Amazon раскрывает данные о заказах
Экс-сотрудник империи Джеффа Безоса рассказал, что безопасность хранения данных в Amazon — пустышка.
Работники компании спокойно отслеживают, что покупали знаменитости. Там много интересного: бдсм-принадлежности, продвинутые вибраторы.
Без труда сотрудники получили доступ к истории заказов Канье Уэста и звёзд фильма «Мстители».
И это в компании, которая входит в топ-5 по капитализации в мире.
Экс-сотрудник империи Джеффа Безоса рассказал, что безопасность хранения данных в Amazon — пустышка.
Работники компании спокойно отслеживают, что покупали знаменитости. Там много интересного: бдсм-принадлежности, продвинутые вибраторы.
Без труда сотрудники получили доступ к истории заказов Канье Уэста и звёзд фильма «Мстители».
И это в компании, которая входит в топ-5 по капитализации в мире.
Business Insider
Low-level Amazon employees snooped on celebrities' purchases, including those of Kanye West and 'Avengers' actors, report says
A former Amazon service rep told Wired that colleagues viewed the shopping history of ex-partners and one unnamed celebrity who had purchased dildos.
Conti стала объектом слежки после утечки своего IP-адреса
Conti начала оставлять следы. Команда исследователей Prodaft выявила IP-адрес одного из серверов кибервымогателей и в течение месяца снифила его трафик.
Скомпрометированная система, к которому Prodaft получила консольный доступ, использовалась хакерами как площадка или так называемый сервер восстановления для денежных сделок с жертвами своих кибератак. Экспертам удалось идентифицировать ОС сервера. Ею оказалась Debian с именем хоста
“dedic-cuprum-617836”. Prodaft убеждены, что числа в имени являются номером счёта-фактуры сервера, который принадлежит украинской хостинговой компании ITLDC с IP 217.12.204.135. Кроме того, исследователи нашли в хосте htpasswd-файл с хешированным паролем.
Правда, в отчёте Prodaft есть недосказанность. В нем указано, что в процессе слежки за трафиком сервера жертвы получили доступ к адресам нескольких биткойн-кошельков. Prodaft обмолвилась, что смогла установить ещё какие-то IP, а также даты, способы покупок и ПО, используемые в процессе переговоров между жертвами и преступниками.
Через несколько часов после публикации отчёта взломанный ресурс оказался в оффлайне. На его восстановление вымогатели потратили сутки и запустили уже пропатченным.
Выявленный IP хостера был передан швейцарской командой правоохранительным органам и, кажется, он будет проходить по делу Conti как новое аффилированное лицо в мошеннической схеме. Ну а сама Prodaft отвела от себя подозрения в связи с Conti.
Conti начала оставлять следы. Команда исследователей Prodaft выявила IP-адрес одного из серверов кибервымогателей и в течение месяца снифила его трафик.
Скомпрометированная система, к которому Prodaft получила консольный доступ, использовалась хакерами как площадка или так называемый сервер восстановления для денежных сделок с жертвами своих кибератак. Экспертам удалось идентифицировать ОС сервера. Ею оказалась Debian с именем хоста
“dedic-cuprum-617836”. Prodaft убеждены, что числа в имени являются номером счёта-фактуры сервера, который принадлежит украинской хостинговой компании ITLDC с IP 217.12.204.135. Кроме того, исследователи нашли в хосте htpasswd-файл с хешированным паролем.
Правда, в отчёте Prodaft есть недосказанность. В нем указано, что в процессе слежки за трафиком сервера жертвы получили доступ к адресам нескольких биткойн-кошельков. Prodaft обмолвилась, что смогла установить ещё какие-то IP, а также даты, способы покупок и ПО, используемые в процессе переговоров между жертвами и преступниками.
Через несколько часов после публикации отчёта взломанный ресурс оказался в оффлайне. На его восстановление вымогатели потратили сутки и запустили уже пропатченным.
Выявленный IP хостера был передан швейцарской командой правоохранительным органам и, кажется, он будет проходить по делу Conti как новое аффилированное лицо в мошеннической схеме. Ну а сама Prodaft отвела от себя подозрения в связи с Conti.
В 2024 у России появится спутниковый интернет
Дмитрий Рогозин пообещал россиянам спутниковый интернет лучше, чем «Starlink» от Илона Маска(зарубежный аналог глава «Роскосмоса» считает не безопасной системой).
В 2022 запустят космический аппарат «Скиф»(интернет), в 2023 «Марафон»(интернет вещей).
В прошлом году «Роскосмос» просили на реализацию проекта 1,5 трлн. Дмитрий Рогозин оценил его в 800 млрд.
Дмитрий Рогозин пообещал россиянам спутниковый интернет лучше, чем «Starlink» от Илона Маска(зарубежный аналог глава «Роскосмоса» считает не безопасной системой).
В 2022 запустят космический аппарат «Скиф»(интернет), в 2023 «Марафон»(интернет вещей).
В прошлом году «Роскосмос» просили на реализацию проекта 1,5 трлн. Дмитрий Рогозин оценил его в 800 млрд.
Telegram
НеКасперский
Не все так гладко с этими спутниками Starlink от SpaceX. Глава Роскосмоса Рогозин считает, что спутники могут быть использованы для управления ракетами, агентурной сетью и спецназом. Власти США выделили субсидии на проект Маска в $20млрд. Защиту российскому…
Уязвимость в Cisco ASA может парализовать VPN-соединения
Positive Technologies нашли уязвимость в межсетевых экранах Cisco Asa, которая способна дестабилизировать доступ удалённых сотрудников к внутренней системе.
Обнаруженная дыра CVE-2021-34704, оцениваемая в 8,6 балла по CVSS, может вызвать на устройстве полный отказ в обслуживании. Она связана с ошибкой переполнения буфера, вызванное неадекватной проверкой входных данных при парсинге HTTPS-запросов.
В зоне риска софт Cisco линеек ASA и FTD — последний может быть скомпрометирован только при условии неправильной настройки AnyConnect или WebVPN.
Эксплойт запускается удаленно и не требует аутентификации. Помимо дестабилизации VPN-средств, уязвимость софта лишает компанию межсетевого экрана. В случае успеха примененного эксплойта, система перезапустится, после чего доступ для удаленных сотрудников будет уже ограничен.
Чтобы не быть отрезанными от внутренней сети, позитивы рекомендуют организациям установить обновление.
Positive Technologies нашли уязвимость в межсетевых экранах Cisco Asa, которая способна дестабилизировать доступ удалённых сотрудников к внутренней системе.
Обнаруженная дыра CVE-2021-34704, оцениваемая в 8,6 балла по CVSS, может вызвать на устройстве полный отказ в обслуживании. Она связана с ошибкой переполнения буфера, вызванное неадекватной проверкой входных данных при парсинге HTTPS-запросов.
В зоне риска софт Cisco линеек ASA и FTD — последний может быть скомпрометирован только при условии неправильной настройки AnyConnect или WebVPN.
Эксплойт запускается удаленно и не требует аутентификации. Помимо дестабилизации VPN-средств, уязвимость софта лишает компанию межсетевого экрана. В случае успеха примененного эксплойта, система перезапустится, после чего доступ для удаленных сотрудников будет уже ограничен.
Чтобы не быть отрезанными от внутренней сети, позитивы рекомендуют организациям установить обновление.
У Apple взломали Touchscreen с помощью фото
Специалисты из сферы кибербезопасности презентовали новый способ взлома MacBook Pro на чипе M1.
Для взлома нужно распечатать чёрно-белую фотографию отпечатка на лазерном принтере и ацетатной пленке(полотно из прозрачного пластика).
Картинка получится объемной. Ее покрывают столярным клеем.
Учитывая тенденцию сбора биометрии, можно предположить, что сканеры на смартфонах скоро будут обходить со скоростью размножения кроликов.
Специалисты из сферы кибербезопасности презентовали новый способ взлома MacBook Pro на чипе M1.
Для взлома нужно распечатать чёрно-белую фотографию отпечатка на лазерном принтере и ацетатной пленке(полотно из прозрачного пластика).
Картинка получится объемной. Ее покрывают столярным клеем.
Учитывая тенденцию сбора биометрии, можно предположить, что сканеры на смартфонах скоро будут обходить со скоростью размножения кроликов.
В Microsoft Edge добавили максимально безопасный режим
Microsoft незаметно добавил новый режим в браузер. Теперь веб-сёрфинг стал более безопасным. Для получения доступа к новому функционалу нужно обновиться до версии 96.0.1054.29. После этого появится возможность выбрать разные уровни защищённости.
Новый режим тестировался с августа этого года. Смысл функции — нивелировать Jast-In-Time Compilation в V8. Благодаря этому Microsoft Edge может уменьшить поверхность атаки, что затрудняет эксплуатацию уязвимостей.
Бонусом — активация Intel Control-flow Enforcement Technology (CET) с аппаратной защитой от эксплойтов.
Microsoft незаметно добавил новый режим в браузер. Теперь веб-сёрфинг стал более безопасным. Для получения доступа к новому функционалу нужно обновиться до версии 96.0.1054.29. После этого появится возможность выбрать разные уровни защищённости.
Новый режим тестировался с августа этого года. Смысл функции — нивелировать Jast-In-Time Compilation в V8. Благодаря этому Microsoft Edge может уменьшить поверхность атаки, что затрудняет эксплуатацию уязвимостей.
Бонусом — активация Intel Control-flow Enforcement Technology (CET) с аппаратной защитой от эксплойтов.
Администраторы каталога пакетов Python Package Index (PyPI) обнаружили и удалили 11 Python-библиотек, включающих вредоносный код. До выявления проблемы их успели загрузить около 38 тысяч раз.
Вредоносные пакеты могли устанавливать соединение с внешним сервером под видом подключения к pypi.python.org для предоставления shell-доступа(позволяет соединиться с удалённым сервером, выполнять на нём команды и даже загружать файлы), выявляли в системе токен сервиса Discord и отправляли на внешний хост идентификатор, имя хоста и содержимое /etc/passwd, /etc/hosts, /home.)
Два из одиннадцати пакетов использовали новую технику под названием «несоответствие используемых зависимостей» (dependency confusion). Ее смысл похож на технику обычного тайпсквоттинга, но в dependency confusion малварь из опенсорсных репозиториев (включая PyPI, npm и RubyGems) автоматически распределяется дальше по всей цепочке поставок, проникая во внутренние приложения компаний без какого-либо участия пользователей.
Вредоносные пакеты могли устанавливать соединение с внешним сервером под видом подключения к pypi.python.org для предоставления shell-доступа(позволяет соединиться с удалённым сервером, выполнять на нём команды и даже загружать файлы), выявляли в системе токен сервиса Discord и отправляли на внешний хост идентификатор, имя хоста и содержимое /etc/passwd, /etc/hosts, /home.)
Два из одиннадцати пакетов использовали новую технику под названием «несоответствие используемых зависимостей» (dependency confusion). Ее смысл похож на технику обычного тайпсквоттинга, но в dependency confusion малварь из опенсорсных репозиториев (включая PyPI, npm и RubyGems) автоматически распределяется дальше по всей цепочке поставок, проникая во внутренние приложения компаний без какого-либо участия пользователей.
Вслед за Meta компания Apple подала в суд на израильскую NSO Group, обвинив ее в попытках установить слежку за своими клиентами с помощью шпионского ПО Pegasus. Купертиновцы будут добиваться через суд бессрочного запрета на использование своих технологий израильской компанией.
Apple указала в жалобе, что NSO Group нарушила условия обслуживания компании, поскольку создала более сотни фиктивных Apple-ID в незаконных целях. NSO заносила Pegasus в айфоны с iOS 14.8, отключая логгирование при помощи атаки с нулевым кликом. Жертвы атаки под названием FORCEDENTRY были уведомлены Apple, а уязвимость была исправлена.
Apple хочет привлечь к сотрудничеству организации, которые разрабатывают эксплойты для выявления подобных атак. Купертиновцы планируют выделить на борьбу с хакерским беззаконием 10 млн долларов, а также сумму от выигранного иска к NSO.
Израильская компания находится на грани краха после введённых США санкций за продажу шпионского ПО. Поэтому иск Apple может стать контрольным выстрелом в голову хоть и не главного, но пойманного за руку поставщика антилиберальных вещиц.
Apple указала в жалобе, что NSO Group нарушила условия обслуживания компании, поскольку создала более сотни фиктивных Apple-ID в незаконных целях. NSO заносила Pegasus в айфоны с iOS 14.8, отключая логгирование при помощи атаки с нулевым кликом. Жертвы атаки под названием FORCEDENTRY были уведомлены Apple, а уязвимость была исправлена.
Apple хочет привлечь к сотрудничеству организации, которые разрабатывают эксплойты для выявления подобных атак. Купертиновцы планируют выделить на борьбу с хакерским беззаконием 10 млн долларов, а также сумму от выигранного иска к NSO.
Израильская компания находится на грани краха после введённых США санкций за продажу шпионского ПО. Поэтому иск Apple может стать контрольным выстрелом в голову хоть и не главного, но пойманного за руку поставщика антилиберальных вещиц.
Apple начала предупреждать активистов из разных стран о слежке за ними с помощью шпионского ПО
Сообщения получили активисты из Казахстана, Уганды, Тайваня, Сальвадора.
В нем сказано, что «злоумышленники, спонсируемые государством» могут использовать специальное шпионское ПО для слежки.
Вероятно, речь о Pegasus от NSO Group.
Сообщения получили активисты из Казахстана, Уганды, Тайваня, Сальвадора.
В нем сказано, что «злоумышленники, спонсируемые государством» могут использовать специальное шпионское ПО для слежки.
Вероятно, речь о Pegasus от NSO Group.
VMware выпустили исправления двух ошибок безопасности в vCenter Server и Cloud Foundation. Они могли использоваться для получения удалённого доступа к информации.
Самая серьезная ошибка — CVE-2021-21980, затрагивавшая веб-клиент vSphere. Ее эксплуатация позволяет злоумышленникам прочитать произвольный файл.
Вторая дыра класса SSRF (Server-Side Request Forgery) обнаружена в плагине vSAN веб-клиента. SSRF-уязвимости опасны тем, что позволяют читать и модифицировать внутренние ресурсы. Риски таких атаки попали в ТОП-10 рисков безопасности приложений One Web Application Security Project в 2021 году.
Продукты VMare используются на объектах КИИ. Любые уязвимости в ее решениях могут эксплуатироваться злоумышленниками для нанесения крупного вреда предприятиям, поэтому разработчик рекомендует срочно обновиться.
Самая серьезная ошибка — CVE-2021-21980, затрагивавшая веб-клиент vSphere. Ее эксплуатация позволяет злоумышленникам прочитать произвольный файл.
Вторая дыра класса SSRF (Server-Side Request Forgery) обнаружена в плагине vSAN веб-клиента. SSRF-уязвимости опасны тем, что позволяют читать и модифицировать внутренние ресурсы. Риски таких атаки попали в ТОП-10 рисков безопасности приложений One Web Application Security Project в 2021 году.
Продукты VMare используются на объектах КИИ. Любые уязвимости в ее решениях могут эксплуатироваться злоумышленниками для нанесения крупного вреда предприятиям, поэтому разработчик рекомендует срочно обновиться.
«Ростех» создал самоуничтожающуюся флешку для чиновников
Одна из компаний госкорпорации разработала флешку, с безопасным электродетонатором внутри устройства. Он срабатывает после нажатия кнопки и уничтожает всю информацию на носителе. Источник питания активирует электродетонатор, который прожигает печатную плату кумулятивной струей.
«Ростех» надеется, что потенциальными клиентами будут госведомства и компании, работающие с секретной информацией. Устройства выпустят с любым объемом памяти.
Восстановить информацию после удаления будет невозможно.
Правда, удаление информации осуществляется после нажатия кнопки на самой флешке. При этом про физическую кражу флешки в «Ростехе» ничего не сказали. Какая польза от устройства, если оно будет украдено — непонятно.
Одна из компаний госкорпорации разработала флешку, с безопасным электродетонатором внутри устройства. Он срабатывает после нажатия кнопки и уничтожает всю информацию на носителе. Источник питания активирует электродетонатор, который прожигает печатную плату кумулятивной струей.
«Ростех» надеется, что потенциальными клиентами будут госведомства и компании, работающие с секретной информацией. Устройства выпустят с любым объемом памяти.
Восстановить информацию после удаления будет невозможно.
Правда, удаление информации осуществляется после нажатия кнопки на самой флешке. При этом про физическую кражу флешки в «Ростехе» ничего не сказали. Какая польза от устройства, если оно будет украдено — непонятно.
Эксперты Check Point Research нашли несколько уязвимостей в SoC MediaTek. Обнаруженные дыры могут подвергнуть смартфоны прослушиванию, а также скрывать вредоносный код. Эксперимент проводился на Android-смартфоне.
Обнаружить угрозу прослушки удалось при обратном инжиниринге цифрового сигнального процессора (DSP), для которого был взят смартфон Xiaomi Redmi Note 9 5G с рут-правами на чипсете Dimensity 800U.
Первая проблема была обнаружена в безопасности Android Aurisys HAL. Android-приложение может повышать локальные привелегии, задавая созданное значение параметра в API AudioManager. Таким образом при отладке был скомпрометирован Android Aurisys HAL (CVE-2021-0673).
Эта и ещё две дыры — CVE-2021-0661, CVE-2021-0662 также затрагивают звуковой DSP. Они могут выполнять и скрывать в чипе вредоносный код.
В зоне риска — мобильные устройства бюджетного и среднего класса, работающие на Android версий 9.0, 10.0 и 11.0.
Обнаружить угрозу прослушки удалось при обратном инжиниринге цифрового сигнального процессора (DSP), для которого был взят смартфон Xiaomi Redmi Note 9 5G с рут-правами на чипсете Dimensity 800U.
Первая проблема была обнаружена в безопасности Android Aurisys HAL. Android-приложение может повышать локальные привелегии, задавая созданное значение параметра в API AudioManager. Таким образом при отладке был скомпрометирован Android Aurisys HAL (CVE-2021-0673).
Эта и ещё две дыры — CVE-2021-0661, CVE-2021-0662 также затрагивают звуковой DSP. Они могут выполнять и скрывать в чипе вредоносный код.
В зоне риска — мобильные устройства бюджетного и среднего класса, работающие на Android версий 9.0, 10.0 и 11.0.
Китайские госкомпании отказались от WeChat
На этой неделе топы как минимум девяти госкомпаний Китая запретили сотрудникам пользоваться приложением WeChat в служебных целях. Основной причиной требования стала конфиденциальная информация в чат-группах, поэтому из соображения безопасности было принято решение удалить их.
China Mobile, China Construction Bank, China National Petroleum и ещё шесть компаний решили больше не использовать WeChat от Tencent для рабочих переписок. Причём ни одна из госушных фирм никогда не заявляла о проблемах с безопасностью в приложении. Этот шаг связан с тем, что Пекин уже на протяжении года закручивает гайки интернет-гигантам, включая Tencent, самую дорогую компанию Китая, в частности, из-за ее методов сбора данных.
Кроме того, министерство промышленности и информационных технологий Китая распорядилось, чтобы магазины приложений не пропускали проекты Tencent до получения одобрений от правительства перед обновлением или запуском их новых приложений.
Возможности WeChat не ограничиваются перепиской, в нем так же можно публиковать обновления в ленте, оплачивать коммунальные счета, вызывать такси и записываться к врачу. Пекин обеспокоен мощью своих доморощенных интернет-гигантов, которые затрагивают многие аспекты жизни в Китае, собирая огромные объемы данных о своих пользователях. Все это бросает вызов желанию Коммунистической партии поджать техгигантов под себя.
На этой неделе топы как минимум девяти госкомпаний Китая запретили сотрудникам пользоваться приложением WeChat в служебных целях. Основной причиной требования стала конфиденциальная информация в чат-группах, поэтому из соображения безопасности было принято решение удалить их.
China Mobile, China Construction Bank, China National Petroleum и ещё шесть компаний решили больше не использовать WeChat от Tencent для рабочих переписок. Причём ни одна из госушных фирм никогда не заявляла о проблемах с безопасностью в приложении. Этот шаг связан с тем, что Пекин уже на протяжении года закручивает гайки интернет-гигантам, включая Tencent, самую дорогую компанию Китая, в частности, из-за ее методов сбора данных.
Кроме того, министерство промышленности и информационных технологий Китая распорядилось, чтобы магазины приложений не пропускали проекты Tencent до получения одобрений от правительства перед обновлением или запуском их новых приложений.
Возможности WeChat не ограничиваются перепиской, в нем так же можно публиковать обновления в ленте, оплачивать коммунальные счета, вызывать такси и записываться к врачу. Пекин обеспокоен мощью своих доморощенных интернет-гигантов, которые затрагивают многие аспекты жизни в Китае, собирая огромные объемы данных о своих пользователях. Все это бросает вызов желанию Коммунистической партии поджать техгигантов под себя.
Positive Technologies запустят аналог HackerOne
Компания планирует создать сервис по поиску «белых» хакеров. По замыслу он станет посредником между компаниями, которые хотят проверить свои информационные системы на уязвимости и пентестерами.
С одной стороны, потребность в сервисе есть, и Positive Technologies могут вовремя занять эту нишу, пока всеми любимый монополист «Яндекс» не создал свой агрегатор.
С другой стороны, реальность такова, что у многих российских компаний нет денег в бюджете на услуги пентестеров.
Тем не менее, вспоминаются такие интересные явления как «суверенный рунет», импортозамещение, санкции, запустившие в России ускоренный процесс цифровизаци и штамповки новых законов в цифровой сфере от Госдумы. Эти тренды в отечественной индустрии наталкивают на мысль, что если все своё, то и платформа для поиска баг хантеров в скором времени понадобится своя. И в этом контексте Positive Technologies оказались очень дальновидными. Если на верхушке выбрали «китайский путь», то проект выстрелит, несмотря на скептические мнения экспертов.
Сейчас bug bounty активно используют зарубежные компании. У техногигантов, таких как Google, Apple, Microsoft этих программ больше десятка. Однозначно, нужно развивать эту культуру и в России.
Гораздо выгоднее выделить бюджет на пентестера или проводить свою bug bounty, чем после кибератаки на компанию выплачивать суммы в десятки раз больше для устранения ущерба.
Компания планирует создать сервис по поиску «белых» хакеров. По замыслу он станет посредником между компаниями, которые хотят проверить свои информационные системы на уязвимости и пентестерами.
С одной стороны, потребность в сервисе есть, и Positive Technologies могут вовремя занять эту нишу, пока всеми любимый монополист «Яндекс» не создал свой агрегатор.
С другой стороны, реальность такова, что у многих российских компаний нет денег в бюджете на услуги пентестеров.
Тем не менее, вспоминаются такие интересные явления как «суверенный рунет», импортозамещение, санкции, запустившие в России ускоренный процесс цифровизаци и штамповки новых законов в цифровой сфере от Госдумы. Эти тренды в отечественной индустрии наталкивают на мысль, что если все своё, то и платформа для поиска баг хантеров в скором времени понадобится своя. И в этом контексте Positive Technologies оказались очень дальновидными. Если на верхушке выбрали «китайский путь», то проект выстрелит, несмотря на скептические мнения экспертов.
Сейчас bug bounty активно используют зарубежные компании. У техногигантов, таких как Google, Apple, Microsoft этих программ больше десятка. Однозначно, нужно развивать эту культуру и в России.
Гораздо выгоднее выделить бюджет на пентестера или проводить свою bug bounty, чем после кибератаки на компанию выплачивать суммы в десятки раз больше для устранения ущерба.
В Пскове админ телеграм-канала опубликовал «код вредоносной программы». Теперь его обвиняют в распространении вредоносного ПО и сговоре с неустановленным лицом, которое предоставило ему доступ к ПО.
TJ
В Псковской области будут судить администратора телеграм-канала, опубликовавшего «код вредоносной программы» — Новости на TJ
Ему грозит до пяти лет тюрьмы.
Южнокорейские ИБ-компании стали жертвами фишинга
Поддерживаемые правительством северокорейские хакеры выдавали себя за рекрутеров Samsung и рассылали фейковые вакансии южнокорейским компаниям, торгующим антивирусными программами. О том, как ИБ-специалисты попались на крючок фишеров, Google Threat Analysis Group (TAG) поделилась в свежем отчёте Threat Horizons.
В электронных письмах был PDF-файл, якобы содержащий описание должности в Samsung. Социальная инженерия была продумана так, что получателю не удавалось открыть файл без помощи злоумышленников, так как он был искажён и не открывался стандартным софтом. Когда ИБ-сотрудники сообщали о проблеме, фейковые рекрутеры предлагали воспользоваться своим софтом «Secure PDF Reader» и предоставляли на него ссылку.
Дальше все без заморочек — софт оказался модифицированной версией PDFTron со встроенным бэкдором.
TAG связывает этих киберпреступников с организаторами целой серии кибератак на ИБ-сектор. Тогда хакеры окотились на RoC-коды с помощью соцсетей. Эксперты считают, что преступники нацелены получить информацию об уязвимостях в популярных ПО.
Поддерживаемые правительством северокорейские хакеры выдавали себя за рекрутеров Samsung и рассылали фейковые вакансии южнокорейским компаниям, торгующим антивирусными программами. О том, как ИБ-специалисты попались на крючок фишеров, Google Threat Analysis Group (TAG) поделилась в свежем отчёте Threat Horizons.
В электронных письмах был PDF-файл, якобы содержащий описание должности в Samsung. Социальная инженерия была продумана так, что получателю не удавалось открыть файл без помощи злоумышленников, так как он был искажён и не открывался стандартным софтом. Когда ИБ-сотрудники сообщали о проблеме, фейковые рекрутеры предлагали воспользоваться своим софтом «Secure PDF Reader» и предоставляли на него ссылку.
Дальше все без заморочек — софт оказался модифицированной версией PDFTron со встроенным бэкдором.
TAG связывает этих киберпреступников с организаторами целой серии кибератак на ИБ-сектор. Тогда хакеры окотились на RoC-коды с помощью соцсетей. Эксперты считают, что преступники нацелены получить информацию об уязвимостях в популярных ПО.
ИБ-эксперт Microsoft, которого обделили премией, решил отомстить.
На днях ислледователь безопасности Абдельхамид Насери, опубликовал эксплойт для новой уязвимости нулевого дня, которая может использоваться для локального повышения привилегий во всех поддерживаемых версиях Windows, в том числе Windows 10, Windows 11, Windows Server 2022.
В ноябре 2021 года Microsoft выпустила исправление уязвимости под идентификатором CVE-2021-41379, ранее выявленной Насери, которая повышала привилегии, используя установщик Винды. После просмотра исправлений в патче, ИБ-эксперт нашел способ его обхода и еще более серьезную уязвимость нулевого дня, появившуюся из-за некорректного исправления. Поскольку новая уязвимость была серьёзнее, на GitHub попала именно она.
Как же это все работает? Возьмем обычную учетную запись с правами уровня Standard, без каких-либо привилегий администратора, ведь в ней нельзя управлять установщиком Windows. Загружаем в систему скомпилированный файл InstallerFileTakeOver.exe из репозитория Насери и запускаем из-под нашей учетной записи с привилегиями Standard. Всего за несколько секунд привилегии аккаунта повышаются до SYSTEM. Вот так все просто и легко.
Пытаться что-то исправить своими руками не стоит, ведь любая попытка исправить двоичный файл установщика напрямую приведет к поломке системы. Единственный выход из положения — это ожидание официального патча от Microsoft, который, вероятно, выйдет с новыми брешами и ошибками.
На днях ислледователь безопасности Абдельхамид Насери, опубликовал эксплойт для новой уязвимости нулевого дня, которая может использоваться для локального повышения привилегий во всех поддерживаемых версиях Windows, в том числе Windows 10, Windows 11, Windows Server 2022.
В ноябре 2021 года Microsoft выпустила исправление уязвимости под идентификатором CVE-2021-41379, ранее выявленной Насери, которая повышала привилегии, используя установщик Винды. После просмотра исправлений в патче, ИБ-эксперт нашел способ его обхода и еще более серьезную уязвимость нулевого дня, появившуюся из-за некорректного исправления. Поскольку новая уязвимость была серьёзнее, на GitHub попала именно она.
Как же это все работает? Возьмем обычную учетную запись с правами уровня Standard, без каких-либо привилегий администратора, ведь в ней нельзя управлять установщиком Windows. Загружаем в систему скомпилированный файл InstallerFileTakeOver.exe из репозитория Насери и запускаем из-под нашей учетной записи с привилегиями Standard. Всего за несколько секунд привилегии аккаунта повышаются до SYSTEM. Вот так все просто и легко.
Пытаться что-то исправить своими руками не стоит, ведь любая попытка исправить двоичный файл установщика напрямую приведет к поломке системы. Единственный выход из положения — это ожидание официального патча от Microsoft, который, вероятно, выйдет с новыми брешами и ошибками.
Кибервойны долгое время находились в тени и не вызывали интереса, пока в 2020 мир массово не ушёл в онлайн. Атаки на цепочки поставок, кража и шифровка данных , приводящая к коллапсу и первая смерть от атаки хакеров стали проблемами, волнующими не только ИБ-специалистов и спецподразделения, но и обычных людей.
К слову, не всегда хакерские атаки исходят от частных группировок, цель которых — получить прибыль. Часто их совершают так называемые APT — хакерские группировки, работающие на государство. Не секрет, что такие есть у Китая, США и России.
Сейчас, когда Путин и Байден подписывают соглашение о сотрудничестве в ИБ, США по-прежнему обвиняют «русских хакеров» в атаках, а сообщество обсуждает, чья стратегия в кибервойне лучше, наблюдать за происходящим в мире становится интереснее. Обстановка в мировом кибербезе перед Новым годом накалена.
Как думаете, кто победит в кибервойне?
К слову, не всегда хакерские атаки исходят от частных группировок, цель которых — получить прибыль. Часто их совершают так называемые APT — хакерские группировки, работающие на государство. Не секрет, что такие есть у Китая, США и России.
Сейчас, когда Путин и Байден подписывают соглашение о сотрудничестве в ИБ, США по-прежнему обвиняют «русских хакеров» в атаках, а сообщество обсуждает, чья стратегия в кибервойне лучше, наблюдать за происходящим в мире становится интереснее. Обстановка в мировом кибербезе перед Новым годом накалена.
Как думаете, кто победит в кибервойне?
Удивительные вещи происходят в Австралии. Власти там хотят принудить IT-компании раскрывать личные данные интернет-троллей.
Троллинг, буллинг и негативные комментарии в социальных сетях стали серьезной проблемой. Особенно для молодого поколения, которое обижается буквально на все.
Австралийцы смогут обратиться в суд, а Twitter, Facebook и другие по решению суда будут раскрывать личность «анонимного» комментатора.
Теперь хоть где-то кроме Чечни люди будут нести ответственность за слова.
Троллинг, буллинг и негативные комментарии в социальных сетях стали серьезной проблемой. Особенно для молодого поколения, которое обижается буквально на все.
Австралийцы смогут обратиться в суд, а Twitter, Facebook и другие по решению суда будут раскрывать личность «анонимного» комментатора.
Теперь хоть где-то кроме Чечни люди будут нести ответственность за слова.