Исходные коды Mercedes-Benz утекли из-за случайно раскрытого токена GitHub
Исследователи из RedHunt Labs обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
IT Дайджест / IT Новости / IT / Технологии
Исследователи из RedHunt Labs обнаружили в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
IT Дайджест / IT Новости / IT / Технологии
👍6
Кто стоит за кибершпионажем против Мьянмы и стран Азии?
Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso).
IT Дайджест / IT Новости / IT / Технологии
Политическая обстановка между странами вынуждает Китай подключить своих разведчиков.
В ноябре 2023 года и январе 2024 года Министерство обороны и Министерство иностранных дел Мьянмы стали целью кибератак предположительно китайской хакерской группировки Mustang Panda. Об этом сообщила команда CSIRT-CTI после анализа артефактов, связанных с атаками, которые были загружены на платформу VirusTotal.
Главным методом хакеров стало использование легитимного ПО, включая разработанный инженерной фирмой Bernecker & Rainer (B&R) двоичный файл и компонент помощника по обновлению Windows 10 для загрузки вредоносных DLL-библиотек.
Mustang Panda (Stately Taurus, Camaro Dragon, Bronze President) активно действует с 2012 года. В последние месяцы группе приписывают атаки, нацеленные на правительства Юго-Восточной Азии и Филиппин с целью внедрения бэкдоров для сбора конфиденциальной информации.
Первая атака в ноябре 2023 года началась с фишингового электронного письма с вложением в виде ZIP-архива, содержащего легитимный исполняемый файл (Analysis of the third meeting of NDSC.exe), изначально подписанный B&R Industrial Automation GmbH, и файл DLL (BrMod104.dll).
Атака использует тот факт, что двоичный файл подвержен перехвату порядка поиска DLL (DLL Search Order Hijacking), чтобы загрузить вредоносную DLL и впоследствии установить постоянство и контакт с сервером управления и контроля (Command and Control, C2), а затем развернуть в системе бэкдор PUBLOAD, который, в свою очередь, действует как специальный загрузчик для доставки импланта PlugX .
Хакеры пытались маскировать трафик C2-сервера под трафик обновления Microsoft, добавляя заголовки «Host: www[.]asia[.]microsoft[.]com» и «User-Agent: Windows-Update-Agent».
Вторая январская атака использовала образ оптического диска (ASEAN Notes.iso).
IT Дайджест / IT Новости / IT / Технологии
Так выглядит официально взломанный iPhone, который Apple рассылает исследователям безопасности; в комплект вместе с девайсом компания кладет стикеры и инструкцию.
IT Дайджест / IT Новости / IT / Технологии
IT Дайджест / IT Новости / IT / Технологии
❤6
Android-шпион прятался в 12 приложениях, 6 были доступны в Google Play
Android-троян VajraSpy, открывавший удалённый доступ к устройству жертвы, обнаружился в 12 приложениях. Шесть таких программ были доступны для скачивания в Google Play Store с 1 апреля 2021 года по 10 сентября 2023-го.
В настоящее время приложения удалены из официального магазина, но доступны на сторонних площадках. Как правило, они маскируются под мессенджеры и новостной софт.
Попав в систему, VajraSpy может вытаскивать персональные данные: контакты, сообщения и пр. А если пользователь выдаст ему дополнительные права, троян будет записывать голосовые вызовы.
Специалисты антивирусной компании ESET, следившие за атаками операторов VajraSpy, считают, что за распространением трояна стоит кибергруппировка Patchwork APT.
В Play Store вредоносные приложения скачали около 1400 пользователей. Так выглядит список программ, которые были доступны на официальной площадке:
- Rafaqat رفاقت (новостной софт)
- Privee Talk (мессенджер)
- MeetMe (мессенджер)
- Let's Chat (мессенджер)
- Quick Chat (мессенджер)
- Chit Chat (мессенджер)
А вот список содержащих VajraSpy программ, доступных в сторонних магазинах:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
IT Дайджест / IT Новости / IT / Технологии
Android-троян VajraSpy, открывавший удалённый доступ к устройству жертвы, обнаружился в 12 приложениях. Шесть таких программ были доступны для скачивания в Google Play Store с 1 апреля 2021 года по 10 сентября 2023-го.
В настоящее время приложения удалены из официального магазина, но доступны на сторонних площадках. Как правило, они маскируются под мессенджеры и новостной софт.
Попав в систему, VajraSpy может вытаскивать персональные данные: контакты, сообщения и пр. А если пользователь выдаст ему дополнительные права, троян будет записывать голосовые вызовы.
Специалисты антивирусной компании ESET, следившие за атаками операторов VajraSpy, считают, что за распространением трояна стоит кибергруппировка Patchwork APT.
В Play Store вредоносные приложения скачали около 1400 пользователей. Так выглядит список программ, которые были доступны на официальной площадке:
- Rafaqat رفاقت (новостной софт)
- Privee Talk (мессенджер)
- MeetMe (мессенджер)
- Let's Chat (мессенджер)
- Quick Chat (мессенджер)
- Chit Chat (мессенджер)
А вот список содержащих VajraSpy программ, доступных в сторонних магазинах:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
IT Дайджест / IT Новости / IT / Технологии
🥱4
Cloudflare призналась, что не так давно её сеть была атакована
Детальный разбор нарушения безопасности компании, чьими услугами пользуется большая часть Интернета.
Компания Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года.
IT Дайджест / IT Новости / IT / Технологии
Детальный разбор нарушения безопасности компании, чьими услугами пользуется большая часть Интернета.
Компания Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года.
IT Дайджест / IT Новости / IT / Технологии
🤔4
Йеменские хуситы грозятся обрубить оптоволоконный кабель, который тянется по дну Красного моря, если США и Великобритания еще раз ударят по аэропортам Йемена, — СМИ.
Данный кабель питает коммуникационные каналы, связывающие Европу, Африку и Ближний Восток. Если кабель вывести из строя, это ударит по геополитической стабильности, глобальным финансовым рынкам и информационной безопасности.
IT Дайджест / IT Новости / IT / Технологии
Данный кабель питает коммуникационные каналы, связывающие Европу, Африку и Ближний Восток. Если кабель вывести из строя, это ударит по геополитической стабильности, глобальным финансовым рынкам и информационной безопасности.
IT Дайджест / IT Новости / IT / Технологии
😁8🤔2😱1🤡1
Расследование кражи $400 млн с FTX продолжается: полиция выяснила, как именно хакеры провели атаку
Окружной суд США уже выдвинул обвинения против предполагаемых мошенников.
В результате расследования, проведённого американскими правоохранительными органами, была раскрыта связь между кражей более 400 миллионов долларов с криптовалютной биржи FTX в ноябре 2022 года и серией атак с использованием метода SIM Swapping.
Похищение криптовалюты произошло вскоре после того, как компания подала заявление о банкротстве, что изначально вызвало подозрения о возможном внутреннем преступлении с целью вывести средства криптоинвесторов, прикрывшись кибератакой.
В январском документе , поданном в суд округа Вашингтон, обвиняются Роберт Пауэлл, Картер Рон и Эмили Хернандес в осуществлении атак методом SIM Swapping, в результате которых были украдены личные данные 50 жертв. Им удалось убедить телекоммуникационных операторов перенести номера телефонов жертв на устройства преступной группы.
Указано, что в ходе атаки на «Компанию-жертву-1» 11 и 12 ноября 2022 года Эмили Хернандес выдавала себя за сотрудника компании, а Роберт Пауэлл получил доступ к аккаунту биржи в AT&T, в результате чего с криптокошельков компании было переведено более 400 миллионов долларов в виртуальной валюте.
Компания по безопасности блокчейна Elliptic в своём блоге от 1 февраля предположила , что под «Компанией-жертвой-1» подразумевается FTX, так как после объявления о банкротстве были зафиксированы несанкционированные транзакции на сумму около 400 миллионов долларов с криптокошельков FTX.
После взлома часть средств была перечислена на криптобиржу Kraken.
В течение нескольких месяцев после атаки злоумышленники перемещали средства через различные мосты и блокчейны, пытаясь отмыть украденную криптовалюту.
Атаки методом SIM Swapping позволяют злоумышленникам перехватывать коды многофакторной аутентификации, что уже множество раз было использовано для атак на известные фигуры в мире криптовалют.
IT Дайджест / IT Новости / IT / Технологии
Окружной суд США уже выдвинул обвинения против предполагаемых мошенников.
В результате расследования, проведённого американскими правоохранительными органами, была раскрыта связь между кражей более 400 миллионов долларов с криптовалютной биржи FTX в ноябре 2022 года и серией атак с использованием метода SIM Swapping.
Похищение криптовалюты произошло вскоре после того, как компания подала заявление о банкротстве, что изначально вызвало подозрения о возможном внутреннем преступлении с целью вывести средства криптоинвесторов, прикрывшись кибератакой.
В январском документе , поданном в суд округа Вашингтон, обвиняются Роберт Пауэлл, Картер Рон и Эмили Хернандес в осуществлении атак методом SIM Swapping, в результате которых были украдены личные данные 50 жертв. Им удалось убедить телекоммуникационных операторов перенести номера телефонов жертв на устройства преступной группы.
Указано, что в ходе атаки на «Компанию-жертву-1» 11 и 12 ноября 2022 года Эмили Хернандес выдавала себя за сотрудника компании, а Роберт Пауэлл получил доступ к аккаунту биржи в AT&T, в результате чего с криптокошельков компании было переведено более 400 миллионов долларов в виртуальной валюте.
Компания по безопасности блокчейна Elliptic в своём блоге от 1 февраля предположила , что под «Компанией-жертвой-1» подразумевается FTX, так как после объявления о банкротстве были зафиксированы несанкционированные транзакции на сумму около 400 миллионов долларов с криптокошельков FTX.
После взлома часть средств была перечислена на криптобиржу Kraken.
В течение нескольких месяцев после атаки злоумышленники перемещали средства через различные мосты и блокчейны, пытаясь отмыть украденную криптовалюту.
Атаки методом SIM Swapping позволяют злоумышленникам перехватывать коды многофакторной аутентификации, что уже множество раз было использовано для атак на известные фигуры в мире криптовалют.
IT Дайджест / IT Новости / IT / Технологии
👍3
Возвращение FritzFrog: как ботнет использует Log4Shell для создания армии серверов-зомби
Неисправленные серверы позволяют не только проникнуть в систему, но и заработать на этом.
Компания Akamai раскрыла детали нового варианта ботнета FritzFrog, использующего уязвимость Log4Shell для распространения внутри уже скомпрометированных сетей. FritzFrog действует с января 2020 года и был впервые обнаружен в августе 2020 года.
FritzFrog, ориентированный на доступные в интернете серверы со слабыми SSH-учетными данными, проявил себя в секторах здравоохранения, образования и госуправления, развертывая на зараженных хостах майнеры криптовалют и затронув более 1500 жертв за прошедшие годы. FritzFrog представляет собой децентрализованный ботнет, использующий P2P-протоколы для управления своими узлами.
Отличительной чертой последней версии является использование уязвимости Log4Shell для заражения внутренних хостов. Раньше фокус FritzFrog был направлен на уязвимые общедоступные активы. Данная активность отслеживается под названием Frog4Shell.
Даже если уязвимости в доступных через интернет серверах были устранены, нарушение безопасности любого другого узла может подвергнуть неисправленные внутренние системы риску эксплуатации и способствовать распространению вредоносного ПО.
Кроме того, компонент взлома SSH в FritzFrog был модернизирован для идентификации конкретных целей SSH путем перебора различных системных журналов на каждой из зараженных машин. Еще одно заметное изменение в вредоносном ПО – использование уязвимости PwnKit для локального повышения привилегий (Local Privilege Escalation, LPE).
FritzFrog продолжает применять тактики для сохранения скрытности и избегания обнаружения, в частности, избегая сохранения файлов на диске, где это возможно, используя общую память /dev/shm и memfd_create для выполнения загрузок, сохраняемых только в памяти.
IT Дайджест / IT Новости / IT / Технологии
Неисправленные серверы позволяют не только проникнуть в систему, но и заработать на этом.
Компания Akamai раскрыла детали нового варианта ботнета FritzFrog, использующего уязвимость Log4Shell для распространения внутри уже скомпрометированных сетей. FritzFrog действует с января 2020 года и был впервые обнаружен в августе 2020 года.
FritzFrog, ориентированный на доступные в интернете серверы со слабыми SSH-учетными данными, проявил себя в секторах здравоохранения, образования и госуправления, развертывая на зараженных хостах майнеры криптовалют и затронув более 1500 жертв за прошедшие годы. FritzFrog представляет собой децентрализованный ботнет, использующий P2P-протоколы для управления своими узлами.
Отличительной чертой последней версии является использование уязвимости Log4Shell для заражения внутренних хостов. Раньше фокус FritzFrog был направлен на уязвимые общедоступные активы. Данная активность отслеживается под названием Frog4Shell.
Даже если уязвимости в доступных через интернет серверах были устранены, нарушение безопасности любого другого узла может подвергнуть неисправленные внутренние системы риску эксплуатации и способствовать распространению вредоносного ПО.
Кроме того, компонент взлома SSH в FritzFrog был модернизирован для идентификации конкретных целей SSH путем перебора различных системных журналов на каждой из зараженных машин. Еще одно заметное изменение в вредоносном ПО – использование уязвимости PwnKit для локального повышения привилегий (Local Privilege Escalation, LPE).
FritzFrog продолжает применять тактики для сохранения скрытности и избегания обнаружения, в частности, избегая сохранения файлов на диске, где это возможно, используя общую память /dev/shm и memfd_create для выполнения загрузок, сохраняемых только в памяти.
IT Дайджест / IT Новости / IT / Технологии
👍4
Тамбовский хакер пытался взломать сайт одного из объектов оборонного комплекса РФ
В августе 2023 года 45-летний житель Тамбова с помощью вредоносной программы пытался получить доступ к сайту одного из объектов оборонно-промышленного комплекса РФ. Незаконную деятельность тамбовчанина пресекли сотрудники регионального УФСБ России.
По факту создания, использования и распространения вредоносных компьютерных программ было возбуждено уголовное дело. В настоящее время проводятся следственные действия, направленные на сбор и закрепление доказательной базы.
"Санкция по данной статье предусматривает наказание в виде ограничения свободы на срок до четырех лет, либо принудительных работ на срок до четырех лет, либо лишения свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев", - сообщили в пресс-службе УФСБ России по Тамбовской области.
IT Дайджест / IT Новости / IT / Технологии
В августе 2023 года 45-летний житель Тамбова с помощью вредоносной программы пытался получить доступ к сайту одного из объектов оборонно-промышленного комплекса РФ. Незаконную деятельность тамбовчанина пресекли сотрудники регионального УФСБ России.
По факту создания, использования и распространения вредоносных компьютерных программ было возбуждено уголовное дело. В настоящее время проводятся следственные действия, направленные на сбор и закрепление доказательной базы.
"Санкция по данной статье предусматривает наказание в виде ограничения свободы на срок до четырех лет, либо принудительных работ на срок до четырех лет, либо лишения свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев", - сообщили в пресс-службе УФСБ России по Тамбовской области.
IT Дайджест / IT Новости / IT / Технологии
🤣5🔥2
В Москве арестовали хакера, атаковавшего объекты критической информационной инфраструктуры России
Столичный Лефортовский суд наложил арест на хакера Артёма Хорошилова, который обвиняется в организации и проведении DDoS-атак против российских объектов критической информационной инфраструктуры.
Хакеру была продлена мера пресечения в виде заключения под стражу на срок 3 месяца — до 12 мая 2024 года. Также сообщается, что Артём обвинён в организации и совершении преступлений, которые предусматриваются частью 4 статьи 274.1 Уголовного кодекса РФ.
IT Дайджест / IT Новости / IT / Технологии
Столичный Лефортовский суд наложил арест на хакера Артёма Хорошилова, который обвиняется в организации и проведении DDoS-атак против российских объектов критической информационной инфраструктуры.
Хакеру была продлена мера пресечения в виде заключения под стражу на срок 3 месяца — до 12 мая 2024 года. Также сообщается, что Артём обвинён в организации и совершении преступлений, которые предусматриваются частью 4 статьи 274.1 Уголовного кодекса РФ.
IT Дайджест / IT Новости / IT / Технологии
😁5👍3🤔2🤬2
USB-малварь распространяется с помощью новостных сайтов и медиахостингов
Группировка UNC4990 использует USB-устройства для первоначального заражения жертв, а затем злоупотребляет GitHub, Vimeo и Ars Technica для размещения закодированных полезных нагрузок, встроенных в якобы безобидный контент. Хакеры прячут пейлоады на виду, размещая их в профилях пользователей на форумах новостных сайтов или в описаниях видео на платформах для медиахостинга.
Как сообщают аналитики компании Mandiant, стоящая за этой кампанией группировка UNC4990 активна как минимум с 2020 года и преимущественно атакует пользователей в Италии.
Неизвестно, как вредоносные USB-устройства изначально попадают в руки жертв, но при подключении они запускают цепочку атак. Все начинается с того, что пользователь кликает на вредоносный ярлык LNK на USB-накопителе. При запуске ярлыка выполняется PowerShell-скрипт explorer.ps1, который, в свою очередь, загружает промежуточную полезную нагрузку, которая декодирует URL-адрес, используемый для загрузки и установки загрузчика малвари EMPTYSPACE.
Связавшись с управляющим сервером, а также получив текстовый файл или к URL-адрес (на GitHub, Vimeo и Ars Technica), EMPTYSPACE загружает бэкдор под названием QUIETBOARD, а также криптовалютные майнеры, которые добывают Monero, Ethereum, Dogecoin и Bitcoin, используя ресурсы систем жертв.
Судя по кошелькам, связанным с этой кампанией, атаки уже принесли хакерам более 55 000 долларов (без учета Monero, информация о котором недоступна).
IT Дайджест / IT Новости / IT / Технологии
Группировка UNC4990 использует USB-устройства для первоначального заражения жертв, а затем злоупотребляет GitHub, Vimeo и Ars Technica для размещения закодированных полезных нагрузок, встроенных в якобы безобидный контент. Хакеры прячут пейлоады на виду, размещая их в профилях пользователей на форумах новостных сайтов или в описаниях видео на платформах для медиахостинга.
Как сообщают аналитики компании Mandiant, стоящая за этой кампанией группировка UNC4990 активна как минимум с 2020 года и преимущественно атакует пользователей в Италии.
Неизвестно, как вредоносные USB-устройства изначально попадают в руки жертв, но при подключении они запускают цепочку атак. Все начинается с того, что пользователь кликает на вредоносный ярлык LNK на USB-накопителе. При запуске ярлыка выполняется PowerShell-скрипт explorer.ps1, который, в свою очередь, загружает промежуточную полезную нагрузку, которая декодирует URL-адрес, используемый для загрузки и установки загрузчика малвари EMPTYSPACE.
Связавшись с управляющим сервером, а также получив текстовый файл или к URL-адрес (на GitHub, Vimeo и Ars Technica), EMPTYSPACE загружает бэкдор под названием QUIETBOARD, а также криптовалютные майнеры, которые добывают Monero, Ethereum, Dogecoin и Bitcoin, используя ресурсы систем жертв.
Судя по кошелькам, связанным с этой кампанией, атаки уже принесли хакерам более 55 000 долларов (без учета Monero, информация о котором недоступна).
IT Дайджест / IT Новости / IT / Технологии
🤔3
В ходе операции Synergia отключено более 1300 вредоносных C&C-серверов
Интерпол сообщает, что в результате международной операции Synergia правоохранительные органы задержали 31 подозреваемого и захватили 1300 вредоносных серверов, которые использовались для проведения фишинговых атак и распространения вредоносного ПО, включая программы-вымогатели.
Правоохранители пишут, что операция Synergia проходила с сентября по ноябрь 2023 года, и в ней приняли участие 60 правоохранительных ведомств из 55 стран мира. Также правоохранителями помогали специалисты «Лаборатории Касперского», Group-IB, Trend Micro, Shadowserver и Team Cymru.
В результате полиция выявила 1300 IP-адресов C&C-серверов, связанных с программами-вымогателями, вредоносным ПО и фишинговыми кампаниями. Согласно заявлению Интерпола, в итоге около 70% этих серверов были отключены, что стало серьезным ударом для киберпреступников.
Большинство серверов располагалось в Европе, но немало количество также было обнаружено в Сингапуре и Гонконге. В Африке наибольшая активность наблюдалась в Южном Судане и Зимбабве, а в Северной и Южной Америке — в Боливии.
Кроме того, в результате операции Synergia правоохранительные органы провели 30 обысков, задержали 31 подозреваемого в причастности к кибератакам и выявили еще 70 подозреваемых.
IT Дайджест / IT Новости / IT / Технологии
Интерпол сообщает, что в результате международной операции Synergia правоохранительные органы задержали 31 подозреваемого и захватили 1300 вредоносных серверов, которые использовались для проведения фишинговых атак и распространения вредоносного ПО, включая программы-вымогатели.
Правоохранители пишут, что операция Synergia проходила с сентября по ноябрь 2023 года, и в ней приняли участие 60 правоохранительных ведомств из 55 стран мира. Также правоохранителями помогали специалисты «Лаборатории Касперского», Group-IB, Trend Micro, Shadowserver и Team Cymru.
В результате полиция выявила 1300 IP-адресов C&C-серверов, связанных с программами-вымогателями, вредоносным ПО и фишинговыми кампаниями. Согласно заявлению Интерпола, в итоге около 70% этих серверов были отключены, что стало серьезным ударом для киберпреступников.
Большинство серверов располагалось в Европе, но немало количество также было обнаружено в Сингапуре и Гонконге. В Африке наибольшая активность наблюдалась в Южном Судане и Зимбабве, а в Северной и Южной Америке — в Боливии.
Кроме того, в результате операции Synergia правоохранительные органы провели 30 обысков, задержали 31 подозреваемого в причастности к кибератакам и выявили еще 70 подозреваемых.
IT Дайджест / IT Новости / IT / Технологии
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статей
2. LolDriverScan - это инструмент на языке Go, который предназначен для обнаружения уязвимых драйверов в операционной системе.
3. Этичный хакинг. Где и что учить в 2024 году.
4. Универсальный набор инструментов для сбора и управления OSINT-данными с удобным веб-интерфейсом.
5. Курс «Конструирование ядра ОС»
6. Карта для проведения сетевых атак.
7. Как установить Windows 11
8. GOAD — одна из самых актуальных и самодостаточных тестовых лаб для пентеста окружения на базе Active Directory.
9. ThievingFox — удаленное получение учетных данных из менеджеров паролей и утилит Windows.
10. Как остановить DDoS-атаку за 5 шагов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статей
2. LolDriverScan - это инструмент на языке Go, который предназначен для обнаружения уязвимых драйверов в операционной системе.
3. Этичный хакинг. Где и что учить в 2024 году.
4. Универсальный набор инструментов для сбора и управления OSINT-данными с удобным веб-интерфейсом.
5. Курс «Конструирование ядра ОС»
6. Карта для проведения сетевых атак.
7. Как установить Windows 11
8. GOAD — одна из самых актуальных и самодостаточных тестовых лаб для пентеста окружения на базе Active Directory.
9. ThievingFox — удаленное получение учетных данных из менеджеров паролей и утилит Windows.
10. Как остановить DDoS-атаку за 5 шагов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
👍3
AnyDesk: утечка исходного кода и ключей безопасности после хакерской атаки
Эксперты обеспокоены потенциальным риском для пользователей.
Производитель программного обеспечения для удаленного доступа AnyDesk столкнулся с серьезными проблемами безопасности. С 29 января по 1 февраля 2024 года пользователи испытывали трудности с входом в систему из-за четырехдневного сбоя.
Компания стала жертвой кибератаки, в результате которой злоумышленники, предположительно, получили доступ к исходному коду и частным ключам подписи кода. Официально AnyDesk подтвердил, что инцидент не был связан с атаками вымогателей.
После обнаружения признаков вторжения на серверах продукта, AnyDesk провел аудит безопасности совместно с фирмой CrowdStrike. В качестве меры предосторожности компания отозвала все сертификаты безопасности и пароли к своему веб-порталу my.anydesk.com. Также было запланировано аннулирование предыдущего сертификата подписи кода и замена его на новый.
AnyDesk заявил, что в их системах не хранятся личные ключи, токены безопасности или пароли, что должно исключать угрозу для конечных пользователей. Тем не менее, компания призывает пользователей изменить свои пароли, особенно если они используются и в других онлайн-сервисах, и скачать последнюю версию AnyDesk 8.0.8 с новым сертификатом подписи кода.
AnyDesk пользуется популярностью среди корпоративных пользователей, имея более 170 000 клиентов, включая известные компании, такие как LG Electronics, Comcast, NVIDIA и ООН. Однако его широкое распространение и возможность удаленного доступа делают его привлекательным инструментом для киберпреступников, стремящихся получить постоянный доступ к скомпрометированным устройствам и сетям.
IT Дайджест / IT Новости / IT / Технологии
Эксперты обеспокоены потенциальным риском для пользователей.
Производитель программного обеспечения для удаленного доступа AnyDesk столкнулся с серьезными проблемами безопасности. С 29 января по 1 февраля 2024 года пользователи испытывали трудности с входом в систему из-за четырехдневного сбоя.
Компания стала жертвой кибератаки, в результате которой злоумышленники, предположительно, получили доступ к исходному коду и частным ключам подписи кода. Официально AnyDesk подтвердил, что инцидент не был связан с атаками вымогателей.
После обнаружения признаков вторжения на серверах продукта, AnyDesk провел аудит безопасности совместно с фирмой CrowdStrike. В качестве меры предосторожности компания отозвала все сертификаты безопасности и пароли к своему веб-порталу my.anydesk.com. Также было запланировано аннулирование предыдущего сертификата подписи кода и замена его на новый.
AnyDesk заявил, что в их системах не хранятся личные ключи, токены безопасности или пароли, что должно исключать угрозу для конечных пользователей. Тем не менее, компания призывает пользователей изменить свои пароли, особенно если они используются и в других онлайн-сервисах, и скачать последнюю версию AnyDesk 8.0.8 с новым сертификатом подписи кода.
AnyDesk пользуется популярностью среди корпоративных пользователей, имея более 170 000 клиентов, включая известные компании, такие как LG Electronics, Comcast, NVIDIA и ООН. Однако его широкое распространение и возможность удаленного доступа делают его привлекательным инструментом для киберпреступников, стремящихся получить постоянный доступ к скомпрометированным устройствам и сетям.
IT Дайджест / IT Новости / IT / Технологии
👍5
Forwarded from Life-Hack - Хакер
This media is not supported in the widget
VIEW IN TELEGRAM
👍9❤2🤬2🔥1
Минцифры и Роскомнадзор разработали новый законопроект!
Цель - борьба с фишинговыми ресурсами и улучшение контроля контента в интернете.
Законопроект предполагает усиление контроля над распространением нелегального и вредоносного контента в российском сегменте интернета.
IT Дайджест / IT Новости / IT / Технологии
Цель - борьба с фишинговыми ресурсами и улучшение контроля контента в интернете.
Законопроект предполагает усиление контроля над распространением нелегального и вредоносного контента в российском сегменте интернета.
IT Дайджест / IT Новости / IT / Технологии
🖕10👍4🍌4
Вредонос HeadCrab теперь атакует Redis-серверы бесфайловым методом
Вредоносная программа HeadCrab, с сентября 2021 года атакующая Redis-серверы, получила мажорное обновление. Специалисты зафиксировали новую версию, отличительной чертой которой являются бесфайловые операции.
Авторы HeadCrab, как известно, пытаются использовать серверы для майнинга криптовалюты — классическая финансово-ориентированная схема. В новом отчёте Aqua отмечается следующее:
«Операторы вредоносной программы практически удвоили число заражённых серверов Redis. К изначальной цифре в 1200 добавилось ещё 1100 скомпрометированных установок».
Для выгодного майнинга HeadCrab объединяет поражённые Redis-серверы в ботнет, параллельно открывая злоумышленникам возможность для выполнения шелл-команд, загрузки модулей уровня ядра и отправки данных на удалённый сервер.
Специалисты пока не могут точно сказать, кто стоит за атаками HeadCrab, однако есть небольшая зацепка: в мини-блоге, встроенном во вредоносную программу, автор отмечает, что майнинг легален в его стране. Кроме того, известно о планах киберпреступников зарабатывать 15 тыс. долларов в год.
IT Дайджест / IT Новости / IT / Технологии
Вредоносная программа HeadCrab, с сентября 2021 года атакующая Redis-серверы, получила мажорное обновление. Специалисты зафиксировали новую версию, отличительной чертой которой являются бесфайловые операции.
Авторы HeadCrab, как известно, пытаются использовать серверы для майнинга криптовалюты — классическая финансово-ориентированная схема. В новом отчёте Aqua отмечается следующее:
«Операторы вредоносной программы практически удвоили число заражённых серверов Redis. К изначальной цифре в 1200 добавилось ещё 1100 скомпрометированных установок».
Для выгодного майнинга HeadCrab объединяет поражённые Redis-серверы в ботнет, параллельно открывая злоумышленникам возможность для выполнения шелл-команд, загрузки модулей уровня ядра и отправки данных на удалённый сервер.
Специалисты пока не могут точно сказать, кто стоит за атаками HeadCrab, однако есть небольшая зацепка: в мини-блоге, встроенном во вредоносную программу, автор отмечает, что майнинг легален в его стране. Кроме того, известно о планах киберпреступников зарабатывать 15 тыс. долларов в год.
IT Дайджест / IT Новости / IT / Технологии
👍7💯3🔥2
Хакеры нашли способ обойти защиту SmartScreen в Windows
Хакеры нашли новый путь для кражи финансовых данных мексиканцев.
Специалисты Palo Alto Networks Unit 42 выявили атаки на пользователей Мексиси, осуществляемые с использованием трояна Mispadu, нацеленного на кражу банковских данных. Вирус, впервые обнаруженный в 2019 году, распространяется через фишинговые сообщения и использует уязвимость в Windows SmartScreen, которая была устранена в ноябре 2023 года.
Mispadu, разработанный на языке программирования Delphi, активно атакует пользователей в Латинской Америке. С августа 2022 года через спам-кампании было украдено не менее 90 000 банковских учетных данных. Троян является частью большого семейства вредоносных программ, направленных на кражу данных с банковских аккаунтов в Латинской Америке.
Новый способ заражения, идентифицированный Unit 42, включает использование поддельных ярлыков Интернета в ZIP-архивах, эксплуатирующих уязвимость CVE-2023-36025 (оценка CVSS: 8.8). Эксплойт обходит защиту SmartScreen за счет создания специально оформленных файлов с ярлыками интернета, указывающими на сетевые ресурсы злоумышленников, вместо обычных URL-адресов.
После запуска Mispadu определяет географическое расположение и конфигурацию системы жертвы, после чего устанавливает связь с сервером управления и контроля (Command and Control Server, C2) для дальнейшей эксфильтрации данных.
Компания Microsoft в ноябре выпустила обновление безопасности для устранения критической уязвимости нулевого дня в технологии защиты SmartScreen CVE-2023-36025 в операционной системе Windows. Однако эксплойт уже использовался хакерами до выхода обновления для обхода защиты SmartScreen и внедрения вредоносного кода мимо проверок безопасности в Windows Defender.
IT Дайджест / IT Новости / IT / Технологии
Хакеры нашли новый путь для кражи финансовых данных мексиканцев.
Специалисты Palo Alto Networks Unit 42 выявили атаки на пользователей Мексиси, осуществляемые с использованием трояна Mispadu, нацеленного на кражу банковских данных. Вирус, впервые обнаруженный в 2019 году, распространяется через фишинговые сообщения и использует уязвимость в Windows SmartScreen, которая была устранена в ноябре 2023 года.
Mispadu, разработанный на языке программирования Delphi, активно атакует пользователей в Латинской Америке. С августа 2022 года через спам-кампании было украдено не менее 90 000 банковских учетных данных. Троян является частью большого семейства вредоносных программ, направленных на кражу данных с банковских аккаунтов в Латинской Америке.
Новый способ заражения, идентифицированный Unit 42, включает использование поддельных ярлыков Интернета в ZIP-архивах, эксплуатирующих уязвимость CVE-2023-36025 (оценка CVSS: 8.8). Эксплойт обходит защиту SmartScreen за счет создания специально оформленных файлов с ярлыками интернета, указывающими на сетевые ресурсы злоумышленников, вместо обычных URL-адресов.
После запуска Mispadu определяет географическое расположение и конфигурацию системы жертвы, после чего устанавливает связь с сервером управления и контроля (Command and Control Server, C2) для дальнейшей эксфильтрации данных.
Компания Microsoft в ноябре выпустила обновление безопасности для устранения критической уязвимости нулевого дня в технологии защиты SmartScreen CVE-2023-36025 в операционной системе Windows. Однако эксплойт уже использовался хакерами до выхода обновления для обхода защиты SmartScreen и внедрения вредоносного кода мимо проверок безопасности в Windows Defender.
IT Дайджест / IT Новости / IT / Технологии
👍4
Дипфейк-шоу: как мошенники украли $25,6 млн у гонконгской компании
Мошенники убедили сотрудника, что мир вокруг - иллюзия.
По данным СМИ SCMP, международная компания в Гонконге стала жертвой мошенничества с использованием технологии дипфейков, потеряв $25,6 млн. Сотрудников местного филиала обманули с помощью цифрового двойника главного финансового директора, который в ходе видеоконференции приказал провести денежные переводы.
Случай стал первым подобным в Гонконге и вызвал особый интерес из-за вовлеченной крупной суммы денег. Детали о компании и сотрудниках не разглашаются. Полиция акцентировала внимание на новизне метода мошенничества, когда все участники группового видеозвонка, кроме самой жертвы, являлись дипфейками.
В отличие от предыдущих случаев мошенничества, где жертв обманывали в ходе видеозвонков один-на-один, злоумышленники использовали технологию дипфейков для создания групповых видеоконференций, где внешность и голоса мошенников были неотличимы от реальных людей.
Такой подход позволил обмануть сотрудника финансового отдела. Он получил фишинговое сообщение якобы от главного финансового директора компании из Великобритании о необходимости секретной транзакции, и, несмотря на первоначальные сомнения, принял участие в групповой видеоконференции, где «присутствовали» директор, другие работники компании и сторонние лица. Сотрудник следовал инструкциям собеседников и осуществил 15 переводов на общую сумму 200 миллионов гонконгских долларов на 5 банковских счетов в Гонконге.
События разворачивались на протяжении недели с момента обращения к сотруднику до момента, когда человек осознал обман, обратившись в головной офис компании. Полиция в ходе расследования выяснила, что участники встречи были дипфейками, для которых использовались общедоступные видео и аудиозаписи.
IT Дайджест / IT Новости / IT / Технологии
Мошенники убедили сотрудника, что мир вокруг - иллюзия.
По данным СМИ SCMP, международная компания в Гонконге стала жертвой мошенничества с использованием технологии дипфейков, потеряв $25,6 млн. Сотрудников местного филиала обманули с помощью цифрового двойника главного финансового директора, который в ходе видеоконференции приказал провести денежные переводы.
Случай стал первым подобным в Гонконге и вызвал особый интерес из-за вовлеченной крупной суммы денег. Детали о компании и сотрудниках не разглашаются. Полиция акцентировала внимание на новизне метода мошенничества, когда все участники группового видеозвонка, кроме самой жертвы, являлись дипфейками.
В отличие от предыдущих случаев мошенничества, где жертв обманывали в ходе видеозвонков один-на-один, злоумышленники использовали технологию дипфейков для создания групповых видеоконференций, где внешность и голоса мошенников были неотличимы от реальных людей.
Такой подход позволил обмануть сотрудника финансового отдела. Он получил фишинговое сообщение якобы от главного финансового директора компании из Великобритании о необходимости секретной транзакции, и, несмотря на первоначальные сомнения, принял участие в групповой видеоконференции, где «присутствовали» директор, другие работники компании и сторонние лица. Сотрудник следовал инструкциям собеседников и осуществил 15 переводов на общую сумму 200 миллионов гонконгских долларов на 5 банковских счетов в Гонконге.
События разворачивались на протяжении недели с момента обращения к сотруднику до момента, когда человек осознал обман, обратившись в головной офис компании. Полиция в ходе расследования выяснила, что участники встречи были дипфейками, для которых использовались общедоступные видео и аудиозаписи.
IT Дайджест / IT Новости / IT / Технологии
👍5👀3🤔2
Банковский троян Mispadu взял на вооружение дыру в Windows SmartScreen
Банковский троян Mispadu стал свежей киберугрозой, эксплуатирующей уязвимость в Windows SmartScreen. Mispadu написан на Delphi и предназначен для кражи конфиденциальной информации жертвы.
Команда Unit 42 (принадлежит Palo Alto Networks) впервые зафиксировала Mispadu в 2019 году, она же выявила новый вариант вредоносной программы.
Троян распространяется в фишинговых письмах. Свежие кампании отмечаются использованием злонамеренных файлов-ярлыков, запакованных в ZIP-архив. Зловред эксплуатирует уязвимость под идентификатором CVE-2023-36025.
Напомним, эта брешь позволяет обойти защитную функцию Windows SmartScreen. Microsoft устранила CVE-2023-36025 (8,8 балла по шкале CVSS) с выходом ноябрьских обновлений.
«Эксплуатация завязана на специально подготовленных файлах формата .URL (или гиперссылке, ведущей на такой файл), позволяющих обойти предупреждения SmartScreen», — пишут исследователи.
«Сам обход зависит от параметра, относящегося к сетевой шаре с вредоносным бинарником».
IT Дайджест / IT Новости / IT / Технологии
Банковский троян Mispadu стал свежей киберугрозой, эксплуатирующей уязвимость в Windows SmartScreen. Mispadu написан на Delphi и предназначен для кражи конфиденциальной информации жертвы.
Команда Unit 42 (принадлежит Palo Alto Networks) впервые зафиксировала Mispadu в 2019 году, она же выявила новый вариант вредоносной программы.
Троян распространяется в фишинговых письмах. Свежие кампании отмечаются использованием злонамеренных файлов-ярлыков, запакованных в ZIP-архив. Зловред эксплуатирует уязвимость под идентификатором CVE-2023-36025.
Напомним, эта брешь позволяет обойти защитную функцию Windows SmartScreen. Microsoft устранила CVE-2023-36025 (8,8 балла по шкале CVSS) с выходом ноябрьских обновлений.
«Эксплуатация завязана на специально подготовленных файлах формата .URL (или гиперссылке, ведущей на такой файл), позволяющих обойти предупреждения SmartScreen», — пишут исследователи.
«Сам обход зависит от параметра, относящегося к сетевой шаре с вредоносным бинарником».
IT Дайджест / IT Новости / IT / Технологии
❤5