Forwarded from Life-Hack - Хакер
Предварительно, сломались «.ru» домены.
Среди прочих, сейчас не работают приложения «Альфа-банка», «Сбербанка», «Тинькофф банка» и других банков. Отмечаются сбои в работе Мегафона и МТС.
Также не прогружаются страницы маркетплейсов Ozon и Wildberries и Lamoda.
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
#рекомендация
#рекомендации
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Что такое DNSSEC и зачем он нужен?
DNSSEC (Domain Name System Security Extensions) — это технология, которая повышает безопасность системы доменных имён (DNS). DNS — это служба, которая переводит доменные имена, например, www.example.com, в IP-адреса, например, 192.0.2.1, которые используются для обмена данными в сети Интернет. DNSSEC защищает DNS от атак, которые могут подменить IP-адреса и перенаправить пользователей на фальшивые или вредоносные сайты.
Как работает DNSSEC?
DNSSEC работает на основе криптографических подписей, которые подтверждают подлинность и целостность DNS-данных. Каждый DNS-зоне имеет пару публичного и приватного ключа. Владелец зоны использует приватный ключ для подписи DNS-записей в зоне и генерации цифровых подписей над этими данными. Как следует из названия “приватный ключ”, этот ключ хранится в секрете владельцем зоны. Публичный ключ зоны, в свою очередь, публикуется в самой зоне для того, чтобы любой DNS-клиент, который запрашивает данные из зоны, мог его получить. DNS-клиент использует публичный ключ для проверки подлинности и целостности DNS-данных, которые он получил. DNS-клиент подтверждает, что цифровая подпись над DNS-данными, которые он получил, действительна. Если это так, то DNS-данные являются легитимными и возвращаются пользователю. Если подпись не действительна, DNS-клиент предполагает, что произошла атака, отбрасывает данные и возвращает ошибку пользователю.
DNSSEC использует иерархическую структуру ключей, которая соответствует структуре доменных имен. Каждая зона имеет свой собственный ключ, который подписывает её DNS-записи, и свой родительский ключ, который подписывает её DNSKEY запись. Это позволяет создать цепочку доверия от корневой зоны (.) до конечной зоны (например, www.example.com). Корневая зона имеет специальный ключ, называемый ключом подписи ключей (KSK), который подписывает все DNSKEY записи корневых серверов. Этот ключ является основой доверия для всей системы DNSSEC.
Зачем нужен DNSSEC?
DNSSEC нужен для защиты пользователей Интернета от атак, которые могут нарушить работу DNS и повлиять на доступность и безопасность сайтов и сервисов. Некоторые из таких атак это:
DNS cache poisoning — это атака, при которой злоумышленник подменяет DNS-данные в кэше DNS-сервера или DNS-клиента, вводя ложные IP-адреса для доменных имен. Это может привести к тому, что пользователи будут перенаправлены на фальшивые сайты, которые могут красть их личные данные, распространять вирусы или проводить другие мошеннические действия.
DNS hijacking — это атака, при которой злоумышленник перехватывает DNS-запросы пользователей и отвечает на них своими DNS-данными, подменяя IP-адреса для доменных имен. Это также может привести к перенаправлению пользователей на фальшивые сайты с теми же целями, что и в случае DNS cache poisoning.
DNS spoofing — это атака, при которой злоумышленник подделывает DNS-ответы, используя подобранные или подслушанные идентификаторы запросов, и отправляет их DNS-клиентам, прежде чем они получат настоящие ответы от DNS-серверов. Это также может привести к перенаправлению пользователей на фальшивые сайты, а также к нарушению работы других сервисов, которые зависят от DNS.
DNSSEC предотвращает эти атаки, так как DNS-клиенты могут проверить подлинность и целостность DNS-ответов, используя криптографические подписи и публичные ключи. Если DNS-ответ не совпадает с подписью или ключом, DNS-клиент отклоняет его и не использует его для разрешения доменного имени. Таким образом, DNSSEC обеспечивает достоверность и надёжность DNS-данных, повышая безопасность пользователей Интернета.
IT Дайджест / IT Новости / IT / Технологии
DNSSEC (Domain Name System Security Extensions) — это технология, которая повышает безопасность системы доменных имён (DNS). DNS — это служба, которая переводит доменные имена, например, www.example.com, в IP-адреса, например, 192.0.2.1, которые используются для обмена данными в сети Интернет. DNSSEC защищает DNS от атак, которые могут подменить IP-адреса и перенаправить пользователей на фальшивые или вредоносные сайты.
Как работает DNSSEC?
DNSSEC работает на основе криптографических подписей, которые подтверждают подлинность и целостность DNS-данных. Каждый DNS-зоне имеет пару публичного и приватного ключа. Владелец зоны использует приватный ключ для подписи DNS-записей в зоне и генерации цифровых подписей над этими данными. Как следует из названия “приватный ключ”, этот ключ хранится в секрете владельцем зоны. Публичный ключ зоны, в свою очередь, публикуется в самой зоне для того, чтобы любой DNS-клиент, который запрашивает данные из зоны, мог его получить. DNS-клиент использует публичный ключ для проверки подлинности и целостности DNS-данных, которые он получил. DNS-клиент подтверждает, что цифровая подпись над DNS-данными, которые он получил, действительна. Если это так, то DNS-данные являются легитимными и возвращаются пользователю. Если подпись не действительна, DNS-клиент предполагает, что произошла атака, отбрасывает данные и возвращает ошибку пользователю.
DNSSEC использует иерархическую структуру ключей, которая соответствует структуре доменных имен. Каждая зона имеет свой собственный ключ, который подписывает её DNS-записи, и свой родительский ключ, который подписывает её DNSKEY запись. Это позволяет создать цепочку доверия от корневой зоны (.) до конечной зоны (например, www.example.com). Корневая зона имеет специальный ключ, называемый ключом подписи ключей (KSK), который подписывает все DNSKEY записи корневых серверов. Этот ключ является основой доверия для всей системы DNSSEC.
Зачем нужен DNSSEC?
DNSSEC нужен для защиты пользователей Интернета от атак, которые могут нарушить работу DNS и повлиять на доступность и безопасность сайтов и сервисов. Некоторые из таких атак это:
DNS cache poisoning — это атака, при которой злоумышленник подменяет DNS-данные в кэше DNS-сервера или DNS-клиента, вводя ложные IP-адреса для доменных имен. Это может привести к тому, что пользователи будут перенаправлены на фальшивые сайты, которые могут красть их личные данные, распространять вирусы или проводить другие мошеннические действия.
DNS hijacking — это атака, при которой злоумышленник перехватывает DNS-запросы пользователей и отвечает на них своими DNS-данными, подменяя IP-адреса для доменных имен. Это также может привести к перенаправлению пользователей на фальшивые сайты с теми же целями, что и в случае DNS cache poisoning.
DNS spoofing — это атака, при которой злоумышленник подделывает DNS-ответы, используя подобранные или подслушанные идентификаторы запросов, и отправляет их DNS-клиентам, прежде чем они получат настоящие ответы от DNS-серверов. Это также может привести к перенаправлению пользователей на фальшивые сайты, а также к нарушению работы других сервисов, которые зависят от DNS.
DNSSEC предотвращает эти атаки, так как DNS-клиенты могут проверить подлинность и целостность DNS-ответов, используя криптографические подписи и публичные ключи. Если DNS-ответ не совпадает с подписью или ключом, DNS-клиент отклоняет его и не использует его для разрешения доменного имени. Таким образом, DNSSEC обеспечивает достоверность и надёжность DNS-данных, повышая безопасность пользователей Интернета.
IT Дайджест / IT Новости / IT / Технологии
👍4❤1💯1
Курьеры вышли на охоту: миллионы пожилых американцев в опасности из-за новой мошеннической схемы
Преступники придумали, как красть у стариков драгоценности и оставаться в тени.
Федеральное бюро расследований США (ФБР) выступило с официальным предупреждением о росте числа мошеннических операций, в которых используются курьерские службы для сбора денег и прочих ценных ресурсов у жертв. Основными мишенями этих афер являются пожилые люди. Мошенники, выдавая себя за сотрудников технической поддержки или за представителей государственных органов, убеждают людей продать свои активы (в том числе золото, серебро и другие ценности) и передать их курьерам для защиты от вымышленных угроз.
"Наше предупреждение касается мошенников, которые заставляют жертв, в том числе пожилых людей, обращать свои активы в наличные или покупать драгоценные металлы," – заявляют в ФБР.
Мошенники чаще всего представляются работниками техподдержки, финансовых учреждений или органов власти. Они утверждают, что финансовые счета жертвы подверглись взлому или находятся под угрозой.
Затем людям предлагают конвертировать активы в наличные или драгоценные металлы, или перевести деньги дилерам, которые, как утверждаются, позже доставят покупки на домашний адрес. Чтобы убедить жертву в законности сделки, преступники предоставляют специальные коды для подтверждения операции с курьером.
После получения ресурсов мошенники исчезают.
С мая по декабрь 2023 года Центр жалоб на интернет-преступления ФБР (IC3) зафиксировал резкий рост подобных инцидентов, общие убытки от которых превысили 55 миллионов долларов.
Чтобы обезопасить себя, ФБР рекомендует:
Никогда не пересылать золото или другие драгоценные металлы по требованию, которое поступило по телефону, даже если звонящий утверждает, что представляет легитимную организацию или государственное учреждение.
Не делиться личным адресом и избегать встреч с незнакомцами для передачи наличных или драгоценностей.
IT Дайджест / IT Новости / IT / Технологии
Преступники придумали, как красть у стариков драгоценности и оставаться в тени.
Федеральное бюро расследований США (ФБР) выступило с официальным предупреждением о росте числа мошеннических операций, в которых используются курьерские службы для сбора денег и прочих ценных ресурсов у жертв. Основными мишенями этих афер являются пожилые люди. Мошенники, выдавая себя за сотрудников технической поддержки или за представителей государственных органов, убеждают людей продать свои активы (в том числе золото, серебро и другие ценности) и передать их курьерам для защиты от вымышленных угроз.
"Наше предупреждение касается мошенников, которые заставляют жертв, в том числе пожилых людей, обращать свои активы в наличные или покупать драгоценные металлы," – заявляют в ФБР.
Мошенники чаще всего представляются работниками техподдержки, финансовых учреждений или органов власти. Они утверждают, что финансовые счета жертвы подверглись взлому или находятся под угрозой.
Затем людям предлагают конвертировать активы в наличные или драгоценные металлы, или перевести деньги дилерам, которые, как утверждаются, позже доставят покупки на домашний адрес. Чтобы убедить жертву в законности сделки, преступники предоставляют специальные коды для подтверждения операции с курьером.
После получения ресурсов мошенники исчезают.
С мая по декабрь 2023 года Центр жалоб на интернет-преступления ФБР (IC3) зафиксировал резкий рост подобных инцидентов, общие убытки от которых превысили 55 миллионов долларов.
Чтобы обезопасить себя, ФБР рекомендует:
Никогда не пересылать золото или другие драгоценные металлы по требованию, которое поступило по телефону, даже если звонящий утверждает, что представляет легитимную организацию или государственное учреждение.
Не делиться личным адресом и избегать встреч с незнакомцами для передачи наличных или драгоценностей.
IT Дайджест / IT Новости / IT / Технологии
❤2👍2💯2😱1
Новый алгоритм изменит будущее вычислений
Ученые разработали новый метод решения задач целочисленного линейного программирования, который обещает значительно ускорить процесс решения разнообразных задач — от планирования производства до планирования авиаперелетов. Целочисленное линейное программирование (ЦЛП) играет важную роль в исследованиях операций, как подчеркнул ученый по компьютерным наукам, Сантош Вемпала, из Технологического института Джорджии.
Исследование, представленное недавно Виктором Рейсом из Института передовых исследований и Томасом Ротвоссом из Вашингтонского университета, оказалось прорывом в области ЦЛП, существенно ускорив процесс решения задач. Их работа была отмечена наградой за лучшую статью на конференции по основам информатики в 2023 году.
Целочисленное линейное программирование основано на превращении задачи в набор линейных уравнений, удовлетворяющих определенным неравенствам. Конкретные уравнения зависят от специфики исходной задачи, но основная структура ЦЛП остается постоянной, обеспечивая исследователям единый подход к решению множества задач.
IT Дайджест / IT Новости / IT / Технологии
Ученые разработали новый метод решения задач целочисленного линейного программирования, который обещает значительно ускорить процесс решения разнообразных задач — от планирования производства до планирования авиаперелетов. Целочисленное линейное программирование (ЦЛП) играет важную роль в исследованиях операций, как подчеркнул ученый по компьютерным наукам, Сантош Вемпала, из Технологического института Джорджии.
Исследование, представленное недавно Виктором Рейсом из Института передовых исследований и Томасом Ротвоссом из Вашингтонского университета, оказалось прорывом в области ЦЛП, существенно ускорив процесс решения задач. Их работа была отмечена наградой за лучшую статью на конференции по основам информатики в 2023 году.
Целочисленное линейное программирование основано на превращении задачи в набор линейных уравнений, удовлетворяющих определенным неравенствам. Конкретные уравнения зависят от специфики исходной задачи, но основная структура ЦЛП остается постоянной, обеспечивая исследователям единый подход к решению множества задач.
IT Дайджест / IT Новости / IT / Технологии
👍3🔥2💯2
ИИ в синтезе белков: каков шанс, что алгоритмы создадут смертоносный вирус?
За последние два десятилетия, благодаря прорывам в области искусственного интеллекта, наука переживает настоящий прорыв в области проектирования белков. С применением глубокого обучения, аналогичного технологии, используемой в ChatGPT, исследователи теперь способны создавать белки с уникальными свойствами, которые находят применение в медицине, биоинженерии и даже в решении проблем окружающей среды.
Доктор Нил Кинг из Вашингтонского университета подчеркнул в интервью для журнала Nature важность этих достижений, отметив, что кажущиеся невозможными возможности, которые существовали полтора года назад, теперь реализуемы.
Однако, как утверждается в недавней статье журнала Science, вместе с новыми возможностями появляются и новые риски. Авторы статьи, среди которых доктор Дэвид Бейкер из Вашингтонского университета и доктор Джордж Черч из Гарвардской медицинской школы, призывают к разработке мер по биобезопасности для предотвращения злоупотребления синтетическими белками во вредоносных целях.
IT Дайджест / IT Новости / IT / Технологии
За последние два десятилетия, благодаря прорывам в области искусственного интеллекта, наука переживает настоящий прорыв в области проектирования белков. С применением глубокого обучения, аналогичного технологии, используемой в ChatGPT, исследователи теперь способны создавать белки с уникальными свойствами, которые находят применение в медицине, биоинженерии и даже в решении проблем окружающей среды.
Доктор Нил Кинг из Вашингтонского университета подчеркнул в интервью для журнала Nature важность этих достижений, отметив, что кажущиеся невозможными возможности, которые существовали полтора года назад, теперь реализуемы.
Однако, как утверждается в недавней статье журнала Science, вместе с новыми возможностями появляются и новые риски. Авторы статьи, среди которых доктор Дэвид Бейкер из Вашингтонского университета и доктор Джордж Черч из Гарвардской медицинской школы, призывают к разработке мер по биобезопасности для предотвращения злоупотребления синтетическими белками во вредоносных целях.
IT Дайджест / IT Новости / IT / Технологии
👍2🔥2💯2
MetaStealer от Минцифры: хакеры маскируют вредоносное ПО под сертификаты безопасности
Компания F.A.C.C.T. предупреждает о нарастающей угрозе целенаправленных фишинговых атак на пользователей государственных онлайн-сервисов в России. Атакующие отправляют фальшивые электронные письма, выдающие себя за сообщения от Минцифры России, в которых требуется немедленно установить специальные сертификаты безопасности.
По данным аналитиков Центра Кибербезопасности F.A.C.C.T., рассылка таких писем была осуществлена 25 января методом спуфинга, то есть подделки адреса отправителя под официальный адрес Минцифры.
В сообщении злоумышленников говорится, что с 30.01.2024 года пользователи, не установившие на свои операционные системы сертификаты НУЦ Минцифры РФ, могут столкнуться с проблемами доступа, вплоть до его полного отсутствия, к таким сервисам, как Госуслуги, онлайн-банкинг, государственные интернет-ресурсы, а также ряд других российских сервисов.
IT Дайджест / IT Новости / IT / Технологии
Компания F.A.C.C.T. предупреждает о нарастающей угрозе целенаправленных фишинговых атак на пользователей государственных онлайн-сервисов в России. Атакующие отправляют фальшивые электронные письма, выдающие себя за сообщения от Минцифры России, в которых требуется немедленно установить специальные сертификаты безопасности.
По данным аналитиков Центра Кибербезопасности F.A.C.C.T., рассылка таких писем была осуществлена 25 января методом спуфинга, то есть подделки адреса отправителя под официальный адрес Минцифры.
В сообщении злоумышленников говорится, что с 30.01.2024 года пользователи, не установившие на свои операционные системы сертификаты НУЦ Минцифры РФ, могут столкнуться с проблемами доступа, вплоть до его полного отсутствия, к таким сервисам, как Госуслуги, онлайн-банкинг, государственные интернет-ресурсы, а также ряд других российских сервисов.
IT Дайджест / IT Новости / IT / Технологии
Avast закрыла доступ к своим продуктам в России
Компания Avast окончательно закрыла доступ к своим продуктам для российских пользователей. Теперь антивирусы Avast и AVG (включая Avast Mobile Security для Android и Avast Free Antivirus), а также утилита CCleaner не работают в РФ. При попытке их запуска отображается предупреждение: «К сожалению, этот продукт не поддерживается в вашем текущем местоположении».
Как сообщают СМИ и пользователи, похоже, компания Avast приняла решение окончательно уйти с российского рынка. Напомним, что компания прекратила продажу лицензий для своих решений в России и Беларуси еще в марте 2022 года.
Теперь же российским пользователям закрыли доступ к сайтам Avast и AVG (включая avast.ru), а при попытке установить какой-либо продукт компании, пользователи получают сообщение с предупреждением об отсутствии поддержки продукта в их регионе: «К сожалению, этот продукт не поддерживается в вашем текущем местоположении» или «К сожалению, в настоящее время данное приложение не поддерживается в вашей стране или регионе».
Отмечается, что эти ограничения можно обойти, используя VPN, тогда никаких предупреждений не появляется, и приложения работают штатно.
Официальных комментариев от представителей Avast не поступало, однако на странице поддержки опубликовано следующее сообщение:
IT Дайджест / IT Новости / IT / Технологии
Компания Avast окончательно закрыла доступ к своим продуктам для российских пользователей. Теперь антивирусы Avast и AVG (включая Avast Mobile Security для Android и Avast Free Antivirus), а также утилита CCleaner не работают в РФ. При попытке их запуска отображается предупреждение: «К сожалению, этот продукт не поддерживается в вашем текущем местоположении».
Как сообщают СМИ и пользователи, похоже, компания Avast приняла решение окончательно уйти с российского рынка. Напомним, что компания прекратила продажу лицензий для своих решений в России и Беларуси еще в марте 2022 года.
Теперь же российским пользователям закрыли доступ к сайтам Avast и AVG (включая avast.ru), а при попытке установить какой-либо продукт компании, пользователи получают сообщение с предупреждением об отсутствии поддержки продукта в их регионе: «К сожалению, этот продукт не поддерживается в вашем текущем местоположении» или «К сожалению, в настоящее время данное приложение не поддерживается в вашей стране или регионе».
Отмечается, что эти ограничения можно обойти, используя VPN, тогда никаких предупреждений не появляется, и приложения работают штатно.
Официальных комментариев от представителей Avast не поступало, однако на странице поддержки опубликовано следующее сообщение:
IT Дайджест / IT Новости / IT / Технологии
👍12😁5🔥2❤1🍾1
Исходные коды Mercedes-Benz утекли из-за случайно раскрытого токена GitHub
Исследователи из RedHunt Labs обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
IT Дайджест / IT Новости / IT / Технологии
Исследователи из RedHunt Labs обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
IT Дайджест / IT Новости / IT / Технологии
👍6
Кто стоит за кибершпионажем против Мьянмы и стран Азии?
Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso).
IT Дайджест / IT Новости / IT / Технологии
Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso).
IT Дайджест / IT Новости / IT / Технологии
Так выглядит официально взломанный iPhone, который Apple рассылает исследователям безопасности; в комплект вместе с девайсом компания кладет стикеры и инструкцию.
IT Дайджест / IT Новости / IT / Технологии
IT Дайджест / IT Новости / IT / Технологии
❤6
Android-шпион прятался в 12 приложениях, 6 были доступны в Google Play
Android-троян VajraSpy, открывавший удалённый доступ к устройству жертвы, обнаружился в 12 приложениях. Шесть таких программ были доступны для скачивания в Google Play Store с 1 апреля 2021 года по 10 сентября 2023-го.
В настоящее время приложения удалены из официального магазина, но доступны на сторонних площадках. Как правило, они маскируются под мессенджеры и новостной софт.
Попав в систему, VajraSpy может вытаскивать персональные данные: контакты, сообщения и пр. А если пользователь выдаст ему дополнительные права, троян будет записывать голосовые вызовы.
Специалисты антивирусной компании ESET, следившие за атаками операторов VajraSpy, считают, что за распространением трояна стоит кибергруппировка Patchwork APT.
В Play Store вредоносные приложения скачали около 1400 пользователей. Так выглядит список программ, которые были доступны на официальной площадке:
- Rafaqat رفاقت (новостной софт)
- Privee Talk (мессенджер)
- MeetMe (мессенджер)
- Let's Chat (мессенджер)
- Quick Chat (мессенджер)
- Chit Chat (мессенджер)
А вот список содержащих VajraSpy программ, доступных в сторонних магазинах:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
IT Дайджест / IT Новости / IT / Технологии
Android-троян VajraSpy, открывавший удалённый доступ к устройству жертвы, обнаружился в 12 приложениях. Шесть таких программ были доступны для скачивания в Google Play Store с 1 апреля 2021 года по 10 сентября 2023-го.
В настоящее время приложения удалены из официального магазина, но доступны на сторонних площадках. Как правило, они маскируются под мессенджеры и новостной софт.
Попав в систему, VajraSpy может вытаскивать персональные данные: контакты, сообщения и пр. А если пользователь выдаст ему дополнительные права, троян будет записывать голосовые вызовы.
Специалисты антивирусной компании ESET, следившие за атаками операторов VajraSpy, считают, что за распространением трояна стоит кибергруппировка Patchwork APT.
В Play Store вредоносные приложения скачали около 1400 пользователей. Так выглядит список программ, которые были доступны на официальной площадке:
- Rafaqat رفاقت (новостной софт)
- Privee Talk (мессенджер)
- MeetMe (мессенджер)
- Let's Chat (мессенджер)
- Quick Chat (мессенджер)
- Chit Chat (мессенджер)
А вот список содержащих VajraSpy программ, доступных в сторонних магазинах:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
IT Дайджест / IT Новости / IT / Технологии
🥱4
Cloudflare призналась, что не так давно её сеть была атакована
Детальный разбор нарушения безопасности компании, чьими услугами пользуется большая часть Интернета.
Компания Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года.
IT Дайджест / IT Новости / IT / Технологии
Детальный разбор нарушения безопасности компании, чьими услугами пользуется большая часть Интернета.
Компания Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года.
IT Дайджест / IT Новости / IT / Технологии
🤔4
Йеменские хуситы грозятся обрубить оптоволоконный кабель, который тянется по дну Красного моря, если США и Великобритания еще раз ударят по аэропортам Йемена, — СМИ.
Данный кабель питает коммуникационные каналы, связывающие Европу, Африку и Ближний Восток. Если кабель вывести из строя, это ударит по геополитической стабильности, глобальным финансовым рынкам и информационной безопасности.
IT Дайджест / IT Новости / IT / Технологии
Данный кабель питает коммуникационные каналы, связывающие Европу, Африку и Ближний Восток. Если кабель вывести из строя, это ударит по геополитической стабильности, глобальным финансовым рынкам и информационной безопасности.
IT Дайджест / IT Новости / IT / Технологии
😁8🤔2😱1🤡1
Расследование кражи $400 млн с FTX продолжается: полиция выяснила, как именно хакеры провели атаку
Окружной суд США уже выдвинул обвинения против предполагаемых мошенников.
В результате расследования, проведённого американскими правоохранительными органами, была раскрыта связь между кражей более 400 миллионов долларов с криптовалютной биржи FTX в ноябре 2022 года и серией атак с использованием метода SIM Swapping.
Похищение криптовалюты произошло вскоре после того, как компания подала заявление о банкротстве, что изначально вызвало подозрения о возможном внутреннем преступлении с целью вывести средства криптоинвесторов, прикрывшись кибератакой.
В январском документе , поданном в суд округа Вашингтон, обвиняются Роберт Пауэлл, Картер Рон и Эмили Хернандес в осуществлении атак методом SIM Swapping, в результате которых были украдены личные данные 50 жертв. Им удалось убедить телекоммуникационных операторов перенести номера телефонов жертв на устройства преступной группы.
Указано, что в ходе атаки на «Компанию-жертву-1» 11 и 12 ноября 2022 года Эмили Хернандес выдавала себя за сотрудника компании, а Роберт Пауэлл получил доступ к аккаунту биржи в AT&T, в результате чего с криптокошельков компании было переведено более 400 миллионов долларов в виртуальной валюте.
Компания по безопасности блокчейна Elliptic в своём блоге от 1 февраля предположила , что под «Компанией-жертвой-1» подразумевается FTX, так как после объявления о банкротстве были зафиксированы несанкционированные транзакции на сумму около 400 миллионов долларов с криптокошельков FTX.
После взлома часть средств была перечислена на криптобиржу Kraken.
В течение нескольких месяцев после атаки злоумышленники перемещали средства через различные мосты и блокчейны, пытаясь отмыть украденную криптовалюту.
Атаки методом SIM Swapping позволяют злоумышленникам перехватывать коды многофакторной аутентификации, что уже множество раз было использовано для атак на известные фигуры в мире криптовалют.
IT Дайджест / IT Новости / IT / Технологии
Окружной суд США уже выдвинул обвинения против предполагаемых мошенников.
В результате расследования, проведённого американскими правоохранительными органами, была раскрыта связь между кражей более 400 миллионов долларов с криптовалютной биржи FTX в ноябре 2022 года и серией атак с использованием метода SIM Swapping.
Похищение криптовалюты произошло вскоре после того, как компания подала заявление о банкротстве, что изначально вызвало подозрения о возможном внутреннем преступлении с целью вывести средства криптоинвесторов, прикрывшись кибератакой.
В январском документе , поданном в суд округа Вашингтон, обвиняются Роберт Пауэлл, Картер Рон и Эмили Хернандес в осуществлении атак методом SIM Swapping, в результате которых были украдены личные данные 50 жертв. Им удалось убедить телекоммуникационных операторов перенести номера телефонов жертв на устройства преступной группы.
Указано, что в ходе атаки на «Компанию-жертву-1» 11 и 12 ноября 2022 года Эмили Хернандес выдавала себя за сотрудника компании, а Роберт Пауэлл получил доступ к аккаунту биржи в AT&T, в результате чего с криптокошельков компании было переведено более 400 миллионов долларов в виртуальной валюте.
Компания по безопасности блокчейна Elliptic в своём блоге от 1 февраля предположила , что под «Компанией-жертвой-1» подразумевается FTX, так как после объявления о банкротстве были зафиксированы несанкционированные транзакции на сумму около 400 миллионов долларов с криптокошельков FTX.
После взлома часть средств была перечислена на криптобиржу Kraken.
В течение нескольких месяцев после атаки злоумышленники перемещали средства через различные мосты и блокчейны, пытаясь отмыть украденную криптовалюту.
Атаки методом SIM Swapping позволяют злоумышленникам перехватывать коды многофакторной аутентификации, что уже множество раз было использовано для атак на известные фигуры в мире криптовалют.
IT Дайджест / IT Новости / IT / Технологии
👍3
Возвращение FritzFrog: как ботнет использует Log4Shell для создания армии серверов-зомби
Неисправленные серверы позволяют не только проникнуть в систему, но и заработать на этом.
Компания Akamai раскрыла детали нового варианта ботнета FritzFrog, использующего уязвимость Log4Shell для распространения внутри уже скомпрометированных сетей. FritzFrog действует с января 2020 года и был впервые обнаружен в августе 2020 года.
FritzFrog, ориентированный на доступные в интернете серверы со слабыми SSH-учетными данными, проявил себя в секторах здравоохранения, образования и госуправления, развертывая на зараженных хостах майнеры криптовалют и затронув более 1500 жертв за прошедшие годы. FritzFrog представляет собой децентрализованный ботнет, использующий P2P-протоколы для управления своими узлами.
Отличительной чертой последней версии является использование уязвимости Log4Shell для заражения внутренних хостов. Раньше фокус FritzFrog был направлен на уязвимые общедоступные активы. Данная активность отслеживается под названием Frog4Shell.
Даже если уязвимости в доступных через интернет серверах были устранены, нарушение безопасности любого другого узла может подвергнуть неисправленные внутренние системы риску эксплуатации и способствовать распространению вредоносного ПО.
Кроме того, компонент взлома SSH в FritzFrog был модернизирован для идентификации конкретных целей SSH путем перебора различных системных журналов на каждой из зараженных машин. Еще одно заметное изменение в вредоносном ПО – использование уязвимости PwnKit для локального повышения привилегий (Local Privilege Escalation, LPE).
FritzFrog продолжает применять тактики для сохранения скрытности и избегания обнаружения, в частности, избегая сохранения файлов на диске, где это возможно, используя общую память /dev/shm и memfd_create для выполнения загрузок, сохраняемых только в памяти.
IT Дайджест / IT Новости / IT / Технологии
Неисправленные серверы позволяют не только проникнуть в систему, но и заработать на этом.
Компания Akamai раскрыла детали нового варианта ботнета FritzFrog, использующего уязвимость Log4Shell для распространения внутри уже скомпрометированных сетей. FritzFrog действует с января 2020 года и был впервые обнаружен в августе 2020 года.
FritzFrog, ориентированный на доступные в интернете серверы со слабыми SSH-учетными данными, проявил себя в секторах здравоохранения, образования и госуправления, развертывая на зараженных хостах майнеры криптовалют и затронув более 1500 жертв за прошедшие годы. FritzFrog представляет собой децентрализованный ботнет, использующий P2P-протоколы для управления своими узлами.
Отличительной чертой последней версии является использование уязвимости Log4Shell для заражения внутренних хостов. Раньше фокус FritzFrog был направлен на уязвимые общедоступные активы. Данная активность отслеживается под названием Frog4Shell.
Даже если уязвимости в доступных через интернет серверах были устранены, нарушение безопасности любого другого узла может подвергнуть неисправленные внутренние системы риску эксплуатации и способствовать распространению вредоносного ПО.
Кроме того, компонент взлома SSH в FritzFrog был модернизирован для идентификации конкретных целей SSH путем перебора различных системных журналов на каждой из зараженных машин. Еще одно заметное изменение в вредоносном ПО – использование уязвимости PwnKit для локального повышения привилегий (Local Privilege Escalation, LPE).
FritzFrog продолжает применять тактики для сохранения скрытности и избегания обнаружения, в частности, избегая сохранения файлов на диске, где это возможно, используя общую память /dev/shm и memfd_create для выполнения загрузок, сохраняемых только в памяти.
IT Дайджест / IT Новости / IT / Технологии
👍4