СВР открыла передовую онлайн-приемную в формате SecureDrop, позволяющую ей принимать сообщения пользователей об угрозах национальной безопасности через сеть Tor.
Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.
При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.
Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.
Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP.
Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.
При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.
Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.
Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP.
Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских организаций.
Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.
По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.
Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.
Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021.
Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.
По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.
Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.
Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021.
Ivanti
Security | Ivanti
Looking to protect against ransomware and other malware. Up your patching game and dig into all of our endpoint security solutions.
На Positive Technologies начинает накатываться эхо ранее объявленных санкций со стороны США.
Компания сообщила в своём Твиттере, что их учётная запись в YouTube заблокирована. Наверняка это "первая ласточка" и остальные соцмедийные платформы скоро последуют примеру Google. На самом деле больше волнует другое: Позитивов должны будут отключить от своей инфраструктуры все американские компании. А потом вообще все организации, которые не хотят отхватить от дядюшки Сэма путёвку в SDN.
Непростые времена у коллег. Давайте ещё раз пожелаем им не терять оптимизма.
Компания сообщила в своём Твиттере, что их учётная запись в YouTube заблокирована. Наверняка это "первая ласточка" и остальные соцмедийные платформы скоро последуют примеру Google. На самом деле больше волнует другое: Позитивов должны будут отключить от своей инфраструктуры все американские компании. А потом вообще все организации, которые не хотят отхватить от дядюшки Сэма путёвку в SDN.
Непростые времена у коллег. Давайте ещё раз пожелаем им не терять оптимизма.
Риторика санкции находит свое эффективное применение не только в плоскости политики, сообщество разработчиков Linux наложили запрет на дальнейшее участие Университета Миннесоты (UMN) в проекте. О «санкциях» сегодня заявил главный разработчик ядра Linux Грег Кроа-Хартман.
Поводом для такого бескомпромиссного и новаторского решения стало исследование UMN под названием «Незащищенность открытого исходного кода: незаметное внедрение уязвимостей с помощью лицемерных коммитов». Его суть такова: группа исследователей преднамеренно пытались внедрить известные уязвимости безопасности в ядре Linux, отправляя серию коммитов с вредоносным кодом в официальную кодовую базу. Конечно же, для чистоты эксперимента детали проводимой Университетом «исследовательской» операции ни перед кем не разглашались.
Учитывая как далеко исследователи могли зайти, Кроа-Хартман отменил все коммиты, отправленные с любого из адресов электронной почты UMN, вернуть исправления разработчики намерены после повторной проверки всех предложенных исправлений.
По мнению Open Source Security Inc. каким бы провокационным не было исследование вопрос безопасности процесса установки исправлений в программном обеспечении с открытым исходным кодом, остается актуальным: количество обращений к разработчикам Linux с подозрительными патчами за последнее время резко увеличилось. Несмотря на все доводы Кроа-Хартман пошел на принцип и удалил все исправления, в том числе и те, которые закрывали реальные баги.
Возвращаясь к нашей аналогии с санкциями: в конечном счете проигрывают все стороны, а к этому времени реальные выгодоприобретатели уже вовсю шерстят все блокнутые патчи и готовят эксплойты.
Поводом для такого бескомпромиссного и новаторского решения стало исследование UMN под названием «Незащищенность открытого исходного кода: незаметное внедрение уязвимостей с помощью лицемерных коммитов». Его суть такова: группа исследователей преднамеренно пытались внедрить известные уязвимости безопасности в ядре Linux, отправляя серию коммитов с вредоносным кодом в официальную кодовую базу. Конечно же, для чистоты эксперимента детали проводимой Университетом «исследовательской» операции ни перед кем не разглашались.
Учитывая как далеко исследователи могли зайти, Кроа-Хартман отменил все коммиты, отправленные с любого из адресов электронной почты UMN, вернуть исправления разработчики намерены после повторной проверки всех предложенных исправлений.
По мнению Open Source Security Inc. каким бы провокационным не было исследование вопрос безопасности процесса установки исправлений в программном обеспечении с открытым исходным кодом, остается актуальным: количество обращений к разработчикам Linux с подозрительными патчами за последнее время резко увеличилось. Несмотря на все доводы Кроа-Хартман пошел на принцип и удалил все исправления, в том числе и те, которые закрывали реальные баги.
Возвращаясь к нашей аналогии с санкциями: в конечном счете проигрывают все стороны, а к этому времени реальные выгодоприобретатели уже вовсю шерстят все блокнутые патчи и готовят эксплойты.
Forwarded from SecurityLab.ru (SecurityLab news)
Москва предлагает Вашингтону восстановить диалог по теме предотвращения кибератак, в том числе на высоком уровне.
https://www.securitylab.ru/news/519224.php
https://www.securitylab.ru/news/519224.php
t.me
Россия предлагает США соглашение о киберненападении
Предложение России включает в себя заключение глобальной договоренности о принятии обязательства государствами о ненанесении первыми ударов с помощью ИКТ друг против друга
Ранее мы уже упоминали про тактику двойного вымогательства, которая была призвана повысить эффективность атак с использованием ransomeware. Операторы Darkside более творчески подошли к процессу и взяли на вооружение новый один прием давления на жертв из числа компаний, представленных на фондовых рынках.
Среди прочих популярностью у хакеров также пользуются следующие методы: холодные звонки с угрозами жертвам, переговоры с руководством или ответственным за выплату выкупа лицом, раскрытие информации об атаке контрагентам, угрозы проведения DDoS-атак, утечки в СМИ, анонимные обращения в надзорные органы с сообщениями об инцидентах, давление на клиентов компании-жертвы.
Команда Darkside публично заявила, что будет взаимодействовать с трейдерами, сливая им информацию об атакуемых компаниях в качестве инсайда заблаговременно до придания широкой огласке факта атаки.
Полагаясь на эффект публично раскрытой кибератаки на фондовый рынок, представители Darkside будут публично разоблачать жертв, обрушивая котировки их акций на фондовых рынках. Помимо помощи в заработках трейдерам, они рассчитывают также заставить других жертв активнее платить выкуп.
Однако специалисты инфосек слабо верят в высокую эффективность нового вектора, ведь ни одна из предыдущих атак программ-вымогателей не была достаточно серьезной, чтобы нанести долгосрочный ущерб листингу компании на рынке, при этом цена снижалась лишь незначительно в моменте. Кроме того, в погоне за быстрыми деньгами «намазанные» трейдеры могут попасть в поле зрения регулирующих органов, а их деятельность может быть расследована со всеми вытекающими последствиями.
На деле статистика говорит об обратном, в растущем объеме атак с использованием вымогателей - будет расти и доля жертв, давление на которых будет реализовано всеми доступными методами, в том числе и влиянием на их положение на финансовых рынках.
Среди прочих популярностью у хакеров также пользуются следующие методы: холодные звонки с угрозами жертвам, переговоры с руководством или ответственным за выплату выкупа лицом, раскрытие информации об атаке контрагентам, угрозы проведения DDoS-атак, утечки в СМИ, анонимные обращения в надзорные органы с сообщениями об инцидентах, давление на клиентов компании-жертвы.
Команда Darkside публично заявила, что будет взаимодействовать с трейдерами, сливая им информацию об атакуемых компаниях в качестве инсайда заблаговременно до придания широкой огласке факта атаки.
Полагаясь на эффект публично раскрытой кибератаки на фондовый рынок, представители Darkside будут публично разоблачать жертв, обрушивая котировки их акций на фондовых рынках. Помимо помощи в заработках трейдерам, они рассчитывают также заставить других жертв активнее платить выкуп.
Однако специалисты инфосек слабо верят в высокую эффективность нового вектора, ведь ни одна из предыдущих атак программ-вымогателей не была достаточно серьезной, чтобы нанести долгосрочный ущерб листингу компании на рынке, при этом цена снижалась лишь незначительно в моменте. Кроме того, в погоне за быстрыми деньгами «намазанные» трейдеры могут попасть в поле зрения регулирующих органов, а их деятельность может быть расследована со всеми вытекающими последствиями.
На деле статистика говорит об обратном, в растущем объеме атак с использованием вымогателей - будет расти и доля жертв, давление на которых будет реализовано всеми доступными методами, в том числе и влиянием на их положение на финансовых рынках.
В субботу ушел из жизни Дэн Камински (@dakami), знаменитый, без шуток, инфосек эксперт.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops, был назначен ICAAN авторитетным представителем сообщества и многое другое.
Говорят, что возможной причиной смерти стали осложнения после прививки Pfizer. 42 года было чуваку.
R.I.P., чо.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops, был назначен ICAAN авторитетным представителем сообщества и многое другое.
Говорят, что возможной причиной смерти стали осложнения после прививки Pfizer. 42 года было чуваку.
R.I.P., чо.
Forwarded from Эксплойт | Live
Минфцифры предложило сделать предустановленные приложения удаляемыми
Теперь производители устройств должны обеспечить возможность удаления предустановленных приложений.
Примечательно, что 19 апреля документ был опубликован на официальном сайте, но спустя 4 дня его удалили.
В Минцифры сообщили, что его направили на согласование с ФАС, Минэкономики и Роспотребнадзором.
По словам ведомства, это нужно для доработки поправок с учётом всех замечаний.
Теперь производители устройств должны обеспечить возможность удаления предустановленных приложений.
Примечательно, что 19 апреля документ был опубликован на официальном сайте, но спустя 4 дня его удалили.
В Минцифры сообщили, что его направили на согласование с ФАС, Минэкономики и Роспотребнадзором.
По словам ведомства, это нужно для доработки поправок с учётом всех замечаний.
В конце прошлой недели стало известно, что американская компания Gyrodata, специализирующаяся на технологиях бурения, пострадала в результате атаки ransomware.
Gyrodata является одним из крупнейших игроков на этом рынке, работает более чем в 50 странах мира и поставляет, в числе прочего, продукты в области направленного бурения, например управляемые роторные системы (RSS). Понятно, что вмешательство в работу поставляемых американской компанией систем могут привести к аварии при проведении буровых работ, скажем, на нефтескважине. А там недалеко и до локальной экологической катастрофы.
Пока что картина выглядит так - в период с 16 января по 22 февраля 2021 года злоумышленники проникли в сеть Gyrodata, после чего расширял свое присутствие в ней. В результате атаки часть информации была украдена - пока что заявляется только о личных данных сотрудников компании.
Безусловно, поставщик решений для нефтесервисных компаний напрямую к критической инфраструктуре не относится и с ICS какого-нибудь нефтеперерабатывающего завода его сеть сравнивать нельзя. Но так-то SolarWinds тоже ни разу не пункт управления ядерным вооружением, а ты гляди ж какой скандал поднялся, когда компанию скомпрометировали и внедрили в ПО трояна.
Не устанем повторять - вопросы информационной безопасности в условиях стремительного развития информационных технологий являются архиважными и, зачастую, намного более значимыми, чем вопросы безопасности физической. Однако забор поставить у нас никогда не забывают, а вот на защиту внешнего периметра сети забивают периодически.
Gyrodata является одним из крупнейших игроков на этом рынке, работает более чем в 50 странах мира и поставляет, в числе прочего, продукты в области направленного бурения, например управляемые роторные системы (RSS). Понятно, что вмешательство в работу поставляемых американской компанией систем могут привести к аварии при проведении буровых работ, скажем, на нефтескважине. А там недалеко и до локальной экологической катастрофы.
Пока что картина выглядит так - в период с 16 января по 22 февраля 2021 года злоумышленники проникли в сеть Gyrodata, после чего расширял свое присутствие в ней. В результате атаки часть информации была украдена - пока что заявляется только о личных данных сотрудников компании.
Безусловно, поставщик решений для нефтесервисных компаний напрямую к критической инфраструктуре не относится и с ICS какого-нибудь нефтеперерабатывающего завода его сеть сравнивать нельзя. Но так-то SolarWinds тоже ни разу не пункт управления ядерным вооружением, а ты гляди ж какой скандал поднялся, когда компанию скомпрометировали и внедрили в ПО трояна.
Не устанем повторять - вопросы информационной безопасности в условиях стремительного развития информационных технологий являются архиважными и, зачастую, намного более значимыми, чем вопросы безопасности физической. Однако забор поставить у нас никогда не забывают, а вот на защиту внешнего периметра сети забивают периодически.
Мы уже не один раз писали про пугающую нас тенденцию в западном инфосеке, согласно которой главной проблемой становится "отсутствие разнообразия в кибербезопасности" (к примеру, здесь)
Ну так вот получите очередную итерацию диверситибесия от Forbes.
Существо Таави Маст (мы, согласно правилам политкорректности, не стали директивно определять его гендер и не назвали, к примеру, товарищем) сетует, что различные # BLM и прочие # MeToo мало повлияли на разнообразие в стройных интравертных рядах инфосек экспертов и поэтому необходимо срочно внедрить новый хэштег - # InfoSecSoWhite.
Ведь, согласно имеющимся данным, женщины составляют лишь 14% сотрудников в области кибербезопасности, а афронегры (страшно сказать!) встречаются лишь в 3% случаев среди инфосек аналитиков в США. А еще в информационной безопасности мало геев (хотя некоторое специалисты могут с нами поспорить, потому что, по их мнению, CISO - тот еще ЛГБТшник).
Ну и пути решения Таави Маст предлагает известные - повышенные зарплаты угнетаемым, квоты на занимаемые должности по расовому, гендерному и другим признакам и прочую ересь.
Подскажем Масту еще одну требующую внимания проблему - по данным международных исследований в области медицины 100% пациентов в родильных домах являются женщинами. Необходимо изобрести хэштег # IWantToGetPregnantToo и срочно вводить квоты!
Ну так вот получите очередную итерацию диверситибесия от Forbes.
Существо Таави Маст (мы, согласно правилам политкорректности, не стали директивно определять его гендер и не назвали, к примеру, товарищем) сетует, что различные # BLM и прочие # MeToo мало повлияли на разнообразие в стройных интравертных рядах инфосек экспертов и поэтому необходимо срочно внедрить новый хэштег - # InfoSecSoWhite.
Ведь, согласно имеющимся данным, женщины составляют лишь 14% сотрудников в области кибербезопасности, а афронегры (страшно сказать!) встречаются лишь в 3% случаев среди инфосек аналитиков в США. А еще в информационной безопасности мало геев (хотя некоторое специалисты могут с нами поспорить, потому что, по их мнению, CISO - тот еще ЛГБТшник).
Ну и пути решения Таави Маст предлагает известные - повышенные зарплаты угнетаемым, квоты на занимаемые должности по расовому, гендерному и другим признакам и прочую ересь.
Подскажем Масту еще одну требующую внимания проблему - по данным международных исследований в области медицины 100% пациентов в родильных домах являются женщинами. Необходимо изобрести хэштег # IWantToGetPregnantToo и срочно вводить квоты!
Forbes
How To Address The Lack Of Diversity In Cybersecurity
Companies should set up internal metrics for community outreach and recruitment that are part of a comprehensive plan, not just put up a booth in a college job fair.
Вчера Apple выпустили обновления macOS 11.3 Big Sur вместе с iOS 14.5, а также обновления безопасности для более старых версий macOS - Catalina и Mojave.
Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.
Свежий апдейт, в числе прочего, закрывает 0-day уязвимость CVE-2021-30657, которая эксплуатируется в дикой природе. Эта ошибка позволяет хакеру обходить элементы зашиты macOS - Gatekeeper, Notarization и File Quarantine - и сразу запускать неподписанный вредонос.
Подробнейшим образом весь процесс обнаружения этой уязвимости описал исследователь Патрик Уордл, а мы лишь заметим, что ошибка заключалась в том, что любое приложение на основе сценария при отсутствующей файле метаинформации Info.plist ошибочно квалифицировалось macOS как "не bundle" и обрабатывалось в обход механизмов защиты. Похоже, что уязвимость появилась вместе с введением в macOS 10.15 в октябре 2019 года нотаризации приложений.
В январе 2021 года Уордл обратился к коллегам из компании Jamf, которые в результате поиска обнаружили эксплойт CVE-2021-30657 в дикой природе, а именно в дроппере Shlayer. Вредонос распространяется преимущественно через поисковую выдачу и загружает на атакованную машину полезную нагрузку.
Исходя из всего вышесказанного жизненно необходимо срочно обновить свои Mac. А заодно и все остальные устройства Apple.
Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.
Свежий апдейт, в числе прочего, закрывает 0-day уязвимость CVE-2021-30657, которая эксплуатируется в дикой природе. Эта ошибка позволяет хакеру обходить элементы зашиты macOS - Gatekeeper, Notarization и File Quarantine - и сразу запускать неподписанный вредонос.
Подробнейшим образом весь процесс обнаружения этой уязвимости описал исследователь Патрик Уордл, а мы лишь заметим, что ошибка заключалась в том, что любое приложение на основе сценария при отсутствующей файле метаинформации Info.plist ошибочно квалифицировалось macOS как "не bundle" и обрабатывалось в обход механизмов защиты. Похоже, что уязвимость появилась вместе с введением в macOS 10.15 в октябре 2019 года нотаризации приложений.
В январе 2021 года Уордл обратился к коллегам из компании Jamf, которые в результате поиска обнаружили эксплойт CVE-2021-30657 в дикой природе, а именно в дроппере Shlayer. Вредонос распространяется преимущественно через поисковую выдачу и загружает на атакованную машину полезную нагрузку.
Исходя из всего вышесказанного жизненно необходимо срочно обновить свои Mac. А заодно и все остальные устройства Apple.
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
Forwarded from SecurityLab.ru (purnijaseclab_bot)
Вымогатели сливают чертежи новых устройств Apple 😱
Прямо накануне презентации Apple злоумышленники из REvil грозятся слить конкурентам чертежи и всю техническую документацию к новеньким iPad Pro, Apple Pencil, а также долгожданному трекеру для поиска вещей AirTag.
Что еще произошло - расскажем в новом выпуске новостей с Александром Антиповым, главным редактором SecurityLab:
- как разработчики Signal обнаружили уязвимости в Cellebrite - инструменте для взлома телефонов
- как ваша картошка фри из аэрофритюрницы Cosori может стать причиной не только испорченного обеда, но и пожара из-за уязвимостей
- и топ инцидент: как 0-day уязвимости в Pulse Connect Secure дали возможность киберпреступникам атаковать организации США и Европы
https://www.youtube.com/watch?v=7IGvYjjUmWQ
Прямо накануне презентации Apple злоумышленники из REvil грозятся слить конкурентам чертежи и всю техническую документацию к новеньким iPad Pro, Apple Pencil, а также долгожданному трекеру для поиска вещей AirTag.
Что еще произошло - расскажем в новом выпуске новостей с Александром Антиповым, главным редактором SecurityLab:
- как разработчики Signal обнаружили уязвимости в Cellebrite - инструменте для взлома телефонов
- как ваша картошка фри из аэрофритюрницы Cosori может стать причиной не только испорченного обеда, но и пожара из-за уязвимостей
- и топ инцидент: как 0-day уязвимости в Pulse Connect Secure дали возможность киберпреступникам атаковать организации США и Европы
https://www.youtube.com/watch?v=7IGvYjjUmWQ
YouTube
Подробности про новые Apple, Китай следит за США. Security-новости, #14
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:37 Уязвимости в аэрофритюрницах Cosori могут испортить обед - https://www.securitylab.ru/news/519081.php
3:24 Техническая документация…
0:37 Уязвимости в аэрофритюрницах Cosori могут испортить обед - https://www.securitylab.ru/news/519081.php
3:24 Техническая документация…
Управление полиции Вашингтона, столицы США, стало жертвой ransomware Babuk.
Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.
В результате успешной атаки, произошедшей, вероятно, 19 апреля, у вашингтонской полиции были похищены 250 Гб служебной информации, в которой, в частности, присутствуют материалы разработок местных банд и имена полицейских информаторов. Вымогатели угрожают опубликовать эти данные, если в течение 3 дней представители полиции не свяжутся с ними.
Особое внимание Babuk уделяют сведениям об участниках протеста 6 января, в ходе которого сторонники Трампа ломились в Капитолий.
Вообще говоря, по стилю эта группа чем-то похожа на задорных любителей чучхе из северокорейских APT Lazarus и Kimsuky.
Напомним, что в конце марта Babuk накрячили американскую компанию PDI Group, являющуюся одним из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командования спецопераций.
Теперь же они угрожают атаковать ФБР и CISA. Как думаете, получится?
Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.
В результате успешной атаки, произошедшей, вероятно, 19 апреля, у вашингтонской полиции были похищены 250 Гб служебной информации, в которой, в частности, присутствуют материалы разработок местных банд и имена полицейских информаторов. Вымогатели угрожают опубликовать эти данные, если в течение 3 дней представители полиции не свяжутся с ними.
Особое внимание Babuk уделяют сведениям об участниках протеста 6 января, в ходе которого сторонники Трампа ломились в Капитолий.
Вообще говоря, по стилю эта группа чем-то похожа на задорных любителей чучхе из северокорейских APT Lazarus и Kimsuky.
Напомним, что в конце марта Babuk накрячили американскую компанию PDI Group, являющуюся одним из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командования спецопераций.
Теперь же они угрожают атаковать ФБР и CISA. Как думаете, получится?
BleepingComputer
DC Police confirms cyberattack after ransomware gang leaks data
The Metropolitan Police Department has confirmed that they suffered a cyberattack after the Babuk ransomware gang leaked screenshots of stolen data.
Как мы уже говорили сегодня, Apple выкатили iOS 14.5, в которой запустили функцию App Tracking Transparency, анонсированную семь месяцев назад.
Теперь все приложения на iPhone, даже уже установленные, должны будут запрашивать и получать согласие пользователя на сбор информации о его Интернет-активности.
На протяжении последних месяцев планы Apple по введению App Tracking Transparency, а также новые правила для разработчиков приложений, вызывали лютое жжение ниже поясницы у других гигантов IT-рынка, таких как Google и Facebook. Последние так вообще назвали это злоупотреблением властью, что не удивительно - изменения могут сократить доходы Цукерберга на миллиарды долларов в год.
Но мы-то помним, что приложения Facebook и WhatsApp по неясной причине собирают на порядки больше пользовательской информации, чем, например, богоспасаемые Telegram и Signal.
Поэтому единственно верным действием для пользователей iPhone в сложившейся ситуации будет срочно обновить свои устройства до iOS 14.5.
Теперь все приложения на iPhone, даже уже установленные, должны будут запрашивать и получать согласие пользователя на сбор информации о его Интернет-активности.
На протяжении последних месяцев планы Apple по введению App Tracking Transparency, а также новые правила для разработчиков приложений, вызывали лютое жжение ниже поясницы у других гигантов IT-рынка, таких как Google и Facebook. Последние так вообще назвали это злоупотреблением властью, что не удивительно - изменения могут сократить доходы Цукерберга на миллиарды долларов в год.
Но мы-то помним, что приложения Facebook и WhatsApp по неясной причине собирают на порядки больше пользовательской информации, чем, например, богоспасаемые Telegram и Signal.
Поэтому единственно верным действием для пользователей iPhone в сложившейся ситуации будет срочно обновить свои устройства до iOS 14.5.
Telegram
SecAtor
Вчера Apple выпустили обновления macOS 11.3 Big Sur вместе с iOS 14.5, а также обновления безопасности для более старых версий macOS - Catalina и Mojave.
Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.
Свежий…
Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.
Свежий…
Коллеги из Positive Technologies не унывают от введенных американцами санкций и выкатили новый отчет об активности северокорейской APT Lazarus.
Итак, в сентябре 2020 года двое сотрудников неназванной крупной фармацевтической компании, судя по всему российской, получили в выходные дни на свою почту фишинговые документы, содержащие предложения от потенциальных работодателей из General Dynamics Mission Systems. Оба неосторожных пользователя открыли их на своих домашних компьютерах, в результате чего машины были скомпрометированы.
В начале рабочей недели оба сотрудника подключились удаленно к корпоративному серверу RDG (шлюз удаленных рабочих столов) и в результате этого хакеры проникли в корпоративную сеть. В течение двух дней злоумышленники проводили разведку, после чего фактически взяли ее под контроль, получив доступ к нескольким серверам, в том числе к контроллеру домена.
В последнем они создали нового администратора admin $, что и было замечено сисадминами и вызвало проведение проверки силами Позитивов.
Параллельно хакеры через LinkedIn связались с еще одним сотрудником компании, работающим в другом филиале, от лица HR-специалиста компании General Dynamics UK. Далее они отправили фишинговый PDF на электронную почту, который сотрудник и открыл, скомпрометировав таким образом свой компьютер.
Примечательно, что с первого раза жертва не смогла открыть файл, после чего хакеры отправили ей Internal PDF Viewer для просмотра зараженного файла. Nuff said.
В ходе атак злоумышленники использовали бэкдор CommsCacher и троян Agamemnon. По словам Позитивов, оба вредоноса были описаны ранее McAfee, как используемые в ходе кампании Operation North Star, приписываемой Lazarus. Кроме того, бэкдор CommsCacher указывает на связь с киберкампанией Dream Job (мы писали про нее здесь), в ходе которой Lazarus работали под личиной HR-специалистов крупных западных компаний.
Ну а завершим мы этот пост твитом известного инфосек журналиста Каталина Чимпану, который надеется, что попав под санкции Positive Technologies начнут уже наконец вскрывать кибероперации разведки США. Поддержим румына, Позитивы, жгите.
Итак, в сентябре 2020 года двое сотрудников неназванной крупной фармацевтической компании, судя по всему российской, получили в выходные дни на свою почту фишинговые документы, содержащие предложения от потенциальных работодателей из General Dynamics Mission Systems. Оба неосторожных пользователя открыли их на своих домашних компьютерах, в результате чего машины были скомпрометированы.
В начале рабочей недели оба сотрудника подключились удаленно к корпоративному серверу RDG (шлюз удаленных рабочих столов) и в результате этого хакеры проникли в корпоративную сеть. В течение двух дней злоумышленники проводили разведку, после чего фактически взяли ее под контроль, получив доступ к нескольким серверам, в том числе к контроллеру домена.
В последнем они создали нового администратора admin $, что и было замечено сисадминами и вызвало проведение проверки силами Позитивов.
Параллельно хакеры через LinkedIn связались с еще одним сотрудником компании, работающим в другом филиале, от лица HR-специалиста компании General Dynamics UK. Далее они отправили фишинговый PDF на электронную почту, который сотрудник и открыл, скомпрометировав таким образом свой компьютер.
Примечательно, что с первого раза жертва не смогла открыть файл, после чего хакеры отправили ей Internal PDF Viewer для просмотра зараженного файла. Nuff said.
В ходе атак злоумышленники использовали бэкдор CommsCacher и троян Agamemnon. По словам Позитивов, оба вредоноса были описаны ранее McAfee, как используемые в ходе кампании Operation North Star, приписываемой Lazarus. Кроме того, бэкдор CommsCacher указывает на связь с киберкампанией Dream Job (мы писали про нее здесь), в ходе которой Lazarus работали под личиной HR-специалистов крупных западных компаний.
Ну а завершим мы этот пост твитом известного инфосек журналиста Каталина Чимпану, который надеется, что попав под санкции Positive Technologies начнут уже наконец вскрывать кибероперации разведки США. Поддержим румына, Позитивы, жгите.
Twitter
Catalin Cimpanu
I really hope now that they're sanctioned, they start dumping data on US intelligence ops. Getting bored here writing about the same 3-4 bad APTs all the time
👆оно и понятно: буквально вчера ФАС оштрафовала компанию Apple на 12 миллионов долларов по заявлению Лаборатории Касперского.
По решению регулятора Apple лишилась права безосновательно отклонять в App Store приложения сторонних разработчиков и отныне обязана не допускать преимущественных условий для приложений собственной разработки, а также обеспечить конкурентные условия для разработчиков приложений "родительского контроля".
По решению регулятора Apple лишилась права безосновательно отклонять в App Store приложения сторонних разработчиков и отныне обязана не допускать преимущественных условий для приложений собственной разработки, а также обеспечить конкурентные условия для разработчиков приложений "родительского контроля".
Мы как-то пропустили эту новость, но вот - в выходные на одном из форумов появилась в продаже база банка ВТБ, содержащая данные его клиентов, включая ФИО, адрес, телефон , электронную почту, а также тип выданной карты.
Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.
Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.
Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.
Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.
Pondurance совместно с Trend Micro сообщают о новинке ransomware под условным наименованием Hello (WickrMe), использующей широко известный эксплойт под CVE-2019-0604 в отношении серверов Microsoft SharePoint. Похоже, что SharePoint теперь присоединились к списку сетевых устройств, используемых для проникновения в корпоративные сети, который включает шлюзы Citrix, балансировщики нагрузки F5 BIG-IP, почтовые серверы Microsoft Exchange, а также сети VPN Pulse Secure, Fortinet и Palo Alto Network.
Первые активности банды Hello (WickrMe) фиксировались еще в конце 2020 года. Тогда группа и получила свой нейминг из-за применения анонимных аккаунтов Wickr для обмена мгновенными сообщениями, чтобы контактов с жертвами и обсуждения выкупа.
Ошибка, о которой Microsoft предупреждала еще год назад, позволяет злоумышленникам получить контроль над сервером SharePoint через веб-оболочку, установить бэкдор (Cobalt Strike) для запуска автоматизированных сценариев PowerShell, которые в конечном итоге реализуют полезную нагрузку - ransomware Hello. При этом эксплойты для этой ошибки стали активно использоваться АРТ27 для проведения атак еще в мае 2019, после чего и попали в сеть.
Несмотря на то, что, по данным Bad Packets, в последнее время каких-либо попыток сканирования серверов SharePoint практически не фиксируются, вполне ожидаемы атаки Hello (WickrMe) путем эксплуатации уже реализованных к настоящему времени бэкдоров на серверах SharePoint. Если вы еще не пропатчили ошибки SharePoint - значит у вас есть время, чтобы озаботиться установкой исправлений . Ну а, мы ждём когда операторы Hello (WickrMe) воспользуются «брокера начального доступа» для реализации новых векторов атак.
Первые активности банды Hello (WickrMe) фиксировались еще в конце 2020 года. Тогда группа и получила свой нейминг из-за применения анонимных аккаунтов Wickr для обмена мгновенными сообщениями, чтобы контактов с жертвами и обсуждения выкупа.
Ошибка, о которой Microsoft предупреждала еще год назад, позволяет злоумышленникам получить контроль над сервером SharePoint через веб-оболочку, установить бэкдор (Cobalt Strike) для запуска автоматизированных сценариев PowerShell, которые в конечном итоге реализуют полезную нагрузку - ransomware Hello. При этом эксплойты для этой ошибки стали активно использоваться АРТ27 для проведения атак еще в мае 2019, после чего и попали в сеть.
Несмотря на то, что, по данным Bad Packets, в последнее время каких-либо попыток сканирования серверов SharePoint практически не фиксируются, вполне ожидаемы атаки Hello (WickrMe) путем эксплуатации уже реализованных к настоящему времени бэкдоров на серверах SharePoint. Если вы еще не пропатчили ошибки SharePoint - значит у вас есть время, чтобы озаботиться установкой исправлений . Ну а, мы ждём когда операторы Hello (WickrMe) воспользуются «брокера начального доступа» для реализации новых векторов атак.
Trend Micro
Hello Ransomware Uses Updated China Chopper Web Shell, SharePoint Vulnerability
We discuss the technical features of a Hello ransomware attack, including its exploitation of CVE-2019-0604 and the use of a modified version of the China Chopper web shell.
Вчера мы писали, что владельцы ransomware Babuk угрожают выкинуть в паблик 250 Гб украденной у Управления полиции Вашингтона информации если представители последнего не выйдут с вымогателями на связь.
Видимо, полицейские так и не решились на контакт с хакерами, поэтому они выкинули как последнее китайское предупреждение пять файлов, содержащих личные данные офицеров полиции, включающие их домашние адреса и телефоны.
Следующим, по всей видимости, будут сведения о полицейских информаторах внутри организованной преступности, о чем вымогатели предупреждали ранее. По нашему мнению - дело крайне нехорошее даже для владельцев ransomware, поскольку может угрожать жизни людей.
Видимо, полицейские так и не решились на контакт с хакерами, поэтому они выкинули как последнее китайское предупреждение пять файлов, содержащих личные данные офицеров полиции, включающие их домашние адреса и телефоны.
Следующим, по всей видимости, будут сведения о полицейских информаторах внутри организованной преступности, о чем вымогатели предупреждали ранее. По нашему мнению - дело крайне нехорошее даже для владельцев ransomware, поскольку может угрожать жизни людей.
Евгений Валентинович (tm) разбушевался.
Сначала он нагнул компанию Apple на 12 млн. долларов через ФАС, а теперь решил пройтись по национальным американским шпионам.
Вчера Касперские опубликовали отчет про тренды в активности APT за первый квартал 2021 года. Рекомендуем всем ознакомится, интересные вещи пишут.
Но особенно интересным нам показалось новое упоминание одной из самых таинственных APT - группы Lamberts aka Longhorn, являющейся штатным подразделением американского Центрального разведывательного управления.
По информации Лаборатории Касперского, в феврале 2019 года они, в числе других антивирусных компаний, получили набор образцов вредоносов, большинство из которых были связаны с известными APT.
Некоторые из образцов, которые не получили атрибутирования с конкретными хакерскими группами, привлекли внимание исследователей красотой кода. Вредоносы были скомпилированы в 2014 году и примерно тогда же использовались в атаках.
Хотя конкретных пересечений с известными образцами малвари Касперские не получили, стиль и методы кодирования позволили отнести их к авторству Lamberts. Поэтому исследователи назвали найденный модульный вредонос Purple Lambert, по функционалу он представляет собой RAT (более подробную информацию Касперские обещают в подписочной версии отчета, постараемся добыть и посмотреть).
Обнаруженные образцы Purple Lambert в дикой природе замечены не были.
APT Lamberts - скилованые ЦРУшные хакеры, существование которых было подтверждено Wikileaks в ходе слива информации Vault 7. Информации об их атаках крайне мало, данные давали только Касперские, китайцы из Qihoo 360 и, как не странно, американская Symantec.
Надо бы про них обзор написать.
Сначала он нагнул компанию Apple на 12 млн. долларов через ФАС, а теперь решил пройтись по национальным американским шпионам.
Вчера Касперские опубликовали отчет про тренды в активности APT за первый квартал 2021 года. Рекомендуем всем ознакомится, интересные вещи пишут.
Но особенно интересным нам показалось новое упоминание одной из самых таинственных APT - группы Lamberts aka Longhorn, являющейся штатным подразделением американского Центрального разведывательного управления.
По информации Лаборатории Касперского, в феврале 2019 года они, в числе других антивирусных компаний, получили набор образцов вредоносов, большинство из которых были связаны с известными APT.
Некоторые из образцов, которые не получили атрибутирования с конкретными хакерскими группами, привлекли внимание исследователей красотой кода. Вредоносы были скомпилированы в 2014 году и примерно тогда же использовались в атаках.
Хотя конкретных пересечений с известными образцами малвари Касперские не получили, стиль и методы кодирования позволили отнести их к авторству Lamberts. Поэтому исследователи назвали найденный модульный вредонос Purple Lambert, по функционалу он представляет собой RAT (более подробную информацию Касперские обещают в подписочной версии отчета, постараемся добыть и посмотреть).
Обнаруженные образцы Purple Lambert в дикой природе замечены не были.
APT Lamberts - скилованые ЦРУшные хакеры, существование которых было подтверждено Wikileaks в ходе слива информации Vault 7. Информации об их атаках крайне мало, данные давали только Касперские, китайцы из Qihoo 360 и, как не странно, американская Symantec.
Надо бы про них обзор написать.
Securelist
APT trends report Q1 2021
This report highlights significant events related to advanced persistent threat (APT) activity observed in Q1 2021. The summaries are based on our threat intelligence research and provide a representative snapshot of what we have published and discussed in…