Сегодня ГрИБы раскрыли сведения о начавшейся скам-атаке на пользователей Facebook в 84 странах мира, которую злоумышленники реализуют через мошенническую схему, рассчитанную на инсталляцию владельцами аккаунтов фейкового обновления Facebook Messenger.

Для этого злоумышленники распространяли рекламные публикации со ссылками на доступные обновления, которые по факту представляли фишинговый сайт с фиктивной формой для авторизации. В итоге жертва могла потерять доступ к своему аккаунту и “слить” другие свои персональные данные. При этом мошенники не только умело играют на человеческих чувствах — любопытство, страх, жажда наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.

Устремления хакеров понятны, ведь Facebook является крупнейшей социально сетью и насчитывает более 2,7 млрд. пользователей. К настоящему времени ГрИБами обнаружено 5700 фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, а количество поддельных профилей социальной сети, которые использовались в данной схеме, — почти 1000. При этом сама схема экспертами Group-IB Digital Risk Protection разрабатывается с лета 2020 года.

Похоже, что спойлер кому-то серьезно подпортил планы, а заодно - как выяснилось и годы подготовки. Кина не будет.

Apple представила новый iPad Pro, AirTag, iMac и клавиатуру с Touch ID

Так, iPad Pro получил экран с подсветкой mini-LED, а так же 2 ТБ встроенной памяти и поддержку 5G.

Модели iPhone 12 и iPhone 12 mini теперь станут доступны в фиолетовом цвете.

Кроме этого, компания представила AirTag — брелок, который позволит искать потерянные вещи с помощью смартфона.

Что касается iMac, он получил обновлённый дизайн и более тонкую конструкцию, а так же клавиатуру Magic Keyboard с Touch ID, новую Magic Mouse и трекпад.

Полный список новых устройств и обновлений доступен на сайте компании.

​​СВР открыла передовую онлайн-приемную в формате SecureDrop, позволяющую ей принимать сообщения пользователей об угрозах национальной безопасности через сеть Tor.

Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.

При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.

Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.

Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP.

Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских организаций.

Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.

По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.

Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.

Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021.

​​На Positive Technologies начинает накатываться эхо ранее объявленных санкций со стороны США.

Компания сообщила в своём Твиттере, что их учётная запись в YouTube заблокирована. Наверняка это "первая ласточка" и остальные соцмедийные платформы скоро последуют примеру Google. На самом деле больше волнует другое: Позитивов должны будут отключить от своей инфраструктуры все американские компании. А потом вообще все организации, которые не хотят отхватить от дядюшки Сэма путёвку в SDN.

Непростые времена у коллег. Давайте ещё раз пожелаем им не терять оптимизма.

​​Риторика санкции находит свое эффективное применение не только в плоскости политики, сообщество разработчиков Linux наложили запрет на дальнейшее участие Университета Миннесоты (UMN) в проекте. О «санкциях» сегодня заявил главный разработчик ядра Linux Грег Кроа-Хартман.

Поводом для такого бескомпромиссного и новаторского решения стало исследование UMN под названием «Незащищенность открытого исходного кода: незаметное внедрение уязвимостей с помощью лицемерных коммитов». Его суть такова: группа исследователей преднамеренно пытались внедрить известные уязвимости безопасности в ядре Linux, отправляя серию коммитов с вредоносным кодом в официальную кодовую базу. Конечно же, для чистоты эксперимента детали проводимой Университетом «исследовательской» операции ни перед кем не разглашались.

Учитывая как далеко исследователи могли зайти, Кроа-Хартман отменил все коммиты, отправленные с любого из адресов электронной почты UMN, вернуть исправления разработчики намерены после повторной проверки всех предложенных исправлений.

По мнению Open Source Security Inc. каким бы провокационным не было исследование вопрос безопасности процесса установки исправлений в программном обеспечении с открытым исходным кодом, остается актуальным: количество обращений к разработчикам Linux с подозрительными патчами за последнее время резко увеличилось. Несмотря на все доводы Кроа-Хартман пошел на принцип и удалил все исправления, в том числе и те, которые закрывали реальные баги.

Возвращаясь к нашей аналогии с санкциями: в конечном счете проигрывают все стороны, а к этому времени реальные выгодоприобретатели уже вовсю шерстят все блокнутые патчи и готовят эксплойты.

​​Ранее мы уже упоминали про тактику двойного вымогательства, которая была призвана повысить эффективность атак с использованием ransomeware. Операторы Darkside более творчески подошли к процессу и взяли на вооружение новый один прием давления на жертв из числа компаний, представленных на фондовых рынках.

Среди прочих популярностью у хакеров также пользуются следующие методы: холодные звонки с угрозами жертвам, переговоры с руководством или ответственным за выплату выкупа лицом, раскрытие информации об атаке контрагентам, угрозы проведения DDoS-атак, утечки в СМИ, анонимные обращения в надзорные органы с сообщениями об инцидентах, давление на клиентов компании-жертвы.

Команда Darkside публично заявила, что будет взаимодействовать с трейдерами, сливая им информацию об атакуемых компаниях в качестве инсайда заблаговременно до придания широкой огласке факта атаки.

Полагаясь на эффект публично раскрытой кибератаки на фондовый рынок, представители Darkside будут публично разоблачать жертв, обрушивая котировки их акций на фондовых рынках. Помимо помощи в заработках трейдерам, они рассчитывают также заставить других жертв активнее платить выкуп.

Однако специалисты инфосек слабо верят в высокую эффективность нового вектора, ведь ни одна из предыдущих атак программ-вымогателей не была достаточно серьезной, чтобы нанести долгосрочный ущерб листингу компании на рынке, при этом цена снижалась лишь незначительно в моменте. Кроме того, в погоне за быстрыми деньгами «намазанные» трейдеры могут попасть в поле зрения регулирующих органов, а их деятельность может быть расследована со всеми вытекающими последствиями.

На деле статистика говорит об обратном, в растущем объеме атак с использованием вымогателей - будет расти и доля жертв, давление на которых будет реализовано всеми доступными методами, в том числе и влиянием на их положение на финансовых рынках.

​​В субботу ушел из жизни Дэн Камински (@dakami), знаменитый, без шуток, инфосек эксперт.

Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops, был назначен ICAAN авторитетным представителем сообщества и многое другое.

Говорят, что возможной причиной смерти стали осложнения после прививки Pfizer. 42 года было чуваку.

R.I.P., чо.

Минфцифры предложило сделать предустановленные приложения удаляемыми

Теперь производители устройств должны обеспечить возможность удаления предустановленных приложений.

Примечательно, что 19 апреля документ был опубликован на официальном сайте, но спустя 4 дня его удалили.

В Минцифры сообщили, что его направили на согласование с ФАС, Минэкономики и Роспотребнадзором.

По словам ведомства, это нужно для доработки поправок с учётом всех замечаний.

В конце прошлой недели стало известно, что американская компания Gyrodata, специализирующаяся на технологиях бурения, пострадала в результате атаки ransomware.

Gyrodata является одним из крупнейших игроков на этом рынке, работает более чем в 50 странах мира и поставляет, в числе прочего, продукты в области направленного бурения, например управляемые роторные системы (RSS). Понятно, что вмешательство в работу поставляемых американской компанией систем могут привести к аварии при проведении буровых работ, скажем, на нефтескважине. А там недалеко и до локальной экологической катастрофы.

Пока что картина выглядит так - в период с 16 января по 22 февраля 2021 года злоумышленники проникли в сеть Gyrodata, после чего расширял свое присутствие в ней. В результате атаки часть информации была украдена - пока что заявляется только о личных данных сотрудников компании.

Безусловно, поставщик решений для нефтесервисных компаний напрямую к критической инфраструктуре не относится и с ICS какого-нибудь нефтеперерабатывающего завода его сеть сравнивать нельзя. Но так-то SolarWinds тоже ни разу не пункт управления ядерным вооружением, а ты гляди ж какой скандал поднялся, когда компанию скомпрометировали и внедрили в ПО трояна.

Не устанем повторять - вопросы информационной безопасности в условиях стремительного развития информационных технологий являются архиважными и, зачастую, намного более значимыми, чем вопросы безопасности физической. Однако забор поставить у нас никогда не забывают, а вот на защиту внешнего периметра сети забивают периодически.

​​Мы уже не один раз писали про пугающую нас тенденцию в западном инфосеке, согласно которой главной проблемой становится "отсутствие разнообразия в кибербезопасности" (к примеру, здесь)

Ну так вот получите очередную итерацию диверситибесия от Forbes.

Существо Таави Маст (мы, согласно правилам политкорректности, не стали директивно определять его гендер и не назвали, к примеру, товарищем) сетует, что различные # BLM и прочие # MeToo мало повлияли на разнообразие в стройных интравертных рядах инфосек экспертов и поэтому необходимо срочно внедрить новый хэштег - # InfoSecSoWhite.

Ведь, согласно имеющимся данным, женщины составляют лишь 14% сотрудников в области кибербезопасности, а афронегры (страшно сказать!) встречаются лишь в 3% случаев среди инфосек аналитиков в США. А еще в информационной безопасности мало геев (хотя некоторое специалисты могут с нами поспорить, потому что, по их мнению, CISO - тот еще ЛГБТшник).

Ну и пути решения Таави Маст предлагает известные - повышенные зарплаты угнетаемым, квоты на занимаемые должности по расовому, гендерному и другим признакам и прочую ересь.

Подскажем Масту еще одну требующую внимания проблему - по данным международных исследований в области медицины 100% пациентов в родильных домах являются женщинами. Необходимо изобрести хэштег # IWantToGetPregnantToo и срочно вводить квоты!

Вчера Apple выпустили обновления macOS 11.3 Big Sur вместе с iOS 14.5, а также обновления безопасности для более старых версий macOS - Catalina и Mojave.

Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.

Свежий апдейт, в числе прочего, закрывает 0-day уязвимость CVE-2021-30657, которая эксплуатируется в дикой природе. Эта ошибка позволяет хакеру обходить элементы зашиты macOS - Gatekeeper, Notarization и File Quarantine - и сразу запускать неподписанный вредонос.

Подробнейшим образом весь процесс обнаружения этой уязвимости описал исследователь Патрик Уордл, а мы лишь заметим, что ошибка заключалась в том, что любое приложение на основе сценария при отсутствующей файле метаинформации Info.plist ошибочно квалифицировалось macOS как "не bundle" и обрабатывалось в обход механизмов защиты. Похоже, что уязвимость появилась вместе с введением в macOS 10.15 в октябре 2019 года нотаризации приложений.

В январе 2021 года Уордл обратился к коллегам из компании Jamf, которые в результате поиска обнаружили эксплойт CVE-2021-30657 в дикой природе, а именно в дроппере Shlayer. Вредонос распространяется преимущественно через поисковую выдачу и загружает на атакованную машину полезную нагрузку.

Исходя из всего вышесказанного жизненно необходимо срочно обновить свои Mac. А заодно и все остальные устройства Apple.

Управление полиции Вашингтона, столицы США, стало жертвой ransomware Babuk.

Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.

В результате успешной атаки, произошедшей, вероятно, 19 апреля, у вашингтонской полиции были похищены 250 Гб служебной информации, в которой, в частности, присутствуют материалы разработок местных банд и имена полицейских информаторов. Вымогатели угрожают опубликовать эти данные, если в течение 3 дней представители полиции не свяжутся с ними.

Особое внимание Babuk уделяют сведениям об участниках протеста 6 января, в ходе которого сторонники Трампа ломились в Капитолий.

Вообще говоря, по стилю эта группа чем-то похожа на задорных любителей чучхе из северокорейских APT Lazarus и Kimsuky.

Напомним, что в конце марта Babuk накрячили американскую компанию PDI Group, являющуюся одним из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командования спецопераций.

Теперь же они угрожают атаковать ФБР и CISA. Как думаете, получится?

Как мы уже говорили сегодня, Apple выкатили iOS 14.5, в которой запустили функцию App Tracking Transparency, анонсированную семь месяцев назад.

Теперь все приложения на iPhone, даже уже установленные, должны будут запрашивать и получать согласие пользователя на сбор информации о его Интернет-активности.

На протяжении последних месяцев планы Apple по введению App Tracking Transparency, а также новые правила для разработчиков приложений, вызывали лютое жжение ниже поясницы у других гигантов IT-рынка, таких как Google и Facebook. Последние так вообще назвали это злоупотреблением властью, что не удивительно - изменения могут сократить доходы Цукерберга на миллиарды долларов в год.

Но мы-то помним, что приложения Facebook и WhatsApp по неясной причине собирают на порядки больше пользовательской информации, чем, например, богоспасаемые Telegram и Signal.

Поэтому единственно верным действием для пользователей iPhone в сложившейся ситуации будет срочно обновить свои устройства до iOS 14.5.

​​Коллеги из Positive Technologies не унывают от введенных американцами санкций и выкатили новый отчет об активности северокорейской APT Lazarus.

Итак, в сентябре 2020 года двое сотрудников неназванной крупной фармацевтической компании, судя по всему российской, получили в выходные дни на свою почту фишинговые документы, содержащие предложения от потенциальных работодателей из General Dynamics Mission Systems. Оба неосторожных пользователя открыли их на своих домашних компьютерах, в результате чего машины были скомпрометированы.

В начале рабочей недели оба сотрудника подключились удаленно к корпоративному серверу RDG (шлюз удаленных рабочих столов) и в результате этого хакеры проникли в корпоративную сеть. В течение двух дней злоумышленники проводили разведку, после чего фактически взяли ее под контроль, получив доступ к нескольким серверам, в том числе к контроллеру домена.

В последнем они создали нового администратора admin $, что и было замечено сисадминами и вызвало проведение проверки силами Позитивов.

Параллельно хакеры через LinkedIn связались с еще одним сотрудником компании, работающим в другом филиале, от лица HR-специалиста компании General Dynamics UK. Далее они отправили фишинговый PDF на электронную почту, который сотрудник и открыл, скомпрометировав таким образом свой компьютер.

Примечательно, что с первого раза жертва не смогла открыть файл, после чего хакеры отправили ей Internal PDF Viewer для просмотра зараженного файла. Nuff said.

В ходе атак злоумышленники использовали бэкдор CommsCacher и троян Agamemnon. По словам Позитивов, оба вредоноса были описаны ранее McAfee, как используемые в ходе кампании Operation North Star, приписываемой Lazarus. Кроме того, бэкдор CommsCacher указывает на связь с киберкампанией Dream Job (мы писали про нее здесь), в ходе которой Lazarus работали под личиной HR-специалистов крупных западных компаний.

Ну а завершим мы этот пост твитом известного инфосек журналиста Каталина Чимпану, который надеется, что попав под санкции Positive Technologies начнут уже наконец вскрывать кибероперации разведки США. Поддержим румына, Позитивы, жгите.

Прямо сейчас в офисе ЛК

​​👆оно и понятно: буквально вчера ФАС оштрафовала компанию Apple на 12 миллионов долларов по заявлению Лаборатории Касперского.

По решению регулятора Apple лишилась права безосновательно отклонять в App Store приложения сторонних разработчиков и отныне обязана не допускать преимущественных условий для приложений собственной разработки, а также обеспечить конкурентные условия для разработчиков приложений "родительского контроля".

​​Мы как-то пропустили эту новость, но вот - в выходные на одном из форумов появилась в продаже база банка ВТБ, содержащая данные его клиентов, включая ФИО, адрес, телефон , электронную почту, а также тип выданной карты.

Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.

Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.

Pondurance совместно с Trend Micro сообщают о новинке ransomware под условным наименованием Hello (WickrMe), использующей широко известный эксплойт под CVE-2019-0604 в отношении серверов Microsoft SharePoint. Похоже, что SharePoint теперь присоединились к списку сетевых устройств, используемых для проникновения в корпоративные сети, который включает шлюзы Citrix, балансировщики нагрузки F5 BIG-IP, почтовые серверы Microsoft Exchange, а также сети VPN Pulse Secure, Fortinet и Palo Alto Network.

Первые активности банды Hello (WickrMe) фиксировались еще в конце 2020 года. Тогда группа и получила свой нейминг из-за применения анонимных аккаунтов Wickr для обмена мгновенными сообщениями, чтобы контактов с жертвами и обсуждения выкупа.

Ошибка, о которой Microsoft предупреждала еще год назад, позволяет злоумышленникам получить контроль над сервером SharePoint через веб-оболочку, установить бэкдор (Cobalt Strike) для запуска автоматизированных сценариев PowerShell, которые в конечном итоге реализуют полезную нагрузку - ransomware Hello. При этом эксплойты для этой ошибки стали активно использоваться АРТ27 для проведения атак еще в мае 2019, после чего и попали в сеть.

Несмотря на то, что, по данным Bad Packets, в последнее время каких-либо попыток сканирования серверов SharePoint практически не фиксируются, вполне ожидаемы атаки Hello (WickrMe) путем эксплуатации уже реализованных к настоящему времени бэкдоров на серверах SharePoint. Если вы еще не пропатчили ошибки SharePoint - значит у вас есть время, чтобы озаботиться установкой исправлений . Ну а, мы ждём когда операторы Hello (WickrMe) воспользуются «брокера начального доступа» для реализации новых векторов атак.