Forwarded from Social Engineering
🧠 Социальная Инженерия. Slowpoke News.
• Ну, что тут сказать. Lapsus$ атаковали мобильных операторов еще год назад, когда T-Mobile подтвердила слив исходных кодов и доступ атакующих к их инструментам. А SIM-swap это классический метод #СИ, который является максимально профитным (с точки зрения атакующего) если получается обвести вокруг пальца сотрудника компании сотовой связи.
• Соответственно, я не совсем понимаю, какие "новации" привносит Lapsus$ в данную схему. Хотя, вероятно мы просто не знаем всех деталей и подробностей. Но будем наблюдать, так как схема весьма интересна в своей реализации.
🧷 Новость на RU: https://cisoclub.ru/Lapsus$
• Идём дальше. Вторая новость наиболее изощренная, хотя и является классикой. Цитирую источник: "Эксперты «Лаборатории Касперского» рассказали о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более целевыми, и теперь злоумышленники ссылаются на сферу деятельности жертвы, используют как звонки, так и сообщения в мессенджере. Обычно в начале атак мошенники представляются сотрудниками той сферы, в которой работает потенциальная жертва."
• Проще говоря, жертве поступает сообщение в мессенджере, которое содержит уведомление о "важном" звонке из правоохранительных или контролирующих органов. Для большего доверия, атакующие притворяются коллегами своей цели или рассылают сообщения из ранее угнанных аккаунтов.
• Спустя определенное время, жертве поступает звонок, начинается психологическое давление и цель готовят к следующему звонку от финансовой организации, которые завершают эту цепочку и разводят жертву на деньги.
• В некоторых случаях злоумышленники могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство (якобы для помощи). Таким образом они прилагают максимум усилий, чтобы жертва не общалась с близкими и не «сорвалась с крючка».
• Как по мне, так очень как то всё сложно. Схема требуется огромное кол-во ресурса, времени и сил для атакующих. А профит может оказаться минимальным.
🧷 Новость: https://xakep.ru/fake-coworkers/
• Тем не менее, всегда думайте на холодную голову и старайтесь проверять информацию, особенно когда дело касается ваших кровно заработанных.
S.E. ▪️ infosec.work ▪️ #СИ
🖖🏻 Приветствую тебя, user_name.
• Тут пишут, что Lapsus$ вывели атаки с подменой SIM-карт на новый уровень. А именно, помимо атак с использованием методов социальной инженерии, ребята компрометируют учетные записи мобильных операторов с помощью инструментов управления клиентами. Такой подход позволил атакующим воздействовать на учетные записи, связанные с работниками Министерства обороны США и ФБР.• Ну, что тут сказать. Lapsus$ атаковали мобильных операторов еще год назад, когда T-Mobile подтвердила слив исходных кодов и доступ атакующих к их инструментам. А SIM-swap это классический метод #СИ, который является максимально профитным (с точки зрения атакующего) если получается обвести вокруг пальца сотрудника компании сотовой связи.
• Соответственно, я не совсем понимаю, какие "новации" привносит Lapsus$ в данную схему. Хотя, вероятно мы просто не знаем всех деталей и подробностей. Но будем наблюдать, так как схема весьма интересна в своей реализации.
🧷 Новость на RU: https://cisoclub.ru/Lapsus$
• Идём дальше. Вторая новость наиболее изощренная, хотя и является классикой. Цитирую источник: "Эксперты «Лаборатории Касперского» рассказали о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более целевыми, и теперь злоумышленники ссылаются на сферу деятельности жертвы, используют как звонки, так и сообщения в мессенджере. Обычно в начале атак мошенники представляются сотрудниками той сферы, в которой работает потенциальная жертва."
• Проще говоря, жертве поступает сообщение в мессенджере, которое содержит уведомление о "важном" звонке из правоохранительных или контролирующих органов. Для большего доверия, атакующие притворяются коллегами своей цели или рассылают сообщения из ранее угнанных аккаунтов.
• Спустя определенное время, жертве поступает звонок, начинается психологическое давление и цель готовят к следующему звонку от финансовой организации, которые завершают эту цепочку и разводят жертву на деньги.
• В некоторых случаях злоумышленники могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство (якобы для помощи). Таким образом они прилагают максимум усилий, чтобы жертва не общалась с близкими и не «сорвалась с крючка».
• Как по мне, так очень как то всё сложно. Схема требуется огромное кол-во ресурса, времени и сил для атакующих. А профит может оказаться минимальным.
🧷 Новость: https://xakep.ru/fake-coworkers/
• Тем не менее, всегда думайте на холодную голову и старайтесь проверять информацию, особенно когда дело касается ваших кровно заработанных.
S.E. ▪️ infosec.work ▪️ #СИ
Китай установил причастность американских спецслужб к кибератаке на Центр мониторинга землетрясений в Ухане и обещает по итогам раскрыть глобальную секретную разведывательную систему США.
Обвинения китайской стороны последовали вслед за распиаренной на Западе вредоносной кампанией Volt Typhoon, в рамках которой, как предполагают американские чиновники, якобы планируются разрушительные кибератаки на критическую инфраструктуру на случай военной конфронтации.
В результате расследования китайским CVERC совместно с инфосек-компанией 360 было обнаружено очень сложное вредоносное ПО с бэкдором, тщательно скрытое и нацеленное на кражу данных, связанных с мониторингом землетрясений.
Причем, как отмечают исследователи, данные мониторинга представляют и военный интерес, включая не только базовую информацию, но также обширные географические и геологические данные, такие как поверхностные деформации и гидрологический мониторинг.
В точки зрения военной разведки такие всеобъемлющие данные о вибрации и звуковых волнах, особенно инфразвуковые, имеют важное значение для оценки и анализа потенциальных испытаний систем вооружений, прежде всего ядерных.
В связи с чем, кибератака на центр мониторинга со стороны спецслужб США была спланированной и преднамеренной военной киберразведывательной акцией, отмечают эксперты.
Кроме того, как полагают исследователи, отмеченный инцидент - это лишь часть глобальной программы, в рамках которой глобальные комплексные разведывательные силы и средства нацелены и на другие области, реализуя оценку и анализ экономических, социальных и даже военных действий КНР.
Исследователи также пришли к выводу, что кибератаки на гражданскую инфраструктуру, в том числе на системы мониторинга землетрясений, потенциально могут привести к серьезным последствиям, в случае модификации данных телеметрии.
Китайские специалисты полагают, что атакованы также и другие страны, поскольку для американских спецслужб - это достаточно дешевый источник получения данных дистанционного зондирования и телеметрии в рамках стратегической разведки.
Для этих целей США разработали ряд систем сбора, анализа и обработки сигналов, таких как Echelon для слежения за электромагнитными сигналами, Main Core для операторов связи и PRISM для крупных производителей ИТ и Интернета.
По итогу долголетних наблюдений китайские исследователи обещают вскоре публично обнародовать глобальную систему разведки правительства США.
Будем посмотреть.
Обвинения китайской стороны последовали вслед за распиаренной на Западе вредоносной кампанией Volt Typhoon, в рамках которой, как предполагают американские чиновники, якобы планируются разрушительные кибератаки на критическую инфраструктуру на случай военной конфронтации.
В результате расследования китайским CVERC совместно с инфосек-компанией 360 было обнаружено очень сложное вредоносное ПО с бэкдором, тщательно скрытое и нацеленное на кражу данных, связанных с мониторингом землетрясений.
Причем, как отмечают исследователи, данные мониторинга представляют и военный интерес, включая не только базовую информацию, но также обширные географические и геологические данные, такие как поверхностные деформации и гидрологический мониторинг.
В точки зрения военной разведки такие всеобъемлющие данные о вибрации и звуковых волнах, особенно инфразвуковые, имеют важное значение для оценки и анализа потенциальных испытаний систем вооружений, прежде всего ядерных.
В связи с чем, кибератака на центр мониторинга со стороны спецслужб США была спланированной и преднамеренной военной киберразведывательной акцией, отмечают эксперты.
Кроме того, как полагают исследователи, отмеченный инцидент - это лишь часть глобальной программы, в рамках которой глобальные комплексные разведывательные силы и средства нацелены и на другие области, реализуя оценку и анализ экономических, социальных и даже военных действий КНР.
Исследователи также пришли к выводу, что кибератаки на гражданскую инфраструктуру, в том числе на системы мониторинга землетрясений, потенциально могут привести к серьезным последствиям, в случае модификации данных телеметрии.
Китайские специалисты полагают, что атакованы также и другие страны, поскольку для американских спецслужб - это достаточно дешевый источник получения данных дистанционного зондирования и телеметрии в рамках стратегической разведки.
Для этих целей США разработали ряд систем сбора, анализа и обработки сигналов, таких как Echelon для слежения за электромагнитными сигналами, Main Core для операторов связи и PRISM для крупных производителей ИТ и Интернета.
По итогу долголетних наблюдений китайские исследователи обещают вскоре публично обнародовать глобальную систему разведки правительства США.
Будем посмотреть.
www.globaltimes.cn
Exclusive: China identifies the culprits behind cyberattack on Wuhan Earthquake Monitoring Center; a secretive US global reconnaissance…
New progress has been made on an investigation into a cyberattack incident targeting the Wuhan Earthquake Monitoring Center affiliated to the city’s Emergency Management Bureau, after a joint investigation team formed by the National Computer Virus Emergency…
Google выпустила Chrome 116 с исправлениями 26 уязвимостей и планирует в дальнейшем выпускать обновления безопасности браузера еженедельно.
Основываясь на суммах выплат по BugBounty, наиболее важной из них является CVE-2023-2312, ошибка использования после освобождения в автономном компоненте.
За ее раскрытие исследователь получил 30 000 долларов.
Следующая за ней CVE-2023-4349, которая представляет собой проблему использования после освобождения в Device Trust Connectors.
Далее следует неправильная реализация в полноэкранном режиме (CVE-2023-4350) и ошибка использования после освобождения в сети (CVE- 2023-4351), за которые Google выплатила вознаграждение в размере 5, 3 и 2 тысяч долларов соответственно.
Среди других четырех уязвимостей высокой степени серьезности - ошибка путаницы типов в движке JavaScript V8, переполнения буфера кучи в ANGLE и Skia, а также проблема доступа к памяти за пределами памяти в движке V8.
Об этих проблемах сообщили исследователи из Google Project Zero и Microsoft Vulnerability Research.
Все остальные уязвимости, о которых сообщали внешние исследователи, относятся к средней степени серьезности.
Из них 6 связаны с проблемами реализации, 3 - использованием после освобождения, 2 - недостаточным применением политик, 1 - переполнением буфера кучи и 1 - недостаточной проверкой входных данных.
В целом, Google выплатила 63 000 долларов в качестве вознаграждения за обнаружение ошибок, об их использовании в реальных атаках не сообщается.
Последняя итерация Chrome доступна как версия 116.0.5845.96 для Mac и Linux и как версии 116.0.5845.96/.97 для Windows.
Основываясь на суммах выплат по BugBounty, наиболее важной из них является CVE-2023-2312, ошибка использования после освобождения в автономном компоненте.
За ее раскрытие исследователь получил 30 000 долларов.
Следующая за ней CVE-2023-4349, которая представляет собой проблему использования после освобождения в Device Trust Connectors.
Далее следует неправильная реализация в полноэкранном режиме (CVE-2023-4350) и ошибка использования после освобождения в сети (CVE- 2023-4351), за которые Google выплатила вознаграждение в размере 5, 3 и 2 тысяч долларов соответственно.
Среди других четырех уязвимостей высокой степени серьезности - ошибка путаницы типов в движке JavaScript V8, переполнения буфера кучи в ANGLE и Skia, а также проблема доступа к памяти за пределами памяти в движке V8.
Об этих проблемах сообщили исследователи из Google Project Zero и Microsoft Vulnerability Research.
Все остальные уязвимости, о которых сообщали внешние исследователи, относятся к средней степени серьезности.
Из них 6 связаны с проблемами реализации, 3 - использованием после освобождения, 2 - недостаточным применением политик, 1 - переполнением буфера кучи и 1 - недостаточной проверкой входных данных.
В целом, Google выплатила 63 000 долларов в качестве вознаграждения за обнаружение ошибок, об их использовании в реальных атаках не сообщается.
Последняя итерация Chrome доступна как версия 116.0.5845.96 для Mac и Linux и как версии 116.0.5845.96/.97 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.96 for Mac and Linux and 116.0.5845.96/.97 for Windows , which will...
͏Пока британские силовики развлекаются с FOI, сливая своих же сотрудников и материалы расследований, в даркнете продают базу данных агентуры правительства Израиля в различных странах.
Заявленная утечка включает 26 тысяч персоналий с указанием полных установочных данных, включая имена, даты рождения, номера телефонов, номера паспортов и других конфиденциальных сведений.
Селлер не разглашает источники получения данных по соображениям безопасности и рассматривает продажу только реально заинтересованным клиентам с хорошей репутацией в киберподполье.
Заявленная утечка включает 26 тысяч персоналий с указанием полных установочных данных, включая имена, даты рождения, номера телефонов, номера паспортов и других конфиденциальных сведений.
Селлер не разглашает источники получения данных по соображениям безопасности и рассматривает продажу только реально заинтересованным клиентам с хорошей репутацией в киберподполье.
Неназваннная крупная энергетическая организация в США стала жертвой фишинговой атаки с использованием QR-кода.
Начавшуюся еще в мае фишинговую кампанию обнаружили исследователи Cofense. Причем 29% из 1000 замеченных электронных писем была нацелена именно на конкретную энергетическую компанию.
При этом остальные попытки атак были адресованы на компании в сфере производства (15%), страхования (9%), технологий (7%) и финансовых услуг (6%).
Как сообщают Cofense, атака начинается с фишингового письма, в котором от получателя требуется предпринять действия для обновления настроек своей учетной записи Microsoft 365.
Электронные письма содержат вложения в формате PNG или PDF с QR-кодом, который получателю предлагается отсканировать для подтверждения своей учетки и на это дается 2-3 дня.
Использование QR-кодов, встроенных в изображения позволяют злоумышленникам обойти инструменты защиты электронной почты, проверяющих письма на наличие вредоносных ссылок.
Для большей эффективности QR-коды реализуют кодировку base64 для фишинговой ссылки и перенаправления в службах Bing, Salesforce и Cloudflare Web3 для продвижения фишинговой страницы Microsoft 365.
QR-коды уже использовались в фишинговых кампаниях, хотя и в меньших масштабах, в прошлом, в том числе во Франции и Германии.
Однако впервые используются с таким размахом, что указывает на растущую популярность и эффективность подобных атак в качестве вектора атаки.
Атрибутировать новую кампанию конкретному субъекту аналитики Cofense так и не смогли.
Несмотря на свою эффективность в обходе средств защиты, QR-коды по-прежнему требуют от жертвы действий для взлома, что является решающим смягчающим фактором.
Помимо обучения персонала, Cofense также рекомендовали использовать инструменты распознавания изображений в рамках организации мер защиты от фишинга, хотя это тоже не гарантируют обнаружение всех связанных с QR угроз.
Начавшуюся еще в мае фишинговую кампанию обнаружили исследователи Cofense. Причем 29% из 1000 замеченных электронных писем была нацелена именно на конкретную энергетическую компанию.
При этом остальные попытки атак были адресованы на компании в сфере производства (15%), страхования (9%), технологий (7%) и финансовых услуг (6%).
Как сообщают Cofense, атака начинается с фишингового письма, в котором от получателя требуется предпринять действия для обновления настроек своей учетной записи Microsoft 365.
Электронные письма содержат вложения в формате PNG или PDF с QR-кодом, который получателю предлагается отсканировать для подтверждения своей учетки и на это дается 2-3 дня.
Использование QR-кодов, встроенных в изображения позволяют злоумышленникам обойти инструменты защиты электронной почты, проверяющих письма на наличие вредоносных ссылок.
Для большей эффективности QR-коды реализуют кодировку base64 для фишинговой ссылки и перенаправления в службах Bing, Salesforce и Cloudflare Web3 для продвижения фишинговой страницы Microsoft 365.
QR-коды уже использовались в фишинговых кампаниях, хотя и в меньших масштабах, в прошлом, в том числе во Франции и Германии.
Однако впервые используются с таким размахом, что указывает на растущую популярность и эффективность подобных атак в качестве вектора атаки.
Атрибутировать новую кампанию конкретному субъекту аналитики Cofense так и не смогли.
Несмотря на свою эффективность в обходе средств защиты, QR-коды по-прежнему требуют от жертвы действий для взлома, что является решающим смягчающим фактором.
Помимо обучения персонала, Cofense также рекомендовали использовать инструменты распознавания изображений в рамках организации мер защиты от фишинга, хотя это тоже не гарантируют обнаружение всех связанных с QR угроз.
Cofense
Major Energy Company Targeted in Large QR Code Campaign
Discover why malicious actors are QR codes in phishing campaigns and other tactics to gain access to valuable data for a major energy company.
Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности и сетевых технологий:
💀 Этичный Хакер — один из крупнейших ресурсов по информационной безопасности в СНГ. Книги, видеоуроки, гайды по пентесту, СИ, защите устройств.
📚 infosec — редкая литература для специалистов в области информационной безопасности любого уровня и направления. Читайте, развивайтесь, практикуйте.
👾 CyberYozh — подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
💻 ServerAdmin — канал практикующего системного администратора и devops инженера, автора сайта serveradmin[.]ru. Авторские заметки, личный опыт и рекомендации.
🤖 Open Source — крупнейший в Telegram агрегатор полезных программ и скриптов с открытым исходным кодом.
💀 Этичный Хакер — один из крупнейших ресурсов по информационной безопасности в СНГ. Книги, видеоуроки, гайды по пентесту, СИ, защите устройств.
📚 infosec — редкая литература для специалистов в области информационной безопасности любого уровня и направления. Читайте, развивайтесь, практикуйте.
👾 CyberYozh — подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
💻 ServerAdmin — канал практикующего системного администратора и devops инженера, автора сайта serveradmin[.]ru. Авторские заметки, личный опыт и рекомендации.
🤖 Open Source — крупнейший в Telegram агрегатор полезных программ и скриптов с открытым исходным кодом.
Разработчики WinRAR исправили серьезную уязвимость, которая позволяет злоумышленникам RCE в целевой системе после открытия специально созданного файла RAR.
CVE-2023-40477 была обнаружена исследователем goodbyeselene из Zero Day Initiative, который сообщил о ней в RARLAB еще 8 июня 2023 года.
Проблема связана с обработкой томов для восстановления и возникает из-за отсутствия надлежащей проверки данных пользователя, что может привести к доступу к памяти после переполнения выделенного буфера.
Поскольку цели необходимо обманом заставить жертву открыть архив, рейтинг серьезности уязвимости снижен до 7,8 по CVSS.
Однако с практической точки зрения эта задача не представляется слишком сложной, а учитывая огромный размер клиентской базы WinRAR, у злоумышленников широкие возможности для того, чтобы добиться успешной эксплуатации.
Компания RARLAB выпустила WinRAR версии 6.23 с исправлением для CVE-2023-40477.
Помимо исправления кода обработки томов восстановления RAR4, версия 6.23 устраняет проблему со специально созданными архивами, приводящую к неправильному запуску файла, что также считается уязвимостью высокой степени серьезности.
Учитывая, что в прошлом хакеры уже эксплуатировали уязвимости WinRAR, когда в 2019 году Checkpoint сообщали о вредоносной кампании с использованием уязвимости в библиотеке UNACEV2.DLL, пользователям настоятельно рекомендуется установить обновление.
CVE-2023-40477 была обнаружена исследователем goodbyeselene из Zero Day Initiative, который сообщил о ней в RARLAB еще 8 июня 2023 года.
Проблема связана с обработкой томов для восстановления и возникает из-за отсутствия надлежащей проверки данных пользователя, что может привести к доступу к памяти после переполнения выделенного буфера.
Поскольку цели необходимо обманом заставить жертву открыть архив, рейтинг серьезности уязвимости снижен до 7,8 по CVSS.
Однако с практической точки зрения эта задача не представляется слишком сложной, а учитывая огромный размер клиентской базы WinRAR, у злоумышленников широкие возможности для того, чтобы добиться успешной эксплуатации.
Компания RARLAB выпустила WinRAR версии 6.23 с исправлением для CVE-2023-40477.
Помимо исправления кода обработки томов восстановления RAR4, версия 6.23 устраняет проблему со специально созданными архивами, приводящую к неправильному запуску файла, что также считается уязвимостью высокой степени серьезности.
Учитывая, что в прошлом хакеры уже эксплуатировали уязвимости WinRAR, когда в 2019 году Checkpoint сообщали о вредоносной кампании с использованием уязвимости в библиотеке UNACEV2.DLL, пользователям настоятельно рекомендуется установить обновление.
Zerodayinitiative
ZDI-23-1152
RARLAB WinRAR Recovery Volume Improper Validation of Array Index Remote Code Execution Vulnerability
Тем временем в даркнете хакеры анонсировали серьезные утечки.
Украдена и реализуется с молотка базу данных с личной информацией более чем 5,1 миллионов граждан Сальвадора. Она включает полные установочные данные, контактные сведения, адреса регистрации и фотоизображения.
Под ударом оказался и Иран, чьи структуры социального обеспечения (tamin[.]ir) взломали, а доступ продается, включая личные и контактные данные граждан, а также номера страхования.
Еще меньше повезло гражданам Панамы и Чили, которые стали жертвой хакерской группы KittenSec. Помимо компрометации 2 млн. панамцев и 10 млн. чилийцев хакерам также удалось прихватить данные Министерства юстиции Италии.
Но, даже эти инциденты могут показаться шалостью в сравнении с предполагаемой утечкой из Министерства государственной безопасности КНР. Реализуется база данных, включающая 479 082 385 имен, дат рождений, номеров телефонов, адресов электронной почты, адресов и секретных документов.
Но, традиционно, будем посмотреть.
Украдена и реализуется с молотка базу данных с личной информацией более чем 5,1 миллионов граждан Сальвадора. Она включает полные установочные данные, контактные сведения, адреса регистрации и фотоизображения.
Под ударом оказался и Иран, чьи структуры социального обеспечения (tamin[.]ir) взломали, а доступ продается, включая личные и контактные данные граждан, а также номера страхования.
Еще меньше повезло гражданам Панамы и Чили, которые стали жертвой хакерской группы KittenSec. Помимо компрометации 2 млн. панамцев и 10 млн. чилийцев хакерам также удалось прихватить данные Министерства юстиции Италии.
Но, даже эти инциденты могут показаться шалостью в сравнении с предполагаемой утечкой из Министерства государственной безопасности КНР. Реализуется база данных, включающая 479 082 385 имен, дат рождений, номеров телефонов, адресов электронной почты, адресов и секретных документов.
Но, традиционно, будем посмотреть.
Anonymous Italy провели серию DDoS-атак на ресурсы японских организации в сфере ядерной энергетики в знак различных ядерно-энергетических организаций в Японии.
Целями стали Японское агентство по атомной энергии, Japan Atomic Power и Японское общество по атомной энергии.
Помимо этого под удар попали и различные связанные с Фукусимой сайты, включая TEPCO, Министерство экономики, торговли и промышленности и Либерально-демократическую партию.
Anonymous опубликовали список целей для атак после того, как японское правительство официально приняло решение о сбросе очищенной воды с АЭС.
По мнению Anonymous, политика японского правительства в отношении сброса очищенной воды непрозрачна, поскольку граждане не могут участвовать в процессе принятия решений, полагая положить конец «бессмысленным действиям по превращению моря в свалку ради экономической выгоды».
Местное население и жители соседних стран в определенной части поддерживает действия хакеров и выступают против сброса воды, а Китай и вовсе намерен ввести тотальное радиационное тестирование японских морепродуктов.
Целями стали Японское агентство по атомной энергии, Japan Atomic Power и Японское общество по атомной энергии.
Помимо этого под удар попали и различные связанные с Фукусимой сайты, включая TEPCO, Министерство экономики, торговли и промышленности и Либерально-демократическую партию.
Anonymous опубликовали список целей для атак после того, как японское правительство официально приняло решение о сбросе очищенной воды с АЭС.
По мнению Anonymous, политика японского правительства в отношении сброса очищенной воды непрозрачна, поскольку граждане не могут участвовать в процессе принятия решений, полагая положить конец «бессмысленным действиям по превращению моря в свалку ради экономической выгоды».
Местное население и жители соседних стран в определенной части поддерживает действия хакеров и выступают против сброса воды, а Китай и вовсе намерен ввести тотальное радиационное тестирование японских морепродуктов.
The Mainichi
Hacker group attacks Japan nuclear websites over Fukushima water plan
TOKYO (Kyodo) -- International hacker group Anonymous has launched cyberattacks against nuclear power-linked groups in Japan in protest at the planned
Популярный сервис для анонимного обмена файлами AnonFiles канул в лету, а вместе с ним и все нажитое непосильным трудом от ransomware 8Base.
В принципе, сервисом частенько злоупотребляли для всякого рода темных делишек, что в конечном итоге привело к его закрытию.
В частности, злоумышленники 8Base использовали AnonFiles как платформу для распространения различных форм украденных данных, а много кто промышлял и распространением вредоносного ПО.
Теперь админы AnonFiles активно ищут кого-то, кто купит их домен, но во время этого перехода прекращение работы приведет к тому, что многие файлы станут недоступными.
Это повлияет как на исследователей в области кибербезопасности, так и на злоумышленников, которые использовали платформу.
Ушли одни, придут другие и закрытие таких платформ неизбежно создает пространство для появления новых на их месте, а с учетом прецендента юзерам подобных сервисов придется думать о бэкапах.
В принципе, сервисом частенько злоупотребляли для всякого рода темных делишек, что в конечном итоге привело к его закрытию.
В частности, злоумышленники 8Base использовали AnonFiles как платформу для распространения различных форм украденных данных, а много кто промышлял и распространением вредоносного ПО.
Теперь админы AnonFiles активно ищут кого-то, кто купит их домен, но во время этого перехода прекращение работы приведет к тому, что многие файлы станут недоступными.
Это повлияет как на исследователей в области кибербезопасности, так и на злоумышленников, которые использовали платформу.
Ушли одни, придут другие и закрытие таких платформ неизбежно создает пространство для появления новых на их месте, а с учетом прецендента юзерам подобных сервисов придется думать о бэкапах.
SOCRadar® Cyber Intelligence Inc.
AnonFiles Forced to Shut Down Due to Surge of Malicious Utilization - SOCRadar® Cyber Intelligence Inc.
August 18, 2023: The effects of the AnonFiles service’s closure have started coming into view. See the subheading: “Challenges Arise for 8Base
Согласно обновленным данным британских ученых самые длинные сериалы в мире - это Путеводный свет, Главный госпиталь и Список критических 0-day в продуктах компании Ivanti, которые используются в дикой природе.
В последнем как раз следующая серия вышла!
Новая 0-day отслеживается как CVE-2023-38035 с CVSS 9,8 и была обнаружена исследователями из Mnemonic в Ivanti Sentry (ранее MobileIron Sentry).
Она позволяет неаутентифицированным злоумышленникам получить доступ к конфиденциальным API конфигурации административного портала MobileIron Configuration Service (MICS) через порт 8443.
Проблема обусловлена тем, что используется недостаточно ограничительная конфигурация Apache HTTPD.
При этом она не влияет на другие продукты или решения, такие как Ivanti EPMM, MobileIron Cloud или Ivanti Neurons для MDM.
Успешная эксплуатация позволяет изменять конфигурацию, запускать системные команды или записывать файлы в системы, работающие под управлением Ivanti Sentry версии 9.18 и более ранних.
На данный момент известно лишь об ограниченном числе клиентов, затронутых CVE-2023-38035.
Несмотря на это, Ivanti рекомендует ограничить доступ к MICS из Интернет, сначала применить срочное обновление до поддерживаемой версии, а затем разработанный поставщиком RPM-скрипт для их версии.
В последнем как раз следующая серия вышла!
Новая 0-day отслеживается как CVE-2023-38035 с CVSS 9,8 и была обнаружена исследователями из Mnemonic в Ivanti Sentry (ранее MobileIron Sentry).
Она позволяет неаутентифицированным злоумышленникам получить доступ к конфиденциальным API конфигурации административного портала MobileIron Configuration Service (MICS) через порт 8443.
Проблема обусловлена тем, что используется недостаточно ограничительная конфигурация Apache HTTPD.
При этом она не влияет на другие продукты или решения, такие как Ivanti EPMM, MobileIron Cloud или Ivanti Neurons для MDM.
Успешная эксплуатация позволяет изменять конфигурацию, запускать системные команды или записывать файлы в системы, работающие под управлением Ivanti Sentry версии 9.18 и более ранних.
На данный момент известно лишь об ограниченном числе клиентов, затронутых CVE-2023-38035.
Несмотря на это, Ivanti рекомендует ограничить доступ к MICS из Интернет, сначала применить срочное обновление до поддерживаемой версии, а затем разработанный поставщиком RPM-скрипт для их версии.
Ivanti
CVE-2023-38035 – API Authentication Bypass on Sentry Administrator Interface
<span style="font-size: 11pt;"><span style="line-height: 107%;"><span style="font-family: Calibri,sans-serif;"><span style="font-family: "Arial",sans-serif;">A vulnerability has been discovered in Ivanti Sentry, formerly known as MobileIron Sentry. This vulnerability…
Национальное избирательное агентство Эквадора подтвердила иницдент, связанный с кибератакой на систему онлайн-голосования.
Проживающие за границей граждане не смогли принять участие в заочном голосовании, которое проходила в минувшее воскресенье.
По итогу около 120 000 эквадорцев, проживающих за пределами страны, прошедшие регистрацию для голосования, не смогли получить доступ к системе до самого закрытия избирательных участков.
В результате в день выборов избиратели заполонили социальные сети с критическими постами и негодованием по поводу невозможности проголосовать.
Помимо гневных публикаций эквадорцы в Мадриде вышли также на демонстрации.
Власти признали проблемы и объяснили их происками хакеров, действовавших из семи стран, однако подробности не раскрывали и заверили о полном учете всех подданных голосов с телематическаой платформы.
В интервью CNN Диана Атамайнт, президент Национального избирательного совета, отметила, что особенно пострадали избиратели в Европе и пообещала принять все необходимые меры по ситуации, отказавших от каких-либо других комментариев.
По состоянию на полдень понедельника было подсчитано 80% голосов, кандидат от левых Луиза Гонсалес лидировала, во втором туре в октябре ей предстоит соперничать с Даниэлем Нобоа, который следует за ней по числу голосов.
Вообще же выборы на Эквадоре достаточно суровые и проходят в условиях объявления чрезвычайного положения.
Если доступ избирателей по факту заблокировали посредством DDoS-атаки, то ранее одного из кандидатов в президенты Фернандо Вильявисенсио ввели в состояние DoS тремя пулями в голову во время предвыборного мероприятия в Кито.
Проживающие за границей граждане не смогли принять участие в заочном голосовании, которое проходила в минувшее воскресенье.
По итогу около 120 000 эквадорцев, проживающих за пределами страны, прошедшие регистрацию для голосования, не смогли получить доступ к системе до самого закрытия избирательных участков.
В результате в день выборов избиратели заполонили социальные сети с критическими постами и негодованием по поводу невозможности проголосовать.
Помимо гневных публикаций эквадорцы в Мадриде вышли также на демонстрации.
Власти признали проблемы и объяснили их происками хакеров, действовавших из семи стран, однако подробности не раскрывали и заверили о полном учете всех подданных голосов с телематическаой платформы.
В интервью CNN Диана Атамайнт, президент Национального избирательного совета, отметила, что особенно пострадали избиратели в Европе и пообещала принять все необходимые меры по ситуации, отказавших от каких-либо других комментариев.
По состоянию на полдень понедельника было подсчитано 80% голосов, кандидат от левых Луиза Гонсалес лидировала, во втором туре в октябре ей предстоит соперничать с Даниэлем Нобоа, который следует за ней по числу голосов.
Вообще же выборы на Эквадоре достаточно суровые и проходят в условиях объявления чрезвычайного положения.
Если доступ избирателей по факту заблокировали посредством DDoS-атаки, то ранее одного из кандидатов в президенты Фернандо Вильявисенсио ввели в состояние DoS тремя пулями в голову во время предвыборного мероприятия в Кито.
TACC
Глава избиркома Эквадора заявила, что президентские выборы прошли без серьезных инцидентов
В то же время Диана Атамаинт отметила, что на платформу для голосования за рубежом была совершена хакерская атака
А на просторах даркнета сегодня опять неспокойно.
Запереживали в Мексике: с молотка может уйти база данных Министерства безопасности (seguridad.sspc.gob[.]mx).
Банда вымогателей Snatch ransomware разместила на своем DLS пруфпак и файлы из Министерства обороны ЮАР.
Хакерской группе AnonGhost удалось взломать Rafael Advanced Defense, а вместе с ним и хваленный «Железный купол» Израиля.
Опять пострадал Иран: утекла база данных иранских лабораторий в 65 млн. строк с личными данными граждан, сведениями о заболеваниях.
После обнаружения ошибки в API Duolingo хакеры спарсили 2,6 млн уникальных записей об аккаунтах пользователей (имя, адрес электронной почты, изучаемые языки).
Также редакция нашего канала долго спорила сама с собой по поводу того, является ли Александр Бабаков, заместитель председателя Госдумы России, объектом критической информационной инфраструктуры. Даже немного подрались. Но к единому консолидированному мнению так и не пришли, поэтому ничего про это писать не будем.
Запереживали в Мексике: с молотка может уйти база данных Министерства безопасности (seguridad.sspc.gob[.]mx).
Банда вымогателей Snatch ransomware разместила на своем DLS пруфпак и файлы из Министерства обороны ЮАР.
Хакерской группе AnonGhost удалось взломать Rafael Advanced Defense, а вместе с ним и хваленный «Железный купол» Израиля.
Опять пострадал Иран: утекла база данных иранских лабораторий в 65 млн. строк с личными данными граждан, сведениями о заболеваниях.
После обнаружения ошибки в API Duolingo хакеры спарсили 2,6 млн уникальных записей об аккаунтах пользователей (имя, адрес электронной почты, изучаемые языки).
Также редакция нашего канала долго спорила сама с собой по поводу того, является ли Александр Бабаков, заместитель председателя Госдумы России, объектом критической информационной инфраструктуры. Даже немного подрались. Но к единому консолидированному мнению так и не пришли, поэтому ничего про это писать не будем.
Малварь XLoader продолжает эволюционировать и представляет серьезную угрозу для пользователей macOS.
Теперь новый вариант вредоносного ПО маскируется под приложение для повышения производительности офиса под названием OfficeNote.
Само приложение представляет собой стандартный дисковый образ .dmg и подписан неким разработчиком под именем MAIT JAKHU.
XLoader является граббером и кейлоггером, который распространяется как услуга (MaaS).
Первый вариант вредоносного ПО для macOS появился в июле 2021 года и распространялся в виде Java-приложения в форме скомпилированного JAR-файла.
Но поскольку в Apple прекратили поставку JRE, то вредонос не мог выполняться на macOS из коробки, в то время как свежеиспеченный XLoader обходит это ограничение, переключаясь на более низкие языки программирования, такие как C и Objective C.
Подпись образа была сделана 17 июля 2023 года и Apple уже отозвала ее.
Малварь достаточно хитрая и после установки выдает сообщение об ошибке: "нельзя открыть, поскольку оригинальный элемент не может быть найден", а на самом деле, приложение в фоновом режиме устанавливает Launch Agent.
XLoader предназначен для сбора данных буфера обмена, а также информации, хранящейся в каталогах популярных веб-браузеров.
Специалисты SentinelOne обнаружили несколько различных артефактов вредоносного ПО на VirusTotal и заявили о широкомасштабной кампании.
Оно и не удивительно, поскольку на теневых площадках вредонос можно взять в аренду всего за 199 баксов в месяц, а версия XLoader для Windows вовсе за 59 долларов.
Учитывая, что последняя версия, маскируется под приложение для повышения производительности в офисе, то вероятно целями злоумышленников в большинстве своем являются пользователи рабочей среды.
Теперь новый вариант вредоносного ПО маскируется под приложение для повышения производительности офиса под названием OfficeNote.
Само приложение представляет собой стандартный дисковый образ .dmg и подписан неким разработчиком под именем MAIT JAKHU.
XLoader является граббером и кейлоггером, который распространяется как услуга (MaaS).
Первый вариант вредоносного ПО для macOS появился в июле 2021 года и распространялся в виде Java-приложения в форме скомпилированного JAR-файла.
Но поскольку в Apple прекратили поставку JRE, то вредонос не мог выполняться на macOS из коробки, в то время как свежеиспеченный XLoader обходит это ограничение, переключаясь на более низкие языки программирования, такие как C и Objective C.
Подпись образа была сделана 17 июля 2023 года и Apple уже отозвала ее.
Малварь достаточно хитрая и после установки выдает сообщение об ошибке: "нельзя открыть, поскольку оригинальный элемент не может быть найден", а на самом деле, приложение в фоновом режиме устанавливает Launch Agent.
XLoader предназначен для сбора данных буфера обмена, а также информации, хранящейся в каталогах популярных веб-браузеров.
Специалисты SentinelOne обнаружили несколько различных артефактов вредоносного ПО на VirusTotal и заявили о широкомасштабной кампании.
Оно и не удивительно, поскольку на теневых площадках вредонос можно взять в аренду всего за 199 баксов в месяц, а версия XLoader для Windows вовсе за 59 долларов.
Учитывая, что последняя версия, маскируется под приложение для повышения производительности в офисе, то вероятно целями злоумышленников в большинстве своем являются пользователи рабочей среды.
SentinelOne
XLoader’s Latest Trick | New macOS Variant Disguised as Signed OfficeNote App
Notorious botnet and infostealer XLoader makes a return to macOS with a new dropper and malware payload.