Неожиданный Жаров решил запилить свой TikTok с буру и гимназистками.
Как пишет ТАСС, руководитель Газпром-Медиа заявил, что уже этой осенью холдинг запустит сервис коротких вертикальных видео.
В целом идея создания подобного национального сервиса понятная, особенно на фоне неизбежного процесса кластеризации Интернета в обозримом будущем, о котором мы уже не первый год пишем. И последние события в инфосек, которые напрямую затрагивают политические предпочтения тех или иных компаний, это только подтверждают.
Но, как всегда, для нас ключевым моментом является соблюдение требований информационной безопасности на всех этапах разработки и поддержки такого видеосервиса. Смогут ГПМ организовать грамотный DevSecOps и надлежащее обеспечение инфосека – будет хорошо. Не смогут – сами понимаете.
Надеемся на лучшее.
Как пишет ТАСС, руководитель Газпром-Медиа заявил, что уже этой осенью холдинг запустит сервис коротких вертикальных видео.
В целом идея создания подобного национального сервиса понятная, особенно на фоне неизбежного процесса кластеризации Интернета в обозримом будущем, о котором мы уже не первый год пишем. И последние события в инфосек, которые напрямую затрагивают политические предпочтения тех или иных компаний, это только подтверждают.
Но, как всегда, для нас ключевым моментом является соблюдение требований информационной безопасности на всех этапах разработки и поддержки такого видеосервиса. Смогут ГПМ организовать грамотный DevSecOps и надлежащее обеспечение инфосека – будет хорошо. Не смогут – сами понимаете.
Надеемся на лучшее.
ТАСС
Жаров подтвердил запуск платформы коротких вертикальных видео осенью
Глава холдинга "Газпром-медиа" рассказал, что ежемесячная аудитория платформы RUTUBE уже достигла 20 млн пользователей
Forwarded from Эксплойт | Live
Google и Microsoft пообещали вложить $30 млрд в кибербезопасность США
Об этом руководители обеих компаний сообщили буквально вчера на встрече с Джо Байденом.
В частности, Google выделит около $10 млрд — эти деньги пойдут на оборудование и систему защиты «цепочки поставок ПО».
Microsoft же вложит почти в 2 раза больше — $20 млрд, а ещё $150 млн сверху на улучшение безопасности именно правительственных учреждений.
По их словам, сделано это будет уже в ближайшие 5 лет.
Об этом руководители обеих компаний сообщили буквально вчера на встрече с Джо Байденом.
В частности, Google выделит около $10 млрд — эти деньги пойдут на оборудование и систему защиты «цепочки поставок ПО».
Microsoft же вложит почти в 2 раза больше — $20 млрд, а ещё $150 млн сверху на улучшение безопасности именно правительственных учреждений.
По их словам, сделано это будет уже в ближайшие 5 лет.
Специалистами Cisco была обнаружена критическая уязвимость и экстренно выпущен соответствующий патч. Угроза касается интерфейса Application Policy Infrastructure Controller (APIC), используемого в коммутаторах серии Nexus 9000.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Cisco
Cisco Security Advisory: Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
A vulnerability in an API endpoint of Cisco Application Policy Infrastructure Controller (APIC) and Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC) could allow an unauthenticated, remote attacker to read or write arbitrary files on an…
Вслед за Revil, неожиданно схлопнулся Ragnarok. Еще совсем недавно сайт со списком жертв блистал 12-ью позициями жертв атак, которые располагались во Франции, Эстонии, Шри-Ланке, Турции, Таиланде, США, Малайзии, Гонконге, Испании и Италии, представляя различные сектора экономики: от производства до юридических услуг.
Но на текущий момент с сайта удалены все элементы дизайна и визуализации. Все, что осталось - это краткая текстовая ссылка на архив, содержащий ключ и сопутствующие двоичные файлы для его использования.
Похоже, что начавшаяся с января 2020 года история вымогателей Ragnarok, на этом официально закончена, об этом свидетельствует публикация masterkey, которым можно расшифровать файлы, заблокированные их ransomware, что подтверждается тем, что декриптор смог расшифровать blob из случайного файла thor.
Универсальный дешифратор для ПО Ragnarok находится в разработке и совсем скоро будет выпущен Emsisoft, специализирующейся на расшифровке систем жертв ransomware.
Похоже, что операторы решили подчистить карму, взять паузу на ребрендинг и отточку нового софта. Отсвечивать репутацией в нынешних условиях весьма расточительное дело, новые тренды по борьбе с вымогателями диктуют новый формат работы.
Но на текущий момент с сайта удалены все элементы дизайна и визуализации. Все, что осталось - это краткая текстовая ссылка на архив, содержащий ключ и сопутствующие двоичные файлы для его использования.
Похоже, что начавшаяся с января 2020 года история вымогателей Ragnarok, на этом официально закончена, об этом свидетельствует публикация masterkey, которым можно расшифровать файлы, заблокированные их ransomware, что подтверждается тем, что декриптор смог расшифровать blob из случайного файла thor.
Универсальный дешифратор для ПО Ragnarok находится в разработке и совсем скоро будет выпущен Emsisoft, специализирующейся на расшифровке систем жертв ransomware.
Похоже, что операторы решили подчистить карму, взять паузу на ребрендинг и отточку нового софта. Отсвечивать репутацией в нынешних условиях весьма расточительное дело, новые тренды по борьбе с вымогателями диктуют новый формат работы.
Ожидаемое продолжение получила история с утечкой баз данных на клиентов T-Mobile, являющегося телекоммуникационным гигантом, вторым по величине оператором в США после Verizon.
Наша версия с участием спецслужб и кибертеррористов подтвердилась: причастный ко взлому хакер признался и раскрыл подробности инцидента. Пруфы также продемонстрировал.
Помните, как мы упоминали, что Hudson Rock удалось связаться с ним и в ходе переговоров стало известно, что атака была призвана привлечь внимание общественности к делу жителя Турции Джона Эрина Биннса, которого в 2019 году спецслужбы США и Турции похитили и пытали в Германии, а сейчас является инициатором судебных исков в адрес ЦРУ, ФБР и Минюста США. так вот хакер ещё пояснил, что в его отношении спецслужбами ведется расследование по различным киберпреступлениям, включая историю с ботнетом Satori.
Он рассказал, что хакал IT-гиганта прямо из дома в Измире (Турция), где он живет со своей матерью. Первоначально получил доступ к сети T-Mobile через незащищенный маршрутизатор в центре обработки данных недалеко от Ист-Уэнатчи, штат Вашингтон, в июле, откуда смог просканировать более 100 серверов компании. После этого потребовалась еще неделя, чтобы получить доступ к серверам, содержащим личные данные абонентов и только к 4 августа он их украл.
В этой истории все классно, как в настоящем голливудском боевике: хакер-одиночка нагнул целую корпорацию, ведет войну со спецслужбами, на которые вероятно, раньше работал.
Но ряд моментов заставляют задуматься, прежде всего, его принудительное психлечение и умелый обход систем защиты и мониринга утечек стратегической компании, а также прочие невероятные «если».
Так это или не так (ведь прекрасно знаем отношение к ИБ в крупняках), но помимо красивой картинки - в центре внимания все же миллионы реально утекших сведений на будущих потенциальных жертв, когда их данные попадут в умелые руки.
Наша версия с участием спецслужб и кибертеррористов подтвердилась: причастный ко взлому хакер признался и раскрыл подробности инцидента. Пруфы также продемонстрировал.
Помните, как мы упоминали, что Hudson Rock удалось связаться с ним и в ходе переговоров стало известно, что атака была призвана привлечь внимание общественности к делу жителя Турции Джона Эрина Биннса, которого в 2019 году спецслужбы США и Турции похитили и пытали в Германии, а сейчас является инициатором судебных исков в адрес ЦРУ, ФБР и Минюста США. так вот хакер ещё пояснил, что в его отношении спецслужбами ведется расследование по различным киберпреступлениям, включая историю с ботнетом Satori.
Он рассказал, что хакал IT-гиганта прямо из дома в Измире (Турция), где он живет со своей матерью. Первоначально получил доступ к сети T-Mobile через незащищенный маршрутизатор в центре обработки данных недалеко от Ист-Уэнатчи, штат Вашингтон, в июле, откуда смог просканировать более 100 серверов компании. После этого потребовалась еще неделя, чтобы получить доступ к серверам, содержащим личные данные абонентов и только к 4 августа он их украл.
В этой истории все классно, как в настоящем голливудском боевике: хакер-одиночка нагнул целую корпорацию, ведет войну со спецслужбами, на которые вероятно, раньше работал.
Но ряд моментов заставляют задуматься, прежде всего, его принудительное психлечение и умелый обход систем защиты и мониринга утечек стратегической компании, а также прочие невероятные «если».
Так это или не так (ведь прекрасно знаем отношение к ИБ в крупняках), но помимо красивой картинки - в центре внимания все же миллионы реально утекших сведений на будущих потенциальных жертв, когда их данные попадут в умелые руки.
WSJ
WSJ News Exclusive | T-Mobile Hacker Who Stole Data on 50 Million Customers: ‘Their Security Is Awful’
John Binns said he managed to pierce T-Mobile’s defenses after discovering in July an unprotected router exposed on the internet. The 21-year-old said he did it to gain attention: “Generating noise was one goal.”
Известные раскрытием уязвимости DNSaaS, позволяющей снифить трафик на уровне Google, спецы из компании Wiz заставили на этой неделе понервничать Microsoft.
Все дело в критической уязвимости в облачной платформе Azure Cosmos DB, которая позволяет удаленному злоумышленнику захватить системы Cosmos DB без авторизации с полными административными правами. Эксплойт под уязвимость ChaosDB тривиален и не требует предварительного доступа к целевой среде, затрагивая тысячи организаций, в том числе и из списка Fortune 500.
Используя баги функции Jupyter Notebook в Cosmos DB, включенной по умолчанию и предназначенной для помощи клиентам в визуализации данных, злоумышленник может получить доступ к учетным данным других пользователей, включая их первичный ключ, что обеспечивает им неограниченный удаленный доступ к базам данных и учетным записям клиентов Microsoft Azure.
Первоначально, как только стало известно о проблеме ещё 12 августа Microsoft отключили Jupyter Notebook на 48 часов, после чего отозвала некоторые учетные данные, а 26 августа уведомили более 30% клиентов Cosmos DB о проблеме.
Как обычно, Microsoft уверяет об отсутствии эксплуатации уязвимости в дикой природе, но тем не менее советует клиентам повторно сгенерировать ключи в интересах безопасности.
На деле же, по данным исследовательской группы Wiz, фактическое количество потенциальных жертв, составляет большую часть клиентов Cosmos DB
и доходит до нескольких тясяч, ведь уязвимость ChaosDB могла использоваться в течение нескольких месяцев до их раскрытия.
Технические подробности уязвимости в настоящее время не разглашаются, отчет будет обнародован позже. Но пока на видео ниже можно поближе ознакомиться с ChaosDB.
Все дело в критической уязвимости в облачной платформе Azure Cosmos DB, которая позволяет удаленному злоумышленнику захватить системы Cosmos DB без авторизации с полными административными правами. Эксплойт под уязвимость ChaosDB тривиален и не требует предварительного доступа к целевой среде, затрагивая тысячи организаций, в том числе и из списка Fortune 500.
Используя баги функции Jupyter Notebook в Cosmos DB, включенной по умолчанию и предназначенной для помощи клиентам в визуализации данных, злоумышленник может получить доступ к учетным данным других пользователей, включая их первичный ключ, что обеспечивает им неограниченный удаленный доступ к базам данных и учетным записям клиентов Microsoft Azure.
Первоначально, как только стало известно о проблеме ещё 12 августа Microsoft отключили Jupyter Notebook на 48 часов, после чего отозвала некоторые учетные данные, а 26 августа уведомили более 30% клиентов Cosmos DB о проблеме.
Как обычно, Microsoft уверяет об отсутствии эксплуатации уязвимости в дикой природе, но тем не менее советует клиентам повторно сгенерировать ключи в интересах безопасности.
На деле же, по данным исследовательской группы Wiz, фактическое количество потенциальных жертв, составляет большую часть клиентов Cosmos DB
и доходит до нескольких тясяч, ведь уязвимость ChaosDB могла использоваться в течение нескольких месяцев до их раскрытия.
Технические подробности уязвимости в настоящее время не разглашаются, отчет будет обнародован позже. Но пока на видео ниже можно поближе ознакомиться с ChaosDB.
YouTube
ChaosDB - Azure Cosmos DB Takeover Vulnerability
Please visit https://chaosdb.wiz.io/ for more details
Еще не утихли в памяти воспоминания об эпопее с американской IT-компанией Kaseya Limited и бандой вымогателей Revil, которой удалось парализовать по скромной оценке от 800 до 1500 предприятий и потребовать за это аж целых 70 миллионов долларов.
Теперь страсти вновь разогрелись благодаря Kaseya Unitrends, облачному корпоративному решению, вдумайтесь только!: для резервного копирования и восстановления, а если быть точнее, то программного пакета для удаленного мониторинга и управления Kaseya VSA (Virtual System Administrator).
Вновь выявленная уязвимость позволяет удаленно выполнять код на сервере, а также повышать привилегий с only read до admin, собственно что более чем достаточно, чтоб злоумышленникам начать шифровать скомпрометированные системы.
По заверению специалистов количество уязвимых серверов Unitrends не так уж и велико по сравнению с тем, что было месяц назад и компания в темпе вальса выкатила патч обновлений на облачные решения.
Но под угрозой до сих пор остаётся больная часть клиентов, так как уязвимость на их стороне в настоящее время не исправлена и Kaseya призывает пользователей локализовать эти уязвимости с помощью правил межсетевого экрана.
Несмотря на то, что снаряд не падает в одну лунку дважды, стоит полагать в следующий раз звонком дело может и не обойтись.
Теперь страсти вновь разогрелись благодаря Kaseya Unitrends, облачному корпоративному решению, вдумайтесь только!: для резервного копирования и восстановления, а если быть точнее, то программного пакета для удаленного мониторинга и управления Kaseya VSA (Virtual System Administrator).
Вновь выявленная уязвимость позволяет удаленно выполнять код на сервере, а также повышать привилегий с only read до admin, собственно что более чем достаточно, чтоб злоумышленникам начать шифровать скомпрометированные системы.
По заверению специалистов количество уязвимых серверов Unitrends не так уж и велико по сравнению с тем, что было месяц назад и компания в темпе вальса выкатила патч обновлений на облачные решения.
Но под угрозой до сих пор остаётся больная часть клиентов, так как уязвимость на их стороне в настоящее время не исправлена и Kaseya призывает пользователей локализовать эти уязвимости с помощью правил межсетевого экрана.
Несмотря на то, что снаряд не падает в одну лунку дважды, стоит полагать в следующий раз звонком дело может и не обойтись.
Forwarded from Social Engineering
🗝 Patator. Многоцелевой брутфорсер.
• Перечислю некоторые имеющиеся модули:
• Patator более сложен по сравнению с вышеперечисленными утилитами, но в то же время намного более гибкий. Для изучения данного инструмента, обрати внимание на мануалы и примеры использования:
• GitHub Patator.
• Описание, примеры использования, руководство, установка и т.д.
• Атаки на RDP. Поиск и брут.
Твой S.E. #Patator
🖖🏻 Приветствую тебя user_name.
• Patator был написан из-за неудовлетворённости от работы с Hydra, Medusa, Ncrack, модулями #Metasploit и скриптами NSE Nmap, которые применяются для брута. Автор patator выбрал другой подход, чтобы не создавать ещё один инструмент по брутфорсу, который бы повторял те же самые недостатки. Patator — это многопоточный инструмент, написанный на Python, который стремиться быть более надёжным и гибким.• Перечислю некоторые имеющиеся модули:
ftp_login : Брут FTP;ssh_login : Брут SSH;telnet_login : Брут Telnet;smtp_login : Брут SMTP;http_fuzz : Брут HTTP;pop_login : Брут POP3;imap_login : Брут IMAP4;smb_login : Брут SMB;mysql_login : Брут MySQL;mysql_query : Брут запросов MySQL;rdp_login : Брут RDP (NLA);pgsql_login : Брут PostgreSQL;vnc_login : Брут VNC.• Patator более сложен по сравнению с вышеперечисленными утилитами, но в то же время намного более гибкий. Для изучения данного инструмента, обрати внимание на мануалы и примеры использования:
• GitHub Patator.
• Описание, примеры использования, руководство, установка и т.д.
• Атаки на RDP. Поиск и брут.
Твой S.E. #Patator
👆весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы, и всё самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://xn--r1a.website/Social_engineering. А в комплексе с изучением OSINT открывается большие перспективы.
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Активно эксплуатирующие ProxyShell и PetitPotam операторы LockFile поставили на вооружение передовую технологию обхода большинства штатных средств защиты от ransomware.
Новое семейство вредоносных ПО использует для компрометации серверов Windows прерывистое шифрование, которое обычно внедряется для ускорения процесса шифрования. Но в отличие от BlackMatter, DarkSide и LockBit 2.0, шифрующих первые несколько байтов, LockFile работает со всеми остальными 16 байтами документа.
На деле это выглядит таким образом, что текстовый документ, остается частично читаемым и статистически выглядит как оригинал, но по факту оказывается битым, по итогу аномалия не детектится типовым статистическим анализом обнаружения шифрования.
Новую фишку вымогателей LockFile обнаружили спецы из Sophos. Кроме того, они выяснили, что через интерфейс управления Windows (WMI) вредоносное ПО сворачивает все задействованные в виртуализации и работе с базами данных критические процессы, прежде чем окончательно все пошифровать. Помимо этого ransomware удаляет себя из системы после успешного шифрования всех документов на машине, не оставляя вообще никаких следов двоичного кода. Стилистически сообщение для жертвы схоже с LockBit 2.0, а с выбором адреса для обратной связи LockFile похоже что вообще не заморочились, судите сами: contact@contipauper.com.
В ответ на импульсивные меры противодействия, которые мы видим на примере Администрации Президента США, сосредоточенные на компрометации мясистых жертв хакеры совершенствуют свои технологии и идут в ногу со временем, а зачастую и на шаг впереди. Впрочем, так было и раньше.
Новое семейство вредоносных ПО использует для компрометации серверов Windows прерывистое шифрование, которое обычно внедряется для ускорения процесса шифрования. Но в отличие от BlackMatter, DarkSide и LockBit 2.0, шифрующих первые несколько байтов, LockFile работает со всеми остальными 16 байтами документа.
На деле это выглядит таким образом, что текстовый документ, остается частично читаемым и статистически выглядит как оригинал, но по факту оказывается битым, по итогу аномалия не детектится типовым статистическим анализом обнаружения шифрования.
Новую фишку вымогателей LockFile обнаружили спецы из Sophos. Кроме того, они выяснили, что через интерфейс управления Windows (WMI) вредоносное ПО сворачивает все задействованные в виртуализации и работе с базами данных критические процессы, прежде чем окончательно все пошифровать. Помимо этого ransomware удаляет себя из системы после успешного шифрования всех документов на машине, не оставляя вообще никаких следов двоичного кода. Стилистически сообщение для жертвы схоже с LockBit 2.0, а с выбором адреса для обратной связи LockFile похоже что вообще не заморочились, судите сами: contact@contipauper.com.
В ответ на импульсивные меры противодействия, которые мы видим на примере Администрации Президента США, сосредоточенные на компрометации мясистых жертв хакеры совершенствуют свои технологии и идут в ногу со временем, а зачастую и на шаг впереди. Впрочем, так было и раньше.
Sophos News
LockFile ransomware’s box of tricks: intermittent encryption and evasion
A new ransomware family leveraging the ProxyShell attack uses intermittent encryption of files in an attempt to defeat detection by anti-ransomware tools.
Всегда интересно наблюдать за компанией, которая создает решения в сфере безопасности, а фактически является основной угрозой для своих клиентов. В этот раз под удар попал гонконгский производитель Annke предлагающий решения для безопасности дома и бизнеса более чем 5 млн. клиентов по всему миру. Критическую уязвимость обнаружили специалисты компании Nozomi Networks, профилирующийся на промышленной безопасности и безопасности IoT-устройств.
Выявленная бага CVE-2021-32941 имеет рейтинг CVSS 9.4 и основана на переполнении буфера и может использоваться злоумышленником для выполнения произвольного кода с привилегиями root и по сути приводит к полной компрометации устройства. Уязвимость касается сетевого видеорегистратора Annke N48PBB (NVR), который используется для хранения и просмотра потокового видео, а также управления камерами, что при эксплуатации позволяет получить доступ к записанным видео, удалить отснятый материал, изменить конфигурации (например, сигналы обнаружения движения) и выключить определенные камеры или сетевой видеорегистратор, чтобы прекратить их запись.
Агентство по кибербезопасности CISA также заявило, что системы видеонаблюдения Annke NVR используется во всем мире. По заввлению производителя патч доступен через обновление прошивки, в связи с чем клиентам Annke рекомендуется как можно скорее обновить используемые в работе и личных целях устройства.
Выявленная бага CVE-2021-32941 имеет рейтинг CVSS 9.4 и основана на переполнении буфера и может использоваться злоумышленником для выполнения произвольного кода с привилегиями root и по сути приводит к полной компрометации устройства. Уязвимость касается сетевого видеорегистратора Annke N48PBB (NVR), который используется для хранения и просмотра потокового видео, а также управления камерами, что при эксплуатации позволяет получить доступ к записанным видео, удалить отснятый материал, изменить конфигурации (например, сигналы обнаружения движения) и выключить определенные камеры или сетевой видеорегистратор, чтобы прекратить их запись.
Агентство по кибербезопасности CISA также заявило, что системы видеонаблюдения Annke NVR используется во всем мире. По заввлению производителя патч доступен через обновление прошивки, в связи с чем клиентам Annke рекомендуется как можно скорее обновить используемые в работе и личных целях устройства.
Nozominetworks
New Annke Vulnerability Shows Risks of IoT Security Camera Systems
Nozomi Networks Labs has discovered a remote code execution vulnerability in the Annke N48PBB network video recorder. A patch is available.
Следующий пошел: операторы malware Phorpiex, а в простонародье Trick, закрыли свой ботнет и выставили исходники на продажу в даркнете.
Причиной завершения проекта стал выход одного из участников из «бизнеса». Trik, как сами разработчики назвали свой продукт, был обнаружен и исследован ещё более 10 лет назад специалистами Check Point, они же и подтвердили подлинность реализуемого исходного кода. При этом озвученная версия также подтверждает еще и тем, что уже больше двух месяцев сервера управления и контроля malware по факту деактивированы.
Даже принимая во внимание, что ботнет будет продан, новый админ не только сможет развернуть сеть на новых хостах, но и подключить все ранее зараженные системы. Check Point указывает на то, что хостов в ботнете остается еще достаточно много.
Впрочем, такие заявления играют определённо на руку продавцам, чьей продукт и без того пользуется заслуженной репутацией: ботнет имеет стабильную историю монетизации за счет модулей спама и функции захвата буфера обмена криптовалюты.
Только спамом сеть принесла более 115000 долларов прибыли в 2019 году, а в 2020 году доступ к зараженным хостам реализовывался Ryuk, Avaddon и Conti, которые уверенно применяли Phorpiex для развертывания своих ransomware и выстригания кеша. Кроме того, функционал Trick также приносил пассивный заработок на криптовырезке (изменении адресов криптовалютного кошелька в буфере обмена), для которой не требовалось взаимодействие с С2.
Уверены, такой продукт долго не залежится на полке, отлично уйдет по цене в 9к баксов, даже без особого дисконта.
Причиной завершения проекта стал выход одного из участников из «бизнеса». Trik, как сами разработчики назвали свой продукт, был обнаружен и исследован ещё более 10 лет назад специалистами Check Point, они же и подтвердили подлинность реализуемого исходного кода. При этом озвученная версия также подтверждает еще и тем, что уже больше двух месяцев сервера управления и контроля malware по факту деактивированы.
Даже принимая во внимание, что ботнет будет продан, новый админ не только сможет развернуть сеть на новых хостах, но и подключить все ранее зараженные системы. Check Point указывает на то, что хостов в ботнете остается еще достаточно много.
Впрочем, такие заявления играют определённо на руку продавцам, чьей продукт и без того пользуется заслуженной репутацией: ботнет имеет стабильную историю монетизации за счет модулей спама и функции захвата буфера обмена криптовалюты.
Только спамом сеть принесла более 115000 долларов прибыли в 2019 году, а в 2020 году доступ к зараженным хостам реализовывался Ryuk, Avaddon и Conti, которые уверенно применяли Phorpiex для развертывания своих ransomware и выстригания кеша. Кроме того, функционал Trick также приносил пассивный заработок на криптовырезке (изменении адресов криптовалютного кошелька в буфере обмена), для которой не требовалось взаимодействие с С2.
Уверены, такой продукт долго не залежится на полке, отлично уйдет по цене в 9к баксов, даже без особого дисконта.
Check Point Research
Phorpiex Breakdown - Check Point Research
Research by: Alexey Bukhteyev Introduction We recently wrote about the massive “sextortion” spam campaign carried out by the Phorpiex botnet. However, this is only a small part of this botnet’s malicious activity. Capable of acting like both a computer worm…
Бинго!
После успешных прошлогодних тестов с атакой на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом, исследователи Швейцарского федерального технологического института (ETH) похакали аналогичным образом бесконтактные карты Mastercard и Maestro.
Используется та же уязвимость, заключающаяся в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой и бесконтактным POS-терминалом данных, а также специальное ПО, разработанное швейцарцами. Для реализации атаки все также необходимо еще и два Android-смартфона, один из которых эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
Только на этот раз схема масштабирована тем, что исследователи подменяют и саму карту таким образом, что PoS-терминал вместо Mastercard и Maestro видит входящую транзакцию от карты Visa с AID: A0000000031010.
А далее уже по отработанному сценарию: в момент оплаты на крупную сумму эмулятор POS запрашивает у карты данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту.
Для демонстрации своих возможностей исследователи провели транзакции на сумму до 400 швейцарских франков.
ETH Zurich своевременно информировала Visa и Mastercard об уязвимостях, однако должным образом потрудились лишь последние. В Visa который год просто динамят проблему.
Выводы делайте сами, господа.
После успешных прошлогодних тестов с атакой на банковские карты Visa, которая позволяет обходить необходимость введения PIN при дорогих покупках бесконтактным способом, исследователи Швейцарского федерального технологического института (ETH) похакали аналогичным образом бесконтактные карты Mastercard и Maestro.
Используется та же уязвимость, заключающаяся в отсутствии защиты (механизма аутентификации или криптографии) передаваемых между картой и бесконтактным POS-терминалом данных, а также специальное ПО, разработанное швейцарцами. Для реализации атаки все также необходимо еще и два Android-смартфона, один из которых эмулирует бесконтактный POS-терминал, а другой эмулирует карту.
Только на этот раз схема масштабирована тем, что исследователи подменяют и саму карту таким образом, что PoS-терминал вместо Mastercard и Maestro видит входящую транзакцию от карты Visa с AID: A0000000031010.
А далее уже по отработанному сценарию: в момент оплаты на крупную сумму эмулятор POS запрашивает у карты данные, затем изменяет технические детали транзакции, отвечающие за запрос PIN, и отправляет по Wi-Fi данные измененной транзакции на смартфон, эмулирующий карту.
Для демонстрации своих возможностей исследователи провели транзакции на сумму до 400 швейцарских франков.
ETH Zurich своевременно информировала Visa и Mastercard об уязвимостях, однако должным образом потрудились лишь последние. В Visa который год просто динамят проблему.
Выводы делайте сами, господа.
YouTube
Demo: Bypassing the PIN for a Maestro card
Demo video of the attack we have reported in our research article for the 30th USENIX Security Symposium (2021)
Visit https://emvrace.github.io for details
Visit https://emvrace.github.io for details
Тайландская авиакомпания Bangkok Airways заявила, что 23 августа обнаружила себя жертвой кибериницдента.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских каратах, а также, что немаловажно, историю перелетов.
Так что на месте любителей погонять по Тайланду в компании ледибоев мы бы уже меняли ФИО.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских каратах, а также, что немаловажно, историю перелетов.
Так что на месте любителей погонять по Тайланду в компании ледибоев мы бы уже меняли ФИО.
Bangkokair
Bangkok Airways clarifies the incident of a cybersecurity attack
Bangkok Airways asia's best regional airline
Forwarded from SecurityLab.ru
Главный редактор Securitylab.ru Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
Власти Москвы вручат 150 тыс. руб. тому, кто сможет взломать систему онлайн-голосования, в Швеции вернули наркодилеру $1,6 млн в биткоинах, хакеры похитили 1,5 млн сканов паспортов, взломав серверы Oriflame, а ошибка ИИ может завести невиновного в тюрьму. Смотрите 29-й выпуск наших новостей https://www.youtube.com/watch?v=IA8RVXkLaz8
Власти Москвы вручат 150 тыс. руб. тому, кто сможет взломать систему онлайн-голосования, в Швеции вернули наркодилеру $1,6 млн в биткоинах, хакеры похитили 1,5 млн сканов паспортов, взломав серверы Oriflame, а ошибка ИИ может завести невиновного в тюрьму. Смотрите 29-й выпуск наших новостей https://www.youtube.com/watch?v=IA8RVXkLaz8
Сегодня новые горизонты, или точнее выразимся, вектора открылись перед предприимчивыми хакерами в рамках Zero-Day Initiative.
Ошибка была обнаружена вьетнамским исследователем Ле Суаном Туеном из компании VNPT ISC в марте 2021 года. Сразу после июльского обновления стали раскрыты технические подробности еще одной критической уязвимости Microsoft Exchange Server, которая получила условное наименование ProxyToken (CVE-2021-33766).
Бага по прогнозам ресерчеров, должна начать также активно эксплуатироваться как и ProxyShell.
ProxyToken позволяет неаутентифицированным злоумышленникам получать доступ к параметрам конфигурации почтовых ящиков пользователей, где они могут определить правило пересылки электронной почты и вносить изменения в конфигурацию панели управления Exchange (ECP), таким образом, что хакер может зеркалить почтовый трафик.
Механизм ошибки основан на делегированной аутентификации, которая позволяет отправлять неаутентифицированные запросы, содержащие непустой файл cookie с именем «SecurityToken» с внешнего интерфейса (сайт Microsoft Exchange, Outlook Web Access, Exchange Control Panel) на серверный (Exchange Back End). Это выполняется в комбинации с другой ошибкой HTTP 500, содержащей допустимую строку, необходимую для успешной выдачи неаутентифицированного запроса.
Ждем первых ласточек: от классической почтовой перлюстрации до серьезных операций с прерывистой пошифровкой.
Ошибка была обнаружена вьетнамским исследователем Ле Суаном Туеном из компании VNPT ISC в марте 2021 года. Сразу после июльского обновления стали раскрыты технические подробности еще одной критической уязвимости Microsoft Exchange Server, которая получила условное наименование ProxyToken (CVE-2021-33766).
Бага по прогнозам ресерчеров, должна начать также активно эксплуатироваться как и ProxyShell.
ProxyToken позволяет неаутентифицированным злоумышленникам получать доступ к параметрам конфигурации почтовых ящиков пользователей, где они могут определить правило пересылки электронной почты и вносить изменения в конфигурацию панели управления Exchange (ECP), таким образом, что хакер может зеркалить почтовый трафик.
Механизм ошибки основан на делегированной аутентификации, которая позволяет отправлять неаутентифицированные запросы, содержащие непустой файл cookie с именем «SecurityToken» с внешнего интерфейса (сайт Microsoft Exchange, Outlook Web Access, Exchange Control Panel) на серверный (Exchange Back End). Это выполняется в комбинации с другой ошибкой HTTP 500, содержащей допустимую строку, необходимую для успешной выдачи неаутентифицированного запроса.
Ждем первых ласточек: от классической почтовой перлюстрации до серьезных операций с прерывистой пошифровкой.
Zero Day Initiative
Zero Day Initiative — ProxyToken: An Authentication Bypass in Microsoft Exchange Server
Continuing with the theme of serious vulnerabilities that have recently come to light in Microsoft Exchange Server, in this article we present a new vulnerability we call ProxyToken. It was reported to the Zero Day Initiative in March 2021 by researcher Le…
Знакомьтесь, Mannus Gott! Это новая банда, работающая в формате datamarketplace, участники которой по факту админят веб-аукцион Marketo.
В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.
Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.
В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.
Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.
Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.
Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.
К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.
Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.
Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.
В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.
Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.
В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.
Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.
Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.
Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.
К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.
Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.
Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.
Twitter
Mannus Gott (@GottMannus) | Twitter
The latest Tweets from Mannus Gott (@GottMannus). There is one place that you'll remember for a long time. I can lead you to this place
Новые критические уязвимости в ICS (Industrial Control Systems, АСУ ТП) - все как мы любим. Да какие дырки!
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце прошлой недели американское Агентство кибербезопасности. CISA уведомило, что ошибки были выявлены еще в апреле, но исправляющие их патчи ожидаются не ранее 15 сентября. Комплексная оценка критичности - угрожающие 9.8
Позже более подробная информация в отношении дырок была дана исследователем Майклом Хайнцлом. Пять из выявленных им уязвимостей позволяют осуществить удаленное выполнение кода (RCE) неаутентифицированному пользователю. Остальные CVE по мелочи - обход аутентификации путем создания неаутентифицированным пользователем нового админа, получение пароля в cleartext и подделка межсайтовых запросов (XSRF).
Ну и кагбе чего, спросит пытливый подписчик. А дело в том, что DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением.
Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства. Мы, конечно, не специалисты, но понимаем, что если в телевизор дать 320 Вольт вместо 220, то телевизору будет плохо. А если туда же впихнуть невпихуемый энергопоток - зомбоящик может и бахнуть.
А если представить на месте телевизора какой-нибудь теоретический котел на теоретическом химическом производстве, в котором варится теоретический фосген, то можно неиллюзорно оконфузиться (кто сказал Бхопал?)
Вообще вопросы киберзащиты ICS - это за гранью добра и зла, конечно.
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце прошлой недели американское Агентство кибербезопасности. CISA уведомило, что ошибки были выявлены еще в апреле, но исправляющие их патчи ожидаются не ранее 15 сентября. Комплексная оценка критичности - угрожающие 9.8
Позже более подробная информация в отношении дырок была дана исследователем Майклом Хайнцлом. Пять из выявленных им уязвимостей позволяют осуществить удаленное выполнение кода (RCE) неаутентифицированному пользователю. Остальные CVE по мелочи - обход аутентификации путем создания неаутентифицированным пользователем нового админа, получение пароля в cleartext и подделка межсайтовых запросов (XSRF).
Ну и кагбе чего, спросит пытливый подписчик. А дело в том, что DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением.
Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства. Мы, конечно, не специалисты, но понимаем, что если в телевизор дать 320 Вольт вместо 220, то телевизору будет плохо. А если туда же впихнуть невпихуемый энергопоток - зомбоящик может и бахнуть.
А если представить на месте телевизора какой-нибудь теоретический котел на теоретическом химическом производстве, в котором варится теоретический фосген, то можно неиллюзорно оконфузиться (кто сказал Бхопал?)
Вообще вопросы киберзащиты ICS - это за гранью добра и зла, конечно.
Прелестное от BleepingComputer.
Ошибка в онлайн-системе приема иммиграционных заявлений канадского Управления по делам миграции привела к тому, что лимит в 40 тыс. заявок на прием в постоянное гражданство имеющих ВНЖ лиц был превышен более чем на 7 тыс. Ошибка простая - в отдельных случаях при одновременном поступлении нескольких заявок система полагала, что приняла одну.
Поэтому не грешите на Собянина, который якобы завез в Москву толпу мигрантов. Просто система ошиблась и вместо допустимых 5 тысяч выдала 8,5 миллионов разрешений.
Ошибка в онлайн-системе приема иммиграционных заявлений канадского Управления по делам миграции привела к тому, что лимит в 40 тыс. заявок на прием в постоянное гражданство имеющих ВНЖ лиц был превышен более чем на 7 тыс. Ошибка простая - в отдельных случаях при одновременном поступлении нескольких заявок система полагала, что приняла одну.
Поэтому не грешите на Собянина, который якобы завез в Москву толпу мигрантов. Просто система ошиблась и вместо допустимых 5 тысяч выдала 8,5 миллионов разрешений.
BleepingComputer
Canada accepted 7,300 more immigration applications due to technical bug
A bug in the Canadian immigration system led to the government accepting an additional 7,307 immigration applications, surpassing the imposed limit. This comprised files from international graduate stream applicants aspiring to change their temporary visa…
Однофакторная аутентификация (SFA) в системах, доступных в Интернете, отныне будет считаться BAD PRACTICES.
Отныне SFA официально признана Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) неэффективным методом кибербезопасности и включена в соответствующий реестр наряду с такими рискованными методами как: использование ПО с истекшим сроком службы (или без поддержки) и дефолтных учетных данных.
Перечисленные меры, по стандартам регулятора, не могут более применяться на объектах критической инфраструктуры (NCF), обеспечивающих национальную безопасность и экономическую стабильность.
Таким образом, как мы и прогнозировали, CISA реализовали опцию 2FA (в перспективе MFA) по умолчанию на весь правительственный и наиболее значимый частный сектор. Оно и понятно, ведь по данным исследований MFA позволяет блокировать до 99% фишинговых атак и 66% целевых. В целом, вероятность взлома учетной записи становится более чем на 99,9% ниже при использовании MFA.
В перспективе в перечень BAD PRACTICES также могут попасть: использование слабой криптографии, пересечение IT и OT сетей, слабая сегментация сети, отсутствие распределения прав, передача незашифрованного трафика, повторное использование скомпрометированных систем без должного реагирования на инциденты.
Глядя на современный ландшафт киберугроз, настоятельно рекомендуем избегать в работе BAD PRACTICES.
Отныне SFA официально признана Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) неэффективным методом кибербезопасности и включена в соответствующий реестр наряду с такими рискованными методами как: использование ПО с истекшим сроком службы (или без поддержки) и дефолтных учетных данных.
Перечисленные меры, по стандартам регулятора, не могут более применяться на объектах критической инфраструктуры (NCF), обеспечивающих национальную безопасность и экономическую стабильность.
Таким образом, как мы и прогнозировали, CISA реализовали опцию 2FA (в перспективе MFA) по умолчанию на весь правительственный и наиболее значимый частный сектор. Оно и понятно, ведь по данным исследований MFA позволяет блокировать до 99% фишинговых атак и 66% целевых. В целом, вероятность взлома учетной записи становится более чем на 99,9% ниже при использовании MFA.
В перспективе в перечень BAD PRACTICES также могут попасть: использование слабой криптографии, пересечение IT и OT сетей, слабая сегментация сети, отсутствие распределения прав, передача незашифрованного трафика, повторное использование скомпрометированных систем без должного реагирования на инциденты.
Глядя на современный ландшафт киберугроз, настоятельно рекомендуем избегать в работе BAD PRACTICES.
Forwarded from Эксплойт | Live
Баг поиска Google сломал звонки на Android
Об этом сообщила сама Google: после установки последних обновлений приложения «Поиск Google», пользователи некоторых моделей смартфонов не могли ни принимать, ни совершать звонки.
К счастью, компания уже выпустила новую версию приложения с исправленным багом.
Сейчас разработчики продолжают изучать проблему. Или, по крайней мере, уверяют нас в этом.
На всякий случай: если этот баг затронул и вас, перейдите по этой ссылке и нажмите «Обновить».
Об этом сообщила сама Google: после установки последних обновлений приложения «Поиск Google», пользователи некоторых моделей смартфонов не могли ни принимать, ни совершать звонки.
К счастью, компания уже выпустила новую версию приложения с исправленным багом.
Сейчас разработчики продолжают изучать проблему. Или, по крайней мере, уверяют нас в этом.
На всякий случай: если этот баг затронул и вас, перейдите по этой ссылке и нажмите «Обновить».