Хакеры выложили список Android-девайсов, заражённых шпионом TheTruthSpy
Очередной сталкерский софт содержит уязвимость, раскрывающую список Android-устройств, на которых он установлен. Речь идёт о шпионской программе TheTruthSpy, операторы которой сами стали целью для киберпреступников.
На брешь в TheTruthSpy обратили внимание сразу две группировки. В случае эксплуатации эта уязвимость открывает доступ к данным на серверах разработчиков сталкерского софта.
Исследователь Майя Арсон Краймью, которая писала в своё время про Spyhide, уточнила в блоге имена групп, которые интересовались уязвимостью, — SiegedSec и ByteMeCrew. От последней Майя получила кеш данных жертв TheTruthSpy.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Уязвимость в TheTruthSpy нельзя назвать уникальной — аналогичный баг затрагивает и другой сталкерский софт. Оставляя такие лазейки, разработчики подвергают данные пользователей дополнительным рискам.
IT Дайджест / IT Новости / IT / Технологии
Очередной сталкерский софт содержит уязвимость, раскрывающую список Android-устройств, на которых он установлен. Речь идёт о шпионской программе TheTruthSpy, операторы которой сами стали целью для киберпреступников.
На брешь в TheTruthSpy обратили внимание сразу две группировки. В случае эксплуатации эта уязвимость открывает доступ к данным на серверах разработчиков сталкерского софта.
Исследователь Майя Арсон Краймью, которая писала в своё время про Spyhide, уточнила в блоге имена групп, которые интересовались уязвимостью, — SiegedSec и ByteMeCrew. От последней Майя получила кеш данных жертв TheTruthSpy.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Как SiegedSec, так и ByteMeCrew заявили, что не будут публиковать украденные данные, поскольку это слишком конфиденциальная информация. Известно, что в БД можно найти номера IMEI и рекламные идентификаторы десятков тысяч скомпрометированных Android-устройств.
Уязвимость в TheTruthSpy нельзя назвать уникальной — аналогичный баг затрагивает и другой сталкерский софт. Оставляя такие лазейки, разработчики подвергают данные пользователей дополнительным рискам.
IT Дайджест / IT Новости / IT / Технологии
❤7👍4
Паспорта, договоры, тайны: что еще потерял крупнейший поставщик авиадвигателей после кибератаки?
Black Basta обнародовала секретные документы компании Willis Lease Finance.
Компания Willis Lease Finance Corporation, занимающаяся лизингом реактивных двигателей, стала жертвой кибератаки, в ходе которой конфиденциальные данные оказались в руках группировки Black Basta. Об этом стало известно из документа формы 8-K, поданного в Комиссию по ценным бумагам и биржам США (SEC) 9 февраля. Компания обнаружила признаки несанкционированного доступа 31 января и немедленно приступила к устранению последствий инцидента.
В документе говорится о том, что для расследования инцидента и его нейтрализации были привлечены ведущие эксперты в области кибербезопасности. Несмотря на это, компания признала, что ей пришлось разработать временные решения для продолжения работы и обслуживания клиентов из-за отключения некоторых систем.
Подробности касательно ущерба пока не раскрываются, но компания уведомила правоохранительные органы и продолжает работу по определению масштабов утечки данных. Группа Black Basta, обвиняемая в атаке, утверждает, что ей удалось украсть 910 ГБ данных, включая личные данные сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.
Black Basta разместила на своем сайте утечек образцы упомянутых документов, а также различные кадровые документы, в которых указаны номера социального страхования, по-видимому, сотрудников компании в различных подразделениях и на разных должностях. Представители Willis Lease Finance пока не прокомментировали ситуацию.
IT Дайджест / IT Новости / IT / Технологии
Black Basta обнародовала секретные документы компании Willis Lease Finance.
Компания Willis Lease Finance Corporation, занимающаяся лизингом реактивных двигателей, стала жертвой кибератаки, в ходе которой конфиденциальные данные оказались в руках группировки Black Basta. Об этом стало известно из документа формы 8-K, поданного в Комиссию по ценным бумагам и биржам США (SEC) 9 февраля. Компания обнаружила признаки несанкционированного доступа 31 января и немедленно приступила к устранению последствий инцидента.
В документе говорится о том, что для расследования инцидента и его нейтрализации были привлечены ведущие эксперты в области кибербезопасности. Несмотря на это, компания признала, что ей пришлось разработать временные решения для продолжения работы и обслуживания клиентов из-за отключения некоторых систем.
Подробности касательно ущерба пока не раскрываются, но компания уведомила правоохранительные органы и продолжает работу по определению масштабов утечки данных. Группа Black Basta, обвиняемая в атаке, утверждает, что ей удалось украсть 910 ГБ данных, включая личные данные сотрудников, документы по управлению персоналом, соглашения о неразглашении, а также детали договоров аренды с крупными авиакомпаниями и 40 сканов паспортов.
Black Basta разместила на своем сайте утечек образцы упомянутых документов, а также различные кадровые документы, в которых указаны номера социального страхования, по-видимому, сотрудников компании в различных подразделениях и на разных должностях. Представители Willis Lease Finance пока не прокомментировали ситуацию.
IT Дайджест / IT Новости / IT / Технологии
👍4❤1
TheTruthSpy снова взломали: веские причины не связываться со сталкерским ПО
Как определить компрометацию и избавиться от назойливого вредоноса?
Согласно последним данным журналистов издания TechCrunch, шпионский софт для Android под названием TheTruthSpy , который доступен для открытого скачивания всем желающим, обладает рядом уязвимостей, из-за которых информация с десятков тысяч заражённых вредоносом устройств доступна не только горе-сталкерам, решившим воспользоваться незаконным приложением, но и вообще любым энтузиастам, обладающим достаточными техническими знаниями.
Недавно две группы хакеров независимо друг от друга обнаружили и использовали уязвимость, позволяющую получить массовый доступ к украденным данным мобильных устройств жертв непосредственно с серверов TheTruthSpy.
Швейцарская хакерша под псевдонимом «Майа Арсон Краймью» в своём блоге сообщила , что группировки SiegedSec и ByteMeCrew выявили и эксплуатировали уязвимость в TheTruthSpy в декабре 2023 года, которая позволила им получить доступ к похищенным данным. Примечательно, что TheTruthSpy уже несколько раз взламывался ранее.
Хакерские коллективы заявили, что не будут публично раскрывать полученные данные из-за их высокой чувствительности. Несмотря на это, Краймью предоставила некоторые данные TheTruthSpy журналистам TechCrunch для верификации и анализа, которые включали уникальные идентификаторы IMEI и рекламные идентификаторы десятков тысяч недавно скомпрометированных Android-смартфонов.
Проверка подтвердила подлинность данных, что указывает на то, что TheTruthSpy продолжает активно шпионить за большим количеством жертв в различных регионах, включая Европу, Индию, Индонезию, Соединённые Штаты и Великобританию.
IT Дайджест / IT Новости / IT / Технологии
Как определить компрометацию и избавиться от назойливого вредоноса?
Согласно последним данным журналистов издания TechCrunch, шпионский софт для Android под названием TheTruthSpy , который доступен для открытого скачивания всем желающим, обладает рядом уязвимостей, из-за которых информация с десятков тысяч заражённых вредоносом устройств доступна не только горе-сталкерам, решившим воспользоваться незаконным приложением, но и вообще любым энтузиастам, обладающим достаточными техническими знаниями.
Недавно две группы хакеров независимо друг от друга обнаружили и использовали уязвимость, позволяющую получить массовый доступ к украденным данным мобильных устройств жертв непосредственно с серверов TheTruthSpy.
Швейцарская хакерша под псевдонимом «Майа Арсон Краймью» в своём блоге сообщила , что группировки SiegedSec и ByteMeCrew выявили и эксплуатировали уязвимость в TheTruthSpy в декабре 2023 года, которая позволила им получить доступ к похищенным данным. Примечательно, что TheTruthSpy уже несколько раз взламывался ранее.
Хакерские коллективы заявили, что не будут публично раскрывать полученные данные из-за их высокой чувствительности. Несмотря на это, Краймью предоставила некоторые данные TheTruthSpy журналистам TechCrunch для верификации и анализа, которые включали уникальные идентификаторы IMEI и рекламные идентификаторы десятков тысяч недавно скомпрометированных Android-смартфонов.
Проверка подтвердила подлинность данных, что указывает на то, что TheTruthSpy продолжает активно шпионить за большим количеством жертв в различных регионах, включая Европу, Индию, Индонезию, Соединённые Штаты и Великобританию.
IT Дайджест / IT Новости / IT / Технологии
👍6
FACCT: больше всего фишинговых писем отправляют по вторникам
Аналитики компании FACCT перечислили основные тренды в области вредоносных почтовых рассылок в 2023 году. Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем. Почти 98% обнаруженных в рассылках вредоносов были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются архивы .rar и .zip.
Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
Основным способом доставки малвари в системы жертв по-прежнему остаются различные вложения, которые используются в 98% случаев. Зато доля писем с вредоносными ссылками продолжает медленно сокращаться и в прошлом году составила чуть более 1,5%. Исследователи объясняют, что загрузка малвари с внешнего ресурса является дополнительным шагом в цепочке первичного заражения, который более заметен для традиционных средств защиты.
Размеры вредоносных вложений из фишинговых писем варьируются от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Чаще всего хакеры «упаковывают» маллварь в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри таких архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
Также отмечается, что в прошлом году малварь стали реже встраиваться в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Считается, что такой способ распространения становится менее эффективным из-за улучшения защиты в Microsoft Office.
Эксперты говорят, что наиболее распространенными вредоносами в письмах в 2023 году стали спайварь Agent Tesla.
IT Дайджест / IT Новости / IT / Технологии
Аналитики компании FACCT перечислили основные тренды в области вредоносных почтовых рассылок в 2023 году. Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем. Почти 98% обнаруженных в рассылках вредоносов были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются архивы .rar и .zip.
Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
Основным способом доставки малвари в системы жертв по-прежнему остаются различные вложения, которые используются в 98% случаев. Зато доля писем с вредоносными ссылками продолжает медленно сокращаться и в прошлом году составила чуть более 1,5%. Исследователи объясняют, что загрузка малвари с внешнего ресурса является дополнительным шагом в цепочке первичного заражения, который более заметен для традиционных средств защиты.
Размеры вредоносных вложений из фишинговых писем варьируются от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Чаще всего хакеры «упаковывают» маллварь в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри таких архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
Также отмечается, что в прошлом году малварь стали реже встраиваться в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Считается, что такой способ распространения становится менее эффективным из-за улучшения защиты в Microsoft Office.
Эксперты говорят, что наиболее распространенными вредоносами в письмах в 2023 году стали спайварь Agent Tesla.
IT Дайджест / IT Новости / IT / Технологии
👍6
Китай маскирует пропаганду под ИБ-отчёты
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
Пекин часто обвиняет США в кибератаках, но предоставил ли он весомые аргументы?
Новый отчёт компании SentinelLabs указывает на отсутствие доказательств в заявлениях Китая о хакерских атаках и шпионаже со стороны Запада. Пекин в течение двух лет пытается поддерживать нарративы о кибернападениях США, не предоставляя при этом необходимых технических доказательств.
Китайская стратегия в сфере медиа, направленная на распространение утверждений об американских хакерских операциях, была запущена после того, как Соединённые Штаты, Великобритания и Европейский Союз в июле 2021 года обвинили Китай в «безответственном поведении в киберпространстве».
Однако с тех пор Китай так и не смог подтвердить свои обвинения, опираясь лишь на устаревшие документы американской разведки, а в последующем и вовсе отказался от попыток технической валидации, ограничившись публикацией голых обвинений в государственных СМИ.
В отчёте SentinelLabs отмечается, что некоторые китайские ИБ-компании координируют публикации своих докладов с государственными агентствами и СМИ, чтобы усилить их воздействие. В то время как западные агентства и компании, специализирующиеся на кибербезопасности, всегда подкрепляют свои заявления о шпионаже со стороны Китая техническими деталями.
Согласно отчёту SentinelLabs, китайские действия в области кибербезопасности больше напоминают пропаганду, направленную на формирование мнения о США как о «империи хакерства», что может найти отклик у внутренней аудитории, но не находит подтверждения на международной арене.
Например, в 2022 году Коммунистическая партия Китая упомянула Агентство национальной безопасности США в связи с хакерскими инструментами или операциями 24 раза, опираясь на переработанные старые материалы без нового технического анализа.
А в 2023 году Китай распространял уже новые обвинения в адрес США, не связанные с предыдущими утечками американской разведки, но всё так же необоснованных.
IT Дайджест / IT Новости / IT / Технологии
👍7❤2🥴1
Уязвимость DNSSEC позволяет одним пакетом вырубить резолвер на 16 часов
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
На сервере DNS, выполняющем валидацию по DNSSEC, можно вызвать состояние отказа в обслуживании (DoS) с помощью вредоносного пакета. Германские ученые разработали PoC-атаку, позволяющую подвесить резолвер и закрыть клиентам доступ к сайтам на 16 часов.
Угроза, нареченная KeyTrap, актуальна также для публичных DNS-сервисов вроде тех, что предоставляют Google и Cloudflare, и была зарегистрирована как уязвимость под идентификатором CVE-2023-50387 (7,5 балла CVSS).
Все началось с того, что специалисты исследовательского центра Дармштадта, занимающегося прикладными аспектами ИБ, обнаружили в спецификациях DNSSEC от 1999 года (RFC 2535) изъян, перекочевавший в более поздние версии в виде требований по реализации защитного протокола. Там сказано:
«Сервер имен должен отдавать все наличные криптографические материалы, а резолвер — использовать все, что прислано, пока проверка соответствия не окончится успехом».
Отсюда можно сделать вывод, что резолвер, использующий DNSSEC, можно спровоцировать на контакт с сервером, отдающим вредоносный ответ — набор ресурсных записей (RR), валидация которых создает перегрузки по CPU. Таким образом, злоумышленник сможет временно вывести резолвер из строя; тесты показали, что период отказа может составлять от трех минут до 16 часов — зависит от софта, используемого мишенью.
В итоге пострадают не только пользователи, потерявшие доступ к веб-контенту, но также такие сервисы, как защита от спама, PKI, обеспечение безопасности маршрутизации (RPKI). По данным исследователей, в настоящее время DNSSEC-резолвинг используют 31% веб-клиентов в интернете, и атака KeyTrap может обернуться для них большой проблемой (обитатели рунета теперь знают об этом не понаслышке).
IT Дайджест / IT Новости / IT / Технологии
Ссылка-монстр в вашем Outlook: всего один символ открывает хакерам любые двери
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
Компания Microsoft предупреждает пользователей о критической уязвимости в своём офисном пакете, которая позволяет неаутентифицированным злоумышленникам выполнять вредоносный код.
Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413 . Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook.
Особенно опасен тот факт, что ошибка позволяет хакерам обходить функцию «Защищённый просмотр» (Protected View), предназначенную для блокировки вредоносного содержимого в файлах Office. Вместо того, чтобы открывать опасные файлы в режиме только для чтения, они запускаются сразу в режиме редактирования.
По заявлениям компании, атаки с использованием CVE-2024-21413 могут проводиться удалённо, без взаимодействия с пользователем, а сложность проведения таких атак для хакеров остаётся на низком уровне.
«Успешная эксплуатация этой уязвимости может предоставить атакующему высокие привилегии, включая возможности чтения, записи и удаления файлов» — говорится в сообщении Microsoft.
Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019 (находящиеся в расширенной поддержке).
Check Point в своём отчёте объясняет, что уязвимость, которую они назвали «Moniker Link», позволяет обходить встроенные защиты Outlook для вредоносных ссылок, встроенных в электронные письма, используя протокол file://, обращаясь через него к удалённому серверу злоумышленников.
Добавление восклицательного знака сразу после расширения документа позволяет обойти ограничения безопасности Outlook. В этом случае при нажатии на ссылку приложение будет обращаться к удалённому ресурсу и открывать целевой файл без вывода предупреждений или ошибок.
IT Дайджест / IT Новости / IT / Технологии
👍2
Для Flipper Zero представлен модуль Video Game, построенный на базе Raspberry Pi
Создатели Flipper Zero, совместно с Raspberry Pi, разработали новый модуль Video Game. Он предназначен не только для игр, но также позволяет подключить Flipper Zero к телевизору, использовать его как осциллограф, управлять курсором в различных приложениях и так далее.
Новый модуль построен на разработке Raspberry Pi — микроконтроллере RP2040 (таком же, как в Raspberry Pi Pico). Создатели Flipper рассказывают, что немного разогнали его, «чтобы он мог генерировать видеосигнал». Это позволило оснастить модуль портом для подключения к телевизору и дублирования экрана Flipper. Также модуль имеет датчик отслеживания движений, который может использоваться в играх и приложениях.
Прошивка и все схемы, как обычно, полностью открыты, и разработчики говорят, что уже с нетерпением ждут идей от сообщества.
Технические характеристики модуля
- Микроконтроллер: Raspberry Pi RP2040 на двухъядерном процессоре ARM Cortex-M0+ (до 133 МГц).
- Оперативная память: 264 КБ SRAM.
- Гироскоп и акселерометр: TDK ICM-42688-P — 6-осевой MEMS-датчик отслеживания движений (IMU).
- Порт USB Type-C: работает как USB-устройство или хост (с ограничениями, так как USB power delivery не поддерживается).
Порт видеовыхода: сигнал DVI-D в разрешении 640х480, 60 Гц, через HDMI (разработчики пишут про «известный видеостандарт», который нельзя называть из-за ограничений по авторским правам, и намекают: первая буква - H, последняя – I).
- GPIO: 11 контактов GPIO, подключенных к RP2040, два контакта заземления и один контакт для питания (3,3 В).
- Кнопка Boot: активирует режим загрузчика (для разработчиков).
- Кнопка Reset: перезагружает железо модуля.
Разработчики демонстрируют, что играть в игры и использовать приложения, разработанные для Flipper Zero, на большом экране гораздо удобнее. Кроме того, порт видеовыхода можно использовать, например, для отображения перехваченных данных на большом экране.
IT Дайджест / IT Новости / IT / Технологии
Создатели Flipper Zero, совместно с Raspberry Pi, разработали новый модуль Video Game. Он предназначен не только для игр, но также позволяет подключить Flipper Zero к телевизору, использовать его как осциллограф, управлять курсором в различных приложениях и так далее.
Новый модуль построен на разработке Raspberry Pi — микроконтроллере RP2040 (таком же, как в Raspberry Pi Pico). Создатели Flipper рассказывают, что немного разогнали его, «чтобы он мог генерировать видеосигнал». Это позволило оснастить модуль портом для подключения к телевизору и дублирования экрана Flipper. Также модуль имеет датчик отслеживания движений, который может использоваться в играх и приложениях.
Прошивка и все схемы, как обычно, полностью открыты, и разработчики говорят, что уже с нетерпением ждут идей от сообщества.
Технические характеристики модуля
- Микроконтроллер: Raspberry Pi RP2040 на двухъядерном процессоре ARM Cortex-M0+ (до 133 МГц).
- Оперативная память: 264 КБ SRAM.
- Гироскоп и акселерометр: TDK ICM-42688-P — 6-осевой MEMS-датчик отслеживания движений (IMU).
- Порт USB Type-C: работает как USB-устройство или хост (с ограничениями, так как USB power delivery не поддерживается).
Порт видеовыхода: сигнал DVI-D в разрешении 640х480, 60 Гц, через HDMI (разработчики пишут про «известный видеостандарт», который нельзя называть из-за ограничений по авторским правам, и намекают: первая буква - H, последняя – I).
- GPIO: 11 контактов GPIO, подключенных к RP2040, два контакта заземления и один контакт для питания (3,3 В).
- Кнопка Boot: активирует режим загрузчика (для разработчиков).
- Кнопка Reset: перезагружает железо модуля.
Разработчики демонстрируют, что играть в игры и использовать приложения, разработанные для Flipper Zero, на большом экране гораздо удобнее. Кроме того, порт видеовыхода можно использовать, например, для отображения перехваченных данных на большом экране.
IT Дайджест / IT Новости / IT / Технологии
Госдума хочет «приручить» Telegram: анонимным каналам грозит регистрация
МВД назвало Telegram лидером по популярности у IT-злоумышленников.
Основным инструментом коммуникации в IT-преступлениях является мессенджер Telegram, об этом заявил Сергей Ерохин, замначальник управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. Он отметил, что взаимодействие с Telegram затруднено и на практике не осуществляется, так как серверное оборудование и юридическое лицо компании находятся за пределами РФ, в недоступном сегменте.
Он также добавил, что преступления в IT-сфере являются латентными, носят организованный характер и имеют признаки трансграничности. По его словам, только в 2023 году количество тяжких и особо тяжких преступлений в IT-сфере увеличилось на 26%. Он назвал одной из причин актуальности и роста преступности в сфере IT факты использования, передачи, сбора и хранения информации, содержащей персональные данные, а также создание информационных ресурсов, предназначенных для ее хранения или распространения.
«Широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора, накопления скомпрометированных данных, предоставления их доступа на платной основе. Заказчиками выступают, как участники преступных групп, так и недобросовестные сотрудники частных сыскных, коллекторских агентств и иностранных служб», - отметил Ерохин.
IT Дайджест / IT Новости / IT / Технологии
МВД назвало Telegram лидером по популярности у IT-злоумышленников.
Основным инструментом коммуникации в IT-преступлениях является мессенджер Telegram, об этом заявил Сергей Ерохин, замначальник управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. Он отметил, что взаимодействие с Telegram затруднено и на практике не осуществляется, так как серверное оборудование и юридическое лицо компании находятся за пределами РФ, в недоступном сегменте.
Он также добавил, что преступления в IT-сфере являются латентными, носят организованный характер и имеют признаки трансграничности. По его словам, только в 2023 году количество тяжких и особо тяжких преступлений в IT-сфере увеличилось на 26%. Он назвал одной из причин актуальности и роста преступности в сфере IT факты использования, передачи, сбора и хранения информации, содержащей персональные данные, а также создание информационных ресурсов, предназначенных для ее хранения или распространения.
«Широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора, накопления скомпрометированных данных, предоставления их доступа на платной основе. Заказчиками выступают, как участники преступных групп, так и недобросовестные сотрудники частных сыскных, коллекторских агентств и иностранных служб», - отметил Ерохин.
IT Дайджест / IT Новости / IT / Технологии
🤡4👍3❤2👎1
Малварь Bumblebee возобновила активность после четырехмесячного перерыва
Вредонос Bumblebee вернулась после четырехмесячного перерыва и нацелил свои фишинговые кампании на тысячи организаций в США.
Напомню, что впервые Bumblebee был обнаружен в апреле 2022 года. Как тогда объясняли исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. Исследователи считают, что Bumblebee связан с группировками Conti и Trickbot и был создан в качестве замены бэкдору BazarLoader.
Новая кампания, обнаруженная специалистами Proofpoint, активна с октября 2023 года, и исследователи считают, что в 2024 году деятельность хакеров продолжит набирать обороты.
На этот раз Bumblebee распространяется под видом фальшивых голосовых сообщений. Теперь фишинговые письма маскируются под уведомления о новой голосовой почте и используют тему «Voicemail February». Такие послания были отправлены тысячам организаций в США с адреса info@quarlessa[.]com.
Письма содержат ссылку на OneDrive, откуда загружается документ-приманка под названием ReleaseEvans#96.docm. В документе хакеры выдают себя за представителя компании hu.ma.ne, якобы специализирующейся на бытовой электронике и известной своими ИИ-продуктами.
Вредоносный документ использует макросы для создания файла скрипта во временной папке Windows, а затем запускает его с помощью команды wscript. Этот временный файл содержит команду PowerShell, которая получает и выполняет следующий этап атаки с удаленного сервера, который в итоге загружает и запускает DLL Bumblebee (w_ver.dll) в системе жертвы.
IT Дайджест / IT Новости / IT / Технологии
Вредонос Bumblebee вернулась после четырехмесячного перерыва и нацелил свои фишинговые кампании на тысячи организаций в США.
Напомню, что впервые Bumblebee был обнаружен в апреле 2022 года. Как тогда объясняли исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики. Исследователи считают, что Bumblebee связан с группировками Conti и Trickbot и был создан в качестве замены бэкдору BazarLoader.
Новая кампания, обнаруженная специалистами Proofpoint, активна с октября 2023 года, и исследователи считают, что в 2024 году деятельность хакеров продолжит набирать обороты.
На этот раз Bumblebee распространяется под видом фальшивых голосовых сообщений. Теперь фишинговые письма маскируются под уведомления о новой голосовой почте и используют тему «Voicemail February». Такие послания были отправлены тысячам организаций в США с адреса info@quarlessa[.]com.
Письма содержат ссылку на OneDrive, откуда загружается документ-приманка под названием ReleaseEvans#96.docm. В документе хакеры выдают себя за представителя компании hu.ma.ne, якобы специализирующейся на бытовой электронике и известной своими ИИ-продуктами.
Вредоносный документ использует макросы для создания файла скрипта во временной папке Windows, а затем запускает его с помощью команды wscript. Этот временный файл содержит команду PowerShell, которая получает и выполняет следующий этап атаки с удаленного сервера, который в итоге загружает и запускает DLL Bumblebee (w_ver.dll) в системе жертвы.
IT Дайджест / IT Новости / IT / Технологии
❤2
Уязвимость wpa_supplicant грозит перехватом Wi-Fi 2,3 млрд юзеров Android
В утилите wpa_supplicant и демоне IWD (iNet Wireless Daemon, создан Intel) найдены возможности обхода аутентификации, позволяющие получить несанкционированный доступ к целевой беспроводной сети. Проблема актуальна для систем Linux, Android и ChromeOS.
Схожие ошибки в программах Wi-Fi с открытым исходным кодом были обнаружены в ходе совместного исследования профессором Лёвенского университета Мэти Ванхуфом (Mathy Vanhoef) и специалистами компании Top10VPN. Ванхуф давно интересуется вопросами безопасности Wi-Fi и получил известность как автор PoC-атак KRACK, Dragonblood и FragAttacks.
Уязвимость CVE-2023-52160 в wpa_supplicant v2.10 и ниже (по дефолту этот софт используют 2,3 млрд Android-устройств, многие Linux, а также Chromebook) проявляется при неправильных настройках клиента Wi-Fi — когда тот не проверяет SSL-сертификат сервера аутентификации.
В этом случае пользователя, совершающего вход в корпоративную сеть, можно обманом заставить подключиться к вредоносному клону для перехвата его сообщений. Взаимодействия с жертвой не потребуется, нужно лишь находиться неподалеку и знать SSID сети, которой она обычно пользуется.
Уязвимость CVE-2023-52161 в IWD возникла из-за того, что Linux-демон не фиксирует очередность сообщений в ходе хэндшейка, а попросту ведет прием. В результате открылась возможность сократить эту процедуру, пропустив пару этапов, и завершить аутентификацию без ввода пароля.
В тех случаях, когда IWD работает в режиме точки доступа, злоумышленник сможет проникнуть в защищенную сеть — домашнюю или офисную — и подключиться к интернету как законный пользователь или атаковать другие устройства, перехватывать конфиденциальные данные, доставлять зловредов.
IT Дайджест / IT Новости / IT / Технологии
В утилите wpa_supplicant и демоне IWD (iNet Wireless Daemon, создан Intel) найдены возможности обхода аутентификации, позволяющие получить несанкционированный доступ к целевой беспроводной сети. Проблема актуальна для систем Linux, Android и ChromeOS.
Схожие ошибки в программах Wi-Fi с открытым исходным кодом были обнаружены в ходе совместного исследования профессором Лёвенского университета Мэти Ванхуфом (Mathy Vanhoef) и специалистами компании Top10VPN. Ванхуф давно интересуется вопросами безопасности Wi-Fi и получил известность как автор PoC-атак KRACK, Dragonblood и FragAttacks.
Уязвимость CVE-2023-52160 в wpa_supplicant v2.10 и ниже (по дефолту этот софт используют 2,3 млрд Android-устройств, многие Linux, а также Chromebook) проявляется при неправильных настройках клиента Wi-Fi — когда тот не проверяет SSL-сертификат сервера аутентификации.
В этом случае пользователя, совершающего вход в корпоративную сеть, можно обманом заставить подключиться к вредоносному клону для перехвата его сообщений. Взаимодействия с жертвой не потребуется, нужно лишь находиться неподалеку и знать SSID сети, которой она обычно пользуется.
Уязвимость CVE-2023-52161 в IWD возникла из-за того, что Linux-демон не фиксирует очередность сообщений в ходе хэндшейка, а попросту ведет прием. В результате открылась возможность сократить эту процедуру, пропустив пару этапов, и завершить аутентификацию без ввода пароля.
В тех случаях, когда IWD работает в режиме точки доступа, злоумышленник сможет проникнуть в защищенную сеть — домашнюю или офисную — и подключиться к интернету как законный пользователь или атаковать другие устройства, перехватывать конфиденциальные данные, доставлять зловредов.
IT Дайджест / IT Новости / IT / Технологии
🤓4😭2👍1
Объем утечек в финансовом секторе вырос в 3,2 раза
Специалисты экспертно-аналитического центра ГК InfoWatch представили исследование «Финансовый сектор: утечки конфиденциальной информации Мир – Россия 2021-2023 гг.», в котором они проанализировали данные об инцидентах ИБ, произошедших за последние 3 года в банках, страховых компаниях, биржах, платежных сервисах и других организациях отрасли.
Согласно результатам исследования, количество утечек конфиденциальных данных из финансовых компаний в 2023 году продолжило расти двузначными темпами (в процентах). Во всем мире этот показатель увеличился на 79,5% и достиг рекордных 1049 эпизодов. Рост их числа в России также внушительный – в прошлом году он составил 12,3%. Таким образом, в РФ за прошлый год было зафиксировано 64 инцидента, приведших к утечкам информации.
Взгляд на события ИБ в разрезе объема утекшей из финансовой отрасли информации демонстрирует многократный рост. Так, если в мире за 2023 год из организаций было слито 4324 миллиона записей персональных данных (в 6 раз больше, чем годом ранее), то в России за тот же период – 170,3 миллиона (в 3,2 больше, чем в 2022 году). При этом в 2021 году этот показатель в России составлял лишь 3 миллиона записей – то есть, почти в 57 раз меньше, чем в 2023 году.
Одними из главных причин существенного роста количества утечек в отрасли аналитики ГК InfoWatch называют быстрые темпы цифровизации финансового сектора, а также открытие новых уязвимостей, наличие которых приводит к росту количества взломов компаний и расширению объемов скомпрометированной информации. Интересно, что на фоне данной динамики большинство компаний не торопятся раскрывать сведения об инцидентах. Так, согласно опросу ГК InfoWatch, 42% представителей финансовой отрасли считают, что произошедшие утечки данных признают всего от 4% до 10% компаний.
IT Дайджест / IT Новости / IT / Технологии
Специалисты экспертно-аналитического центра ГК InfoWatch представили исследование «Финансовый сектор: утечки конфиденциальной информации Мир – Россия 2021-2023 гг.», в котором они проанализировали данные об инцидентах ИБ, произошедших за последние 3 года в банках, страховых компаниях, биржах, платежных сервисах и других организациях отрасли.
Согласно результатам исследования, количество утечек конфиденциальных данных из финансовых компаний в 2023 году продолжило расти двузначными темпами (в процентах). Во всем мире этот показатель увеличился на 79,5% и достиг рекордных 1049 эпизодов. Рост их числа в России также внушительный – в прошлом году он составил 12,3%. Таким образом, в РФ за прошлый год было зафиксировано 64 инцидента, приведших к утечкам информации.
Взгляд на события ИБ в разрезе объема утекшей из финансовой отрасли информации демонстрирует многократный рост. Так, если в мире за 2023 год из организаций было слито 4324 миллиона записей персональных данных (в 6 раз больше, чем годом ранее), то в России за тот же период – 170,3 миллиона (в 3,2 больше, чем в 2022 году). При этом в 2021 году этот показатель в России составлял лишь 3 миллиона записей – то есть, почти в 57 раз меньше, чем в 2023 году.
Одними из главных причин существенного роста количества утечек в отрасли аналитики ГК InfoWatch называют быстрые темпы цифровизации финансового сектора, а также открытие новых уязвимостей, наличие которых приводит к росту количества взломов компаний и расширению объемов скомпрометированной информации. Интересно, что на фоне данной динамики большинство компаний не торопятся раскрывать сведения об инцидентах. Так, согласно опросу ГК InfoWatch, 42% представителей финансовой отрасли считают, что произошедшие утечки данных признают всего от 4% до 10% компаний.
IT Дайджест / IT Новости / IT / Технологии
👍2
Компания Varta вынуждена остановить производство элементов питания из-за кибератаки
Немецкая компания Varta AG заявляет, что подвергалась кибератаке, из-за которой пришлось отключить часть ИТ-систем, что в итоге привело к остановке производства на заводах.
Varta — производитель элементов питания для автомобильного, потребительского и промышленного секторов, частично принадлежащий Energizer Holdings. Годовой доход компании превышает 875 млн долларов США.
Компания сообщает, что в начале текущей недели хакеры атаковали часть ее ИТ-инфраструктуры, что привело к серьезному сбою в работе пяти производственных подразделений.
В настоящее время масштабы инцидента еще изучаются, и пока неясен размер ущерба, нанесенного компании. Представители Varta заявляют, что сейчас их приоритетной задачей является обеспечение целостности данных, и предпочитают использовать упреждающие отключения, которые могут помочь локализовать инцидент.
В компании подчеркивают, что уже сформировали целевую группу, состоящую из экспертов по кибербезопасности и специалистов по киберкриминалистике, которые будут помогать в восстановлении систем.
IT Дайджест / IT Новости / IT / Технологии
Немецкая компания Varta AG заявляет, что подвергалась кибератаке, из-за которой пришлось отключить часть ИТ-систем, что в итоге привело к остановке производства на заводах.
Varta — производитель элементов питания для автомобильного, потребительского и промышленного секторов, частично принадлежащий Energizer Holdings. Годовой доход компании превышает 875 млн долларов США.
Компания сообщает, что в начале текущей недели хакеры атаковали часть ее ИТ-инфраструктуры, что привело к серьезному сбою в работе пяти производственных подразделений.
«Вечером 12 февраля 2024 года, группа компаний Varta подверглась кибератаке, затронувшей часть IT-систем, — говорится в пресс-релизе. — Инцидент затронул пять производственных предприятий и административный отдел. В целях безопасности ИТ-систем и производств они были временно остановлены и отключены от интернета».
В настоящее время масштабы инцидента еще изучаются, и пока неясен размер ущерба, нанесенного компании. Представители Varta заявляют, что сейчас их приоритетной задачей является обеспечение целостности данных, и предпочитают использовать упреждающие отключения, которые могут помочь локализовать инцидент.
В компании подчеркивают, что уже сформировали целевую группу, состоящую из экспертов по кибербезопасности и специалистов по киберкриминалистике, которые будут помогать в восстановлении систем.
IT Дайджест / IT Новости / IT / Технологии
🤨2❤1
Охотник-убийца на свободе: новые методы обхода корпоративной защиты
Новое поколение зловредного ПО нацелено не на обход обнаружения, а на полное уничтожение защиты предприятий.
За последний год в киберпространстве значительно возросло число инцидентов, направленных на отключение корпоративной защиты. Об этом говорится в ежегодном отчёте Red Report , опубликованном компанией Picus Security.
Отчёт выявил значительный рост способностей атакующих обнаруживать и нейтрализовать современные системы защиты, включая файрволы нового поколения, антивирусное программное обеспечение и EDR-решения.
Специализированный вредоносный софт, который и отвечает за отключение систем безопасности компаний, в Picus Security обозначили общим названием «Hunter-killer» («охотник-убийца») и отметили рост числа использования подобных программ на 333% за последние 12 месяцев.
Сулейман Озарслан, сооснователь и вице-президент Picus, подчеркнул, что такое значительное увеличение стало неожиданностью, поскольку ранее подобное ПО не входило даже в ТОП-10 угроз. Это подчёркивает сдвиг хакеров к применению более разрушительных и опасных инструментов, представляя серьёзную задачу для ИБ-специалистов.
В отчёте, основанном на анализе более 600 тысяч образцов вредоносного ПО, выявленных в «дикой природе» (ITW), говорится о том, что преступники адаптируют свои тактики в ответ на растущую кибербезопасность предприятий и широкое использование инструментов с продвинутыми возможностями для обнаружения угроз.
Теперь такое поведение наблюдается примерно в четверти всех образцов вредоносного ПО и используется практически каждой группой, занимающейся вымогательством и продвинутыми атаками.
Калли Гюнтер, старший менеджер по исследованию киберугроз компании Critical Start, отметила, что появление ПО типа «Hunter-killer» является значительной эволюцией в киберугрозах, требующей от ИБ-отрасли принятия более динамичных и проактивных механизмов защиты.
T Дайджест / IT Новости / IT / Технологии
Новое поколение зловредного ПО нацелено не на обход обнаружения, а на полное уничтожение защиты предприятий.
За последний год в киберпространстве значительно возросло число инцидентов, направленных на отключение корпоративной защиты. Об этом говорится в ежегодном отчёте Red Report , опубликованном компанией Picus Security.
Отчёт выявил значительный рост способностей атакующих обнаруживать и нейтрализовать современные системы защиты, включая файрволы нового поколения, антивирусное программное обеспечение и EDR-решения.
Специализированный вредоносный софт, который и отвечает за отключение систем безопасности компаний, в Picus Security обозначили общим названием «Hunter-killer» («охотник-убийца») и отметили рост числа использования подобных программ на 333% за последние 12 месяцев.
Сулейман Озарслан, сооснователь и вице-президент Picus, подчеркнул, что такое значительное увеличение стало неожиданностью, поскольку ранее подобное ПО не входило даже в ТОП-10 угроз. Это подчёркивает сдвиг хакеров к применению более разрушительных и опасных инструментов, представляя серьёзную задачу для ИБ-специалистов.
В отчёте, основанном на анализе более 600 тысяч образцов вредоносного ПО, выявленных в «дикой природе» (ITW), говорится о том, что преступники адаптируют свои тактики в ответ на растущую кибербезопасность предприятий и широкое использование инструментов с продвинутыми возможностями для обнаружения угроз.
Теперь такое поведение наблюдается примерно в четверти всех образцов вредоносного ПО и используется практически каждой группой, занимающейся вымогательством и продвинутыми атаками.
Калли Гюнтер, старший менеджер по исследованию киберугроз компании Critical Start, отметила, что появление ПО типа «Hunter-killer» является значительной эволюцией в киберугрозах, требующей от ИБ-отрасли принятия более динамичных и проактивных механизмов защиты.
T Дайджест / IT Новости / IT / Технологии
🔥2❤1
Кибербезопасность по-американски: как череда глупых ошибок привела к взлому правительственной сети
Компрометации можно было избежать, применив лишь несколько простых мер защиты...
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
IT Дайджест / IT Новости / IT / Технологии
Компрометации можно было избежать, применив лишь несколько простых мер защиты...
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
IT Дайджест / IT Новости / IT / Технологии
Представлен аналоговый компьютер будущего на спиновых волнах
Как новые технологии способны переопределить эффективность вычислений.
Ученые из Японии и Швейцарии совершили важный шаг на пути к созданию нового поколения аналоговых компьютеров, разработав новые типы логических элементов на основе спиновых волн. Спиновые волны возникают, когда все электроны в системе одновременно меняют ориентацию своих спинов в одном направлении.
Тайчи Гото, доцент Исследовательского института электросвязи Тохокского университета и соавтор исследования, отмечает, что спиновые волны, имеющие длину волн около 100 нанометров, предлагают альтернативный взгляд на аналоговое вычисление, более согласующийся с преимущественно электронным миром цифровых компьютеров. В отличие от оптических аналоговых компьютеров, которые могут быть громоздкими и уязвимыми из-за несовершенств оптических компонентов, технология на основе спиновых волн может быть более доступной и не требует охлаждения, что значительно снижает затраты на ее эксплуатацию.
Исследователи разработали новый тип волновода для логических элементов аналогового компьютера на спиновых волнах, используя не оптику, а «магнонику» для управления этими волнами. Такой подход, по словам Гото, позволяет работать при комнатной температуре без необходимости в дополнительных охладительных системах, что делает его более экономичным в сравнении с другими волновыми технологиями.
Для создания волновода ученые использовали процессирование железо иттриевого граната (Y3Fe5O12, YIG) для получения стержневидных форм, а затем добавили к подложке из YIG двумерный медный гексагональный решетчатый слой, увеличивающий внутреннее отражение и снижающий потери в волноводе.
Спиновые волны в устройстве генерируются антенной, непосредственно размещенной на изоляционной подложке, а двумерный медный слой отражает и направляет эти волны. Размер и структура антенны позволяют легко изменять длину волн спиновых волн.
IT Дайджест / IT Новости / IT / Технологии
Как новые технологии способны переопределить эффективность вычислений.
Ученые из Японии и Швейцарии совершили важный шаг на пути к созданию нового поколения аналоговых компьютеров, разработав новые типы логических элементов на основе спиновых волн. Спиновые волны возникают, когда все электроны в системе одновременно меняют ориентацию своих спинов в одном направлении.
Тайчи Гото, доцент Исследовательского института электросвязи Тохокского университета и соавтор исследования, отмечает, что спиновые волны, имеющие длину волн около 100 нанометров, предлагают альтернативный взгляд на аналоговое вычисление, более согласующийся с преимущественно электронным миром цифровых компьютеров. В отличие от оптических аналоговых компьютеров, которые могут быть громоздкими и уязвимыми из-за несовершенств оптических компонентов, технология на основе спиновых волн может быть более доступной и не требует охлаждения, что значительно снижает затраты на ее эксплуатацию.
Исследователи разработали новый тип волновода для логических элементов аналогового компьютера на спиновых волнах, используя не оптику, а «магнонику» для управления этими волнами. Такой подход, по словам Гото, позволяет работать при комнатной температуре без необходимости в дополнительных охладительных системах, что делает его более экономичным в сравнении с другими волновыми технологиями.
Для создания волновода ученые использовали процессирование железо иттриевого граната (Y3Fe5O12, YIG) для получения стержневидных форм, а затем добавили к подложке из YIG двумерный медный гексагональный решетчатый слой, увеличивающий внутреннее отражение и снижающий потери в волноводе.
Спиновые волны в устройстве генерируются антенной, непосредственно размещенной на изоляционной подложке, а двумерный медный слой отражает и направляет эти волны. Размер и структура антенны позволяют легко изменять длину волн спиновых волн.
IT Дайджест / IT Новости / IT / Технологии
👍1
MMS Fingerprint: NSO Group раскрыла секретный метод шпионажа через MMS
Раскрыта новая техника заражения, работающая без участия пользователя.
В документации текущего судебного процесса между WhatsApp и компанией NSO Group, специализирующейся на шпионском программном обеспечении, обнаружен намек на существование ранее неизвестного метода заражения. В контракте между NSO и телекоммуникационным регулятором Ганы упоминается технология под названием "MMS Fingerprint", классифицированная как инструмент помощи в заражении. Этот метод, по заявлениям NSO, позволяет идентифицировать устройство и операционную систему цели без необходимости взаимодействия или открытия сообщения пользователем, и может быть использован против устройств на Android, Blackberry и iOS.
Технология "MMS Fingerprint" вызвала интерес у Кэтала МакДэйда, вице-президента по технологиям в шведской компании Enea, специализирующейся на безопасности телекоммуникаций, который решил изучить этот метод подробнее. МакДэйд обратил внимание на процесс обмена MMS, который описал как "беспорядочный", поскольку иногда для отправки MMS используется не сам протокол MMS. В ходе исследования было выяснено, что в процессе получения сообщения MMS через HTTP GET запрос к URL, содержащемуся в ожидающем сообщении, передается информация о устройстве пользователя. Это и позволяет "снимать" отпечаток MMS.
Компания Enea провела тестирование и смогла заставить целевое устройство выполнить GET запрос к URL на сервере под своим контролем. Этот запрос выявил поля UserAgent и x-wap-profile устройства, которые указывают на операционную систему и модель устройства, а также на файл UAProf (Профиль Агента Пользователя), описывающий возможности мобильного телефона. Enea смогла скрыть этот процесс, изменив элемент бинарного SMS на тихий SMS, тем самым никакое содержимое MMS на целевом устройстве не отображалось.
IT Дайджест / IT Новости / IT / Технологии
Раскрыта новая техника заражения, работающая без участия пользователя.
В документации текущего судебного процесса между WhatsApp и компанией NSO Group, специализирующейся на шпионском программном обеспечении, обнаружен намек на существование ранее неизвестного метода заражения. В контракте между NSO и телекоммуникационным регулятором Ганы упоминается технология под названием "MMS Fingerprint", классифицированная как инструмент помощи в заражении. Этот метод, по заявлениям NSO, позволяет идентифицировать устройство и операционную систему цели без необходимости взаимодействия или открытия сообщения пользователем, и может быть использован против устройств на Android, Blackberry и iOS.
Технология "MMS Fingerprint" вызвала интерес у Кэтала МакДэйда, вице-президента по технологиям в шведской компании Enea, специализирующейся на безопасности телекоммуникаций, который решил изучить этот метод подробнее. МакДэйд обратил внимание на процесс обмена MMS, который описал как "беспорядочный", поскольку иногда для отправки MMS используется не сам протокол MMS. В ходе исследования было выяснено, что в процессе получения сообщения MMS через HTTP GET запрос к URL, содержащемуся в ожидающем сообщении, передается информация о устройстве пользователя. Это и позволяет "снимать" отпечаток MMS.
Компания Enea провела тестирование и смогла заставить целевое устройство выполнить GET запрос к URL на сервере под своим контролем. Этот запрос выявил поля UserAgent и x-wap-profile устройства, которые указывают на операционную систему и модель устройства, а также на файл UAProf (Профиль Агента Пользователя), описывающий возможности мобильного телефона. Enea смогла скрыть этот процесс, изменив элемент бинарного SMS на тихий SMS, тем самым никакое содержимое MMS на целевом устройстве не отображалось.
IT Дайджест / IT Новости / IT / Технологии
👍3❤2
Мобильная малварь GoldPickaxe ворует биометрию для создания дипфейков
Новый троян для iOS и Android, получивший название GoldPickaxe, использует социальную инженерию, вынуждая жертв сканировать свои лица и документы, удостоверяющие личность. Исследователи Group-IB полагают, что потом эти данные используются для создания дипфейков и несанкционированного доступа к банковским счетам.
Подчеркивается, что малварь обманом, помощью социальной инженерии заставляет людей раскрыть свое лицо. То есть GoldPickaxe не перехватывает данные Face ID и не использует какие-либо уязвимости в мобильных ОС.
По словам исследователей, новая малварь является частью вредоносного арсенала китайской хак-группы GoldFactory, которая также ответственна за создание таких угроз как GoldDigger, GoldDiggerPlus и GoldKefu. Атаки этой группировки обычно направлены на Азиатско-Тихоокеанский регион (в частности, на Таиланд и Вьетнам).
Сообщается, что распространение GoldPickaxe началось в еще октябре 2023 года, и малварь активна до сих пор.
Как правило, жертвы получают фишинговые письма или сообщения в мессенджере LINE, написанные на их родном языке. В них мошенники выдают себя за представителей государственных органов и служб, обманом вынуждая пользователей установить вредоносные приложения. Например, Digital Pension, размещенное на сайтах, маскирующихся под официальный магазин Google Play.
IT Дайджест / IT Новости / IT / Технологии
Новый троян для iOS и Android, получивший название GoldPickaxe, использует социальную инженерию, вынуждая жертв сканировать свои лица и документы, удостоверяющие личность. Исследователи Group-IB полагают, что потом эти данные используются для создания дипфейков и несанкционированного доступа к банковским счетам.
Подчеркивается, что малварь обманом, помощью социальной инженерии заставляет людей раскрыть свое лицо. То есть GoldPickaxe не перехватывает данные Face ID и не использует какие-либо уязвимости в мобильных ОС.
По словам исследователей, новая малварь является частью вредоносного арсенала китайской хак-группы GoldFactory, которая также ответственна за создание таких угроз как GoldDigger, GoldDiggerPlus и GoldKefu. Атаки этой группировки обычно направлены на Азиатско-Тихоокеанский регион (в частности, на Таиланд и Вьетнам).
Сообщается, что распространение GoldPickaxe началось в еще октябре 2023 года, и малварь активна до сих пор.
Как правило, жертвы получают фишинговые письма или сообщения в мессенджере LINE, написанные на их родном языке. В них мошенники выдают себя за представителей государственных органов и служб, обманом вынуждая пользователей установить вредоносные приложения. Например, Digital Pension, размещенное на сайтах, маскирующихся под официальный магазин Google Play.
IT Дайджест / IT Новости / IT / Технологии
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
❤2
Защита частных сетевых доступов: Google обезопасит роутеры и принтеры от хакеров
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
❤3💩1
Раскол в Nginx: Разработчик недоволен «корпоративным вмешательством», создает свободный форк
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
❤3👍1