Volexity уже более года наблюдают, как северокорейская APT Kimsuki использует вредоносное расширение браузера для Google Chrome, Microsoft Edge и Naver Whale для кражи электронной корреспонденции в рамках продолжающейся шпионской кампании.

Расширение, получившее название Sharpext, поддерживает кражу данных как из Gmail, так и из веб-почты AOL, активно развивается и применялось в целевых атаках.

При этом Volexity убеждены, что злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО.

Расширение развертывается вручную на ранее скомпрометированных системах и требует от злоумышленника заменить файлы настроек браузера модифицированными.

Процесс развертывания Sharpext очень индивидуален, поскольку злоумышленник должен сначала получить доступ к исходному файлу настроек безопасности браузера жертвы.

Затем этот файл модифицируется и используется для вредоносного расширения. В каждом случае создавалась отдельная папка для зараженного пользователя, содержащая необходимые файлы для расширения.

Сценарий PowerShell используется для остановки процесса браузера, чтобы включить эксфильтрацию необходимых файлов. После развертывания расширения другая оболочка PowerShell позволяет DevTools проверять содержимое вкладки, к которой обращается пользователь, и извлекать интересующие данные.

Поскольку само расширение не содержит явного вредоносного кода, оно не обнаруживается антивирусными решениями, как отмечает Volexity. Расширение также позволяет злоумышленникам динамически обновлять свой код, не переустанавливая его на зараженную машину.

Sharpext поддерживает списки адресов электронной почты, которые следует игнорировать, ранее украденные электронные письма и вложения, а также отслеживаемые вкладки, чтобы избежать повторной кражи одних и тех же данных. Он также мониторит за доменами, которые посещает жертва.

Похищая данные электронной почты в контексте уже вошедшего в систему сеанса пользователя, атака скрыта от поставщика услуг электронной почты, что делает обнаружение очень сложным. Поэтому и подозрительная активность не будет учтена на странице состояния активности электронной почты пользователя.

В целом, SharpTongue реализует выделение людей, работающих в организациях в США, Европе и Южной Корее, которые работают над темами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами, представляющими стратегический интерес для Северной Кореи.

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.

Операторы вредоносного ПО Gootkit, работающие по схеме Access-as-a-Service (AaaS), вновь возвращаются на этот раз с обновленной тактикой для компрометации целевых систем.

Trend Micro сообщают, что если в прошлом Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, то теперь в ход пошли юридические документы в качестве приманки для загрузки файлов.

Выводы основаны на предыдущем отчете eSentire: в январе сообщалось о широко распространенных атаках, направленных на сотрудников бухгалтерских и юридических фирм с целью развертывания вредоносных программ на зараженных системах.

Gootkit является частью растущей подпольной экосистемы брокеров доступа, которые, как известно, предоставляют другим злоумышленникам доступ к корпоративным сетям за определенную плату, прокладывая путь для реальных вредоносных атак, таких как ransomware.

Известно, что Gootkit использует безфайловые методы для доставки таких угроз, как SunCrypt и REvil (Sodinokibi), трояны Kronos и Cobalt Strike.

Цепочка атак начинается с того, что пользователь ищет определенную информацию в поисковой системе. Злоумышленники используют технику черного SEO, чтобы отобразить в результатах поиска сайт, скомпрометированный операторами Gootkit.

Он представлен как онлайн-форум, непосредственно отвечающий на его запрос. На этом форуме был размещен ZIP-архив, содержащий вредоносный файл .js, который используется для обеспечения персистентности и размещения двоичного файла Cobalt Strike в памяти зараженной системы.

ZIP-файл, со своей стороны, включает в себя файл JavaScript, который загружает двоичный файл Cobalt Strike, инструмент, используемый для действий после эксплуатации, который запускается непосредственно в памяти без файлов.

Двоичный файл Cobalt Strike, загруженный непосредственно в память системы жертвы, обращается к IP-адресу 89[.]238[.]185[.]13, который выступает в качестве Cobalt Strike C2.

По результатам исследований, ресерчеры полагают, что Gootkit Loader все еще активно разрабатывается и совершенствует свои методы.

Пользователи, вероятно, столкнутся с Gootkit в последующих кампаниях, и вполне вероятно, что он будет использовать новые средства отлова жертв.

Кросс-чейн мост Nomad подвергся взлому, в результате которого были с платформы украдены практически все средства общей стоимостью около $190 млн. На 11:00 мск 2 августа на проекте осталось всего лишь около $11 тыс.

Nomad, как и другие межсетевые мосты, позволяет пользователям отправлять и получать токены между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda.

Недавнее обновление одного из смарт-контрактов Nomad упростило пользователям подделку транзакций, что фактически позволяло пользователям снимать деньги с моста даже без знания Solidity или Merkle Trees.

В отличие от некоторых мостовых атак, где за эксплойтом стоит один преступник, атака Nomad была общедоступной для всех. Все, что нужно было сделать, это найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать его.

Украденные средства были направлены на 41 адрес, среди которых аналитики обнаружили 7 адресов ботов, 6 адресов, принадлежащих «белым» хакерам и адрес злоумышленника, участвовавшего во взломе RariCapital в конце апреля.

Команда Nomad признала инцидент и инициировала расследование совместно с правоохранительными органами и инфосек-компаниями. Администрация платформы работает над разрешением ситуации в надежде идентифицировать задействованные в хищениях счета, отследить и вернуть средства.

Будем посмотреть, конечно, но тренд мостовых атак в последнее время набирает «промышленные» обороты.

Спустя почти 4 года (Четыре, Карл!!!) после того, как Джеймс Форшоу, исследователь из команды Google Project Zero, опубликовал запись в блоге  с подробным описанием нового эксплойта в механизме безопасности Windows Protected Process Light (PPL), Microsoft добавила меры по смягчению этой техники в сборках Windows 10 и Windows 11.

Неаффишированные патчи были обнаружены  в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.

Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.

PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.

Наиболее распространенными пользователями PPL были производители антивирусного ПО.

И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.

В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.

В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.

Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.

Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.

Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.

Общеобразовательная минутка на канале SecAtor

VMware выпустила срочный высокоприоритетный патч для устранения уязвимости обхода аутентификации в Workspace ONE Access, Identity Manager и vRealize Automation, которая затрагивает пользователей локального домена.

Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без аутентификации.

CVE-2022-31656 была обнаружена и зарегистрирована PetrusViet (участник VNG Security). Уязвимость имеет предельно высокий рейтинг серьезности VMware (CVSSv3 9,8).

Компании ничего не известно об эксплуатации в реальных условиях, но в дополнительном примечании VMware подтвердила, что эта уязвимость является вариантом ранее исправленной проблемы (VMSA-2022-0014), для которой существует общедоступный PoC.

Последние исправления также закрывают как минимум 9 задокументированных уязвимостей, затрагивающих линейки продуктов VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector и vRealize Automation.

Производитель призывает исправить ошибку без промедления.

͏Google исправила критическую уязвимость Android, реализующую RCE через Bluetooth.

В последней серии исправлений для ОС Android закрыто три десятка уязвимостей, в том числе критическая CVE-2022-20345, которая затрагивает системный компонент. Он был исправлен обновлениями Android 12 и 12L.

По данным Google, злоумышленнику не требуются дополнительные привилегии выполнения для удаленного выполнения произвольного кода через Bluetooth-атаку.

При этом никаких дополнительных подробностей об уязвимости не приводится.

Всем остальным ошибкам безопасности был присвоен рейтинг высокой степени серьезности. Они влияют на Framework, Media Framework, System, Kernel, Imagination Technologies, MediaTek, Unisoc и компоненты Qualcomm. Многие из них могут привести к повышению привилегий или раскрытию информации.

Исправления для этих недостатков включены в уровни исправлений безопасности «2022-08-01» и «2022-08-05». Технический гигант советует партнерам использовать последний уровень, объединяя все исправления в одном обновлении.

В своих устройствах Pixel Google исправила 40 дыр в безопасности, в том числе четыре критические проблемы с RCE, влияющие на компонент модема. Три уязвимости могут привести к повышению привилегий или раскрытию информации и имеют высокую степень серьезности, остальные — умеренные.

Samsung также выпустила обновления для своих флагманских моделей для ядра Android, а также 20 недостатков, обнаруженных в собственном ПО.

Тысячи маршрутизаторов DrayTek могут быть уязвимы и привести ко взлому всей сети.

Тайваньская компания производит маршрутизаторы для малых и домашних офисов (SOHO), широко используемые в Великобритании, Вьетнаме и Тайване, а также в России.

Команда Trellix Threat Labs обнаружила RCE-уязвимость без проверки подлинности, затрагивающую DrayTek Vigor 3910 и еще 28 моделей маршрутизаторов.

Зачастую, такие устройства, как маршрутизатор Vigor 3910, находятся на границе между внутренней и внешней сетями, являясь главной мишенью для киберпреступников.

Удаленный взлом пограничных устройств может привести к полной компрометации устройства, а также к взлому сети и несанкционированному доступу к внутренним ресурсам.

Во ходе исследования ресерчеры обнаружили более 200 000 устройств, на которых уязвимая служба в настоящее время доступна через Интернет, для эксплуатации которой не требуется никакого взаимодействия с пользователем.

При этом многие другие не отображаемые в Shodan устройства, по-прежнему, уязвимы для атаки одним щелчком мыши из локальной сети, что наглядно представлено в демонстрационном ролике.

DrayTek выпустила исправление менее чем через тридцать дней после обнаружения уязвимости. Обновление этих устройств имеет решающее значение в обеспечении безопасности.

Поддерживаем и рекомендуем пользователям установить исправление как можно скорее.

͏Тем временем, как и ожидалось, REvil опубликовали вторую жертву в своем DLS, после нескольких месяцев молчания.

Doosan Group — одна из крупнейших южнокорейских финансово-промышленных групп. Южнокорейская компания занимает 7-е место в мире по выпуску строительной техники, имея 5 дочерних компаний в Корее и 86 зарубежных филиалов в 35 странах мира со штатом более 38.000 сотрудников. Оборот уходит далеко за миллиард.

По словам хакеров, им удалось взломать и пошифровать IT-инфраструктуру компании, а также эксфильтровать 1.6 ТБ конфиденциальной информации.

Уверенный старт и жертвы статусные. Похоже, что REvil набирает свою прежнюю форму.

Разработчик Стивен Лейси обнаружил [1, 2] широко распространенную атаку вредоносного ПО на GitHub, затронувшую около 35 000 репозиториев программного обеспечения.

Речь идет о клонировании тысяч репозиториев GitHub в рамках нацеливания на ничего не подозревающих разработчиков. Тысячи проектов являются форками известных проектов, таких как crypto, golang, python, js, bash, docker, k8s и др., правда с начинкой в виде бэкдоров.

В анализа одного из них с открытым исходным кодом инженер заметил следующий URL-адрес в коде hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.

При поиске GitHub по этому URL-адресу было найдено более 35 000 результатов, отображающих файлы с вредоносным URL-адресом. При этом более 13 000 результатов поиска соответствовали одному репозиторию под названием redhat-operator-ecosystem, который был оперативно удален с GitHub.

Разработчик Джеймс Такер указал, что клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.

Эксфильтрация переменных среды сама по себе может предоставить злоумышленникам ключи API, токены, учетные данные Amazon AWS и криптографические ключи, где это применимо.

Подавляющее большинство клонированных репозиториев были изменены с помощью вредоносного кода в течение последнего месяца. Тем не менее, были и репозитории с вредоносными коммитами, датированными еще 2015 годом.

GitHub удалил вредоносные клоны со своей платформы после получения отчета инженера. Тем не менее ресерчер Флориан Рот предоставил правила Sigma для обнаружения вредоносного кода в среде.

Разработчикам следует не забывать использовать ПО исключительно из официальных репозиториев и внимательно отслеживать потенциальные опечатки или разветвления репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.

Минутка информационного противоборства на канале SecAtor.

СБУ заявила, что накрыла банду, управлявшую огромной сетью в миллион ботов, использовавшейся для проведения информационно-пропагандистских акций против руководства Украины, а также с целью дестабилизации общественно-политической ситуации в стране.

Самом собой, как говорит СБУ, за этой бот-сетью стояли российские спецслужбы. Правда базировалась она в Киеве, Харькове и Виннице.

Сначала мы не поняли причину столь странного выбора места размещения, а потом ка-а-ак поняли! Это произошло в результате диверсии - российским спецслужбам поменяли глобус Земли на глобус Украины! Поэтому куда-бы не тыкали пальцем генералы, всяко попадали в украинские города.

А если серьезно, то СБУ занимается "под шумок" зачисткой внутриполитического пространства, поскольку одним из руководителей банды объявлен действующий депутат "из окружения бывшего руководства страны". Но лакирует это все под борьбу с злокозненными действиями России, а раз так, то и "госизмену" прицепить можно.

"А какое отношение это имеет к информационной безопасности?" - спросят подписчики. Мы тоже так думали, но увидели данную новость на нескольких ведущих инфосек-СМИ. Видимо имеет 🤔

Cisco в среду выпустила исправления для устранения 8 уязвимостей в системе безопасности, 3 из которых могут быть использованы злоумышленником, не прошедшим проверку подлинности, для RCE или вызова состояния DoS на уязвимых устройствах.

Наиболее критическая ошибка затрагивает маршрутизаторы Cisco Small Business серий RV160, RV260, RV340 и RV345.

Отслеживается как CVE-2022-20842 с оценкой CVSS: 9,8. Проблема связана с недостаточной проверкой вводимых пользователем данных в веб-интерфейсе управления устройствами.

Согласно бюллетеня, злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-вход на уязвимое устройство. спешный эксплойт может позволить злоумышленнику выполнить произвольный код от имени пользователя root в базовой операционной системе или вызвать перезагрузку устройства, что приведет к состоянию DoS.

Две другие ошибки CVE-2022-20827 (оценка CVSS: 9,0) и CVE-2022-20841 (оценка CVSS: 8,0) связаны с проблемами внедрения команд в функции обновления базы данных веб-фильтра маршрутизаторов и модуле Open Plug-n-Play (PnP) соответственно.

Первая из них может быть использована злоумышленником для внедрения и выполнения произвольных команд в базовой операционной системе с root-правами, другой же можно злоупотреблять, отправляя вредоносный ввод для достижения выполнение кода на целевом хосте Linux.

Чтобы воспользоваться этой уязвимостью, злоумышленник должен реализовать MiTM или закрепиться на определенном сетевом устройстве, подключенном к уязвимому маршрутизатору.

Cisco также исправила пять ошибкой средней степени серьезности, затрагивающих Webex Meetings, Identity Services Engine, Unified Communications Manager, а также платформу доставки приложений BroadWorks.

Компания не представила дополнительных обходных путей для устранения проблем, отметив отсутствие доказательств эксплуатации уязвимостей в дикой природе.

Тем не менее, клиентам рекомендуется оперативно применить доступные обновления.

Испанский национальный исследовательский совет (CSIC) 16-17 июля подвергся атаке с использованием ransomware.

CSIC является государственным агентством по научным исследованиям и технологическому развитию, входящим в состав Министерства науки и инноваций Испании, но с особым статусом, поскольку оно имеет собственные активы и казначейство, функциональную и управленческую автономию.

Сразу после выявления вторжения 18 июля был активирован протокол Центра операций по кибербезопасности (COCS) и Национального криптологического центра (CCN). Специалистам удалось изолировать сеть нескольких своих исследовательских центров и оперативно локализовать угрозу.

Однако до настоящего времени на 85% инфраструктура остается отключенной. Чуть более четверти центров CSIC уже имеют подключение к сети. При этом агентство не сообщает, была ли зашифрована какая-либо из ее систем.

По результатам предварительного расследования инцидента специалисты не обнаружили признаков того, что злоумышленник украл секретную или конфиденциальную информацию.

Но даже при отсутствии окончательных результатов расследования, им никак не помешало указать на источник кибератаки, который исходит из России. Правда, в самом CSIC атаку атрибутируют киберпреступной группе.

Ну, а мы полагаем увидеть атрибуцию на одном из известных DLS.

Malwarebytes сообщают о кампании с использованием новой вредоносной ПО Woody RAT, которая позволяет удаленно контролировать и красть информацию со взломанных устройств.

Ресерчеры отмечают, что неизвестные злоумышленники нацелены на российские организации, одной из которых стала Объединённая авиастроительная корпорация.

По данным, одной из российских организаций, подвергшихся атаке с использованием этой вредоносной программы, является государственная оборонная корпорация.

Выявленный троян удаленного доступа RAT обладает широким спектром возможностей и использовался в атаках не менее года.

Доставляется на компьютеры целей через фишинговые электронные письма двумя способами: ZIP-архивами, содержащими вредоносную полезную нагрузку, и документами Microsoft Office с названием «памятка по информационной безопасности», которые используют уязвимость Follina для сброса полезных нагрузок.

Среди функций RAT: сбор системной информации, формирование списка папок и запущенных процессов, выполнение команд и файлов, полученных с C2, загрузка и удаление файлов на зараженных машинах, а также создание снимков экрана.

Woody Rat также может выполнять код .NET, а также команды и сценарии PowerShell от своего C2, с помощью двух библиотек DLL с именами WoodySharpExecutor и WoodyPowerSession.

Запустившись на скомпрометированном устройстве, вредоносное ПО использует очистку процессов для внедрения в приостановленный процесс, удаляет себя с диска, чтобы избежать обнаружения продуктами безопасности, и возобновляет поток.

RAT шифрует свои каналы связи C2, используя комбинацию RSA-4096 и AES-CBC и избегая таким образом сетевого мониторинга.

Malwarebytes пока не связывает вредоносное ПО и атаки с какой-либо известной группой, но полагает, что список подозреваемых включает китайские и северокорейские APT.

Однако, исходя из того, что удалось собрать и проанализировать, ресерчеры не нашли никаких убедительных признаков, позволяющих отнести эту кампанию к упомянутым акторам.

Было много шума и переживаний по поводу того, что российский рынок ИБ стремительно лишается зарубежных поставщиков, которые занимали до 39% от общего объема рынка по состоянию на 2021 год.

С конца февраля Avast, Cisco, Fortinet, IBM, ESET, NortonLifeLock Inc., Forcepoint (Websense) заявили о своем уходе.

Однако ведущие представители российской инфосек-индустрии видят в этом большие перспективы. Лаборатория Касперского, Positive Technologies и Информзащита рассказали «Коммерсанту» о возможных драйверах роста.

По прогнозу фонда «Центр стратегических разработок» некоммерческая организация, разрабатывающая стратегии долгосрочного развития экономики РФ), к 2026 году российский рынок ИБ вырастет с 185,9 млрд до 469 млрд рублей (CAGR рынка в 2026 году составит 20%).

При этом доля российских компаний на рынке вырастет c 113 млрд рублей в 2021 году до 446 млрд рублей в 2026 году (CAGR за 5 лет — 32%), а доля зарубежных вендоров сократится до 5%.

Директор по развитию бизнеса Positive Technologies Максим Филиппов обосновывает это тем, что, в первую очередь, на развитие рынка повлияет уход западных компаний, во вторую — реальные киберинциденты, вызванные геополитической ситуацией, и госрегулирование, которое и станет основополагающим фактором роста.

С учетом того, что израильская Check Point с российского рынка уходить вовсе даже не собирается, в самую пору вспомнить анекдот про здоровье Рабиновича. Пациент жив и бодр.

͏Специалистов, которые взламывают устройства Apple, взломали.

Решения израильского поставщика Cellebrite наряду с NSO Group используются спецслужбами и правоохранителями по всему миру.

4 ТБ данных, включая исходники Cellebrite Mobilogy и Cellebrite TFS, просочилась (1, 2) в глобальную сеть от анонимного источника.

Примечательно, что Cellebrite Mobilogy использует тот же код, что и Cellebrite Universal Forensics Extraction Device или Cellebrite UFED.

Для справки, последние активно используют спецслужбы для проведения экспертиз компьютерной и мобильной техники под управлением ОС Android и iOS.

Ассоциация немецких торгово-промышленных палат (DIHK) пала под натиском кибератаки и была вынуждена отключить все свои IT-системы.

DIHK представляет собой объединение 79 палат, представляющих немецкие компании, и включает более 3 млн. членов из числа представителей хозяйствующих организаций, начиная от небольших торговых точек и заканчивая крупными предприятиями.

DIHK реализует услуги юридического представительства, консультации, продвижение внешней торговли, обучение, а также региональное экономическое развитие.

В своем заявлении DIHK предупредили, что инфраструктура отключена в качестве меры предосторожности до момента принятия необходимых мер защиты.

Генеральный директор DIHK Майкл Бергманн, в свою очередь, сообщил в LinkedIn, что кибератака произошла в среду, и охарактеризовал инцидент как «массовый».

Как на наш взгляд, на лицо все признаки атаки с использованием ransomware, хотя это официально еще не подтверждено. В таком случае ожидаем официального подтверждения уже через DLS.

Министерство внутренней безопасности США (DHS) сообщает о критических уязвимостях в непропатченных устройствах декодера системы экстренного оповещения (EAS), которые могут быть использованы для инициирования поддельных предупреждений о чрезвычайных ситуациях через хост-инфраструктуру (телевидение, радио, кабельную сеть).

EAS - это национальная система оповещения населения США, которая позволяет высшим и местным властям предоставлять критически важную информацию в случае чрезвычайной ситуации, а также когда использование всех других средств оповещения населения не доступно.

Оповещения EAS доставляются через IPAWS по всем каналам связи одновременно, включая AM, FM и спутниковое радио, а также кабельное и спутниковое телевидение. Они также могут прерывать радио- и телепрограммы и могут быть доставлены в виде текстовых сообщений с аудиовложениями или без них.

Уязвимость была обнаружена Кеном Пайлом, исследователем Cybir, и затрагивает устройства EAS Monroe Electronics R189 One-Net DASDEC.

PoC был успешно продемонстрирован и будет представлен на предстоящей конференции DEFCON 2022 в Лас-Вегасе 11–14 августа.

В случае успешной эксплуатации, злоумышленник легко может получить доступ к учетным данным, сертификатам, устройствам, использовать веб-сервер, отправлять фальшивые оповещения с помощью сообщений crafts, получать действительные/упреждающие сигналы, а также блокировать других пользователей.

Ресерчер отметил, что многочисленные уязвимости и проблемы (подтвержденные другими исследователями) не устранялись в течение нескольких лет и превратились в один большой баг.

Учитывая их бюрократию, вероятно, и распутывать баг будут также долго.

​👁 Прокачиваем навыки OSINT.

🖖🏻 Приветствую тебя user_name.

• Сегодня у нас будет небольшая подборка ценной и актуальной информации касательно #OSINT. Данный материал будет очень полезен социальным инженерам и всем остальным, кому интересна тема поиска информации о цели.

• Начну с очень интересного видеоматериала. Автор и другие участники видео находят местоположение объекта по фото, используют интересные инструменты и различные методы поиска геолокации цели. Рекомендую к просмотру: https://youtu.be/OsY32K1s51Y

• Следующим пунктом, предлагаю ознакомиться с очень полезным списком инструментов Майкла Баззела: https://inteltechniques.com/tools внушительный и актуальный список тулз для поиска информации о цели по различным критериям.

• Наша подборка завершается огромным количеством инструментов, которые аккуратно распределены по критериям. Можно найти очень много нового и полезного материала для OSINT: https://start.me/p/1kJKR9/commandergirl-s-suggestions

p.s. Не забывай про нашу подборку материала https://xn--r1a.website/Social_engineering/1838 и добавляй в избранное.

Твой S.E. #OSINT