Корейские ученые создали умную электронику, способную читать наши чувства
Способны ли машины настолько хорошо понимать человеческие эмоции?
Исследователи из Южной Кореи разработали уникальное носимое устройство, которое может стать ключом к интеграции роботов в общество благодаря их способности понимать человеческие эмоции и адекватно на них реагировать. Это устройство, созданное командой из Национального института науки и технологий Ульсана (UNIST), представляет собой растяжимую систему, носимую на лице, которая может оценивать эмоциональные состояния человека, используя мониторинг трения кожи и вибраций, а также генерировать собственную энергию.
Роботы, несмотря на их способности выполнять различные задачи, от подъема тяжестей до управления самолетами, до сих пор имели ограничения в понимании сложных человеческих эмоций. Однако новая разработка предлагает перспективное решение этой проблемы. Носимое устройство состоит из тонких, прозрачных, гибких сенсоров, которые прикрепляются к лицу с обеих сторон головы, охватывая области вокруг глаз, челюсти и заднюю часть головы. Эти сенсоры могут быть изготовлены по индивидуальному заказу для любого лица.
Система, к которой подключаются сенсоры, обучена распознавать человеческие эмоции, анализируя модели натяжения кожи и вибрации голоса. Особенностью системы является ее способность самостоятельно генерировать энергию за счет растяжения материала сенсора, благодаря чему она может функционировать в течение всего дня без необходимости подзарядки. Это первый пример создания полностью автономной, носимой системы распознавания эмоций.
Хотя использование таких сенсоров в повседневной жизни может показаться непривычным, исследователи видят большой потенциал в их применении в среде виртуальной реальности. В ходе испытаний система использовалась для предложения рекомендаций по книгам, музыке и фильмам в зависимости от эмоционального состояния пользователя.
IT Дайджест / IT Новости / IT / Технологии
Способны ли машины настолько хорошо понимать человеческие эмоции?
Исследователи из Южной Кореи разработали уникальное носимое устройство, которое может стать ключом к интеграции роботов в общество благодаря их способности понимать человеческие эмоции и адекватно на них реагировать. Это устройство, созданное командой из Национального института науки и технологий Ульсана (UNIST), представляет собой растяжимую систему, носимую на лице, которая может оценивать эмоциональные состояния человека, используя мониторинг трения кожи и вибраций, а также генерировать собственную энергию.
Роботы, несмотря на их способности выполнять различные задачи, от подъема тяжестей до управления самолетами, до сих пор имели ограничения в понимании сложных человеческих эмоций. Однако новая разработка предлагает перспективное решение этой проблемы. Носимое устройство состоит из тонких, прозрачных, гибких сенсоров, которые прикрепляются к лицу с обеих сторон головы, охватывая области вокруг глаз, челюсти и заднюю часть головы. Эти сенсоры могут быть изготовлены по индивидуальному заказу для любого лица.
Система, к которой подключаются сенсоры, обучена распознавать человеческие эмоции, анализируя модели натяжения кожи и вибрации голоса. Особенностью системы является ее способность самостоятельно генерировать энергию за счет растяжения материала сенсора, благодаря чему она может функционировать в течение всего дня без необходимости подзарядки. Это первый пример создания полностью автономной, носимой системы распознавания эмоций.
Хотя использование таких сенсоров в повседневной жизни может показаться непривычным, исследователи видят большой потенциал в их применении в среде виртуальной реальности. В ходе испытаний система использовалась для предложения рекомендаций по книгам, музыке и фильмам в зависимости от эмоционального состояния пользователя.
IT Дайджест / IT Новости / IT / Технологии
👎3👍2🔥2
Ученые разгадали тайну знаменитого космического взрыва
Долгие годы поисков и споров наконец завершились успехом.
В феврале 1987 года астрономы стали свидетелями взрыва звезды в близлежащей галактике. Это событие было видно с Земли на протяжении нескольких месяцев, взрыв светил с силой в 100 миллионов солнц. Из-за огромного количества обломков даже самые мощные телескопы не могли подтвердить, что осталось в его центре.
Новые исследования подтверждают, что в центре взрыва находится нейтронная звезда, настолько плотная, что чайная ложка ее вещества весила бы 10 миллионов тонн.
Доктор Мэгги Адерин-Покок, сравнила это исследование с расследованием убийства. "Речь идет о смерти звезды, и загадкой было то, что скрывается в пылевых облаках вокруг остатков," - сказала она.
Взрыв произошел в результате конца жизни огромной звезды, в 20 раз превышающей массу нашего Солнца, так называемого голубого сверхгиганта. Его жизнь завершилась впечатляющим образом в процессе, известном как сверхновая, получившей название SN 1987A . Это была первая сверхновая, видимая невооруженным глазом за последние 400 лет, и звезда, детали которой были зарегистрированы астрономами до ее взрыва.
Наблюдения за SN 1987A сделали ее идеальной лабораторией на небесах для проверки теорий о смерти звезд. Но важная часть головоломки отсутствовала - что осталось в ее сердце после такого катастрофического события.
Согласно теории, звезды коллапсируют, когда у них заканчивается топливо для ядерных реакций, заставляющих их светиться. Масса звезды настолько велика, что ее гравитационная сила сжимает собственные атомы, производя самое плотное вещество во Вселенной, которое называется нейтронной звездой , а если звезда большая, она может стать черной дырой .
Но что именно осталось после взрыва? Это важно для астрономов, потому что сверхновые распространяют тяжелые элементы, которые помогают формировать и поддерживать жизнь во Вселенной.
IT Дайджест / IT Новости / IT / Технологии
Долгие годы поисков и споров наконец завершились успехом.
В феврале 1987 года астрономы стали свидетелями взрыва звезды в близлежащей галактике. Это событие было видно с Земли на протяжении нескольких месяцев, взрыв светил с силой в 100 миллионов солнц. Из-за огромного количества обломков даже самые мощные телескопы не могли подтвердить, что осталось в его центре.
Новые исследования подтверждают, что в центре взрыва находится нейтронная звезда, настолько плотная, что чайная ложка ее вещества весила бы 10 миллионов тонн.
Доктор Мэгги Адерин-Покок, сравнила это исследование с расследованием убийства. "Речь идет о смерти звезды, и загадкой было то, что скрывается в пылевых облаках вокруг остатков," - сказала она.
Взрыв произошел в результате конца жизни огромной звезды, в 20 раз превышающей массу нашего Солнца, так называемого голубого сверхгиганта. Его жизнь завершилась впечатляющим образом в процессе, известном как сверхновая, получившей название SN 1987A . Это была первая сверхновая, видимая невооруженным глазом за последние 400 лет, и звезда, детали которой были зарегистрированы астрономами до ее взрыва.
Наблюдения за SN 1987A сделали ее идеальной лабораторией на небесах для проверки теорий о смерти звезд. Но важная часть головоломки отсутствовала - что осталось в ее сердце после такого катастрофического события.
Согласно теории, звезды коллапсируют, когда у них заканчивается топливо для ядерных реакций, заставляющих их светиться. Масса звезды настолько велика, что ее гравитационная сила сжимает собственные атомы, производя самое плотное вещество во Вселенной, которое называется нейтронной звездой , а если звезда большая, она может стать черной дырой .
Но что именно осталось после взрыва? Это важно для астрономов, потому что сверхновые распространяют тяжелые элементы, которые помогают формировать и поддерживать жизнь во Вселенной.
IT Дайджест / IT Новости / IT / Технологии
🤔4😱2👍1
Хакер, обесточивший 38 поселков в Вологодской области, предстанет перед судом
Фигурант находится под подпиской о невыезде.
УФСБ России по Вологодской области завершило расследование уголовного дела в отношении вологодского хакера, который в феврале 2023 года получил неправомерный доступ к системам технологического управления электросетями и отключил электроснабжение в 38 населенных пунктах региона.
Речь идет о поселках в Шекснинском районе, Устюженском и Бабаевском округах. По факту данного инцидента было возбуждено уголовное дело по части 4 статьи 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации).
Следствие установило, что к преступлению причастен местный житель 1975 года рождения. Сейчас уголовное дело направлено в суд для рассмотрения по существу. Подозреваемый находится под подпиской о невыезде.
IT Дайджест / IT Новости / IT / Технологии
Фигурант находится под подпиской о невыезде.
УФСБ России по Вологодской области завершило расследование уголовного дела в отношении вологодского хакера, который в феврале 2023 года получил неправомерный доступ к системам технологического управления электросетями и отключил электроснабжение в 38 населенных пунктах региона.
Речь идет о поселках в Шекснинском районе, Устюженском и Бабаевском округах. По факту данного инцидента было возбуждено уголовное дело по части 4 статьи 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации).
Следствие установило, что к преступлению причастен местный житель 1975 года рождения. Сейчас уголовное дело направлено в суд для рассмотрения по существу. Подозреваемый находится под подпиской о невыезде.
IT Дайджест / IT Новости / IT / Технологии
👍4
Под новые санкции попали российские провайдеры ЦОД и Код Безопасности
Крупнейшие российские провайдеры дата-центров и ИБ-компания «Код Безопасности» попали в новый санкционный список Министерства финансов США. Как отметили эксперты, ранее Запад обходил этот сегмент ИТ-рынка России.
О новом пакете стало известно 23 февраля. Издание «Ъ», ознакомившись со списком подсанкционных организаций, выяснило, что среди них есть «Миран», «Ростелком-ЦОД», 3data, Oxygen, а также подрядчик, занимающийся дата-центром Сбера — ООО «ИнфоТех Балаково».
Специалисты считают, что попасть в новый перечень провайдеры ЦОД могли из-за связи и контрактов с некими подсанкционными предприятиями военно-промышленного комплекса.
Участники рынка заявили, что для них это стало неожиданностью, а учитывая закупки западного серверного оборудования и лицензий на софт, рабочие процессы российских провайдеров дата-центров рискуют серьёзно пострадать.
Под ограничения также попали ещё один актив ГК «Айтеко» — «Айтеко Инжиниринг», некоторые интеграторы и ИТ-вендоры: ICL, T1, «Инферит» (входит в ГК Softline).
Что касается девелоперов, среди затронутых называются НПО «РусБИТех» и «Ред Софт» (разрабатывают Astra Linux и «Ред ОС»). Отдельно отмечаем компанию из нашей сферы — «Код Безопасности».
Представители последней заявили «Коммерсанту», что компания готовилась к санкциям заранее и перенесла производство большей части комплектующих для аппаратной начинки в Россию.
IT Дайджест / IT Новости / IT / Технологии
Крупнейшие российские провайдеры дата-центров и ИБ-компания «Код Безопасности» попали в новый санкционный список Министерства финансов США. Как отметили эксперты, ранее Запад обходил этот сегмент ИТ-рынка России.
О новом пакете стало известно 23 февраля. Издание «Ъ», ознакомившись со списком подсанкционных организаций, выяснило, что среди них есть «Миран», «Ростелком-ЦОД», 3data, Oxygen, а также подрядчик, занимающийся дата-центром Сбера — ООО «ИнфоТех Балаково».
Специалисты считают, что попасть в новый перечень провайдеры ЦОД могли из-за связи и контрактов с некими подсанкционными предприятиями военно-промышленного комплекса.
Участники рынка заявили, что для них это стало неожиданностью, а учитывая закупки западного серверного оборудования и лицензий на софт, рабочие процессы российских провайдеров дата-центров рискуют серьёзно пострадать.
Под ограничения также попали ещё один актив ГК «Айтеко» — «Айтеко Инжиниринг», некоторые интеграторы и ИТ-вендоры: ICL, T1, «Инферит» (входит в ГК Softline).
Что касается девелоперов, среди затронутых называются НПО «РусБИТех» и «Ред Софт» (разрабатывают Astra Linux и «Ред ОС»). Отдельно отмечаем компанию из нашей сферы — «Код Безопасности».
Представители последней заявили «Коммерсанту», что компания готовилась к санкциям заранее и перенесла производство большей части комплектующих для аппаратной начинки в Россию.
IT Дайджест / IT Новости / IT / Технологии
👍6😎3
Роскомнадзор: в 2024 году в сеть уже утекли 510 млн записей россиян
По данным Роскомнадзора, с начала 2024 года был зафиксировано 19 случаев утечки персональных данных, и в сеть попали более 510 млн записей о россиянах. Особенно в ведомстве выделили один инцидент, в результате которого произошла утечка сразу 500 млн записей.
ТАСС цитирует замглавы Роскомнадзора Милоша Вагнера:
Также Вагнер, сообщил, что если сравнивать 2022 и 2023 годы, то количество случаев компрометации данных увеличилось, хотя объем самих утечек при этом уменьшился.
, — отметил он.
О какой утечке идет речь, и с какой именно организацией она может быть связана, в ведомстве не уточняют.
Сообщается, что за весь 2023 год Роскомнадзор зафиксировал 168 утечек персональных данных, при этом в сеть попали порядка 300 млн записей о россиянах. А в 2022 году сеть утекли 600 млн записей о гражданах РФ, тогда как ведомство зафиксировало более 140 утечек.
IT Дайджест / IT Новости / IT / Технологии
По данным Роскомнадзора, с начала 2024 года был зафиксировано 19 случаев утечки персональных данных, и в сеть попали более 510 млн записей о россиянах. Особенно в ведомстве выделили один инцидент, в результате которого произошла утечка сразу 500 млн записей.
ТАСС цитирует замглавы Роскомнадзора Милоша Вагнера:
«Всего утекло 510 млн [записей], из них 500 млн – это одна утечка. Мы ее сейчас расследуем».
Также Вагнер, сообщил, что если сравнивать 2022 и 2023 годы, то количество случаев компрометации данных увеличилось, хотя объем самих утечек при этом уменьшился.
«А в этом году одним этим случаем покрыли практически весь предыдущий год»
, — отметил он.
О какой утечке идет речь, и с какой именно организацией она может быть связана, в ведомстве не уточняют.
Сообщается, что за весь 2023 год Роскомнадзор зафиксировал 168 утечек персональных данных, при этом в сеть попали порядка 300 млн записей о россиянах. А в 2022 году сеть утекли 600 млн записей о гражданах РФ, тогда как ведомство зафиксировало более 140 утечек.
IT Дайджест / IT Новости / IT / Технологии
👍5😁5❤4
Хакеры-миллиардеры: спецслужбы раскрыли общую прибыль LockBit
Какой на самом деле уровень экономики выкупов LockBit?
За последние 1,5 года группировка LockBit получила более $125 млн. в виде выкупов, как показал анализ сотен криптовалютных кошельков, связанных с операциями группы.
Согласно пресс-релизу Национального агентства по борьбе с преступностью Великобритании (National Crime Agency, NCA), в ходе операции Cronos, направленной против вымогателей, было выявлено более 500 активных криптокошельков, на которые с июля 2022 по февраль 2024 года было перечислено более 2 437 BTC (более $125 млн. по текущему курсу).
При этом, более 2 200 BTC (более $110 млн.) остались неизрасходованными на момент прекращения деятельности LockBit. Неизрасходованные средства представляют собой суммы выкупов жертв и платежи самой группировки LockBit, включая 20% комиссию, уплачиваемую партнерам по RaaS-модели (Ransomware-as-a-Service).
NCA также сообщило, что захват инфраструктуры LockBit привел к обнаружению 85 счетов на криптовалютных биржах с активами на сотни тысяч долларов, которые теперь заблокированы Binance.
Данные для анализа были взяты только за 18-месячный период деятельности группы. Учитывая подтвержденные атаки LockBit за 4 года работы (более 2000 жертв), общее воздействие оценивается в несколько миллиардов долларов.
По оценкам, средний размер требуемого выкупа составлял около $1,5 млн. Учитывая количество жертв группы, сумма выкупа в некоторых случаях действительно могла составлять миллиарды долларов. Стоит отметить, что доля жертв, фактически выплачивающих выкуп, остается предметом дискуссий и различается в разных отчетах.
Ранее мы сообщали о том, что в рамках международной операции «Кронос» , начавшейся 19 февраля, были арестованы по меньшей мере 3 соучастника LockBit в Польше и Украине. Аресты последовали за ликвидацией инфраструктуры тёмной сети LockBit, используемой группировкой для угроз своим жертвам и публикации украденных данных в случае неуплаты выкупа.
IT Дайджест / IT Новости / IT / Технологии
Какой на самом деле уровень экономики выкупов LockBit?
За последние 1,5 года группировка LockBit получила более $125 млн. в виде выкупов, как показал анализ сотен криптовалютных кошельков, связанных с операциями группы.
Согласно пресс-релизу Национального агентства по борьбе с преступностью Великобритании (National Crime Agency, NCA), в ходе операции Cronos, направленной против вымогателей, было выявлено более 500 активных криптокошельков, на которые с июля 2022 по февраль 2024 года было перечислено более 2 437 BTC (более $125 млн. по текущему курсу).
При этом, более 2 200 BTC (более $110 млн.) остались неизрасходованными на момент прекращения деятельности LockBit. Неизрасходованные средства представляют собой суммы выкупов жертв и платежи самой группировки LockBit, включая 20% комиссию, уплачиваемую партнерам по RaaS-модели (Ransomware-as-a-Service).
NCA также сообщило, что захват инфраструктуры LockBit привел к обнаружению 85 счетов на криптовалютных биржах с активами на сотни тысяч долларов, которые теперь заблокированы Binance.
Данные для анализа были взяты только за 18-месячный период деятельности группы. Учитывая подтвержденные атаки LockBit за 4 года работы (более 2000 жертв), общее воздействие оценивается в несколько миллиардов долларов.
По оценкам, средний размер требуемого выкупа составлял около $1,5 млн. Учитывая количество жертв группы, сумма выкупа в некоторых случаях действительно могла составлять миллиарды долларов. Стоит отметить, что доля жертв, фактически выплачивающих выкуп, остается предметом дискуссий и различается в разных отчетах.
Ранее мы сообщали о том, что в рамках международной операции «Кронос» , начавшейся 19 февраля, были арестованы по меньшей мере 3 соучастника LockBit в Польше и Украине. Аресты последовали за ликвидацией инфраструктуры тёмной сети LockBit, используемой группировкой для угроз своим жертвам и публикации украденных данных в случае неуплаты выкупа.
IT Дайджест / IT Новости / IT / Технологии
👍4😱4
В январе мошенники провели в России 2 тыс. атак с использованием дипфейков
В RTM Group фиксируют рост активности мошенников, атакующих россиян с помощью дипфейков. В первый месяц 2024 года исследователи насчитали более 2 тыс. таких инцидентов.
Примерно в 70% случаев злоумышленники пытались с помощью голосовых дипфейков выманить деньги у граждан, выдавая себя за родственника, коллегу или знакомого. В атаках на сотрудников организаций использовались сгенерированные ИИ аудиосообщения руководителей, при этом обманщики требовали предоставить интересующую их информацию либо перевести крупную сумму на указанный счет.
Рост подобных злоупотреблений в RTM объясняют расширением доступа к ИИ-технологиям. В прошлом году в паблик были слиты алгоритмы для подмены голоса почти в реальном времени; также в интернете плодятся услуги по созданию дипфейков на основе образцов аудио- и видеозаписи.
Убедительные имитации известных личностей помогают мошенникам обирать доверчивых инвесторов, продвигая сомнительные проекты. В ВТБ также зафиксированы случаи подмены биометрии клиента (голоса) и кражи денег с помощью фейковой видеоконсультации банка.
В отсутствие специализированных решений на рынке банки пытаются защитить клиентов от дипфейк-атак посредством отслеживания аномалий (переводы больших сумм на незафиксированные ранее счета, оформление крупных кредитов). В таких случаях банк может приостановить операцию и уведомить клиента о рисках.
IT Дайджест / IT Новости / IT / Технологии
В RTM Group фиксируют рост активности мошенников, атакующих россиян с помощью дипфейков. В первый месяц 2024 года исследователи насчитали более 2 тыс. таких инцидентов.
Примерно в 70% случаев злоумышленники пытались с помощью голосовых дипфейков выманить деньги у граждан, выдавая себя за родственника, коллегу или знакомого. В атаках на сотрудников организаций использовались сгенерированные ИИ аудиосообщения руководителей, при этом обманщики требовали предоставить интересующую их информацию либо перевести крупную сумму на указанный счет.
Рост подобных злоупотреблений в RTM объясняют расширением доступа к ИИ-технологиям. В прошлом году в паблик были слиты алгоритмы для подмены голоса почти в реальном времени; также в интернете плодятся услуги по созданию дипфейков на основе образцов аудио- и видеозаписи.
Убедительные имитации известных личностей помогают мошенникам обирать доверчивых инвесторов, продвигая сомнительные проекты. В ВТБ также зафиксированы случаи подмены биометрии клиента (голоса) и кражи денег с помощью фейковой видеоконсультации банка.
«К сожалению, успешность была 100 из 100, — цитируют «Известия» выступление зампредправления ВТБ Вадима Кулика на Уральском форуме «Кибербезопасность в финансах». — К этому виду фрода мы пока не готовы, Здесь нужно будет создавать серию новых процессов и новых технологий».
В отсутствие специализированных решений на рынке банки пытаются защитить клиентов от дипфейк-атак посредством отслеживания аномалий (переводы больших сумм на незафиксированные ранее счета, оформление крупных кредитов). В таких случаях банк может приостановить операцию и уведомить клиента о рисках.
IT Дайджест / IT Новости / IT / Технологии
😁3👏2❤1🤨1
В 2023 году на устройствах россиян детектировали более 126 млн киберугроз
В 2023 году решения «Лаборатории Касперского» для защиты конечных устройств заблокировали в России более 126 миллионов киберугроз. Такие данные эксперты компании представили на Kaspersky CyberSecurity Weekend в Малайзии.
Доля российских пользователей, которые потенциально могли пострадать от этих атак, составляет 45,43%. Минимизировать подобные угрозы можно путём перехода с ноутбуков и настольных компьютеров на кибериммунные тонкие клиенты — компактные корпоративные компьютеры.
Их особенность в том, что хранение информации, а также непосредственное место работы всех служебных приложений вынесены на сервер, за счёт чего ему требуется меньше вычислительных ресурсов. Устройство потребляет меньше электроэнергии, чем обычный компьютер, дешевле в обслуживании и компактнее по размеру — для работы с тонкими клиентами нужны лишь клавиатура, мышь и монитор.
Такие устройства используются в корпоративных сетях для организации рабочих мест по всему миру, но тонкие клиенты на традиционных ОС (Linux, Windows) могут быть подвержены различным видам атак.
Такие устройства используются в корпоративных сетях для организации рабочих мест по всему миру, но тонкие клиенты на традиционных ОС (Linux, Windows) могут быть подвержены различным видам атак.
IT Дайджест / IT Новости / IT / Технологии
В 2023 году решения «Лаборатории Касперского» для защиты конечных устройств заблокировали в России более 126 миллионов киберугроз. Такие данные эксперты компании представили на Kaspersky CyberSecurity Weekend в Малайзии.
Доля российских пользователей, которые потенциально могли пострадать от этих атак, составляет 45,43%. Минимизировать подобные угрозы можно путём перехода с ноутбуков и настольных компьютеров на кибериммунные тонкие клиенты — компактные корпоративные компьютеры.
Их особенность в том, что хранение информации, а также непосредственное место работы всех служебных приложений вынесены на сервер, за счёт чего ему требуется меньше вычислительных ресурсов. Устройство потребляет меньше электроэнергии, чем обычный компьютер, дешевле в обслуживании и компактнее по размеру — для работы с тонкими клиентами нужны лишь клавиатура, мышь и монитор.
Такие устройства используются в корпоративных сетях для организации рабочих мест по всему миру, но тонкие клиенты на традиционных ОС (Linux, Windows) могут быть подвержены различным видам атак.
Такие устройства используются в корпоративных сетях для организации рабочих мест по всему миру, но тонкие клиенты на традиционных ОС (Linux, Windows) могут быть подвержены различным видам атак.
IT Дайджест / IT Новости / IT / Технологии
👍2
8220 Gang: китайское майнинг-цунами накрывает мир
Linux и Windows под прицелом хакеров. Как обезопасить свою компанию?
В последнее время группа хакеров из Китая, известная как «8220 Gang», значительно усилила свои атаки на облачную инфраструктуру, нацеливаясь как на пользователей Linux, так и Windows с целью нелегального майнинга криптовалюты.
Последняя кампания группировки, проведённая с мая 2023 по февраль 2024 года, знаменует собой значительный прогресс в тактике 8220 и представляет повышенный риск для облачной безопасности во всём мире.
Согласно недавнему отчёту компании Uptycs, данные киберпреступники сменили свой фокус на использование хорошо известных критический уязвимостей, включая CVE-2021-44228 (10.0 по шкале CVSS) и CVE-2022-26134 (9.8 по шкале CVSS). Злоумышленники проникают в облачные системы путём сканирования Интернета на предмет уязвимых приложений и эксплуатации вышеуказанных уязвимостей для несанкционированного доступа.
Тем временем, одна из недавних атак группы была направлена на эксплуатацию ещё более старой уязвимости в Oracle WebLogic — CVE-2017-3506 , позволяющей злоумышленникам удалённо выполнять произвольные команды и открывать путь для дальнейших злонамеренных действий.
Все эти атаки оказывают далеко идущее воздействие на множество организаций, зависимых от облачной инфраструктуры для своих операций. Изменение тактики и методов, используемых группой 8220, указывает на тревожное развитие возможностей киберпреступников и подчёркивает необходимость повышенной бдительности и усиленных мер безопасности.
В своих кампаниях группа использует различные инструменты, включая вредоносное ПО Tsunami, XMRig, Masscan и Spirit, для проведения несанкционированного майнинга криптовалюты на скомпрометированных хостах Linux и Windows. Подобные нелегальные действия создают значительные риски для целостности и производительности затронутых систем.
IT Дайджест / IT Новости / IT / Технологии
Linux и Windows под прицелом хакеров. Как обезопасить свою компанию?
В последнее время группа хакеров из Китая, известная как «8220 Gang», значительно усилила свои атаки на облачную инфраструктуру, нацеливаясь как на пользователей Linux, так и Windows с целью нелегального майнинга криптовалюты.
Последняя кампания группировки, проведённая с мая 2023 по февраль 2024 года, знаменует собой значительный прогресс в тактике 8220 и представляет повышенный риск для облачной безопасности во всём мире.
Согласно недавнему отчёту компании Uptycs, данные киберпреступники сменили свой фокус на использование хорошо известных критический уязвимостей, включая CVE-2021-44228 (10.0 по шкале CVSS) и CVE-2022-26134 (9.8 по шкале CVSS). Злоумышленники проникают в облачные системы путём сканирования Интернета на предмет уязвимых приложений и эксплуатации вышеуказанных уязвимостей для несанкционированного доступа.
Тем временем, одна из недавних атак группы была направлена на эксплуатацию ещё более старой уязвимости в Oracle WebLogic — CVE-2017-3506 , позволяющей злоумышленникам удалённо выполнять произвольные команды и открывать путь для дальнейших злонамеренных действий.
Все эти атаки оказывают далеко идущее воздействие на множество организаций, зависимых от облачной инфраструктуры для своих операций. Изменение тактики и методов, используемых группой 8220, указывает на тревожное развитие возможностей киберпреступников и подчёркивает необходимость повышенной бдительности и усиленных мер безопасности.
В своих кампаниях группа использует различные инструменты, включая вредоносное ПО Tsunami, XMRig, Masscan и Spirit, для проведения несанкционированного майнинга криптовалюты на скомпрометированных хостах Linux и Windows. Подобные нелегальные действия создают значительные риски для целостности и производительности затронутых систем.
IT Дайджест / IT Новости / IT / Технологии
⚡️В Telegram массовый сбой. Юзеры из РФ не могут запустить приложение, загрузить каналы и медиа. Часть пользователей сообщает, что помогает VPN.
Вслед за Телегой умерли YouTube, ВКонтакте, WhatsApp и куча других сервисов!
Началось?
IT Дайджест / IT Новости / IT / Технологии
Вслед за Телегой умерли YouTube, ВКонтакте, WhatsApp и куча других сервисов!
Началось?
IT Дайджест / IT Новости / IT / Технологии
🤬4😁2
Опенсорсный червь SSH-Snake ворует ключи SSH
Аналитики компании Sysdig, специализирующейся на облачной безопасности, предупредили о появлении опенсорсного инструмента SSH-Snake, который используется для незаметного поиска приватных ключей и бокового перемещения по инфраструктуре жертвы.
Исследователи описывают SSH-Snake как «самомодифицирующегося червя», который использует учетные данные SSH, обнаруженные в скомпрометированной системе, чтобы начать распространяться по сети. Также отмечается, что он отличается от обычных SSH-червей тем, что избегает паттернов, типичных для скриптовых атак, и выводит обычное боковое перемещение по сети на новый уровень.
Например, SSH-Snake использует следующие прямые и косвенные методы для обнаружения приватных ключей в зараженных системах:
- поиск в общих каталогах и файлах, где обычно хранятся SSH-ключи и учетные данные, включая каталоги .ssh, файлы конфигурации и так далее;
- изучение файлов shell history (например, .bash_history, .zsh_history) для поиска команд (ssh, scp и rsync), которые могли использовать или ссылаться на приватные ключи SSH;
- использование функции find_from_bash_history для анализа истории bash в поисках команд, связанных с операциями SSH, SCP и Rsync, что позволяет обнаружить прямые ссылки на приватные ключи, их местоположение и связанные с ними учетные данные;
- изучение системных журналов и сетевого кеша (таблиц ARP) для выявления потенциальных целей и сбора информации, которая может косвенно привести к обнаружению приватных ключей и мест, их использования.
SSH-Snake появился на GitHub в начале января 2024 года, и его разработчик писал, что это «мощный инструмент» для автоматического network traversal c использованием приватных ключей SSH, обнаруженных в системах. При этом SSH-Snake создает полную карту сети и ее зависимостей, помогая определить, как сеть может быть скомпрометирована с использованием SSH и приватных ключей SSH, начиная с конкретного хоста.
IT Дайджест / IT Новости / IT / Технологии
Аналитики компании Sysdig, специализирующейся на облачной безопасности, предупредили о появлении опенсорсного инструмента SSH-Snake, который используется для незаметного поиска приватных ключей и бокового перемещения по инфраструктуре жертвы.
Исследователи описывают SSH-Snake как «самомодифицирующегося червя», который использует учетные данные SSH, обнаруженные в скомпрометированной системе, чтобы начать распространяться по сети. Также отмечается, что он отличается от обычных SSH-червей тем, что избегает паттернов, типичных для скриптовых атак, и выводит обычное боковое перемещение по сети на новый уровень.
Например, SSH-Snake использует следующие прямые и косвенные методы для обнаружения приватных ключей в зараженных системах:
- поиск в общих каталогах и файлах, где обычно хранятся SSH-ключи и учетные данные, включая каталоги .ssh, файлы конфигурации и так далее;
- изучение файлов shell history (например, .bash_history, .zsh_history) для поиска команд (ssh, scp и rsync), которые могли использовать или ссылаться на приватные ключи SSH;
- использование функции find_from_bash_history для анализа истории bash в поисках команд, связанных с операциями SSH, SCP и Rsync, что позволяет обнаружить прямые ссылки на приватные ключи, их местоположение и связанные с ними учетные данные;
- изучение системных журналов и сетевого кеша (таблиц ARP) для выявления потенциальных целей и сбора информации, которая может косвенно привести к обнаружению приватных ключей и мест, их использования.
SSH-Snake появился на GitHub в начале января 2024 года, и его разработчик писал, что это «мощный инструмент» для автоматического network traversal c использованием приватных ключей SSH, обнаруженных в системах. При этом SSH-Snake создает полную карту сети и ее зависимостей, помогая определить, как сеть может быть скомпрометирована с использованием SSH и приватных ключей SSH, начиная с конкретного хоста.
IT Дайджест / IT Новости / IT / Технологии
👍5
Критический баг в WordPress-плагине Ultimate Member допускает SQL-инъекцию
В популяром WordPress-плагине Ultimate Member выявили критическую уязвимость, позволяющую неаутентифицированному атакующему провести SQL-инъекцию и вытащить конфиденциальные данные из базы.
У плагина Ultimate Member насчитывается более 200 тысяч установок. Обнаруженная уязвимость получила идентификатор CVE-2024-1071 и 9,8 балла по шкале CVSS.
Специалисты Wordfence пишут в отчёте следующее:
Таким образом, не прошедший аутентификацию злоумышленник может добавить дополнительные запросы к уже существующим, что поможет ему извлечь конфиденциальные данные из базы.
Обратите внимание, что проблема затрагивает только те веб-сайты, администраторы которых включили опцию «Enable custom table for usermeta» в настройках плагина.
IT Дайджест / IT Новости / IT / Технологии
В популяром WordPress-плагине Ultimate Member выявили критическую уязвимость, позволяющую неаутентифицированному атакующему провести SQL-инъекцию и вытащить конфиденциальные данные из базы.
У плагина Ultimate Member насчитывается более 200 тысяч установок. Обнаруженная уязвимость получила идентификатор CVE-2024-1071 и 9,8 балла по шкале CVSS.
Специалисты Wordfence пишут в отчёте следующее:
«Ultimate Member уязвим к SQL-инъекции через параметр “sorting“ в версиях с 2.1.3 по 2.8.2. Брешь существует из-за недостаточного экранирования параметра и некорректной подготовки существующего SQL-запроса».
Таким образом, не прошедший аутентификацию злоумышленник может добавить дополнительные запросы к уже существующим, что поможет ему извлечь конфиденциальные данные из базы.
Обратите внимание, что проблема затрагивает только те веб-сайты, администраторы которых включили опцию «Enable custom table for usermeta» в настройках плагина.
IT Дайджест / IT Новости / IT / Технологии
✍2
Mysterious Werewolf атакует российскую промышленность
Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами.
К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года.
При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия:
- создавал файл .vbs в папке C:\Users\[user]\AppData\Local и записывал скрипт, запускающий файл, имя которого было передано как аргумент.
- создавал файл 1.bat в папке C:\Users\[user]\AppData\Local и запускал его с помощью команды call "%localappdata%\.vbs" "%localappdata%\1.bat".
- после запуска производил самоудаление: (goto) 2>nul & del "%~f0".
Специалисты напоминают, что ранее эта хак-группа использовала для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент. Но теперь Mysterious Werwolf чаще использует малварь собственной разработки.
Так, в рамах атак на ВПК на устройства жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы. Для управления бэкдором используется бот в Telegram.
IT Дайджест / IT Новости / IT / Технологии
Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами.
К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года.
При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия:
- создавал файл .vbs в папке C:\Users\[user]\AppData\Local и записывал скрипт, запускающий файл, имя которого было передано как аргумент.
- создавал файл 1.bat в папке C:\Users\[user]\AppData\Local и запускал его с помощью команды call "%localappdata%\.vbs" "%localappdata%\1.bat".
- после запуска производил самоудаление: (goto) 2>nul & del "%~f0".
Специалисты напоминают, что ранее эта хак-группа использовала для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент. Но теперь Mysterious Werwolf чаще использует малварь собственной разработки.
Так, в рамах атак на ВПК на устройства жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы. Для управления бэкдором используется бот в Telegram.
IT Дайджест / IT Новости / IT / Технологии
Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.
В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.
Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.
IT Дайджест / IT Новости / IT / Технологии
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.
В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.
Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.
IT Дайджест / IT Новости / IT / Технологии
👍2
LockBit восстанавливает инфраструктуру после операции правоохранителей
Хак-группа LockBit, инфраструктуру которую недавно взломали правоохранительные органы, возобновляет работу после непродолжительного перерыва. Представители группировки опубликовали длинное сообщение, в котором рассказывают о дальнейших планах и о том, как ФБР удалось их взломать.
Напомним, что на прошлой неделе правоохранители провели операцию Cronos, в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Новый шифровальщик и миллионы долларов
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro отчету, в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов.
IT Дайджест / IT Новости / IT / Технологии
Хак-группа LockBit, инфраструктуру которую недавно взломали правоохранительные органы, возобновляет работу после непродолжительного перерыва. Представители группировки опубликовали длинное сообщение, в котором рассказывают о дальнейших планах и о том, как ФБР удалось их взломать.
Напомним, что на прошлой неделе правоохранители провели операцию Cronos, в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Новый шифровальщик и миллионы долларов
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro отчету, в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов.
IT Дайджест / IT Новости / IT / Технологии
Мошенники, ворующие ключи от онлайн-банкинга, придумали налог на СВО
В «Тинькофф» рассказали о новой мошеннической схеме, нацеленной на кражу учеток клиентов российских банков. Обманщики рассылают имейл-сообщения о мифическом налоге на СВО и предлагают отказаться от уплаты, перейдя по ссылке на фишинговый сайт.
Поддельные письма оформлены как уведомления крупных банков. Получателя пугают: если не отказаться от уплаты нового налога, со счета будут списываться десятки тыс. рублей. Специально созданные сайты-ловушки тоже имитируют ресурсы финансовых организаций.
При переходе по ссылке, вставленной в письмо, открывается фишинговая страница входа в личный кабинет. Введенные на ней данные впоследствии могут использоваться для вывода денег со счета, оформления кредита и совершения других операций от имени жертвы — если, конечно, мошенникам удастся обойти защиту банка от такого фрода.
Пользователям следует помнить, что ни банки, ни ФНС никогда не информируют граждан об изменениях через имейл-рассылки. Новые вводные обычно публикуются на официальных сайтах, их можно также узнать, зайдя в личный кабинет — не по присланной ссылке, а непосредственно на сайте соответствующей организации.
IT Дайджест / IT Новости / IT / Технологии
В «Тинькофф» рассказали о новой мошеннической схеме, нацеленной на кражу учеток клиентов российских банков. Обманщики рассылают имейл-сообщения о мифическом налоге на СВО и предлагают отказаться от уплаты, перейдя по ссылке на фишинговый сайт.
Поддельные письма оформлены как уведомления крупных банков. Получателя пугают: если не отказаться от уплаты нового налога, со счета будут списываться десятки тыс. рублей. Специально созданные сайты-ловушки тоже имитируют ресурсы финансовых организаций.
«Сразу после завершения налогового периода, когда миллионы людей оплачивали квитанции от ФНС, злоумышленники стали рассылать по электронной почте предупреждения от имени банков, — уточнил для РБК представитель «Тинькофф». — Якобы со счетов клиентов вскоре спишут новый налог на специальную военную операцию — это требует новый закон».
При переходе по ссылке, вставленной в письмо, открывается фишинговая страница входа в личный кабинет. Введенные на ней данные впоследствии могут использоваться для вывода денег со счета, оформления кредита и совершения других операций от имени жертвы — если, конечно, мошенникам удастся обойти защиту банка от такого фрода.
Пользователям следует помнить, что ни банки, ни ФНС никогда не информируют граждан об изменениях через имейл-рассылки. Новые вводные обычно публикуются на официальных сайтах, их можно также узнать, зайдя в личный кабинет — не по присланной ссылке, а непосредственно на сайте соответствующей организации.
IT Дайджест / IT Новости / IT / Технологии
✍3😁3👍2
Картинки PNG - новый способ доставки троянов на компьютеры организаций
Remcos нашел метод распространения через скрытный загрузчик IDAT Loader.
Согласно отчету Morphisec, украинские организации, базирующиеся в Финляндии, стали объектами вредоносной кампании по распространению трояна Remcos RAT. Атака была приписана группировке UAC-0184.
Троян удаленного доступа Remcos RAT (Remote Access Trojan, RAT) доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать заражённый компьютер, похищать личную информацию и наблюдать за действиями жертвы.
В ходе атаки использовались фишинговые письма, маскируясь под сообщения от Израильских оборонных сил, и применяла сложные методы доставки вредоносного ПО, включая динамическую загрузку функций Windows API, проверки подключения к интернету и обход списков блокировки процессов.
IDAT Loader, отличающийся модульной архитектурой и уникальными от других загрузчиков функциями, в том числе функцией инъекции кода, ранее был использован для распространения семейств вредоносных программ DanaBot, SystemBC и RedLine Stealer. В обнаруженной кампании модули IDAT были встроены непосредственно в исполняемый файл, что является отличительной чертой от обычной практики скачивания с удалённого сервера.
В исследовании также рассматриваются техники защиты от обнаружения с использованием стеганографии и Module Stomping - техники, позволяющей вредоносному коду уклоняться от обнаружения антивирусными решениями за счёт инъекции в легитимные библиотеки.
IDAT Loader пересекается с другим семейством загрузчиков под названием HijackLoader, который был впервые замечен в июле 2023 года.
IT Дайджест / IT Новости / IT / Технологии
Remcos нашел метод распространения через скрытный загрузчик IDAT Loader.
Согласно отчету Morphisec, украинские организации, базирующиеся в Финляндии, стали объектами вредоносной кампании по распространению трояна Remcos RAT. Атака была приписана группировке UAC-0184.
Троян удаленного доступа Remcos RAT (Remote Access Trojan, RAT) доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать заражённый компьютер, похищать личную информацию и наблюдать за действиями жертвы.
В ходе атаки использовались фишинговые письма, маскируясь под сообщения от Израильских оборонных сил, и применяла сложные методы доставки вредоносного ПО, включая динамическую загрузку функций Windows API, проверки подключения к интернету и обход списков блокировки процессов.
IDAT Loader, отличающийся модульной архитектурой и уникальными от других загрузчиков функциями, в том числе функцией инъекции кода, ранее был использован для распространения семейств вредоносных программ DanaBot, SystemBC и RedLine Stealer. В обнаруженной кампании модули IDAT были встроены непосредственно в исполняемый файл, что является отличительной чертой от обычной практики скачивания с удалённого сервера.
В исследовании также рассматриваются техники защиты от обнаружения с использованием стеганографии и Module Stomping - техники, позволяющей вредоносному коду уклоняться от обнаружения антивирусными решениями за счёт инъекции в легитимные библиотеки.
IDAT Loader пересекается с другим семейством загрузчиков под названием HijackLoader, который был впервые замечен в июле 2023 года.
IT Дайджест / IT Новости / IT / Технологии
👍2🤨1
«Я очень хочу срать».
Верховная Рада Украины сообщила, что их сайт был взломан.
Ссылка на официальном сайте вела на фейковый тг-канал, где был один единственный пост.
IT Дайджест / IT Новости / IT / Технологии
Верховная Рада Украины сообщила, что их сайт был взломан.
Ссылка на официальном сайте вела на фейковый тг-канал, где был один единственный пост.
IT Дайджест / IT Новости / IT / Технологии
😁10👍4🥴4🤡2👏1
Сайты правительств и университетов взламывают через старый редактор FCKeditor
Злоумышленники используют старый редактор, прекративший свое существование 14 лет назад, для компрометации сайтов образовательных и государственных учреждений по всему миру. Затем взломанные ресурсы используются для отравления поисковой выдачи (SEO Poisoning), а также продвижения мошеннических и скамерских сайтов.
Вредоносную кампанию обнаружил ИБ-исследователь под ником g0njxa, который первым заметил в результатах поиска Google рекламу бесплатных генераторов V Bucks (внутриигровая валюта Fortnite), размещенную на сайтах крупных университетов.
В X (бывший Twitter) g0njxa перечислил различные организации, на которые нацелены эти атаки. В первую очередь это образовательные учреждения, такие как МТИ, Колумбийский университет, Университет Барселоны, Обернский университет, а также университеты Вашингтона, Пердью, Тулейн, Центральный университет Эквадора и Гавайский университет.
Кроме того, кампания нацелена на правительственные и корпоративные сайты. Так, уже были скомпрометированы сайты правительства Вирджинии, правительства Остина, правительства Испании и Yellow Pages Canada.
Корнем проблемы во всех этих случаях стало использование старого редактора FCKeditor, который прекратил свое существование еще в 2009 году и был переименован в CKEditor (до этого разработчик не осознавал, что название «FCKeditor» на английском читается не очень прилично). Существующий по сей день CKEditor использует современную кодовую базу, более удобен в использовании и совместим с современными веб-стандартами, а также по-прежнему активно поддерживается разработчиком.
Как объяснил g0njxa, устаревший FCKeditor позволяет злоумышленникам осуществлять open redirect’ы, то есть сайты, намеренно или в результате ошибки, допускают произвольные перенаправления, которые уводят пользователей с исходного ресурса на внешний URL (без надлежащих проверок, в обход защиты).
IT Дайджест / IT Новости / IT / Технологии
Злоумышленники используют старый редактор, прекративший свое существование 14 лет назад, для компрометации сайтов образовательных и государственных учреждений по всему миру. Затем взломанные ресурсы используются для отравления поисковой выдачи (SEO Poisoning), а также продвижения мошеннических и скамерских сайтов.
Вредоносную кампанию обнаружил ИБ-исследователь под ником g0njxa, который первым заметил в результатах поиска Google рекламу бесплатных генераторов V Bucks (внутриигровая валюта Fortnite), размещенную на сайтах крупных университетов.
В X (бывший Twitter) g0njxa перечислил различные организации, на которые нацелены эти атаки. В первую очередь это образовательные учреждения, такие как МТИ, Колумбийский университет, Университет Барселоны, Обернский университет, а также университеты Вашингтона, Пердью, Тулейн, Центральный университет Эквадора и Гавайский университет.
Кроме того, кампания нацелена на правительственные и корпоративные сайты. Так, уже были скомпрометированы сайты правительства Вирджинии, правительства Остина, правительства Испании и Yellow Pages Canada.
Корнем проблемы во всех этих случаях стало использование старого редактора FCKeditor, который прекратил свое существование еще в 2009 году и был переименован в CKEditor (до этого разработчик не осознавал, что название «FCKeditor» на английском читается не очень прилично). Существующий по сей день CKEditor использует современную кодовую базу, более удобен в использовании и совместим с современными веб-стандартами, а также по-прежнему активно поддерживается разработчиком.
Как объяснил g0njxa, устаревший FCKeditor позволяет злоумышленникам осуществлять open redirect’ы, то есть сайты, намеренно или в результате ошибки, допускают произвольные перенаправления, которые уводят пользователей с исходного ресурса на внешний URL (без надлежащих проверок, в обход защиты).
IT Дайджест / IT Новости / IT / Технологии
😁3🤔2