знает, и на основании этого все больше манипулировать им", - пояснил Харари.

В основе проблемы лежит быстрое разрастание технологических компаний, дело которых - собирать огромные объемы пользовательских данных. Харари обеспокоен тем, что люди все чаще доверяют свою личную жизнь частным лицам, которые не всегда преследуют благие цели.

"Netflix говорит нам, что смотреть, а Amazon - что покупать. В конце концов, через 10, 20 или 30 лет такие алгоритмы также могут сказать, чему учиться в колледже, где работать, за кого выйти замуж и даже за кого голосовать", - предупредил профессор.

Харари призвал страны серьезно отнестись к угрозе мощных технологий искусственного интеллекта и установить четкие и строгие ограничения, гарантирующие, что данные пользователей не будут использоваться для манипулирования общественностью.

"Безусловно, сейчас мы находимся в точке, когда нам необходимо глобальное сотрудничество. Нельзя регулировать взрывную силу искусственного интеллекта только на национальном уровне", - сказал Харари.

Профессор также добавил, что данные никогда не следует концентрировать в одном месте, поскольку это "прямой путь к диктатуре".

Это пугающая, но правдоподобная перспектива - особенно сейчас, когда некоторые технологические компании пытаются убедить пользователей полностью отказаться от физической реальности и принять виртуальную, созданную ими самими.

Спойлер: Вымогательские группировки используют SEO-отравление для проведения кибератак

Киберпреступники не создавали свои вредоносные сайты, а взламывали легитимные порталы на WordPress.

Исследователи в области кибербезопасности из компании Menlo Security

Для просмотра ссылки необходимо нажать Вход или Регистрация

две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil. В ходе атак используется так называемое «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв.

Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Из-за своего высокого рейтинга в поисковых запросах вредоносные сайты выглядят легитимными, привлекая таким образом большое количество жертв.

Операторы вредоносных кампаний ввели на своих сайтах ключевые слова, охватывающие более 2 тыс. уникальных поисковых запросов, в том числе «спортивная психологическая стойкость», «обзор промышленной гигиены», «пять уровней оценки профессионального развития» и пр. Оптимизированные таким образом сайты отображаются в результатах поиска в виде PDF-файлов. Посетителям сайта предлагается загрузить документ, и после перенаправления через серию сайтов на систему пользователя загружается вредонос. Злоумышленники используют перенаправления с целью предотвратить удаление своих сайтов из результатов поиска.

В ходе данных кампаний злоумышленники устанавливали вымогательское ПО REvil через бекдоры Gootloader и SolarMarker. Киберпреступники не создавали собственные вредоносные сайты, а вместо этого взламывали легитимные порталы на WordPress, которые уже имели хороший рейтинг в поисковой системе Google.

Злоумышленники в первую очередь нацелены на сайты в сфере бизнеса, вероятно, потому, что они часто размещают PDF-файлы в форме руководств и отчетов. Сайты были взломаны путем эксплуатации уязвимости в плагине WordPress Formidable Forms, которую хакеры использовали для загрузки специального PDF-файла в папку «/ wp-content / uploads / formidable /».

Пользователям данного плагина рекомендуется обновиться до версии 5.0.10 или более поздней.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий 02.11

Спойлер: Индийские хакеры атаковали оборонные предприятия Китая

Под видом гос- и военнослужащих хакеры отправляли жертвам фишинговые электронные письма.

Киберпреступники из Индии атаковали военные подразделения и оборонных подрядчиков Китая, сообщают специалисты китайской государственной ИБ-компании Antiy Labs.

Как сообщил заместитель старшего инженера Antiy Labs Ли Босон, с марта нынешнего года он и его коллеги фиксировали попытки фишинговых атак на правительственные, оборонные и военные организации, а также на государственные предприятия в Китае, Пакистане и Непале.

"Под видом гос- и военнослужащих хакеры отправляли жертвам электронные письма с фишинговым вложением или встроенными ссылками, заманивающими их на созданные ими сайты для сбора паролей", - приводит слова Ли Босона издание Global Times.

К настоящему времени специалисты выявили более ста фишинговых сайтов.

Посредством фишинговых электронных писем злоумышленники обманом заставляли жертв загружать файлы и регистрироваться в поддельной почтовой системе. Когда жертва вводила пароль, сайт отправлял его хакерам.

Когда жертва попадает на фишинговый сайт, сначала отображается сообщение об ограничении доступа или обновлении системы электронной почты. Далее появляется окно, запрашивающее повторную авторизацию в электронной почте, после чего жертва попадает на поддельный сайт электронной почты.

Спойлер: Система здравоохранения канадской провинции пострадала от кибератаки

Из-за атаки люди не могли связаться с медицинскими центрами или службами 911 по телефону.

Канадская провинция Ньюфаундленд и Лабрадор подверглась кибератаке, которая привела к серьезным сбоям в работе медицинских учреждений и больниц.

В результате атаки региональные системы здравоохранения отключили свои сети и отменили тысячи записей к врачам. Сбои в работе затронули системы здравоохранения Central Health, Eastern Health, Western Health и региональные органы здравоохранения Лабрадора-Гренфелла. Отключение IT-систем также повлияло на связь в регионе — люди сообщали о невозможности связаться с медицинскими центрами или службами 911 по телефону.

Поскольку электронная почта не работала, врачи не могли регистрировать новых пациентов или загружать и получать доступ к медицинским результатам в базе данных, многим медицинским сотрудникам пришлось перейти на ручной режим работы. Затронутые медицинские центры также были вынуждены отменить или перенести назначения на химиотерапию, рентгеновские сканирования, операции и другие специализированные услуги.

Как сообщили источники изданию BleepingComputer, системы здравоохранения подверглись атаке программы-вымогателя. По словам министра здравоохранения Джона Хэгги (John Haggie) и генерального директора Eastern Health Дэвида Даймонда (David Diamond), инцидент оказал «значительное влияние» и «повредил центр обработки данных».

Спойлер: Пользователь Coinbase за 10 минут лишился $11,6 млн в результате мошенничества

Злоумышленник вывел миллионы долларов в криптовалюте через серию транзакций между несколькими кошельками.

Федеральный судья в США подписал ордер на выведение более $600 тыс. в биткойнах из криптовалютного кошелька Huobi Global после того, как было установлено, что эти деньги являются частью $11,6 млн, похищенных у Coinbase, пишет Business Insider.

Как сообщается в заявлении прокуратуры Лос-Анджелеса, поданном в окружной суд Калифорнии в сентябре, в апреле 2021 года пользователь Coinbase (некто G.R.) приобрел 200 биткойнов, после чего увидел на экране поддельное уведомление о том, что его учетная запись была заблокирована. Уведомление было якобы от Coinbase, но на самом деле являлось первым шагом в мошеннической схеме, в итоге завершившейся выведением из учетной записи $11,6 млн в криптовалюте (206 биткойнов).

Каким образом мошенники узнали о транзакции через Coinbase, непонятно. Также неясно, где отображалось поддельное уведомление, на телефоне или ПК.

Согласно заявлению прокуратуры, получив уведомление, G.R. позвонил по указанному телефонному номеру. На звонок ответил "неизвестный 1" и попросил потерпевшего внести изменения в своей учетной записи, в частности, разрешить удаленный доступ к ней.

Получив доступ к учетной записи потерпевшего, "неизвестный 1" повысил суточный лимит на перевод денег и попытался отключить определенные уведомления и предупреждения. Затем злоумышленник вывел миллионы долларов в биткойнах и XLM через серию транзакций между несколькими кошельками. Около 10,2 биткойна в итоге оказались в кошельке одной из крупнейших мире криптовалютных бирж Huobi Global.

Сотрудники правоохранительных органов подали уведомление о конфискации похищенной криптовалюты. Huobi Global пока никак не комментирует данный факт.

В начале октября 2021 года судья Долли Джи (Dolly M. Gee) одобрила запрос на получение ордера. Также было опубликовано уведомление для других пострадавших на случай, если они также захотят истребовать свои деньги назад.

"Huobi согласилась заморозить средства до разрешения иска о конфискации. Никто пока не был арестован или обвинен, но расследование продолжается", - сообщил директор по связям со СМИ прокуратуры Лос-Анджелеса Том Мрозек (Thom Mrozek).

Как сообщалось в октябре, в период с марта по май нынешнего года Coinbase пострадала от крупномасштабной атаки. В результате инцидента была похищена криптовалюта из 6 тыс. кошельков.

Спойлер: Вымогатели атаковали управления общественного транспорта Торонто

Инцидент затронул внутренние системы TTC, в частности почтовый сервер и систему связи TTC Vision для водителей.

Атака вымогательского ПО нарушила работу управления общественного транспорта Торонто и отключила несколько систем, использующихся водителями и пассажирами.

Как сообщила Транспортная комиссия Торонто (Toronto Transit Commission, TTC), атака была обнаружена на прошлой неделе сотрудником TTC, обратившим внимание на "необычную сетевую активность". Поначалу влияние атаки было минимальным, но затем оно усилилось, когда "хакеры расширили свой удар по сетевым серверам".

Инцидент затронул внутренние системы TTC, в частности почтовый сервер и систему связи TTC Vision для водителей. В связи с этим водителям общественного транспорта пришлось временно перейти на классическую систему радиосвязи.

Помимо системы резервного копирования TTC инцидент также затронул серверы, обслуживающие пассажиров, в том числе портал для людей с ограниченными возможностями Wheel-Trans.

Кроме того, атака повлияла на способность отображать информацию о движении общественного транспорта в реальном времени на экранах платформ станций, в приложениях для планирования поездок и на сайте TTC.

Несмотря на атаку, работа общественного транспорта нарушена не была, и автобусы, трамваи и метро работали в обычном режиме.

К настоящему времени ни одна из кибервымогательских группировок не взяла на себя ответственность за инцидент.

Спойлер: Операторы ботнета Pink атаковали более 1,6 млн устройств

Операторы ботнета в основном нацелены на оптоволоконные маршрутизаторы на базе MIPS в Китае.

Команда исследователей в области кибербезопасности Netlab Qihoo 360 сообщила о «крупнейшем ботнете», зафиксированном за последние шесть лет. Операторы ботнета Pink заразили более 1,6 млн устройств, преимущественно расположенных в Китае, с целью запуска атак типа «отказ в обслуживании» (DDoS) и размещение рекламы на HTTP-сайтах, посещаемых ничего не подозревающими пользователями.

Ботнет получил такое название из-за большого количества имен функций, начинающихся со слова «pink».

Операторы ботнета в основном нацелены на оптоволоконные маршрутизаторы на базе MIPS, и используют комбинацию сторонних сервисов, таких как GitHub, одноранговые (P2P) сети и C&C-серверы для связи ботов с контроллерами.

По словам экспертов, операторы Pink противостояли неназванному китайскому поставщику маршрутизаторов с целью сохранить контроль над зараженными устройствами, в то время как поставщик предпринимал неоднократные попытки решить проблему.

Pink также использует протокол DNS-Over-HTTPS (DoH) для выполнения удаленного разрешения системы доменных имен через HTTPS-протокол, для подключения к контроллеру, указанному в файле конфигурации, который либо доставляется через GitHub, либо через Baidu, Tieba, или через встроенное доменное имя.

Более 96% зараженных узлов ботнета были расположены в Китае, при этом злоумышленники взламывали устройства для установки вредоносных программ путем использования уязвимостей нулевого дня в сетевых шлюзах. К июлю 2020 года значительная часть устройств была очищена от вредоноса, но ботнет, как утверждается, по-прежнему активен и включает около 100 тыс. узлов.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий 03.11

Спойлер: Хакеры из Moses Staff атаковали израильские инженерные компании

Группировка похитила данные компаний Ehud Leviathan Engineering, David Engineers и H.G.M. Engineering.

Хакерская групировка под названием Moses Staff сообщила об успешных кибератаках на три израильские инженерные компании. Примечательно, что атака произошла менее чем через две недели после того, как данная группировка опубликовала в открытом доступе в даркнете и Telegram-каналах персональные данные сотен военнослужащих Израиля.

Как сообщили киберпреступники, жертвами атак оказались компании Ehud Leviathan Engineering, David Engineers и H.G.M. Engineering. Похищенные данные включают документы об инфраструктурных проектах, карты, контракты, изображения, письма и снимки видеоконференций. Некоторые из файлов включали тендеры и другие документы, касающиеся строительства нового въезда в город Иерусалим.

На сайте Moses Staff утверждается, что группировка взломала в общей сложности более 165 серверов и 254 web-сайтов и похитила более 11 ТБ данных, в том числе документы Почтовой службы Израиля, министерства обороны, файлы министра обороны Бенни Ганца (Benny Gantz), компании Electron Csillag и компании Epsilor.

Пока неясно, действует ли группировка самостоятельно или пользуется поддержкой какого-либо государства.

Спойлер: Компания Bandwidth потеряет $9-12 млн из-за DDoS-атак

Злоумышленники использовали DDoS-вымогательство - осуществляли DDoS-атаки и требовали выкуп за их прекращение.

Поставщик облачной платформы для корпоративных пользователей Bandwidth Inc. подсчитал, что сбой в работе его сервисов из-за DDoS-атак в сентябре и октябре нынешнего года обойдется ему в $9-12 млн.

Атаки, которые, по словам компании, ей удалось полностью отразить с 5 октября, были частью недавней вредоносной кампании, нацеленной на VoIP-провайдеров по всему миру. Злоумышленники использовали так называемое DDoS-вымогательство - осуществляли на жертв DDoS-атаки и требовали выкуп за их прекращение.

В случае с компанией Bandwidth Inc. киберпреступники атаковали портал, через который она предоставляла серверную инфраструктуру более мелким провайдерам VoIP-телефонии.

Согласно документу , поданному Bandwidth в Комиссию по ценным бумагам и биржам США на прошлой неделе, атаки были достаточно мощные для того, чтобы снизить выручку компании в третьем квартале на $700 тыс., а к концу года ожидаются еще более серьезные убытки.

Компания намерена обсудить атаки и их влияние на прибыль во время конференц-звонка, посвященного ее финансовым успехам, 8 ноября.

Спойлер: Кибервымогатели BlackMatter объявили о прекращении деятельности

Причиной завершения операций является усилившееся давление со стороны властей.

Кибервымогательская группировка BlackMatter заявила о завершении всех своих операций в связи с давлением со стороны властей.

Группировка опубликовала объявление о прекращении деятельности на своем портале для партнеров, где киберпреступники обычно регистрируются для получения вымогательского ПО BlackMatter.

"В связи с определенными нерешаемыми обстоятельствами связанными с давлением властей (часть команды более недоступна, после последних новостей) - проект закрыт. Через 48 часов вся инфраструктура будет выключена, разрешено: выдать почты компаниям для дальнейшего общения, получить декрипторы, для этого напишите "дайте декриптор" внутри чата компании, где они необходимые. Всем желаем успехов, рады были работать", - говорится в объявлении (пунктуация и орфография автора сохранены - ред.).

Что авторы объявления имели в виду под "последними новостями", не уточняется. Однако решение прекратить деятельность последовало за двумя громкими событиями, имевшими место за последние две недели.

Первым событием является отчет специалистов Microsoft и Gemini Advisory, которые связали киберпреступную группировку FIN7, предположительно являющуюся разработчиком вымогательского ПО Darkside и BlackMatter, с ИБ-компанией Bastion Secure, использовавшейся для набора "сотрудников".

Второе событие - статья в New York Times о тесном сотрудничестве США и России в борьбе с российскими киберпреступными и кибервымогательскими группировками.

Напомним, кибервымогательская группировка Darkside, "реинкарнацией" которой является BlackMatter, свернула свои операции в мае 2021 года после громкой атаки на американского топливного гиганта Colonial Pipeline.

Другая нашумевшая группировка, REvil, за последнее время прекращала свою деятельность дважды. Второй раз ей пришлось свернуть операции после того, как правоохранительные органы взломали ее серверы в даркнете.

Спойлер: Кто на самом деле стоит за группировкой Groove?

СМИ и ИБ-компании начинают осознавать, что Groove, угрожавшая разрушительными атаками госсектору США, оказалась фейком.

Западные СМИ и ИБ-компании, похоже, начинают постепенно осознавать, что нашумевшая "кибервымогательская группировка" под названием Groove, угрожавшая разрушительными атаками госсектору США, оказалась не более чем "разводом".

Как ранее сообщал SecurityLab, за названием Groove скрывался всего лишь один человек, и никакой группировки на самом деле не существовало. Весь проект был задуман им специально с целью троллинга западных СМИ. Человек признался на киберпреступном форуме XSS, что планировал написать статью на тему "Манипуляция СМИ через рансом блог", для чего и придумал Groove.

Ниже представлена краткая история проекта, который, со слов его автора, оказался более чем успешным.

Впервые о появлении Groove было объявлено 22 августа 2021 года на русскоязычном киберпреступном форуме RAMP. В то время его администратор, некто Orange, охарактеризовал новоявленную угрозу как "агрессивную, финансово мотивированную преступную организацию, в течение двух лет занимающуюся промышленным шпионажем".

Как сообщали специалисты ИБ-компании McAfee, RAMP является результатом раскола известной кибервымогательской группировки Babuk. В сентябре пользователь Groove (по мнению экспертов ИБ-компании Intel471, Groove и Orange - это одно лицо) опубликовал на форуме порядка 500 тыс. учетных данных пользователей Fortinet VPN. По мнению некоторых экспертов, целью публикации было привлечь в Groove новых партнеров, но больше похоже на то, что автор публикации на самом деле стремился привлечь внимание ИБ-исследователей и журналистов.

На прошлой неделе блог Groove был удален. Некто под псевдонимом Boriselcin опубликовал на XSS заявление, что Groove был придуман специально для троллинга СМИ.

"Для тех, кто не понял, что происходит: я создал фейковую Groove Gang и назвал себя группировкой. Они проглотили это, я опубликовал 500 тыс. никому не нужных старых учетных данных Fortinet VPN, и они проглотили это. Я сказал, что собираюсь атаковать госсектор США, и они проглотили это. Только немногие журналисты поняли, что все это просто шоу, фейк, развод! Мое уважение тем, кто это понял. Я даже не знаю, что теперь делать с этим блогом с тоннами трафика. Может, продать? Теперь мне просто нужно начать писать статью, но я не могу начать, сначала все не проверив", - заявил Boriselcin.

Судя по последним публикациям Boriselcin, он готовил свой проект несколько месяцев. 13 сентября он сообщал о "назревании нескольких тем", в частности о запланированной статье на тему троллинга СМИ и исследователей безопасности.

"Так смешно читать Twitter в последнее время. Но пока что результаты прекрасные", - писал Boriselcin.

Однако заявлениям Boriselcin верят не все ИБ-эксперты, пишет журналист Брайан Кребс. Так, по мнению специалистов Intel471, на самом деле у него действительно было желание создать собственную вымогательскую группировку, но осуществить задуманное не получилось.

Спойлер: Операторы вымогателей атакуют компании во время слияний и поглощений

События, связанные со слиянием или поглощением компаний, могут повлиять на стоимость акций жертвы.

Федеральное бюро расследований (ФБР) предупредило о вымогательских группировках, которые осуществляют атаки на компании, находящихся в процессе корпоративных слияний и поглощений. Операторы программ-вымогателей используют финансовую информацию, собранную перед атакой, в качестве рычага давления на жертв.

На начальном этапе разведки киберпреступники ищут конфиденциальную информацию, которую они угрожают раскрыть или использовать в качестве рычага воздействия во время вымогательства, тем самым побудить жертв выполнить требования. События, связанные со слиянием или поглощением компаний, могут повлиять на стоимость акций жертвы.

Например, в прошлом году группировка REvil (Sodinokibi) сообщила о намерениях добавить в свой вредонос скрипт автоматической рассылки электронной почты, который будет сообщать фондовым биржам, таким как NASDAQ, о пострадавших компаниях.

Операторы DarkSide также намеревались делиться инсайдерской информацией о компаниях, торгующих на NASDAQ или других фондовых рынках, с трейдерами, которые хотят сократить курс акций.

ФБР также сообщило о нескольких случаях, когда группы программ-вымогателей использовали внутреннюю или общедоступную информацию о текущих переговорах о слиянии или приобретении для атак на определенные компании.

В начале 2020 года злоумышленник, использующий псевдоним Unknown, опубликовал на российском хакерском форуме Exploit сообщение, в котором поощрял использование угроз отправки информации жертвы в NASDAQ для запугивания жертв. После этой публикации операторы вымогателей начали угрожать жертвам передать конфиденциальные данные в NASDAQ, если они не выполнят их требования.

Как сообщило ФБР, в период с марта по июль 2020 года как минимум три публично торгуемые американские компании, находившиеся в процессе слияния и поглощения, стали жертвами программ-вымогателей.

Спойлер: "Разрушительная" атака обрушилась на Нацбанк Пакистана

Обеспокоенные клиенты банка массово снимают свои средства.

Национальный банк Пакистана подвергся кибератаке, которую два источника издания The Record охарактеризовали как "разрушительную".

Инцидент, имевший место в ночь с 29 по 30 ноября 2021 года, затронул бэкенд-системы банка и серверы, использующиеся для связи филиалов банка, внутренней инфраструктуры, контролирующей сеть банкоматов, и мобильных приложений банка.

Хотя из-за атаки некоторые системы были выведены из строя, денежные средства остались нетронутыми, сообщают представители банка, а также источники, знакомые с ходом следствия.

30 и 31 ноября эксперты занимались восстановлением затронутых систем, и к понедельнику, 1 ноября, более 1 тыс. отделений банка открылись и принимали клиентов в обычном режиме. Также была полностью восстановлена работа банкоматов по всей территории Пакистана.

Несмотря на то, что банк предоставил все данные об атаке, новость о взломе испугала многих клиентов, кинувшихся в понедельник к банкоматам, чтобы снять свои деньги. Этот факт, а также недостоверные пакистанских сообщения в СМИ о том, что атакам якобы подвергся не один банк, а девять, вынудил правительство вмешаться в ситуацию и опубликовать официальное заявление по данному вопросу.

В настоящее время инцидент расследуется не как атака с использованием вымогательского ПО, а как попытка саботажа, сообщили источники.

Исследователь безопасности Рафай Балок (Rafay Baloch) опубликовал в Twitter скриншот предположительно одной из атакованных систем Нацбанка Пакистана. Судя по скриншоту, Windows-ПК не мог загрузиться из-за ошибки отсутствия файла конфигурации загрузки. Специалистам The Record удалось подтвердить подлинность опубликованных Балоком скриншотов.

Спойлер: Криптовалютная биржа BXH Exchange потеряла $139 млн в результате хакерской атаки

Cпециалисты по кибербезопасности установили, что злоумышленники похитили средства, завладев ключом администратора.

Криптобиржа BXH Exchange подверглась хакерской атаке, в результате которой лишилась цифровых активов на $139 млн. Об этом сообщил генеральный директор компании Нео Ван, пишет crypto.ru.
По словам руководителя криптобиржи, специалисты по кибербезопасности установили, что злоумышленники похитили средства, завладев ключом администратора. По одной версии, компьютер сотрудника площадки был заражен троянской программой, которая позволила хакерам получить доступ к конфиденциальной информации. Однако не исключается, что к краже причастен один из работников BXH Exchange.

До выяснения всех деталей хакерской атаки криптобиржа приостановила вывод цифровых активов. По мнению Нео Вана, компании удастся отследить злоумышленника и вернуть деньги. Если же она не сможет это сделать, то компенсирует клиентам потери за счет собственных средств.

Для ускорения поиска злоумышленников BXH Exchange объявила о награде в $1 млн за информацию, которая поможет их найти. Кроме того, компания готова заплатить самим преступникам, если они в ближайшее время вернут украденные цифровые активы.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий 04.11

Спойлер: Госдеп США заплатит $10 млн за информацию о хакерах DarkSide

Помимо этого Госдепартамент предлагает до $5 млн за информацию о сообщниках DarkSide.

Власти США готовы заплатить 10 млн долларов тем, кто поделится важной информацией о лидерах киберпреступной группировки DarkSide, которая атаковала весной текущего года трубопроводную компанию Colonial Pipeline.

«Государственный департамент США объявляет вознаграждение до $10 млн за информацию, позволяющую установить местонахождение любого лица или лиц, занимающих ключевую должность в транснациональной организованной преступной группе DarkSide», — говорится сообщении госдепа.

Кроме этой награды, Госдепартамент предлагает вознаграждение до 5 млн долларов за информацию, которая поможет арестовать в любой стране тех, кто временно примкнул к хакерам или помог в каком-либо преступном акте DarkSide.

Напомним, Colonial Pipeline, которая обеспечивает 45% общего объема поставок топлива на восток США, подверглась атаке вируса-вымогателя. Компании пришлось временно приостановить работу. После кибератаки на крупнейшую трубопроводную компанию США власти Соединенных Штатов объявили режим региональной чрезвычайной ситуации.

Спойлер: Фейковое резюме разработчицы привлекло 90% работодателей

В резюме было всё от имён порнозвёзд, признания в майнинге крипты на корпоративных серверах и заражения генитальным герпесом коллег до организации прыжков в мешках.

Разработчик ПО Анжелина Ли (Angelina Lee) после нескольких безуспешных попыток найти работу при помощи подлинного резюме решила составить поддельное, которое до отказа напичкала популярными ключевыми словами. В итоге с ней связались 90% компаний, просмотревших ее резюме.

Анжелина написала, что составила резюме со множеством ключевых слов, имеющих вес в ИТ-сфере. Это названия компаний и сервисов (Microsoft, Instagram), криптовалют (Ethereum), терминов (искусственный интеллект, машинное обучение) и др.

«Улучшенная» версия резюме содержала множество шуток и несуразностей. К примеру, девушка назвала себя «знатоком» языка программирования Мии Халифа (известная порноактриса), и рассказала, что на работе ловко варила на всю команду кофе, а в вузе поставила рекорд по количеству опрокинутых залпом стопок водки.

Все вшитые в письмо ссылки были на рикролл. «Рикролл» является давней и широко известной шуткой. Ее смысл заключается в подмене любых ссылок на сайтах, в личной переписке, документах и т.п. на ту, что открывает клип Эстли.

В графе образования Ли указала Калифорнийский университет в Беркли, а среди бывших работодателей значились Instagram, LinkedIn, Zillow и Microsoft. На фейк повелись рекрутеры из таких компаний, как Reddit, Airtable, Dropbox, AirBnB и Robinhood.

«В резюме было всё от имён порнозвёзд, признания в майнинге крипты на корпоративных серверах и заражения генитальным герпесом коллег до организации прыжков в мешках. Мне перезвонили из 90% компаний», — поделилась Анджелина Ли с Daily Californian. Правда имя — тоже ненастоящее.
Издание отмечает, что в большинстве крупных фирм и компаний списка Fortune 500 для фильтрации резюме используются автоматизированные системы. И пранк хорошо демонстрирует, как просто обмануть их ложными данными и «пролететь», имея подходящий опыт и квалификацию.

Спойлер: На хакерском конкурсе Pwn2Own впервые были взломаны принтеры

Участники заработали более $360 тыс. за взлом принтеров, NAS-устройств, маршрутизаторов и «умных» динамиков.

Участники хакерского конкурса Pwn2Own Austin 2021, проводимом организацией Zero Day Initiative, впервые в истории мероприятия получили награды за взлом принтеров.

В первый день Pwn2Own Austin, посвященного взлому устройств, эксперты в области кибербезопасности заработали в общей сложности более $360 тыс. за эксплуатацию уязвимостей в принтерах, NAS-устройствах, маршрутизаторах и «умных» динамиках.

Команда Synacktiv заработала $20 тыс. за использование уязвимостей в принтере Canon ImageCLASS, а команда Devcore — $40 тыс. за эксплуатацию проблем в принтерах Canon ImageCLASS и HP Color LaserJet Pro MFP M283fdw.

Команда Devcore также получила самую высокую разовую награду в размере $60 тыс. за выполнение произвольного кода в умной колонке Sonos One.

Три различных уязвимости в продукте Western Digital NAS принесли участникам по $40 тыс. каждая, а взлом маршрутизатора Cisco принес участникам $30 тыс.

В первый день была предпринята одна неудачная попытка взломать Samsung Galaxy S21. Согласно доступному расписанию, никто из участников не намерен взламывать телевизоры и внешние устройства хранения данных.

 

[fenix]

Обзор инцидентов с участием программ-вымогателей за период с 1 по 8 ноября 2021 года

На прошлой неделе Федеральное бюро расследований США (ФБР) разослало компаниям из частной отрасли экстренное предупреждение о вымогательской группировке HelloKitty (также известной как FiveHands), которая добавила в свой арсенал распределенные атаки типа «отказ в обслуживании» (DDoS).

ФБР также предупредило о вымогательских группировках, которые осуществляют атаки на компании, находящихся в процессе корпоративных слияний и поглощений. Операторы программ-вымогателей используют финансовую информацию, собранную перед атакой, в качестве рычага давления на жертв. На начальном этапе разведки киберпреступники ищут конфиденциальную информацию, которую они угрожают раскрыть или использовать в качестве рычага воздействия во время вымогательства, тем самым побудить жертв выполнить требования. События, связанные со слиянием или поглощением компаний, могут повлиять на стоимость акций жертвы.

Канадская провинция Ньюфаундленд и Лабрадор подверглась кибератаке, которая привела к серьезным сбоям в работе медицинских учреждений и больниц. В результате атаки региональные системы здравоохранения отключили свои сети и отменили тысячи записей к врачам. Сбои в работе затронули системы здравоохранения Central Health, Eastern Health, Western Health и региональные органы здравоохранения Лабрадора-Гренфелла. Отключение IT-систем также повлияло на связь в регионе — люди сообщали о невозможности связаться с медицинскими центрами или службами 911 по телефону.

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .MS к зашифрованным файлам, и новый вариант вымогателя Thanos, добавляющий расширение .stepik.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .cool, .stax, .irkf и .palq к зашифрованным файлам. PCrisk также обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .WORM к зашифрованным файлам.

Операторы вымогательского ПО BlackMatter сообщили о прекращении своей преступной деятельности из-за давления со стороны властей и операций сотрудников правоохранительных органов. Как сообщило издание Bleeping Computer, существующие партнеры BlackMatter «перемещают» своих жертв на конкурирующий сайт программы-вымогателя LockBit для продолжения вымогательства.

Лейбористская партия Великобритании уведомила своих членов о том, что некоторая их информация пострадала в результате утечки данных. Утечка данных произошла в результате кибератаки со стороны операторов неназванной программы-вымогателя на поставщика, управляющего данными партии.

Исследователь в области кибербезопасности, использующий псевдоним Amigo-A, обнаружил новую программу-вымогатель Polaris, нацеленную на системы под управлением Linux и оставляющую записки с требованием выкупа с именем WARNING.txt.

Новая киберпреступная группировка взламывает серверы Microsoft Exchange и корпоративные сети, используя уязвимость ProxyShell для установки программы-вымогателя Babuk. По словам экспертов из Cisco Talos, партнер Babuk, известный как Tortilla, начал использовать web-оболочку China Chopper на взломанных серверах Exchange.

Организаторы новой фишинговой кампании заражают системы пользователей программой-вымогателем MirCop, шифрующей компьютерные устройства менее чем за пятнадцать минут. Преступники отправляют потенциальным жертвам электронное письмо, замаскированное под список поставщиков. В письме содержится гиперссылка на URL-адрес Google Диска, при нажатии на которую на компьютер жертвы загружается MHT-файл. Данный файл загружает RAR-архив, содержащий загрузчик вредоносных программ на языке .NET.

Партнеры вымогательского ПО Lockean связаны с атаками на французские организации. Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT) сообщила подробности об инструментах и тактике, используемых партнерами Lockean. За последние полтора года злоумышленники взломали сети по меньшей мере восьми французских компаний, похитив данные и развернув вредоносное ПО на системах жертв.

Для просмотра ссылки необходимо нажать Вход или Регистрация

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор событий 08.11

Спойлер: Google Chrome сливает данные датчика движения Android всем сайтам

Редко кто знает, что датчики движения Android-устройств по умолчанию доступны сайтам, которые пользователи посещают, используя Chrome. Мобильный браузер Google передает такие данные по запросу даже при самых жестких настройках приватности, а также в режиме инкогнито.

Компанию Google неоднократно упрекали за сбор огромного количества пользовательских данных с целью укрепления своих позиций на рынке контекстной рекламы. Однако техногиганту никак не удается найти приемлемое решение по охране конфиденциальности, не ущемляющее его собственные интересы.

Встроенная защита Android не распространяется на данные акселерометра и сенсоров ориентации, и приложения могут их считывать даже в фоновом режиме, притом независимо от уровня привилегий. Chrome делает это, даже когда пользователь поставил флаги во всех настройках приватности или запустил браузер в режиме инкогнито.

Доступ к таким данным оправдан, например, при посещении мобильной версии сайта Google Карты или у игровых приложений, которым важно следить за касаниями экрана и нажимом клавиш на виртуальной клавиатуре (телефон при этом немного наклоняется). Однако неограниченное предоставление подобной информации через Chrome по дефолту — слишком уж явное нарушение конфиденциальности, о которой так печется Google, по крайней мере, на словах.

В комментарии для Forbes представитель компании заявил, что они «умышленно ограничили разрешающую способность датчиков движения» и в 2019 году предоставили пользователям возможность блокировать сайтам доступ к таким данным. Непонятно только, почему для этого нужно преодолевать многоступенчатые настройки системы и снимать дефолт, который Google к тому же настойчиво порекомендует оставить.

Не проще ли поставить тотальный блок по умолчанию и предоставить пользователю самому решать, кому предоставить доступ к API, — как это сделала Apple для Safari на iPhone в том же 2019 году. Ее браузер теперь запрашивает разрешение у пользователя при переходе на сайт, пытающийся отследить местоположение визитера.

Более того, мессенджерам и клиентам сервисов звонков на iOS теперь запрещено работать в фоновом режиме, то есть их лишили возможности собирать информацию о пользователях в период бездействия. У Google же, напротив, все функции приватности по умолчанию отключены. Примечательно, что Chrome на iPhone безопаснее, чем на Android, так как Apple заблокировала доступ к API датчиков движения для всех браузеров.

Напомним, в браузере Google недавно появился еще один механизм, позволяющий сайтам собирать пользовательские данные без применения куки, — FLoC. Эта скрытая функциональность, также посягающая на приватность навигации в Сети, вызвала неоднозначную реакцию в ИТ-кругах, и Google через несколько месяцев свернула пробный запуск, пообещав доработать проект.

Спойлер: В модуле ядра Linux TIPC нашли критическую RCE-дыру

Специалисты в сфере кибербезопасности нашли уязвимость в модуле ядра Linux — Transparent Inter Process Communication (TIPC). Брешь можно использовать для выполнения произвольного кода на уровне ядра, при этом эксплуатация может быть как локальная, так и удалённая.

Уязвимость, получившая идентификатор CVE-2021-43267 и 9,8 баллов по шкале CVSS, представляет собой возможность переполнения буфера, приводящую к полному контролю над заражённой системой.

Проблему обнаружили исследователи из компании SentinelOne, которые также указали на причину — недостаточную проверку размера пользовательских сообщений типа «MSG_CRYPTO».

Как отметили в отчёте эксперты, атакующий может создать пакет с маленьким размером тела, а затем использовать произвольный размер для записи за пределами границ.

Пока у специалистов нет информации об эксплуатации бреши в реальных кибератаках. Более того, разработчики уже успели выпустить соответствующий патч с версией ядра Linux под номером 5.15.

Спойлер: Израильская армия использует технологии распознавания лиц для отслеживания палестинцев

Израильские военные используют технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали изданию The Washington Post о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.

Израильская армия последние два года наполняла базу данных тысячами изображений палестинцев и даже проводила так называемые «конкурсы», награждая солдат за то, что они фотографировали как можно больше людей.

Израильские военные также установили камеры по всему городу Хеврон, сканирующие лица палестинцев и идентифицирующие их на контрольно-пропускных пунктах. Кроме того, некоторые камеры наблюдения были направлены на дома людей, обеспечивая круглосуточное наблюдение в режиме реального времени.

По словам военных, система наблюдения была создана для предотвращения терроризма. В любом случае израильская система доводит распознавание лиц до крайности антиутопии.

Спойлер: Вымогатель Hive атаковал крупнейшего в Европе продавца электроники

Крупная сеть магазинов электроники и бытовой техники MediaMarkt подверглась кибератаке с использованием вымогательского ПО Hive, в результате которой ее IT-системы были отключены, и магазины в Германии и Нидерландах не могли работать в обычном режиме. За восстановление зашифрованных файлов вымогатели потребовали от MediaMarkt $240 млн.

MediaMarkt является крупнейшим в Европе продавцом потребительской электроники - компании принадлежат более 1 тыс. розничных магазинов в 13 странах. В MediaMarkt работает порядка 53 тыс. человек, а общий объем продаж составляет €20,8 млрд.

Злоумышленники атаковали компанию с вечера воскресенья, 7 ноября, до утра понедельника, 8 ноября. Вымогательское ПО Hive зашифровало ее серверы и рабочие станции, и в целях предотвращения распространения атаки MediaMarkt пришлось отключить свои IT-системы.

Атака затронула целый ряд розничных магазинов в Европе, преимущественно в Нидерландах. Хотя с online-продажами не было никаких проблем, кассовые аппараты не могли принимать кредитные карты и печатать чеки. Кроме того, не работал возврат товаров из-за невозможности просмотреть предыдущие покупки.

Как сообщили местные СМИ, администрация MediaMarkt дала указания сотрудникам избегать зашифрованных систем и отключить кассовые аппараты от сети.

Согласно опубликованному в Twitter скриншоту , атака затронула 3,1 тыс. серверов. Были ли похищены хранящиеся на них данные, неизвестно, однако операторы Hive, как правило, похищают файлы у своих жертв и в случае неуплаты публикуют их на своем сайте утечек HiveLeaks.

Hive - сравнительно новая кибервымогательская операция ("партнерская программа"), начавшаяся в июне 2021 года. Вымогательское ПО распространяется через вредоносные фишинговые письма. Отличительной чертой Hive является удаление резервных копий файлов, чтобы лишить жертв возможности восстановить данные без уплаты выкупа.

В отличие от других "партнерских программ" Hive не брезгует атаковать медучреждения, дома престарелых, правительственные организации и пр.

Спойлер: Китай обвинил иностранную разведку во взломе своих авиалиний

Правительство Китая заявило , что в 2020 году некая иностранная спецслужба взломала несколько китайских авиалиний и похитила данные пассажиров.

Вредоносная кампания была обнаружена на прошлой неделе сотрудниками Министерства государственной безопасности после того, как одна из пострадавших авиалиний сообщила ему об утечке данных в январе 2020 года.

По словам следователей, они связали взлом с кастомным трояном, использовавшимся злоумышленниками для извлечения данных пассажиров. Как показало последующие расследование, другие авиалинии были скомпрометированы аналогичным способом.

"После проведения основательного расследования было подтверждено, что атаки были тщательно спланированы и тайно осуществлены зарубежной разведслужбой", - сообщили представители Министерства госбезопасности.

Министерство официально не отнесла атаки на счет какой-либо конкретной спецслужбы или государства.

В марте 2020 года китайские ИБ-компании Qihoo 360 и QiAnxin опубликовали отчеты, в которых обвинили ЦРУ США во взломах китайских организаций, в том числе авиалиний. Однако, согласно отчетам, эти взломы были осуществлены в период с сентября 2018-го по июнь 2019 года.

Стоит отметить, сообщение Министерства госбезопасности является событием из ряда вон выходящим, поскольку правительство Поднебесной почти никогда не сообщает об атаках хакеров, финансируемых иностранными государствами.

 

[fenix]

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор инцидентов безопасности за период с 4 по 10 ноября 2021 года

Неизвестные украли $55 млн у DeFi-платформы bZx, шпионы похитили данные у оборонного подрядчика Пентагона, Китай обвинил иностранную разведку во взломе своих авиалиний, а вымогатель Hive атаковал крупнейшего в Европе продавца электроники. Об этих и других громких событиях в мире ИБ за период с 4 по 10 ноября 2021 года читайте в нашем обзоре.

Исследователи в области кибербезопасности из Cisco Talos обнаружили новую вредоносную кампанию операторов вымогательского ПО Babuk, нацеленную на уязвимости ProxyShell в серверах Microsoft Exchange. Злоумышленники используют web-оболочку China Chopper для первоначального взлома и установки вредоносного ПО Babuk. Уязвимости ( CVE-2021-34473 , CVE-2021-34523 и CVE-2021-31207 ) были исправлены в апреле и мае нынешнего года, а технические подробности были опубликованы в августе.

Крупная сеть магазинов электроники и бытовой техники MediaMarkt подверглась кибератаке с использованием вымогательского ПО Hive, в результате которой ее IT-системы были отключены, и магазины в Германии и Нидерландах не могли работать в обычном режиме. За восстановление зашифрованных файлов вымогатели потребовали от MediaMarkt $240 млн. Атака затронула целый ряд розничных магазинов в Европе, преимущественно в Нидерландах. Хотя с online-продажами не было никаких проблем, кассовые аппараты не могли принимать кредитные карты и печатать чеки. Кроме того, не работал возврат товаров из-за невозможности просмотреть предыдущие покупки.

Правительство Китая заявило, что в 2020 году некая иностранная спецслужба взломала несколько китайских авиалиний и похитила данные пассажиров. Вредоносная кампания была обнаружена на прошлой неделе сотрудниками Министерства государственной безопасности после того, как одна из пострадавших авиалиний сообщила ему об утечке данных в январе 2020 года. Исследователи безопасности связали взлом с кастомным трояном, использовавшимся злоумышленниками для извлечения данных пассажиров. Как показало последующие расследование, другие авиалинии были скомпрометированы аналогичным способом.

Неизвестная группа хакеров атаковала девять организаций, в том числе как минимум одну в США, сообщает CNN. Злоумышленники взломали сети предприятий оборонной, энергетической и технологической сферы, а также учреждения здравоохранения и образования. Киберпреступникам удалось украсть пароли ряда организаций, что дало им долгосрочный доступ к соответствующим сетям. Благодаря этому хакеры могут перехватить конфиденциальную информацию, отправленную через электронную почту или хранящуюся в компьютерных системах. Тактика хакеров совпадает с тактикой известной группы китайских киберпреступников.

О взломе своей почтовой системы и утечке файлов, содержащих персональную информацию, сообщило американское оборонное предприятие Electronic Warfare Associates (EWA). Согласно заявлению, поданному EWA в генпрокуратуру штата Монтана, злоумышленник захватил контроль над одной из учетных записей компании в сервисе электронной почты 2 августа 2021 года. Взлом был обнаружен, когда хакер попытался провернуть мошенническую схему (в компании считают, что именно мошенничество являлось его главной целью). Как показало расследование инцидента, скомпрометированы были имена и фамилии, номера социального страхования и данные водительских удостоверений. Затронутые утечкой лица были соответствующим образом уведомлены.

Неизвестные злоумышленники попытались атаковать популярную инвестиционную и трейдинговую платформу Robinhood, получили доступ к электронным адресам и полным именам ее клиентов и потребовали выкуп. Инцидент стал результатом применения злоумышленниками техник социальной инженерии к одному из сотрудников отдела поддержки клиентов. Неизвестные убедили сотрудника, будто у них есть право на доступ к "системам поддержки определенного клиента", и получили от него доступ к электронным адресам порядка 5 млн клиентов и полные имена порядка 2 млн клиентов. Однако для меньшего числа клиентов утечка стала гораздо более серьезной – скомпрометированными оказались их имена, даты рождения, почтовые коды, а у десяти пользователей были скомпрометированы более данные учетных записей.

Одним из самых громких происшествий недели стало похищение $55 млн в криптовалюте у DeFi-платформы bZx, позволяющей пользователям брать и давать взаймы и спекулировать на колебаниях курса криптовалют. Разработчик платформы получил фишинговое электронное письмо с документом Word с вредоносными макросами, замаскированным под легитимное вложение. После открытия вредоносного вложения на компьютере разработчика запустился скрипт, скомпрометировавший мнемоническую фразу для доступа к его криптовалютному кошельку. Злоумышленник опустошил кошелек разработчика и похитил два закрытых ключа, использовавшиеся для интеграции платформы bZx с блокчейнами Polygon и Binance Smart Chain (BSC). С помощью этих ключей хакер похитил средства bZx из Polygon и BSC, заодно с средствами небольшого количества пользователей, одобривших в своих учетных записях безлимитные операции по расходам для обоих токенов.

Не обошлось на неделе и без масштабных утечек данных. В интернет утекла база данных 45,5 миллиона пользователей мобильных VPN-сервисов FreeVPN.org и DashVPN.io. База содержит адреса электронной почты, зашифрованные пароли, даты регистрации, обновления профиля и последнего входа в систему. Все данные датированы 2017-2021 годами.

Участники хакерского конкурса Pwn2Own Austin 2021, проводимого организацией Zero Day Initiative, впервые в истории мероприятия получили награды за взлом принтеров. В первый день Pwn2Own Austin, посвященного взлому устройств, эксперты в области кибербезопасности заработали в общей сложности более $360 тыс. за эксплуатацию уязвимостей в принтерах, NAS-устройствах, маршрутизаторах и «умных» колонках.

Еще один интересный случай – блокировка аккаунта главы Instagram Адама Моссери (Adam Mosseri). Некто под псевдонимом Syenrai смог на время заблокировать учетную запись Моссери, убедив службу поддержки в том, что он якобы умер. Заблокировать аккаунт удалось благодаря возможности присваивать Instagram-аккаунтам умерших людей памятный статус. Как пояснил Syenrai, Некоторые мошенники даже предлагают платные услуги по «бану» пользователей Instagram. Для присвоения памятного статуса неподтвержденной странице с менее чем миллионом подписчиков они просто предоставляют в качестве доказательства смерти любой недавно опубликованный в Сети некролог, и на восстановление доступа у пользователей уходит до нескольких дней.

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предупредило о том, что PoC-код для уязвимости BrakTooth в Bluetooth уже доступен в Сети.BrakTooth - это общее название порядка двадцати уязвимостей в коммерческих стеках Bluetooth Classic (BT), также затрагивающих чипы, поддерживающие версии Bluetooth от 3.0 + HS до Bluetooth 5.2.