Diablo 3 сломана пиратами из Blizzless
Ранее эта хакерская группировка уже успешно атаковала систему защиты нескольких игр Blizzard, включая Diablo 2 Resurrected, StarCraft Remastered и Warcraft III Reforged
Отличительной особенностью взломанных версий является их полная «отвязка» от сервиса Battle. net.
Хакеры опубликовали исходники серверной части Diablo 3 под лицензией GNU.
Как заявляется, можно освоить сюжетные задания пяти актов. У 80% миньонов, 40% монстров и половины боссов реализован искусственный интеллект. Также поддерживается локальная сеть.
Ранее эта хакерская группировка уже успешно атаковала систему защиты нескольких игр Blizzard, включая Diablo 2 Resurrected, StarCraft Remastered и Warcraft III Reforged
Отличительной особенностью взломанных версий является их полная «отвязка» от сервиса Battle. net.
Хакеры опубликовали исходники серверной части Diablo 3 под лицензией GNU.
Как заявляется, можно освоить сюжетные задания пяти актов. У 80% миньонов, 40% монстров и половины боссов реализован искусственный интеллект. Также поддерживается локальная сеть.
В репозиториях PyPI и npm нашли более 200 пакетов со скрытыми майнерами для GNU/Linux-систем
Первым проблему заметил независимый ИБ-исследователь Хауке Любберс, который нашел «как минимум 33 пакета» в PyPI, которые запускали майнер XMRig, добывающий криптовалюту Monero.
Для их распространения использовался тайпсквоттинг, то есть пакеты загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета (так как разработчики обычно загружают пакеты через терминал, опечатки встречаются часто).
Например, вредоносы имитировали React, argparse и AIOHTTP.
Пока Любберс уведомлял о своей находке администрацию PyPI, был загружен еще один набор из 22 пакетов со скрытыми майнерами.
Все пакеты были ориентированы на GNU/Linux-системы и содержали фрагмент кода, который загружал Bash-скрипт с сервера злоумышленника посредством сервиса сокращения URL-адресов Bit.ly. После выполнения данный скрипт уведомляет своего оператора об IP-адресе скомпрометированного хоста и об успешном развертывании майнера.
Практически одновременно с Хауке Любберсом аналитики из компании Sonatype обнаружили в npm еще 186 вредоносных пакетов, связанных с тем же URL-адресом для загрузки вредоносного Bash-скрипта.
На данный момент вредоносные пакеты удалены, но никто не гарантирует, что аналогичные атаки не повторятся снова.
Первым проблему заметил независимый ИБ-исследователь Хауке Любберс, который нашел «как минимум 33 пакета» в PyPI, которые запускали майнер XMRig, добывающий криптовалюту Monero.
Для их распространения использовался тайпсквоттинг, то есть пакеты загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета (так как разработчики обычно загружают пакеты через терминал, опечатки встречаются часто).
Например, вредоносы имитировали React, argparse и AIOHTTP.
Пока Любберс уведомлял о своей находке администрацию PyPI, был загружен еще один набор из 22 пакетов со скрытыми майнерами.
Все пакеты были ориентированы на GNU/Linux-системы и содержали фрагмент кода, который загружал Bash-скрипт с сервера злоумышленника посредством сервиса сокращения URL-адресов Bit.ly. После выполнения данный скрипт уведомляет своего оператора об IP-адресе скомпрометированного хоста и об успешном развертывании майнера.
Практически одновременно с Хауке Любберсом аналитики из компании Sonatype обнаружили в npm еще 186 вредоносных пакетов, связанных с тем же URL-адресом для загрузки вредоносного Bash-скрипта.
На данный момент вредоносные пакеты удалены, но никто не гарантирует, что аналогичные атаки не повторятся снова.
Android 13 взломали через неделю после выхода финальной версии
Финальная версия ОС Android 13 вышла 15 августа, но хакеры уже нашли способ взломать ее. Так, хакерская группировка Hadoken создала эксплойт на основе старых вредоносных программ, которые успешно обходят ограничения Android 13 и используют службы специальных возможностей для кражи конфиденциальной информации с устройств жертв.
Атака проходит в два этапа. На первом этапе на устройство жертвы загружается программа, не вызывающая подозрения. В дальнейшем именно она подгружает второй вредонос, который обходит ограничения и запрашивает разрешение на доступ к службам специальных возможностей.
Опасность открытого доступа к упомянутым службам создает риск того, что имеющие соответствующие права приложения способны осуществлять скрытую слежку за пользователем, перехватывать информацию из вызовов и сообщений.
Финальная версия ОС Android 13 вышла 15 августа, но хакеры уже нашли способ взломать ее. Так, хакерская группировка Hadoken создала эксплойт на основе старых вредоносных программ, которые успешно обходят ограничения Android 13 и используют службы специальных возможностей для кражи конфиденциальной информации с устройств жертв.
Атака проходит в два этапа. На первом этапе на устройство жертвы загружается программа, не вызывающая подозрения. В дальнейшем именно она подгружает второй вредонос, который обходит ограничения и запрашивает разрешение на доступ к службам специальных возможностей.
Опасность открытого доступа к упомянутым службам создает риск того, что имеющие соответствующие права приложения способны осуществлять скрытую слежку за пользователем, перехватывать информацию из вызовов и сообщений.
OneTwoTrip подтвердил уязвимость, раскрывшую данные об активности некоторых пользователей
Несколько дней в свободном доступе был elasticsearch сервер с информацией о клиентах компании. В открытом доступе оказались сведения об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и паролях. Точное количество утёкших данных неизвестно, обычно в подобные индексы попадает часть данных, которые обрабатывались в эти даты.
Технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
В OneTwoTrip подтвердили уязвимость. В компании подчеркнули, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.
Несколько дней в свободном доступе был elasticsearch сервер с информацией о клиентах компании. В открытом доступе оказались сведения об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и паролях. Точное количество утёкших данных неизвестно, обычно в подобные индексы попадает часть данных, которые обрабатывались в эти даты.
Технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
В OneTwoTrip подтвердили уязвимость. В компании подчеркнули, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.
Хакеры выставили на продажу военные секреты НАТО
НАТО пытается оценить последствия утечки секретных военных документов, которые группа хакеров выставила на продажу в интернете. Об этом сообщает BBC.
В сообщении говорится, что хакеры продают документы, связанные с производством оружия MBDA Missile Systems. Среди украденного есть документы с грифом NATO CONFIDENTIAL, NATO RESTRICTED и Unclassified Controlled Information.
Киберпреступники предлагают купить информацию о производстве оружия НАТО всего за 15 биткоинов или за 317 тысяч долларов. Сейчас в сеть выложено порядка 50 мегабайт информации, всего было украдено 80 Гб.
НАТО пытается оценить последствия утечки секретных военных документов, которые группа хакеров выставила на продажу в интернете. Об этом сообщает BBC.
В сообщении говорится, что хакеры продают документы, связанные с производством оружия MBDA Missile Systems. Среди украденного есть документы с грифом NATO CONFIDENTIAL, NATO RESTRICTED и Unclassified Controlled Information.
Киберпреступники предлагают купить информацию о производстве оружия НАТО всего за 15 биткоинов или за 317 тысяч долларов. Сейчас в сеть выложено порядка 50 мегабайт информации, всего было украдено 80 Гб.
Уязвимость в Bitbucket Server, позволяющая выполнить код на сервере
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-36804). Она позволяет удалённому атакующему, имеющему доступ на чтение к приватным или публичным репозиториям, выполнить произвольный код на сервере через отправку специально оформленного HTTP-запроса.
Проблема проявляется начиная с версии 6.10.17 и устранена в выпусках Bitbucket Server и Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 и 8.3.1. Уязвимость не проявляется в облачном сервисе bitbucket. org, а затрагивает только продукты для установки на своих мощностях.
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-36804). Она позволяет удалённому атакующему, имеющему доступ на чтение к приватным или публичным репозиториям, выполнить произвольный код на сервере через отправку специально оформленного HTTP-запроса.
Проблема проявляется начиная с версии 6.10.17 и устранена в выпусках Bitbucket Server и Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 и 8.3.1. Уязвимость не проявляется в облачном сервисе bitbucket. org, а затрагивает только продукты для установки на своих мощностях.
Утечка "Старт"
В открытый доступ выложили данные зарегистрированных пользователей онлайн-кинотеатра «СТАРТ», сообщили специалисты Data Leakage & Breach Intelligence.
В базе содержатся сведения о почти 44 миллионах человек: имя/фамилия, адрес электронной почты, хешированный пароль, IP-адрес, страна, дата начала/окончания подписки или последнего входа в сервис.
Более 24 миллиона пользователей зарегистрировались из России, 2,3 миллиона и 2,1 миллиона — из Казахстана и Китая, 1,7 миллиона — из Украины.
Специалисты выборочно проверили случайные записи из дампа через функцию восстановления пароля на сайте онлайн-кинотеатра. Все логины из базы оказались действительными.
В открытый доступ выложили данные зарегистрированных пользователей онлайн-кинотеатра «СТАРТ», сообщили специалисты Data Leakage & Breach Intelligence.
В базе содержатся сведения о почти 44 миллионах человек: имя/фамилия, адрес электронной почты, хешированный пароль, IP-адрес, страна, дата начала/окончания подписки или последнего входа в сервис.
Более 24 миллиона пользователей зарегистрировались из России, 2,3 миллиона и 2,1 миллиона — из Казахстана и Китая, 1,7 миллиона — из Украины.
Специалисты выборочно проверили случайные записи из дампа через функцию восстановления пароля на сайте онлайн-кинотеатра. Все логины из базы оказались действительными.
Chrome-расширение, установленное 200 000 раз, оказалось рекламным вредоносом
Расширение Internet Download Manager, предназначенное для Google Chrome и установленное более 200 000 раз, оказалось вредоносным. При этом расширение размещалось в Chrome Web Store с июня 2019 года и могло открывать ссылки на сайты со спамом, изменять поисковую систему по умолчанию, показывать всплывающие окна с рекомендацией загрузить фальшивые патчи и нежелательные программы.
Дело в том, что существует легитимная программа для Windows с названием Internet Download Manager, выпущенная компанией Tonec. Ее разработчики предлагают расширения Internet Download Manager для браузеров Firefox и Chrome, однако настоящее расширение для Chrome называется IDM Integration Module. Более того, официальный раздел FAQ Tonec предупреждает: «все расширения IDM, которые можно найти в Google Store, являются поддельными и не должны использоваться».
Расширение Internet Download Manager, предназначенное для Google Chrome и установленное более 200 000 раз, оказалось вредоносным. При этом расширение размещалось в Chrome Web Store с июня 2019 года и могло открывать ссылки на сайты со спамом, изменять поисковую систему по умолчанию, показывать всплывающие окна с рекомендацией загрузить фальшивые патчи и нежелательные программы.
Дело в том, что существует легитимная программа для Windows с названием Internet Download Manager, выпущенная компанией Tonec. Ее разработчики предлагают расширения Internet Download Manager для браузеров Firefox и Chrome, однако настоящее расширение для Chrome называется IDM Integration Module. Более того, официальный раздел FAQ Tonec предупреждает: «все расширения IDM, которые можно найти в Google Store, являются поддельными и не должны использоваться».
В Сеть утекли данные клиентов CDEK. Shopping и «СДЭК.Маркет»
Оператор курьерской доставки СДЭК подтвердил появившиеся в социальных сетях данные о том, что в Сети стала доступна база данных клиентов CDEK. Shopping. Сейчас компания проводит проверку по этому факту.
"Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем все, чтобы предотвратить распространение утечки", - сказали в компании.
Оператор курьерской доставки СДЭК подтвердил появившиеся в социальных сетях данные о том, что в Сети стала доступна база данных клиентов CDEK. Shopping. Сейчас компания проводит проверку по этому факту.
"Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем все, чтобы предотвратить распространение утечки", - сказали в компании.
Плати налоги
Французские налоговые органы, используя аэрофотоснимки и ИИ, разработанное Google и Capgemini, выявили более 20 тыс. незарегистрированных бассейнов, что привело к сбору дополнительных 10 млн евро налогов.
Система, разработанная Google и Capgemini, может идентифицировать бассейны на аэрофотоснимках и сверять их с базами данных земельного кадастра.
Французские налоговые органы, используя аэрофотоснимки и ИИ, разработанное Google и Capgemini, выявили более 20 тыс. незарегистрированных бассейнов, что привело к сбору дополнительных 10 млн евро налогов.
Система, разработанная Google и Capgemini, может идентифицировать бассейны на аэрофотоснимках и сверять их с базами данных земельного кадастра.
Google запретит VPN-приложениям блокировать рекламу
Google запретит VPN-приложениям для Android в Google Play вмешиваться в рекламу или блокировать её. Обновленная политика Google Play вступит в силу 1 ноября.
Согласно правилам, только приложения, использующие Android VPNService и функционирующие как VPN, могут открыть безопасный туннель на уровне устройства для удаленной службы. Такие VPN-приложения не могут «манипулировать рекламой, которая может повлиять на монетизацию приложений».
Правила предназначены для сдерживания VPN-сервисов, собирающих данные, и для предотвращения мошенничества с рекламой.
В правилах указано, что разработчики должны:
- заявлять об использовании службы VPN в списке своих приложений в Google Play;
- шифровать данные, передаваемые с устройства на конечную точку VPN;
- соблюдать правила для разработчиков, особенно те, которые касаются мошенничества с рекламой, разрешений и вредоносных программ/
Google запретит VPN-приложениям для Android в Google Play вмешиваться в рекламу или блокировать её. Обновленная политика Google Play вступит в силу 1 ноября.
Согласно правилам, только приложения, использующие Android VPNService и функционирующие как VPN, могут открыть безопасный туннель на уровне устройства для удаленной службы. Такие VPN-приложения не могут «манипулировать рекламой, которая может повлиять на монетизацию приложений».
Правила предназначены для сдерживания VPN-сервисов, собирающих данные, и для предотвращения мошенничества с рекламой.
В правилах указано, что разработчики должны:
- заявлять об использовании службы VPN в списке своих приложений в Google Play;
- шифровать данные, передаваемые с устройства на конечную точку VPN;
- соблюдать правила для разработчиков, особенно те, которые касаются мошенничества с рекламой, разрешений и вредоносных программ/
Произвольное удаление файлов в Kaspersky VPN Secure Connection
Программное обеспечение Kaspersky VPN Secure Connection for Windows до версии 21.5 подвержено уязвимости произвольного удаления файлов при злоупотреблении функцией «Удалить все служебные данные и отчеты». Для эксплуатации уязвимости потенциальному злоумышленнику необходимо пройти процедуру аутентификации, создать специальный файл и убедить целевого пользователя запустить вышеописанную функцию. Уязвимость получила 7.8 балла по шкале CVSS 3.1.
Программное обеспечение Kaspersky VPN Secure Connection for Windows до версии 21.5 подвержено уязвимости произвольного удаления файлов при злоупотреблении функцией «Удалить все служебные данные и отчеты». Для эксплуатации уязвимости потенциальному злоумышленнику необходимо пройти процедуру аутентификации, создать специальный файл и убедить целевого пользователя запустить вышеописанную функцию. Уязвимость получила 7.8 балла по шкале CVSS 3.1.
Обход аутентификации в Zimbra Collaboration Suite
В программном обеспечении Zimbra Collaboration Suite имеется функционал разархивирования файлов, уязвимость в котором (функция mboximport) связана с недостатками аутентификации. При эксплуатации уязвимости потенциальный злоумышленник имеет возможность обойти процедуры аутентификации и загрузить произвольные файлы, приводящие к обходу каталогов и выполнению удаленного кода на целевой системе. Уязвимость получила 9.8 балла по шкале CVSS 3.1. Также стоит отметить, что данная уязвимость существует вследствие некорректного исправления уязвимости с идентификатором CVE-2022-27925.
В программном обеспечении Zimbra Collaboration Suite имеется функционал разархивирования файлов, уязвимость в котором (функция mboximport) связана с недостатками аутентификации. При эксплуатации уязвимости потенциальный злоумышленник имеет возможность обойти процедуры аутентификации и загрузить произвольные файлы, приводящие к обходу каталогов и выполнению удаленного кода на целевой системе. Уязвимость получила 9.8 балла по шкале CVSS 3.1. Также стоит отметить, что данная уязвимость существует вследствие некорректного исправления уязвимости с идентификатором CVE-2022-27925.
В интернете распространяется новый вариант вируса-шифровальщика — BianLian
По словам исследователей из Cyble Research Labs, популярность BianLian растёт с тех пор, как она была впервые обнаружена в середине июля 2022 года. Основную тяжесть атак BianLian принял на себя сектор СМИ и развлечений: на данный момент 25% жертв относятся к этой отрасли, примерно по 12,5% — к секторам профессиональных услуг, производства, здравоохранения, энергетики и коммунальных услуг, а также образования.
Статья
По словам исследователей из Cyble Research Labs, популярность BianLian растёт с тех пор, как она была впервые обнаружена в середине июля 2022 года. Основную тяжесть атак BianLian принял на себя сектор СМИ и развлечений: на данный момент 25% жертв относятся к этой отрасли, примерно по 12,5% — к секторам профессиональных услуг, производства, здравоохранения, энергетики и коммунальных услуг, а также образования.
Статья
Миссия выполнима: знакомимся с физическим пентестом
"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект.
Статья
"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект.
Статья
Хакеры могут взломать учетную запись еще до ее создания
Специалисты изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.
Атакующий должен знать электронный адрес жертвы, достать который сейчас довольно не сложно. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.
Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).
Специалисты изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.
Атакующий должен знать электронный адрес жертвы, достать который сейчас довольно не сложно. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.
Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).
Новая 0-day для устройств от Apple продается в дарквебе за 2,5 млн евро
Компания Webz. io, занимающаяся мониторингом онлайновых баз данных, обнаружила, что в дарквебе продают новую уязвимость нулевого дня для устройств от Apple. Новая уязвимость строится вокруг уже исправленной CVE-2022-32893 и продается за 2,5 миллиона евро.
Исследователи Webz. io считают это объявление уникальным, потому что злоумышленники редко пытаются продать 0-day для такой крупной компании, как Apple, сообщая об этом на всех хакерских форумах.
Компания Webz. io, занимающаяся мониторингом онлайновых баз данных, обнаружила, что в дарквебе продают новую уязвимость нулевого дня для устройств от Apple. Новая уязвимость строится вокруг уже исправленной CVE-2022-32893 и продается за 2,5 миллиона евро.
Исследователи Webz. io считают это объявление уникальным, потому что злоумышленники редко пытаются продать 0-day для такой крупной компании, как Apple, сообщая об этом на всех хакерских форумах.