О наболевшем
Проблемы в настройках роутеров в очередной раз стали зелёным светом для злоумышленников.
Специалисты обнаружили новый ботнет из 13 тысяч маршрутизаторов MikroTik. Сеть, у которой находят российские корни, использует дефекты DNS SPF для обхода защиты и распространения вредоносного ПО.
Известные рассылки от имени DHL Express содержали фейковые счета на оплату во вложенных ZIP-архивах. Они содержали JavaScript, запускающий PowerShell для соединения с С2-сервером хакеров. Этот штрих, кстати, очень похож на другой ботнет Goldoon, о котором мы писали ещё в мае.
В ходе исследования стало известно, что в настройках SPF-записей для 20 тысяч доменов был выставлен параметр «+all». Эта опция позволяет любому серверу без каких-либо проблем отправлять письма от имени домена. Заражённые маршрутизаторы же использовались в качестве SOCKS4-прокси. Их также привленкали для DDoS-атак и маскировки трафика.
Как именно заражали сами маршрутизаторы исследователи, очевидно, не рассказали☹️
НеКасперский
Проблемы в настройках роутеров в очередной раз стали зелёным светом для злоумышленников.
Специалисты обнаружили новый ботнет из 13 тысяч маршрутизаторов MikroTik. Сеть, у которой находят российские корни, использует дефекты DNS SPF для обхода защиты и распространения вредоносного ПО.
Известные рассылки от имени DHL Express содержали фейковые счета на оплату во вложенных ZIP-архивах. Они содержали JavaScript, запускающий PowerShell для соединения с С2-сервером хакеров. Этот штрих, кстати, очень похож на другой ботнет Goldoon, о котором мы писали ещё в мае.
В ходе исследования стало известно, что в настройках SPF-записей для 20 тысяч доменов был выставлен параметр «+all». Эта опция позволяет любому серверу без каких-либо проблем отправлять письма от имени домена. Заражённые маршрутизаторы же использовались в качестве SOCKS4-прокси. Их также привленкали для DDoS-атак и маскировки трафика.
Как именно заражали сами маршрутизаторы исследователи, очевидно, не рассказали☹️
НеКасперский
🗿9👍4🔥3🤬2❤1👎1
Глазок
Искусственный интеллект будет мониторить содержимое приватных чатов в Telegram.
В России при поддержке Национальной технологической инициативы был создан ИИ-модуль Apparatus Sapiens для изучения и анализа контента в мессенджере. Его цель заключается в том, чтобы выявлять незаконную деятельность мошенников.
Инструмент призван с высокой скоростью собирать подозрительные сведения из 22 миллионов открытых и закрытых чатов, а также групп и публичных сообществ. ИИ способен установить данные 58 миллионов юзеров, чьи аккаунты привязаны к номеру телефона.
По словам разработчиков, после прогона сообщения через деанонимайзер Apparatus Sapiens может получить доступ к контактам, сведениям о соединении и геолокации пользователя. В случае, если система не предоставит точные идентификаторы, у аналитиков будет возможность выгрузить и самостоятельно просмотреть все сообщения, историю изменений никнейма и фото.
После мониторинга полученная информация о подозрительных пользователях будет передана в правоохранительные органы в ходе действующих соглашений о сотрудничестве.
Кто знает, может они уже добрались и до этого чата 🤔
НеКасперский
Искусственный интеллект будет мониторить содержимое приватных чатов в Telegram.
В России при поддержке Национальной технологической инициативы был создан ИИ-модуль Apparatus Sapiens для изучения и анализа контента в мессенджере. Его цель заключается в том, чтобы выявлять незаконную деятельность мошенников.
Инструмент призван с высокой скоростью собирать подозрительные сведения из 22 миллионов открытых и закрытых чатов, а также групп и публичных сообществ. ИИ способен установить данные 58 миллионов юзеров, чьи аккаунты привязаны к номеру телефона.
По словам разработчиков, после прогона сообщения через деанонимайзер Apparatus Sapiens может получить доступ к контактам, сведениям о соединении и геолокации пользователя. В случае, если система не предоставит точные идентификаторы, у аналитиков будет возможность выгрузить и самостоятельно просмотреть все сообщения, историю изменений никнейма и фото.
После мониторинга полученная информация о подозрительных пользователях будет передана в правоохранительные органы в ходе действующих соглашений о сотрудничестве.
Кто знает, может они уже добрались и до этого чата 🤔
НеКасперский
👎20💩12👍8❤4😁4😱4🔥1🤡1🫡1🗿1
Разгневали
Власти США пошли на крайние меры. Они объявили о введении санкций против гражданина Китая Инь Кэчэня и компании Sichuan Juxinhe Network Technology, причастной к деятельности группировки Salt Typhoon.
Парня связывают с китайским Министерством государственной безопасности и обвиняют в атаке на американский Минфин. По данным ведомства, Инь Кэчэн проник в электронные системы и получил доступ к компьютерам чиновников, в том числе министра Джанет Йеллен.
А представители Джуксинх нетворк технолоджиз и участники группировки Солёный тайфун с 2018 года совершили множество нападений, направленных на компании США, оказывающие телекоммуникационные и интернет-услуги.
НеКасперский
Власти США пошли на крайние меры. Они объявили о введении санкций против гражданина Китая Инь Кэчэня и компании Sichuan Juxinhe Network Technology, причастной к деятельности группировки Salt Typhoon.
Парня связывают с китайским Министерством государственной безопасности и обвиняют в атаке на американский Минфин. По данным ведомства, Инь Кэчэн проник в электронные системы и получил доступ к компьютерам чиновников, в том числе министра Джанет Йеллен.
А представители Джуксинх нетворк технолоджиз и участники группировки Солёный тайфун с 2018 года совершили множество нападений, направленных на компании США, оказывающие телекоммуникационные и интернет-услуги.
НеКасперский
😁12👍4🫡3🔥1🗿1
Тилибом
После Росреестра и филиала KIA проукраинские хакеры из Silent Crow заявляют о компрометации сети Ростелекома и выкладывают в открытый доступ как доказательство набор архивов.
Среди них — базы данных zakupki.rostelecom.ru и rt.ru, письма акционеров, номера телефонов, адреса и запросы в техническую поддержку. В названиях архивов, которые ещё не попали в сеть виднеются намёки на исходный код и данные сотрудников.
Между тем Ростелеком подтвердил утечку, но сказали, что она произошла у подрядчика, обслуживавшего эти ресурсы. Заявили, что никаких особо секретных сведений не ушло, но уже предприняты меры и всем настоятельно советуют обновить пароли и включить двухфакторку.
Silent Crow говорят, служба безопасности ловила их четыре раза, и всё же они успели вынести солидный объём данных.
НеКасперский
После Росреестра и филиала KIA проукраинские хакеры из Silent Crow заявляют о компрометации сети Ростелекома и выкладывают в открытый доступ как доказательство набор архивов.
Среди них — базы данных zakupki.rostelecom.ru и rt.ru, письма акционеров, номера телефонов, адреса и запросы в техническую поддержку. В названиях архивов, которые ещё не попали в сеть виднеются намёки на исходный код и данные сотрудников.
Между тем Ростелеком подтвердил утечку, но сказали, что она произошла у подрядчика, обслуживавшего эти ресурсы. Заявили, что никаких особо секретных сведений не ушло, но уже предприняты меры и всем настоятельно советуют обновить пароли и включить двухфакторку.
Silent Crow говорят, служба безопасности ловила их четыре раза, и всё же они успели вынести солидный объём данных.
НеКасперский
🤬17🗿9👍7😁3❤1
Мамина гордость
Семнадцатилетний подросток скомпрометировал ПДн более 19 миллионов пользователей.
Мамкин предприниматель совершил атаку на французскую телекоммуникационную компанию Iliad и получил доступ к базе данных, в составе которой свыше 5 млн номеров банковского счёта или IBAN. Информация была украдена у 84% всех клиентов пострадавшей организации.
В результате расследования было установлено, что сведения извлекались за период с 8 по 21 октября 2024 года. После нападения горе-бизнесмен попытался связаться с Iliad через Telegram и потребовал у них выкуп в размере €10 миллионов.
Только вот схема сработала не так, как было запланировано изначально. Преступник признался, что в конечном итоге не смог договорится и продал базу за €10 тысяч.
Подозреваемый был задержан в январе 2025 года. В этом органам оказал содействие Telegram, предоставивший суду необходимые данные о личности подростка. Да, мессенджер частенько так делает.
Наверняка в его голове это выглядело круче…
НеКасперский
Семнадцатилетний подросток скомпрометировал ПДн более 19 миллионов пользователей.
Мамкин предприниматель совершил атаку на французскую телекоммуникационную компанию Iliad и получил доступ к базе данных, в составе которой свыше 5 млн номеров банковского счёта или IBAN. Информация была украдена у 84% всех клиентов пострадавшей организации.
В результате расследования было установлено, что сведения извлекались за период с 8 по 21 октября 2024 года. После нападения горе-бизнесмен попытался связаться с Iliad через Telegram и потребовал у них выкуп в размере €10 миллионов.
Только вот схема сработала не так, как было запланировано изначально. Преступник признался, что в конечном итоге не смог договорится и продал базу за €10 тысяч.
Подозреваемый был задержан в январе 2025 года. В этом органам оказал содействие Telegram, предоставивший суду необходимые данные о личности подростка. Да, мессенджер частенько так делает.
Наверняка в его голове это выглядело круче…
НеКасперский
🗿29👍4🔥3😁3
Доброе утро
Тысячи пассажиров московских вокзалов заполнили перроны.
Сегодня более чем на час РЖД задержало выезд и прибытие поездов на все Московские вокзалы. Ранее вечером столичные паблики начали публиковать информацию о задержке пригородных электричек вроде Ласточек и МЦД.
Нам в транспортной компании ответили, что причиной задержки всех поездов является сбой систем на некой центральной диспетчерской станции.
У компании сбои происходят так редко, что приходится думать только о хакерской атаке, но ни одна из отслеживаемых нами группировок не взяла на себя ответственность за инцидент.
Пользователи также жаловались и на невозможность купить билеты. Это подтверждает график сервиса мониторинга сбоев.
Уведомление о задержке РЖД прислали уже после отправления поезда 🙂
НеКасперский
Тысячи пассажиров московских вокзалов заполнили перроны.
Сегодня более чем на час РЖД задержало выезд и прибытие поездов на все Московские вокзалы. Ранее вечером столичные паблики начали публиковать информацию о задержке пригородных электричек вроде Ласточек и МЦД.
Нам в транспортной компании ответили, что причиной задержки всех поездов является сбой систем на некой центральной диспетчерской станции.
У компании сбои происходят так редко, что приходится думать только о хакерской атаке, но ни одна из отслеживаемых нами группировок не взяла на себя ответственность за инцидент.
Пользователи также жаловались и на невозможность купить билеты. Это подтверждает график сервиса мониторинга сбоев.
Уведомление о задержке РЖД прислали уже после отправления поезда 🙂
НеКасперский
🫡14🗿6👍4😁2
Кристально
После игры на популярном пиратском Minecraft-сервере Cristalix у пользователей внезапно завёлся майнер.
Похоже, разработчик одного из
режимов игры добавил вредонос в лаунчер, который при входе на ивенты или аркады тайно проникал в систему жертвы.
Речь идёт о зловреде Kaizerfrukt, который не только майнит Monero, но и ворует токены Discord и Telegram, прописывая при этом специальный класс из лаунчера в реестр, чтобы оживать при каждом запуске Windows. На Linux же он маскируется в системных сервисах
Разработчики уверяют, что уже прикрыли дыру и автоматически сносят вирус, когда пользователь снова заходит на сервер.
Уже на святое позарились 🥹
НеКасперский
После игры на популярном пиратском Minecraft-сервере Cristalix у пользователей внезапно завёлся майнер.
Похоже, разработчик одного из
режимов игры добавил вредонос в лаунчер, который при входе на ивенты или аркады тайно проникал в систему жертвы.
Речь идёт о зловреде Kaizerfrukt, который не только майнит Monero, но и ворует токены Discord и Telegram, прописывая при этом специальный класс из лаунчера в реестр, чтобы оживать при каждом запуске Windows. На Linux же он маскируется в системных сервисах
pulseaudio и pipewire. Авторы вредоноса спрятали файлы client.jar и Main.class в папке AppData\Local\Common и добавили ключ javaw.lnk в реестр для автозапуска.Разработчики уверяют, что уже прикрыли дыру и автоматически сносят вирус, когда пользователь снова заходит на сервер.
Уже на святое позарились 🥹
НеКасперский
🤬22😁9👍3🗿1
Под наблюдением
Viber обязали сливать личные данные и переписки пользователей.
Несмотря на то, что мессенджер был заблокирован в декабре 2024 года, Роскомнадзор внёс мессенджер в реестр организаторов распространения информации.
Теперь сервис должен будет предоставлять необходимую информацию по запросу государственных органов. Силовые структуры смогут получать эти сведения при помощи спецоборудования, которое ОРИ будут устанавливать за собственные средства.
Подобные случаи уже встречались, в этот же реестр попали WhatsApp и Skype. При этом никто не гарантирует, что приложения, следующие режиму санкций, станут выполнять требования ФСБ. В противном случае они будут должны выплатить штрафы до 6 миллионов рублей.
Ранее мы рассказывали о том, что РКН хочет контролировать всех, кто пытается зайти на заблокированные в РФ ресурсы. По всей видимости, планы по надзору распространяются не только на пользователей.
НеКасперский
Viber обязали сливать личные данные и переписки пользователей.
Несмотря на то, что мессенджер был заблокирован в декабре 2024 года, Роскомнадзор внёс мессенджер в реестр организаторов распространения информации.
Теперь сервис должен будет предоставлять необходимую информацию по запросу государственных органов. Силовые структуры смогут получать эти сведения при помощи спецоборудования, которое ОРИ будут устанавливать за собственные средства.
Подобные случаи уже встречались, в этот же реестр попали WhatsApp и Skype. При этом никто не гарантирует, что приложения, следующие режиму санкций, станут выполнять требования ФСБ. В противном случае они будут должны выплатить штрафы до 6 миллионов рублей.
Ранее мы рассказывали о том, что РКН хочет контролировать всех, кто пытается зайти на заблокированные в РФ ресурсы. По всей видимости, планы по надзору распространяются не только на пользователей.
НеКасперский
🤡25🔥4❤2👍1😁1🤔1🗿1
Лапша
На сегодняшний день шпионскими программами пользуется около 100 стран мира.
Об этом заявили представители Национального центра контрразведки и безопасности США. По их словам, самым популярным для этих целей является именно злосчастный Pegasus от израильской NSO Group.
При этом их услугами пользуются не только власти, но и обычные граждане. Происходит это в связи с тем что популярность шпионского софта с каждым годом увеличивается, так как аналогичные ПО модернизируются и становятся более доступными.
Большинство программ работают по принципу «plug and play». Это даёт возможность быстро управлять подключёнными устройствами без сложной настройки и знаний в области IT.
В США Pegasus, использовавшийся там для незаконного наблюдения за политиками, журналистиками и дипломатами, был внесён в чёрный список в 2021 году. Несмотря на это, представители NSO Group настаивают на возможности предотвращать преступления с помощью этого ПО. Они утверждают, что программа прекращает работу с пользователями, которые злоупотребляют её функциями.
Прекращают, ну-ну)
НеКасперский
На сегодняшний день шпионскими программами пользуется около 100 стран мира.
Об этом заявили представители Национального центра контрразведки и безопасности США. По их словам, самым популярным для этих целей является именно злосчастный Pegasus от израильской NSO Group.
При этом их услугами пользуются не только власти, но и обычные граждане. Происходит это в связи с тем что популярность шпионского софта с каждым годом увеличивается, так как аналогичные ПО модернизируются и становятся более доступными.
Большинство программ работают по принципу «plug and play». Это даёт возможность быстро управлять подключёнными устройствами без сложной настройки и знаний в области IT.
В США Pegasus, использовавшийся там для незаконного наблюдения за политиками, журналистиками и дипломатами, был внесён в чёрный список в 2021 году. Несмотря на это, представители NSO Group настаивают на возможности предотвращать преступления с помощью этого ПО. Они утверждают, что программа прекращает работу с пользователями, которые злоупотребляют её функциями.
Прекращают, ну-ну)
НеКасперский
🔥11😁9👍3❤1🤬1
С другой планеты
Еропол намерен бороться за сотрудничество крупных компаний с правоохранительными органами.
Инициатором этой идеи выступает глава агентства Катрин Де Болле, настроенная договориться об этом с технологическими организациями на Всемирном экономическом форуме в Давосе.
По её мнению, на плечах представителей компаний лежит большая социальная ответственность. Они обязаны помогать полиции и предоставлять ей доступ к зашифрованной информации преступников, скрывающих свою личность.
Только вот эксперты по цифровым правам с этим суждением не согласны. Они считают, что анонимность является фундаментальным компонентом права на свободу выражения мнений.
Специалисты предупреждают, что «чёрный ход» в системах шифрования может стать новым поводом для атак и причиной серьёзных последствий.
РКН давным-давно последовал мыслям Катрин, но договариваться ни с кем ему не пришлось 😉
НеКасперский
Еропол намерен бороться за сотрудничество крупных компаний с правоохранительными органами.
Инициатором этой идеи выступает глава агентства Катрин Де Болле, настроенная договориться об этом с технологическими организациями на Всемирном экономическом форуме в Давосе.
По её мнению, на плечах представителей компаний лежит большая социальная ответственность. Они обязаны помогать полиции и предоставлять ей доступ к зашифрованной информации преступников, скрывающих свою личность.
Только вот эксперты по цифровым правам с этим суждением не согласны. Они считают, что анонимность является фундаментальным компонентом права на свободу выражения мнений.
Специалисты предупреждают, что «чёрный ход» в системах шифрования может стать новым поводом для атак и причиной серьёзных последствий.
РКН давным-давно последовал мыслям Катрин, но договариваться ни с кем ему не пришлось 😉
НеКасперский
🔥12🤬4😁3🗿2👍1
Media is too big
VIEW IN TELEGRAM
Японец подкачал
Брешь в Subaru STARLINK позволяла злоумышленникам перехватывать управление и следить за водителями.
Независимый исследователь обнаружил уязвимость на портале Subaru. Он одолжил автомобиль у матери, чтобы вместе с коллегой проверить безопасность системы. В ходе эксперимента им удалось взломать модель Impreza 2023 года.
Специалисты нашли данные одного из разработчиков Subaru через LinkedIn, проникли в его учётную запись, получили доступ к управлению машиной, а также к журналу её перемещений за год. Среди привилегий возможность удалённо разблокировать двери, запускать двигатель и мониторить историю звонков.
Экспертам удалось ознакомиться и с личной информацией водителей, которая включает в себя ФИО, номер телефона, адрес, VIN-код, историю платежей и контакты. Проблема коснулась моделей Impreza, Forester, Outback и др.
Злоумышленники не успели воспользоваться ситуацией, поэтому никто не пострадал, чего не скажешь о клиентах KIA и Mazda.
НеКасперский
Брешь в Subaru STARLINK позволяла злоумышленникам перехватывать управление и следить за водителями.
Независимый исследователь обнаружил уязвимость на портале Subaru. Он одолжил автомобиль у матери, чтобы вместе с коллегой проверить безопасность системы. В ходе эксперимента им удалось взломать модель Impreza 2023 года.
Специалисты нашли данные одного из разработчиков Subaru через LinkedIn, проникли в его учётную запись, получили доступ к управлению машиной, а также к журналу её перемещений за год. Среди привилегий возможность удалённо разблокировать двери, запускать двигатель и мониторить историю звонков.
Экспертам удалось ознакомиться и с личной информацией водителей, которая включает в себя ФИО, номер телефона, адрес, VIN-код, историю платежей и контакты. Проблема коснулась моделей Impreza, Forester, Outback и др.
Злоумышленники не успели воспользоваться ситуацией, поэтому никто не пострадал, чего не скажешь о клиентах KIA и Mazda.
НеКасперский
😁15👍6🔥4🤔3🗿3❤2😱2🤬1
This media is not supported in your browser
VIEW IN TELEGRAM
Ну это пятёрка
Школьник нашёл брешь, угрожающую миллиардам людей по всему миру.
Парень под ником hackermondev обнаружил уязвимость в Cloudflare, позволяющую злоумышленникам отследить геолокацию пользователей X, Signal и запрещённого в РФ Discord.
Система доставки контента CDN, эксплуатирующая распределённую сеть серверов для быстрой загрузки данных, сохраняет кеш на ближайших к пользователям серверах. Школьник заметил, что Cloudflare располагается в 330 городах мира.
Он отправлял юзерам изображение, перехватывал URL файла с помощью Burp Suite и запускал собственный инструмент Cloudflare teleport, отправляющий запросы во все центры обработки данных компании, чтобы узнать, куда был направлен кэш.
Такой метод позволил определить рядом с каким дата-центром находится потенциальная жертва. Причём пользователю даже не обязательно открывать полученное сообщение, хватит и push-уведомления.
Cloudflare знали о проблеме, но устранить решили только тогда, когда на это указал школьник.
НеКасперский
Школьник нашёл брешь, угрожающую миллиардам людей по всему миру.
Парень под ником hackermondev обнаружил уязвимость в Cloudflare, позволяющую злоумышленникам отследить геолокацию пользователей X, Signal и запрещённого в РФ Discord.
Система доставки контента CDN, эксплуатирующая распределённую сеть серверов для быстрой загрузки данных, сохраняет кеш на ближайших к пользователям серверах. Школьник заметил, что Cloudflare располагается в 330 городах мира.
Он отправлял юзерам изображение, перехватывал URL файла с помощью Burp Suite и запускал собственный инструмент Cloudflare teleport, отправляющий запросы во все центры обработки данных компании, чтобы узнать, куда был направлен кэш.
Такой метод позволил определить рядом с каким дата-центром находится потенциальная жертва. Причём пользователю даже не обязательно открывать полученное сообщение, хватит и push-уведомления.
Cloudflare знали о проблеме, но устранить решили только тогда, когда на это указал школьник.
НеКасперский
👍35🔥17😁9🤡3❤2🤬1🗿1
Виновны
Пророссийские украинские хакеры из Берегини вновь взломали компьютеры сотрудников ТЦК Одесской области, наживающихся на чужом горе.
Участники группировки слили информацию о структуре и штатной численности по военкоматам, а также начали публиковать личные данные «героев» на своём сайте. В числе скомпрометированных сведений:
• ФИО
• Возраст
• Номер телефона
• Адрес
• Место рождения
• Водительское удостоверение
• Частичные паспортные данные
• Должность
• Ссылки на соцсети
По словам Берегини, начальник отдела персонала одесского областного ТЦК вместе со своими подчинёнными использовал мобильные телефоны и банковские карты погибших военных, чтобы провести ряд махинаций и украсть денежные средства.
В качестве доказательств хакеры опубликовали содержимое компьютеров и скриншоты переписок.
На беде счастье не построишь 🤷🏻♂️
НеКасперский
Пророссийские украинские хакеры из Берегини вновь взломали компьютеры сотрудников ТЦК Одесской области, наживающихся на чужом горе.
Участники группировки слили информацию о структуре и штатной численности по военкоматам, а также начали публиковать личные данные «героев» на своём сайте. В числе скомпрометированных сведений:
• ФИО
• Возраст
• Номер телефона
• Адрес
• Место рождения
• Водительское удостоверение
• Частичные паспортные данные
• Должность
• Ссылки на соцсети
По словам Берегини, начальник отдела персонала одесского областного ТЦК вместе со своими подчинёнными использовал мобильные телефоны и банковские карты погибших военных, чтобы провести ряд махинаций и украсть денежные средства.
В качестве доказательств хакеры опубликовали содержимое компьютеров и скриншоты переписок.
На беде счастье не построишь 🤷🏻♂️
НеКасперский
👍19🔥8😁5🤡4⚡1🗿1
НеКасперский
Знали заранее По всей видимости, как-то противостоять фрилансерам из Северной Кореи. Безопасники из Флориды наняли на работу северокорейского хакера, который в первый же рабочий день накатил на корпоративный Mac малварь со своего RaspberryPI. Очевидно…
Кадры
В ФБР заявили, что северокорейские фрилансеры всё чаще занимаются вымогательством.
Под видом перспективных IT-специалистов они устраиваются на работу в американские организации, получают доступ к их инфраструктуре и копируют код репозиториев компаний с GitHub в свои облачные хранилища.
Эти горе-сотрудники занимаются сбором конфиденциальных сведений, получают доступ к учётным данным и файлам cookie, чтобы запускать рабочие сеансы с личных устройств. Это помогает шантажировать руководителей и вымогать у них деньги.
Об одном из таких случаев мы уже рассказывали, похожий инцидент произошел во Флориде. Тогда северокорейский сотрудник с ИИ-портфолио в первый же рабочий день заразил малварью свой корпоративный ноутбук.
НеКасперский
В ФБР заявили, что северокорейские фрилансеры всё чаще занимаются вымогательством.
Под видом перспективных IT-специалистов они устраиваются на работу в американские организации, получают доступ к их инфраструктуре и копируют код репозиториев компаний с GitHub в свои облачные хранилища.
Эти горе-сотрудники занимаются сбором конфиденциальных сведений, получают доступ к учётным данным и файлам cookie, чтобы запускать рабочие сеансы с личных устройств. Это помогает шантажировать руководителей и вымогать у них деньги.
Об одном из таких случаев мы уже рассказывали, похожий инцидент произошел во Флориде. Тогда северокорейский сотрудник с ИИ-портфолио в первый же рабочий день заразил малварью свой корпоративный ноутбук.
НеКасперский
😁22🔥4🗿4👍1🤬1🫡1
«Базис» и ИСП РАН обнаружили уязвимости в открытом коде для виртуализации
Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые из которых можно охарактеризовать как уязвимости.
Исследование проходило при помощи фаззинг-тестирования – за счет него выявлено 5 дефектов в Apache Directory LDAP API и 8 в библиотеке libvirt, которой уделили особое внимание libvirt. Библиотека предоставляет API для управления виртуальными машинами, поэтому сбой в ее работе может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Большая часть дефектов приводили к переполнению буфера.
Специальное разработанные фаззинг-тесты для наиболее критичных компонентов открытого ПО доступны в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО.
Применили и статический анализ. С его помощью выявлены еще 178 дефектов в коде, после чего создано 86 исправлений, преимущественно для популярного брокера сообщений ActiveMQ Artemis и сервера каталогов Apache Directory.
Если исправления примут в основные ветки и учтут при следующих обновляениях, то OS-продукты, используемые Базисом, станут безопаснее и качественнее. Хочется надеяться, что подобные усилия станут распространенной практикой в российской ИТ-индустрии.
НеКасперский
Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые из которых можно охарактеризовать как уязвимости.
Исследование проходило при помощи фаззинг-тестирования – за счет него выявлено 5 дефектов в Apache Directory LDAP API и 8 в библиотеке libvirt, которой уделили особое внимание libvirt. Библиотека предоставляет API для управления виртуальными машинами, поэтому сбой в ее работе может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Большая часть дефектов приводили к переполнению буфера.
Специальное разработанные фаззинг-тесты для наиболее критичных компонентов открытого ПО доступны в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО.
Применили и статический анализ. С его помощью выявлены еще 178 дефектов в коде, после чего создано 86 исправлений, преимущественно для популярного брокера сообщений ActiveMQ Artemis и сервера каталогов Apache Directory.
Если исправления примут в основные ветки и учтут при следующих обновляениях, то OS-продукты, используемые Базисом, станут безопаснее и качественнее. Хочется надеяться, что подобные усилия станут распространенной практикой в российской ИТ-индустрии.
НеКасперский
❤15👍15🔥7🤡5🗿3💩2
Трио
Мы уже привыкли слышать новости о том, что Китай следит за гражданами других стран с помощью кибератак. Однако, не всегда для слежки требуются подготовленные хакеры. Иногда хватает примитивных подходов.
Власти Филиппин арестовали трёх преступников, подозреваемых в шпионаже на местных объектах КИИ. Двое задержанных оказались местными, один из пособников является гражданином Китая. Под видом разработчиков беспилотного транспорта они помогали КНР наблюдать за действиями сил национальной обороны.
Участники этого трио установили на своём автомобиле оборудование для слежки. В течение месяца они разъезжали по Маниле и острову Лусон, чтобы собрать сведения о военных и полицейских лагерях, местных правительственных учреждениях, электростанциях и даже торговых центрах.
В результате ареста у них изъяли ИКТ-оборудование, на котором хранились топографические кадры, изображения объектов критически важной инфраструктуры и другие конфиденциальные данные.
Причиной инцидента могло стать обострение взаимоотношений Филиппин и КНР на фоне споров из-за стратегического водного пути в Южно-Китайском море. Не исключено, что незаконно полученные данные могут быть использованы в военных целях.
Тем не менее представители посольства КНР заявили, что обвинения гражданина Китая в шпионской деятельности на Филиппинах являются беспочвенной спекуляцией.
Google Maps отдыхает 😎
НеКасперский
Мы уже привыкли слышать новости о том, что Китай следит за гражданами других стран с помощью кибератак. Однако, не всегда для слежки требуются подготовленные хакеры. Иногда хватает примитивных подходов.
Власти Филиппин арестовали трёх преступников, подозреваемых в шпионаже на местных объектах КИИ. Двое задержанных оказались местными, один из пособников является гражданином Китая. Под видом разработчиков беспилотного транспорта они помогали КНР наблюдать за действиями сил национальной обороны.
Участники этого трио установили на своём автомобиле оборудование для слежки. В течение месяца они разъезжали по Маниле и острову Лусон, чтобы собрать сведения о военных и полицейских лагерях, местных правительственных учреждениях, электростанциях и даже торговых центрах.
В результате ареста у них изъяли ИКТ-оборудование, на котором хранились топографические кадры, изображения объектов критически важной инфраструктуры и другие конфиденциальные данные.
Причиной инцидента могло стать обострение взаимоотношений Филиппин и КНР на фоне споров из-за стратегического водного пути в Южно-Китайском море. Не исключено, что незаконно полученные данные могут быть использованы в военных целях.
Тем не менее представители посольства КНР заявили, что обвинения гражданина Китая в шпионской деятельности на Филиппинах являются беспочвенной спекуляцией.
Google Maps отдыхает 😎
НеКасперский
👍8🔥4❤3😁2😱1🗿1
Восстание мертвецов
Мы обычно про фишинг не пишем, но в Innostage заметили что-то уж очень уникальное.
Сотрудников компании закидали фишинговыми письмами с легитимного домена реальной компании. Если банально прогуглить Торгсервис, то в подлинности убедишься, эти домены размещены на официальном сайте.
Вся суть в том, что хоть компания и реальная, но была ликвидирована ещё в начале 2010-х. Её зомби-домен злоумышленники использовали для рассылки RDP-файлов, но почему-то от имени министерства цифрового развития.
НеКасперский
Мы обычно про фишинг не пишем, но в Innostage заметили что-то уж очень уникальное.
Сотрудников компании закидали фишинговыми письмами с легитимного домена реальной компании. Если банально прогуглить Торгсервис, то в подлинности убедишься, эти домены размещены на официальном сайте.
Вся суть в том, что хоть компания и реальная, но была ликвидирована ещё в начале 2010-х. Её зомби-домен злоумышленники использовали для рассылки RDP-файлов, но почему-то от имени министерства цифрового развития.
НеКасперский
😁10❤5👍5🔥1🗿1
Очепятка
В Mastercard при настройке DNS сети своего подрядчика Akamai, из-за чего несколько лет открывали плацдарм для хакеров.
Они пропустили одну букву и вместо «akam.net» в одном из серверов написали «akam.ne». С июня 2020-го этот ляп спокойно оставался незамеченным, пока один ИБ специалист не выкупил одноимённый домен Нигер за $300. Он поднял там свой DNS-сервер и обнаружил аномально большой поток запросов из разных стран.
Благодаря опечатки злоумышленники могли проворачивать MITM — перехватывать почту, выдавать SSL/TLS-сертификаты и подменять трафик. Ошибка на одном из пяти DNS-серверов Mastercard, но риск немалый. Минимум 20% всех запросов к основным серверам компании могли оказаться в чужих руках.
Более того, существует предположение, что домен итак использовался в качестве атак, потому что таковой был зарегистрирован в Нигере с 2015 по 2018.
Mastercard хоть и не сразу, но поправила проблему. Всё, что компенсировали исследователю — $300, потраченные на покупку домена. 🙂
НеКасперский
В Mastercard при настройке DNS сети своего подрядчика Akamai, из-за чего несколько лет открывали плацдарм для хакеров.
Они пропустили одну букву и вместо «akam.net» в одном из серверов написали «akam.ne». С июня 2020-го этот ляп спокойно оставался незамеченным, пока один ИБ специалист не выкупил одноимённый домен Нигер за $300. Он поднял там свой DNS-сервер и обнаружил аномально большой поток запросов из разных стран.
Благодаря опечатки злоумышленники могли проворачивать MITM — перехватывать почту, выдавать SSL/TLS-сертификаты и подменять трафик. Ошибка на одном из пяти DNS-серверов Mastercard, но риск немалый. Минимум 20% всех запросов к основным серверам компании могли оказаться в чужих руках.
Более того, существует предположение, что домен итак использовался в качестве атак, потому что таковой был зарегистрирован в Нигере с 2015 по 2018.
Mastercard хоть и не сразу, но поправила проблему. Всё, что компенсировали исследователю — $300, потраченные на покупку домена. 🙂
НеКасперский
😁38🗿6👍4🤬1
Ведро с дыркой
Настройка path-style запросов к S3 через nginx преподносит сюрприз.
Если в нормализованном пути обнаружится символ переноса строки —
Пикантность возрастает, когда в конфиге используется
НеКасперский
Настройка path-style запросов к S3 через nginx преподносит сюрприз.
Если в нормализованном пути обнаружится символ переноса строки —
%0A, то правило rewrite может пропустить этот фрагмент и отдать управление чужому бакету. Ведь S3 не воспринимает %0A как нечто незаконное, позволяя загрузить объект с именем foo%0Abar и весёлой XSS-вставкой внутри.Пикантность возрастает, когда в конфиге используется
location /static/ с rewrite и proxy_pass без указания пути. Комбинация ../ и %0A оставляет лазейку для эксплуатации. Если объектное хранилище ещё и публичное, злоумышленник легко создаст собственный бакет и внедрит скрипт.НеКасперский
🗿8👍3❤2🔥1
НеКасперский
Масштабный провал От атаки злоумышленников пострадала онлайн-платформа Change Healthcare, занимающаяся обработкой медицинских рецептов в США. Инцидент повлёк за собой серьёзные проблемы в работе крупных аптек и сетей больниц по всей стране, нарушения затронули…
Нездоровый расклад
Выяснилось, что мартовская атака на Change Healthcare задела целых 190 миллионов человек. Это почти вдвое больше первоначальных чисел!
Из Change утащили не только стандартные ФИО и номера соцстрахования, как заявлялось. Вместе с ними ушли целые горы диагнозов, результатов анализов, страховок и даже финансовых сведений.
Киберпреступники начали шантаж ещё весной. Компания сначала выплатила выкуп, но глава группировки «пропал», и вымогатели потребовали ещё больше денег. В итоге Change пришлось платить повторно, чтобы предотвратить дальнейшую публикацию.
Инцидент оказался не только крупнейшим, но и самым дорогостоящим среди всех утечек США.
НеКасперский
Выяснилось, что мартовская атака на Change Healthcare задела целых 190 миллионов человек. Это почти вдвое больше первоначальных чисел!
Из Change утащили не только стандартные ФИО и номера соцстрахования, как заявлялось. Вместе с ними ушли целые горы диагнозов, результатов анализов, страховок и даже финансовых сведений.
Киберпреступники начали шантаж ещё весной. Компания сначала выплатила выкуп, но глава группировки «пропал», и вымогатели потребовали ещё больше денег. В итоге Change пришлось платить повторно, чтобы предотвратить дальнейшую публикацию.
Инцидент оказался не только крупнейшим, но и самым дорогостоящим среди всех утечек США.
НеКасперский
🔥11👍4😱3🤬2😁1
Яблочный штрудель
Исследователи из Технологического института Джорджии и Рурского университета опубликовали детали сразу двух новых атак — FLOP и SLAP. Их целью являются спекулятивные механизмы современных чипов Apple, включая поколения M2/A15 и выше.
Атаки используют JavaScript или WebAssembly в браузере и позволяют перехватывать личные данные. Под удар попали макбуки, выпущенные с 2022 года, настольные Маки — с 2023-го и iPhone, вышедшие после 2021 года.
Авторы находок сообщают, что неверные прогнозы памяти во время спекулятивного исполнения помогают выйти за границы безопасной области, чтобы прочесть или изменить чужие сведения. Компания уже признала проблему и готовит обновление безопасности. Пока же единственное средство снижения угрозы — отключить JavaScript, но, само собой, многие сайты перестанут работать.
Исследователи сообщили о уязвимостях ещё в прошлом году, Apple согласилась с выводами и пообещала патч в ближайших апдейтах.
НеКасперский
Исследователи из Технологического института Джорджии и Рурского университета опубликовали детали сразу двух новых атак — FLOP и SLAP. Их целью являются спекулятивные механизмы современных чипов Apple, включая поколения M2/A15 и выше.
Атаки используют JavaScript или WebAssembly в браузере и позволяют перехватывать личные данные. Под удар попали макбуки, выпущенные с 2022 года, настольные Маки — с 2023-го и iPhone, вышедшие после 2021 года.
Авторы находок сообщают, что неверные прогнозы памяти во время спекулятивного исполнения помогают выйти за границы безопасной области, чтобы прочесть или изменить чужие сведения. Компания уже признала проблему и готовит обновление безопасности. Пока же единственное средство снижения угрозы — отключить JavaScript, но, само собой, многие сайты перестанут работать.
Исследователи сообщили о уязвимостях ещё в прошлом году, Apple согласилась с выводами и пообещала патч в ближайших апдейтах.
НеКасперский
👍10🗿7😁2❤1