Шпионский бэкдор Daxin повышает ставки на китайские вредоносные программы
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.
В России могут легализовать пиратство
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
Уязвимость ядра Linux
Уязвимость ядра Linux, отслеживаемая как CVE-2022-0492, может позволить злоумышленнику выйти из контейнера и выполнить произвольные команды на хосте контейнера.
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroupreleaseagentwrite ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 releaseagent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка.
Уязвимость ядра Linux, отслеживаемая как CVE-2022-0492, может позволить злоумышленнику выйти из контейнера и выполнить произвольные команды на хосте контейнера.
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroupreleaseagentwrite ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 releaseagent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка.
Уязвимость безопасности затрагивает тысячи самоуправляемых установок GitLab
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Вирусу Микеланджело — 30 лет
Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.
Статья
Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.
Статья
Украденными сертификатами Nvidia подписывают вредоносы
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
Дефекты TLStorm позволяют удаленно манипулировать питанием миллионов корпоративных устройств ИБП
Исследователи из компании Armis, занимающейся вопросами безопасности IoT, обнаружили три серьезных дефекта безопасности, получивших общее название TLStorm, в устройствах APC Smart-UPS.
Эти дефекты могут позволить удаленным злоумышленникам манипулировать питанием миллионов корпоративных устройств, осуществляя экстремальные киберфизические атаки.
APC насчитывает более 20 миллионов устройств по всему миру, по данным исследователей, почти 8 из 10 компаний подвержены уязвимостям TLStorm.
Две из уязвимостей TLStorm кроются в реализации TLS, используемой устройствами Smart-UPS, подключенными к облаку, а третья представляет собой дефект конструкции в процессе обновления прошивки устройств Smart-UPS.
Этот третий недостаток может быть использован злоумышленником для достижения стойкости путем установки вредоносного обновления на уязвимые устройства ИБП.
Ниже приведен список недостатков, обнаруженных экспертами:
CVE-2022-22806 - Обход аутентификации TLS: Путаница состояний в рукопожатии TLS приводит к обходу аутентификации, что дает возможность удаленного выполнения кода (RCE) с помощью обновления сетевой прошивки.
CVE-2022-22805 - Переполнение буфера TLS: Ошибка повреждения памяти при повторной сборке пакетов (RCE).
CVE-2022-0715 - обновление неподписанной прошивки, которая может быть обновлена по сети (RCE).
Исследователи из компании Armis, занимающейся вопросами безопасности IoT, обнаружили три серьезных дефекта безопасности, получивших общее название TLStorm, в устройствах APC Smart-UPS.
Эти дефекты могут позволить удаленным злоумышленникам манипулировать питанием миллионов корпоративных устройств, осуществляя экстремальные киберфизические атаки.
APC насчитывает более 20 миллионов устройств по всему миру, по данным исследователей, почти 8 из 10 компаний подвержены уязвимостям TLStorm.
Две из уязвимостей TLStorm кроются в реализации TLS, используемой устройствами Smart-UPS, подключенными к облаку, а третья представляет собой дефект конструкции в процессе обновления прошивки устройств Smart-UPS.
Этот третий недостаток может быть использован злоумышленником для достижения стойкости путем установки вредоносного обновления на уязвимые устройства ИБП.
Ниже приведен список недостатков, обнаруженных экспертами:
CVE-2022-22806 - Обход аутентификации TLS: Путаница состояний в рукопожатии TLS приводит к обходу аутентификации, что дает возможность удаленного выполнения кода (RCE) с помощью обновления сетевой прошивки.
CVE-2022-22805 - Переполнение буфера TLS: Ошибка повреждения памяти при повторной сборке пакетов (RCE).
CVE-2022-0715 - обновление неподписанной прошивки, которая может быть обновлена по сети (RCE).
Злоумышленники используют контактные формы веб-сайтов для распространения вредоносного ПО BazarLoader
Исследователи из компании Abnormal Security, специализирующейся на кибербезопасности, заметили, что злоумышленники распространяют вредоносную программу BazarLoader/BazarBackdoor через контактные формы веб-сайтов.
Операция TrickBot недавно подошла к концу, по данным AdvIntel, некоторые из ее ведущих членов переходят в банду Conti ransomware, которая планирует заменить популярного банковского троянца на более скрытный BazarBackdoor.
BazarBackdoor был разработан основной командой разработчиков TrickBot и использовался для получения удаленного доступа в корпоративные сети и использования их для развертывания ransomware.
С ростом популярности TrickBot его стало легко обнаружить с помощью антивирусных решений, по этой причине банда начала использовать BazarBackdoor для первоначального доступа к сетям.
Исследователи из компании Abnormal Security, специализирующейся на кибербезопасности, заметили, что злоумышленники распространяют вредоносную программу BazarLoader/BazarBackdoor через контактные формы веб-сайтов.
Операция TrickBot недавно подошла к концу, по данным AdvIntel, некоторые из ее ведущих членов переходят в банду Conti ransomware, которая планирует заменить популярного банковского троянца на более скрытный BazarBackdoor.
BazarBackdoor был разработан основной командой разработчиков TrickBot и использовался для получения удаленного доступа в корпоративные сети и использования их для развертывания ransomware.
С ростом популярности TrickBot его стало легко обнаружить с помощью антивирусных решений, по этой причине банда начала использовать BazarBackdoor для первоначального доступа к сетям.
Крупнейший хакер из REvil экстрадирован в США
Гражданин Украины Ярослав Васинский был экстрадирован в США, где теперь предстанет перед судом. В сети он был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22). С 2019 года он взламывал компании по всему миру (совершив не менее 2500 атак) и разворачивал в их инфраструктуре малварь REvil.
Подозреваемого задержали польские власти на пограничном пункте между Украиной и Польшей. Если он будет признан виновным по всем пунктам обвинения, ему грозит в общей сложности 115 лет лишения свободы.
Гражданин Украины Ярослав Васинский был экстрадирован в США, где теперь предстанет перед судом. В сети он был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22). С 2019 года он взламывал компании по всему миру (совершив не менее 2500 атак) и разворачивал в их инфраструктуре малварь REvil.
Подозреваемого задержали польские власти на пограничном пункте между Украиной и Польшей. Если он будет признан виновным по всем пунктам обвинения, ему грозит в общей сложности 115 лет лишения свободы.
Карта санкционных рисков Рунета и способы их упреждения
В связи со стремительным ростом масштабов блокировок и санкций возникает необходимость составить список наиболее критических угроз инфраструктуре Рунета и способов их упреждения.
Данная статья подразумевается в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
Статья
В связи со стремительным ростом масштабов блокировок и санкций возникает необходимость составить список наиболее критических угроз инфраструктуре Рунета и способов их упреждения.
Данная статья подразумевается в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
Статья
‼️Важно‼️
В связи с последними событиями, мы ищем проекты в IT отрасли для финансирования и кооперации, а так же IT специалистов в найм.
Приоритетные направления:
⁃ Медицина
⁃ AI и Big Data
⁃ Blockchain, в том числе high risk
⁃ Сельское хозяйство
⁃ WEB 3.0 / Metaverse
⁃ Платежные системы
Готовы выкупать и рассматривать для финансирования замороженные проекты, а также находящиеся в стадии разработки или уже готовые решения для помощи выхода на рынок.
Резюме и описание проектов просьба присылать на эл. почту:
leadteamhr@protonmail.com
Или Телеграм: @LEAD_TEAM_HR
В связи с последними событиями, мы ищем проекты в IT отрасли для финансирования и кооперации, а так же IT специалистов в найм.
Приоритетные направления:
⁃ Медицина
⁃ AI и Big Data
⁃ Blockchain, в том числе high risk
⁃ Сельское хозяйство
⁃ WEB 3.0 / Metaverse
⁃ Платежные системы
Готовы выкупать и рассматривать для финансирования замороженные проекты, а также находящиеся в стадии разработки или уже готовые решения для помощи выхода на рынок.
Резюме и описание проектов просьба присылать на эл. почту:
leadteamhr@protonmail.com
Или Телеграм: @LEAD_TEAM_HR
Исследователи узнали, как можно усилить DDoS-атаку в 4 миллиарда раз
Новые атаки назвали TP240PhoneHome (CVE-2022-26143). Они уже использовались для запуска DDoS’а, нацеленного на интернет-провайдеров, финансовые учреждения, логистические компании, игровые фирмы и другие организации.
Атакуемый сервис в уязвимых системах Mitel называется tp240dvr (TP-240 driver). Драйвер содержит команду генерации трафика, которая нужна для стресс-тестирования клиентов и обычно используется для отладки и тестов производительности. Злоупотребляя этой командой, злоумышленники могут генерировать мощные потоки трафика с этих устройств. К тому же эта проблемная команда активна по умолчанию.
Специалисты обнаружили в интернете около 2600 незащищенных устройств Mitel, которые уязвимы для атак и могут использоваться для усиления DDoS, причем подобная атака может длиться порядка 14 часов.
Разработчики Mitel уже выпустили обновления для своего ПО, которые отключают публичный доступ к тестовой функции.
Новые атаки назвали TP240PhoneHome (CVE-2022-26143). Они уже использовались для запуска DDoS’а, нацеленного на интернет-провайдеров, финансовые учреждения, логистические компании, игровые фирмы и другие организации.
Атакуемый сервис в уязвимых системах Mitel называется tp240dvr (TP-240 driver). Драйвер содержит команду генерации трафика, которая нужна для стресс-тестирования клиентов и обычно используется для отладки и тестов производительности. Злоупотребляя этой командой, злоумышленники могут генерировать мощные потоки трафика с этих устройств. К тому же эта проблемная команда активна по умолчанию.
Специалисты обнаружили в интернете около 2600 незащищенных устройств Mitel, которые уязвимы для атак и могут использоваться для усиления DDoS, причем подобная атака может длиться порядка 14 часов.
Разработчики Mitel уже выпустили обновления для своего ПО, которые отключают публичный доступ к тестовой функции.
Конкурсы и задачи по OSINT и геолокации
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает невероятно. Предлагаем вашему вниманию подборку самых топовых и самых интересных челленджей и квизов по всем разновидностям OSINT.
Статья
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает невероятно. Предлагаем вашему вниманию подборку самых топовых и самых интересных челленджей и квизов по всем разновидностям OSINT.
Статья