Хак-группа Volt Typhoon провела более пяти лет в сетях критически важных организаций США
Китайская группа кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет, говорится в совместном заявлении CISA, АНБ, ФБР и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих атаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
«Недавно американские правительственные ведомства обнаружили признаки того, что злоумышленники Volt Typhoon сохраняли доступ и позиции в некоторых ИТ-средах жертв в течение как минимум пяти лет, — гласит заявление. — Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы собрать информацию о целевой организации и ее окружении, адаптируют свои тактики к окружению жертвы, а также выделяют ресурсы для сохранения доступа и понимания целевой среды на протяжении долгого времени после изначальной компрометации».
Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации. Названия пострадавших организаций не раскрываются.
Полученный доступ позволял хакерам провоцировать различные сбои, например «манипулировать системами отопления, вентиляции и кондиционирования воздуха (HVAC) в серверных или нарушать работу критически важных систем управления энергоснабжением и водоснабжением.
IT Дайджест / IT Новости / IT / Технологии
Китайская группа кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет, говорится в совместном заявлении CISA, АНБ, ФБР и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих атаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
«Недавно американские правительственные ведомства обнаружили признаки того, что злоумышленники Volt Typhoon сохраняли доступ и позиции в некоторых ИТ-средах жертв в течение как минимум пяти лет, — гласит заявление. — Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы собрать информацию о целевой организации и ее окружении, адаптируют свои тактики к окружению жертвы, а также выделяют ресурсы для сохранения доступа и понимания целевой среды на протяжении долгого времени после изначальной компрометации».
Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации. Названия пострадавших организаций не раскрываются.
Полученный доступ позволял хакерам провоцировать различные сбои, например «манипулировать системами отопления, вентиляции и кондиционирования воздуха (HVAC) в серверных или нарушать работу критически важных систем управления энергоснабжением и водоснабжением.
IT Дайджест / IT Новости / IT / Технологии
👍3❤1🔥1
Взлом эфира: как собрать цифровой сканер за 250 долларов
Из гаража в массы — история одного изобретения.
В последнее время прослушка радиоперехватов полиции и пожарных стало не таким уж простым делом. Раньше достаточно было приобрести сканер, настроить частоты, и можно было наслаждаться процессом. Однако с развитием технологий, таких как транкинговое радио и цифровая модуляция, потребовалось всё более сложное оборудование, стоимость которого может быть весьма высокой.
Отказавшись смириться с завышенными ценами, энтузиаст, известный под псевдонимом Top DNG, самостоятельно создал цифровой сканер с поддержкой транкинга, минимизировав затраты. В качестве основы для своего устройства он использовал USB-тюнер RTL-SDR и мини-компьютер Raspberry Pi 5, настроенный в безголовом режиме для работы с программой sdrtrunk. Данная конфигурация обеспечивает мониторинг управляющих и частотных каналов транкинговых радиосистем, а также возможность декодирования цифровой модуляции P25, при условии отсутствия шифрования.
Помимо этого, приёмник оснащён небольшим сенсорным экраном HDMI и может питаться через USB, что делает его портативным. Самое приятное, что все компоненты можно приобрести примерно за 250 долларов, что значительно дешевле, чем стоимость специализированных цифровых сканеров, ценник на которые может достигать 600 долларов.
Второе видео содержит полную информацию и пошаговое описание сборки от начала до конца. В дополнение к экономии, создатель проекта подчеркивает необходимость использования радиатора и вентилятора для охлаждения Raspberry Pi, так как программа sdrtrunk интенсивно использует ресурсы мини-компьютера. Также рекомендуется обзавестись качественной антенной для улучшения приёма, особенно если вы находитесь в местности с плотным расположением радиовышек, как, например, в Лос-Анджелесе.
IT Дайджест / IT Новости / IT / Технологии
Из гаража в массы — история одного изобретения.
В последнее время прослушка радиоперехватов полиции и пожарных стало не таким уж простым делом. Раньше достаточно было приобрести сканер, настроить частоты, и можно было наслаждаться процессом. Однако с развитием технологий, таких как транкинговое радио и цифровая модуляция, потребовалось всё более сложное оборудование, стоимость которого может быть весьма высокой.
Отказавшись смириться с завышенными ценами, энтузиаст, известный под псевдонимом Top DNG, самостоятельно создал цифровой сканер с поддержкой транкинга, минимизировав затраты. В качестве основы для своего устройства он использовал USB-тюнер RTL-SDR и мини-компьютер Raspberry Pi 5, настроенный в безголовом режиме для работы с программой sdrtrunk. Данная конфигурация обеспечивает мониторинг управляющих и частотных каналов транкинговых радиосистем, а также возможность декодирования цифровой модуляции P25, при условии отсутствия шифрования.
Помимо этого, приёмник оснащён небольшим сенсорным экраном HDMI и может питаться через USB, что делает его портативным. Самое приятное, что все компоненты можно приобрести примерно за 250 долларов, что значительно дешевле, чем стоимость специализированных цифровых сканеров, ценник на которые может достигать 600 долларов.
Второе видео содержит полную информацию и пошаговое описание сборки от начала до конца. В дополнение к экономии, создатель проекта подчеркивает необходимость использования радиатора и вентилятора для охлаждения Raspberry Pi, так как программа sdrtrunk интенсивно использует ресурсы мини-компьютера. Также рекомендуется обзавестись качественной антенной для улучшения приёма, особенно если вы находитесь в местности с плотным расположением радиовышек, как, например, в Лос-Анджелесе.
IT Дайджест / IT Новости / IT / Технологии
👍3❤2💯2
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статей
2. Большая коллекция примеров старых и новых вредоносных программ со скриншотами и описанием.
3. Розыгрыш 10-ти премиум подписок.
4. Как мошенники научились подтверждать личность в банке
5. Подборка ресурсов по поиску уязвимостей
6. Продвинутый инструмент поиска эксплойтов
7. SOC - страшный сон хакера или как я работал в SOC'e
8. Практический гайд по регулярным выражениям
9. Список полезных ресурсов для пентестеров и хакеров
10. Утилита, которая сканирует APK-файлы на предмет URI, API-эндпоинтов и секретов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статей
2. Большая коллекция примеров старых и новых вредоносных программ со скриншотами и описанием.
3. Розыгрыш 10-ти премиум подписок.
4. Как мошенники научились подтверждать личность в банке
5. Подборка ресурсов по поиску уязвимостей
6. Продвинутый инструмент поиска эксплойтов
7. SOC - страшный сон хакера или как я работал в SOC'e
8. Практический гайд по регулярным выражениям
9. Список полезных ресурсов для пентестеров и хакеров
10. Утилита, которая сканирует APK-файлы на предмет URI, API-эндпоинтов и секретов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
👍2🔥2💯2
GST467: прорыв в области универсальной памяти сделает компьютеры в 100 раз быстрее
Познакомьтесь с материалом, который сделает устройства быстрее, долговечнее и энергоэффективнее.
Учёные совершили значительный прорыв в разработке универсальной компьютерной памяти, создав прототип, который обещает быть одновременно сверхбыстрым и энергоэффективным. Исследователи использовали совершенно новый материал под названием "GST467", состоящий из германия, сурьмы и тербия. Этот материал, применённый в структуре суперрешётки, может заменить как краткосрочную, так и долгосрочную память, при этом будучи быстрее, дешевле и менее требовательным к энергии, согласно исследованию, опубликованному в журнале Nature.
На сегодняшний день компьютеры используют краткосрочную память, такую как оперативная память (ОЗУ), и долгосрочную флеш-память — например, твердотельные накопители (SSD) или жёсткие диски. ОЗУ быстро работает, но требует постоянного питания, что приводит к потере данных при выключении компьютера. Флеш-память, в свою очередь, сохраняет данные без питания и занимает меньше места, но передача данных процессору происходит медленнее, чем в ОЗУ.
Новый прототип представляет собой фазово-переключаемую память (PCM), которая создаёт данные компьютера в виде единиц и нулей, переключаясь между состояниями высокого и низкого сопротивления на стеклоподобном материале. При кристаллизации материала, обозначающей "единицу", высвобождается большое количество энергии и сопротивление становится низким. При плавлении, обозначающем "ноль", материал поглощает такое же количество энергии и имеет высокое сопротивление.
Группа исследователей обнаружила, что GST467 является идеальным кандидатом для использования в PCM благодаря более высоким температурам кристаллизации и более низким температурам плавления по сравнению с другими альтернативами. Устройства памяти на основе GST467 демонстрируют высокие скорости работы при низком энергопотреблении.
IT Дайджест / IT Новости / IT / Технологии
Познакомьтесь с материалом, который сделает устройства быстрее, долговечнее и энергоэффективнее.
Учёные совершили значительный прорыв в разработке универсальной компьютерной памяти, создав прототип, который обещает быть одновременно сверхбыстрым и энергоэффективным. Исследователи использовали совершенно новый материал под названием "GST467", состоящий из германия, сурьмы и тербия. Этот материал, применённый в структуре суперрешётки, может заменить как краткосрочную, так и долгосрочную память, при этом будучи быстрее, дешевле и менее требовательным к энергии, согласно исследованию, опубликованному в журнале Nature.
На сегодняшний день компьютеры используют краткосрочную память, такую как оперативная память (ОЗУ), и долгосрочную флеш-память — например, твердотельные накопители (SSD) или жёсткие диски. ОЗУ быстро работает, но требует постоянного питания, что приводит к потере данных при выключении компьютера. Флеш-память, в свою очередь, сохраняет данные без питания и занимает меньше места, но передача данных процессору происходит медленнее, чем в ОЗУ.
Новый прототип представляет собой фазово-переключаемую память (PCM), которая создаёт данные компьютера в виде единиц и нулей, переключаясь между состояниями высокого и низкого сопротивления на стеклоподобном материале. При кристаллизации материала, обозначающей "единицу", высвобождается большое количество энергии и сопротивление становится низким. При плавлении, обозначающем "ноль", материал поглощает такое же количество энергии и имеет высокое сопротивление.
Группа исследователей обнаружила, что GST467 является идеальным кандидатом для использования в PCM благодаря более высоким температурам кристаллизации и более низким температурам плавления по сравнению с другими альтернативами. Устройства памяти на основе GST467 демонстрируют высокие скорости работы при низком энергопотреблении.
IT Дайджест / IT Новости / IT / Технологии
👍4❤2🔥2😍1
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT.
Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
IT Дайджест / IT Новости / IT / Технологии
Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT.
Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
IT Дайджест / IT Новости / IT / Технологии
Баг ExpressVPN более полутора лет раскрывал историю посещения веб-сайтов
Разработчики ExpressVPN убрали функцию раздельного туннелирования в последней версии приложения. Причина — выявленный недавно баг, из-за которого раскрывались некоторые DNS-запросы и, как следствие, история посещения веб-ресурсов.
Компания признаётся, что ошибка присутствовала в версиях с 12.23.1 по 12.72.0 включительно. Таким образом, ряд запросов сливался с 19 мая 2022 года по 7 февраля 2023-го.
Проблема затрагивала тех пользователей, которые включали раздельное туннелирование — функцию выборочной маршрутизации трафика как в VPN-туннеле, так и вне его.
Как правило, эта функциональность нужна для гибкой настройки клиента, где требуется как локальный, так и безопасный удалённый доступ.
Наличие бага приводило к тому, что пользователь не соединялся с инфраструктурой ExpressVPN, а направлялся к интернет-провайдеру. Обычно все DNS-запросы должны проходить через сервер ExpressVPN, который не хранит логи, чтобы не дать провайдерам и другим организациям отслеживать посещаемые пользователем домены.
Тем не менее ошибка конфигурация позволяла отдельным запросам отправляться на сервер провайдера, что открывало возможность для отслеживания привычек пользователей.
IT Дайджест / IT Новости / IT / Технологии
Разработчики ExpressVPN убрали функцию раздельного туннелирования в последней версии приложения. Причина — выявленный недавно баг, из-за которого раскрывались некоторые DNS-запросы и, как следствие, история посещения веб-ресурсов.
Компания признаётся, что ошибка присутствовала в версиях с 12.23.1 по 12.72.0 включительно. Таким образом, ряд запросов сливался с 19 мая 2022 года по 7 февраля 2023-го.
Проблема затрагивала тех пользователей, которые включали раздельное туннелирование — функцию выборочной маршрутизации трафика как в VPN-туннеле, так и вне его.
Как правило, эта функциональность нужна для гибкой настройки клиента, где требуется как локальный, так и безопасный удалённый доступ.
Наличие бага приводило к тому, что пользователь не соединялся с инфраструктурой ExpressVPN, а направлялся к интернет-провайдеру. Обычно все DNS-запросы должны проходить через сервер ExpressVPN, который не хранит логи, чтобы не дать провайдерам и другим организациям отслеживать посещаемые пользователем домены.
Тем не менее ошибка конфигурация позволяла отдельным запросам отправляться на сервер провайдера, что открывало возможность для отслеживания привычек пользователей.
IT Дайджест / IT Новости / IT / Технологии
👍3🤔3👏2😭1
Канада борется с кражами автомобилей и запрещает «хакерский тамагочи»
Российское устройство для копирования беспроводных сигналов под запретом с 1 марта 2024 года.
Канадское правительство объявило о запрете на импорт, продажу и использование Flipper Zero, российского устройства, разработанного Павлом Жовнером, которое позволяет копировать беспроводные сигналы для систем бесключевого доступа. Это мера предосторожности в связи с растущей угрозой автомобильных краж в стране.
Flipper Zero, также известный как «тамагочи для хакеров», является мультитулом для взлома различных беспроводных протоколов, таких как RFID, NFC, Bluetooth и др. Устройство имеет форму игрушки с экраном, на котором отображается анимированный дельфин, который реагирует на действия пользователя. Flipper Zero был успешно запущен на Kickstarter в 2020 году и собрал более 4,8 миллиона долларов от более 37 тысяч поддержавших проект.
Однако в Канаде такое устройство теперь считается незаконным, поскольку оно может использоваться для кражи автомобилей с системами бесключевого доступа. Такие системы позволяют водителю открывать и заводить автомобиль без физического ключа, но также увеличивают риск кражи, если сигнал будет перехвачен или скопирован хакерами.
Власти Канады заявили, что запрет на Flipper Zero вступит в силу с 1 марта 2024 года и будет действовать в рамках Закона о транспортной безопасности. Нарушители будут подвергаться штрафам до 25 тысяч долларов или тюремному заключению до шести месяцев. Кроме того, правительство инвестирует 28 миллионов долларов в усиление контроля за угнанными автомобилями и развитие технологий обнаружения и анализа.
IT Дайджест / IT Новости / IT / Технологии
Российское устройство для копирования беспроводных сигналов под запретом с 1 марта 2024 года.
Канадское правительство объявило о запрете на импорт, продажу и использование Flipper Zero, российского устройства, разработанного Павлом Жовнером, которое позволяет копировать беспроводные сигналы для систем бесключевого доступа. Это мера предосторожности в связи с растущей угрозой автомобильных краж в стране.
Flipper Zero, также известный как «тамагочи для хакеров», является мультитулом для взлома различных беспроводных протоколов, таких как RFID, NFC, Bluetooth и др. Устройство имеет форму игрушки с экраном, на котором отображается анимированный дельфин, который реагирует на действия пользователя. Flipper Zero был успешно запущен на Kickstarter в 2020 году и собрал более 4,8 миллиона долларов от более 37 тысяч поддержавших проект.
Однако в Канаде такое устройство теперь считается незаконным, поскольку оно может использоваться для кражи автомобилей с системами бесключевого доступа. Такие системы позволяют водителю открывать и заводить автомобиль без физического ключа, но также увеличивают риск кражи, если сигнал будет перехвачен или скопирован хакерами.
Власти Канады заявили, что запрет на Flipper Zero вступит в силу с 1 марта 2024 года и будет действовать в рамках Закона о транспортной безопасности. Нарушители будут подвергаться штрафам до 25 тысяч долларов или тюремному заключению до шести месяцев. Кроме того, правительство инвестирует 28 миллионов долларов в усиление контроля за угнанными автомобилями и развитие технологий обнаружения и анализа.
IT Дайджест / IT Новости / IT / Технологии
😁7👍4🤡1
Мошенники используют сохраненные голосовые в мессенджерах
ВТБ предупреждает о новой уловке мошенников, атакующих пользователей в мессенджерах. Злоумышленники взламывают аккаунт и копируют аудиосообщения жертвы, а затем с их помощью пытаются выманить деньги у ее знакомых.
Чтобы определить подходящую кандидатуру для развода, взломщики изучают переписку жертвы с родными, друзьями и коллегами. Выбрав тему (день рождения общего знакомого, планы на выходные и т. п.), они имитируют продолжение диалога.
Для пущей убедительности обманщики подкрепляют текстовые сообщения голосовыми, из найденных в профиле жертвы. Завоевав доверие, они озвучивают просьбу о финансовой помощи — например, одолжить на пару дней денег для оплаты услуг ЖКХ, с указанием номера карты для перевода.
Традиционное телефонное мошенничество, видимо, теряет свою эффективность в России благодаря информированности населения и мерам, принимаемым игроками рынка. В прошлом году ВТБ зафиксировал сокращение количества таких инцидентов на 16% (до 6,5 млн).
IT Дайджест / IT Новости / IT / Технологии
ВТБ предупреждает о новой уловке мошенников, атакующих пользователей в мессенджерах. Злоумышленники взламывают аккаунт и копируют аудиосообщения жертвы, а затем с их помощью пытаются выманить деньги у ее знакомых.
Чтобы определить подходящую кандидатуру для развода, взломщики изучают переписку жертвы с родными, друзьями и коллегами. Выбрав тему (день рождения общего знакомого, планы на выходные и т. п.), они имитируют продолжение диалога.
Для пущей убедительности обманщики подкрепляют текстовые сообщения голосовыми, из найденных в профиле жертвы. Завоевав доверие, они озвучивают просьбу о финансовой помощи — например, одолжить на пару дней денег для оплаты услуг ЖКХ, с указанием номера карты для перевода.
«Старые схемы всегда обрастают новыми подробностями и хитростями, — комментирует Никита Чугунов, старший вице-президент ВТБ, руководитель департамента цифрового бизнеса. — Будьте бдительны и не поддавайтесь на уговоры, проверяйте информацию через дополнительные каналы связи. Для защиты мы рекомендуем удалять голосовые сообщения из чатов после прослушивания или поставить опцию их автоудаления».
Традиционное телефонное мошенничество, видимо, теряет свою эффективность в России благодаря информированности населения и мерам, принимаемым игроками рынка. В прошлом году ВТБ зафиксировал сокращение количества таких инцидентов на 16% (до 6,5 млн).
IT Дайджест / IT Новости / IT / Технологии
❤5
Написал после шести – отправился за решётку: как в Австралии планируют наказывать нерадивых руководителей
Недавнее «право на отключение» призвано защитить личное время рядовых сотрудников.
Австралия на днях приняла закон «О праве на отключение» (Right To Disconnect), запрещающий работодателям контактировать с сотрудниками вне рабочего времени. За нарушение предусмотрены различные наказания, включая тюремное заключение для руководителей, однако в будущем уголовные санкции планируется отменить.
Закон вызвал оживлённые дебаты среди оппозиции и бизнес-сообществ. В Европе аналогичные меры уже давно введены в ответ на стирание границ между работой и личной жизнью из-за повсеместного использования цифровых устройств и последствий минувшего локдауна. Право на отключение подразумевает, что сотрудники не обязаны читать сообщения от вышестоящих руководителей и отвечать на них во внерабочее время.
Тем не менее, закон подразумевает так называемый «разумный контакт», включающий некоторые вопросы организационного характера, напрямую не связанные с деятельностью компании.
Профсоюзы Австралии приветствовали нововведение как разумный шаг после пандемии COVID-19, отмечая, что многие работники выполняют до 280 часов неоплачиваемой работы в год из-за переработок в свободное время. В то же время Бизнес-совет Австралии критикует закон за отсутствие обстоятельного обсуждения перед его принятием.
Оппозиционная партия Австралии и вовсе пообещала отменить данный закон, если будет избрана на национальных выборах, которые должны состояться в 2025 году. Правительство страны также намерено внести поправки для исключения уголовной ответственности за отправку сообщений вне рабочего времени.
Принятие в Австралии подобного закона символизирует значимый шаг государства в защите личного времени сотрудников и реформировании традиционного рабочего пространства.
IT Дайджест / IT Новости / IT / Технологии
Недавнее «право на отключение» призвано защитить личное время рядовых сотрудников.
Австралия на днях приняла закон «О праве на отключение» (Right To Disconnect), запрещающий работодателям контактировать с сотрудниками вне рабочего времени. За нарушение предусмотрены различные наказания, включая тюремное заключение для руководителей, однако в будущем уголовные санкции планируется отменить.
Закон вызвал оживлённые дебаты среди оппозиции и бизнес-сообществ. В Европе аналогичные меры уже давно введены в ответ на стирание границ между работой и личной жизнью из-за повсеместного использования цифровых устройств и последствий минувшего локдауна. Право на отключение подразумевает, что сотрудники не обязаны читать сообщения от вышестоящих руководителей и отвечать на них во внерабочее время.
Тем не менее, закон подразумевает так называемый «разумный контакт», включающий некоторые вопросы организационного характера, напрямую не связанные с деятельностью компании.
Профсоюзы Австралии приветствовали нововведение как разумный шаг после пандемии COVID-19, отмечая, что многие работники выполняют до 280 часов неоплачиваемой работы в год из-за переработок в свободное время. В то же время Бизнес-совет Австралии критикует закон за отсутствие обстоятельного обсуждения перед его принятием.
Оппозиционная партия Австралии и вовсе пообещала отменить данный закон, если будет избрана на национальных выборах, которые должны состояться в 2025 году. Правительство страны также намерено внести поправки для исключения уголовной ответственности за отправку сообщений вне рабочего времени.
Принятие в Австралии подобного закона символизирует значимый шаг государства в защите личного времени сотрудников и реформировании традиционного рабочего пространства.
IT Дайджест / IT Новости / IT / Технологии
🤡2🍌2
SiCat: революция в поиске эксплойтов или новый инструмент хакеров?
Помощник ИБ-специалистов может стать мощным оружием зла.
В сети стал доступен open-source инструмент для исследования уязвимостей в системе кибербезопасности под названием SiCat. Разработанный Акасом Висну Аджи, SiCat представляет собой мощную систему для поиска информации об эксплойтах через открытые каналы и внутренние базы данных. Целью проекта является упрощение процесса поиска потенциальных уязвимостей и соответствующих им эксплойтов в интернете, чтобы облегчить работу специалистов по кибербезопасности.
Одной из ключевых особенностей SiCat является возможность поиска эксплойтов, исходя из заданных пользователем параметров и источников. Среди поддерживаемых баз данных – Exploit-DB, Exploit Alert, Packetstorm Security, NVD Database и модули Metasploit, что обеспечивает широкий охват и актуальность предоставляемой информации.
Кроме того, SiCat отличается простой и понятной структурой кода, что делает инструмент доступным даже для начинающих пользователей. Это не только способствует простоте в использовании, но и позволяет заинтересованным специалистам вносить свой вклад в развитие проекта.
Инструмент обладает продвинутой системой отчетности, предоставляя результаты поиска эксплойтов в форматах HTML и JSON, что упрощает управление потенциальными находками. Дополнительно, SiCat может быть запущен на основе результатов сканирования Nmap в формате XML, что расширяет функциональность.
IT Дайджест / IT Новости / IT / Технологии
Помощник ИБ-специалистов может стать мощным оружием зла.
В сети стал доступен open-source инструмент для исследования уязвимостей в системе кибербезопасности под названием SiCat. Разработанный Акасом Висну Аджи, SiCat представляет собой мощную систему для поиска информации об эксплойтах через открытые каналы и внутренние базы данных. Целью проекта является упрощение процесса поиска потенциальных уязвимостей и соответствующих им эксплойтов в интернете, чтобы облегчить работу специалистов по кибербезопасности.
Одной из ключевых особенностей SiCat является возможность поиска эксплойтов, исходя из заданных пользователем параметров и источников. Среди поддерживаемых баз данных – Exploit-DB, Exploit Alert, Packetstorm Security, NVD Database и модули Metasploit, что обеспечивает широкий охват и актуальность предоставляемой информации.
Кроме того, SiCat отличается простой и понятной структурой кода, что делает инструмент доступным даже для начинающих пользователей. Это не только способствует простоте в использовании, но и позволяет заинтересованным специалистам вносить свой вклад в развитие проекта.
Инструмент обладает продвинутой системой отчетности, предоставляя результаты поиска эксплойтов в форматах HTML и JSON, что упрощает управление потенциальными находками. Дополнительно, SiCat может быть запущен на основе результатов сканирования Nmap в формате XML, что расширяет функциональность.
IT Дайджест / IT Новости / IT / Технологии
❤5👍2
Неудачное обновление: данные о десятках тысяч устройств Juniper в открытом доступе
Ошибка компании может привести к волне фишинговых атак и многочисленным взломам.
На прошлой неделе стало известно, что веб-сайт поддержки производителя сетевого оборудования Juniper Networks ненамеренно раскрывал потенциально чувствительную информацию о продуктах клиентов, включая данные о приобретенных устройствах, статусе гарантии, сервисных контрактах и серийных номерах. По заявлениям компании, проблема уже устранена. Ошибка была связана с недавним обновлением портала поддержки. Об этом сообщил портал KrebsOnSecurity.
Специалист, отвечающий за управление устройствами Juniper, обнаружил возможность доступа к информации о девайсах и контрактах на поддержку других клиентов Juniper через портал поддержки компании.
17-летний стажер Логан Джордж, работающий в организации, использующей продукты Juniper, случайно обнаружил уязвимость, когда искал информацию о поддержке конкретного продукта Juniper.
Войдя в систему с обычным пользовательским аккаунтом, Джордж смог получить доступ к подробной информации о любом устройстве Juniper, приобретенном другими клиентами. Поиск по порталу Juniper выдал десятки тысяч записей, включая модель и серийный номер устройства, приблизительное местоположение его установки, а также статус устройства и информацию о связанном с ним сервисном контракте.
Джордж подчеркнул, что раскрытая информация о сервисных контрактах может быть чувствительной, так как показывает, какие продукты Juniper лишены критических обновлений безопасности. Если у пользователя нет сервисного контракта, он не получает обновлений, объяснил специалист.
IT Дайджест / IT Новости / IT / Технологии
Ошибка компании может привести к волне фишинговых атак и многочисленным взломам.
На прошлой неделе стало известно, что веб-сайт поддержки производителя сетевого оборудования Juniper Networks ненамеренно раскрывал потенциально чувствительную информацию о продуктах клиентов, включая данные о приобретенных устройствах, статусе гарантии, сервисных контрактах и серийных номерах. По заявлениям компании, проблема уже устранена. Ошибка была связана с недавним обновлением портала поддержки. Об этом сообщил портал KrebsOnSecurity.
Специалист, отвечающий за управление устройствами Juniper, обнаружил возможность доступа к информации о девайсах и контрактах на поддержку других клиентов Juniper через портал поддержки компании.
17-летний стажер Логан Джордж, работающий в организации, использующей продукты Juniper, случайно обнаружил уязвимость, когда искал информацию о поддержке конкретного продукта Juniper.
Войдя в систему с обычным пользовательским аккаунтом, Джордж смог получить доступ к подробной информации о любом устройстве Juniper, приобретенном другими клиентами. Поиск по порталу Juniper выдал десятки тысяч записей, включая модель и серийный номер устройства, приблизительное местоположение его установки, а также статус устройства и информацию о связанном с ним сервисном контракте.
Джордж подчеркнул, что раскрытая информация о сервисных контрактах может быть чувствительной, так как показывает, какие продукты Juniper лишены критических обновлений безопасности. Если у пользователя нет сервисного контракта, он не получает обновлений, объяснил специалист.
IT Дайджест / IT Новости / IT / Технологии
👍4
В России написали софт, выявляющий с помощью ИИ мошенников в чатах
Специалисты Кубанского государственного технического университета написали на Python софт, который поможет распознать мошенников в чатах мессенджеров. Для детектирования злонамеренной активности инструмент использует ИИ.
Как отметил в беседе с «Известиями» один из разработчиков, софт каждые 15 секунд делает скриншот рабочего окна и вычленяет текст на экране.
Затем искусственный интеллект отличает сообщения спамеров от безобидных посланий: если владелец устройства получил потенциально опасное сообщение, программа выведет соответствующее предупреждение.
Более того, софт разбивает вредоносные послания по категориям. Это может быть спам, фишинг или «социальная инженерия».
По словам разработчиков, ИИ обучали на распространённых уловках мошенников, которые, например, предлагают работу на маркетплейсах и т. п. Алгоритм в состоянии распознать методы выуживания данных банковских карт и другой информации.
Базовую версию софта можно будет скачать бесплатно, однако за дополнительные функции придётся платить, предупреждают девелоперы. Ожидается, что бета-версия выйдет во втором квартале 2024 года, а стабильный релиз — в 2026-м.
IT Дайджест / IT Новости / IT / Технологии
Специалисты Кубанского государственного технического университета написали на Python софт, который поможет распознать мошенников в чатах мессенджеров. Для детектирования злонамеренной активности инструмент использует ИИ.
Как отметил в беседе с «Известиями» один из разработчиков, софт каждые 15 секунд делает скриншот рабочего окна и вычленяет текст на экране.
Затем искусственный интеллект отличает сообщения спамеров от безобидных посланий: если владелец устройства получил потенциально опасное сообщение, программа выведет соответствующее предупреждение.
Более того, софт разбивает вредоносные послания по категориям. Это может быть спам, фишинг или «социальная инженерия».
По словам разработчиков, ИИ обучали на распространённых уловках мошенников, которые, например, предлагают работу на маркетплейсах и т. п. Алгоритм в состоянии распознать методы выуживания данных банковских карт и другой информации.
Базовую версию софта можно будет скачать бесплатно, однако за дополнительные функции придётся платить, предупреждают девелоперы. Ожидается, что бета-версия выйдет во втором квартале 2024 года, а стабильный релиз — в 2026-м.
IT Дайджест / IT Новости / IT / Технологии
👍8😁5❤2
Создан декриптор для данных, шифруемых вредоносом Rhysida
Объявившийся в прошлом году шифровальщик Rhysida получил известность из-за атаки на системы Британской библиотеки. Корейские исследователи обнаружили уязвимость в реализации шифратора зловреда и использовали ее для создания декриптора.
Вредонос Rhysida, как и многие собратья, предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS). Его операторы атакуют организации различного профиля в разных регионах, используя схему двойного вымогательства; списки жертв публикуются на специально созданном сайте в сети Tor.
Для шифрования данных применяются алгоритм ChaCha20 и вшитый 4096-битный ключ RSA. Для каждого файла генерируются уникальные ключи и вектор инициализации (IV). Шифратор зловреда построен на основе криптобиблиотеки LibTomCrypt с открытым исходным кодом и использует ее генератор псевдослучайных чисел (ГПСЧ).
Как оказалось, с помощью ГПСЧ генерируются и ключи шифрования, и IV, притом на основе времени исполнения Rhysida. Аналитикам также удалось определить порядок шифрования файлов и расположение в них ключа и IV (первые 48 байт в сгенерированном последовательности).
Полученная в ходе исследования информация позволила создать инструмент для восстановления файлов. Судя по прежним аналогичным открытиям корейцев, декриптор скоро будет выложен в паблик в помощь жертвам заражения.
IT Дайджест / IT Новости / IT / Технологии
Объявившийся в прошлом году шифровальщик Rhysida получил известность из-за атаки на системы Британской библиотеки. Корейские исследователи обнаружили уязвимость в реализации шифратора зловреда и использовали ее для создания декриптора.
Вредонос Rhysida, как и многие собратья, предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS). Его операторы атакуют организации различного профиля в разных регионах, используя схему двойного вымогательства; списки жертв публикуются на специально созданном сайте в сети Tor.
Для шифрования данных применяются алгоритм ChaCha20 и вшитый 4096-битный ключ RSA. Для каждого файла генерируются уникальные ключи и вектор инициализации (IV). Шифратор зловреда построен на основе криптобиблиотеки LibTomCrypt с открытым исходным кодом и использует ее генератор псевдослучайных чисел (ГПСЧ).
Как оказалось, с помощью ГПСЧ генерируются и ключи шифрования, и IV, притом на основе времени исполнения Rhysida. Аналитикам также удалось определить порядок шифрования файлов и расположение в них ключа и IV (первые 48 байт в сгенерированном последовательности).
Полученная в ходе исследования информация позволила создать инструмент для восстановления файлов. Судя по прежним аналогичным открытиям корейцев, декриптор скоро будет выложен в паблик в помощь жертвам заражения.
IT Дайджест / IT Новости / IT / Технологии
❤3
Малварь RustDoor ориентирована на macOS и маскируется под Visual Studio
Пользователи macOS атакует новый бэкдор на основе Rust, который активен как минимум с ноября 2023 года, по данным аналитиков Bitdefender. Вредонос маскируется под обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm.
Как именно малварь, получившая название RustDoor, проникает в системы жертв пока неизвестно. Судя по всему, вредонос распространяется в виде бинарных файлов FAT, содержащих файлы Mach-O, и выдает себя за обновления Visual Studio. Специалисты Bitdefender отмечают, что конфигурационный файл RustDoor содержит опции, позволяющие малвари маскироваться и под другие приложения, а также кастомизировать фейковое окно для ввода пароля администратора.
На данный момент обнаружено несколько версий малвари с незначительными модификациями, то есть, вероятно, RustDoor находится в активной разработке. Самый ранний образец датирован 2 ноября 2023 года.
Бэкдор использует задания Cron и LaunchAgents для планирования своего выполнения в определенное время или при входе пользователя в систему, то есть может «пережить» перезагрузку системы.
RustDoor способен выполнять широкий спектр команд, позволяющих собирать и похищать файлы из системы жертвы, а также воровать данные о самой скомпрометированной системе. При этом некоторые версии малвари содержат конфигурацию с подробным описанием того, какие именно данные нужно украсть, список целевых расширений и каталогов (например, искать определенные документы в Documents и Desktop), а также каталоги, следует исключить.
Собранная информация складывается в скрытую папку, сжимается в архив ZIP перед отправкой, а затем передается на управляющий сервер для генерации ID жертвы, который затем используется для дальнейших коммуникаций с бэкдором.
IT Дайджест / IT Новости / IT / Технологии
Пользователи macOS атакует новый бэкдор на основе Rust, который активен как минимум с ноября 2023 года, по данным аналитиков Bitdefender. Вредонос маскируется под обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm.
Как именно малварь, получившая название RustDoor, проникает в системы жертв пока неизвестно. Судя по всему, вредонос распространяется в виде бинарных файлов FAT, содержащих файлы Mach-O, и выдает себя за обновления Visual Studio. Специалисты Bitdefender отмечают, что конфигурационный файл RustDoor содержит опции, позволяющие малвари маскироваться и под другие приложения, а также кастомизировать фейковое окно для ввода пароля администратора.
На данный момент обнаружено несколько версий малвари с незначительными модификациями, то есть, вероятно, RustDoor находится в активной разработке. Самый ранний образец датирован 2 ноября 2023 года.
Бэкдор использует задания Cron и LaunchAgents для планирования своего выполнения в определенное время или при входе пользователя в систему, то есть может «пережить» перезагрузку системы.
RustDoor способен выполнять широкий спектр команд, позволяющих собирать и похищать файлы из системы жертвы, а также воровать данные о самой скомпрометированной системе. При этом некоторые версии малвари содержат конфигурацию с подробным описанием того, какие именно данные нужно украсть, список целевых расширений и каталогов (например, искать определенные документы в Documents и Desktop), а также каталоги, следует исключить.
Собранная информация складывается в скрытую папку, сжимается в архив ZIP перед отправкой, а затем передается на управляющий сервер для генерации ID жертвы, который затем используется для дальнейших коммуникаций с бэкдором.
IT Дайджест / IT Новости / IT / Технологии
👍4❤3
Хакеры выложили список Android-девайсов, заражённых шпионом TheTruthSpy
Очередной сталкерский софт содержит уязвимость, раскрывающую список Android-устройств, на которых он установлен. Речь идёт о шпионской программе TheTruthSpy, операторы которой сами стали целью для киберпреступников.
На брешь в TheTruthSpy обратили внимание сразу две группировки. В случае эксплуатации эта уязвимость открывает доступ к данным на серверах разработчиков сталкерского софта.
Исследователь Майя Арсон Краймью, которая писала в своё время про Spyhide, уточнила в блоге имена групп, которые интересовались уязвимостью, — SiegedSec и ByteMeCrew. От последней Майя получила кеш данных жертв TheTruthSpy.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Уязвимость в TheTruthSpy нельзя назвать уникальной — аналогичный баг затрагивает и другой сталкерский софт. Оставляя такие лазейки, разработчики подвергают данные пользователей дополнительным рискам.
IT Дайджест / IT Новости / IT / Технологии
Очередной сталкерский софт содержит уязвимость, раскрывающую список Android-устройств, на которых он установлен. Речь идёт о шпионской программе TheTruthSpy, операторы которой сами стали целью для киберпреступников.
На брешь в TheTruthSpy обратили внимание сразу две группировки. В случае эксплуатации эта уязвимость открывает доступ к данным на серверах разработчиков сталкерского софта.
Исследователь Майя Арсон Краймью, которая писала в своё время про Spyhide, уточнила в блоге имена групп, которые интересовались уязвимостью, — SiegedSec и ByteMeCrew. От последней Майя получила кеш данных жертв TheTruthSpy.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Уязвимость в TheTruthSpy нельзя назвать уникальной — аналогичный баг затрагивает и другой сталкерский софт. Оставляя такие лазейки, разработчики подвергают данные пользователей дополнительным рискам.
IT Дайджест / IT Новости / IT / Технологии
❤7👍4
Паспорта, договоры, тайны: что еще потерял крупнейший поставщик авиадвигателей после кибератаки?
Black Basta обнародовала секретные документы компании Willis Lease Finance.
Компания Willis Lease Finance Corporation, занимающаяся лизингом реактивных двигателей, стала жертвой кибератаки, в ходе которой конфиденциальные данные оказались в руках группировки Black Basta. Об этом стало известно из документа формы 8-K, поданного в Комиссию по ценным бумагам и биржам США (SEC) 9 февраля. Компания обнаружила признаки несанкционированного доступа 31 января и немедленно приступила к устранению последствий инцидента.
В документе говорится о том, что для расследования инцидента и его нейтрализации были привлечены ведущие эксперты в области кибербезопасности. Несмотря на это, компания признала, что ей пришлось разработать временные решения для продолжения работы и обслуживания клиентов из-за отключения некоторых систем.
Подробности касательно ущерба пока не раскрываются, но компания уведомила правоохранительные органы и продолжает работу по определению масштабов утечки данных. Группа Black Basta, обвиняемая в атаке, утверждает, что ей удалось украсть 910 ГБ данных, включая личные данные сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.
Black Basta разместила на своем сайте утечек образцы упомянутых документов, а также различные кадровые документы, в которых указаны номера социального страхования, по-видимому, сотрудников компании в различных подразделениях и на разных должностях. Представители Willis Lease Finance пока не прокомментировали ситуацию.
IT Дайджест / IT Новости / IT / Технологии
Black Basta обнародовала секретные документы компании Willis Lease Finance.
Компания Willis Lease Finance Corporation, занимающаяся лизингом реактивных двигателей, стала жертвой кибератаки, в ходе которой конфиденциальные данные оказались в руках группировки Black Basta. Об этом стало известно из документа формы 8-K, поданного в Комиссию по ценным бумагам и биржам США (SEC) 9 февраля. Компания обнаружила признаки несанкционированного доступа 31 января и немедленно приступила к устранению последствий инцидента.
В документе говорится о том, что для расследования инцидента и его нейтрализации были привлечены ведущие эксперты в области кибербезопасности. Несмотря на это, компания признала, что ей пришлось разработать временные решения для продолжения работы и обслуживания клиентов из-за отключения некоторых систем.
Подробности касательно ущерба пока не раскрываются, но компания уведомила правоохранительные органы и продолжает работу по определению масштабов утечки данных. Группа Black Basta, обвиняемая в атаке, утверждает, что ей удалось украсть 910 ГБ данных, включая личные данные сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.
Black Basta разместила на своем сайте утечек образцы упомянутых документов, а также различные кадровые документы, в которых указаны номера социального страхования, по-видимому, сотрудников компании в различных подразделениях и на разных должностях. Представители Willis Lease Finance пока не прокомментировали ситуацию.
IT Дайджест / IT Новости / IT / Технологии
👍4❤1
TheTruthSpy снова взломали: веские причины не связываться со сталкерским ПО
Как определить компрометацию и избавиться от назойливого вредоноса?
Согласно последним данным журналистов издания TechCrunch, шпионский софт для Android под названием TheTruthSpy , который доступен для открытого скачивания всем желающим, обладает рядом уязвимостей, из-за которых информация с десятков тысяч заражённых вредоносом устройств доступна не только горе-сталкерам, решившим воспользоваться незаконным приложением, но и вообще любым энтузиастам, обладающим достаточными техническими знаниями.
Недавно две группы хакеров независимо друг от друга обнаружили и использовали уязвимость, позволяющую получить массовый доступ к украденным данным мобильных устройств жертв непосредственно с серверов TheTruthSpy.
Швейцарская хакерша под псевдонимом «Майа Арсон Краймью» в своём блоге сообщила , что группировки SiegedSec и ByteMeCrew выявили и эксплуатировали уязвимость в TheTruthSpy в декабре 2023 года, которая позволила им получить доступ к похищенным данным. Примечательно, что TheTruthSpy уже несколько раз взламывался ранее.
Хакерские коллективы заявили, что не будут публично раскрывать полученные данные из-за их высокой чувствительности. Несмотря на это, Краймью предоставила некоторые данные TheTruthSpy журналистам TechCrunch для верификации и анализа, которые включали уникальные идентификаторы IMEI и рекламные идентификаторы десятков тысяч недавно скомпрометированных Android-смартфонов.
Проверка подтвердила подлинность данных, что указывает на то, что TheTruthSpy продолжает активно шпионить за большим количеством жертв в различных регионах, включая Европу, Индию, Индонезию, Соединённые Штаты и Великобританию.
IT Дайджест / IT Новости / IT / Технологии
Как определить компрометацию и избавиться от назойливого вредоноса?
Согласно последним данным журналистов издания TechCrunch, шпионский софт для Android под названием TheTruthSpy , который доступен для открытого скачивания всем желающим, обладает рядом уязвимостей, из-за которых информация с десятков тысяч заражённых вредоносом устройств доступна не только горе-сталкерам, решившим воспользоваться незаконным приложением, но и вообще любым энтузиастам, обладающим достаточными техническими знаниями.
Недавно две группы хакеров независимо друг от друга обнаружили и использовали уязвимость, позволяющую получить массовый доступ к украденным данным мобильных устройств жертв непосредственно с серверов TheTruthSpy.
Швейцарская хакерша под псевдонимом «Майа Арсон Краймью» в своём блоге сообщила , что группировки SiegedSec и ByteMeCrew выявили и эксплуатировали уязвимость в TheTruthSpy в декабре 2023 года, которая позволила им получить доступ к похищенным данным. Примечательно, что TheTruthSpy уже несколько раз взламывался ранее.
Хакерские коллективы заявили, что не будут публично раскрывать полученные данные из-за их высокой чувствительности. Несмотря на это, Краймью предоставила некоторые данные TheTruthSpy журналистам TechCrunch для верификации и анализа, которые включали уникальные идентификаторы IMEI и рекламные идентификаторы десятков тысяч недавно скомпрометированных Android-смартфонов.
Проверка подтвердила подлинность данных, что указывает на то, что TheTruthSpy продолжает активно шпионить за большим количеством жертв в различных регионах, включая Европу, Индию, Индонезию, Соединённые Штаты и Великобританию.
IT Дайджест / IT Новости / IT / Технологии
👍6
FACCT: больше всего фишинговых писем отправляют по вторникам
Аналитики компании FACCT перечислили основные тренды в области вредоносных почтовых рассылок в 2023 году. Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем. Почти 98% обнаруженных в рассылках вредоносов были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются архивы .rar и .zip.
Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
Основным способом доставки малвари в системы жертв по-прежнему остаются различные вложения, которые используются в 98% случаев. Зато доля писем с вредоносными ссылками продолжает медленно сокращаться и в прошлом году составила чуть более 1,5%. Исследователи объясняют, что загрузка малвари с внешнего ресурса является дополнительным шагом в цепочке первичного заражения, который более заметен для традиционных средств защиты.
Размеры вредоносных вложений из фишинговых писем варьируются от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Чаще всего хакеры «упаковывают» маллварь в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри таких архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
Также отмечается, что в прошлом году малварь стали реже встраиваться в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Считается, что такой способ распространения становится менее эффективным из-за улучшения защиты в Microsoft Office.
Эксперты говорят, что наиболее распространенными вредоносами в письмах в 2023 году стали спайварь Agent Tesla.
IT Дайджест / IT Новости / IT / Технологии
Аналитики компании FACCT перечислили основные тренды в области вредоносных почтовых рассылок в 2023 году. Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем. Почти 98% обнаруженных в рассылках вредоносов были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются архивы .rar и .zip.
Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
Основным способом доставки малвари в системы жертв по-прежнему остаются различные вложения, которые используются в 98% случаев. Зато доля писем с вредоносными ссылками продолжает медленно сокращаться и в прошлом году составила чуть более 1,5%. Исследователи объясняют, что загрузка малвари с внешнего ресурса является дополнительным шагом в цепочке первичного заражения, который более заметен для традиционных средств защиты.
Размеры вредоносных вложений из фишинговых писем варьируются от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Чаще всего хакеры «упаковывают» маллварь в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри таких архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
Также отмечается, что в прошлом году малварь стали реже встраиваться в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Считается, что такой способ распространения становится менее эффективным из-за улучшения защиты в Microsoft Office.
Эксперты говорят, что наиболее распространенными вредоносами в письмах в 2023 году стали спайварь Agent Tesla.
IT Дайджест / IT Новости / IT / Технологии
👍6
Китай маскирует пропаганду под ИБ-отчёты
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
👍7❤2🥴1
Уязвимость DNSSEC позволяет одним пакетом вырубить резолвер на 16 часов
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
«Сервер имен должен отдавать все наличные криптографические материалы, а резолвер — использовать все, что прислано, пока проверка соответствия не окончится успехом».
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
Ссылка-монстр в вашем Outlook: всего один символ открывает хакерам любые двери
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
👍2