Jump to content

RSS News

Moderator

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Кореец шантажировал женщин в Телеграм «по приказу демона» Корейские правоохранители установили личность предполагаемого лидера сообщества, занимавшегося преступлениями сексуального характера в Телеграм. Власти предали огласке имя подозреваемого после того, как 5 миллионов корейцев подписали петиции с требованием сделать это. Используя никнейм «бакса», что по-корейски значит «доктор», 25-летний Чо Джу-бин руководил сетью, которая шантажом заставила 58 женщин и 16 девушек делиться унижающими и иногда жестокими фотографиями сексуального содержания. Пользователи сообщества платили $1200 в криптовалюте, чтобы просматривать изображения. Национальное полицейское управление Кореи арестовало 124 подозреваемых, связанных с деятельностью сообщества. Чо является одним из 18, которые содержатся под стражей с сентября 2019. Предполагается, что он заманивал жертв предложениями работы, а затем платил им за обнаженные фотографии. Затем он угрожал опубликовать эти фото и заставлял женщин снимать другие фото и видео сексуального содержания, в том числе с элементами насилия. Выступая в полицейском участке Чо не признавался в преступлениях. Но журналистам сказал, что его заставляли причинять вред людям силы, находящиеся вне его контроля. «Я прошу прощения у всех, кому причинил вред. Спасибо, что остановили демона, которого я остановить не мог», — сказал Чо.
  2. Фейковое расширение для Chrome используется для кражи криптовалюты В Сети обнаружено вредоносное расширение для Google Chrome, которое похищает пользовательские кодовые фразы для восстановления паролей. Злоумышленникам удалось украсть более 1,4 млн монет XRP — внутренней криптовалюты сети Ripple, сообщил Twitter-аккаунт xrplorer forensics. Разрешение под названием Ledger Live было обнаружено еще в начале марта нынешнего года. Программа маскируется под настоящий одноименный инструмент для пользователей кошельков Ledger. Расширение рекламируется через рекламные объявления в поисковой системе Google и использует Google Docs для сбора данных. Сперва преступники просят пользователей синхронизировать с расширением свой кошелек, введя seed-фразу, а затем используют полученные данные для похищения криптовалюты. Как сообщили эксперты, на данный момент отсутствуют данные по другим криптовалютам, поэтому ущерб может быть значительно больше.
  3. Опубликован способ обхода PPL для внедрения шелл-кода Исследователь безопасности под псевдонимом Mumbai опубликовал эксплоит для уязвимости в решении безопасности Zemana AntiMalware. Атака представляет собой рефлексивную/отраженную DLL-инъекцию (Reflective DLL injection), позволяющую с помощью Zemana AntiMalware открыть привилегированный идентификатор потока процесса PP/PPL и внедрить шелл-код MiniDumpWriteDump(). «Уязвимость, которую я проэксплуатировал, раскрыл @Dark_Puzzle, обнаруживший привилегированную регистрацию с Zemana AntiMalware. Я только расширил это и использовал дополнительный IOCTL, для того чтобы открыть поток с FULL_ACCESS (но с некоторыми ограничениями)», – сообщил Mumbai. Реализованная в Microsoft Windows технология Protected Process Light (PPL) является настоящей головной болью для хакеров. PPL не позволяет инструментам наподобие Mimikatz получать привилегированный идентификатор для критических процессов, таких как lsass, winlogon и crss, тем или иным способом контролирующих ядро Windows. «Поэтому я изучил различные методы атак на ядро и обнаружил один успешный способ – использовать украденный драйвер ядра для открытия привилегированного идентификатора процесса и его основных потоков», – сообщил Mumbai. С помощью привилегированных идентификаторов исследователь применил APC Bomb (метод инъекции кода) к каждому отдельному потоку, пока они не достигли изменяемого состояния. «Модуль ppdump можно создать с помощью Make и Mingw-W64. Просто загрузите систему сборки кода Make с помощью используемого вами пакетного менеджера, а также компилятор Mingw-W64, а затем запустите make», – пишет Mumbai. Исследователь опубликовал скрипт Cobalt Strike Aggresor, предназначенный для загрузки на консоль. После загрузки скрипта с помощью команды ppdump и идентификатора целевого процесса нужно ввести ppdump <pid>, и начнется процесс загрузки рефлективного модуля. Затем можно начинать инициализацию драйвера. Protected Process Light (PPL) – технология, которая используется в Windows для контроля запущенных процессов и их защиты от потенциально опасных процессов и внедрения вредоносного кода.
  4. Уязвимость в iOS блокирует шифрование трафика VPN В iOS обнаружена уязвимость, из-за которой виртуальные частные сети (VPN) не могут шифровать трафик, а некоторые интернет-соединения и вовсе обходят шифрование VPN, раскрывая данные пользователя и IP-адреса. Проблема затрагивает версию iOS 13.3.1 и выше. Как сообщили специалисты из ProtonVPN, уязвимость не затрагивает подключения, выполненные после подключения к VPN на iOS-устройстве, однако все ранее установленные подключения будут оставаться за пределами защищенного трафика VPN. Проблема получила оценку в 5,3 балла по шкале CVSS v3.1. Ошибка связана с тем, что iOS не прерывает все существующие интернет-соединения, когда пользователь подключается к VPN, и автоматически подключает их к целевым серверам после установки VPN-туннеля. «Большинство соединений кратковременны и в конечном итоге будут восстановлены через VPN-туннель самостоятельно. Однако некоторые из них работают долго и могут оставаться открытыми от нескольких минут до нескольких часов за пределами VPN-туннеля», — пояснили эксперты. Проблема может привести к серьезным последствиям. Например, пользовательские данные могут быть раскрыты третьим сторонам, если соединения не зашифрованы, а утечки IP-адресов могут потенциально раскрыть местоположение пользователей или подвергнуть их риску атак. Apple признала наличие уязвимости обхода VPN и в настоящее время работает над ее устранением. Компания рекомендует пользователям использовать Always-on VPN в качестве временного решения данной проблемы.
  5. Зафиксирован новый случай использования крайне редкой атаки BadUSB Как сообщают специалисты ИБ-компании Trustwave, компьютерные сети одного из гостиничных операторов США подверглись редкой атаке BadUSB. Злоумышленники прислали гостиничному оператору по обычной почте письмо с поддельным подарочным сертификатом BestBuy и USB флэш-накопителем. В письме сообщалось, что на «флэшке» содержится список товаров, которые можно оплатить с помощью подарочного сертификата. Однако на самом деле устройство представляло собой то, что ИБ-эксперты называют BadUSB – USB флэш-накопитель, который при подключении к компьютеру играет роль клавиатуры и эмулирует нажатия клавиш для запуска автоматизированных атак. Согласно отчету Trustwave, гостиничный оператор, название которого не разглашается, обнаружил попытку атаки и обратился к ИБ-компании за помощью в расследовании. После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более объемный PowerShell-скрипт и устанавливала вредоносный JScript-бот. На момент проведения анализа данный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее всего, он является кастомным и создан специально для конкретной целевой атаки. Через некоторое время похожий образец вредоносного ПО был загружен на VirusTotal. Как показал дальнейший анализ образца специалистами Facebook и «Лаборатории Касперского», его разработчиком может быть известная APT-группа FIN7. Кто загрузил файл на VirusTotal, неизвестно, возможно, это были ИБ-специалисты, расследующие похожий случай. Атака BadUSB впервые была описана в начале 2010-х годов и в течение долгих лет существовала лишь в теории. Она отрабатывалась специалистами во время тестирований на проникновение и учений, но в реальной жизни атака практически не встречалась. Последний известный случай был описан «Лабораторией Касперского» в декабре 2018 года.
  6. ФСБ пресекла деятельность кардерской группировки. Группировка состояла из более 30 человек и работала на территории 11 субъектов РФ. Федеральная служба безопасности РФ пресекла деятельность киберпреступной группировки, занимавшейся продажей краденых данных банковских карт. Согласно сообщению ФСБ, группировка состояла из более 30 человек и работала на территории 11 субъектов РФ. Через 90 торговых интернет-площадок (в настоящее время уже ликвидированных) преступники сбывали данные банковских карт российских и зарубежных финорганизаций, полученные «в результате неправомерного доступа к учетным записям пользователей интернета и платежных систем». С помощью этих данных преступники покупали в Сети дорогостоящие товары. Жертвами киберпреступной группировки стали граждане целого ряда стран. Точное число пострадавших пока не раскрывается. Участники группировки были задержаны в Крыму, Северной Осетии, Калужской, Ленинградской, Московской, Псковской, Самарской и Тамбовской областях, а также в Москве и Санкт-Петербурге. Среди задержанных есть граждане РФ, Украины и Литвы, некоторые из них ранее уже привлекались. 25 участникам группировки предъявлены обвинения по ст. 87 («Неправомерный оборот средств платежей») УК РФ, в настоящее время они пребывают в следственном изоляторе. В одном из случае задержания силовикам пришлось карабкаться по стремянке и разбить окно, для того чтобы попасть в помещение на втором этаже. По многим адресам были проведены обыски, в ходе которых силовики изъяли более $1 млн, 3 млн рублей, золотые слитки и драгоценные монеты.
  7. Microsoft предупредила об уязвимости нулевого дня в Windows. Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7. Киберпреступники взламывают Windows-ПК через ранее неизвестную уязвимость в библиотеке Adobe Type Manager (atmfd.dll), используемую операционной системой для обработки шрифтов PostScript Type 1. Microsoft описала атаки с эксплуатацией данной уязвимости как «целевые» и «ограниченные». Согласно уведомлению Microsoft, встроенная библиотека подвержена двум уязвимостям, позволяющим удаленно запускать произвольный код на системе пользователя и предпринимать действия от его имени. Уязвимости затрагивают все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7. Как сообщает Microsoft, проэксплуатировать уязвимость можно несколькими способами. Один из них заключается в том, чтобы заставить жертву открыть особым образом сконфигурированный документ или просмотреть его с помощью функции «Область просмотра». В настоящее время исправления для уязвимости нет. Вероятно, оно будет выпущено в рамках следующего «вторника исправлений» 14 апреля. Тем временем, пользователи могут обезопасить себя от возможных атак с эксплуатацией уязвимости. Для этого нужно: Отключить «Область просмотра» и «Область сведений» в «Проводнике Windows»; Отключить службу WebClient; Переименовать ATMFD.DLL.
  8. Хакеры находили уязвимости в банковских системах электронного документооборота и незаконно переводили денежные средства. Сотрудники Службы безопасности Украины (СБУ) выявили и пресекли деятельность киевской киберпреступной группировки, взламывавшей компьютерные системы украинских и зарубежных финансовых организаций и похищавшей денежные средства физических и юридических лиц. Как установило следствие, злоумышленники находили уязвимости в банковских системах платежного электронного документооборота и незаконно переводили денежные средства на счета подставных лиц или обменивали на криптовалюту. Для осуществления незаконных операций в интернете киберпреступники создали ботнет. В результате незаконных действий группировка похищала 30 млн гривен (порядка 84 млн рублей) в год. В ходе 10 обысков, проведенных в Киеве и области, а также во Львове, сотрудники правоохранительных органов изъяли использовавшуюся киберпреступниками компьютерную технику и мобильные устройства. Изъятое оборудование направлено на экспертизу. По данному факту было возбуждено уголовное дело по ч.2 ст.361 («Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи») и ч.2 ст.361-1 («Создание с целью использования, распространения или сбыта вредоносного программного обеспечения или технических средств, а также их распространение и сбыт») Уголовного кодекса Украины. В настоящее время решается вопрос о сообщении фигурантам о подозрении. В случае признания их виновными фигурантам грозит наказание в виде лишения свободы на срок до 6 лет.
  9. В авиаперевозках Украины действовала схема многомиллионных хищений – МВД. На перепродаже авиабилетов злоумышленники заработали 30 миллионов гривень. Полиция разоблачила схему хищений в авиаперевозках, по которой злоумышленники успели заработать более 30 миллионов гривень. Об этом сообщила пресс-служба Министерства внутренних дел. "Сотрудники ГСУ совместно с оперативниками Департамента киберполиции под процессуальным руководством прокуроров Офиса ГПУ разоблачили группу лиц, которые нанесли ущерб авиаперевозчику более 30 миллионов гривень", - говорится в сообщении. Полицейские установили, что подозреваемые на протяжении 2016-2018 годов приобрели несколько коммерческих агентств по продаже авиабилетов. Впоследствии такие компании переоформляли на своих сообщников. Через эти агентства клиенты заказывали проездные (перевозочные) документы, а злоумышленники с помощью несанкционированного доступа к автоматизированной системы осуществляли их бронирование и покупку. Средства за билеты авиакомпании не получали. В результате мошенники присвоили более 30 миллионов гривень. Они действовали на территории Киева, Одессы и Николаева. "Сейчас следователи сообщили о подозрении двум фигурантам. Им инкриминируют совершение преступления, предусмотренного ч.4 ст.190 (Мошенничество) Уголовного кодекса Украины. Санкция статьи предусматривает наказание в виде лишения свободы на срок от пяти до двенадцати лет с конфискацией имущества", - отметила пресс-служба МВД. В настоящее время досудебное расследование продолжается, устанавливаются другие лица, причастные к деятельности преступной группы.
  10. Открытая БД хранила подробные данные более чем 200 млн американцев. Владельца базы данных установить не удалось. Исследовательская команда ресурса CyberNews обнаружила в Google Cloud незащищенную базу данных объемом в 800 ГБ, в которой содержалось более 200 млн записей с подробной персональной информацией жителей США. База данных включала в том числе полные имена, электронные адреса, даты рождения, сведения о кредитном статусе, домашние адреса и адреса недвижимого имущества, находящегося в залоге, данные о количестве детей и их поле, профили с информацией о персональных интересах, вкладах и пожертвованиях. Судя по всему, источником большинства записей являлось Бюро переписи населения США. Кроме того, в базе хранились еще две папки, в одной из которых содержались записи об экстренных вызовах (даты, время вызова, местоположение и пр.) в одну из американских пожарных частей, во второй папке находился список 74 станций велопроката, принадлежащих компании Lyft. Журналистам не удалось выяснить, кому принадлежала вышеупомянутая база данных, или определить, сколько времени она находилась в открытом доступе. 3 марта нынешнего года вся информация в базе данных была удалена, хотя сама БД по-прежнему доступна в Сети.
  11. Данные 538 млн пользователей соцсети Weibo выставлены на продажу. Персональные данные более 538 млн пользователей китайской социальной сети Weibo в настоящее время выставлены в даркнете на продажу. Как утверждает преступник в объявлении, база данных содержит настоящие имена, логины пользователей сайта, информацию о поле, местоположении, а также номера телефонов 172 млн пользователей. Злоумышленник продает базу данных за 1799 иен ($250), сообщило издание ZDNet. Как сообщил представитель компании Weibo китайским СМИ, номера телефонов утекли в Сеть в конце 2018 года, когда ее специалисты наблюдали за серией учетных записей пользователей, загружающих большие пакеты контактов, в попытке сопоставить учетные записи с их соответствующими номерами телефонов. Несколько китайских ИБ-экспертов указали на технические нарушения в ответе компании. Во-первых, согласно объявлению преступника, данные были получены из дампа базы данных SQL, что не соответствует объяснению компании. Во-вторых, компания не объяснила, как преступник похитил другую информацию (сведения о поле и местоположении), которая не является общедоступной и не возвращается API при сопоставлении контактов. Weivo уведомила власти о данном инциденте, и полиция в настоящее время проводит расследование.
  12. Опубликованы PoC-эксплоиты для уязвимости KrØØk Участники хакерской команды Hexway создали PoC-эксплоит для уязвимости KrØØk, о которой широкой общественности стало известно месяц назад. Уязвимость (CVE-2019-15126) затрагивает популярные Wi-Fi-чипы от Broadcom и Cypress и позволяет перехватывать и дешифровать трафик находящихся поблизости уязвимых устройств. Из-за недостатков в реализации чипов злоумышленники могут перехватывать «в воздухе» образцы передаваемых данных, в том числе поисковые запросы, сообщения, пароли и пр., если они не защищены с помощью HTTPS, DNS поверх HTTPS, VPN или SSH. Для этого атакующему даже не нужно быть с атакуемым устройством в одной сети Wi-Fi, достаточно просто находиться поблизости. Участники Hexway проэксплуатировали уязвимость с помощью Raspberry Pi 3 и скрипта Python. Им удалось перехватить данные с устройств Sony Xperia Z3 Compact и Huawei Honor 4X, где используются уязвимые чипсеты. «Протестировав PoC-эксплоит на разных устройствах, мы обнаружили, что легче всего перехватывать данные клиентов, генерирующих большие объемы UDP-трафика. Среди подобных клиентов есть много стриминговых приложений, потому что такой трафик (в отличие от маленьких TCP-пакетов) всегда хранится в буфере Wi-Fi-чипа», — пояснили создатели эксплоита. PoC-эксплоит доступен всем желающим на GitHub. Специалисты ИБ-компании Thice также разработали свой PoC-эксплоит, доступный здесь .
  13. Злоумышленники используют 0Day-уязвимости в видеорегистраторах LILIN. Операторы различных ботнетов начали эксплуатировать многочисленные 0Day-уязвимости в цифровых видеорегистраторах для систем наблюдения, изготовленных тайваньской компанией LILIN, с целью их заражения и превращения в DoS-ботов. Уязвимости обнаружила команда специалистов Netlab из компании Qihoo 360. По их словам, несколько группировок используют уязвимости в видеорегистраторах LILIN для распространения бот-сетей Chalubo, FBot и Moobot как минимум с 30 августа 2019 года. Цепочка уязвимостей, связанная с наличием учетных данных для входа в систему (root/icatch99 и report/8Jg0SR8K50), потенциально позволяет злоумышленнику изменять файл конфигурации цифрового видеорегистратора и внедрять команды бэкдора, когда FTP- или NTP-сервер конфигурации синхронизируются. Эксперты также обнаружили, что процесс, отвечающий за синхронизацию времени NTP-протокола (NTPUpdate), не проверяет наличие специальных символов на сервере, передаваемых в качестве входных данных, что позволяет злоумышленникам вводить и выполнять системные команды. По словам специалистов, операторы ботнета Chalubo первыми воспользовались уязвимостью NTPUpdate в видеорегистраторах LILIN в августе прошлого года. Затем операторы ботнета FBot эксплуатировали уязвимость в FTP/NTP в январе нынешнего года, а две недели спустя и операторы Moobot воспользовались 0Day-уязвимостью. В январе 2020 года исследователи сообщили производителю оборудования LILIN о своих находках. В феврале поставщик исправил уязвимость, выпустив версию прошивки 2.0b60_20200207.
  14. Мошенники распространяют фишинговые письма от имени директора ВОЗ. Специалисты из компании IBM X-Force обнаружили новую вредоносную кампанию, в ходе которой злоумышленники выдают себя за генерального директора Всемирной организации здравоохранения (ВОЗ) Тедроса Адана Гебреисуса и отправляют пользователям электронные письма, содержащие кейлоггер HawkEye. HawkEye является программой для кражи учетных данных, которое обычно распространяется через мошеннические электронные письма и вредоносные файлы Microsoft Word, Excel, PowerPoint и RTF. После установки на компьютере жертвы вредонос пытается украсть учетные данные электронной почты и браузера, включая те, которые используются в Internet Explorer, Google Chrome, Apple Safari и Mozilla Firefox. Если в предыдущих кампаниях HawkEye распространялся с помощью фишинговых сообщений на тему авиабилетов и банковских операций, то сейчас злоумышленники воспользовались паникой вокруг пандемии коронавируса. Электронные письма содержат архив с файлом «Coronavirus Disease (Covid-19) CURE.exe». Внутри него находится исполняемый файл .NET, выполняющий роль загрузчика HawkEye, скрытый с помощью инструментов ConfuserEx и Cassandra Protector. После выполнения загрузчик запускает библиотеку Interfaces2.dll и загружает растровое изображение со встроенным кодом сборки. Из файла изображения извлекается программа ReZer0V2.exe, предназначенная для отключения Защитника Windows. Образец, который также содержит функции защиты от песочницы и виртуальной машины (VM), затем внедряет HawkEye в определенные запущенные процессы.
  15. Данные пользователей браузера Blisk оказались доступны в Сети. Данные пользователей браузера Blisk были раскрыты после того, как разработчики из компании Blisk случайно оставили незащищенный паролем сервер Elasticsearch доступным в Сети. Утечку данных обнаружили специалисты из фирмы vpnMentor. По их словам, в общем доступе оказались персональные данные тысяч web-разработчиков, зарегистрировавших профили в Blisk. В общей сложности они обнаружили 2,9 млн записей, что составляет примерно 3,4 ГБ данных. Команда Blisk подтвердила утечку и сообщила, что данный инцидент не привел к раскрытию конфиденциальной информации, такой как пароли, финансовая информация или персональные данные. Blisk представляет собой бесплатный web-браузер на базе Chromium, целью которого является повышение производительности и качества кода путем предоставления широкого набора инструментов для web-разработки и тестирования для различных типов устройств: настольных, планшетных и мобильных. Как сообщается на официальном сайте компании, ее браузер используют более 40 тыс. компаний, в том числе HP, Xerox, NASA, Unicef, Deloitte, UEFA, Vice News и Pandora.
×
×
  • Create New...