Приватный браузер стал действительно приватным: проект Tor выпустил Tor Browser 10.0.18 с исправлением множества ошибок.
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
blog.torproject.org
New Release: Tor Browser 10.0.18 | Tor Project
Tor Browser 10.0.18 is now available from the Tor Browser download page and also from our distribution directory.
Компания NVIDIA, специализирующаяся на графических чипах, выпустила обновления программного обеспечения для устранения в общей сложности 26 уязвимостей CVE‑2021‑34372 до CVE‑2021‑34397 в серии Jetson system-on-module (SOM).
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.
—Партнерский пост—
К сожалению эпидемиологическая обстановка в России оставляет желать лучшего. SecAtor рекомендует без крайней необходимости не выходить из дома, а также сделать побыстрее обновление своего организма одним из двух патчей — Спутник V или КовиВак. Про ЭпиВакКорону ничего говорить не будем, по слухам после применения этого апдейта отмечаются неоднократные случаи успешной эксплуатации уязвимости со стороны малвари COVID-19. Лица же, прошедшие обновление, могут пить, гулять, любить людей (желательно противоположного пола).
Но даже в такой непростой ситуации жизненно необходимо искать положительные стороны. И в качестве подобного кейса мы советуем вам 5-дневный онлайн-курс Digital Forensics Analyst: Level 2 от компании Group-IB, который стартует 28 июня (то есть ровно через шесть дней).
И вот некоторые из причин, по которым это нужно сделать.
- за последние несколько лет количество кибератак выросло в арифметической прогрессии, а инциденты с применением ransomware только за год стали встречаться чаще на 150% при среднем размере выкупа в $170.000;
- мишенью злоумышленников становятся компании из совершенно разных отраслей: от банков до компаний розничной торговли, от нефтегазовых производств до телекома. И нет причин полагать, что интенсивность и частота этой вредоносной активности пойдет на спад (готовы забиться, что наоборот);
- исходя из вышесказанного важно знать, как правильно и четко реагировать на инциденты, как их исследовать и делать выводы, которые в дальнейшем позволят значительно снизить риск повторной атаки на компанию;
- эксперты крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики Group-IB расскажут о специфике методов криминалистического снятия данных, криминалистической работы с памятью и криминалистики хостов;
- по промокоду SECATOR вы получите скидку в 15% от стоимости;
- прекрасно подходит для антипрививочников — Group-IB не требует наличия антител для прохождения онлайн-курса.
Увидимся.
К сожалению эпидемиологическая обстановка в России оставляет желать лучшего. SecAtor рекомендует без крайней необходимости не выходить из дома, а также сделать побыстрее обновление своего организма одним из двух патчей — Спутник V или КовиВак. Про ЭпиВакКорону ничего говорить не будем, по слухам после применения этого апдейта отмечаются неоднократные случаи успешной эксплуатации уязвимости со стороны малвари COVID-19. Лица же, прошедшие обновление, могут пить, гулять, любить людей (желательно противоположного пола).
Но даже в такой непростой ситуации жизненно необходимо искать положительные стороны. И в качестве подобного кейса мы советуем вам 5-дневный онлайн-курс Digital Forensics Analyst: Level 2 от компании Group-IB, который стартует 28 июня (то есть ровно через шесть дней).
И вот некоторые из причин, по которым это нужно сделать.
- за последние несколько лет количество кибератак выросло в арифметической прогрессии, а инциденты с применением ransomware только за год стали встречаться чаще на 150% при среднем размере выкупа в $170.000;
- мишенью злоумышленников становятся компании из совершенно разных отраслей: от банков до компаний розничной торговли, от нефтегазовых производств до телекома. И нет причин полагать, что интенсивность и частота этой вредоносной активности пойдет на спад (готовы забиться, что наоборот);
- исходя из вышесказанного важно знать, как правильно и четко реагировать на инциденты, как их исследовать и делать выводы, которые в дальнейшем позволят значительно снизить риск повторной атаки на компанию;
- эксперты крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики Group-IB расскажут о специфике методов криминалистического снятия данных, криминалистической работы с памятью и криминалистики хостов;
- по промокоду SECATOR вы получите скидку в 15% от стоимости;
- прекрасно подходит для антипрививочников — Group-IB не требует наличия антител для прохождения онлайн-курса.
Увидимся.
Group-IB
Обучающий курс "Windows DFIR Analyst" (Анализ инцидентов на ОС Windows)| Group-IB
Узнайте, как разбираться в методах сбора криминалистических данных, создавать криминалистические образы и анализировать артефакты для реконструкции техник атакующих.
В апреле месяце мы давали информацию про то, что исследователи компании Onapsis на примере продуктов SAP показали, что как только апдейты для ПО становятся доступны хакеры начинают проводить их реинжиниринг, чтобы получить данные в отношении свежезакрытой уязвимости и разработать метод ее эксплуатации.
Поэтому у технической поддержки есть в среднем всего 72 часа на то, чтобы накатить свежее обновление, устраняющее какую-либо уязвимость до появления ее эксплойта.
А теперь вышел отчет с другой стороны от компании WhiteHat Security, эксперты которой подсчитали, что среднее время исправления критических уязвимостей увеличилось с 197 дней в апреле до 205 дней в мае этого года.
Но, в целом, 197 дней или там 205 - большого значения не имеет. Потому что это все равно больше чем 60 раз отличается от срока в 72 золотых часа.
На этом, в принципе, свет можно гасить, а инфосек закрывать.
Поэтому у технической поддержки есть в среднем всего 72 часа на то, чтобы накатить свежее обновление, устраняющее какую-либо уязвимость до появления ее эксплойта.
А теперь вышел отчет с другой стороны от компании WhiteHat Security, эксперты которой подсчитали, что среднее время исправления критических уязвимостей увеличилось с 197 дней в апреле до 205 дней в мае этого года.
Но, в целом, 197 дней или там 205 - большого значения не имеет. Потому что это все равно больше чем 60 раз отличается от срока в 72 золотых часа.
На этом, в принципе, свет можно гасить, а инфосек закрывать.
Telegram
SecAtor
Вчера компания SAP совместно с инфосек компанией Onapsis выпустили новый отчет в отношении актуальных киберугроз пользователям ПО немецкого производителя.
Там много чего написано, но нас заинтересовало лишь одно число - по мнению исследователей, пользователи…
Там много чего написано, но нас заинтересовало лишь одно число - по мнению исследователей, пользователи…
Разработчики богоспасаемого браузера Brave запускают свой собственный поисковик, призванный защищать интересы и приватность пользователей.
Администрация браузера заявила, что новая поисковая система Brave search уже была протестирована более чем 100 тыс. пользователями в рамках закрытой альфы, а сейчас она становится доступна в составе открытой бета-версии Brave. Окончательный запуск планируется ближе к концу года.
Чем же так хорош анонсируемый Brave search?
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Даже вопрос "Откуда деньги, Билли?" Brave разъясняют вполне достоверно - показ конфиденциальной рекламы на базе собственной системы Brave Ads или скрытие всей рекламы за отдельную абонплату (по типу YouTube).
И вот все так хорошо складывается, что даже не верится, а внутренний параноик стучит кулаками в пепел наших сердец с криками "Подстава!". Особенно вспоминая мутную историю с анонимным поисковиком DuckDuckGo.
Просто потому, что если бы мы были западными спецслужбами, то обязательно бы запустили подконтрольный проект по созданию приватной экосистемы для пользователей (а именно это и делают сейчас Brave). Свежую историю про подконтрольную спецслужбам криптоплатформу An0m помните? Вот то-то и оно.
А вот если бы мы были спецслужбами российскими, то мы бы заявили об опасности созданных террористами компьютерных играх. Но это уже о грустном.
Администрация браузера заявила, что новая поисковая система Brave search уже была протестирована более чем 100 тыс. пользователями в рамках закрытой альфы, а сейчас она становится доступна в составе открытой бета-версии Brave. Окончательный запуск планируется ближе к концу года.
Чем же так хорош анонсируемый Brave search?
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.
Даже вопрос "Откуда деньги, Билли?" Brave разъясняют вполне достоверно - показ конфиденциальной рекламы на базе собственной системы Brave Ads или скрытие всей рекламы за отдельную абонплату (по типу YouTube).
И вот все так хорошо складывается, что даже не верится, а внутренний параноик стучит кулаками в пепел наших сердец с криками "Подстава!". Особенно вспоминая мутную историю с анонимным поисковиком DuckDuckGo.
Просто потому, что если бы мы были западными спецслужбами, то обязательно бы запустили подконтрольный проект по созданию приватной экосистемы для пользователей (а именно это и делают сейчас Brave). Свежую историю про подконтрольную спецслужбам криптоплатформу An0m помните? Вот то-то и оно.
А вот если бы мы были спецслужбами российскими, то мы бы заявили об опасности созданных террористами компьютерных играх. Но это уже о грустном.
Twitter
BrendanEich
search.brave.com is in public beta, available to all and best in Brave, where you can pick it from alternative search engines in settings and make it default if you're game to help us get it ready to be promoted to default. Thanks.
Осенью прошлого года в Sonic Wall VPN была исправлена уязвимость CVE-2020-5135 с оценкой критичности 9,4, которая позволяла неаутентифицированному пользователю вызвать DoS и даже в теории осуществить уделанное выполнение кода (RCE). На момент закрытия в сети светилось почти 800 тысяч уязвимых хостов.
Однако, как выяснил исследователь компании Tripwire Крейг Янг, исправление уязвимости было корявым.
В результате пропатченный Sonic Wall стал вместо выпадения в осадок вследствие DoS выдавать в ответ на вредоносный HTTP-запрос поток сознания, в котором, предположительно, содержался частичный дамп памяти.
В итоге SonicWall признали свой промах, правда на доустранение новой уязвимости, получившей CVE-2021-20019 им потребовалось "всего-то" 8 месяцев. Такое себе, конечно.
Однако, как выяснил исследователь компании Tripwire Крейг Янг, исправление уязвимости было корявым.
В результате пропатченный Sonic Wall стал вместо выпадения в осадок вследствие DoS выдавать в ответ на вредоносный HTTP-запрос поток сознания, в котором, предположительно, содержался частичный дамп памяти.
В итоге SonicWall признали свой промах, правда на доустранение новой уязвимости, получившей CVE-2021-20019 им потребовалось "всего-то" 8 месяцев. Такое себе, конечно.
Tripwire
Analyzing SonicWall’s Unsuccessful Fix for CVE-2020-5135
A discussion of some aspects of the SonicWall vulnerabilities found and some general thoughts about vulnerability handling and disclosure.
Соскучились по ransomware? Так вот и они!
Вчера третий по величине город Бельгии Льеж сломался. Что же с ним случилось? Правильно - его атаковали вымогатели.
В результате взлома стал недоступен ряд сервисов - бельгийский ЗАГС, кадровые назначения. Кроме того, сломались платные парковки (многие сейчас вспомнят Ликсутова тихим незлым словом) и ряд других служб.
По информации бельгийских СМИ, к атаке причастен оператор ransomware Ryuk.
Пока объявленная коллективным Западом борьба с вымогателями идет ни шатко, ни валко. Дальше грозных заявлений и пресс-подходов дело не пошло. А как дышали, как дышали (с)
Вчера третий по величине город Бельгии Льеж сломался. Что же с ним случилось? Правильно - его атаковали вымогатели.
В результате взлома стал недоступен ряд сервисов - бельгийский ЗАГС, кадровые назначения. Кроме того, сломались платные парковки (многие сейчас вспомнят Ликсутова тихим незлым словом) и ряд других служб.
По информации бельгийских СМИ, к атаке причастен оператор ransomware Ryuk.
Пока объявленная коллективным Западом борьба с вымогателями идет ни шатко, ни валко. Дальше грозных заявлений и пресс-подходов дело не пошло. А как дышали, как дышали (с)
Ville de Liège
Services perturbés suite à une attaque informatique et aux inondations
Suite à un piratage informatique et aux inondations, certains services et programmes sont actuellement indisponibles. Veuillez nous en excuser.
Команда Lumen's Black Lotus Labs обнаружила новый троян удаленного доступа (RAT), нацеленный на индийский энергетический сектор.
Кибероперация начиналась с фишинговой кампании, в ходе которой через вредоносные ссылки на машину жертвы доставлялся новый RAT, названный ReverseRat. Анализ вредоноса показал, что он, скорее всего, является авторским. RAT обладал обычным для всех RAT функционалом - сбор данных о системе, работа с файловой структурой, кейлоггинг, снятие скриншотов, эксфильтрация всего этого на управляющий центр и т.д.
Параллельно с ReverseRat развертывался опенсорсный RAT AllaKore, что является достаточно странным.
Среди целей были правительственные организации и компании энергетического сектора Индии и Афганистана. Уже по набору объектов заинтересованности хакеров становится понятно, откуда растут бородатые ноги.
Но чтобы у нас не осталось сомнений исследователи связали управляющие центры вредоносной инфраструктуры с двумя пакистанскими IP-адресами, с позиции которых осуществляется управление C2.
К сожалению, Lumen's Black Lotus Labs не дали никакого атрибутирования атаки к конкретной пакистанской APT, но тут особо и гадать не приходится, поскольку мы лично знаем только две - APT 36, она же Transparent Tribe и Mythic Leopard, а также Gorgon Group.
Кибероперация начиналась с фишинговой кампании, в ходе которой через вредоносные ссылки на машину жертвы доставлялся новый RAT, названный ReverseRat. Анализ вредоноса показал, что он, скорее всего, является авторским. RAT обладал обычным для всех RAT функционалом - сбор данных о системе, работа с файловой структурой, кейлоггинг, снятие скриншотов, эксфильтрация всего этого на управляющий центр и т.д.
Параллельно с ReverseRat развертывался опенсорсный RAT AllaKore, что является достаточно странным.
Среди целей были правительственные организации и компании энергетического сектора Индии и Афганистана. Уже по набору объектов заинтересованности хакеров становится понятно, откуда растут бородатые ноги.
Но чтобы у нас не осталось сомнений исследователи связали управляющие центры вредоносной инфраструктуры с двумя пакистанскими IP-адресами, с позиции которых осуществляется управление C2.
К сожалению, Lumen's Black Lotus Labs не дали никакого атрибутирования атаки к конкретной пакистанской APT, но тут особо и гадать не приходится, поскольку мы лично знаем только две - APT 36, она же Transparent Tribe и Mythic Leopard, а также Gorgon Group.
Lumen Blog
Suspected Pakistani Actor Compromises Indian Power Company with New ReverseRat
The ReverseRat infection chain targets critical government and energy organizations and is expanding beyond Southeast Asia.
«Но я ни о чем не жалею», - последние слова основателя первого антивируса Джона Макафи, найденного мертвым в тюремной камере в Барселоне.
Все указывает на то, что смерть наступила в результате самоубийства. Ранее мы уже упоминали о возможных мотивах и последних скандальных событиях из его жизни.
Можно по-разному относиться ко всем его чудачествам и поступкам, но вписать свое имя в историю инфосек-отрасли легендарному кибердеду однозначно удалось.
Пожалуй, таким и запомним…
Все указывает на то, что смерть наступила в результате самоубийства. Ранее мы уже упоминали о возможных мотивах и последних скандальных событиях из его жизни.
Можно по-разному относиться ко всем его чудачествам и поступкам, но вписать свое имя в историю инфосек-отрасли легендарному кибердеду однозначно удалось.
Пожалуй, таким и запомним…
Microsoft совместно с Palo Alto Networks задетектили хакерскую группу BazarCall, которая используя колл-центры, заражает своих жертв вредоносным ПО BazarLoader - загрузчиком программ-вымогателей.
С января этого года BazarCall усиленно рассылают фишинговые письма, в которых сообщается об окончании бесплатной пробной подписки на программный продукт с указанием номера телефона, по которому можно отменить подписку прежде, чем будет взыматься ежемесячная плата.
В ходе звонка в мошеннический колл-центр жертву ориентируют на веб-сайт и просят загрузить файл Excel, чтобы отменить услугу. Файл содержит вредоносный макрос, который загружает полезную нагрузку. После заражения бэкдор-доступ используют для отправки последующих вредоносных программ, сканирования среды и использования других уязвимых хостов в сети. При этом основной объём фишинга ориентирован на пользователей Office 365 с ПК на базе ОС Windows.
Спецы выделили следующие основные штрихи в деятельности BazarCall: однотипные фишинговые письма, применение Cobalt Strike для бокового перемещения, вредоносные макросы Excel, особенности в методах доставки Excel и использовании служб каталогов Windows NT или NTDS для кражи файлов Active Directory.
Есть чему поучиться: пока пресловутые «службы безопасности» тискают кеш с банковских карт хакеры BazarCall успешно осваивают новый рынок телефонного мошенничества.
С января этого года BazarCall усиленно рассылают фишинговые письма, в которых сообщается об окончании бесплатной пробной подписки на программный продукт с указанием номера телефона, по которому можно отменить подписку прежде, чем будет взыматься ежемесячная плата.
В ходе звонка в мошеннический колл-центр жертву ориентируют на веб-сайт и просят загрузить файл Excel, чтобы отменить услугу. Файл содержит вредоносный макрос, который загружает полезную нагрузку. После заражения бэкдор-доступ используют для отправки последующих вредоносных программ, сканирования среды и использования других уязвимых хостов в сети. При этом основной объём фишинга ориентирован на пользователей Office 365 с ПК на базе ОС Windows.
Спецы выделили следующие основные штрихи в деятельности BazarCall: однотипные фишинговые письма, применение Cobalt Strike для бокового перемещения, вредоносные макросы Excel, особенности в методах доставки Excel и использовании служб каталогов Windows NT или NTDS для кражи файлов Active Directory.
Есть чему поучиться: пока пресловутые «службы безопасности» тискают кеш с банковских карт хакеры BazarCall успешно осваивают новый рынок телефонного мошенничества.
Twitter
Microsoft Security Intelligence
We're tracking an active BazaCall malware campaign leading to human-operated attacks and ransomware deployment. BazaCall campaigns use emails that lure recipients to call a number to cancel their supposed subscription to a certain service.
Forwarded from Youtube выпуски от Александра Антипова (Pipiggi)
Пластырь, а не лечение: повторные кибератаки в 80% случаев приходятся на компании, которые заплатили выкуп хакерам после первого взлома.
Более половины опрошенных пострадавших считают, что повторные атаки - дело рук тех же киберпреступников. В то время, пока жертва еще не успела прийти в себя, ее атакуют снова.
Подробнее
- об опросе Cybereason по повторным кибератакам
- об NFT-мошенничестве и крупной фишинговой кампании
- о дипфейке для типографии от Facebook
- о крупнейшем задержании телефонных мошенников в Китае
в новом выпуске Security-новостей от Александра Антипова, главного редактора SecurityLab.
+ конкурс от Codeby 👾 на курс по анонимности и безопасности в Интернете
https://www.youtube.com/watch?v=i19rnPhsHq0
Более половины опрошенных пострадавших считают, что повторные атаки - дело рук тех же киберпреступников. В то время, пока жертва еще не успела прийти в себя, ее атакуют снова.
Подробнее
- об опросе Cybereason по повторным кибератакам
- об NFT-мошенничестве и крупной фишинговой кампании
- о дипфейке для типографии от Facebook
- о крупнейшем задержании телефонных мошенников в Китае
в новом выпуске Security-новостей от Александра Антипова, главного редактора SecurityLab.
+ конкурс от Codeby 👾 на курс по анонимности и безопасности в Интернете
https://www.youtube.com/watch?v=i19rnPhsHq0
YouTube
Исследование Cybereason, видеоконтроль в РФ. Security-новости, #22
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:44 Создатели NFT стали центром крупной фишинговой кампании - https://www.securitylab.ru/news/521338.php
2:19 80% компаний, заплативших…
0:44 Создатели NFT стали центром крупной фишинговой кампании - https://www.securitylab.ru/news/521338.php
2:19 80% компаний, заплативших…
Исследователи из Eclypsium обнаружили четыре уязвимости, имеющих совокупную оценку критичности 8,3, цепочка эксплойтов которых позволяет привилегированному злоумышленнику осуществить удаленное выполнение кода (RCE) на уровне BIOS/UEFI компьютеров Dell.
Дырки обнаружились в сервисе BIOSConnect Dell SupportAssist, который обеспечивает удаленное обновление прошивки и помогает при восстановлении ОС. Они актуальны для 128 моделей десктопов и ноутбуков Dell, что в совокупности составляет более 30 миллионов устройств.
Две из четырех уязвимостей были устранены Dell на стороне сервера еще 28 мая. А вот две других требуют установки апдейта на стороне клиента. Еще одним средством защиты является отключение BIOSConnect (что надо было сделать всем клиентам Dell еще при покупке компьютера).
Напомним, что два года назад Dell уже устраняли серьезную уязвимость CVE-2019-3719 в сервисе SupportAssist, частью которого является BIOSConnect, которая позволяла неаутентифицированному злоумышленнику путем обмана пользователя добиться RCE. А в феврале 2020 года была закрыта дырка, которая могла дать возможность локальному пользователю с низким уровнем прав осуществить RCE с правами администратора.
Лучше бы Dell вообще этот SupportAssist убрали, вот ей Богу.
Дырки обнаружились в сервисе BIOSConnect Dell SupportAssist, который обеспечивает удаленное обновление прошивки и помогает при восстановлении ОС. Они актуальны для 128 моделей десктопов и ноутбуков Dell, что в совокупности составляет более 30 миллионов устройств.
Две из четырех уязвимостей были устранены Dell на стороне сервера еще 28 мая. А вот две других требуют установки апдейта на стороне клиента. Еще одним средством защиты является отключение BIOSConnect (что надо было сделать всем клиентам Dell еще при покупке компьютера).
Напомним, что два года назад Dell уже устраняли серьезную уязвимость CVE-2019-3719 в сервисе SupportAssist, частью которого является BIOSConnect, которая позволяла неаутентифицированному злоумышленнику путем обмана пользователя добиться RCE. А в феврале 2020 года была закрыта дырка, которая могла дать возможность локальному пользователю с низким уровнем прав осуществить RCE с правами администратора.
Лучше бы Dell вообще этот SupportAssist убрали, вот ей Богу.
Eclypsium | Supply Chain Security for the Modern Enterprise
Eclypsium Discovers Multiple Vulnerabilities in Dell BIOSConnect
BIOS Disconnect - Vulnerabilities in Dell remote OS recovery and firmware update capabilities pose significant risks to 129 models of Dell computers -30 to 40 million devices affected.
Весьма любопытная новость от американских спецслужб.
АНБ профинансировало разработку MITRE методологии для защиты от киберугроз D3FEND. Созданная в рамках D3FEND модель противодействия дополняет MITRE ATT&CK и содержит конкретные ответы на конкретные действия злоумышленников. Безусловное подспорье для борцов с киберугрозами.
Вот только распространяется она через MITRE, которые с начала года неожиданно стали разрывать отношения с инфосек вендорами из "кровавых" стран. Теперь становится ясно почему (подсказка, это похоже на требование АНБ).
Балканизация matters.
АНБ профинансировало разработку MITRE методологии для защиты от киберугроз D3FEND. Созданная в рамках D3FEND модель противодействия дополняет MITRE ATT&CK и содержит конкретные ответы на конкретные действия злоумышленников. Безусловное подспорье для борцов с киберугрозами.
Вот только распространяется она через MITRE, которые с начала года неожиданно стали разрывать отношения с инфосек вендорами из "кровавых" стран. Теперь становится ясно почему (подсказка, это похоже на требование АНБ).
Балканизация matters.
—Партнерский пост—
С сожалением вынуждены объявить о переносе даты десятой конференции ZeroNights на август 2021 года.
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами целых два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную, насыщенную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь долгожданная встреча переносится на август.
Новая дата конференции — 25 августа 2021. Место остается то же — “Севкабель Порт”.
До встречи!
С сожалением вынуждены объявить о переносе даты десятой конференции ZeroNights на август 2021 года.
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами целых два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную, насыщенную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь долгожданная встреча переносится на август.
Новая дата конференции — 25 августа 2021. Место остается то же — “Севкабель Порт”.
До встречи!
TheRecord со ссылкой на данные криптобиржи Binance сообщает, что согласно проведенному анализу задержанные на прошлой неделе на Украине члены банды вымогателей Cl0p, специализировались на отмывке криптовалюты, полученной в качестве выкупа.
Binance заявляет, что всего злоумышленники отмыли криптовалюты на сумму более 500 млн. долларов, которые представляли собой выкупы в адрес ransomware Cl0p и Petya. Последний вымогатель вообще-то очень старый штамм и, насколько мы помним, вымогаемые им суммы не могли сравниться с нынешними размерами выкупа.
В любом случае это дает нам представление об истинном количестве денежных средств, проходящих через владельцев ransomware. Заметим, что Cl0p - не самый крупный вымогатель, тот же REvil поболе будет. А это значит, что общий размер рынка ransomware составляет миллиарды долларов.
Binance заявляет, что всего злоумышленники отмыли криптовалюты на сумму более 500 млн. долларов, которые представляли собой выкупы в адрес ransomware Cl0p и Petya. Последний вымогатель вообще-то очень старый штамм и, насколько мы помним, вымогаемые им суммы не могли сравниться с нынешними размерами выкупа.
В любом случае это дает нам представление об истинном количестве денежных средств, проходящих через владельцев ransomware. Заметим, что Cl0p - не самый крупный вымогатель, тот же REvil поболе будет. А это значит, что общий размер рынка ransomware составляет миллиарды долларов.
The Record
Arrested Clop gang members laundered over $500M in ransomware payments
The members of the Clop ransomware gang that were arrested last week in Ukraine as part of an international law enforcement action also operated money laundering services for multiple cybercrime groups.
Загадочную историю ̶Б̶е̶н̶д̶ж̶а̶м̶и̶н̶а̶ ̶Б̶а̶т̶т̶о̶н̶а̶ сетевого накопителя (NAS) My Book от Western Digital рассказывает Bleeping Computer.
Как сообщает множество пользователей со всех стороны света все данные на их My Book неожиданно оказались стерты, а настройки сброшены, в результате чего пользователи не могут зайти в админ панель устройства.
Некоторые владельцы смогли проанализировать логи их NAS и обнаружили, что My Book получили удаленную команду на сброс до заводских настроек.
Весь цимес этого заключается в том, что My Book обмениваются данными через собственные облачные сервера Western Digital с использованием файрвола. Таким образом сразу родилось предположение, что сервера WD скомпрометированы и использованы хакерами для удаленного сброса настроек (правда, неясно с какой целью).
Western Digital сообщает, что расследует атаку и отрицает взлом своих серверов, предполагая при этом, что пользователи сами лопухи и скомпрометировали свои учетные записи. Но эта версия выглядит неубедительно, поскольку маловероятно что большое количество аккаунтов было взломано в одно и то же время.
Ну а если вы вдруг используете WD My Book, то рекомендуем отключить его временно от сети и следить за новостями от производителя.
P.S. Это SkyNet, воистену вам говорим.
Как сообщает множество пользователей со всех стороны света все данные на их My Book неожиданно оказались стерты, а настройки сброшены, в результате чего пользователи не могут зайти в админ панель устройства.
Некоторые владельцы смогли проанализировать логи их NAS и обнаружили, что My Book получили удаленную команду на сброс до заводских настроек.
Весь цимес этого заключается в том, что My Book обмениваются данными через собственные облачные сервера Western Digital с использованием файрвола. Таким образом сразу родилось предположение, что сервера WD скомпрометированы и использованы хакерами для удаленного сброса настроек (правда, неясно с какой целью).
Western Digital сообщает, что расследует атаку и отрицает взлом своих серверов, предполагая при этом, что пользователи сами лопухи и скомпрометировали свои учетные записи. Но эта версия выглядит неубедительно, поскольку маловероятно что большое количество аккаунтов было взломано в одно и то же время.
Ну а если вы вдруг используете WD My Book, то рекомендуем отключить его временно от сети и следить за новостями от производителя.
P.S. Это SkyNet, воистену вам говорим.
BleepingComputer
WD My Book NAS devices are being remotely wiped clean worldwide
Western Digital My Book Live NAS owners worldwide found that their devices have been mysteriously factory reset and all of their files deleted.
С миру по нитке - голому рубаха, хотя голым теперь точно не назовешь оператора вредоносного ПО Crackonosh, которому удалось заработать больше 2 миллиона долларов.
Подсчитать прибыль злоумышленников смог Даниэль Бенеш из Avast: в отчете вирусный аналитик сообщил о том, что проэксплуатировав более 222000 зараженных систем под управлением Windows хакерам удалось добыть более 9000 монет Monero.
Закрепиться на тачках Crackonosh удалось благодаря жадности пользователей, загрузивших malware вместе с инсталляцией пиратских и взломанных копий популярного программного обеспечения. Большинство из жертв проживают в США, Бразилии, Индии, Польше и на Филиппинах.
Crackonosh подменяет системные файлы serviceinstaller.msi и maintenance.vbs, что позволяет ему скрывать свое присутствие в системе, деактивируя Защитник Windows (в том числе и другие установленные решения) и Центр обновлений Windows. Кроме того, для сокрытия вредоносная программа также устанавливает муляж защитника MSASCuiL.exe и средства обнаружения виртуализации среды. Добычу крипты при этом реализует программный пакет XMRig.
Но больше всего радует реакция Microsoft, руководство которой фактически поощряет распространение контрафактного ПО с бонусом в виде майнера. IT-гигант ограничился кратким сообщением: «злонамеренный администратор может делать гораздо худшие вещи», а сама проблема и вовсе не заслуживает внимания. Спасибо на том, что пока кешбек хакерам не выплачивают.
Подсчитать прибыль злоумышленников смог Даниэль Бенеш из Avast: в отчете вирусный аналитик сообщил о том, что проэксплуатировав более 222000 зараженных систем под управлением Windows хакерам удалось добыть более 9000 монет Monero.
Закрепиться на тачках Crackonosh удалось благодаря жадности пользователей, загрузивших malware вместе с инсталляцией пиратских и взломанных копий популярного программного обеспечения. Большинство из жертв проживают в США, Бразилии, Индии, Польше и на Филиппинах.
Crackonosh подменяет системные файлы serviceinstaller.msi и maintenance.vbs, что позволяет ему скрывать свое присутствие в системе, деактивируя Защитник Windows (в том числе и другие установленные решения) и Центр обновлений Windows. Кроме того, для сокрытия вредоносная программа также устанавливает муляж защитника MSASCuiL.exe и средства обнаружения виртуализации среды. Добычу крипты при этом реализует программный пакет XMRig.
Но больше всего радует реакция Microsoft, руководство которой фактически поощряет распространение контрафактного ПО с бонусом в виде майнера. IT-гигант ограничился кратким сообщением: «злонамеренный администратор может делать гораздо худшие вещи», а сама проблема и вовсе не заслуживает внимания. Спасибо на том, что пока кешбек хакерам не выплачивают.
Avast Threat Labs
Crackonosh: A New Malware Distributed in Cracked Software - Avast Threat Labs
New malware strain we discovered could be the reason why your antivirus doesn’t work anymore. Especially if you have installed some popular software from not so legal distribution recently
А вы знали, что на протяжении 3 лет база данных данным клиентов и пользователей DreamHost (хостинг WordPress под управлением DreamPress), была общедоступна в Интернете?
И мы не знали, пока оплошность не была засвечена публично специалистами Website Planet. Как оказалось разработчики просто забыли установить пароль.
ТТХ вероятной утечки такие:
- общий размер: 86,15 ГБ / записей: 814 709 344
В доступе: информация об администраторе учетных записей DreamPress для продуктов WordPress (в том числе: URL-адрес для входа в систему, имя и фамилия, адрес электронной почты, имя и категория пользователя).
- журнал записей «действий», таких как регистрации и продление доменов.
- адреса электронной почты внутренних и внешних пользователей (среди прочих, примечательны адреса доменов .gov и .edu).
- IP-адреса и временные метки хостов, информация о сборке и версии, подробная информация о плагине и теме, включая информацию о конфигурации или безопасности.
После дружественного пинка еще в апреле, админы DreamHost в течение нескольких часов установили необходимую защиту и поблагодарили исследователей. Но вот в чем загвоздка: неясно, как долго база данных была публично раскрыта или кто еще мог получить доступ к ее записям.
Есть и положительный момент в этой истории: это первый громкий инцидент с безопасностью, затронувший Dreamhost почти за десятилетие после того, как в 2012 году пользователь PasteBin слил в сеть дамп информации с сервера компании.
И мы не знали, пока оплошность не была засвечена публично специалистами Website Planet. Как оказалось разработчики просто забыли установить пароль.
ТТХ вероятной утечки такие:
- общий размер: 86,15 ГБ / записей: 814 709 344
В доступе: информация об администраторе учетных записей DreamPress для продуктов WordPress (в том числе: URL-адрес для входа в систему, имя и фамилия, адрес электронной почты, имя и категория пользователя).
- журнал записей «действий», таких как регистрации и продление доменов.
- адреса электронной почты внутренних и внешних пользователей (среди прочих, примечательны адреса доменов .gov и .edu).
- IP-адреса и временные метки хостов, информация о сборке и версии, подробная информация о плагине и теме, включая информацию о конфигурации или безопасности.
После дружественного пинка еще в апреле, админы DreamHost в течение нескольких часов установили необходимую защиту и поблагодарили исследователей. Но вот в чем загвоздка: неясно, как долго база данных была публично раскрыта или кто еще мог получить доступ к ее записям.
Есть и положительный момент в этой истории: это первый громкий инцидент с безопасностью, затронувший Dreamhost почти за десятилетие после того, как в 2012 году пользователь PasteBin слил в сеть дамп информации с сервера компании.
Website Planet
One of the Biggest Website Hosting Providers, DreamHost, Leaked 814 Million Records Online Including Customer Data
A database owned by DreamHost, DreamPress managed WordPress hosting, was publically accessible online. 3 Years of DreamPress Customer and User
Пошли новости от Microsoft про новую активность хакерской группы, которую они называют Nobelium.
И мы решили такие новости больше даже не рассматривать. И вот почему.
Nobelium, ответственная за компрометацию SolwarWinds группа, изначально приравнивалась к российской APT 29 aka Cozy Bear. Хотя никаких TTPs не было предоставлено - пипл и так хавает. И единственная попытка атрибутировать стоящего за взломом актора, которую мы видели, была сделана экспертами Лаборатории Касперского, нашедшими совпадения в бэкдоре Sunburst со старым RAT Kazuar, предположительно (опять же) принадлежащим российской APT Turla aka Uroburos.
Но для более конкретных утверждений было необходимо зафиксировать отсутствие таких же пересечений с кодами других вредоносов - работа, требующая времени и усилий, за которую никто так и не взялся.
И вот спустя ПОЛГОДА никаких "многочисленных доказательств" связи Nobelium (или UNC2452 по классификации FireEye) с Россией, а также ее финансирования государством, так и не предоставлено. Несмотря на дурные заявления Microsoft про "тысячи инженеров", которые сидят в российской разведке и ломают SolarWinds и прочий подобный информационный шлак.
Товарищи, это не инфосек и уж тем более не инфосек журналистика, а наглая профанация.
И еще раз - мы не отрицаем наличия в России APT. Если бы это было так, то все силовое руководство государства надо было бы отправить в начальные классы учить чудную науку арифметику и осваивать абак. Прогосударственные хакерские группы в наше время - признак высокого уровня технической подготовки государства, принимающего на себя роль не объекта, а субъекта международных политических процессов. Даже Вьетнам и тот завел себе Ocean Lotus и периодически устраивает такой цирк с конями, что хоть святых выноси. Или Южная Корея со своими скиловаными азиатами из Dark Hotel.
И, признаться честно, кибероперация по компрометации SolarWinds - это вершина кибершпионажа. По крайне мере из тех операций, которые всплыли в паблик. Есть еще, конечно, Stuxnet, но там про конкретные гадости на особо опасном производстве, а значит несчитово. Поэтому те, кто стоит за планированием и реализацией кампании Sunburst, - это без приукрашивания элита государственных хакеров. И было бы неплохо иметь таких специалистов на своей стороне (как аккуратно выразились).
Но все это не имеет никакого значения пока нет TTPs. А их, пардоньте, нет, зато есть "сложившийся информационный фон". А мы в такие игры не играем.
И мы решили такие новости больше даже не рассматривать. И вот почему.
Nobelium, ответственная за компрометацию SolwarWinds группа, изначально приравнивалась к российской APT 29 aka Cozy Bear. Хотя никаких TTPs не было предоставлено - пипл и так хавает. И единственная попытка атрибутировать стоящего за взломом актора, которую мы видели, была сделана экспертами Лаборатории Касперского, нашедшими совпадения в бэкдоре Sunburst со старым RAT Kazuar, предположительно (опять же) принадлежащим российской APT Turla aka Uroburos.
Но для более конкретных утверждений было необходимо зафиксировать отсутствие таких же пересечений с кодами других вредоносов - работа, требующая времени и усилий, за которую никто так и не взялся.
И вот спустя ПОЛГОДА никаких "многочисленных доказательств" связи Nobelium (или UNC2452 по классификации FireEye) с Россией, а также ее финансирования государством, так и не предоставлено. Несмотря на дурные заявления Microsoft про "тысячи инженеров", которые сидят в российской разведке и ломают SolarWinds и прочий подобный информационный шлак.
Товарищи, это не инфосек и уж тем более не инфосек журналистика, а наглая профанация.
И еще раз - мы не отрицаем наличия в России APT. Если бы это было так, то все силовое руководство государства надо было бы отправить в начальные классы учить чудную науку арифметику и осваивать абак. Прогосударственные хакерские группы в наше время - признак высокого уровня технической подготовки государства, принимающего на себя роль не объекта, а субъекта международных политических процессов. Даже Вьетнам и тот завел себе Ocean Lotus и периодически устраивает такой цирк с конями, что хоть святых выноси. Или Южная Корея со своими скиловаными азиатами из Dark Hotel.
И, признаться честно, кибероперация по компрометации SolarWinds - это вершина кибершпионажа. По крайне мере из тех операций, которые всплыли в паблик. Есть еще, конечно, Stuxnet, но там про конкретные гадости на особо опасном производстве, а значит несчитово. Поэтому те, кто стоит за планированием и реализацией кампании Sunburst, - это без приукрашивания элита государственных хакеров. И было бы неплохо иметь таких специалистов на своей стороне (как аккуратно выразились).
Но все это не имеет никакого значения пока нет TTPs. А их, пардоньте, нет, зато есть "сложившийся информационный фон". А мы в такие игры не играем.