​​Никто и не удивился, что после объявления войны криптобиржам первый удар Администрация Байдена нанесет именно по российскому сегменту. Так и случилось.

Во вторник Министерство финансов США наложило санкции российскую криптобиржу SUEX OTC. По мнению американских регулирующих органов и спецслужб, 8 банд вымогателей через нее обналичивали преступные доходы. При этом более 40% объема транзакций, по мнению Elliptic, были связаны с киберпреступностью и составляют более 370 миллионов долларов.

SUEX OTC - это так называемая «вложенная биржа», которая проводит транзакции со счетов на крупных, законных глобальных биржах криптовалют. По мнению криптоаналитиков из Chainalysis, биржа является крупнейшим незаконным сервисом для киберпреступников. Эксперты компании полагают, что SUEX тесно сотрудничает с правоохранительными органами для отслеживания преступного отмывания денег в Интернете.

Несмотря на то, что компания SUEX юридически зарегистрирована в Чешской Республике, биржа работает в филиалах в Москве и Санкт-Петербурге, где производятся все обменные и обвальные операции. Кроме того, компания представлена и в Средней Азии и на Востоке. По сведениям Chainalysis, что SUEX позволяет конвертировать активы в криптовалюту, в наличные и даже в недвижимость.

Именно через SUEX проходили операции другой незаконной криптовалютной биржи BTC-e, админа которой по наводке американских правоохранителей арестовали во время отпуска в Греции и приговорили французским судом к 5 годам лишения свободы.

По данным TRM Labs, взаимодействие участников SUEX в основном ведется через Telegram, новые клиенты заходят на площадку через систему рекомендаций от доверенных посредников. Транзакции с другими биржами организовано через инфраструктуру, включающую добытые с использованием мошеннических или украденные учетные данные этих бирж.

Через такие аккаунты SUEX на других крупных биржах проходило более 160 миллионов грязных долларов в битках с момента открытия в начале 2018 года, в том числе почти 13 миллионов долларов от таких клиентов как Ryuk, Conti и Maze.

В реальности под санкции скорее попадут именно легальные биржи, используемые SUEX в темную, а вместе с ними и добропорядочные трейдеры, платёжные системы и банковские структуры.

В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.

Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.

Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!

Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!

Netgear исправил уязвимость удаленного выполнения кода высокой степени серьезности (RCE), обнаруженную в службе родительского контроля Circle, которая работает с правами root почти на дюжине современных маршрутизаторов Netgear для малых офисов/домашних офисов (SOHO).

Несмотря на то, что вектор атаки, CVE-2021-40847, может исправлен остановкой службы, обновление Circle, все же содержит ошибку и включен по умолчанию, и ошибку можно использовать, даже если служба отключена.

Процесс обновления Circle Parental Control Service на различных маршрутизаторах Netgear позволяет удаленным злоумышленникам с сетевым доступом реализовать RCE в качестве root с помощью атаки MitM. Проверено GRIMM.

Успешное использование этой уязвимости требует от злоумышленников контроля и сетевого трафика в той же сети, чтобы получить RCE в качестве root на целевом маршрутизаторе. Получив root-права, злоумышленник может захватить полный контроль над трафиком, проходящим через скомпрометированный маршрутизатор, считывая зашифрованные данные, которыми обмениваются с другими устройствами, в том числе в корпоративной сети жертвы.

Потенциальная цепочка угроз атак для взлома корпоративной сети после компрометации одного из маршрутизаторов Netgear сотрудника выглядит следующим образом:
• Злоумышленник проводит разведку, чтобы определить интернет-провайдера целевой корпорации.
• Компрометирует этого интернет-провайдера с помощью какого-либо другого средства (фишинг, эксплойт и т. д.).
• Из-под интернет-провайдера хакер  может скомпрометировать любые маршрутизаторы, уязвимые для ошибки Circle Parental Control Service.
• С помощью скомпрометированных маршрутизаторов злоумышленник напрямую взаимодействовует с любыми корпоративными компьютерами, подключенными к маршрутизатору. Затем, используя эксплойт для отдельной уязвимости, такой как PrintNightmare, может скомпрометировать эти компьютеры.
• После чего может перейти к корпоративной сети и проникнуть в корпоративные данные или начать дальнейшие атаки на корпорацию.

Поэтому если, вы все же пользователь  Netgear необходимо как можно скорее загрузить последнюю версию прошивки для своих устройств, уязвимых для эксплойтов CVE-2021-40847.

​​Bitcoin.org взломан в результате DNS hijack.

До того, как ресурс стал не доступен мошенники разместили традиционный скам удвойте свой капитал.

По некоторым данным, предприимчивым хакерам удалось поднять около 17 000 долларов, но фактически, согласно анализу мошеннического BTC-кошелька, сумма заработка оказалась куда более скромной.

Похоже, что владельцы цифровых активов умеют считать деньги и более вдумчиво подходят к сомнительным инвестициям, чего точно не скажешь, например, о поклонниках Finiko.

Хохлов подал в суд на Facebook из-за блокировки его фамилии

Судебное заседание уже назначено на 5 октября.

Соцсети трактуют его фамилию как «пренебрежительное наименование украинцев», поэтому он не может их использовать.

Все другие люди, при упоминании его фамилии, так же получают бан на целую неделю.

С помощью суда Хохлов потребует разрешить ему пользоваться его фамилией, а так же попытается добиться компенсации морального суда.

Мы, конечно, не эксперты, но суд он скорее всего выиграет.

​​VMware во вторник опубликовала новый бюллетень, предупреждающий о 19 уязвимостях в устройствах vCenter Server и Cloud Foundation, которые злоумышленники может использовать для получения контроля над уязвимой системой.

Наиболее серьезной из них является ошибка произвольной загрузки файлов в службе аналитики (CVE-2021-22005), которая влияет на развертывание vCenter Server 6.7 и 7.0 с конфигурациями по умолчанию. Злоумышленник с сетевым доступом к порту 443 на vCenter Server может ее использовать для выполнения кода, загрузив специально созданный файл. Эксплуатировать уязвимость может использовать любой неаутентифицированный пользователь, кто имеет доступ к vCenter Server через Интернет в ходе атаки низкой сложности.

Несмотря на то, что код эксплойта еще не является общедоступным, Bad Packets уже зафиксировали сканирование на наличие ошибки всего через несколько часов после того, как VMware выпустила обновления. При сканировании используется сведения об обходном пути, предоставленные VMware для клиентов, которые не смогли оперативно установить исправления.

Впрочем, это далеко не первый случай, когда хакеры сканировали и атаковали уязвимые уязвимые серверы VMware vCenter. Например, в феврале они провели массовое сканирование непропатченных устройств vCenter после того, как был выпущен PoC для RCE (CVE-2021-21972), а в начале июня - серверов, которые оставались уязвимыми для CVE-2021-21985 после публикации кода эксплойта.

Статистика Shodan указывает на сейчас тысячи потенциально уязвимых для новой баги и доступных в сети серверов vCenter. VMware предупредили своих клиентов о попытках эксплуатации, особо подчеркнув важность исправления серверов уязвимых для CVE-2021-22005 как можно скорее.

И тут мы не можем не согласиться.

Обнаружена критическая ошибка функции автообнаружения Microsoft Exchange, которая приводит к утечке учетных данных домена и приложений Windows от пользователей со всего мира.

Специалист Guardicore Амит Серпер установил, что ошибка кроется в протоколе Microsoft Autodiscover, а именно в функции почтового сервера Exchange, которая позволяет почтовым клиентам автоматически обнаруживать почтовые серверы, предоставляя им учетные данные для получения конфигураций.

Протокол является важной частью почтовых серверов Exchange, поскольку он позволяет администраторам контролировать, что клиенты используют правильные параметры SMTP, IMAP, LDAP, WebDAV и другие. Но для получения этих автоматических настроек почтовые клиенты обычно проверяют связь с серией заранее определенных URL-адресов, полученных из домена электронного адреса пользователя. Соответственно, если зарегистрировать или скомпрометировать данные URL-адреса, то можно собирать учетные данные пользователей, что, собственно, Серпер и продемонстрировал.

Самое интересное, что все собранные учетные данные поступали через незашифрованные соединения базовой аутентификации HTTP. Исследователь также подробно описал способы сбора учетных данных из более безопасных форм аутентификации, таких как NTLM и Oauth.

За 4 месяца анализа на развернутых в Guardicore ханипотах исследователю удалось захватить 372 072 учетных данных домена Windows и 96 671 уникальную учетную запись из различных приложений, таких как Microsoft Outlook. Анализ захваченных учетных записей показал, что их большая часть относится к сферам производства питания, инвестиций, банкинга, электроэнергетики, недвижимости и логистики.

Проблема достаточно серьезная, так что публика с нетерпением ждет очередную порцию рекомендаций и обновлений от Microsoft. Но как показывает практика, был бы толк.

​​Claroty обнаружили 11 уязвимостей безопасности в системах управления сетью Nagios, которые позволяют удаленно выполнять код с наивысшими привилегиями, приводить к краже учетных данных и фишинговым атакам.

Nagios Core - это популярный инструмент для управления сетями с открытым исходным кодом, аналогичный SolarWinds Network Performance Monitor (NPM), который используется для мониторинга за ИТ-инфраструктурой на предмет выявления сбоев в работе критически важных компонентов. На базе Nagios Core функционирует Nagios XI - проприетарная веб-платформа, предоставляющая организациям контроль за ИТ-операциями и имеющая масштабируемый мониторинг с настраиваемым высокоуровневым обзором хостов, служб и сетевых устройств.

Основными являются две уязвимости удаленного выполнения кода (CVE-2021-37344, CVE-2021-37346) в Nagios XI Switch Wizard и Nagios XI WatchGuard Wizard, уязвимость SQL-инъекции (CVE-2021-37350) в Nagios XI и подделка запроса на стороне сервера (SSRF), влияющая на мастер Nagios XI Docker, а также RCE с пост-аутентификацией в инструменте автоматического обнаружения Nagios XI. В совокупности они дают возможность сбросить веб-оболочку или выполнить сценарии PHP, повышая привилегии до root, таким образом открывает доступ для произвольного выполнения команд.

Проблемы исправлены в обновлениях, выпущенных в августе: Nagios XI 5.8.5 и выше, Nagios XI Switch Wizard 2.5.7 и выше, Nagios XI Docker Wizard 1.13 и выше, а также Nagios XI WatchGuard 1.4.8 и выше.

Это уже далеко нет первый набор баг, в мае этого года Skylight Cyber уже находили 13 слабых мест в безопасности приложения для мониторинга сети, которые могут быть использованы злоумышленником для взлома инфраструктуры без вмешательства оператора.

Системы управления сетью требуют обширного доступа к компонентам сети и, безусловно, могут выходить за ее пределы через брандмауэр, чтобы обслуживать удаленные серверы и соединения. Все это делает такие сетевые концентраторы одной из главных мишеней для хакеров, ориентированных на цепочку поставок.

Достаточно вспомнить SolarWinds и Kaseya, обладающих, безусловно, куда большей и более интересной клиентской базой. Но это вовсе, не означает, что системы Nagios с таким «прекрасным» набором дыр не заинтересует теневой сегмент.

Владельцам камер и видеорегистраторов Hikvision рекомендуется накатить патч на свои девайсы, так как более 70 моделей подвержены критической уязвимости, которая позволяет хакерам удаленно управлять устройствами без какого-либо взаимодействия с пользователем.

Исследователь Watchful IP раскрыл в своем блоге сведения об уязвимости CVE-2021-36260, которая может быть использована для получения root-доступа и полного контроля над устройством. Самое эпичное, что злоумышленник также может использовать взломанные устройства для доступа к внутренним сетям. Со слов исследователя, для эксплуатации уязвимости требуется только доступ к порту сервера http(s) (обычно 80/443).

Как известно, производитель Hikvision крайне популярен в РФ, размещая устройства в коммерческих организациях и на объектах критической инфраструктуры, что потенциально подвергает их серьезному риску.

Китайская компания отметила, что эксплуатация возможна, если злоумышленник имеет сетевой доступ к устройству или если устройство подключено к Интернету. Проблема затрагивает как старые, так и новые камеры и сетевые видеорегистраторы Hikvision.

На сайте производителя представлен полный список уязвимых продуктов, а также пропатченные версии прошивок устройств, что определенно пригодится владельцам Hikvision из числа наших читателей.

​🔖 Актуальный список CTF и Bug Bounty площадок.

🖖🏻 Приветствую тебя user_name.

• Чтобы стать пентестером мирового уровня, тебе необходимо освоить наступательные концепции безопасности, использовать проверенную методологию и постоянно тренироваться. Для тренировок существуют различные площадки, благодаря которым, ты можешь получить практический опыт в различных направлениях.

🚩 CTF:

• https://hack.me/
• http://hax.tor.hu/
• http://pwnable.tw/
• http://reversing.kr/
• http://ctflearn.com/
• https://365.csaw.io/
• https://picoctf.com/
• https://w3challs.com/
• https://hackthebox.eu/
• https://ctf.hackucf.org/
• https://cryptopals.com/
• https://tryhackme.com/
• https://exploit.education/
• http://freehackquest.com/
• https://www.root-me.org/
• https://www.vulnhub.com/
• https://ctf.hacker101.com/
• http://ctf.komodosec.com/
• https://attackdefense.com/
• https://cmdchallenge.com/
• https://immersivelabs.com/
• http://www.hackthissite.org/
• http://ctf.infosecinstitute.com/
• https://www.hacking-lab.com/
• https://captf.com/practice-ctf/
• https://www.hacksplaining.com/
• https://junior.stillhackinganyway.nl/
• https://academy.hackaflag.com.br/

👾 Идем дальше. Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Если ты давно тренируешься на CTF площадках, то обрати внимания на список Bug Bounty платформ. Этот список я нашел в канале @qa_security, за что ребятам большое спасибо.

• https://firebounty.com/
• https://hackenproof.com
• https://www.synack.com/
• https://www.intigriti.com/
• https://www.hackerone.com/
• https://www.bugcrowd.com/
• https://www.yeswehack.com/
• https://internetbugbounty.org/
• https://www.vulnerability-lab.com/
• https://bughunter.withgoogle.com/
• https://www.facebook.com/whitehat
• https://google-gruyere.appspot.com/
• https://www.microsoft.com/en-us/msrc/bounty

‼️ Дополнительную информацию ты можешь найти по хештегу #Подборка. Твой S.E.

​​Фабиан Восар из Emsisoft раскрыл коварную криптографическую схему REvil, согласно которой в своем вредоносном ПО админы запилили криптобэкдор.

Применялся главный закрытый ключ, который являлся отмычкой REvil для операций своих аффилированных партнеров, позволяя оператору расшифровать любую их жертву. Как раз именно такой ключ попал в руки Bitdefender, о чем мы совсем недавно рассказывали и что полностью подтверждает нашу версию о поимке спецслужбами по наводке США одного из членов банды.

REvil достаточно умело использовали схему. Согласно исследованиям Advanced Intel, минимум с 2020 года на хакерских площадках появились сообщения о том, что операторы RaaS вели переговоры с жертвами в секретных чатах без ведома аффилированных лиц, получая плюсом к причитающимся 30% выкупа и долю партнера, выполнившего всю грязную работу по взлому и шифрованию (обычно доля составляла 70-80%).

Оказалось, что администраторы REvil попросту заводили второй чат, идентичный тому, который используется их партнером для переговоров с жертвой о выкупе. Когда переговоры доходили до критической точки, в чате с аффилированным лицом REvil изображали из себя жертву, прекращающую переговоры и желающую платить выкуп, продолжая реальные переговоры уже самостоятельно в основном чате.

Наличие такого козыря в рукаве давало операторам ransomware полный контроль над расшифровкой любой системы, заблокированной их вредоносным ПО, и в реальности является общей практикой, наблюдаемой в других, более новых группах программ-вымогателей. В частности, после ребрендинга, BlackMatter прямо об этом рассказывали, давая понять, что они оставляют за собой право в любой момент без объяснения причин замкнуть переговорный процесс на себя.

В то же время, по данным Advanced Intelligence, в последних образцах REvil главный ключ, который позволял бы операторам расшифровать зараженную их ПО систему, отсутствует.

С одной стороны, оно и верно: зачем кодерам, в моменте решившим заработать на репутации бренда, брать на себя ответственность за возможные инциденты, когда более выгодно продавать код, сняв в себя риски оказаться на месте задержанного Unknown.

С другой стороны, новых REvil все же следует опасаться, ведь возрождение легендарного бренда может быть ловушкой, нацеленной на обнаружение и разработку акторов первичного доступа, тестировщиков и других подельников банды вымогателей.

Apple совсем недавно закрыли две 0-day уязвимости, одна из которых использовалась израильтянами из NSO Group для кибершпионажа all over the world по заказу национальных спецслужб и других правоохранительных структур различных стран.

Но, согласно известной мудрости Уборщика - "если она злая баба вышла, то другая злая баба вошла". Поэтому минувшей ночью вышло очередное обновление для яблочных устройств, правда не для всех. Владельцы последних шести поколений iPhone, а также Mac под управлением Big Sur могут чувствовать себя спокойно (относительно, конечно).

А вот люди со старыми iPhone (5s, 6, 6 Plus), iPad (Air, mini 2, mini 3) и маками под управлением предыдущей версии macOS - Catalina - обязаны срочно обновиться. Поскольку во внеочередном патче Apple закрыли CVE-2021-30869 обнаруженную исследователями из Google TAG. А эта "замечательная" ошибка в ядре ОС в случае успешной эксплуатации приводит к удаленному выполнению кода (RCE) с рутовыми правами.

Что еще более неприятно - Google TAG говорят, что эта уязвимость активно эксплуатируется в дикой природе вместе с еще одним более старым эксплойтом, нацеленным на WebKit (коих дырок в текущем году Apple закрыли предостаточно).

И если владельцы старых iPhone вряд ли могут стать целью хакеров (хотя такое тоже исключить нельзя), то Catalina вместо более новой Big Sur используется достаточно активно (и на это есть причины, не так ли).

Поэтому если вы относитесь к перечисленным выше категориям граждан, то срочно ̶п̶р̶о̶с̶л̶е̶д̶у̶й̶т̶е̶ ̶к̶ ̶б̶л̶и̶ж̶а̶й̶ш̶е̶м̶у̶ ̶б̶о̶м̶б̶о̶у̶б̶е̶ж̶и̶щ̶у̶ обновитесь.

​​Больше года назад мы рассказывали про южнокорейскую APT DarkHotel, которая получила свое название благодаря длительной киберкампании по компрометации сетей дорогих отелей по всему миру с целью кибершпионажа в отношении их постояльцев. Атака на водопой, невероятно красивая в своей концепции.

Как теперь оказывается, идея атак на отели не была заброшена, и ее переняли (кто-бы вы думали!) китайцы.

Словацкая инфосек компания ESET выпустила отчет о выявленной ими новой хакерской группе FamousSparrow, которая активна по крайней мере с 2019 года. Впрочем, мы всегда держим в уме, что словаки временами несут такую дичь, что мы испытываем испанский стыд. Вот и в этот раз не все так гладко в их исследовании.

Итак, ESET заявляют, что FamousSparrow нацелена на отели, а также на правительственные организации, инжиниринговые компании и юридические фирмы, находящиеся практически во всех частях света. К примеру - в Бразилии, Буркина-Фасо, ЮАР, Израиле, Канаде, Литве, Саудовской Аравии, Тайланде и др.

APT использовала различные веб-приложения для первичной компрометации целевой сети. В частности, ESET обнаружили, что хакеры стали применяли эксплойт-кит ProxyLogon для уязвимостей в Microsoft Exchange 3 марта - на следующий день после выхода закрывающего ошибки обновления. Маловероятно, что хакеры успели за сутки сделать реинжиниринг патча, да еще и закрывающего не одну, а сразу несколько уязвимостей. Поэтому в данном случае потенциальная связь FamousSparrow с Китаем подтверждается. Так как именно китайцы начали эксплуатировать ProxyLogon более чем за два месяца до его обнаружения Microsoft, а мы так вообще полагаем, что они получили данные об этих дырках через взлом SolarWinds (а не эти ваши хакеры из российской разведки).

Согласно другим TTPs, приведенным словаками, APT в конечном счете связана с известными китайскими хакерскими группами Winnti и Emissary Panda aka APT 27. Все это похоже на правду и здесь у нас вопросов к ESET в общем-то нет.

А вот в отношении используемых FamousSparrow вредоносов словаки по привычке начали темнить. В ходе расследования выявленных инцидентов они нашли модифицированный Mimikatz и Nbtscan, а также небольшую утилиту для дампа lsass. А вот какой-то авторской малвари as is обнаружено не было.

Тогда ESET с помощью телеметрии нашли компонент некоего загрузчика, который использовался FamousSparrow. А на VirusTotal нашли другой загрузчик, который был "очень похож" на первый. И вот его они уже разобрали.

А после разбора нашли авторский бэкдор, названный ими SparrowDoor, который представляет собой полноценный кибершпионский RAT. Мы бы, если честно, предложили им другое название для этой малвари - PeaceDoorBall.

Но не будем.

Хьюстон, Хьюстон, у нас проблемы. Но в действительности проблемы у Хьюстона.

Пока не взявшая на себя ответственность и непровозглашённая APT напала на порт.

Пресечена очередная атака на критическую инфраструктуру США. Под ударом оказался один из крупнейших портов - Хьюстон, находящийся в Хьюстонском судоходном канале, на берегу Мексиканского залива. Представители объекта заявили, что успешно отразили атаку и в результате попытки проникновения в сеть не пострадали никакие информационные системы.

В расследовании инцидента принимали участие CISA и ФБР, которые сообщили, что атаки совершены известной АРТ с использованием уязвимостей нулевого дня CVE-2021-40539 в Zoho, о которой мы недавно писали. Вместе с тем, атака пока не атрибутировала публично.

На сегодняшних слушаниях в Сенате официальные лица CISA вновь предупредили общественность и конгрессменов об угрозах, так как уязвимость используется с августа по настоящее время, несмотря на то, что в Zoho исправили дыру еще 8 сентября, когда CISA выпустила первое предупреждение об инцидентах с CVE-2021-40539.

Ничего более об атаке пока ни официальные лица порта Хьюстон, ни CISA не предоставили, сославшись, что идет тесное сотрудничество с разведывательными службами, дабы лучше понять субъекта угрозы и обеспечить защиту своих систем.

Вероятно, проблемы не только у Хьюстона.

SonicWall исправил критическую багу CVE-2021-20034 в системах управления доступом продуктов серии 100 Secure Mobile Access (SMA), включая SMA 200, 210, 400, 410 и 500v.

Продукты SonicWall используют более 500 000 бизнес-клиентов в более, чем 215 странах. Многие из них развернуты в сетях крупнейших организаций, предприятий и государственных учреждений.

Обнаруженная ошибка связана с неправильным ограничением пути к файлу в каталоге с ограниченным доступом. Ее успешная эксплуатация может позволить злоумышленникам удалить произвольные файлы из непропатченных шлюзов безопасного доступа SMA 100 для возврата в заводские настройки и потенциально получить доступ с правами администратора к устройству.

Несмотря на то, что производитель не обнаружил доказательств того, что уязвимость в настоящее время эксплуатируется в дикой природе. Временных мер по устранению вектора атаки нет, в связи с чем SonicWall настоятельно призвал клиентов как можно скорее развернуть с MySonicWall.com обновления безопасности.

Как мы знаем, напутствие не беспочвенно, ведь с начала 2021 года устройства серии SonicWall SMA 100 неоднократно подвергались атакам ransomware, конечной целью которых было проникновение в сеть крупной организации.

Например, UNC2447 (по версии Mandiant) использовала ошибку нулевого дня CVE-2021-20016 в устройствах SonicWall SMA 100 для развертывания FiveHands в конце февраля, а в июле SonicWall фиксировали попытки атак вымогателей на непропатченные продукты серии SMA 100 с истекшим сроком службы (EoL) и продукты безопасного удаленного доступа (SRA).

По прогнозам CISA, CrowdStrike и Coveware, в ближайшее время вымогатели непременно воспользуется брешью в защите SonicWall для атак, если уже не воспользовались моментом и не находятся в сети жертв.

​​Совсем немного времени прошло с очередного скандала по поводу использования израильской компанией NSO Group, специализирующейся на кибершпионаже, 0-day уязвимостей для слежки за крупными политиками во многих странах мира. И вот вчера Zerohedge опубликовали материал в отношении связей израильских кибершпионов с администрацией Байдена.

Впрочем, сразу разместим дисклеймер - мы знаем, что Zerohedge это не самый доверенный источник информации в сети, товарищи умеют и любят в conspiracy theory. С другой стороны, множество конспирологий в конце концов оказывалось сущей правдой, а Zerohedge периодически выдает интересные инсайды.

По их данным, чикагское СМИ The Electronic Intifada направило официальный запрос о публичном раскрытии финансовой информации, в ответе на который указывается, что действующий (и предпредыдущий) пресс-секретарь Белого Дома Джейн Псаки в перерывах между служением идеалам американской демократии сотрудничала в качестве "консультанта по кризисным коммуникациям" с другой израильской компанией AnyVision.

AnyVision - это фирма, разрабатывающая технологии распознавания лиц и обработки биометрии. Еврейские дельцы демонстративно придерживались риторики отказа от сотрудничества с "авторитарными" режимами и декларировали продажу своего ПО только передовым западным демократиям и дружащим с ними людоедам. Но это все равно не помогло и в 2019-2020 годах по AnyVision проехался правозащитный каток, в результате чего они были обвинены в скрытом наблюдении за палестинцами в интересах Армии Израиля, что повлекло за собой отказ от инвестирования со стороны западных компаний, к примеру Microsoft.

Теперь же, как говорят Zerohedge, выясняется, что Псаки консультировала израильтян и, вероятнее всего, - консультировала по поводу возможности избежания скандала с правозащитниками. Ирония судьбы в том, что основную скрипку в расследовании деятельности AnyVision сыграл бывший генеральный прокурор США Эрик Холдер, другой член команды Обамы.

И хотя размер контракта Псаки был невелик - всего 5000 долларов, что для такого масштаба фигуры является несомненно смехотворной суммой, факт платного сотрудничества имеет место быть.

Остается выяснить кто сидит на зарплате у NSO Group 😎

Приватность почти 4 млрд. пользователей продается в даркнете всего за 100 тыс. долларов.

На хакерском форуме была выставлена на продажу приватная база данных о более чем 3,8 млрд. зарегистрированных пользователей Clubhouse и их телефонных контактов, в том числе и тех, у кого нет аккаунта в соцсети. Кроме того, база включает: имена, ранги в клубе и ссылки на профили Facebook.

Анонс утечки свидетельствует о компрометации злоумышленниками самого сервиса Clubhouse, после выдвижения соцсетью требования синхронизации приложения со списками контактов своих пользователей, то есть после 24 июля.

Мнения экспертов по этому поводу все же разняться. После недавних скандалов с утечками, которые по факту оказывались результатом парсинга Facebook и Clubhouse, новая база может оказаться их компиляцией. В частности, реализующий базу хакер также предлагает купить приватные массивы Facebook.

Эксклюзивность базы не вызывает споров, а вот уникальность похоже что кто-то уже пытался оценивать, судя по тому, как долго и как безуспешно она реализуется. Однако не стоит исключать, что появлению утечки в паблике не предшествовали ее активные эксплуатации или приватные продажи.

Похоже, что соцмедиа гигантам пора бы уже скомплектовать службы ИБ или хотя посадить кого-нибудь на аутсорс, иначе сложно придумать объяснения утечкам на миллиарды, даже если они добыты в ходе парсинга или вовсе магических обрядов. К - конфиденциальность.

Google выпустила экстренное обновление Chrome 94.0.4606.61 для Windows, Mac и Linux, причиной стала критическая 0-day уязвимость, активно эксплуатируемая в дикой природе.

Ошибка CVE-2021-37973 возникла после устранения недостатков в Portals, новой системе навигации по веб-страницам Google для Chrome. Успешная эксплуатация этой уязвимости может позволить злоумышленникам выполнить произвольный код на компьютерах с уязвимыми версиями Chrome.

Существование эксплойта для CVE-2021-37973 было признано самим разработчиком. Это уже 11 исправленная 0-day уязвимость в веб-браузере Chrome с начала 2021 года.

Несмотря на то, что Google заявила, что обнаружила в дикой природе атаки с использованием CVE-2021-37973 подробности о инцидентов не разглашаются.

Доступ к деталям ограничен до тех пор, пока большинство пользователей не обновят исправление, а также пока дыра не будет устранена также в сторонней библиотеке, от которой аналогичным образом зависят другие проекты.

Настоятельно рекомендуем не дожидаться подробностей и накатывать обновления Google Chrome, которые кстати уже доступны.

По неведанным причинам ребята из Купертино игнорируют нашего соотечественника. А речь, как бы идет о 3 уязвимостях 0-day в iOS.

Исследователь Денис Токарев опубликовал код эксплоитов на GitHub после того, как Apple отказалась их исправлять. Ранее, разработчик ПО обнаружил 4 уязвимости 0-day и сообщил о них в Apple еще 10 марта. Однако компания молча исправила всего лишь один из них в июле, выпустив версию 14.7 без упоминания исследователя в рекомендациях по безопасности.

Речь идет об этих багах:

- Gamed 0-day (iOS 15.0): предоставляет возможность несанкционированного доступа к конфиденциальным данным с помощью приложений, установленных пользователем из App Store (на странице Apple Security Bounty Program такая бага оценивается в 100 000 долларов).

- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому установленному ПО определять, установлено ли какое-либо приложение на устройстве.

- Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому использующему Wifi приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации о параметрах Wi-Fi без необходимого разрешения.

- Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению получать доступ к журналам аналитики: информация из категории "здоровье", сведения об использовании устройства, информация о времени экрана и количестве сеансов для приложений, данные об используемых аксессуарах с указанием производителя, модели, версии прошивки и присвоенных пользователем имен, языки веб-страниц, которые пользователи просматривали в Safari.

Попытки достучаться до компании не увенчались успехом. К сожалению, Денису так и не удалось получить объяснение о неспособности Apple исправить остальные уязвимости, а также узнать причины отказа признать их. Другие исследователи также подтвердили, что в iOS 15.0 сохраняются все раскрытые ошибки.

Печальная практика Apple снова в деле: это уже далеко не первый случай компрометации Apple своей программы вознаграждения Apple Security Bounty Program для обнаружения уязвимостей, в 2021 году уже известно не об одном таком инциденте. По итогу специалисты до сих пор дожидаются признания, вознаграждения и справедливости, по факту - ошибки исправляются, а компания процветает.

​​Eclypsium обнаружили критическую уязвимость в двоичной таблице платформы Microsoft Windows (WPBT), которую можно использовать для проведения атак и установки руткитов на все компьютеры с Windows, произведенные с 2012 года, когда эта функция была впервые представлена в Windows 8.

WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.

Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.

Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.

Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.

Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.

С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇

Чудесная чудесность.

В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.

Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).

Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.

От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.