Linux-малварь GTPDOOR атакует телекомы

Исследователи обнаружили ранее неизвестный бэкдор для Linux под названием GTPDOOR, который был разработан для скрытых операций в сетях мобильных операторов. Отличительной особенностью этой малвари является использование протокола GTP (GPRS Tunnelling Protocol) для связи с управляющими серверами.

https://xakep.ru/2024/03/04/gtpdoor/

Власти Германии закрыли даркнет-маркетплейс, насчитывавший 180 000 пользователей

Полиция Дюссельдорфа сообщила о ликвидации Crimemarket, крупной немецкоязычной платформы для торговли запрещенными веществами, которой пользовались более 180 000 человек. Также сообщается об аресте шести подозреваемых, один из которых был оператором закрытого маркетплейса.

https://xakep.ru/2024/03/04/crimemarket-down/

Lazarus использовала 0-day в Windows для получения привилегий уровня ядра

Исследователи Avast рассказали, что северокорейская группировка Lazarus использовала уязвимость повышения привилегий в Windows как 0-day. Этот баг был исправлен в феврале 2024 года, лишь через полгода после того, как Microsoft сообщили, что уязвимость уже взята на вооружение хакерами.

https://xakep.ru/2024/03/04/cve-2024-21338-lazarus/

Группировка Fluffy Wolf провела не менее 140 атак на российские компании

Эксперты компании BI.ZONE обнаружили новую хак-группу Fluffy Wolf, которая не менее 140 раз пыталась атаковать российские компании. По словам исследователей, основная цель группировки – кража учетных данных (скорее всего, для дальнейшей перепродажи). При этом аналитики характеризуют хакеров как низкоквалифицированных, так как те не пишут малварь сами, а покупают готовые решения, для доставки которых рассылают фишинговые…

https://xakep.ru/2024/03/04/fluffy-wolf/

HTB CozyHosting. Эксплуатируем инъекцию команд в веб-приложении на Java #статьи #подписчикам

Сегодня мы с тобой поработаем с фреймворком Spring Boot и проведем инъекцию команд, чтобы получить доступ к веб‑серверу. Захватив сессию, покопаемся в базе данных в поисках учетных данных, а при повышении привилегий применим технику GTFOBins для SSH.

https://xakep.ru/2024/03/04/htb-cozyhosting/

У American Express произошла утечка данных карт

American Express предупредила клиентов о том, что информация об их картах «утекла» в ходе хакерской атаки, от которой недавно пострадал неназванный платежный процессор.

https://xakep.ru/2024/03/05/american-express-leak/

Хакеры из Mogilevich, заявлявшие о взломе Epic Games, признались, что всех обманули

Как и подозревали ИБ-специалисты, хак-группа Mogilevich, ранее утверждавшая, что взломала компанию Epic Games, на самом деле никого не взламывала. Злоумышленники признались, что громкие заявления о взломах были фальшивкой для привлечения внимания.

https://xakep.ru/2024/03/05/mogilevich-scam/

JetBrains исправляет уязвимости в TeamCity

Критическая уязвимость (CVE-2024-27198) в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному злоумышленнику получить права администратора и контроль над сервером. Так как технические подробности о создании эксплоита уже доступны, администраторам рекомендуется как можно скорее устранить проблему, установив TeamCity 2023.11.4.

https://xakep.ru/2024/03/05/jetbrains-ispravlyaet-uyazvimosti-v-teamcity/

С 1 марта Роскомнадзор разослал 34 уведомления с требованием удалить рекламу VPN

В Роскомнадзоре сообщают, что с 1 марта 2024 года ведомство направило 34 уведомления сайтам с требованием удалить контент, который рекламирует VPN-сервисы. Шесть из них уже заблокированы за неудаление такого контента, в соответствии с новым законом о запрете популяризации средств для обхода блокировок.

https://xakep.ru/2024/03/05/rkn-vpn-blocks/

Хак-группа BlackCat отключила серверы после получения выкупа в размере 22 млн долларов

Вымогательская группировка BlackCat (ALPHV) заявила, что правоохранительные органы захватили ее сайт и инфраструктуру. Однако партнеры группы и ИБ-специалисты считают, что это exit scam, то есть хакеры попросту пытаются скрыться с деньгами, а правоохранители не имеют никакого отношения к происходящему.

https://xakep.ru/2024/03/05/alphv-exit-scam/

Apple патчит сразу две 0-day в iOS

Компания Apple выпустила экстренные патчи для устранения двух уязвимостей нулевого дня в iOS, которые уже использовались злоумышленниками в атаках.

https://xakep.ru/2024/03/06/two-apple-0days/

Спящий вирь. Изучаем технику Sleep-обфускации на ROP-цепочках #статьи #подписчикам

Вирусописатели придумывают все новые и новые способы скрытия своего ПО после инжекта в процесс. В последнее время стала популярна не просто обфускация, а Sleep-обфускация. Давай разберемся с этой техникой, познакомимся с ROP-цепочками, если ты с ними еще не знаком, и заценим публично доступные PoC.

https://xakep.ru/2024/03/06/sleep-obfuscation/

WogRAT злоупотребляет сервисом для заметок aNotepad

Новая малварь WogRAT атакует системы под управлением Windows и Linux, используя онлайн-платформу aNotepad для хранения и доставки вредоносного кода.

https://xakep.ru/2024/03/06/wograt/

В даркнете продают более 225 000 учетных данных для ChatGPT

Более 225 000 логов стилеров, содержащих украденные учетные данные для ChatGPT, были доступны в даркнете в период с января по октябрь 2023 года, свидетельствуют данные исследователей Group-IB.

https://xakep.ru/2024/03/06/chatgpt-credentials/

Американские власти наложили санкции на разработчиков спайвари Predator

Власти США ввели санкции против двух физических и пяти юридических лиц, связанных с разработкой и распространением коммерческого шпионского ПО Predator. В правительстве заявили, что Predator и другая спайварь «представляет угрозу безопасности Соединенных Штатов и граждан».

https://xakep.ru/2024/03/06/predator-sanctions/

Фишинг-кит CryptoChameleon ориентирован на пользователей мобильных устройств

Специалисты компании Lookout обнаружили новый фишинговый набор CryptoChameleon, который имитирует страницы логина известных криптовалютных сервисов. Угроза в основном ориентирована на мобильные устройства, и ее жертвами уже стали более 100 пользователей.

https://xakep.ru/2024/03/06/cryptochameleon/

Взломанные сайты на WordPress используют браузеры посетителей для компрометации других ресурсов

Sucuri предупреждает, что хакеры проводят массовые атаки на сайты под управлением WordPress и внедряют в их код скрипты, которые заставляют браузеры посетителей брутфорсить пароли для других сайтов.

https://xakep.ru/2024/03/07/wordpress-bruteforce-scripts/

VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion

Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы в VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.

https://xakep.ru/2024/03/07/vmware-sandbox-escape/

Хак-группа NGC2180 шпионила за российским ведомством с помощью малвари DFKRAT

Эксперты ГК «Солар» обнаружили проникновение иностранных хакеров в инфраструктуру неназванного органа исполнительной власти. Исследователи говорят, что злоумышленники использовали сложно закамуфлированную самописную малварь для шпионажа, а для удаленного управления – скомпрометированные серверы организаций в разных странах.

https://xakep.ru/2024/03/07/ngc2180-dfkrat/