Попались
В приложениях Google Play орудовало корейское шпионское ПО.
Об этом сообщили специалисты из Lookout. По их словам, KoSpy использует двухэтапную инфраструктуру управления командами C2, которая получает первоначальные конфигурации из облачной БД Firebase.
С помощью ПО атакующие могут получить доступ к сведениям о Wi-Fi, сообщениям, журналам вызовов, геолокации, файлам, аудиозаписям, фотографиям и скриншотам.
В списке заражённых оказались Phone Manager, File Manager, Smart Manager, Kakao Security и Software Update Utility.
Исследователи полагают, что несколько версий KoSpy для Android применены хакерами, связанными с группировками APT43 и APT37, так как в ходе нападений использовались уже знакомые домены и IP-адреса.
Судя по тому, что интерфейсы приложений поддерживали только английский и корейский языки, атака могла быть направлена на юзеров из Южной Кореи.
НеКасперский
В приложениях Google Play орудовало корейское шпионское ПО.
Об этом сообщили специалисты из Lookout. По их словам, KoSpy использует двухэтапную инфраструктуру управления командами C2, которая получает первоначальные конфигурации из облачной БД Firebase.
С помощью ПО атакующие могут получить доступ к сведениям о Wi-Fi, сообщениям, журналам вызовов, геолокации, файлам, аудиозаписям, фотографиям и скриншотам.
В списке заражённых оказались Phone Manager, File Manager, Smart Manager, Kakao Security и Software Update Utility.
Исследователи полагают, что несколько версий KoSpy для Android применены хакерами, связанными с группировками APT43 и APT37, так как в ходе нападений использовались уже знакомые домены и IP-адреса.
Судя по тому, что интерфейсы приложений поддерживали только английский и корейский языки, атака могла быть направлена на юзеров из Южной Кореи.
НеКасперский
😁15👍3🔥2🗿2😱1
НеКасперский
У них всё стабильно Иранская Cyber Toufan продолжает донимать израильтян. На этот раз она взяла на себя ответственность за атаку на крупную строительную компанию Edri Ltd. В своих социальных сетях участники группировки заявили, что им удалось получить…
Коллекция
Иранская Cyber Toufan пополнила копилку своих трофеев. После израильского автопарка и строительной компании они взялись за международную архитектурную фирму Mann-Shinar.
Участники группировки заявляют, что им удалось получить доступ к информации о проектах организации, а также выгрузить личные данные клиентов, поставщиков и партнёров. Скомпрометированные сведения включают в себя:
• Имя
• Номер телефона
• Электронную почту
• Адрес
• Список компаний
• Внутренние проекты
В качестве доказательств они опубликовали 5 ГБ данных, содержащих более 800 файлов. Cyber Toufan утверждают, что это лишь часть украденной информации.
Пострадавшая организация ведёт свою деятельность в Израиле и США. В своём посте атакующие заявили, что Mann-Shinar работает с израильским флотом. Компания построила множество транспортных узлов и зданий на «оккупированных территориях», включая Международный аэропорт Рамон, Посольство США в Иерусалиме, министерство юстиции и др.
НеКасперский
Иранская Cyber Toufan пополнила копилку своих трофеев. После израильского автопарка и строительной компании они взялись за международную архитектурную фирму Mann-Shinar.
Участники группировки заявляют, что им удалось получить доступ к информации о проектах организации, а также выгрузить личные данные клиентов, поставщиков и партнёров. Скомпрометированные сведения включают в себя:
• Имя
• Номер телефона
• Электронную почту
• Адрес
• Список компаний
• Внутренние проекты
В качестве доказательств они опубликовали 5 ГБ данных, содержащих более 800 файлов. Cyber Toufan утверждают, что это лишь часть украденной информации.
Пострадавшая организация ведёт свою деятельность в Израиле и США. В своём посте атакующие заявили, что Mann-Shinar работает с израильским флотом. Компания построила множество транспортных узлов и зданий на «оккупированных территориях», включая Международный аэропорт Рамон, Посольство США в Иерусалиме, министерство юстиции и др.
НеКасперский
🗿5🔥3👍2😁2
Переполненный
Уязвимость в движке WebKit от Apple позволяет «разработчикам» негодяям выйти за песочницу и запустить любой код на ваших айфончиках.
Эта брешь была связана с некорректной записью в память при обработке веб-контента. Опытные хакеры могли с помощью хитрых DOM-элементов или скриптов переписать нужные участки памяти и захватить управление.
Подобная атака даёт им не только возможность проникнуть в процесс Web Content, но и вырваться на волю, обойдя встроенные защиты iOS или macOS. Исследователи уверены, что возникновение RCE тут реально, а злоумышленники уже не упустили шанса воспользоваться ситуацией.
Apple закрыла уязвимость в iOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1. Бегом обновляться!
НеКасперский
Уязвимость в движке WebKit от Apple позволяет «разработчикам» негодяям выйти за песочницу и запустить любой код на ваших айфончиках.
Эта брешь была связана с некорректной записью в память при обработке веб-контента. Опытные хакеры могли с помощью хитрых DOM-элементов или скриптов переписать нужные участки памяти и захватить управление.
Подобная атака даёт им не только возможность проникнуть в процесс Web Content, но и вырваться на волю, обойдя встроенные защиты iOS или macOS. Исследователи уверены, что возникновение RCE тут реально, а злоумышленники уже не упустили шанса воспользоваться ситуацией.
Apple закрыла уязвимость в iOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1. Бегом обновляться!
НеКасперский
👍9❤2🗿2🤔1
Бойкий дизайн
Запрещённый и экстремистский Facebook предупреждает о критической уязвимости в FreeType, позволяющей выполнять произвольный код при обработке шрифтов TrueType GX и переменных шрифтов.
Суть проблемы — в некорректном приведении типов при выделении памяти. Знаковое short преобразуется в беззнаковый long с последующим добавлением статического значения. Это приводит к выделению недостаточного буфера и запись за его пределы, что открывает путь к выполнению стороннего кода.
Учитывая, что FreeType встроена в миллионы систем, разработчикам стоит срочно обновиться до FreeType 2.13.3. Несмотря на то, что уязвимая версия выпущена два года назад, в проектах часто застревают устаревшие библиотеки.
Теперь ещё и шрифтов бояться? 🥹
НеКасперский
Запрещённый и экстремистский Facebook предупреждает о критической уязвимости в FreeType, позволяющей выполнять произвольный код при обработке шрифтов TrueType GX и переменных шрифтов.
Суть проблемы — в некорректном приведении типов при выделении памяти. Знаковое short преобразуется в беззнаковый long с последующим добавлением статического значения. Это приводит к выделению недостаточного буфера и запись за его пределы, что открывает путь к выполнению стороннего кода.
Учитывая, что FreeType встроена в миллионы систем, разработчикам стоит срочно обновиться до FreeType 2.13.3. Несмотря на то, что уязвимая версия выпущена два года назад, в проектах часто застревают устаревшие библиотеки.
Теперь ещё и шрифтов бояться? 🥹
НеКасперский
😱7❤4👍4🗿3
Парад Медсестёр
Кибербезопасник обнаружил открытую базу Американской медицинской платформы ESHYFT с личными данными 86 тысяч её работников.
Утечка включала свыше 100 ГБ данных, включая всё от фотографий медсестёр и рабочих графиков до личных медицинских заключений, которые загружались в качестве оправданий пропуска смен.
В одной таблице хранилось более 800 тыс. записей с идентификаторами, названиями учреждений, отработанными часами и прочей информацией. Многие документы содержали персональные данные, потенциально подпадающие под регулирование HIPAA.
Исследователь уведомил компанию, но база оставалась доступной больше месяца. Платформа, работающая в 29 штатах, не разделяла данные по уровню чувствительности — профили и медицинские документы хранились вперемешку.
Выпустили подышать медсестёр на просторы даркнета 😇
НеКасперский
Кибербезопасник обнаружил открытую базу Американской медицинской платформы ESHYFT с личными данными 86 тысяч её работников.
Утечка включала свыше 100 ГБ данных, включая всё от фотографий медсестёр и рабочих графиков до личных медицинских заключений, которые загружались в качестве оправданий пропуска смен.
В одной таблице хранилось более 800 тыс. записей с идентификаторами, названиями учреждений, отработанными часами и прочей информацией. Многие документы содержали персональные данные, потенциально подпадающие под регулирование HIPAA.
Исследователь уведомил компанию, но база оставалась доступной больше месяца. Платформа, работающая в 29 штатах, не разделяла данные по уровню чувствительности — профили и медицинские документы хранились вперемешку.
Выпустили подышать медсестёр на просторы даркнета 😇
НеКасперский
🗿8❤2😱2
НеКасперский
Лихорадит Китайские хакеры взломали систему удалённого управления BeyondTrust, откуда стащили ключ, открывающий доступ к рабочим станциям и несекретным документам министерства финансов США. С помощью полученного ключа злоумышленники обошли защитные механизмы…
Эмодзи против Минфина
Раскрылись подробности недавнего взлома Минфина США. За атакой стояла не просто какая-то кража ключа доступа, а изящная эксплуатация Unicode в PostgreSQL.
Банальная SQL-инъекция? Не совсем. Специалисты выяснили, что атака строилась на двух байтах «c0 27», которые при обработке функцией
Инструмент BeyondTrust передавал неэкранированные данные напрямую в psql-консоль, что позволило злоумышленникам не только получить контроль над базой, но и выполнять произвольные системные команды через синтаксис
Удивительно, что такая уязвимость таилась незамеченной почти десятилетие в одной из самых используемых СУБД мира. Патч уже выпущен, обновляемся 😉
НеКасперский
Раскрылись подробности недавнего взлома Минфина США. За атакой стояла не просто какая-то кража ключа доступа, а изящная эксплуатация Unicode в PostgreSQL.
Банальная SQL-инъекция? Не совсем. Специалисты выяснили, что атака строилась на двух байтах «c0 27», которые при обработке функцией
pg_utf_mblen интерпретировались как двухбайтный Unicode-символ. Проблема в том, что PostgreSQL не проверял валидность символа, а второй байт соответствовал кавычке, которую система пропускала без экранирования.Инструмент BeyondTrust передавал неэкранированные данные напрямую в psql-консоль, что позволило злоумышленникам не только получить контроль над базой, но и выполнять произвольные системные команды через синтаксис
! <команда>.Удивительно, что такая уязвимость таилась незамеченной почти десятилетие в одной из самых используемых СУБД мира. Патч уже выпущен, обновляемся 😉
НеКасперский
🔥31❤1🗿1
НеКасперский
Сильно въелись Китайская группировка взломала 20 тысяч систем файрволов корпоративного класса FortiGate. Об этом заявили представители службы военной разведки и безопасности Нидерландов. Стало известно, что ранее выявленная кампания работает по сей день.…
Тёмные времена
Китайская Volt Typhoon в течение года сидела в системе коммунальной компании Littleton Electric Light & Water Department, снабжающей энергией и водой американского Массачусетса.
Первыми об этом узнали сотрудники ФБР. В ходе расследования выяснилось, что с помощью уязвимости в межсетевом экране FortiGate 300D преступники проникли в сети организации в феврале 2023 года.
Причём о проблеме известно аж с декабря 2022 года, тогда же вышел новый патч для устранения бреши, однако работники пострадавшей компании не обновили ПО вовремя, что и стало причиной катастрофы.
Представители организации утверждают, что ПДн клиентов не были скомпрометированы, однако всё это время участники группировки имели возможность перемещаться внутри сети и выгружать конфиденциальные сведения.
По классике жанра, власти КНР отрицают свою причастность к случившемуся. Они всё ещё придерживаются легенды о том, что Volt Typhoon создана спецслужбами США и странами альянса Five Eyes в коммерческих интересах 👲🏻🇨🇳📈
НеКасперский
Китайская Volt Typhoon в течение года сидела в системе коммунальной компании Littleton Electric Light & Water Department, снабжающей энергией и водой американского Массачусетса.
Первыми об этом узнали сотрудники ФБР. В ходе расследования выяснилось, что с помощью уязвимости в межсетевом экране FortiGate 300D преступники проникли в сети организации в феврале 2023 года.
Причём о проблеме известно аж с декабря 2022 года, тогда же вышел новый патч для устранения бреши, однако работники пострадавшей компании не обновили ПО вовремя, что и стало причиной катастрофы.
Представители организации утверждают, что ПДн клиентов не были скомпрометированы, однако всё это время участники группировки имели возможность перемещаться внутри сети и выгружать конфиденциальные сведения.
По классике жанра, власти КНР отрицают свою причастность к случившемуся. Они всё ещё придерживаются легенды о том, что Volt Typhoon создана спецслужбами США и странами альянса Five Eyes в коммерческих интересах 👲🏻🇨🇳📈
НеКасперский
🔥6👍5😁3🤔2🗿1
НеКасперский
На счётчик поставили Хакерская группа Medusa, слившая исходный код Microsoft Bing, теперь атаковала компанию Toyota Financial Services и разместила эту новость на своём сайте в даркнете с требованием оплатить выкуп в размере $8 млн. Вдохновлённые американскими…
Сколько их развелось
Более 300 объектов критически важной инфраструктуры США оказались под угрозой из-за вируса-вымогателя Medusa.
По данным представителей ФБР и CISA, к февралю 2025 года преступники совершили атаку на организации, работающие в области здравоохранения, юриспруденции, страхования, производства и образования.
Под наименованием Medusa действует несколько разных группировок. Эти нападения не имеют отношения ни к MedusaLocker, ни к мобильному вредоносному ПО Medusa.
Специалисты утверждают, что в данном случае речь идёт именно о варианте программы-вымогателя, впервые идентифицированном в июне 2021 года. В 2023 году злоумышленники основали платформу Medusa Blog, где публиковались украденные сведения.
Эти же преступники причастны к атаке на Toyota Financial Services. Тогда они залили на сайт требования о выплате выкупа в размере $8 млн.
НеКасперский
Более 300 объектов критически важной инфраструктуры США оказались под угрозой из-за вируса-вымогателя Medusa.
По данным представителей ФБР и CISA, к февралю 2025 года преступники совершили атаку на организации, работающие в области здравоохранения, юриспруденции, страхования, производства и образования.
Под наименованием Medusa действует несколько разных группировок. Эти нападения не имеют отношения ни к MedusaLocker, ни к мобильному вредоносному ПО Medusa.
Специалисты утверждают, что в данном случае речь идёт именно о варианте программы-вымогателя, впервые идентифицированном в июне 2021 года. В 2023 году злоумышленники основали платформу Medusa Blog, где публиковались украденные сведения.
Эти же преступники причастны к атаке на Toyota Financial Services. Тогда они залили на сайт требования о выплате выкупа в размере $8 млн.
НеКасперский
🫡5👍4❤1😁1🗿1
Сказочке конец
Президента США призывают проводить кибератаки против Китая.
С этим предложением к Трампу обратилась группа американских сенаторов. Такая инициатива была проявлена на фоне обострения отношений между странами, а также участившихся нападений Salt- и Silk Typhoon на инфраструктуру страны-оппонента.
За примером далеко ходить не надо, достаточно вспомнить январскую атаку китайской группировки на Минфин США. Тогда злоумышленникам удалось проникнуть в электронные системы и получить доступ к компьютерам чиновников.
Многочисленные нападки со стороны КНР вынудили США пойти на крайние меры и ввести ряд санкций. По всей видимости, этого оказалось недостаточно, теперь в США хотят скорректировать методы борьбы с деятельностью китайских хакеров.
Подробности такого решения не разглашаются, однако известно, что в письме сенаторы предлагают Трампу активно использовать наступательные угрозы.
Тем временем сказочники из КНР продолжают обеляться убеждениями о своей невинности 🫠
НеКасперский
Президента США призывают проводить кибератаки против Китая.
С этим предложением к Трампу обратилась группа американских сенаторов. Такая инициатива была проявлена на фоне обострения отношений между странами, а также участившихся нападений Salt- и Silk Typhoon на инфраструктуру страны-оппонента.
За примером далеко ходить не надо, достаточно вспомнить январскую атаку китайской группировки на Минфин США. Тогда злоумышленникам удалось проникнуть в электронные системы и получить доступ к компьютерам чиновников.
Многочисленные нападки со стороны КНР вынудили США пойти на крайние меры и ввести ряд санкций. По всей видимости, этого оказалось недостаточно, теперь в США хотят скорректировать методы борьбы с деятельностью китайских хакеров.
Подробности такого решения не разглашаются, однако известно, что в письме сенаторы предлагают Трампу активно использовать наступательные угрозы.
Тем временем сказочники из КНР продолжают обеляться убеждениями о своей невинности 🫠
НеКасперский
👍8😁8🔥2😱1🗿1
This media is not supported in your browser
VIEW IN TELEGRAM
Секретики
Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.
По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.
Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.
А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.
Где-то тихо улыбаются ведрофонеры 🤪
НеКасперский
Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.
По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.
Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.
А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.
Где-то тихо улыбаются ведрофонеры 🤪
НеКасперский
🤡20😁13👍5❤3🔥1😱1🗿1
Няши
Специалисты из Лаборатории Касперского обнаружили очередных хакеров, ненавидящих геймеров и анимешников.
Они придумали изощрённый способ распространения своего бэкдора DCRat с помощью YouTube. На платформе публикуются видео с рекламой читов, игровых ботов, кряков и др.
Авторы роликов призывают мамкиных геймеров перейти в описание и скачать обозреваемые продукты. Только вместо обещанного к видео, очевидно, прикреплён код и ссылка на легитимный файлообменник, содержащий запароленный архив.
Когда недочитер пытается установить игровое ПО, на его устройство скачивается вредонос, дающий возможность удалённо управлять компьютером жертвы, скачивать дополнительные модули и расширять функциональность DCRat.
При этом в качестве маскировки атакующие называли домены командных серверов словечками по типу nyashka, nyashkoon, nyashtyan и т. д.
Бекдор вымогатель ❌
Няняняняня ✅
НеКасперский
Специалисты из Лаборатории Касперского обнаружили очередных хакеров, ненавидящих геймеров и анимешников.
Они придумали изощрённый способ распространения своего бэкдора DCRat с помощью YouTube. На платформе публикуются видео с рекламой читов, игровых ботов, кряков и др.
Авторы роликов призывают мамкиных геймеров перейти в описание и скачать обозреваемые продукты. Только вместо обещанного к видео, очевидно, прикреплён код и ссылка на легитимный файлообменник, содержащий запароленный архив.
Когда недочитер пытается установить игровое ПО, на его устройство скачивается вредонос, дающий возможность удалённо управлять компьютером жертвы, скачивать дополнительные модули и расширять функциональность DCRat.
При этом в качестве маскировки атакующие называли домены командных серверов словечками по типу nyashka, nyashkoon, nyashtyan и т. д.
Бекдор вымогатель ❌
Няняняняня ✅
НеКасперский
😁33🤡6🗿5❤4👍1💩1
Морская охота
Проиндийская APT обновила инструментарий и активно атакует морскую и ядерную отрасли в Азии и Африке.
В конце 2024 года эксперты зафиксировали существенный рост активности группы SideWinder, включая перевооружение и создание новой инфраструктуры. Целевые отрасли те же, однако заметно увеличилось число атак на морские объекты и логистические компании. Новинка года — явный интерес к атомным электростанциям и объектам ядерной энергетики в Южной Азии.
География атак расширилась на новые страны Африки, при этом злоумышленники продолжают тщательно отслеживать обнаружение своих инструментов и оперативно создают обновлённые версии вредоносного ПО.
Схема заражения остаётся неизменной и основывается на рассылке фишинговых писем с документами, эксплуатация уязвимости MS Office и многоступенчатое внедрение всевозможных карманных стилеров.
НеКасперский
Проиндийская APT обновила инструментарий и активно атакует морскую и ядерную отрасли в Азии и Африке.
В конце 2024 года эксперты зафиксировали существенный рост активности группы SideWinder, включая перевооружение и создание новой инфраструктуры. Целевые отрасли те же, однако заметно увеличилось число атак на морские объекты и логистические компании. Новинка года — явный интерес к атомным электростанциям и объектам ядерной энергетики в Южной Азии.
География атак расширилась на новые страны Африки, при этом злоумышленники продолжают тщательно отслеживать обнаружение своих инструментов и оперативно создают обновлённые версии вредоносного ПО.
Схема заражения остаётся неизменной и основывается на рассылке фишинговых писем с документами, эксплуатация уязвимости MS Office и многоступенчатое внедрение всевозможных карманных стилеров.
НеКасперский
❤3🗿3
Удар ниже merged-а
Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions.
Популярный процесс
Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами.
Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲
НеКасперский
Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions.
Популярный процесс
tj-actions/changed-files, используемый в более чем 23 тыс. репозиториев, 14 марта был заражён вредоносным кодом. Хакер не только модифицировали кодовую базу, но и обновили все версионные ярлыки. Вредонос маскировался под функцию updateFeatures, которая запускала скрипт для поиска в памяти Runner Worker секретов, например токены AWS, Azure, GCP, GitHub PAT, NPM, учётные данные БД, RSA-ключи. Найденное шифровалось двойным base64 и записывалось в журналы сборки.Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами.
Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲
НеКасперский
👍15😱7🗿2
Незримые дыры в стенах корпоративной безопасности?
Сейчас почти все бегут к подрядчикам — экономят, ищут уникальную экспертизу, закрывают кадровые дыры. Но мало кто задумывается, что именно здесь бизнес может утонуть при штиле — когда доступ к данным компании получают внешние спецы с непонятными устройствами. Да и к удалёнщикам это, кстати, тоже относится.
На эту тему мне попался материал с рассылкой от команды корпоративного Яндекс Браузера. Судя по исследованию ГК «Солар», каждая пятая компания уже словила утечку через внешних спецов. Средний чек такого развлечения — 5,5 миллиона рублей за инцидент, если не считать репутационного ущерба и регуляторных штрафов.
Советую посмотреть док целиком, но если вкратце:
Основная проблема до безобразия проста. Корпоративные системы сейчас часто живут в вебе — не нужно ставить софт, просто логин-пароль и вперёд. Красота для бизнеса, кошмар для безопасников.
Технически проблему решают созданием контролируемой среды для доступа подрядчиков. Проверка устройства на соответствие требованиям безопасности, блокировка утечек через копирование, перетаскивание, скриншоты, интеграция с мониторингом. Ну и форсинг, с ним можно быть уверенным, что к корпоративному ресурсу подключаться будет именно защищенный контролируемый браузер.
НеКасперский
Сейчас почти все бегут к подрядчикам — экономят, ищут уникальную экспертизу, закрывают кадровые дыры. Но мало кто задумывается, что именно здесь бизнес может утонуть при штиле — когда доступ к данным компании получают внешние спецы с непонятными устройствами. Да и к удалёнщикам это, кстати, тоже относится.
На эту тему мне попался материал с рассылкой от команды корпоративного Яндекс Браузера. Судя по исследованию ГК «Солар», каждая пятая компания уже словила утечку через внешних спецов. Средний чек такого развлечения — 5,5 миллиона рублей за инцидент, если не считать репутационного ущерба и регуляторных штрафов.
Советую посмотреть док целиком, но если вкратце:
Основная проблема до безобразия проста. Корпоративные системы сейчас часто живут в вебе — не нужно ставить софт, просто логин-пароль и вперёд. Красота для бизнеса, кошмар для безопасников.
Технически проблему решают созданием контролируемой среды для доступа подрядчиков. Проверка устройства на соответствие требованиям безопасности, блокировка утечек через копирование, перетаскивание, скриншоты, интеграция с мониторингом. Ну и форсинг, с ним можно быть уверенным, что к корпоративному ресурсу подключаться будет именно защищенный контролируемый браузер.
НеКасперский
👍4🗿3❤2
Учебная гигиена
Хакер выложил на BreachForums базу Министерства образования ОАЭ.
В утечке фигурируют две таблицы. Файл побольше содержит 300 тысяч строчек с данными данными учащихся, а в той, что поменьше — паспортные данные.
Скомпрометированные данные включают имена, электронные адреса, информацию об учебных заведениях, уровнях обучения, а также местные ID. В дампе поменьше содержатся паспортные данные, номера телефонов, и даже данные охранников учеников.
По словам автора утечки, оба набора данных актуальны на март 2025 года. Официальных комментариев от властей ОАЭ пока не поступало.
НеКасперский
Хакер выложил на BreachForums базу Министерства образования ОАЭ.
В утечке фигурируют две таблицы. Файл побольше содержит 300 тысяч строчек с данными данными учащихся, а в той, что поменьше — паспортные данные.
Скомпрометированные данные включают имена, электронные адреса, информацию об учебных заведениях, уровнях обучения, а также местные ID. В дампе поменьше содержатся паспортные данные, номера телефонов, и даже данные охранников учеников.
По словам автора утечки, оба набора данных актуальны на март 2025 года. Официальных комментариев от властей ОАЭ пока не поступало.
НеКасперский
🗿9👍3😁2😱1🤬1
Подождали и хватит
Игровая блокчейн платформа WEMIX потеряла $6,1 млн в результате хакерской атаки, о которой руководство сообщило лишь спустя неделю после инцидента.
Взлом произошёл 28 февраля, когда злоумышленники похитили 8,6 млн токенов WEMIX через скомпрометированные ключи аутентификации NFT-платформы NILE. По версии компании, хакеры завладели ключами из общего репозитория, куда их загрузил разработчик для удобства работы. После двухмесячной подготовки они выполнили 13 успешных транзакций, мгновенно обналичив украденное через криптобиржи.
CEO объяснил задержку с оповещением опасениями вызвать панику на рынке и риском дополнительных атак. Сейчас WEMIX находится офлайн — команда мигрирует всю инфраструктуру в новую, более защищённую среду.
Развлекаются с фантиками? 😇
НеКасперский
Игровая блокчейн платформа WEMIX потеряла $6,1 млн в результате хакерской атаки, о которой руководство сообщило лишь спустя неделю после инцидента.
Взлом произошёл 28 февраля, когда злоумышленники похитили 8,6 млн токенов WEMIX через скомпрометированные ключи аутентификации NFT-платформы NILE. По версии компании, хакеры завладели ключами из общего репозитория, куда их загрузил разработчик для удобства работы. После двухмесячной подготовки они выполнили 13 успешных транзакций, мгновенно обналичив украденное через криптобиржи.
CEO объяснил задержку с оповещением опасениями вызвать панику на рынке и риском дополнительных атак. Сейчас WEMIX находится офлайн — команда мигрирует всю инфраструктуру в новую, более защищённую среду.
Развлекаются с фантиками? 😇
НеКасперский
😁7🗿3
PUT мне привилегий
В Apache Tomcat обнаружена критическая уязвимость, позволяющая удалённо выполнять код через обычный PUT-запрос.
Суть проблемы в том, что Tomcat создаёт временные файлы на основе пользовательского пути, заменяя разделители директорий на точку. Это нарушает изоляцию данных и злоумышленник может обращаться к папкам выше по иерархии, просто подставив точки в свой запрос. В результате он может внедрить вредоносный код или похитить чувствительные данные, если у вас включен режим записи для DefaultServlet и активна поддержка partial PUT.
В самом опасном сценарии, когда Томкат использует файловое хранение сессий, атакующий может загрузить сериализованный объект прямо в хранилище и выполнить произвольный код при десериализации.
Эксплойты уже гуляют по сети, а количество уязвимых серверов исчисляется миллионами. Если ваша инфраструктура на Томкате — срочно обновляйтесь.
НеКасперский
В Apache Tomcat обнаружена критическая уязвимость, позволяющая удалённо выполнять код через обычный PUT-запрос.
Суть проблемы в том, что Tomcat создаёт временные файлы на основе пользовательского пути, заменяя разделители директорий на точку. Это нарушает изоляцию данных и злоумышленник может обращаться к папкам выше по иерархии, просто подставив точки в свой запрос. В результате он может внедрить вредоносный код или похитить чувствительные данные, если у вас включен режим записи для DefaultServlet и активна поддержка partial PUT.
В самом опасном сценарии, когда Томкат использует файловое хранение сессий, атакующий может загрузить сериализованный объект прямо в хранилище и выполнить произвольный код при десериализации.
Эксплойты уже гуляют по сети, а количество уязвимых серверов исчисляется миллионами. Если ваша инфраструктура на Томкате — срочно обновляйтесь.
НеКасперский
🗿9👍3😱2
Шорткат разведка
11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами.
Уязвимость кроется в отображении содержимого поля target у
Северокорейские хакеры особенно изобретательны, создавая непривычно огромные
Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет.
НеКасперский
11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами.
Уязвимость кроется в отображении содержимого поля target у
.LNK файлов. злоумышленники маскируют опасный код с помощью символов перевода строки «\x0A» и возврата каретки «\x0D». Когда пользователь проверяет свойства такого ярлыка, Windows не показывает спрятанные команды в поле «Объект». Среди активных эксплуататоров этой техники группировки из Северной Кореи, Ирана, России и Китая.Северокорейские хакеры особенно изобретательны, создавая непривычно огромные
.LNK файлы для обхода детекта, они используют файлы со средним размером 3 МБ, а максимум доходит до 70 МБ.Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет.
НеКасперский
💩7😁3🗿3👍2
Время пошло
Нарушить права человека хотят в Минцифры, чтобы попытаться как-то остановить деятельность мошенников.
Ассоциация разработчиков программных продуктов «Отечественный бизнес» бьёт тревогу из-за проекта по созданию государственных информационных систем для противодействия правонарушителям, принятого Госдумой вчера в первом чтении.
Изменения коснулись десятков действующих законов и нормативно-правовых актов. Нововведения предусматривают возможность прослушивать и записывать разговоры граждан РФ. А собранные данные же планируют хранить на единой антифрод‑платформе неких векторов голосов мошенников. Базу будут использовать операторы связи для блокировки сомнительных звонков.
В АРПП заявили, что такие поправки являются прямым нарушением Конституции и закона «О персональных данных». По их словам, маркировать мошенников должны не технические системы, а суды или правоохранительные органы.
Отдельно упомянули и риск попадания в базу сгенерированных записей, голоса из которых могут принадлежать невинным людям. В новом проекте не предусмотрен механизм оспаривания ложной маркировки. Если голос невинного пользователя попадёт в эту базу по ошибке, он не сможет звонить и будет считаться мошенником. Минус социальный рейтинг 🇨🇳📉
В общем, недочётов много. Учитывая, что второе чтение назначено на 25 марта, на внесение поправок у ведомства остаётся всего неделя.
НеКасперский
Нарушить права человека хотят в Минцифры, чтобы попытаться как-то остановить деятельность мошенников.
Ассоциация разработчиков программных продуктов «Отечественный бизнес» бьёт тревогу из-за проекта по созданию государственных информационных систем для противодействия правонарушителям, принятого Госдумой вчера в первом чтении.
Изменения коснулись десятков действующих законов и нормативно-правовых актов. Нововведения предусматривают возможность прослушивать и записывать разговоры граждан РФ. А собранные данные же планируют хранить на единой антифрод‑платформе неких векторов голосов мошенников. Базу будут использовать операторы связи для блокировки сомнительных звонков.
В АРПП заявили, что такие поправки являются прямым нарушением Конституции и закона «О персональных данных». По их словам, маркировать мошенников должны не технические системы, а суды или правоохранительные органы.
Отдельно упомянули и риск попадания в базу сгенерированных записей, голоса из которых могут принадлежать невинным людям. В новом проекте не предусмотрен механизм оспаривания ложной маркировки. Если голос невинного пользователя попадёт в эту базу по ошибке, он не сможет звонить и будет считаться мошенником. Минус социальный рейтинг 🇨🇳📉
В общем, недочётов много. Учитывая, что второе чтение назначено на 25 марта, на внесение поправок у ведомства остаётся всего неделя.
НеКасперский
🤬19😱9🤡4👍3😁3🤔2🗿1
НеКасперский
Сор из избы Развалившаяся Black Basta, по всей видимости, заканчивала со скандалом, который закончился сливом внутренних переписок бывшего главы банды и нескольких приближённых. Некий ExploitWhispers выложил в сеть архив логов из внутреннего чата Matrix.…
Брутед
Сектору бизнес-услуг угрожает новая система для автоматического проведения брутфорс-атак BRUTED.
Об этом стало известно, когда в сеть просочился дамп с внутренней перепиской участников Black Basta. В утечке содержались сведения о методах нападений, которые применялись группировкой с сентября 2023 по 2024 год.
В EclecticIQ выяснили, что преступники использовали BRUTED для взлома периферийных сетевых устройств, включая брандмауэры и VPN в корпоративных сетях. Эта система позволяла хакерам эксплуатировать повторно используемые или слабые учётные данные, чтобы упростить первоначальный доступ к сетям компаний-жертв.
Платформа использовала большой список прокси-серверов SOCKS5 с незаурядным, как вы видите, доменом. Она способна сканировать Интернет и генерировать дополнительные варианты учётных данных.
Фреймфорк был нацелен на Microsoft RDWeb, SonicWall NetExtender, Palo Alto GlobalProtect, Fortinet SSL VPN, WatchGuard SSL, Citrix NetScaler и другие технологии, популярные на западе.
НеКасперский
Сектору бизнес-услуг угрожает новая система для автоматического проведения брутфорс-атак BRUTED.
Об этом стало известно, когда в сеть просочился дамп с внутренней перепиской участников Black Basta. В утечке содержались сведения о методах нападений, которые применялись группировкой с сентября 2023 по 2024 год.
В EclecticIQ выяснили, что преступники использовали BRUTED для взлома периферийных сетевых устройств, включая брандмауэры и VPN в корпоративных сетях. Эта система позволяла хакерам эксплуатировать повторно используемые или слабые учётные данные, чтобы упростить первоначальный доступ к сетям компаний-жертв.
Платформа использовала большой список прокси-серверов SOCKS5 с незаурядным, как вы видите, доменом. Она способна сканировать Интернет и генерировать дополнительные варианты учётных данных.
Фреймфорк был нацелен на Microsoft RDWeb, SonicWall NetExtender, Palo Alto GlobalProtect, Fortinet SSL VPN, WatchGuard SSL, Citrix NetScaler и другие технологии, популярные на западе.
НеКасперский
🔥5😁3👍2🗿1
This media is not supported in your browser
VIEW IN TELEGRAM
Headache
В
Суть проблемы в том, что модуль неправильно обрабатывает HEAD-запросы с телом, интерпретируя их как два отдельных запроса вместо одного. Когда такой запрос проходит через цепочку прокси, возникает расхождение в их интерпретации.
Уязвимость затрагивает не только сам OpenResty, но и популярные решения на его основе — Kong Gateway и Apache APISIX. Исследователь продемонстрировал, как с помощью этой бреши можно провести XSS-атаки, обойти защиту Cloudflare и перехватывать чужие ответы.
Разработчики уже выпустили патч, но учитывая распространенность OpenResty в высоконагруженных системах, многие сервисы все еще могут быть уязвимы.
НеКасперский
В
lua-nginx-module обнаружена уязвимость, позволяющая обойти защиту прокси и красть ответы других пользователей.Суть проблемы в том, что модуль неправильно обрабатывает HEAD-запросы с телом, интерпретируя их как два отдельных запроса вместо одного. Когда такой запрос проходит через цепочку прокси, возникает расхождение в их интерпретации.
Уязвимость затрагивает не только сам OpenResty, но и популярные решения на его основе — Kong Gateway и Apache APISIX. Исследователь продемонстрировал, как с помощью этой бреши можно провести XSS-атаки, обойти защиту Cloudflare и перехватывать чужие ответы.
Разработчики уже выпустили патч, но учитывая распространенность OpenResty в высоконагруженных системах, многие сервисы все еще могут быть уязвимы.
НеКасперский
🗿9👍1