Кибергруппировка FIN7 от лица других служб дарила американским компаниям заражённые USB-устройства. Они доставлялись в посылках с ссылками на Министерство здравоохранения США и Amazon. Жертвами даров стали американские предприятия из сфер транспорта, страхования и обороны.
С августа 2021 ФБР стало получать сообщения о посылках с оригинальным наполнением. Они содержали вредоносные USB-устройства марки LilyGO.
Когда жертва подключала USB-накопитель к своему компьютеру, автоматически запускалась атака BadUSB. Вредоносный девайс регистрировал себя как клавиатуру и нажатием клавиш запускал на ПК команды PowerShell для разворачивания полезной нагрузки.
ФБР ничего не сообщает о последствиях атак и о том, какие серверы они затронули.
Посылки в зависимости от отправителя отличались оформлением. Например, те, которые якобы были от Министерства здравоохранения и социальных служб (HHS), сопровождались письмами с рекомендациями по COVID-19. А посылки «от Amazon» отличались декоративной коробкой и благодарственной запиской. Ну и для большей убедительности для доставки малвари на устройство жертв преступники использовали местные почтовые службы.
@NeKaspersky
С августа 2021 ФБР стало получать сообщения о посылках с оригинальным наполнением. Они содержали вредоносные USB-устройства марки LilyGO.
Когда жертва подключала USB-накопитель к своему компьютеру, автоматически запускалась атака BadUSB. Вредоносный девайс регистрировал себя как клавиатуру и нажатием клавиш запускал на ПК команды PowerShell для разворачивания полезной нагрузки.
ФБР ничего не сообщает о последствиях атак и о том, какие серверы они затронули.
Посылки в зависимости от отправителя отличались оформлением. Например, те, которые якобы были от Министерства здравоохранения и социальных служб (HHS), сопровождались письмами с рекомендациями по COVID-19. А посылки «от Amazon» отличались декоративной коробкой и благодарственной запиской. Ну и для большей убедительности для доставки малвари на устройство жертв преступники использовали местные почтовые службы.
@NeKaspersky
👍4
Google docs начали использовать для фишинговых атак.
Иccледователи из Avanan сообщили о волне фишинговых атак на коммерческие компании с использованием комментариев в Google docs/slides/sheets. Стоит заметить, что о возможности такой атаки сообщали еще в октябре, но Google не предприняли каких-либо действий по этому поводу.
Проблема заключается в том, что при упоминании пользователя в комментариях к документу через '@' на почту последнего автоматически отправляется письмо от google. Такой способ позволяет обойти спам фильтры и усыпить бдительность пользователя(по очевидным причинам).
При этом упомянутому пользователю не видно полного email комментатора, что открывает возможность для следующего вида атаки:
1. Злоумышленник из каких либо источников узнает, что коллегу его цели зовут, скажем, John Doe;
2. Злоумышленник регистрирует аккаунт john.doe@gmail.com, создает документ, упоминает в нем цель;
3. Цель получает уведомление о том, что его упомянул John Doe и с большей вероятностью переходит по вредоносной ссылке в комментарии.
При этом вовсе необязательно, чтобы тот, кого упомянули в документе, имел к нему доступ.
Исследователи советуют при получении подобных писем проверять, упомянул ли вас именно ваш коллега.
@NeKaspersky
Иccледователи из Avanan сообщили о волне фишинговых атак на коммерческие компании с использованием комментариев в Google docs/slides/sheets. Стоит заметить, что о возможности такой атаки сообщали еще в октябре, но Google не предприняли каких-либо действий по этому поводу.
Проблема заключается в том, что при упоминании пользователя в комментариях к документу через '@' на почту последнего автоматически отправляется письмо от google. Такой способ позволяет обойти спам фильтры и усыпить бдительность пользователя(по очевидным причинам).
При этом упомянутому пользователю не видно полного email комментатора, что открывает возможность для следующего вида атаки:
1. Злоумышленник из каких либо источников узнает, что коллегу его цели зовут, скажем, John Doe;
2. Злоумышленник регистрирует аккаунт john.doe@gmail.com, создает документ, упоминает в нем цель;
3. Цель получает уведомление о том, что его упомянул John Doe и с большей вероятностью переходит по вредоносной ссылке в комментарии.
При этом вовсе необязательно, чтобы тот, кого упомянули в документе, имел к нему доступ.
Исследователи советуют при получении подобных писем проверять, упомянул ли вас именно ваш коллега.
@NeKaspersky
Checkpoint
Google Docs Comment Exploit Allows for Distribution of Phishing and Malware
An exploit in the Google Docs comment feature allows hackers to easily spread malware and phishing.
👍5🔥2
В даркнете продают данные 3.7 миллиона аккаунтов FlexBooker - онлайн-сервиса для бронирования различных услуг.
Утечка произошла 23го декабря в результате компроментации их Amazon AWS серверов в результате (по заявлению компании) DDoS атаки. FlexBooker уже оповестил клиентов, среди которых были и крупные фирмы, такие как GoDaddy; данные уже находятся в базах Have I Been Pwned. Впрочем, некоторые из оповещенных пользователей пишут о своей уверенности в том, что никогда не пользовались услугами данной компании...
Также Have I Been Pwned рассказали о составе дампа, в нем: email-адреса, имена, телефонные номера и, для некоторых аккаунтов, частичная информация по кредиткам. 69% от слитой информации уже участвовали в более ранних утечках.
@NeKaspersky
Утечка произошла 23го декабря в результате компроментации их Amazon AWS серверов в результате (по заявлению компании) DDoS атаки. FlexBooker уже оповестил клиентов, среди которых были и крупные фирмы, такие как GoDaddy; данные уже находятся в базах Have I Been Pwned. Впрочем, некоторые из оповещенных пользователей пишут о своей уверенности в том, что никогда не пользовались услугами данной компании...
Также Have I Been Pwned рассказали о составе дампа, в нем: email-адреса, имена, телефонные номера и, для некоторых аккаунтов, частичная информация по кредиткам. 69% от слитой информации уже участвовали в более ранних утечках.
@NeKaspersky
👍4🔥3
⚡️Новым гендиректором Signal стал один из сооснователей WhatsApp.
https://signal.org/blog/new-year-new-ceo/
https://signal.org/blog/new-year-new-ceo/
Signal
New year, new CEO
It’s a new year, and I’ve decided it’s a good time to replace myself as the CEO of Signal.I have now been working on Signal for almost a decade. It has always been my goal for Signal to grow and sustain beyond my involvement, but four years ago that would…
💩11🤮10👎3
Никогда такого не было, и вот опять: ребут культовой в США игрушки позволяeт следить за детьми, когда родители не дома.
Chatter Bluetooth telephone от Fisher Price работает по протоколу Bluetooth Classic и подключается к любому, кто об этом попросит; единственное ограничение - один подключенный девайс в момент времени. В самом безобидном сценарии это позволит донимать владельцев звонками, но, если трубка снята, телефон ответит на звонок автоматически, и злоумышленник получит возможность подслушивать за происходящим в доме. Стоит заметить, что вероятность того, что любопытный ребенок поднимет трубку, когда взрослых нет рядом, и без того довольно высока, чему явно обрадуются люди с самыми недобрыми намерениями...
Производитель в ответ на претензии к безопасности заявил, что игрушка не предназначена для детей 🗿
Исследователи, однако, являются реалистами и советуют выключать «спайфон», когда ребенок остается дома один и всегда держать подключенный к нему девайс в радиусе приема сигнала.
@NeKaspersky
Chatter Bluetooth telephone от Fisher Price работает по протоколу Bluetooth Classic и подключается к любому, кто об этом попросит; единственное ограничение - один подключенный девайс в момент времени. В самом безобидном сценарии это позволит донимать владельцев звонками, но, если трубка снята, телефон ответит на звонок автоматически, и злоумышленник получит возможность подслушивать за происходящим в доме. Стоит заметить, что вероятность того, что любопытный ребенок поднимет трубку, когда взрослых нет рядом, и без того довольно высока, чему явно обрадуются люди с самыми недобрыми намерениями...
Производитель в ответ на претензии к безопасности заявил, что игрушка не предназначена для детей 🗿
Исследователи, однако, являются реалистами и советуют выключать «спайфон», когда ребенок остается дома один и всегда держать подключенный к нему девайс в радиусе приема сигнала.
@NeKaspersky
😱7👍4👎1
Microsoft и уязвимость macOS с доступом к защищенным данным пользователя.
Уязвимость powerdir или CVE-2021-30970 была найдена исследовательской группой компании Microsoft. Данная уязвимость относится macOS и используется для обхода технологии прозрачности, согласия и контроля (TCC), с получением доступа к защищенным данным пользователей.
TCC — это давно работающая функция macOS, которая позволяет пользователям настраивать параметры конфиденциальности своих приложений. С помощью фальшивой базы данных злоумышленник может захватить приложение, установленное на Mac, или установить собственное вредоносное приложение, получая доступ к микрофону и камере для получения конфиденциальных данных.
Для защиты компания Apple ограничила доступ к TCC только приложениями с полным доступом к диску и настроила функции для автоматической блокировки несанкционированного выполнения кода. Но исследователи безопасности Microsoft смогли найти обход данной защиты. С помощью изменения домашнего каталога можно внедрить поддельную базу данных TCC, в которой хранится история согласия на запросы приложений и получить доступ к защищенной информации пользователя.
Принцип работы понятен и прост, злоумышленник может взломать приложение, установленное на устройстве, или установить свое собственное. А после получить доступ к смартфону, делать скриншоты информации, отображенной на экране или же записывать разговоры с помощью микрофона.
Apple уже смогли исправить данную уязвимость в обновлениях безопасности, выпущенных в прошлом месяце 13 декабря 2021 года. А также пофиксили ряд других обходов TCC. В них входят: CVE-2020-9771 (которая использовалась для резервного копирования и восстановления данных, в список которых входил файл TCC.db, с его помощью можно было определить политику TCC устройства без полного доступа к диску), CVE-2020-9934 (с помощью среды $ HOME, можно было заменить встроенный TCC.db, на необходимый.) и CVE-2021-30713 (из-за данной ошибки, macOS выводила информацию из набора приложений, благодаря чему можно было установить свой код приложения в комплект целевого приложения и «унаследовать» его возможности TCC.).
Казалось бы, все проблемы ушли с выходом обновления. Но исследователи компании Microsoft также обнаружили новые варианты вредоносного ПО macOS WizardUpdate (он же UpdateAgent или Vigram), дополненные новыми тактиками уклонения и сохранения.
@NeKaspersky
Уязвимость powerdir или CVE-2021-30970 была найдена исследовательской группой компании Microsoft. Данная уязвимость относится macOS и используется для обхода технологии прозрачности, согласия и контроля (TCC), с получением доступа к защищенным данным пользователей.
TCC — это давно работающая функция macOS, которая позволяет пользователям настраивать параметры конфиденциальности своих приложений. С помощью фальшивой базы данных злоумышленник может захватить приложение, установленное на Mac, или установить собственное вредоносное приложение, получая доступ к микрофону и камере для получения конфиденциальных данных.
Для защиты компания Apple ограничила доступ к TCC только приложениями с полным доступом к диску и настроила функции для автоматической блокировки несанкционированного выполнения кода. Но исследователи безопасности Microsoft смогли найти обход данной защиты. С помощью изменения домашнего каталога можно внедрить поддельную базу данных TCC, в которой хранится история согласия на запросы приложений и получить доступ к защищенной информации пользователя.
Принцип работы понятен и прост, злоумышленник может взломать приложение, установленное на устройстве, или установить свое собственное. А после получить доступ к смартфону, делать скриншоты информации, отображенной на экране или же записывать разговоры с помощью микрофона.
Apple уже смогли исправить данную уязвимость в обновлениях безопасности, выпущенных в прошлом месяце 13 декабря 2021 года. А также пофиксили ряд других обходов TCC. В них входят: CVE-2020-9771 (которая использовалась для резервного копирования и восстановления данных, в список которых входил файл TCC.db, с его помощью можно было определить политику TCC устройства без полного доступа к диску), CVE-2020-9934 (с помощью среды $ HOME, можно было заменить встроенный TCC.db, на необходимый.) и CVE-2021-30713 (из-за данной ошибки, macOS выводила информацию из набора приложений, благодаря чему можно было установить свой код приложения в комплект целевого приложения и «унаследовать» его возможности TCC.).
Казалось бы, все проблемы ушли с выходом обновления. Но исследователи компании Microsoft также обнаружили новые варианты вредоносного ПО macOS WizardUpdate (он же UpdateAgent или Vigram), дополненные новыми тактиками уклонения и сохранения.
@NeKaspersky
👍5💩4
Intezer рассказали о новом бэкдоре под windows, Linux и macOS.
По словам исследователей, версии SysJoker (так они окрестили вредонос) под Linux и macOS на момент публикации статьи вообще не определяются на virustotal, в то время как версия под windows может похвастать шестью детектами.
В статье приведен анализ windows-версии, но версии для других ОС имеют в основном архитектурные различия: например, использование cron для автозагрузки под Linux вместо ключа реестра под windows. Также, только для windows в качестве первой стадии используется дроппер. В данном случае последовательность действий такова: запущенный дроппер с помощью powershell скачивает с C2 сервера злоумышленников zip-архив с SysJoker, распаковывает, запускает; SysJoker в свою очередь ожидает 1.5 - 2 минуты и копируется в C:\ProgramData\SystemData\igfxCUIService.exe (ожидание - попытка обойти динамический анализ антивирусов, копирование - попытка спрятаться под видом Intel-овского драйвера графики) и добавляет себя в автозагрузку. Между перечисленными операциями вредонос также может вздремнуть.
Во время работы SysJoker собирает информацию, такую как MAC-адреса, имя пользователя, серийники различных железок в системе и ip-шники, и отправляет ее на C2-сервера. Список серверов получается из google диска, при этом ссылка жестко закодирована в исполняемом файле вредоноса.
Исследователи обнаружили, что анализируемый сэмпл способен обрабатывать целых 2 типа команд: exe и cmd. Первая повторяет функциональность дроппера, вторая - выполняет команду и отправляет ее результат. Несмотря на столь впечатляющие возможности, исследователи считают, что авторы вредоноса далеко не новички, поскольку весь код был написан с 0 и после компрометации тестовой системы никаких команд с C2 не последовало(это косвенно говорит о том, что данный софт используется для компрометации заранее выбранных систем).
@NeKaspersky
По словам исследователей, версии SysJoker (так они окрестили вредонос) под Linux и macOS на момент публикации статьи вообще не определяются на virustotal, в то время как версия под windows может похвастать шестью детектами.
В статье приведен анализ windows-версии, но версии для других ОС имеют в основном архитектурные различия: например, использование cron для автозагрузки под Linux вместо ключа реестра под windows. Также, только для windows в качестве первой стадии используется дроппер. В данном случае последовательность действий такова: запущенный дроппер с помощью powershell скачивает с C2 сервера злоумышленников zip-архив с SysJoker, распаковывает, запускает; SysJoker в свою очередь ожидает 1.5 - 2 минуты и копируется в C:\ProgramData\SystemData\igfxCUIService.exe (ожидание - попытка обойти динамический анализ антивирусов, копирование - попытка спрятаться под видом Intel-овского драйвера графики) и добавляет себя в автозагрузку. Между перечисленными операциями вредонос также может вздремнуть.
Во время работы SysJoker собирает информацию, такую как MAC-адреса, имя пользователя, серийники различных железок в системе и ip-шники, и отправляет ее на C2-сервера. Список серверов получается из google диска, при этом ссылка жестко закодирована в исполняемом файле вредоноса.
Исследователи обнаружили, что анализируемый сэмпл способен обрабатывать целых 2 типа команд: exe и cmd. Первая повторяет функциональность дроппера, вторая - выполняет команду и отправляет ее результат. Несмотря на столь впечатляющие возможности, исследователи считают, что авторы вредоноса далеко не новички, поскольку весь код был написан с 0 и после компрометации тестовой системы никаких команд с C2 не последовало(это косвенно говорит о том, что данный софт используется для компрометации заранее выбранных систем).
@NeKaspersky
👍5😱5🔥4
Команда PatchWork заразила свои компьютеры трояном Ragnatela, который сама же и разработала. Вот кому точно нужно вручить в этом году Шнобелевскую премию.
PatchWork — индийская кибергруппировка. Они известны ещё с 2015 года, прежде всего тем, что используют скопированный у других код.
В общем, эта малварь Ragnatela может перехватывать нажатия клавиш, делать скриншоты, воровать файлы и много всего ещё. Благодаря тому, что индийцы заразили самих себя, эксперты по ИБ смогли смотреть информацию на их ПК и отследить их.
Специалисты из Malwarebytes говорят, что восточноазиатские хакеры очень примитивные и не так сложны, как российские или северокорейские.
@NeKaspersky
PatchWork — индийская кибергруппировка. Они известны ещё с 2015 года, прежде всего тем, что используют скопированный у других код.
В общем, эта малварь Ragnatela может перехватывать нажатия клавиш, делать скриншоты, воровать файлы и много всего ещё. Благодаря тому, что индийцы заразили самих себя, эксперты по ИБ смогли смотреть информацию на их ПК и отследить их.
Специалисты из Malwarebytes говорят, что восточноазиатские хакеры очень примитивные и не так сложны, как российские или северокорейские.
@NeKaspersky
😁18👍2
Россияне оказались в топ-20 транжир в мобильных приложениях по данным отчета App Annie.
Итак, пользователи из России потратили в мобильных приложениях за 2021 $1,5 млрд. 70% ушло на мобильные игры.
Во всем мире на мобильные приложения потратили $170 млрд. Рост по сравнению с прошлым годом — 20%, а общее количество установок приложений в год около 240 млрд раз.
В среднем мы стали проводить в телефоне около 5 часов в день. Кстати, средний американец по сравнению со средним жителем мира тратит в телефоне меньше времени — около 4-х часов.
На первом месте по скачиваниям приложений Китай(98,3 млрд загрузок), на втором Индия(более 26,5 млрд), на третьем США(более 12,1 млрд). Россияне скачали приложения 5,5 млрд раз.
@NeKaspersky
Итак, пользователи из России потратили в мобильных приложениях за 2021 $1,5 млрд. 70% ушло на мобильные игры.
Во всем мире на мобильные приложения потратили $170 млрд. Рост по сравнению с прошлым годом — 20%, а общее количество установок приложений в год около 240 млрд раз.
В среднем мы стали проводить в телефоне около 5 часов в день. Кстати, средний американец по сравнению со средним жителем мира тратит в телефоне меньше времени — около 4-х часов.
На первом месте по скачиваниям приложений Китай(98,3 млрд загрузок), на втором Индия(более 26,5 млрд), на третьем США(более 12,1 млрд). Россияне скачали приложения 5,5 млрд раз.
@NeKaspersky
👍2😁2👎1
Фрау Ненси Фезер, министр внутренних дел Германии угрожает Павлу Дурову. Говорит, что отрубит Телеграм во всей стране, так как в мессенджере по ее мнению сидят одни антиваксеры и националисты.
Но сначала она хочет, чтобы ей прислали человека из команды Telegram, с которым она бы «поговорила».
Не одни дубайские эскортницы претендуют на внимание Павла Валерьевича.
@NeKaspersky
Но сначала она хочет, чтобы ей прислали человека из команды Telegram, с которым она бы «поговорила».
Не одни дубайские эскортницы претендуют на внимание Павла Валерьевича.
@NeKaspersky
😁16👍4😱2
Итоги первого в этом году patch tuesday от microsoft.
Пофиксили суммарно 96, что на 29 больше, чем в прошлом месяце, уязвимостей разной степени критичности (RCE, privesc, spoofing, xss)в целом зоопарке продуктов, например, microsoft exchange server, microsoft office, windows kernel, windows defender, RDP, windows certificate, microsoft teams.
Среди исправленного наибольший интерес вызывают, очевидно, 0day, а их целых 6:
• CVE-2021-22947 - RCE-уязвимость в curl, позволяющая осуществить атаку Man-in-The-Middle;
• CVE-2021-36976 — use-after-free в libarchive, приводящая к RCE;
• CVE-2022-21874 — RCE в api windows security center;
• CVE-2022-21919 — локальное повышение привилегий через windows user profile service, доступен PoC;
• CVE-2022-21839 — DoS-уязвимость в windows event tracing discretionary access control list;
• CVE-2022-21836 — спуфинг сертификатов, PoC так же существует.
В отличие от декабрьских 0day, нынешние в эксплуатации, кажется, замечены, не были, что, несомненно, радует.
Самым опасным назвали червеобразный баг CVE-2022-21907. Эксплойт может самостоятельно распространяться и взламывать устройства без взаимодействия с пользователем. Уязвимость могут задействовать в атаке с помощью отправки специально созданных пакетов.
@NeKaspersky
Пофиксили суммарно 96, что на 29 больше, чем в прошлом месяце, уязвимостей разной степени критичности (RCE, privesc, spoofing, xss)в целом зоопарке продуктов, например, microsoft exchange server, microsoft office, windows kernel, windows defender, RDP, windows certificate, microsoft teams.
Среди исправленного наибольший интерес вызывают, очевидно, 0day, а их целых 6:
• CVE-2021-22947 - RCE-уязвимость в curl, позволяющая осуществить атаку Man-in-The-Middle;
• CVE-2021-36976 — use-after-free в libarchive, приводящая к RCE;
• CVE-2022-21874 — RCE в api windows security center;
• CVE-2022-21919 — локальное повышение привилегий через windows user profile service, доступен PoC;
• CVE-2022-21839 — DoS-уязвимость в windows event tracing discretionary access control list;
• CVE-2022-21836 — спуфинг сертификатов, PoC так же существует.
В отличие от декабрьских 0day, нынешние в эксплуатации, кажется, замечены, не были, что, несомненно, радует.
Самым опасным назвали червеобразный баг CVE-2022-21907. Эксплойт может самостоятельно распространяться и взламывать устройства без взаимодействия с пользователем. Уязвимость могут задействовать в атаке с помощью отправки специально созданных пакетов.
@NeKaspersky
👍6🔥2
«Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение.» - Ваас Монтенегро.
Мошенники убедили техподдержку EA сменить email в топовых учетках FIFA Ultimate Team весьма незамысловатым способом: как сообщает FUTDonkey, один из пострадавших, злоумышленники воспользовались функцией live chat и многократно отправляли соответствующие запросы, пока не натыкались на сотрудника, который, забив на все меры предосторожности, без лишних вопросов проводил запрошенную процедуру. У пострадавших воровали внутриигровую валюту.
Если верить EA, проблема затронула менее пятидесяти аккаунтов; на момент публикации ведется работа по определению легитимных владельцев угнанных учеток и восстановлению доступа к ним.
Также EA принесли публичные извинения в связи с инцидентом и предприняли следующие действия:
• Отправили всех сотрудников техподдержки с доступом к аккаунтам на повторное обучение с отдельной проработкой фишинговых стратегий, использованных в этом случае;
• Начали разработку дополнительных шагов, необходимых для верификации владельца аккаунта (например, обязательное утверждение запросов на смену email у руководителя отдела);
• Обещали научить свой софт лучше распознавать потенциально вредоносную активность, определять аккаунты, вероятность атак на которые выше и в дальнейшем свести риск подобных инцидентов к минимуму.
@NeKaspersky
Мошенники убедили техподдержку EA сменить email в топовых учетках FIFA Ultimate Team весьма незамысловатым способом: как сообщает FUTDonkey, один из пострадавших, злоумышленники воспользовались функцией live chat и многократно отправляли соответствующие запросы, пока не натыкались на сотрудника, который, забив на все меры предосторожности, без лишних вопросов проводил запрошенную процедуру. У пострадавших воровали внутриигровую валюту.
Если верить EA, проблема затронула менее пятидесяти аккаунтов; на момент публикации ведется работа по определению легитимных владельцев угнанных учеток и восстановлению доступа к ним.
Также EA принесли публичные извинения в связи с инцидентом и предприняли следующие действия:
• Отправили всех сотрудников техподдержки с доступом к аккаунтам на повторное обучение с отдельной проработкой фишинговых стратегий, использованных в этом случае;
• Начали разработку дополнительных шагов, необходимых для верификации владельца аккаунта (например, обязательное утверждение запросов на смену email у руководителя отдела);
• Обещали научить свой софт лучше распознавать потенциально вредоносную активность, определять аккаунты, вероятность атак на которые выше и в дальнейшем свести риск подобных инцидентов к минимуму.
@NeKaspersky
👍7😱3💩3😁2
Команда Claroty82 в сотрудничестве с исследовательской группой Snyk провела обширный исследовательский проект, проанализировав 16 популярных сторонних библиотек для парсинга URL. Целых 8 из них относятся к веб-приложениям, сторонним библиотекам (написанных на языках C, JavaScript, PHP, Python и Ruby) и имеют несоответствия, которые могут использоваться для обхода проверок и создания широкого спектра векторов атак.
Унифицированный указатель ресурса (URL-адрес) — система унифицированных адресов электронных ресурсов, или единообразный определитель местонахождения ресурса (файла). Получается, все уязвимости безопасности, в которых сервера и приложения используют URL, могут создавать значительные проблемы для пользователей.
Как заявляют исследователи, путаница при синтаксическом анализе URL-адресов может привести к неожиданному поведению программного обеспечения, вследствии чего может появиться утечка информации или же проведения атак с удаленным выполнением кода.
Обход связан с тем, что внутри процесса поиска JNDI использовались два разных анализатора URL-адресов — один анализатор для проверки URL-адреса, а другой для его извлечения. А поскольку каждый из них работает по-своему, компонент Authority также меняется.
В основном, если ввод обрабатывается как обычный URL-адрес HTTP, компонент Authority (комбинация имени домена;номера;порта и выглядит как: [ userinfo "@" ] host [ ":" port ]) заканчивается при обнаружении идентификатора фрагмента, тогда как при обработке в качестве URL-адреса LDAP анализатор назначит весь «127.0.0[.]1#.evilhost.com:1389» в качестве центра, поскольку спецификация URL-адреса LDP не учитывает фрагмент.
Причин, по которым были обнаружены восемь уязвимостей, всего две. Основная относится к использованию нескольких синтаксических анализаторов. Вторая причина связана с проблемой, возникающий из-за несоответствий, когда библиотеки следуют разным спецификациям URL-адресов, что и создает дыру для злоумышленников.
@NeKaspersky
Унифицированный указатель ресурса (URL-адрес) — система унифицированных адресов электронных ресурсов, или единообразный определитель местонахождения ресурса (файла). Получается, все уязвимости безопасности, в которых сервера и приложения используют URL, могут создавать значительные проблемы для пользователей.
Как заявляют исследователи, путаница при синтаксическом анализе URL-адресов может привести к неожиданному поведению программного обеспечения, вследствии чего может появиться утечка информации или же проведения атак с удаленным выполнением кода.
Обход связан с тем, что внутри процесса поиска JNDI использовались два разных анализатора URL-адресов — один анализатор для проверки URL-адреса, а другой для его извлечения. А поскольку каждый из них работает по-своему, компонент Authority также меняется.
В основном, если ввод обрабатывается как обычный URL-адрес HTTP, компонент Authority (комбинация имени домена;номера;порта и выглядит как: [ userinfo "@" ] host [ ":" port ]) заканчивается при обнаружении идентификатора фрагмента, тогда как при обработке в качестве URL-адреса LDAP анализатор назначит весь «127.0.0[.]1#.evilhost.com:1389» в качестве центра, поскольку спецификация URL-адреса LDP не учитывает фрагмент.
Причин, по которым были обнаружены восемь уязвимостей, всего две. Основная относится к использованию нескольких синтаксических анализаторов. Вторая причина связана с проблемой, возникающий из-за несоответствий, когда библиотеки следуют разным спецификациям URL-адресов, что и создает дыру для злоумышленников.
@NeKaspersky
Claroty
Exploiting URL Parsing Confusion
Discover how inconsistencies in different libraries parse URLs can be abused by attackers with Team82 and Claroty.
👍5🤮1
This media is not supported in your browser
VIEW IN TELEGRAM
У пользователей Face Pay в московском метро деньги списались несколько раз. Говорят, что из-за плановых работ😂
💩31👍3👎3😁2
Тюрьма в США пострадала от шифровальщика.
По сообщениям Albuquerque Journal, 5 января была атакаована тюрьмa в округе Берналилло, Нью-Мексико. В стенах заведения упало буквально все: система видеонаблюдения (самое тревожное из последствий, по заверениям Тейлор Ран, прокурорф округа), удаленное управление дверьми камер, бд, содержащая информацию о внутренних правонарушениях, доступ в интернет.
В результате инцидента некоторые заключенные не могли покинуть камеры, другие - попасть в них; последних сначала временно определяли в изолятор, но после - смогли открыть камеры по-старинке, с помощью ключей. Все запланированные встречи заключенных с родственниками были также отменены.
Отключение коммуникаций может стать причиной исков в отношении пенетенциарного заведения, так как это нарушает соглашение от 1995 года, которое утверждает право заключенных на получение регулярного доступа к средствам связи.
Администрация тюрьмы уведомила Федеральный суд США о том, что доступ заключенных к телефонам и планшетам будет временно ограничен.
@NeKaspersky
По сообщениям Albuquerque Journal, 5 января была атакаована тюрьмa в округе Берналилло, Нью-Мексико. В стенах заведения упало буквально все: система видеонаблюдения (самое тревожное из последствий, по заверениям Тейлор Ран, прокурорф округа), удаленное управление дверьми камер, бд, содержащая информацию о внутренних правонарушениях, доступ в интернет.
В результате инцидента некоторые заключенные не могли покинуть камеры, другие - попасть в них; последних сначала временно определяли в изолятор, но после - смогли открыть камеры по-старинке, с помощью ключей. Все запланированные встречи заключенных с родственниками были также отменены.
Отключение коммуникаций может стать причиной исков в отношении пенетенциарного заведения, так как это нарушает соглашение от 1995 года, которое утверждает право заключенных на получение регулярного доступа к средствам связи.
Администрация тюрьмы уведомила Федеральный суд США о том, что доступ заключенных к телефонам и планшетам будет временно ограничен.
@NeKaspersky
😁6😱3💩3
Сторонний софт для автомобилей Tesla подвергает пользователей возможности взлома.
19-летний исследователь безопасности из Германии, Дэвид Коломбо, обнаружил уязвимости в программном продукте, используемом с относительно небольшой пользовательской аудиторией. В интервью Bloomberg он cобщил, что смог таким образом получить доступ к более чем 25 автомобилям в 13 странах мира. При этом в перечень доступных ему действий входили: использование гудка и фар, доступ к стереосистеме автомобиля, возможность управления открытием окон, возможность завести машину без ключа и отключить системы безопасности.
Дэвид сказал, что несмотря на то, что данные уязвимости не позволяют непосредственно перехватить управление автомобилем, они могут быть использованы чтобы спровоцировать аварию (например, водитель будет не то чтобы рад если во время движения по шоссе у него резко откроются окна, на максимальной громкости заиграет музыка, а фары притворятся стробоскопом).
По словам исследователя, на текущий момент он сообщил Tesla и производителям софта детали данной уязвимости, в связи с чем он попросил Bloomberg воздержаться от публикации подробностей эксплуатации бага. Однако, он также сказал, что проблема связана с тем, что разработчики использовали небезопасный способ хранения информации, необходимой программе для взаимодействия с авто.
@NeKaspersky
19-летний исследователь безопасности из Германии, Дэвид Коломбо, обнаружил уязвимости в программном продукте, используемом с относительно небольшой пользовательской аудиторией. В интервью Bloomberg он cобщил, что смог таким образом получить доступ к более чем 25 автомобилям в 13 странах мира. При этом в перечень доступных ему действий входили: использование гудка и фар, доступ к стереосистеме автомобиля, возможность управления открытием окон, возможность завести машину без ключа и отключить системы безопасности.
Дэвид сказал, что несмотря на то, что данные уязвимости не позволяют непосредственно перехватить управление автомобилем, они могут быть использованы чтобы спровоцировать аварию (например, водитель будет не то чтобы рад если во время движения по шоссе у него резко откроются окна, на максимальной громкости заиграет музыка, а фары притворятся стробоскопом).
По словам исследователя, на текущий момент он сообщил Tesla и производителям софта детали данной уязвимости, в связи с чем он попросил Bloomberg воздержаться от публикации подробностей эксплуатации бага. Однако, он также сказал, что проблема связана с тем, что разработчики использовали небезопасный способ хранения информации, необходимой программе для взаимодействия с авто.
@NeKaspersky
😱4🤮2👍1
Не хочется лезть в политику и затрагивать политические темы. Однако в некоторых ситуациях промолчать трудно. Вот очередной пример, когда американцы сами лезут на рожон и накаляют обстановку.
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
👍4🤮4😁2👎1💩1
Ахуеть. Вот это сообщил ТАСС! ФСБ задержали самую опасную хакерскую группировку REvil, которая весь 2021 держала в страхе мир. Все самые громкие атаки в 2021 — их рук дело.
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
ТАСС
ФСБ задержала хакерскую группировку REvil после обращения США
Группировка разработала вредоносное программное обеспечение, организовали хищение денег с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в интернете
😱19🔥5💩2
Media is too big
VIEW IN TELEGRAM
Видео задержания. Сюжет для фильма на Оскар. А это ведь чьи-то бывшие однокурсники😂
🔥8😁3👍2💩1
Media is too big
VIEW IN TELEGRAM
В связи с задержанием REvil повторно публикуем видео, в котором кратко рассказываем о ransomware. Группировка как раз проводила ransomware-атаки.
@NeKaspersky
@NeKaspersky
🔥6👍2💩1