Microsoft совместно с Palo Alto Networks задетектили хакерскую группу BazarCall, которая используя колл-центры, заражает своих жертв вредоносным ПО BazarLoader - загрузчиком программ-вымогателей.
С января этого года BazarCall усиленно рассылают фишинговые письма, в которых сообщается об окончании бесплатной пробной подписки на программный продукт с указанием номера телефона, по которому можно отменить подписку прежде, чем будет взыматься ежемесячная плата.
В ходе звонка в мошеннический колл-центр жертву ориентируют на веб-сайт и просят загрузить файл Excel, чтобы отменить услугу. Файл содержит вредоносный макрос, который загружает полезную нагрузку. После заражения бэкдор-доступ используют для отправки последующих вредоносных программ, сканирования среды и использования других уязвимых хостов в сети. При этом основной объём фишинга ориентирован на пользователей Office 365 с ПК на базе ОС Windows.
Спецы выделили следующие основные штрихи в деятельности BazarCall: однотипные фишинговые письма, применение Cobalt Strike для бокового перемещения, вредоносные макросы Excel, особенности в методах доставки Excel и использовании служб каталогов Windows NT или NTDS для кражи файлов Active Directory.
Есть чему поучиться: пока пресловутые «службы безопасности» тискают кеш с банковских карт хакеры BazarCall успешно осваивают новый рынок телефонного мошенничества.
С января этого года BazarCall усиленно рассылают фишинговые письма, в которых сообщается об окончании бесплатной пробной подписки на программный продукт с указанием номера телефона, по которому можно отменить подписку прежде, чем будет взыматься ежемесячная плата.
В ходе звонка в мошеннический колл-центр жертву ориентируют на веб-сайт и просят загрузить файл Excel, чтобы отменить услугу. Файл содержит вредоносный макрос, который загружает полезную нагрузку. После заражения бэкдор-доступ используют для отправки последующих вредоносных программ, сканирования среды и использования других уязвимых хостов в сети. При этом основной объём фишинга ориентирован на пользователей Office 365 с ПК на базе ОС Windows.
Спецы выделили следующие основные штрихи в деятельности BazarCall: однотипные фишинговые письма, применение Cobalt Strike для бокового перемещения, вредоносные макросы Excel, особенности в методах доставки Excel и использовании служб каталогов Windows NT или NTDS для кражи файлов Active Directory.
Есть чему поучиться: пока пресловутые «службы безопасности» тискают кеш с банковских карт хакеры BazarCall успешно осваивают новый рынок телефонного мошенничества.
Twitter
Microsoft Security Intelligence
We're tracking an active BazaCall malware campaign leading to human-operated attacks and ransomware deployment. BazaCall campaigns use emails that lure recipients to call a number to cancel their supposed subscription to a certain service.
Forwarded from Youtube выпуски от Александра Антипова (Pipiggi)
Пластырь, а не лечение: повторные кибератаки в 80% случаев приходятся на компании, которые заплатили выкуп хакерам после первого взлома.
Более половины опрошенных пострадавших считают, что повторные атаки - дело рук тех же киберпреступников. В то время, пока жертва еще не успела прийти в себя, ее атакуют снова.
Подробнее
- об опросе Cybereason по повторным кибератакам
- об NFT-мошенничестве и крупной фишинговой кампании
- о дипфейке для типографии от Facebook
- о крупнейшем задержании телефонных мошенников в Китае
в новом выпуске Security-новостей от Александра Антипова, главного редактора SecurityLab.
+ конкурс от Codeby 👾 на курс по анонимности и безопасности в Интернете
https://www.youtube.com/watch?v=i19rnPhsHq0
Более половины опрошенных пострадавших считают, что повторные атаки - дело рук тех же киберпреступников. В то время, пока жертва еще не успела прийти в себя, ее атакуют снова.
Подробнее
- об опросе Cybereason по повторным кибератакам
- об NFT-мошенничестве и крупной фишинговой кампании
- о дипфейке для типографии от Facebook
- о крупнейшем задержании телефонных мошенников в Китае
в новом выпуске Security-новостей от Александра Антипова, главного редактора SecurityLab.
+ конкурс от Codeby 👾 на курс по анонимности и безопасности в Интернете
https://www.youtube.com/watch?v=i19rnPhsHq0
YouTube
Исследование Cybereason, видеоконтроль в РФ. Security-новости, #22
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:44 Создатели NFT стали центром крупной фишинговой кампании - https://www.securitylab.ru/news/521338.php
2:19 80% компаний, заплативших…
0:44 Создатели NFT стали центром крупной фишинговой кампании - https://www.securitylab.ru/news/521338.php
2:19 80% компаний, заплативших…
Исследователи из Eclypsium обнаружили четыре уязвимости, имеющих совокупную оценку критичности 8,3, цепочка эксплойтов которых позволяет привилегированному злоумышленнику осуществить удаленное выполнение кода (RCE) на уровне BIOS/UEFI компьютеров Dell.
Дырки обнаружились в сервисе BIOSConnect Dell SupportAssist, который обеспечивает удаленное обновление прошивки и помогает при восстановлении ОС. Они актуальны для 128 моделей десктопов и ноутбуков Dell, что в совокупности составляет более 30 миллионов устройств.
Две из четырех уязвимостей были устранены Dell на стороне сервера еще 28 мая. А вот две других требуют установки апдейта на стороне клиента. Еще одним средством защиты является отключение BIOSConnect (что надо было сделать всем клиентам Dell еще при покупке компьютера).
Напомним, что два года назад Dell уже устраняли серьезную уязвимость CVE-2019-3719 в сервисе SupportAssist, частью которого является BIOSConnect, которая позволяла неаутентифицированному злоумышленнику путем обмана пользователя добиться RCE. А в феврале 2020 года была закрыта дырка, которая могла дать возможность локальному пользователю с низким уровнем прав осуществить RCE с правами администратора.
Лучше бы Dell вообще этот SupportAssist убрали, вот ей Богу.
Дырки обнаружились в сервисе BIOSConnect Dell SupportAssist, который обеспечивает удаленное обновление прошивки и помогает при восстановлении ОС. Они актуальны для 128 моделей десктопов и ноутбуков Dell, что в совокупности составляет более 30 миллионов устройств.
Две из четырех уязвимостей были устранены Dell на стороне сервера еще 28 мая. А вот две других требуют установки апдейта на стороне клиента. Еще одним средством защиты является отключение BIOSConnect (что надо было сделать всем клиентам Dell еще при покупке компьютера).
Напомним, что два года назад Dell уже устраняли серьезную уязвимость CVE-2019-3719 в сервисе SupportAssist, частью которого является BIOSConnect, которая позволяла неаутентифицированному злоумышленнику путем обмана пользователя добиться RCE. А в феврале 2020 года была закрыта дырка, которая могла дать возможность локальному пользователю с низким уровнем прав осуществить RCE с правами администратора.
Лучше бы Dell вообще этот SupportAssist убрали, вот ей Богу.
Eclypsium | Supply Chain Security for the Modern Enterprise
Eclypsium Discovers Multiple Vulnerabilities in Dell BIOSConnect
BIOS Disconnect - Vulnerabilities in Dell remote OS recovery and firmware update capabilities pose significant risks to 129 models of Dell computers -30 to 40 million devices affected.
Весьма любопытная новость от американских спецслужб.
АНБ профинансировало разработку MITRE методологии для защиты от киберугроз D3FEND. Созданная в рамках D3FEND модель противодействия дополняет MITRE ATT&CK и содержит конкретные ответы на конкретные действия злоумышленников. Безусловное подспорье для борцов с киберугрозами.
Вот только распространяется она через MITRE, которые с начала года неожиданно стали разрывать отношения с инфосек вендорами из "кровавых" стран. Теперь становится ясно почему (подсказка, это похоже на требование АНБ).
Балканизация matters.
АНБ профинансировало разработку MITRE методологии для защиты от киберугроз D3FEND. Созданная в рамках D3FEND модель противодействия дополняет MITRE ATT&CK и содержит конкретные ответы на конкретные действия злоумышленников. Безусловное подспорье для борцов с киберугрозами.
Вот только распространяется она через MITRE, которые с начала года неожиданно стали разрывать отношения с инфосек вендорами из "кровавых" стран. Теперь становится ясно почему (подсказка, это похоже на требование АНБ).
Балканизация matters.
—Партнерский пост—
С сожалением вынуждены объявить о переносе даты десятой конференции ZeroNights на август 2021 года.
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами целых два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную, насыщенную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь долгожданная встреча переносится на август.
Новая дата конференции — 25 августа 2021. Место остается то же — “Севкабель Порт”.
До встречи!
С сожалением вынуждены объявить о переносе даты десятой конференции ZeroNights на август 2021 года.
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами целых два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную, насыщенную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь долгожданная встреча переносится на август.
Новая дата конференции — 25 августа 2021. Место остается то же — “Севкабель Порт”.
До встречи!
TheRecord со ссылкой на данные криптобиржи Binance сообщает, что согласно проведенному анализу задержанные на прошлой неделе на Украине члены банды вымогателей Cl0p, специализировались на отмывке криптовалюты, полученной в качестве выкупа.
Binance заявляет, что всего злоумышленники отмыли криптовалюты на сумму более 500 млн. долларов, которые представляли собой выкупы в адрес ransomware Cl0p и Petya. Последний вымогатель вообще-то очень старый штамм и, насколько мы помним, вымогаемые им суммы не могли сравниться с нынешними размерами выкупа.
В любом случае это дает нам представление об истинном количестве денежных средств, проходящих через владельцев ransomware. Заметим, что Cl0p - не самый крупный вымогатель, тот же REvil поболе будет. А это значит, что общий размер рынка ransomware составляет миллиарды долларов.
Binance заявляет, что всего злоумышленники отмыли криптовалюты на сумму более 500 млн. долларов, которые представляли собой выкупы в адрес ransomware Cl0p и Petya. Последний вымогатель вообще-то очень старый штамм и, насколько мы помним, вымогаемые им суммы не могли сравниться с нынешними размерами выкупа.
В любом случае это дает нам представление об истинном количестве денежных средств, проходящих через владельцев ransomware. Заметим, что Cl0p - не самый крупный вымогатель, тот же REvil поболе будет. А это значит, что общий размер рынка ransomware составляет миллиарды долларов.
The Record
Arrested Clop gang members laundered over $500M in ransomware payments
The members of the Clop ransomware gang that were arrested last week in Ukraine as part of an international law enforcement action also operated money laundering services for multiple cybercrime groups.
Загадочную историю ̶Б̶е̶н̶д̶ж̶а̶м̶и̶н̶а̶ ̶Б̶а̶т̶т̶о̶н̶а̶ сетевого накопителя (NAS) My Book от Western Digital рассказывает Bleeping Computer.
Как сообщает множество пользователей со всех стороны света все данные на их My Book неожиданно оказались стерты, а настройки сброшены, в результате чего пользователи не могут зайти в админ панель устройства.
Некоторые владельцы смогли проанализировать логи их NAS и обнаружили, что My Book получили удаленную команду на сброс до заводских настроек.
Весь цимес этого заключается в том, что My Book обмениваются данными через собственные облачные сервера Western Digital с использованием файрвола. Таким образом сразу родилось предположение, что сервера WD скомпрометированы и использованы хакерами для удаленного сброса настроек (правда, неясно с какой целью).
Western Digital сообщает, что расследует атаку и отрицает взлом своих серверов, предполагая при этом, что пользователи сами лопухи и скомпрометировали свои учетные записи. Но эта версия выглядит неубедительно, поскольку маловероятно что большое количество аккаунтов было взломано в одно и то же время.
Ну а если вы вдруг используете WD My Book, то рекомендуем отключить его временно от сети и следить за новостями от производителя.
P.S. Это SkyNet, воистену вам говорим.
Как сообщает множество пользователей со всех стороны света все данные на их My Book неожиданно оказались стерты, а настройки сброшены, в результате чего пользователи не могут зайти в админ панель устройства.
Некоторые владельцы смогли проанализировать логи их NAS и обнаружили, что My Book получили удаленную команду на сброс до заводских настроек.
Весь цимес этого заключается в том, что My Book обмениваются данными через собственные облачные сервера Western Digital с использованием файрвола. Таким образом сразу родилось предположение, что сервера WD скомпрометированы и использованы хакерами для удаленного сброса настроек (правда, неясно с какой целью).
Western Digital сообщает, что расследует атаку и отрицает взлом своих серверов, предполагая при этом, что пользователи сами лопухи и скомпрометировали свои учетные записи. Но эта версия выглядит неубедительно, поскольку маловероятно что большое количество аккаунтов было взломано в одно и то же время.
Ну а если вы вдруг используете WD My Book, то рекомендуем отключить его временно от сети и следить за новостями от производителя.
P.S. Это SkyNet, воистену вам говорим.
BleepingComputer
WD My Book NAS devices are being remotely wiped clean worldwide
Western Digital My Book Live NAS owners worldwide found that their devices have been mysteriously factory reset and all of their files deleted.
С миру по нитке - голому рубаха, хотя голым теперь точно не назовешь оператора вредоносного ПО Crackonosh, которому удалось заработать больше 2 миллиона долларов.
Подсчитать прибыль злоумышленников смог Даниэль Бенеш из Avast: в отчете вирусный аналитик сообщил о том, что проэксплуатировав более 222000 зараженных систем под управлением Windows хакерам удалось добыть более 9000 монет Monero.
Закрепиться на тачках Crackonosh удалось благодаря жадности пользователей, загрузивших malware вместе с инсталляцией пиратских и взломанных копий популярного программного обеспечения. Большинство из жертв проживают в США, Бразилии, Индии, Польше и на Филиппинах.
Crackonosh подменяет системные файлы serviceinstaller.msi и maintenance.vbs, что позволяет ему скрывать свое присутствие в системе, деактивируя Защитник Windows (в том числе и другие установленные решения) и Центр обновлений Windows. Кроме того, для сокрытия вредоносная программа также устанавливает муляж защитника MSASCuiL.exe и средства обнаружения виртуализации среды. Добычу крипты при этом реализует программный пакет XMRig.
Но больше всего радует реакция Microsoft, руководство которой фактически поощряет распространение контрафактного ПО с бонусом в виде майнера. IT-гигант ограничился кратким сообщением: «злонамеренный администратор может делать гораздо худшие вещи», а сама проблема и вовсе не заслуживает внимания. Спасибо на том, что пока кешбек хакерам не выплачивают.
Подсчитать прибыль злоумышленников смог Даниэль Бенеш из Avast: в отчете вирусный аналитик сообщил о том, что проэксплуатировав более 222000 зараженных систем под управлением Windows хакерам удалось добыть более 9000 монет Monero.
Закрепиться на тачках Crackonosh удалось благодаря жадности пользователей, загрузивших malware вместе с инсталляцией пиратских и взломанных копий популярного программного обеспечения. Большинство из жертв проживают в США, Бразилии, Индии, Польше и на Филиппинах.
Crackonosh подменяет системные файлы serviceinstaller.msi и maintenance.vbs, что позволяет ему скрывать свое присутствие в системе, деактивируя Защитник Windows (в том числе и другие установленные решения) и Центр обновлений Windows. Кроме того, для сокрытия вредоносная программа также устанавливает муляж защитника MSASCuiL.exe и средства обнаружения виртуализации среды. Добычу крипты при этом реализует программный пакет XMRig.
Но больше всего радует реакция Microsoft, руководство которой фактически поощряет распространение контрафактного ПО с бонусом в виде майнера. IT-гигант ограничился кратким сообщением: «злонамеренный администратор может делать гораздо худшие вещи», а сама проблема и вовсе не заслуживает внимания. Спасибо на том, что пока кешбек хакерам не выплачивают.
Avast Threat Labs
Crackonosh: A New Malware Distributed in Cracked Software - Avast Threat Labs
New malware strain we discovered could be the reason why your antivirus doesn’t work anymore. Especially if you have installed some popular software from not so legal distribution recently
А вы знали, что на протяжении 3 лет база данных данным клиентов и пользователей DreamHost (хостинг WordPress под управлением DreamPress), была общедоступна в Интернете?
И мы не знали, пока оплошность не была засвечена публично специалистами Website Planet. Как оказалось разработчики просто забыли установить пароль.
ТТХ вероятной утечки такие:
- общий размер: 86,15 ГБ / записей: 814 709 344
В доступе: информация об администраторе учетных записей DreamPress для продуктов WordPress (в том числе: URL-адрес для входа в систему, имя и фамилия, адрес электронной почты, имя и категория пользователя).
- журнал записей «действий», таких как регистрации и продление доменов.
- адреса электронной почты внутренних и внешних пользователей (среди прочих, примечательны адреса доменов .gov и .edu).
- IP-адреса и временные метки хостов, информация о сборке и версии, подробная информация о плагине и теме, включая информацию о конфигурации или безопасности.
После дружественного пинка еще в апреле, админы DreamHost в течение нескольких часов установили необходимую защиту и поблагодарили исследователей. Но вот в чем загвоздка: неясно, как долго база данных была публично раскрыта или кто еще мог получить доступ к ее записям.
Есть и положительный момент в этой истории: это первый громкий инцидент с безопасностью, затронувший Dreamhost почти за десятилетие после того, как в 2012 году пользователь PasteBin слил в сеть дамп информации с сервера компании.
И мы не знали, пока оплошность не была засвечена публично специалистами Website Planet. Как оказалось разработчики просто забыли установить пароль.
ТТХ вероятной утечки такие:
- общий размер: 86,15 ГБ / записей: 814 709 344
В доступе: информация об администраторе учетных записей DreamPress для продуктов WordPress (в том числе: URL-адрес для входа в систему, имя и фамилия, адрес электронной почты, имя и категория пользователя).
- журнал записей «действий», таких как регистрации и продление доменов.
- адреса электронной почты внутренних и внешних пользователей (среди прочих, примечательны адреса доменов .gov и .edu).
- IP-адреса и временные метки хостов, информация о сборке и версии, подробная информация о плагине и теме, включая информацию о конфигурации или безопасности.
После дружественного пинка еще в апреле, админы DreamHost в течение нескольких часов установили необходимую защиту и поблагодарили исследователей. Но вот в чем загвоздка: неясно, как долго база данных была публично раскрыта или кто еще мог получить доступ к ее записям.
Есть и положительный момент в этой истории: это первый громкий инцидент с безопасностью, затронувший Dreamhost почти за десятилетие после того, как в 2012 году пользователь PasteBin слил в сеть дамп информации с сервера компании.
Website Planet
One of the Biggest Website Hosting Providers, DreamHost, Leaked 814 Million Records Online Including Customer Data
A database owned by DreamHost, DreamPress managed WordPress hosting, was publically accessible online. 3 Years of DreamPress Customer and User
Пошли новости от Microsoft про новую активность хакерской группы, которую они называют Nobelium.
И мы решили такие новости больше даже не рассматривать. И вот почему.
Nobelium, ответственная за компрометацию SolwarWinds группа, изначально приравнивалась к российской APT 29 aka Cozy Bear. Хотя никаких TTPs не было предоставлено - пипл и так хавает. И единственная попытка атрибутировать стоящего за взломом актора, которую мы видели, была сделана экспертами Лаборатории Касперского, нашедшими совпадения в бэкдоре Sunburst со старым RAT Kazuar, предположительно (опять же) принадлежащим российской APT Turla aka Uroburos.
Но для более конкретных утверждений было необходимо зафиксировать отсутствие таких же пересечений с кодами других вредоносов - работа, требующая времени и усилий, за которую никто так и не взялся.
И вот спустя ПОЛГОДА никаких "многочисленных доказательств" связи Nobelium (или UNC2452 по классификации FireEye) с Россией, а также ее финансирования государством, так и не предоставлено. Несмотря на дурные заявления Microsoft про "тысячи инженеров", которые сидят в российской разведке и ломают SolarWinds и прочий подобный информационный шлак.
Товарищи, это не инфосек и уж тем более не инфосек журналистика, а наглая профанация.
И еще раз - мы не отрицаем наличия в России APT. Если бы это было так, то все силовое руководство государства надо было бы отправить в начальные классы учить чудную науку арифметику и осваивать абак. Прогосударственные хакерские группы в наше время - признак высокого уровня технической подготовки государства, принимающего на себя роль не объекта, а субъекта международных политических процессов. Даже Вьетнам и тот завел себе Ocean Lotus и периодически устраивает такой цирк с конями, что хоть святых выноси. Или Южная Корея со своими скиловаными азиатами из Dark Hotel.
И, признаться честно, кибероперация по компрометации SolarWinds - это вершина кибершпионажа. По крайне мере из тех операций, которые всплыли в паблик. Есть еще, конечно, Stuxnet, но там про конкретные гадости на особо опасном производстве, а значит несчитово. Поэтому те, кто стоит за планированием и реализацией кампании Sunburst, - это без приукрашивания элита государственных хакеров. И было бы неплохо иметь таких специалистов на своей стороне (как аккуратно выразились).
Но все это не имеет никакого значения пока нет TTPs. А их, пардоньте, нет, зато есть "сложившийся информационный фон". А мы в такие игры не играем.
И мы решили такие новости больше даже не рассматривать. И вот почему.
Nobelium, ответственная за компрометацию SolwarWinds группа, изначально приравнивалась к российской APT 29 aka Cozy Bear. Хотя никаких TTPs не было предоставлено - пипл и так хавает. И единственная попытка атрибутировать стоящего за взломом актора, которую мы видели, была сделана экспертами Лаборатории Касперского, нашедшими совпадения в бэкдоре Sunburst со старым RAT Kazuar, предположительно (опять же) принадлежащим российской APT Turla aka Uroburos.
Но для более конкретных утверждений было необходимо зафиксировать отсутствие таких же пересечений с кодами других вредоносов - работа, требующая времени и усилий, за которую никто так и не взялся.
И вот спустя ПОЛГОДА никаких "многочисленных доказательств" связи Nobelium (или UNC2452 по классификации FireEye) с Россией, а также ее финансирования государством, так и не предоставлено. Несмотря на дурные заявления Microsoft про "тысячи инженеров", которые сидят в российской разведке и ломают SolarWinds и прочий подобный информационный шлак.
Товарищи, это не инфосек и уж тем более не инфосек журналистика, а наглая профанация.
И еще раз - мы не отрицаем наличия в России APT. Если бы это было так, то все силовое руководство государства надо было бы отправить в начальные классы учить чудную науку арифметику и осваивать абак. Прогосударственные хакерские группы в наше время - признак высокого уровня технической подготовки государства, принимающего на себя роль не объекта, а субъекта международных политических процессов. Даже Вьетнам и тот завел себе Ocean Lotus и периодически устраивает такой цирк с конями, что хоть святых выноси. Или Южная Корея со своими скиловаными азиатами из Dark Hotel.
И, признаться честно, кибероперация по компрометации SolarWinds - это вершина кибершпионажа. По крайне мере из тех операций, которые всплыли в паблик. Есть еще, конечно, Stuxnet, но там про конкретные гадости на особо опасном производстве, а значит несчитово. Поэтому те, кто стоит за планированием и реализацией кампании Sunburst, - это без приукрашивания элита государственных хакеров. И было бы неплохо иметь таких специалистов на своей стороне (как аккуратно выразились).
Но все это не имеет никакого значения пока нет TTPs. А их, пардоньте, нет, зато есть "сложившийся информационный фон". А мы в такие игры не играем.
Forwarded from Эксплойт | Live
В Великобритании запретили работу Binance
Этот запрет уже вступил в силу, и до вечера 30 июня компания должна отчитаться об удалении всех рекламных и финансовых предложений.
Также, правительство Великобритании обязало сервис указать на сайте, что он больше не работает в этой стране.
Все операции, проводимые в дальнейшем через Binance, должны будут письменно согласованы с регулятором.
Он же, к слову, отметил, что Binance и подобные сервисы часто используются в мошенничестве и отмывании денег.
Этот запрет уже вступил в силу, и до вечера 30 июня компания должна отчитаться об удалении всех рекламных и финансовых предложений.
Также, правительство Великобритании обязало сервис указать на сайте, что он больше не работает в этой стране.
Все операции, проводимые в дальнейшем через Binance, должны будут письменно согласованы с регулятором.
Он же, к слову, отметил, что Binance и подобные сервисы часто используются в мошенничестве и отмывании денег.
В продолжение сегодняшнего поста про великих инфосек расследователей из Microsoft.
На прошлой неделе аналитик Карстен Хан из немецкой G Data обратил внимание на подозрительный драйвер Netfilter имеющий подпись Microsoft. Оказалось, что он связывается с управляющими центрами в Китае.
Проведя исследование немцы выяснили, что под видом драйвера скрывается руткит, информацию о чем они передали в Microsoft, а те незамедлительно начали расследование как он мог оказаться подписанным официальной подписью.
И эти люди запрещают ковыряться нам в носу.
На прошлой неделе аналитик Карстен Хан из немецкой G Data обратил внимание на подозрительный драйвер Netfilter имеющий подпись Microsoft. Оказалось, что он связывается с управляющими центрами в Китае.
Проведя исследование немцы выяснили, что под видом драйвера скрывается руткит, информацию о чем они передали в Microsoft, а те незамедлительно начали расследование как он мог оказаться подписанным официальной подписью.
И эти люди запрещают ковыряться нам в носу.
Gdatasoftware
Microsoft signed a malicious Netfilter rootkit
What started as a false positive alert for a Microsoft signed file turns out to be a WFP application layer enforcement callout driver that redirects traffic to a Chinese IP. How did this happen?
Кевин Бомонт нашел вчера конструктор ransomware Babuk Locker. С его помощью можно создавать полноценные пользовательские версии Babuk, а также генерировать соответствующие дешифраторы.
Непонятно как именно вымогатель утек от своих владельцев, но кто-то загрузил его на VirusTotal, где он и был обнаружен Бомонтом.
Напомним, что полтора месяца назад группа-владелец Babuk выложила в сеть украденные у Управления полиции Вашингтона данные, в которых, в числе прочего, содержались материалы полицейских разработок по организованной преступности.
А параллельно вымогатели объявили о том, что отходят от дел и будут специализироваться на создании нового опенсорсного вымогателя, а исходники старого передадут дружественной хакерской группе, которая будет работать под другим названием. Видимо передача кода не задалась. А может решили сделать опенсорсным сам Babuk.
Теперь любой начинающий хакер сможет отбабучить какую-нибудь незащищенную сеть.
Непонятно как именно вымогатель утек от своих владельцев, но кто-то загрузил его на VirusTotal, где он и был обнаружен Бомонтом.
Напомним, что полтора месяца назад группа-владелец Babuk выложила в сеть украденные у Управления полиции Вашингтона данные, в которых, в числе прочего, содержались материалы полицейских разработок по организованной преступности.
А параллельно вымогатели объявили о том, что отходят от дел и будут специализироваться на создании нового опенсорсного вымогателя, а исходники старого передадут дружественной хакерской группе, которая будет работать под другим названием. Видимо передача кода не задалась. А может решили сделать опенсорсным сам Babuk.
Теперь любой начинающий хакер сможет отбабучить какую-нибудь незащищенную сеть.
Twitter
Kevin Beaumont
Ransomware leak time - Babuk's builder. Used for making Babuk payloads and decryption. builder.exe foldername, e.g. builder.exe victim will spit out payloads for: Windows, VMware ESXi, network attached storage x86 and ARM. note.txt must contain ransom. v…
В Москве сегодня сильный ливень. Настолько, что офис Лаборатории Касперского подмок.
Теперь понятно, что делать офис на Водном стадионе - не самая лучшая затея. Хуже может быть разве только Речной вокзал, тогда бы точно всем кагалом уплыли.
Ну а если серьезно, то пожелаем Касперским мужества в борьбе со стихией.
Теперь понятно, что делать офис на Водном стадионе - не самая лучшая затея. Хуже может быть разве только Речной вокзал, тогда бы точно всем кагалом уплыли.
Ну а если серьезно, то пожелаем Касперским мужества в борьбе со стихией.
Говорят, что Илья Константинович, апеллируя к тому, что он хоть и не граф Толстой, но все же глава сингапурской компании, предложил Евгению Валентиновичу (tm) засеять офис на Водном рисом...
Vx-underground дает ссылку на утекший в паблик конструктор ransomware Babuk Locker, про который мы писали сегодня. Конкретный пост мы не приводим, сами найдете, а то еще обвинят нас в распространении вредоносов, как одного товарища.
Если качаете - то на свой страх и риск и исключительно в целях изучения сей гадости. С другой стороны, мы уверены, что все нубохакеры уже скачали себе это вымогательское творение.
Если качаете - то на свой страх и риск и исключительно в целях изучения сей гадости. С другой стороны, мы уверены, что все нубохакеры уже скачали себе это вымогательское творение.
X (formerly Twitter)
vx-underground (@vxunderground) on X
The largest collection of malware source code, samples, and papers on the internet.
Password: infected
Password: infected
Появилась информация про новую атаку на цепочку зависимостей, которая зацепила Microsoft.
Напомним, что эта атака использует недостатки в работе менеджеров пакетов, которые отдают предпочтение загрузке пакета из открытого репозитория перед аналогичной загрузкой частной сборки. Таким образом, если пакет с определенным именем отсутствует в открытом репозитории, то хакер может залить туда поддельный, являющийся на самом деле вредоносом. А тот в свою очередь будет подтянут как вполне легальный.
В феврале этот трюк позволил Алексу Бирсану условно скомпрометировать сети более 35 крупных технологических компаний, включая Microsoft, Apple, PayPal и др.
В этот раз исследователь Рикардо Ирамар дос Сантос изучал опенсорсный пакет SymphonyElectron и наткнулся на зависимость в виде подгружаемого пакета swift-search, который отсутствовал в npmjs .com. Дос Сантос зарегистрировал собственный пакет с тем же именем, который скидывал на его PoC-сервер параметры системы, подтянувшей пакет.
Через несколько часов после публикации исследователь обнаружил, что ̶е̶г̶о̶ ̶в̶ы̶з̶ы̶в̶а̶е̶т̶ ̶Т̶а̶й̶м̶ы̶р̶ ему отвечает игровой сервер Microsoft Halo. Эксперт сообщил данную информацию в Microsoft, а дальше начались обычные ритуальные танцы "я не я, баг а не фича" (сам дос Сантос называет решение сообщить об ошибке в MSRC "ужасной ошибкой").
Сначала они ответили, что это не их дело вообще, а вопрос к поддержке SymphonyElectron. Через час они попросили дос Сантоса воспроизвести компрометацию. А потом затянули стандартную бесконечную бессмысленную переписку, после чего исследователь опубликовал таки информацию об уязвимости в своем блоге.
Остается заметить, что дырку Microsoft таки оперативно прикрыли.
Напомним, что эта атака использует недостатки в работе менеджеров пакетов, которые отдают предпочтение загрузке пакета из открытого репозитория перед аналогичной загрузкой частной сборки. Таким образом, если пакет с определенным именем отсутствует в открытом репозитории, то хакер может залить туда поддельный, являющийся на самом деле вредоносом. А тот в свою очередь будет подтянут как вполне легальный.
В феврале этот трюк позволил Алексу Бирсану условно скомпрометировать сети более 35 крупных технологических компаний, включая Microsoft, Apple, PayPal и др.
В этот раз исследователь Рикардо Ирамар дос Сантос изучал опенсорсный пакет SymphonyElectron и наткнулся на зависимость в виде подгружаемого пакета swift-search, который отсутствовал в npmjs .com. Дос Сантос зарегистрировал собственный пакет с тем же именем, который скидывал на его PoC-сервер параметры системы, подтянувшей пакет.
Через несколько часов после публикации исследователь обнаружил, что ̶е̶г̶о̶ ̶в̶ы̶з̶ы̶в̶а̶е̶т̶ ̶Т̶а̶й̶м̶ы̶р̶ ему отвечает игровой сервер Microsoft Halo. Эксперт сообщил данную информацию в Microsoft, а дальше начались обычные ритуальные танцы "я не я, баг а не фича" (сам дос Сантос называет решение сообщить об ошибке в MSRC "ужасной ошибкой").
Сначала они ответили, что это не их дело вообще, а вопрос к поддержке SymphonyElectron. Через час они попросили дос Сантоса воспроизвести компрометацию. А потом затянули стандартную бесконечную бессмысленную переписку, после чего исследователь опубликовал таки информацию об уязвимости в своем блоге.
Остается заметить, что дырку Microsoft таки оперативно прикрыли.
В конце прошлой недели NVIDIA выпустили обновление 3.23 для GeForce Experience, которым исправили уязвимость CVE-2021-1073 с оценкой критичности 8,3 по CVSS.
Путем эксплуатации ошибки хакер с помощью вредоносной ссылки мог перехватить токен сессии, с помощью чего получить доступ к информации пользователя. Критичность уязвимости была снижена, поскольку жертва должна самостоятельно перейти по вредоносной ссылке, что усложняет предполагаемую атаку.
Известных эксплойтов ошибки пока нет, об использовании в дикой природе не сообщается.
Тем не менее, поскольку GeForce Experience устанавливается по умолчанию со всеми картами NVIDIA, рекомендуем обновиться.
Путем эксплуатации ошибки хакер с помощью вредоносной ссылки мог перехватить токен сессии, с помощью чего получить доступ к информации пользователя. Критичность уязвимости была снижена, поскольку жертва должна самостоятельно перейти по вредоносной ссылке, что усложняет предполагаемую атаку.
Известных эксплойтов ошибки пока нет, об использовании в дикой природе не сообщается.
Тем не менее, поскольку GeForce Experience устанавливается по умолчанию со всеми картами NVIDIA, рекомендуем обновиться.
Forwarded from SecurityLab.ru (SecurityLab news)
Раскрытая американским издателем видеоигр Electronic Arts в этом месяце утечка данных может оказаться намного серьезнее, чем считалось раннее. Речь идет не о масштабах инцидента, а о том, что компания запросто может игнорировать угрозы безопасности, о которых ей известно, и не предотвращать кибератаки.
https://www.securitylab.ru/news/521715.php
https://www.securitylab.ru/news/521715.php
t.me
Electronic Arts знала о критических уязвимостях до атаки, но ничего не предприняла
ИБ-эксперты предоставили компании PoC-эксплоит для атаки, Electronic Arts подтвердила его получение, но так и не исправила уязвимости.
The Record пишет, что сегодня трое китайских исследователей из Sangfor опубликовали на GitHub полное техническое описание CVE-2021-1675 и соответствующий PoC. Ошибку они назвали PrintNightmare.
CVE-2021-1675, исправленная в июньском патче Windows, представляет собой дырку в диспетчере очереди печати spoolsv.exe. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE) и позволяет фактически взять атакованную систему под полный контроль.
Вчера китайцы из QiAnXin опубликовали в своем Twitter GIF в плохом разрешении, на котором был показан эксплойт ошибки. Из-за этого первичные китайцы из Sangfor решили выложить свой PoC, который, по их словам они разработали самостоятельно для участия в соревновании Tianfu Cup.
Спустя несколько часов они одумались и удалили материалы из GitHub, но за это время технические подробности и PoC уже успели растащить. В связи с этим ожидаем появления эксплойта CVE-2021-1675 в паблике в ближайшее время.
Вывод, собственно, один - если не обновили свои Windows, то сделайте это как можно быстрее. RCE - это вам, знаете ли, не выступление сборной России по футболу смотреть, а гораздо больнее.
CVE-2021-1675, исправленная в июньском патче Windows, представляет собой дырку в диспетчере очереди печати spoolsv.exe. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE) и позволяет фактически взять атакованную систему под полный контроль.
Вчера китайцы из QiAnXin опубликовали в своем Twitter GIF в плохом разрешении, на котором был показан эксплойт ошибки. Из-за этого первичные китайцы из Sangfor решили выложить свой PoC, который, по их словам они разработали самостоятельно для участия в соревновании Tianfu Cup.
Спустя несколько часов они одумались и удалили материалы из GitHub, но за это время технические подробности и PoC уже успели растащить. В связи с этим ожидаем появления эксплойта CVE-2021-1675 в паблике в ближайшее время.
Вывод, собственно, один - если не обновили свои Windows, то сделайте это как можно быстрее. RCE - это вам, знаете ли, не выступление сборной России по футболу смотреть, а гораздо больнее.
The Record
PoC exploit accidentally leaks for dangerous Windows PrintNightmare bug
Proof-of-concept exploit code has been published online today for a vulnerability in the Windows Print Spooler service (spoolsv.exe) that can allow a total compromise of Windows systems.
В пятницу мы писали про загадочную историю в массовым удалением данных и сброса к заводским настройкам сетевых накопителей My Book от Western Digital.
Тогда мы предположили, что это провозвестник воли зародившегося в недрах сети SkyNet и уже приготовились ему поклоняться, для чего сделали алтарь из старого EC-1066, пририсовав еще одну шестерку к названию модели. Однако реальность оказалась прозаичнее.
Исследователи Censys установили, что злоумышленники использовали при атаке на My Book недокументированную пока 0-day уязвимость в прошивке, которая позволяет осуществить сброс настроек устройства любому, имеющему к нему удаленный доступ.
Параллельно с этим обнаружилось, что другие хакеры эксплуатируют достаточно старую CVE-2018-18472 для того, чтобы засадить в My Book бота, являющегося частью ботнета Linux.Ngioweb.27.
Эксперты Censys полагают, что массовый сброс к заводским настройкам был одним из элементов борьбы между ботоводами за кормовую базу, то есть это была попытка зачистить уже имеющиеся на устройствах боты и заразить его своими.
Ботоводы дерутся, а у пользователей чубы трещат.
Тогда мы предположили, что это провозвестник воли зародившегося в недрах сети SkyNet и уже приготовились ему поклоняться, для чего сделали алтарь из старого EC-1066, пририсовав еще одну шестерку к названию модели. Однако реальность оказалась прозаичнее.
Исследователи Censys установили, что злоумышленники использовали при атаке на My Book недокументированную пока 0-day уязвимость в прошивке, которая позволяет осуществить сброс настроек устройства любому, имеющему к нему удаленный доступ.
Параллельно с этим обнаружилось, что другие хакеры эксплуатируют достаточно старую CVE-2018-18472 для того, чтобы засадить в My Book бота, являющегося частью ботнета Linux.Ngioweb.27.
Эксперты Censys полагают, что массовый сброс к заводским настройкам был одним из элементов борьбы между ботоводами за кормовую базу, то есть это была попытка зачистить уже имеющиеся на устройствах боты и заразить его своими.
Ботоводы дерутся, а у пользователей чубы трещат.
Censys
CVE-2018-18472: Western Digital My Book Live Mass Exploitation