GitHub и киберпреступность: как популярная платформа для разработчиков внезапно стала лучшим другом тёмных хакеров
Карло Занки, эксперт по кибербезопасности из компании ReversingLabs, обнаружил новый тренд, который в последнее время используют многие киберпреступники. Суть тренда состоит в злонамеренной эксплуатации платформы GitHub для распространения вредоносного ПО.
В своём отчёте Занки отметил, что ранее авторы вредоносных программ часто размещали экземпляры своих вредоносов на таких платформах, как Dropbox, Google Drive, OneDrive и Discord. Но недавно было зафиксировано увеличение использования GitHub в качестве непосредственного хоста для зловредного софта.
Киберпреступники всегда предпочитали публичные сервисы для размещения и функционирования вредоносного ПО. Их использование делает вредоносную инфраструктуру сложноотключаемой, ведь никто же не будет блокировать Google Drive целиком, лишь бы заблокировать работу какого-нибудь опасного ботнета.
Публичные сервисы также позволяют злоумышленникам смешивать свой вредоносный сетевой трафик с законными коммуникациями в скомпрометированной сети, что дополнительно затрудняет обнаружение угроз и своевременное реагирование на них.
Так, злоупотребление сервисом хранения фрагментов кода Gist на GitHub указывает на эволюцию этой тенденции. Что может быть удобнее для тёмного хакера, чем хранить свой вредоносный код в подобных мини-репозиториях и безопасно доставлять его на скомпрометированный хост по требованию.
ReversingLabs выявила несколько пакетов на платформе PyPI — «httprequesthub», «pyhttpproxifier», «libsock», «libproxy» и «libsocks5» — которые маскируются под библиотеки для обработки прокси-сетей, но содержат URL-адрес, закодированный в Base64, ведущий к секретному Gist, размещённому в одноразовом аккаунте GitHub без публичных проектов.
IT Дайджест / IT Новости / IT / Технологии
Карло Занки, эксперт по кибербезопасности из компании ReversingLabs, обнаружил новый тренд, который в последнее время используют многие киберпреступники. Суть тренда состоит в злонамеренной эксплуатации платформы GitHub для распространения вредоносного ПО.
В своём отчёте Занки отметил, что ранее авторы вредоносных программ часто размещали экземпляры своих вредоносов на таких платформах, как Dropbox, Google Drive, OneDrive и Discord. Но недавно было зафиксировано увеличение использования GitHub в качестве непосредственного хоста для зловредного софта.
Киберпреступники всегда предпочитали публичные сервисы для размещения и функционирования вредоносного ПО. Их использование делает вредоносную инфраструктуру сложноотключаемой, ведь никто же не будет блокировать Google Drive целиком, лишь бы заблокировать работу какого-нибудь опасного ботнета.
Публичные сервисы также позволяют злоумышленникам смешивать свой вредоносный сетевой трафик с законными коммуникациями в скомпрометированной сети, что дополнительно затрудняет обнаружение угроз и своевременное реагирование на них.
Так, злоупотребление сервисом хранения фрагментов кода Gist на GitHub указывает на эволюцию этой тенденции. Что может быть удобнее для тёмного хакера, чем хранить свой вредоносный код в подобных мини-репозиториях и безопасно доставлять его на скомпрометированный хост по требованию.
ReversingLabs выявила несколько пакетов на платформе PyPI — «httprequesthub», «pyhttpproxifier», «libsock», «libproxy» и «libsocks5» — которые маскируются под библиотеки для обработки прокси-сетей, но содержат URL-адрес, закодированный в Base64, ведущий к секретному Gist, размещённому в одноразовом аккаунте GitHub без публичных проектов.
IT Дайджест / IT Новости / IT / Технологии
👍3
ФБР захватило сайт вымогательской группы BlackCat и разработало инструмент для расшифровки данных
Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.
Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.
Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.
Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров.
Согласно опубликованному теперь ордеру, для проведения этой операции ФБР прибегло к помощи некого конфиденциального источника, который зарегистрировался и стал партнером группировки BlackCat. Пройдя собеседование с операторами вымогательского ПО, этот человек получил учетные данные для входа в партнерскую бэкэнд-панель.
IT Дайджест / IT Новости / IT / Технологии
Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.
Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.
Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.
Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров.
Согласно опубликованному теперь ордеру, для проведения этой операции ФБР прибегло к помощи некого конфиденциального источника, который зарегистрировался и стал партнером группировки BlackCat. Пройдя собеседование с операторами вымогательского ПО, этот человек получил учетные данные для входа в партнерскую бэкэнд-панель.
IT Дайджест / IT Новости / IT / Технологии
👍5🤡1
Исследователи кибербезопасности из компании Resecurity зафиксировали новую серию атак, исходящих от китаеязычных киберпреступников, известных как «Smishing Triad». В них хакеры маскируются под государственные ведомства Объединённых Арабских Эмиратов, отправляя вредоносные СМС-сообщения с целью сбора конфиденциальной информации как местных жителей, так и приезжих иностранцев.
Как сообщают специалисты, киберпреступники используют сервисы сокращения ссылок, такие как Bit.ly, чтобы скрыть настоящий домен и местоположение поддельного сайта. Такой подход помогает хакерам защититься от раскрытия своей вредоносной деятельности.
Первые упоминания «Smishing Triad» появились совсем недавно, буквально в сентябре этого года. Группа активно использует взломанные учётные записи iCloud для отправки мошеннических сообщений, в результате чего успешно похищает личные данные пользователей и проводит финансовые махинации.
Киберпреступники также предлагают готовые наборы для СМС-мошенничества по цене $200 в месяц другим злоумышленникам, а также занимаются атаками на платформы электронной коммерции в стиле Magecart , внедряя на уязвимые сайты вредоносный код для кражи данных клиентов.
Исследователи Resecurity отмечают, что используемая злоумышленниками FaaS-модель позволяет «Smishing Triad» масштабировать свои операции, давая другим киберпреступникам возможность использовать инструменты группы для проведения независимых атак.
Новая волна вредоносной деятельности нацелена на лиц, недавно обновивших свои визы на проживание в ОАЭ, путём распространения вредоносных СМС-сообщений, что часто называют смс-фишингом или «смишингом». Кампания затрагивает устройства на базе Android и iOS, вероятно, используя технологии подделки СМС или спам-сервисы.
IT Дайджест / IT Новости / IT / Технологии
Как сообщают специалисты, киберпреступники используют сервисы сокращения ссылок, такие как Bit.ly, чтобы скрыть настоящий домен и местоположение поддельного сайта. Такой подход помогает хакерам защититься от раскрытия своей вредоносной деятельности.
Первые упоминания «Smishing Triad» появились совсем недавно, буквально в сентябре этого года. Группа активно использует взломанные учётные записи iCloud для отправки мошеннических сообщений, в результате чего успешно похищает личные данные пользователей и проводит финансовые махинации.
Киберпреступники также предлагают готовые наборы для СМС-мошенничества по цене $200 в месяц другим злоумышленникам, а также занимаются атаками на платформы электронной коммерции в стиле Magecart , внедряя на уязвимые сайты вредоносный код для кражи данных клиентов.
Исследователи Resecurity отмечают, что используемая злоумышленниками FaaS-модель позволяет «Smishing Triad» масштабировать свои операции, давая другим киберпреступникам возможность использовать инструменты группы для проведения независимых атак.
Новая волна вредоносной деятельности нацелена на лиц, недавно обновивших свои визы на проживание в ОАЭ, путём распространения вредоносных СМС-сообщений, что часто называют смс-фишингом или «смишингом». Кампания затрагивает устройства на базе Android и iOS, вероятно, используя технологии подделки СМС или спам-сервисы.
IT Дайджест / IT Новости / IT / Технологии
🔥2
Россия вошла в топ-15 самых стабильных стран по отказоустойчивости интернета
Компания Qrator Labs оценила устойчивость интернета в 187 странах.
Компания Qrator Labs представила результаты исследования влияния возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов Интернета.
Эксперты анализировали, как как отказ одной автономной системы (АС) влияет на глобальную связность отдельного региона. В большинстве случаев крупнейшая АС в регионе является доминирующим интернет-провайдером (ISP) на рынке; иными словами, цифры исследования показывают, какой процент сетей в каждой стране останется без доступа в Интернет в случае сбоя у главного Интернет-провайдера страны.
По результатам исследования национальных сегментов 187 стран мира в 2023 году был составлен рейтинг государств в порядке возрастания показателя, отражающего зависимость доступности национальных сегментов Интернета от отказов в работе наиболее значимых операторов связи (Tier-1).
Для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента автономных систем заданного национального сегмента.
В тройке лидеров третий год подряд находятся Бразилия, Германия и Нидерланды. Эти страны имеют настолько разветвленную инфраструктуру интернета, что отказ одной компании не приведет к потере глобальной доступности их национальных сегментов.
К примеру, в Бразилии даже отключение критичной АС приведёт лишь к 1,13% недоступных сетей в стране. А в Германии и Нидерландах этот показатель составляет 2.16% и 2.52% соответственно.
Среди стран, которые значительно ухудшили свои позиции в рейтинге, можно выделить Люксембург и Сингапур. Люксембург опустился с 16-го на 39-е место из-за смены критического провайдера с Cogent на Post Group Luxembourg, который имеет много локальных клиентов.
IT Дайджест / IT Новости / IT / Технологии
Компания Qrator Labs оценила устойчивость интернета в 187 странах.
Компания Qrator Labs представила результаты исследования влияния возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов Интернета.
Эксперты анализировали, как как отказ одной автономной системы (АС) влияет на глобальную связность отдельного региона. В большинстве случаев крупнейшая АС в регионе является доминирующим интернет-провайдером (ISP) на рынке; иными словами, цифры исследования показывают, какой процент сетей в каждой стране останется без доступа в Интернет в случае сбоя у главного Интернет-провайдера страны.
По результатам исследования национальных сегментов 187 стран мира в 2023 году был составлен рейтинг государств в порядке возрастания показателя, отражающего зависимость доступности национальных сегментов Интернета от отказов в работе наиболее значимых операторов связи (Tier-1).
Для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента автономных систем заданного национального сегмента.
В тройке лидеров третий год подряд находятся Бразилия, Германия и Нидерланды. Эти страны имеют настолько разветвленную инфраструктуру интернета, что отказ одной компании не приведет к потере глобальной доступности их национальных сегментов.
К примеру, в Бразилии даже отключение критичной АС приведёт лишь к 1,13% недоступных сетей в стране. А в Германии и Нидерландах этот показатель составляет 2.16% и 2.52% соответственно.
Среди стран, которые значительно ухудшили свои позиции в рейтинге, можно выделить Люксембург и Сингапур. Люксембург опустился с 16-го на 39-е место из-за смены критического провайдера с Cogent на Post Group Luxembourg, который имеет много локальных клиентов.
IT Дайджест / IT Новости / IT / Технологии
🤡4👍1
Новый Instagram-фишинг: мошенники под прикрытием Meta охотятся на резервные 2FA коды
Исследователи из компании Trustwave выявили очередную фишинговую кампанию, нацеленную на пользователей Instagram. На этот раз мошенники пытаются заполучить резервные коды двухфакторной аутентификации для взлома аккаунтов.
Все начинается с поддельных электронных писем, якобы от имени Meta, владельца Instagram. Пользователю сообщают, что его аккаунт заблокирован по жалобе правообладателей за нарушение авторских прав. Для восстановления доступа нужно заполнить форму апелляции, перейдя по приложенной ссылке. На самом деле ссылка ведёт на сайт-двойник официального портала Meta.
Далее жертве предлагают перейти на вторую фишинговую страницу, замаскированную под "Форму подтверждения аккаунта". Здесь нужно ввести логин и пароль, а также восьмизначный резервный код для обхода двухфакторной аутентификации. Получив эти данные, злоумышленники беспрепятственно проникнут в аккаунт жертвы и могут полностью захватить над ним контроль.
Пользователи получают запасной 2FA код при подключении двухфакторной аутентификации. Он может пригодиться, если по какой-то причине невозможно использовать стандартные методы входа, например, при смене телефонного номера или потере доступа к электронной почте.
IT Дайджест / IT Новости / IT / Технологии
Исследователи из компании Trustwave выявили очередную фишинговую кампанию, нацеленную на пользователей Instagram. На этот раз мошенники пытаются заполучить резервные коды двухфакторной аутентификации для взлома аккаунтов.
Все начинается с поддельных электронных писем, якобы от имени Meta, владельца Instagram. Пользователю сообщают, что его аккаунт заблокирован по жалобе правообладателей за нарушение авторских прав. Для восстановления доступа нужно заполнить форму апелляции, перейдя по приложенной ссылке. На самом деле ссылка ведёт на сайт-двойник официального портала Meta.
Далее жертве предлагают перейти на вторую фишинговую страницу, замаскированную под "Форму подтверждения аккаунта". Здесь нужно ввести логин и пароль, а также восьмизначный резервный код для обхода двухфакторной аутентификации. Получив эти данные, злоумышленники беспрепятственно проникнут в аккаунт жертвы и могут полностью захватить над ним контроль.
Пользователи получают запасной 2FA код при подключении двухфакторной аутентификации. Он может пригодиться, если по какой-то причине невозможно использовать стандартные методы входа, например, при смене телефонного номера или потере доступа к электронной почте.
IT Дайджест / IT Новости / IT / Технологии
👍2
Pegasus и выборы: как польский телеканал разглашал секреты из СМС оппозиционного политика
Польский суд подтвердил , что государственная телекомпания TVP незаконно использовала скомпрометированные личные SMS оппозиционного политика Кшиштофа Брейзы. Переписка была похищена с помощью шпионского ПО Pegasus, а затем опубликована TVP в 2019 году.
Целью было нанесение репутационного ущерба Брейзе, который в то время баллотировался в Сенат от оппозиционной партии «Гражданская платформа». Сейчас эта партия находится у власти. Суд обязал TVP выпустить публичные извинения и выплатить политику компенсацию.
Уже было установлено, что при предыдущем правительстве Pegasus использовался польскими спецслужбами для незаконной слежки во многих сферах. Решение суда фактически подтверждает сговор TVP с властями.
Дорота Брейза, супруга и адвокат Кшиштофа, охарактеризовала этот случай как подтверждение "патологических механизмов работы TVP". Она акцентировала внимание на недопустимом сговоре между секретными службами, прокуратурой и телевидением, который был раскрыт в ходе дела.
Как отмечает сам Брейза, это первый случай, когда суд признал потенциальное влияние активности Pegasus на избирательную кампанию. Он также заявил, что подобные методы слежки напоминают ему о практиках, используемых в современной России и Беларуси.
IT Дайджест / IT Новости / IT / Технологии
Польский суд подтвердил , что государственная телекомпания TVP незаконно использовала скомпрометированные личные SMS оппозиционного политика Кшиштофа Брейзы. Переписка была похищена с помощью шпионского ПО Pegasus, а затем опубликована TVP в 2019 году.
Целью было нанесение репутационного ущерба Брейзе, который в то время баллотировался в Сенат от оппозиционной партии «Гражданская платформа». Сейчас эта партия находится у власти. Суд обязал TVP выпустить публичные извинения и выплатить политику компенсацию.
Уже было установлено, что при предыдущем правительстве Pegasus использовался польскими спецслужбами для незаконной слежки во многих сферах. Решение суда фактически подтверждает сговор TVP с властями.
Дорота Брейза, супруга и адвокат Кшиштофа, охарактеризовала этот случай как подтверждение "патологических механизмов работы TVP". Она акцентировала внимание на недопустимом сговоре между секретными службами, прокуратурой и телевидением, который был раскрыт в ходе дела.
Как отмечает сам Брейза, это первый случай, когда суд признал потенциальное влияние активности Pegasus на избирательную кампанию. Он также заявил, что подобные методы слежки напоминают ему о практиках, используемых в современной России и Беларуси.
IT Дайджест / IT Новости / IT / Технологии
👍4😁1
Predator — продвинутая шпионская угроза, которую невозможно остановить
Эволюция мобильного вредоноса демонстрирует особые сложности в борьбе с коммерческим кибершпионажем.
Вчера исследователями Cisco Talos был опубликован очередной анализ коммерческого шпионского ПО «Predator». Специалисты выявили ряд изменений в функционале вредоносной мобильной программы, от которых она стала ещё опаснее.
Predator, который может атаковать как Android, так и iOS устройства, был описан экспертами как «система удалённого мобильного извлечения данных», которая продаётся по модели лицензирования стоимостью буквально в миллионы долларов. Точные затраты на приобретение лицензии зависят от эксплойта, используемого для первоначального доступа, а также количества одновременно возможных заражений.
Начинающие киберпреступники не могут позволить себе такую роскошь, а вот продвинутые APT-группировки, имеющие в загашнике определённый запас денежных средств, действительно оплачивают доступ к Predator, чтобы сделать свои атаки ещё разрушительнее.
В последнем отчёте Talos исследователи отметили, что Android-версия Predator относительно недавно получила возможность сохранения своей активности после перезагрузки устройства, в то время как iOS-версия сразу обладала таким функционалом. Тем не менее, и такой функционал тоже оплачивается отдельно.
Predator является продуктом консорциума под названием Intellexa Alliance, в который входит компания Cytrox (впоследствии приобретённая WiSpear), Nexa Technologies и Senpai Technologies. И Cytrox, и Intellexa в июле 2023 года были добавлены США в чёрный список юридических лиц — как раз за причастность к созданию шпионского софта Predator.
В своём прошлом отчёте исследователи Talos подробно описали внутреннюю работу Predator и его гармоничное сочетание с другим компонентом загрузчика под названием «Alien».
IT Дайджест / IT Новости / IT / Технологии
Эволюция мобильного вредоноса демонстрирует особые сложности в борьбе с коммерческим кибершпионажем.
Вчера исследователями Cisco Talos был опубликован очередной анализ коммерческого шпионского ПО «Predator». Специалисты выявили ряд изменений в функционале вредоносной мобильной программы, от которых она стала ещё опаснее.
Predator, который может атаковать как Android, так и iOS устройства, был описан экспертами как «система удалённого мобильного извлечения данных», которая продаётся по модели лицензирования стоимостью буквально в миллионы долларов. Точные затраты на приобретение лицензии зависят от эксплойта, используемого для первоначального доступа, а также количества одновременно возможных заражений.
Начинающие киберпреступники не могут позволить себе такую роскошь, а вот продвинутые APT-группировки, имеющие в загашнике определённый запас денежных средств, действительно оплачивают доступ к Predator, чтобы сделать свои атаки ещё разрушительнее.
В последнем отчёте Talos исследователи отметили, что Android-версия Predator относительно недавно получила возможность сохранения своей активности после перезагрузки устройства, в то время как iOS-версия сразу обладала таким функционалом. Тем не менее, и такой функционал тоже оплачивается отдельно.
Predator является продуктом консорциума под названием Intellexa Alliance, в который входит компания Cytrox (впоследствии приобретённая WiSpear), Nexa Technologies и Senpai Technologies. И Cytrox, и Intellexa в июле 2023 года были добавлены США в чёрный список юридических лиц — как раз за причастность к созданию шпионского софта Predator.
В своём прошлом отчёте исследователи Talos подробно описали внутреннюю работу Predator и его гармоничное сочетание с другим компонентом загрузчика под названием «Alien».
IT Дайджест / IT Новости / IT / Технологии
❤2
F.A.C.C.T. советует крепить оборону от шифровальщиков, утечек, фишинга
По данным F.A.С.С.T., в 2023 году активность вымогателей, оперирующих шифровальщиками, в РФ возросла в 2,5 раза. В Telegram и даркнете было опубликовано 246 баз данных российских организаций; эксперты также выявили около 30 тыс. фишинговых доменов.
Больше прочих от атак шифровальщиков страдали ретейлеры, строители, турагенты, страховщики и владельцы производственных предприятий. В сети злоумышленники обычно проникали, раздобыв ключи к RDP или VPN, либо с помощью фишинговых рассылок.
Средняя сумма выкупа, который вымогатели требовали за расшифровку данных, составила 53 млн рублей. Максимальная зафиксированная сумма — 321 млн руб., ее запросили у жертвы участники группировки C0met (переименованная Shadow).
Аналитики также отметили тенденцию к объединению преступных групп, промышляющих вымогательством, но с разными целями. Пример тому — тандем Shadow – Twelve: один из участников стремится получить финансовую выгоду, другому милее хактивизм. В атаках на малый и средний бизнес России засветились операторы DCHelp, Proxima, BlackBit, RCRU64.
Похитители баз данных, по словам экспертов, в основном выкладывали свою добычу в открытый доступ, реже — выставляли на продажу или использовали в дальнейших атаках. В этом году взломщики чаще атаковали крупные организации; зафиксирован ряд случаев, когда ранее слитые данные выдавались за новую утечку.
Фишеры начали массово отказываться от российского хостинга, отдавая предпочтение серверам в Нидерландах и США. В итоге доля мошеннических сайтов, размещенных в РФ, сократилась с 73 до 41%. Примечательно, что 17 315 обнаруженных фишинговых доменов использовались для реализаций схем «Мамонт».
IT Дайджест / IT Новости / IT / Технологии
По данным F.A.С.С.T., в 2023 году активность вымогателей, оперирующих шифровальщиками, в РФ возросла в 2,5 раза. В Telegram и даркнете было опубликовано 246 баз данных российских организаций; эксперты также выявили около 30 тыс. фишинговых доменов.
Больше прочих от атак шифровальщиков страдали ретейлеры, строители, турагенты, страховщики и владельцы производственных предприятий. В сети злоумышленники обычно проникали, раздобыв ключи к RDP или VPN, либо с помощью фишинговых рассылок.
Средняя сумма выкупа, который вымогатели требовали за расшифровку данных, составила 53 млн рублей. Максимальная зафиксированная сумма — 321 млн руб., ее запросили у жертвы участники группировки C0met (переименованная Shadow).
Аналитики также отметили тенденцию к объединению преступных групп, промышляющих вымогательством, но с разными целями. Пример тому — тандем Shadow – Twelve: один из участников стремится получить финансовую выгоду, другому милее хактивизм. В атаках на малый и средний бизнес России засветились операторы DCHelp, Proxima, BlackBit, RCRU64.
Похитители баз данных, по словам экспертов, в основном выкладывали свою добычу в открытый доступ, реже — выставляли на продажу или использовали в дальнейших атаках. В этом году взломщики чаще атаковали крупные организации; зафиксирован ряд случаев, когда ранее слитые данные выдавались за новую утечку.
Фишеры начали массово отказываться от российского хостинга, отдавая предпочтение серверам в Нидерландах и США. В итоге доля мошеннических сайтов, размещенных в РФ, сократилась с 73 до 41%. Примечательно, что 17 315 обнаруженных фишинговых доменов использовались для реализаций схем «Мамонт».
IT Дайджест / IT Новости / IT / Технологии
👍4
18-летний хакер приговорён к бессрочному пребыванию в психиатрической больнице за утечку фрагментов GTA
Ключевой член группировки Lapsus$ признан опасным для общества.
Британский суд приговорил 18-летнего хакера Ариона Куртаджа к пожизненной госпитализации в психиатрической клинике за взлом компании Rockstar Games и утечку фрагментов игры Grand Theft Auto VI, которая на тот момент ещё не была выпущена, сообщает BBC.
В суде заявили, что навыки Куртая в области киберпреступности и его желание продолжать заниматься хакерством делают его по-прежнему опасным для общества. Он останется закрытом медицинском учреждении до конца жизни, если только врачи не посчитают, что он больше не представляет угрозы.
Напомним, в сентябре 2022 года Куртадж взломал Rockstar Games, находясь в отеле Travelodge под охраной полиции. Используя Amazon Firestick, клавиатуру, мышь, гостиничный телевизор и мобильный телефон, ему удалось получить доступ к 90 фрагментам геймплея и тысячам строк кода раннего билда GTA VI. Затем хакер опубликовал украденные данные на форуме, пригрозив выложить весь исходный код игры, если с ним не свяжутся из компании.
На суде адвокаты Куртаджа указали на коммерческий успех недавно опубликованного трейлера GTA VI, собравшего 128 миллионов просмотров на YouTube. По их мнению, это доказывает, что взлом не нанёс серьёзного ущерба разработчику. Однако судья подчеркнула ущерб от атак Lapsus$, отметив, что только Rockstar Games потратила $5 млн и тысячи часов работы на восстановление после взлома.
В суде также отметили, что во время содержания под стражей Куртадж проявлял агрессию. Были зафиксированы десятки случаев нанесения травм или порчи имущества.
Ранее из-за остроты проявлений аутизма Куртай был признан невменяемым, поэтому суду предстояло определить, было в его действиях преступное намерение или нет.
IT Дайджест / IT Новости / IT / Технологии
Ключевой член группировки Lapsus$ признан опасным для общества.
Британский суд приговорил 18-летнего хакера Ариона Куртаджа к пожизненной госпитализации в психиатрической клинике за взлом компании Rockstar Games и утечку фрагментов игры Grand Theft Auto VI, которая на тот момент ещё не была выпущена, сообщает BBC.
В суде заявили, что навыки Куртая в области киберпреступности и его желание продолжать заниматься хакерством делают его по-прежнему опасным для общества. Он останется закрытом медицинском учреждении до конца жизни, если только врачи не посчитают, что он больше не представляет угрозы.
Напомним, в сентябре 2022 года Куртадж взломал Rockstar Games, находясь в отеле Travelodge под охраной полиции. Используя Amazon Firestick, клавиатуру, мышь, гостиничный телевизор и мобильный телефон, ему удалось получить доступ к 90 фрагментам геймплея и тысячам строк кода раннего билда GTA VI. Затем хакер опубликовал украденные данные на форуме, пригрозив выложить весь исходный код игры, если с ним не свяжутся из компании.
На суде адвокаты Куртаджа указали на коммерческий успех недавно опубликованного трейлера GTA VI, собравшего 128 миллионов просмотров на YouTube. По их мнению, это доказывает, что взлом не нанёс серьёзного ущерба разработчику. Однако судья подчеркнула ущерб от атак Lapsus$, отметив, что только Rockstar Games потратила $5 млн и тысячи часов работы на восстановление после взлома.
В суде также отметили, что во время содержания под стражей Куртадж проявлял агрессию. Были зафиксированы десятки случаев нанесения травм или порчи имущества.
Ранее из-за остроты проявлений аутизма Куртай был признан невменяемым, поэтому суду предстояло определить, было в его действиях преступное намерение или нет.
IT Дайджест / IT Новости / IT / Технологии
🤯7👍5👀2❤1😁1
Фальшивые VPN-расширения для Chrome принудительно установили 1,5 млн раз
Специалисты компании ReasonLabs обнаружили три вредоносных расширения для браузера Chrome, которые маскировались под VPN. Они были загружены 1,5 млн раз и на самом деле представляли собой инфостилеры и инструменты для кражи кешбэка.
Опасные расширения устанавливались в браузеры жертв принудительно и распространялись через установщики, спрятанные в пиратских копиях популярных игр (Grand Theft Auto, Assassins Creed и The Sims 4), загруженных с торрент-трекеров.
По данным экспертов, большинство заражений пришлось на Россию, Украину, Казахстан и Беларусь, так как эта кампания, похоже, была нацелена исключительно на русскоязычных пользователей.
Вредоносные расширения носили названия netPlus (1 млн установок), netSave и netWin (по 500 000 установок). Так как ReasonLabs уже уведомила Google об этой проблеме, компания удалила вредоносные расширения из Chrome Web Store, но к этому времени суммарное количество установок уже перешагнуло отметку 1,5 млн.
Исследователи смогли обнаружить более тысячи различных торрент-файлов, содержащих вредоносный установщик, представляющий собой Electron-приложение размером от 60 до 100 МБ. Установщик проверял наличие антивирусных продуктов на зараженной машине, а затем устанавливал netSave в Google Chrome и netPlus в Microsoft Edge.
В отчете подчеркивается, что установка фальшивых VPN-расширений происходила автоматически, на уровне реестра, и не требовала участия пользователя и каких-либо действий с его стороны.
Чтобы создать у жертвы ощущение легитимности, фальшивые расширения даже оснащались вполне реалистичным пользовательским интерфейсом и якобы предлагали платную подписку.
IT Дайджест / IT Новости / IT / Технологии
Специалисты компании ReasonLabs обнаружили три вредоносных расширения для браузера Chrome, которые маскировались под VPN. Они были загружены 1,5 млн раз и на самом деле представляли собой инфостилеры и инструменты для кражи кешбэка.
Опасные расширения устанавливались в браузеры жертв принудительно и распространялись через установщики, спрятанные в пиратских копиях популярных игр (Grand Theft Auto, Assassins Creed и The Sims 4), загруженных с торрент-трекеров.
По данным экспертов, большинство заражений пришлось на Россию, Украину, Казахстан и Беларусь, так как эта кампания, похоже, была нацелена исключительно на русскоязычных пользователей.
Вредоносные расширения носили названия netPlus (1 млн установок), netSave и netWin (по 500 000 установок). Так как ReasonLabs уже уведомила Google об этой проблеме, компания удалила вредоносные расширения из Chrome Web Store, но к этому времени суммарное количество установок уже перешагнуло отметку 1,5 млн.
Исследователи смогли обнаружить более тысячи различных торрент-файлов, содержащих вредоносный установщик, представляющий собой Electron-приложение размером от 60 до 100 МБ. Установщик проверял наличие антивирусных продуктов на зараженной машине, а затем устанавливал netSave в Google Chrome и netPlus в Microsoft Edge.
В отчете подчеркивается, что установка фальшивых VPN-расширений происходила автоматически, на уровне реестра, и не требовала участия пользователя и каких-либо действий с его стороны.
Чтобы создать у жертвы ощущение легитимности, фальшивые расширения даже оснащались вполне реалистичным пользовательским интерфейсом и якобы предлагали платную подписку.
IT Дайджест / IT Новости / IT / Технологии
🤔4
Невероятные научные открытия 2023 года: Человек изо льда оказался темнокожим, а у Бетховена были семейные тайны
Как ИИ помог расшифровать древние свитки, а ДНК раскрыла тайны древних людей.
В 2023 году учёные раскрыли шесть исторических загадок , показав, как наука может пролить свет на прошлое человечества. Использование палеогенетики, искусственного интеллекта и химического анализа открыло потрясающие секреты, скрытые в костях, обнаруженных археологами, древних текстах и остатках на зубах и глиняной посуде.
Первая разгадка касается предположительно мужского скелета возрастом 5000 лет, обнаруженного в 2008 году возле Севильи, Испания. Новый анализ эмали зубов, содержащей половоспецифичный пептид амелогенин, показал, что останки принадлежат женщине. Этот вывод подтверждает слова профессора Леонардо Гарсиа Санхуана из Университета Севильи, который заявил, что такая техника откроет новую эру в анализе социальной организации доисторических обществ.
Другая тайна связана с прочностью римского бетона, демонстрирующего удивительную долговечность по сравнению с современными аналогами. Исследователи обнаружили, что белые кусочки в бетоне, ранее считавшиеся признаком плохого качества, на самом деле способствовали самовосстановлению материала.
Третья загадка касается внешнего вида Человека из льда — Этци, чье мумифицированное тело было найдено в 1991 году в Альпах. Новый анализ ДНК показал, что Этци имел темную кожу и темные глаза и, вероятно, был лысым.
Также учёные выяснили, что 20-тысячелетний кулон из оленьей кости, найденный в пещере Денисова в Сибири, принадлежал женщине из группы Древних Североевразийцев. Особенностью находки является сохранение большого количества ДНК женщины в пористой структуре кулона.
Использование ИИ и компьютерной томографии позволило студенту из Университета Небраски Люку Фарритору расшифровать слово на одном из обугленных свитков, найденных после извержения Везувия почти 2000 лет назад. Он смог прочитать слово "πορφυρας" (пурпур).
IT Дайджест / IT Новости / IT / Технологии
Как ИИ помог расшифровать древние свитки, а ДНК раскрыла тайны древних людей.
В 2023 году учёные раскрыли шесть исторических загадок , показав, как наука может пролить свет на прошлое человечества. Использование палеогенетики, искусственного интеллекта и химического анализа открыло потрясающие секреты, скрытые в костях, обнаруженных археологами, древних текстах и остатках на зубах и глиняной посуде.
Первая разгадка касается предположительно мужского скелета возрастом 5000 лет, обнаруженного в 2008 году возле Севильи, Испания. Новый анализ эмали зубов, содержащей половоспецифичный пептид амелогенин, показал, что останки принадлежат женщине. Этот вывод подтверждает слова профессора Леонардо Гарсиа Санхуана из Университета Севильи, который заявил, что такая техника откроет новую эру в анализе социальной организации доисторических обществ.
Другая тайна связана с прочностью римского бетона, демонстрирующего удивительную долговечность по сравнению с современными аналогами. Исследователи обнаружили, что белые кусочки в бетоне, ранее считавшиеся признаком плохого качества, на самом деле способствовали самовосстановлению материала.
Третья загадка касается внешнего вида Человека из льда — Этци, чье мумифицированное тело было найдено в 1991 году в Альпах. Новый анализ ДНК показал, что Этци имел темную кожу и темные глаза и, вероятно, был лысым.
Также учёные выяснили, что 20-тысячелетний кулон из оленьей кости, найденный в пещере Денисова в Сибири, принадлежал женщине из группы Древних Североевразийцев. Особенностью находки является сохранение большого количества ДНК женщины в пористой структуре кулона.
Использование ИИ и компьютерной томографии позволило студенту из Университета Небраски Люку Фарритору расшифровать слово на одном из обугленных свитков, найденных после извержения Везувия почти 2000 лет назад. Он смог прочитать слово "πορφυρας" (пурпур).
IT Дайджест / IT Новости / IT / Технологии
👍6
Хакеры проводят кибератаки для кражи резервных кодов Instagram, что позволяет обходить 2FA
Этот новый метод обмана начал распространяться в рамках фишинговой кампании, в которой злоумышленники отправляют электронные письма, имитирующие сообщения «о нарушениях авторских прав».
Цель этих писем — украсть резервные коды социальной сети Instagram*, что позволяет хакерам обойти установленную двухфакторную аутентификацию на учетной записи пользователя, как сообщает известное издание Bleeping Computer.
Двухфакторная аутентификация – это метод защиты учетных записей, требующий от пользователей ввода дополнительной формы подтверждения при входе.
Это может быть одноразовый пароль, отправленный через SMS, коды из приложения аутентификации или использование аппаратных ключей безопасности. В Instagram*, при активации двухфакторной аутентификации, пользователю предоставляются восьмизначные резервные коды.
Они могут быть использованы для восстановления доступа к учетным записям, если доступ к основному методу подтверждения невозможен, например, из-за смены номера телефона или потери доступа к электронной почте. Специалисты по информационной безопасности из компании Trustwave обнаружили новые хакерские атаки, направленные на кражу этих резервных кодов.
В фишинговых письмах злоумышленники выдают себя за корпорацию Meta*, владеющую Instagram*, и утверждают, что пользователь якобы нарушил авторские права. В письме предлагается заполнить форму апелляции для решения проблемы.
Когда жертва нажимает на предложенную ссылку, она попадает на фишинговый сайт, который маскируется под портал нарушений Meta*. На этом сайте жертве предлагается нажать на кнопку, ведущую к форме подтверждения.
Это действие перенаправляет на другую фишинговую страницу, имитирующую «Апелляционный центр» Meta*, где от жертвы требуется ввести свое имя пользователя и пароль. После перехвата этих данных, фишинговый сайт запрашивает у жертвы информацию о наличии защиты учетной записи через 2FA.
IT Дайджест / IT Новости / IT / Технологии
Этот новый метод обмана начал распространяться в рамках фишинговой кампании, в которой злоумышленники отправляют электронные письма, имитирующие сообщения «о нарушениях авторских прав».
Цель этих писем — украсть резервные коды социальной сети Instagram*, что позволяет хакерам обойти установленную двухфакторную аутентификацию на учетной записи пользователя, как сообщает известное издание Bleeping Computer.
Двухфакторная аутентификация – это метод защиты учетных записей, требующий от пользователей ввода дополнительной формы подтверждения при входе.
Это может быть одноразовый пароль, отправленный через SMS, коды из приложения аутентификации или использование аппаратных ключей безопасности. В Instagram*, при активации двухфакторной аутентификации, пользователю предоставляются восьмизначные резервные коды.
Они могут быть использованы для восстановления доступа к учетным записям, если доступ к основному методу подтверждения невозможен, например, из-за смены номера телефона или потери доступа к электронной почте. Специалисты по информационной безопасности из компании Trustwave обнаружили новые хакерские атаки, направленные на кражу этих резервных кодов.
В фишинговых письмах злоумышленники выдают себя за корпорацию Meta*, владеющую Instagram*, и утверждают, что пользователь якобы нарушил авторские права. В письме предлагается заполнить форму апелляции для решения проблемы.
Когда жертва нажимает на предложенную ссылку, она попадает на фишинговый сайт, который маскируется под портал нарушений Meta*. На этом сайте жертве предлагается нажать на кнопку, ведущую к форме подтверждения.
Это действие перенаправляет на другую фишинговую страницу, имитирующую «Апелляционный центр» Meta*, где от жертвы требуется ввести свое имя пользователя и пароль. После перехвата этих данных, фишинговый сайт запрашивает у жертвы информацию о наличии защиты учетной записи через 2FA.
IT Дайджест / IT Новости / IT / Технологии
👍4👏2
Ubisoft подверглась очередному взлому
Известный французский разработчик и издатель видеоигр Ubisoft подтвердил факт кибератаки, которая привела к временным нарушениям в работе их игр, систем и сервисов.
По информации от VX-Underground, 20 декабря компанию атаковал неизвестный хакер, получивший доступ к внутренним системам Ubisoft на примерно 48 часов. Хакер пытался вывести около 900 ГБ данных, но потерял доступ до того, как это удалось сделать. Компания приступила к расследованию инцидента и в качестве меры предосторожности провела сброс паролей для всего персонала.
Ubisoft сообщила , что они расследуют предполагаемый инцидент с безопасностью данных после того, как группа исследователей безопасности VX-Underground поделилась скриншотами того, что, по-видимому, является внутренними службами компании.
В рамках этого предполагаемого взлома злоумышленник заявил, что получил доступ к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, поделившись скриншотами своего доступа к некоторым из этих сервисов.
MongoDB Atlas недавно сообщила о взломе своих систем, но, судя по их раскрытию, этот инцидент не связан с этим.
Злоумышленники сообщили vx-underground, что они пытались украсть пользовательские данные Rainbow 6 Siege, но были обнаружены и лишены доступа прежде, чем смогли это сделать.
Ранее в 2020 году компания Ubisoft подверглась взлому со стороны банды-вымогателя Egregor, которая опубликовала части исходного кода игры Ubisoft Watch Dogs. В 2022 году компания пострадала от второго взлома, который нарушил работу ее игр, систем и сервисов.
IT Дайджест / IT Новости / IT / Технологии
Известный французский разработчик и издатель видеоигр Ubisoft подтвердил факт кибератаки, которая привела к временным нарушениям в работе их игр, систем и сервисов.
По информации от VX-Underground, 20 декабря компанию атаковал неизвестный хакер, получивший доступ к внутренним системам Ubisoft на примерно 48 часов. Хакер пытался вывести около 900 ГБ данных, но потерял доступ до того, как это удалось сделать. Компания приступила к расследованию инцидента и в качестве меры предосторожности провела сброс паролей для всего персонала.
Ubisoft сообщила , что они расследуют предполагаемый инцидент с безопасностью данных после того, как группа исследователей безопасности VX-Underground поделилась скриншотами того, что, по-видимому, является внутренними службами компании.
В рамках этого предполагаемого взлома злоумышленник заявил, что получил доступ к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, поделившись скриншотами своего доступа к некоторым из этих сервисов.
MongoDB Atlas недавно сообщила о взломе своих систем, но, судя по их раскрытию, этот инцидент не связан с этим.
Злоумышленники сообщили vx-underground, что они пытались украсть пользовательские данные Rainbow 6 Siege, но были обнаружены и лишены доступа прежде, чем смогли это сделать.
Ранее в 2020 году компания Ubisoft подверглась взлому со стороны банды-вымогателя Egregor, которая опубликовала части исходного кода игры Ubisoft Watch Dogs. В 2022 году компания пострадала от второго взлома, который нарушил работу ее игр, систем и сервисов.
IT Дайджест / IT Новости / IT / Технологии
👍6❤1
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Zmap-ProxyScanner
2. Шпаргалка по командам netcat в Linux
3. Cracker-Tool
4. Самые важные команды Unix-подобных ОС/объемное руководство по командной строке Windows
5. 70 ключевых команд Linux
6. Как общаться в мессенджерах без интернета: 5 сервисов
7. Wstunnel
8. NetExec
9. Топ 5 сервисов с трансляциями онлайн камер
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Zmap-ProxyScanner
2. Шпаргалка по командам netcat в Linux
3. Cracker-Tool
4. Самые важные команды Unix-подобных ОС/объемное руководство по командной строке Windows
5. 70 ключевых команд Linux
6. Как общаться в мессенджерах без интернета: 5 сервисов
7. Wstunnel
8. NetExec
9. Топ 5 сервисов с трансляциями онлайн камер
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
🔥3❤1👍1
В Роскомнадзоре заявили, что обезличенные данные могут быть восстановлены
Обезличенные персональные данные всё равно могут охарактеризовать человека, а при наличии дополнительной информации и прямо на него указать. Кроме того, их можно восстановить с помощью специальных ресурсов и знаний, отметил замглавы Роскомнадзора Милош Вагнер.
«Персональные данные, которые получены в результате обезличивания, остаются персональными. И формально, и юридически, потому что всё ещё характеризуют человека. А с дополнительной информацией и прямо на него указывают. В то же время обезличивание снижает риски того, что данные будут использованы против него — требуется время, ресурс и знания для того, чтобы восстановить эти данные», — сказал он.
По словам Вагнера, с одной стороны, такая информация должна продолжать регулироваться законодательством о персональных данных. С другой стороны, разработчики информационных технологий заявляли о потребности в таких данных, поэтому доступ к ним все же должен быть открыт. Оба эти пункта учитывает законопроект об обезличивании персональных данных, обсуждение которого прошло в Госдуме. «Законопроект поддерживаем», — добавил замглавы ведомства.
Ранее о том, что закон об обезличивании персональных данных могут принять в России до конца 2023 года, заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов.
Поправки к закону «О персональных данных» внесли в Госдуму в 2020 году. Минцифры в 2023 году разработало очередную версию поправок к закону, которые изначально должны были определить принципы работы бизнеса с обезличенной личной информацией.
IT Дайджест / IT Новости / IT / Технологии
Обезличенные персональные данные всё равно могут охарактеризовать человека, а при наличии дополнительной информации и прямо на него указать. Кроме того, их можно восстановить с помощью специальных ресурсов и знаний, отметил замглавы Роскомнадзора Милош Вагнер.
«Персональные данные, которые получены в результате обезличивания, остаются персональными. И формально, и юридически, потому что всё ещё характеризуют человека. А с дополнительной информацией и прямо на него указывают. В то же время обезличивание снижает риски того, что данные будут использованы против него — требуется время, ресурс и знания для того, чтобы восстановить эти данные», — сказал он.
По словам Вагнера, с одной стороны, такая информация должна продолжать регулироваться законодательством о персональных данных. С другой стороны, разработчики информационных технологий заявляли о потребности в таких данных, поэтому доступ к ним все же должен быть открыт. Оба эти пункта учитывает законопроект об обезличивании персональных данных, обсуждение которого прошло в Госдуме. «Законопроект поддерживаем», — добавил замглавы ведомства.
Ранее о том, что закон об обезличивании персональных данных могут принять в России до конца 2023 года, заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов.
Поправки к закону «О персональных данных» внесли в Госдуму в 2020 году. Минцифры в 2023 году разработало очередную версию поправок к закону, которые изначально должны были определить принципы работы бизнеса с обезличенной личной информацией.
IT Дайджест / IT Новости / IT / Технологии
👎6👍4🤔4💯1
Новое направление языка Nim: распространение бэкдора для шпионажа
Свойство языка позволяют внедряться в систему и чувствовать себя как дома.
В новой фишинговой кампании используются документы-приманки в формате Word для доставки вредоносного ПО, написанного на языке программирования Nim. Компания Netskope подчеркивает , что вредоносное ПО, написанное на нестандартных языках, создаёт трудности для ИБ-специалистов из-за недостатка опыта в обращении с ними.
В последние годы замечено возрастание интереса к Nim среди злоумышленников, которые либо создают новые инструменты с нуля на этом языке, либо переносят существующие версии своих вредоносных программ. Примеры включают загрузчики, такие как NimzaLoader, Nimbda, IceXLoader, и семейства вымогательских программ Dark Power и Kanti.
Обнаруженная атака начинается с фишингового письма, содержащего вложение в виде документа Word, который несет в себе бэкдор под названием «conhost.exe». Вредоносная программа написана на Nim и, вероятно, была скомпилирована 20 сентября 2023 года. Документ при открытии предлагает включить макросы для активации вредоносного ПО. Отправитель письма маскируется под официального представителя правительства Непала.
После запуска вредоносное ПО сканирует активные процессы, чтобы выявить наличие инструментов анализа на заражённом хосте и немедленно завершает работу, если обнаруживает их. В противном случае, оно устанавливает связь с удалённым сервером, маскирующимся под домен правительства Непала, включая домен национального центра информационных технологий (National Information Technology Center, NITC), и ожидает дальнейших инструкций.
Примечательно, что бэкдор работает с теми же привилегиями, что и текущий пользователь, вошедший в систему. Если вредоносное ПО остается незамеченным, киберпреступники получают удаленный доступ к устройству.
IT Дайджест / IT Новости / IT / Технологии
Свойство языка позволяют внедряться в систему и чувствовать себя как дома.
В новой фишинговой кампании используются документы-приманки в формате Word для доставки вредоносного ПО, написанного на языке программирования Nim. Компания Netskope подчеркивает , что вредоносное ПО, написанное на нестандартных языках, создаёт трудности для ИБ-специалистов из-за недостатка опыта в обращении с ними.
В последние годы замечено возрастание интереса к Nim среди злоумышленников, которые либо создают новые инструменты с нуля на этом языке, либо переносят существующие версии своих вредоносных программ. Примеры включают загрузчики, такие как NimzaLoader, Nimbda, IceXLoader, и семейства вымогательских программ Dark Power и Kanti.
Обнаруженная атака начинается с фишингового письма, содержащего вложение в виде документа Word, который несет в себе бэкдор под названием «conhost.exe». Вредоносная программа написана на Nim и, вероятно, была скомпилирована 20 сентября 2023 года. Документ при открытии предлагает включить макросы для активации вредоносного ПО. Отправитель письма маскируется под официального представителя правительства Непала.
После запуска вредоносное ПО сканирует активные процессы, чтобы выявить наличие инструментов анализа на заражённом хосте и немедленно завершает работу, если обнаруживает их. В противном случае, оно устанавливает связь с удалённым сервером, маскирующимся под домен правительства Непала, включая домен национального центра информационных технологий (National Information Technology Center, NITC), и ожидает дальнейших инструкций.
Примечательно, что бэкдор работает с теми же привилегиями, что и текущий пользователь, вошедший в систему. Если вредоносное ПО остается незамеченным, киберпреступники получают удаленный доступ к устройству.
IT Дайджест / IT Новости / IT / Технологии
🔥5❤1👍1💯1
Звонок от «сотрудников спецслужб» загнал доверчивую пенсионерку за решетку на 5 лет
Суд признал виновной в террористическом акте (ч. 1 ст. 205 УК РФ) 61-летнюю Надежду Корнилову, которая подожгла здание военного комиссариата Усинска с помощью коктейлей Молотова. Ей назначили пять лет лишения свободы, сообщает ТАСС со ссылкой на Второй Западный окружной военный суд.
По данным агентства, Корнилова не признала мотив и цель своих действий, но подтвердила, что изготовила и бросила две бутылки с легковоспламеняющейся жидкостью в крыльцо и дверь военкомата 11 апреля. При этом она снимала происходящее на камеру мобильного телефона и кричала проукраинские лозунги. Сотрудники военкомата задержали женщину, а суд отправил ее в СИЗО.
Корнилова утверждала, что действовала по указаниям сотрудников правоохранительных органов и банка, которые звонили ей по телефону. Они якобы сказали ей, что в здании военкомата находится преступник, который хочет похитить ее деньги, и что поджог необходим для его задержания.
Суд принял во внимание активное способствование Корниловой раскрытию и расследованию преступления в качестве смягчающего обстоятельства. Прокурор требовал для подсудимой 12 лет лишения свободы.
Изначально Корниловой предъявляли обвинение в покушении на совершение террористического акта (ч. 3 ст. 30, ч. 1 ст. 205 УК РФ), но позднее его заменили на совершение теракта.
IT Дайджест / IT Новости / IT / Технологии
Суд признал виновной в террористическом акте (ч. 1 ст. 205 УК РФ) 61-летнюю Надежду Корнилову, которая подожгла здание военного комиссариата Усинска с помощью коктейлей Молотова. Ей назначили пять лет лишения свободы, сообщает ТАСС со ссылкой на Второй Западный окружной военный суд.
По данным агентства, Корнилова не признала мотив и цель своих действий, но подтвердила, что изготовила и бросила две бутылки с легковоспламеняющейся жидкостью в крыльцо и дверь военкомата 11 апреля. При этом она снимала происходящее на камеру мобильного телефона и кричала проукраинские лозунги. Сотрудники военкомата задержали женщину, а суд отправил ее в СИЗО.
Корнилова утверждала, что действовала по указаниям сотрудников правоохранительных органов и банка, которые звонили ей по телефону. Они якобы сказали ей, что в здании военкомата находится преступник, который хочет похитить ее деньги, и что поджог необходим для его задержания.
Суд принял во внимание активное способствование Корниловой раскрытию и расследованию преступления в качестве смягчающего обстоятельства. Прокурор требовал для подсудимой 12 лет лишения свободы.
Изначально Корниловой предъявляли обвинение в покушении на совершение террористического акта (ч. 3 ст. 30, ч. 1 ст. 205 УК РФ), но позднее его заменили на совершение теракта.
IT Дайджест / IT Новости / IT / Технологии
🤡7👍4💯1
LONEPAGE: новый бэкдор, похищающий данные с помощью WinRAR
Зарубежные сотрудники стали жертвами кампании с уязвимыми версиями WinRAR
Киберпреступная группа UAC-0099 продолжает атаковать Украину, используя уязвимость в WinRAR для распространения вредоносного ПО LONEPAGE.
По данным ИБ-компании Deep Instinct, основной целью атак являются украинские сотрудники, работающие за пределами страны. Группа UAC-0099 была впервые зафиксирована Командой быстрого реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) в июне 2023 года. Отмечалось, что атаки направлены на государственные организации и СМИ с целью шпионажа. Группировка UAC-0099 также в 2022-2023 годах получила несанкционированный удаленный доступ к десяткам компьютеров в Украине.
Атаки осуществляются с помощью фишинговых сообщений, содержащих вложения HTA, RAR и LNK, которые приводят к развертыванию LONEPAGE — вредоносного ПО на Visual Basic Script (VBS), способного связываться с сервером управления для получения дополнительных вредоносных программ, таких как кейлоггеры, инфостилеры и программы для создания скриншотов.
Последний анализ Deep Instinct показывает, что использование вложений HTA — это лишь один из трех различных способов заражения. Другие два включают самораспаковывающиеся архивы (self-extracting, SFX) и ZIP-архивы с документы-приманками. ZIP-файлы для распространения LONEPAGE используют уязвимость WinRAR ( CVE-2023-38831 , оценка CVSS: 7.8), позволяющую злоумышленникам выполнять произвольный код при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В одном из случаев SFX-файл содержит ярлык LNK, замаскированный под файл DOCX с повесткой в суд, и использует значок Microsoft WordPad, чтобы побудить жертву открыть его. Атака приводит к выполнению вредоносного кода PowerShell и установке LONEPAGE.
Другая атака использует специально созданный ZIP-архив, уязвимый для CVE-2023-38831.
IT Дайджест / IT Новости / IT / Технологии
Зарубежные сотрудники стали жертвами кампании с уязвимыми версиями WinRAR
Киберпреступная группа UAC-0099 продолжает атаковать Украину, используя уязвимость в WinRAR для распространения вредоносного ПО LONEPAGE.
По данным ИБ-компании Deep Instinct, основной целью атак являются украинские сотрудники, работающие за пределами страны. Группа UAC-0099 была впервые зафиксирована Командой быстрого реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) в июне 2023 года. Отмечалось, что атаки направлены на государственные организации и СМИ с целью шпионажа. Группировка UAC-0099 также в 2022-2023 годах получила несанкционированный удаленный доступ к десяткам компьютеров в Украине.
Атаки осуществляются с помощью фишинговых сообщений, содержащих вложения HTA, RAR и LNK, которые приводят к развертыванию LONEPAGE — вредоносного ПО на Visual Basic Script (VBS), способного связываться с сервером управления для получения дополнительных вредоносных программ, таких как кейлоггеры, инфостилеры и программы для создания скриншотов.
Последний анализ Deep Instinct показывает, что использование вложений HTA — это лишь один из трех различных способов заражения. Другие два включают самораспаковывающиеся архивы (self-extracting, SFX) и ZIP-архивы с документы-приманками. ZIP-файлы для распространения LONEPAGE используют уязвимость WinRAR ( CVE-2023-38831 , оценка CVSS: 7.8), позволяющую злоумышленникам выполнять произвольный код при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В одном из случаев SFX-файл содержит ярлык LNK, замаскированный под файл DOCX с повесткой в суд, и использует значок Microsoft WordPad, чтобы побудить жертву открыть его. Атака приводит к выполнению вредоносного кода PowerShell и установке LONEPAGE.
Другая атака использует специально созданный ZIP-архив, уязвимый для CVE-2023-38831.
IT Дайджест / IT Новости / IT / Технологии
👍4❤2🔥2
Wall of Flippers: борьба с Bluetooth-спамом на медицинские устройства
Проект позволяет привлечь виновника к ответственности за сбои в жизненно важном оборудовании.
Новый проект на Python под названием Wall of Flippers предназначен для обнаружения атак Bluetooth-спама, исходящих от устройств Flipper Zero и Android.
Ранее стало известно о новой атаке Bluetooth LE (Bluetooth Low Energy, BLE) с помощью Flipper Zero, в ходе которой устройства Apple получали ложные уведомления о подключении по Bluetooth. Однако вскоре другие разработчики создали специальную прошивку для Flipper Zero, позволяющую осуществлять спам-атаки на смартфоны Android и ноутбуки Windows. Затем разработчик Саймон Данкельманн адаптировал атаку для приложения на Android, что позволило проводить атаки без использования Flipper Zero.
Посетители конференции Midwest FurFest 2023 ощутили на себе последствия этих атак. Многие столкнулись с проблемами в работе платежных терминалов Square, а в некоторых случаях возникли более серьезные угрозы, например, сбои в работе контроллеров инсулиновых помп. Пользователи слуховых аппаратов и устройств для мониторинга сердечного ритма также сообщали о нарушениях.
Исследователь из компании Greynoise под ником «remy» поделился информацией о рисках таких атак. Он предупредил, что BLE-спам может серьезно повлиять на здоровье жертв. Для медицинского оборудования с поддержкой BTLE даже незначительные нарушения могут ухудшить качество жизни пострадавших.
Хотя некоторые утверждают, что Apple тихо ввела меры противодействия атакам BLE в iOS 17.2, в Android эта проблема пока не решена. BleepingComputer провела тесты и обнаружила, что спам BLE с Android-устройства на iOS-устройства все еще работает после установки iOS 17.2. От Google пока не поступило ответа о планах по решению этой проблемы.
Проект Wall of Flippers (WoF) нацелен на обнаружение атакующих, проводящих спам-атаки Bluetooth LE, чтобы жертвы могли оперативно реагировать.
IT Дайджест / IT Новости / IT / Технологии
Проект позволяет привлечь виновника к ответственности за сбои в жизненно важном оборудовании.
Новый проект на Python под названием Wall of Flippers предназначен для обнаружения атак Bluetooth-спама, исходящих от устройств Flipper Zero и Android.
Ранее стало известно о новой атаке Bluetooth LE (Bluetooth Low Energy, BLE) с помощью Flipper Zero, в ходе которой устройства Apple получали ложные уведомления о подключении по Bluetooth. Однако вскоре другие разработчики создали специальную прошивку для Flipper Zero, позволяющую осуществлять спам-атаки на смартфоны Android и ноутбуки Windows. Затем разработчик Саймон Данкельманн адаптировал атаку для приложения на Android, что позволило проводить атаки без использования Flipper Zero.
Посетители конференции Midwest FurFest 2023 ощутили на себе последствия этих атак. Многие столкнулись с проблемами в работе платежных терминалов Square, а в некоторых случаях возникли более серьезные угрозы, например, сбои в работе контроллеров инсулиновых помп. Пользователи слуховых аппаратов и устройств для мониторинга сердечного ритма также сообщали о нарушениях.
Исследователь из компании Greynoise под ником «remy» поделился информацией о рисках таких атак. Он предупредил, что BLE-спам может серьезно повлиять на здоровье жертв. Для медицинского оборудования с поддержкой BTLE даже незначительные нарушения могут ухудшить качество жизни пострадавших.
Хотя некоторые утверждают, что Apple тихо ввела меры противодействия атакам BLE в iOS 17.2, в Android эта проблема пока не решена. BleepingComputer провела тесты и обнаружила, что спам BLE с Android-устройства на iOS-устройства все еще работает после установки iOS 17.2. От Google пока не поступило ответа о планах по решению этой проблемы.
Проект Wall of Flippers (WoF) нацелен на обнаружение атакующих, проводящих спам-атаки Bluetooth LE, чтобы жертвы могли оперативно реагировать.
IT Дайджест / IT Новости / IT / Технологии
🔥3👍1💯1
Европол обнаружил веб-скиммеры в 443 онлайн-магазинах
Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.
Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.
Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.
Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов).
Как теперь сообщают специалисты, в ходе двухмесячной международной операции, координируемой Европолом и возглавляемой властями Греции, правоохранительные органы из 17 стран мира (включая США, Великобританию, Германию, Колумбию, Испанию, Нидерланды и так далее), а также частные ИБ-компании, включая Group-IB и Sansec, обнаружили заражение веб-скиммерами на 443 сайтах.
Дополнительными подробностями этой операции поделилась компания Group-IB, сообщившая, что обнаружила 23 различных семейства JavaScript-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin.
Исследователи пишут, что эти вредоносы отличаются скрытным поведением, например, используют Google Tag Manager для обновлений и имитируют код Google Analytics, чтобы избежать обнаружения при проверке кода сайта.
IT Дайджест / IT Новости / IT / Технологии
Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.
Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.
Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.
Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов).
Как теперь сообщают специалисты, в ходе двухмесячной международной операции, координируемой Европолом и возглавляемой властями Греции, правоохранительные органы из 17 стран мира (включая США, Великобританию, Германию, Колумбию, Испанию, Нидерланды и так далее), а также частные ИБ-компании, включая Group-IB и Sansec, обнаружили заражение веб-скиммерами на 443 сайтах.
Дополнительными подробностями этой операции поделилась компания Group-IB, сообщившая, что обнаружила 23 различных семейства JavaScript-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin.
Исследователи пишут, что эти вредоносы отличаются скрытным поведением, например, используют Google Tag Manager для обновлений и имитируют код Google Analytics, чтобы избежать обнаружения при проверке кода сайта.
IT Дайджест / IT Новости / IT / Технологии
👍6❤1👌1
Группа Cyber Toufan ежедневно сливает до 16 Гб данных 49 крупнейших израильских компаний
Исследователи считают, что иранские хакеры «убивают двух зайцев», целясь еще и в США.
Как сообщает платформа киберразведки FalconFeedsio , недавно появившаяся иранская хакерская группировка Cyber Toufan опубликовала в сети похищенные данные 49 израильских компаний. По мнению экспертов, причиной массового хищения информации стал взлом организации Signature-IT, предоставляющей услуги хостинга около 40 фирмам по всей стране.
Cyber Toufan впервые заявила о себе 16 ноября 2023 года и с тех пор взяла на себя ответственность за взломы ряда крупных организаций. В частности, злоумышленники утверждают, что уничтожили более 1000 серверов и баз данных.
По данным FalconFeedsio, среди жертв этой утечки оказались Министерство инноваций, науки и технологии Израиля, Toyota Israel, Министерство социального обеспечения, IKEA Israel и многие другие.
Злоумышленники получили доступ к огромным массивам конфиденциальной информации компаний и госструктур. Каждый день они выкладывают в своем Telegram-канале архивы объемом от 700 Мб до 16 Гб, содержащие миллионы записей.
По мнению экспертов из компании Check Point Software Technologies , атакованные IT-фирмы стали целью хакеров не случайно. Некоторые из них работают на американский рынок и оказывают услуги зарубежным организациям. Например, Radware поставляет свои решения многим крупным компаниям в США.
Следовательно, взламывая эти израильские фирмы, иранские хакеры одновременно наносят ущерб и их американским клиентам, таким образом «убивая двух зайцев» — своих противников.
IT Дайджест / IT Новости / IT / Технологии
Исследователи считают, что иранские хакеры «убивают двух зайцев», целясь еще и в США.
Как сообщает платформа киберразведки FalconFeedsio , недавно появившаяся иранская хакерская группировка Cyber Toufan опубликовала в сети похищенные данные 49 израильских компаний. По мнению экспертов, причиной массового хищения информации стал взлом организации Signature-IT, предоставляющей услуги хостинга около 40 фирмам по всей стране.
Cyber Toufan впервые заявила о себе 16 ноября 2023 года и с тех пор взяла на себя ответственность за взломы ряда крупных организаций. В частности, злоумышленники утверждают, что уничтожили более 1000 серверов и баз данных.
По данным FalconFeedsio, среди жертв этой утечки оказались Министерство инноваций, науки и технологии Израиля, Toyota Israel, Министерство социального обеспечения, IKEA Israel и многие другие.
Злоумышленники получили доступ к огромным массивам конфиденциальной информации компаний и госструктур. Каждый день они выкладывают в своем Telegram-канале архивы объемом от 700 Мб до 16 Гб, содержащие миллионы записей.
По мнению экспертов из компании Check Point Software Technologies , атакованные IT-фирмы стали целью хакеров не случайно. Некоторые из них работают на американский рынок и оказывают услуги зарубежным организациям. Например, Radware поставляет свои решения многим крупным компаниям в США.
Следовательно, взламывая эти израильские фирмы, иранские хакеры одновременно наносят ущерб и их американским клиентам, таким образом «убивая двух зайцев» — своих противников.
IT Дайджест / IT Новости / IT / Технологии
👍5❤1💯1