Критический баг в WordPress-плагине Ultimate Member допускает SQL-инъекцию
В популяром WordPress-плагине Ultimate Member выявили критическую уязвимость, позволяющую неаутентифицированному атакующему провести SQL-инъекцию и вытащить конфиденциальные данные из базы.
У плагина Ultimate Member насчитывается более 200 тысяч установок. Обнаруженная уязвимость получила идентификатор CVE-2024-1071 и 9,8 балла по шкале CVSS.
Специалисты Wordfence пишут в отчёте следующее:
Таким образом, не прошедший аутентификацию злоумышленник может добавить дополнительные запросы к уже существующим, что поможет ему извлечь конфиденциальные данные из базы.
Обратите внимание, что проблема затрагивает только те веб-сайты, администраторы которых включили опцию «Enable custom table for usermeta» в настройках плагина.
IT Дайджест / IT Новости / IT / Технологии
В популяром WordPress-плагине Ultimate Member выявили критическую уязвимость, позволяющую неаутентифицированному атакующему провести SQL-инъекцию и вытащить конфиденциальные данные из базы.
У плагина Ultimate Member насчитывается более 200 тысяч установок. Обнаруженная уязвимость получила идентификатор CVE-2024-1071 и 9,8 балла по шкале CVSS.
Специалисты Wordfence пишут в отчёте следующее:
«Ultimate Member уязвим к SQL-инъекции через параметр “sorting“ в версиях с 2.1.3 по 2.8.2. Брешь существует из-за недостаточного экранирования параметра и некорректной подготовки существующего SQL-запроса».
Таким образом, не прошедший аутентификацию злоумышленник может добавить дополнительные запросы к уже существующим, что поможет ему извлечь конфиденциальные данные из базы.
Обратите внимание, что проблема затрагивает только те веб-сайты, администраторы которых включили опцию «Enable custom table for usermeta» в настройках плагина.
IT Дайджест / IT Новости / IT / Технологии
✍2
Mysterious Werewolf атакует российскую промышленность
Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами.
К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года.
При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия:
- создавал файл .vbs в папке C:\Users\[user]\AppData\Local и записывал скрипт, запускающий файл, имя которого было передано как аргумент.
- создавал файл 1.bat в папке C:\Users\[user]\AppData\Local и запускал его с помощью команды call "%localappdata%\.vbs" "%localappdata%\1.bat".
- после запуска производил самоудаление: (goto) 2>nul & del "%~f0".
Специалисты напоминают, что ранее эта хак-группа использовала для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент. Но теперь Mysterious Werwolf чаще использует малварь собственной разработки.
Так, в рамах атак на ВПК на устройства жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы. Для управления бэкдором используется бот в Telegram.
IT Дайджест / IT Новости / IT / Технологии
Исследователи сообщают, что хак-группа Mysterious Werewolf, активная с 2023 года, теперь атакует предприятия российского военно-промышленного комплекса (ВПК). Хакеры используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
В компании BI.ZONE сообщают, что преступники рассылали от имени регуляторов письма с вредоносными архивами.
К каждому письму прилагался архив, в котором находились отвлекающий документ (на иллюстрации ниже) в виде официального письма и папка с вредоносным файлом в формате CMD. Малварь в архиве нацелена на эксплуатацию уязвимости CVE-2023-38831 в WinRAR, обнаруженной летом прошлого года.
При открытии легитимного файла вместо него запускался вредоносный скрипт (например, O_predostavlenii_kopii_licenzii.pdf .cmd) который осуществлял следующие действия:
- создавал файл .vbs в папке C:\Users\[user]\AppData\Local и записывал скрипт, запускающий файл, имя которого было передано как аргумент.
- создавал файл 1.bat в папке C:\Users\[user]\AppData\Local и запускал его с помощью команды call "%localappdata%\.vbs" "%localappdata%\1.bat".
- после запуска производил самоудаление: (goto) 2>nul & del "%~f0".
Специалисты напоминают, что ранее эта хак-группа использовала для атак агент Athena фреймворка Mythic — легитимный пентестерский инструмент. Но теперь Mysterious Werwolf чаще использует малварь собственной разработки.
Так, в рамах атак на ВПК на устройства жертв устанавливался оригинальный бэкдор RingSpy, предназначенный для удаленного доступа и позволяющий злоумышленникам выполнять команды в скомпрометированной системе и похищать файлы. Для управления бэкдором используется бот в Telegram.
IT Дайджест / IT Новости / IT / Технологии
Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.
В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.
Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.
IT Дайджест / IT Новости / IT / Технологии
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.
В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.
Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.
IT Дайджест / IT Новости / IT / Технологии
👍2
LockBit восстанавливает инфраструктуру после операции правоохранителей
Хак-группа LockBit, инфраструктуру которую недавно взломали правоохранительные органы, возобновляет работу после непродолжительного перерыва. Представители группировки опубликовали длинное сообщение, в котором рассказывают о дальнейших планах и о том, как ФБР удалось их взломать.
Напомним, что на прошлой неделе правоохранители провели операцию Cronos, в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Новый шифровальщик и миллионы долларов
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro отчету, в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов.
IT Дайджест / IT Новости / IT / Технологии
Хак-группа LockBit, инфраструктуру которую недавно взломали правоохранительные органы, возобновляет работу после непродолжительного перерыва. Представители группировки опубликовали длинное сообщение, в котором рассказывают о дальнейших планах и о том, как ФБР удалось их взломать.
Напомним, что на прошлой неделе правоохранители провели операцию Cronos, в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для «слива» данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки, а также получили около 1000 ключей для дешифрования данных и выпустили инструмент для расшифровки и бесплатного восстановления файлов.
Новый шифровальщик и миллионы долларов
Как мы писали ранее, сайт для «слива» данных, ранее контролируемый LockBit, был изменен властями и анонсировал раскрытие информации об операциях самой LockBit. В итоге, в течение прошлой неделе Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР, Европол, Евроюст их партнеры из других стран постепенно раскрывали различные детали проведенной ими операции.
В частности, согласно выпущенному аналитиками Trend Micro отчету, в LockBit уже шла разработка новой версии шифровальщика (LockBit-NG-Dev), которая, вероятно, должна была встать LockBit 4.0. Исследователи рассказали, что в отличие от предыдущей версии, построенной на C/C++, новая малварь представляла собой незавершенную разработку, написанную на .NET, которая, судя по всему, была скомпилирована CoreRT и упакована с помощью MPRESS.
Отмечалось, что новая малварь поддерживает три режима шифрования (с использованием AES+RSA) — «быстрое», «прерывистое» и «полное», позволяет не шифровать конкретные файлы и каталоги, а также рандомизировать именование файлов, чтобы усложнить процесс их восстановления.
Также стало известно, что только за последние 18 месяцев хак-группа LockBit получила более 125 млн долларов выкупов.
IT Дайджест / IT Новости / IT / Технологии
Мошенники, ворующие ключи от онлайн-банкинга, придумали налог на СВО
В «Тинькофф» рассказали о новой мошеннической схеме, нацеленной на кражу учеток клиентов российских банков. Обманщики рассылают имейл-сообщения о мифическом налоге на СВО и предлагают отказаться от уплаты, перейдя по ссылке на фишинговый сайт.
Поддельные письма оформлены как уведомления крупных банков. Получателя пугают: если не отказаться от уплаты нового налога, со счета будут списываться десятки тыс. рублей. Специально созданные сайты-ловушки тоже имитируют ресурсы финансовых организаций.
При переходе по ссылке, вставленной в письмо, открывается фишинговая страница входа в личный кабинет. Введенные на ней данные впоследствии могут использоваться для вывода денег со счета, оформления кредита и совершения других операций от имени жертвы — если, конечно, мошенникам удастся обойти защиту банка от такого фрода.
Пользователям следует помнить, что ни банки, ни ФНС никогда не информируют граждан об изменениях через имейл-рассылки. Новые вводные обычно публикуются на официальных сайтах, их можно также узнать, зайдя в личный кабинет — не по присланной ссылке, а непосредственно на сайте соответствующей организации.
IT Дайджест / IT Новости / IT / Технологии
В «Тинькофф» рассказали о новой мошеннической схеме, нацеленной на кражу учеток клиентов российских банков. Обманщики рассылают имейл-сообщения о мифическом налоге на СВО и предлагают отказаться от уплаты, перейдя по ссылке на фишинговый сайт.
Поддельные письма оформлены как уведомления крупных банков. Получателя пугают: если не отказаться от уплаты нового налога, со счета будут списываться десятки тыс. рублей. Специально созданные сайты-ловушки тоже имитируют ресурсы финансовых организаций.
«Сразу после завершения налогового периода, когда миллионы людей оплачивали квитанции от ФНС, злоумышленники стали рассылать по электронной почте предупреждения от имени банков, — уточнил для РБК представитель «Тинькофф». — Якобы со счетов клиентов вскоре спишут новый налог на специальную военную операцию — это требует новый закон».
При переходе по ссылке, вставленной в письмо, открывается фишинговая страница входа в личный кабинет. Введенные на ней данные впоследствии могут использоваться для вывода денег со счета, оформления кредита и совершения других операций от имени жертвы — если, конечно, мошенникам удастся обойти защиту банка от такого фрода.
Пользователям следует помнить, что ни банки, ни ФНС никогда не информируют граждан об изменениях через имейл-рассылки. Новые вводные обычно публикуются на официальных сайтах, их можно также узнать, зайдя в личный кабинет — не по присланной ссылке, а непосредственно на сайте соответствующей организации.
IT Дайджест / IT Новости / IT / Технологии
✍3😁3👍2
Картинки PNG - новый способ доставки троянов на компьютеры организаций
Remcos нашел метод распространения через скрытный загрузчик IDAT Loader.
Согласно отчету Morphisec, украинские организации, базирующиеся в Финляндии, стали объектами вредоносной кампании по распространению трояна Remcos RAT. Атака была приписана группировке UAC-0184.
Троян удаленного доступа Remcos RAT (Remote Access Trojan, RAT) доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать заражённый компьютер, похищать личную информацию и наблюдать за действиями жертвы.
В ходе атаки использовались фишинговые письма, маскируясь под сообщения от Израильских оборонных сил, и применяла сложные методы доставки вредоносного ПО, включая динамическую загрузку функций Windows API, проверки подключения к интернету и обход списков блокировки процессов.
IDAT Loader, отличающийся модульной архитектурой и уникальными от других загрузчиков функциями, в том числе функцией инъекции кода, ранее был использован для распространения семейств вредоносных программ DanaBot, SystemBC и RedLine Stealer. В обнаруженной кампании модули IDAT были встроены непосредственно в исполняемый файл, что является отличительной чертой от обычной практики скачивания с удалённого сервера.
В исследовании также рассматриваются техники защиты от обнаружения с использованием стеганографии и Module Stomping - техники, позволяющей вредоносному коду уклоняться от обнаружения антивирусными решениями за счёт инъекции в легитимные библиотеки.
IDAT Loader пересекается с другим семейством загрузчиков под названием HijackLoader, который был впервые замечен в июле 2023 года.
IT Дайджест / IT Новости / IT / Технологии
Remcos нашел метод распространения через скрытный загрузчик IDAT Loader.
Согласно отчету Morphisec, украинские организации, базирующиеся в Финляндии, стали объектами вредоносной кампании по распространению трояна Remcos RAT. Атака была приписана группировке UAC-0184.
Троян удаленного доступа Remcos RAT (Remote Access Trojan, RAT) доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать заражённый компьютер, похищать личную информацию и наблюдать за действиями жертвы.
В ходе атаки использовались фишинговые письма, маскируясь под сообщения от Израильских оборонных сил, и применяла сложные методы доставки вредоносного ПО, включая динамическую загрузку функций Windows API, проверки подключения к интернету и обход списков блокировки процессов.
IDAT Loader, отличающийся модульной архитектурой и уникальными от других загрузчиков функциями, в том числе функцией инъекции кода, ранее был использован для распространения семейств вредоносных программ DanaBot, SystemBC и RedLine Stealer. В обнаруженной кампании модули IDAT были встроены непосредственно в исполняемый файл, что является отличительной чертой от обычной практики скачивания с удалённого сервера.
В исследовании также рассматриваются техники защиты от обнаружения с использованием стеганографии и Module Stomping - техники, позволяющей вредоносному коду уклоняться от обнаружения антивирусными решениями за счёт инъекции в легитимные библиотеки.
IDAT Loader пересекается с другим семейством загрузчиков под названием HijackLoader, который был впервые замечен в июле 2023 года.
IT Дайджест / IT Новости / IT / Технологии
👍2🤨1
«Я очень хочу срать».
Верховная Рада Украины сообщила, что их сайт был взломан.
Ссылка на официальном сайте вела на фейковый тг-канал, где был один единственный пост.
IT Дайджест / IT Новости / IT / Технологии
Верховная Рада Украины сообщила, что их сайт был взломан.
Ссылка на официальном сайте вела на фейковый тг-канал, где был один единственный пост.
IT Дайджест / IT Новости / IT / Технологии
😁10👍4🥴4🤡2👏1
Сайты правительств и университетов взламывают через старый редактор FCKeditor
Злоумышленники используют старый редактор, прекративший свое существование 14 лет назад, для компрометации сайтов образовательных и государственных учреждений по всему миру. Затем взломанные ресурсы используются для отравления поисковой выдачи (SEO Poisoning), а также продвижения мошеннических и скамерских сайтов.
Вредоносную кампанию обнаружил ИБ-исследователь под ником g0njxa, который первым заметил в результатах поиска Google рекламу бесплатных генераторов V Bucks (внутриигровая валюта Fortnite), размещенную на сайтах крупных университетов.
В X (бывший Twitter) g0njxa перечислил различные организации, на которые нацелены эти атаки. В первую очередь это образовательные учреждения, такие как МТИ, Колумбийский университет, Университет Барселоны, Обернский университет, а также университеты Вашингтона, Пердью, Тулейн, Центральный университет Эквадора и Гавайский университет.
Кроме того, кампания нацелена на правительственные и корпоративные сайты. Так, уже были скомпрометированы сайты правительства Вирджинии, правительства Остина, правительства Испании и Yellow Pages Canada.
Корнем проблемы во всех этих случаях стало использование старого редактора FCKeditor, который прекратил свое существование еще в 2009 году и был переименован в CKEditor (до этого разработчик не осознавал, что название «FCKeditor» на английском читается не очень прилично). Существующий по сей день CKEditor использует современную кодовую базу, более удобен в использовании и совместим с современными веб-стандартами, а также по-прежнему активно поддерживается разработчиком.
Как объяснил g0njxa, устаревший FCKeditor позволяет злоумышленникам осуществлять open redirect’ы, то есть сайты, намеренно или в результате ошибки, допускают произвольные перенаправления, которые уводят пользователей с исходного ресурса на внешний URL (без надлежащих проверок, в обход защиты).
IT Дайджест / IT Новости / IT / Технологии
Злоумышленники используют старый редактор, прекративший свое существование 14 лет назад, для компрометации сайтов образовательных и государственных учреждений по всему миру. Затем взломанные ресурсы используются для отравления поисковой выдачи (SEO Poisoning), а также продвижения мошеннических и скамерских сайтов.
Вредоносную кампанию обнаружил ИБ-исследователь под ником g0njxa, который первым заметил в результатах поиска Google рекламу бесплатных генераторов V Bucks (внутриигровая валюта Fortnite), размещенную на сайтах крупных университетов.
В X (бывший Twitter) g0njxa перечислил различные организации, на которые нацелены эти атаки. В первую очередь это образовательные учреждения, такие как МТИ, Колумбийский университет, Университет Барселоны, Обернский университет, а также университеты Вашингтона, Пердью, Тулейн, Центральный университет Эквадора и Гавайский университет.
Кроме того, кампания нацелена на правительственные и корпоративные сайты. Так, уже были скомпрометированы сайты правительства Вирджинии, правительства Остина, правительства Испании и Yellow Pages Canada.
Корнем проблемы во всех этих случаях стало использование старого редактора FCKeditor, который прекратил свое существование еще в 2009 году и был переименован в CKEditor (до этого разработчик не осознавал, что название «FCKeditor» на английском читается не очень прилично). Существующий по сей день CKEditor использует современную кодовую базу, более удобен в использовании и совместим с современными веб-стандартами, а также по-прежнему активно поддерживается разработчиком.
Как объяснил g0njxa, устаревший FCKeditor позволяет злоумышленникам осуществлять open redirect’ы, то есть сайты, намеренно или в результате ошибки, допускают произвольные перенаправления, которые уводят пользователей с исходного ресурса на внешний URL (без надлежащих проверок, в обход защиты).
IT Дайджест / IT Новости / IT / Технологии
😁3🤔2
К атакам на ScreenConnect присоединились хакеры из Black Basta и Bl00dy
Хак-группы Black Basta и Bl00dy присоединились к массовым атакам, направленным на серверы ScreenConnect, уязвимые перед свежими багами под общим названием SlashAndGrab.
Уязвимости в ConnectWise ScreenConnect были обнаружены на прошлой неделе, и уже тогда разработчики предупреждали, что недостатки, которые отслеживаются как CVE-2024-1709 (обход аутентификации) и CVE-2024-1708 (path traversal), уже пытаются эксплуатировать хакеры, а в сети доступны PoC-эксплоиты.
Проблема CVE-2024-1709 является критической, позволяя злоумышленникам создавать учетные записи администраторов, удалять всех остальных пользователей и захватывать любой уязвимый сервер. Это побудило ConnectWise временно отметить все лицензионные ограничения, чтобы даже клиенты с истекшими лицензиями могли установить патчи и защитить свои серверы от атак.
Как сообщалось ранее, уязвимости уже взяли на вооружение вымогатели. Например, был замечен образец малвари, построенный на базе утекших в 2022 году исходных кодов LockBit. Судя по всему, он не связан с одноименной хак-группой: некоторые полезные нагрузки были идентифицированы как buhtiRansom, а в вымогательской записке не был никаких указаний на саму LockBit.
Как сообщают аналитики Shadowserver, в настоящее время CVE-2024-1709 активно применяется в атаках, а Shodan обнаруживает более 10 000 серверов ScreenConnect, тогда как лишь около 1500 из них работают под управлением исправленной версии ScreenConnect 23.9.8.
Как теперь предупредили исследователи компании Trend Micro, группировки Black Basta и Bl00dy также начали использовать баги в ScreenConnect для получения первоначального доступа к сетям жертв и внедрения бэкдоров.
После проникновения в сеть компаний, злоумышленники занимаются разведкой, обнаружением и повышением привилегий, а на взломанных системах были найдены маяки Cobalt Strike, связанные с Black Basta.
IT Дайджест / IT Новости / IT / Технологии
Хак-группы Black Basta и Bl00dy присоединились к массовым атакам, направленным на серверы ScreenConnect, уязвимые перед свежими багами под общим названием SlashAndGrab.
Уязвимости в ConnectWise ScreenConnect были обнаружены на прошлой неделе, и уже тогда разработчики предупреждали, что недостатки, которые отслеживаются как CVE-2024-1709 (обход аутентификации) и CVE-2024-1708 (path traversal), уже пытаются эксплуатировать хакеры, а в сети доступны PoC-эксплоиты.
Проблема CVE-2024-1709 является критической, позволяя злоумышленникам создавать учетные записи администраторов, удалять всех остальных пользователей и захватывать любой уязвимый сервер. Это побудило ConnectWise временно отметить все лицензионные ограничения, чтобы даже клиенты с истекшими лицензиями могли установить патчи и защитить свои серверы от атак.
Как сообщалось ранее, уязвимости уже взяли на вооружение вымогатели. Например, был замечен образец малвари, построенный на базе утекших в 2022 году исходных кодов LockBit. Судя по всему, он не связан с одноименной хак-группой: некоторые полезные нагрузки были идентифицированы как buhtiRansom, а в вымогательской записке не был никаких указаний на саму LockBit.
Как сообщают аналитики Shadowserver, в настоящее время CVE-2024-1709 активно применяется в атаках, а Shodan обнаруживает более 10 000 серверов ScreenConnect, тогда как лишь около 1500 из них работают под управлением исправленной версии ScreenConnect 23.9.8.
Как теперь предупредили исследователи компании Trend Micro, группировки Black Basta и Bl00dy также начали использовать баги в ScreenConnect для получения первоначального доступа к сетям жертв и внедрения бэкдоров.
После проникновения в сеть компаний, злоумышленники занимаются разведкой, обнаружением и повышением привилегий, а на взломанных системах были найдены маяки Cobalt Strike, связанные с Black Basta.
IT Дайджест / IT Новости / IT / Технологии
Вымогатели Mogilevich заявили о взломе Epic Games и хищении 189 ГБ данных
Хак-группа Mogilevich утверждает, что взломала компанию Epic Games, похитив 189 ГБ данных, включая email-адреса, пароли, полные имена, платежные данные, исходные коды и так далее. Представители Epic Games сообщили СМИ, что не обнаружили никаких доказательств взлома и кражи данных.
Вымогательская группировка Mogilevich появилась на сцене сравнительно недавно. Хакеры утверждают, что они работают по принципу Ransomware-as-a-Service («Вымогатель-как-услуга»), нанимая других злоумышленников для сотрудничества. Однако пока эксперты не обнаружили ни одного образца шифровальщика Mogilevich, хотя группа заявляет, что взломала множество организаций, включая Министерство иностранных дел Ирландии и компанию Infinity USA.
В отличие от других вымогателей, Mogilevich не делится образцами украденных у жертв данных и утверждает, что продает информацию только проверенным покупателям напрямую. Такое отсутствие доказательств заставляет многих ИБ-исследователей предполагать, что хакеры пытаются обмануть своих покупателей с помощью поддельных данных.
Ранее на этой неделе Mogilevich заявили о взломе Epic Games, но традиционно не предоставили никаких доказательств атаки. Как сообщило издание Bleeping Computer, поговорившее с хакерами, те надеются выручить за якобы украденные данные 15 000 долларов США, но готовы поделиться образцами файлов только с теми, кто докажет наличие криптовалютных активов для совершения покупки. Хакеры говорят, что уже предоставили образцы трем людям, которые доказали, что обладают нужными средствами.
Представители Epic Games сообщили изданию, что проводят расследование, но пока не обнаружили никаких признаков кибератаки или кражи данных.
IT Дайджест / IT Новости / IT / Технологии
Хак-группа Mogilevich утверждает, что взломала компанию Epic Games, похитив 189 ГБ данных, включая email-адреса, пароли, полные имена, платежные данные, исходные коды и так далее. Представители Epic Games сообщили СМИ, что не обнаружили никаких доказательств взлома и кражи данных.
Вымогательская группировка Mogilevich появилась на сцене сравнительно недавно. Хакеры утверждают, что они работают по принципу Ransomware-as-a-Service («Вымогатель-как-услуга»), нанимая других злоумышленников для сотрудничества. Однако пока эксперты не обнаружили ни одного образца шифровальщика Mogilevich, хотя группа заявляет, что взломала множество организаций, включая Министерство иностранных дел Ирландии и компанию Infinity USA.
В отличие от других вымогателей, Mogilevich не делится образцами украденных у жертв данных и утверждает, что продает информацию только проверенным покупателям напрямую. Такое отсутствие доказательств заставляет многих ИБ-исследователей предполагать, что хакеры пытаются обмануть своих покупателей с помощью поддельных данных.
Ранее на этой неделе Mogilevich заявили о взломе Epic Games, но традиционно не предоставили никаких доказательств атаки. Как сообщило издание Bleeping Computer, поговорившее с хакерами, те надеются выручить за якобы украденные данные 15 000 долларов США, но готовы поделиться образцами файлов только с теми, кто докажет наличие криптовалютных активов для совершения покупки. Хакеры говорят, что уже предоставили образцы трем людям, которые доказали, что обладают нужными средствами.
Представители Epic Games сообщили изданию, что проводят расследование, но пока не обнаружили никаких признаков кибератаки или кражи данных.
IT Дайджест / IT Новости / IT / Технологии
Сложно победить, легко заразиться: почему новый штамм AMOS Stealer - не просто очередной вирус
Вредонос умело обчищает системы, смеясь в лицо антивирусам.
Специалисты компании Bitdefender обнаружили новый вариант вредоносной программы AMOS Stealer (или Atomic Stealer), одной из наиболее распространенных киберугроз для пользователей macOS за последний год. По словам экспертов Bitdefender, новый вариант был выявлен в процессе изучения старых и новых образцов вредоносного ПО для macOS с целью совершенствования возможностей обнаружения подобных угроз.
Подозрения вызвали несколько небольших по размеру (1,3 Мб) образов диска для macOS. Детальный анализ показал сходство нового варианта с RustDoor. Оба варианта предназначены для сбора конфиденциальных файлов с зараженных компьютеров, причем текущий является более продвинутой версией скрипта RustDoor.
У новой версии есть дополнительные функции. Она собирает файлы Cookies.binarycookies с куки браузера Safari, файлы с определенных расширений из конкретных местоположений и использует утилиту system_profiler для получения данных о системе.
Таким образом злоумышленники получают информацию о технических характеристиках компьютера, версиях ОС, подключенных мониторах и видеокартах. В архив добавляются пароли, ключи шифрования, сертификаты, что свидетельствует о растущем интересе к криптоплатформам.
В этой версии нестандартным способом объединяются Python и Apple Scripting - файл grabber() выполняет большой блок Apple Script с помощью команды osascript -e. В DMG-файлах содержатся исполняемые модули для Intel и ARM, которые используются для кражи данных.
При открытии приложение Crack Installer предлагает пользователю распаковать файл. Скрипт Python собирает конфиденциальные данные из разных источников, включая криптокошельки, браузеры, учетные записи.
Собранные данные сохраняются в ZIP-архив и отправляются на C2-сервер посредством POST-запроса. Структура архива подтверждается сервером.
IT Дайджест / IT Новости / IT / Технологии
Вредонос умело обчищает системы, смеясь в лицо антивирусам.
Специалисты компании Bitdefender обнаружили новый вариант вредоносной программы AMOS Stealer (или Atomic Stealer), одной из наиболее распространенных киберугроз для пользователей macOS за последний год. По словам экспертов Bitdefender, новый вариант был выявлен в процессе изучения старых и новых образцов вредоносного ПО для macOS с целью совершенствования возможностей обнаружения подобных угроз.
Подозрения вызвали несколько небольших по размеру (1,3 Мб) образов диска для macOS. Детальный анализ показал сходство нового варианта с RustDoor. Оба варианта предназначены для сбора конфиденциальных файлов с зараженных компьютеров, причем текущий является более продвинутой версией скрипта RustDoor.
У новой версии есть дополнительные функции. Она собирает файлы Cookies.binarycookies с куки браузера Safari, файлы с определенных расширений из конкретных местоположений и использует утилиту system_profiler для получения данных о системе.
Таким образом злоумышленники получают информацию о технических характеристиках компьютера, версиях ОС, подключенных мониторах и видеокартах. В архив добавляются пароли, ключи шифрования, сертификаты, что свидетельствует о растущем интересе к криптоплатформам.
В этой версии нестандартным способом объединяются Python и Apple Scripting - файл grabber() выполняет большой блок Apple Script с помощью команды osascript -e. В DMG-файлах содержатся исполняемые модули для Intel и ARM, которые используются для кражи данных.
При открытии приложение Crack Installer предлагает пользователю распаковать файл. Скрипт Python собирает конфиденциальные данные из разных источников, включая криптокошельки, браузеры, учетные записи.
Собранные данные сохраняются в ZIP-архив и отправляются на C2-сервер посредством POST-запроса. Структура архива подтверждается сервером.
IT Дайджест / IT Новости / IT / Технологии
🤔3👍2
С сегодняшнего дня в России работает запрет на популяризацию VPN
С сегодняшнего дня Роскомнадзор будет блокировать веб-страницы, на которых размещена любая информация о средствах обхода блокировок, установленных в стране. Само собой, в первую очередь это касается инструкций по использованию VPN-сервисов.
Об этом говорит документ, который сегодня выложили на официальном ресурсе правовых актов.
В частности, там отмечается, что «популяризацией» будет считаться наличие информации, содержащей описание действий, которые позволяют получить доступ к веб-ресурсам и информационно-телекоммуникационным системам, заблокированным на территории России.
Закон вступает с силу с сегодняшнего дня — 1 марта 2024 года — и будет действовать до 1 сентября 2029 года.
Роскомнадзор ещё в начале прошлого месяца говорил о запрете средств обхода блокировок сайтов в России и предупреждал, что будут введена соответствующая законодательная норма.
IT Дайджест / IT Новости / IT / Технологии
С сегодняшнего дня Роскомнадзор будет блокировать веб-страницы, на которых размещена любая информация о средствах обхода блокировок, установленных в стране. Само собой, в первую очередь это касается инструкций по использованию VPN-сервисов.
Об этом говорит документ, который сегодня выложили на официальном ресурсе правовых актов.
В частности, там отмечается, что «популяризацией» будет считаться наличие информации, содержащей описание действий, которые позволяют получить доступ к веб-ресурсам и информационно-телекоммуникационным системам, заблокированным на территории России.
Закон вступает с силу с сегодняшнего дня — 1 марта 2024 года — и будет действовать до 1 сентября 2029 года.
Роскомнадзор ещё в начале прошлого месяца говорил о запрете средств обхода блокировок сайтов в России и предупреждал, что будут введена соответствующая законодательная норма.
IT Дайджест / IT Новости / IT / Технологии
👎11🤡5✍2👍2
Исследователь нашел бэкдор в коде Tornado Cash
В коде криптовалютного миксера Tornado Cash обнаружили вредоносный JavaScript, который почти два месяца передавал данные депозитных сертификатов (deposit notes) на удаленный сервер.
Депозитные сертификаты работают как приватные ключи для средств, прошедших через миксер, и могут использоваться для повторного доступа к активам уже после их «смешивания». Обнаруженный бэкдор ставит под угрозу конфиденциальность и безопасность всех операций, проведенных через IPFS (запущенный 1 января 2024 года), включая ipfs.io, cf-ipfs.com и eth.link.
Сообщается, что вредоносный код был внедрен два месяца назад через governance proposal (номер 47) неким Butterfly Effects (предположительно, один из комьюнити-разработчиков). Первым эту проблему заметил исследователь под ником Gas404, а затем его находку подтвердил и основатель компании SlowMist, специализирующейся на блокчейн-безопасности. В своем отчете Gas404 призвав все заинтересованные стороны поскорее наложить вето на вредоносные governance proposal.
Gas404 отмечает, что вредоносная функциональность кодирует приватные депозитные сертификаты, чтобы те выглядели как обычные данные блокчейн-транзакций, и скрывает использование функции window.fetch.
Разработчики Tornado Cash уже подтвердили факт компрометации и предупредили о рисках, посоветовав пользователям изъять свои старые и, вероятно, скомпрометированные сертификаты, заменив их на вновь сгенерированные. Кроме того, всем рекомендовано отозвать свои голоса за governance proposal 47, чтобы отменить изменения и избавиться от вредоносного кода.
Напомним, что Tornado Cash — опенсорсный децентрализованный миксер на блокчейне Ethereum. Он использует криптографическую zero-knowledge систему SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge), чтобы пользователи могли вносить и выводить средства анонимно.
IT Дайджест / IT Новости / IT / Технологии
В коде криптовалютного миксера Tornado Cash обнаружили вредоносный JavaScript, который почти два месяца передавал данные депозитных сертификатов (deposit notes) на удаленный сервер.
Депозитные сертификаты работают как приватные ключи для средств, прошедших через миксер, и могут использоваться для повторного доступа к активам уже после их «смешивания». Обнаруженный бэкдор ставит под угрозу конфиденциальность и безопасность всех операций, проведенных через IPFS (запущенный 1 января 2024 года), включая ipfs.io, cf-ipfs.com и eth.link.
Сообщается, что вредоносный код был внедрен два месяца назад через governance proposal (номер 47) неким Butterfly Effects (предположительно, один из комьюнити-разработчиков). Первым эту проблему заметил исследователь под ником Gas404, а затем его находку подтвердил и основатель компании SlowMist, специализирующейся на блокчейн-безопасности. В своем отчете Gas404 призвав все заинтересованные стороны поскорее наложить вето на вредоносные governance proposal.
Gas404 отмечает, что вредоносная функциональность кодирует приватные депозитные сертификаты, чтобы те выглядели как обычные данные блокчейн-транзакций, и скрывает использование функции window.fetch.
Разработчики Tornado Cash уже подтвердили факт компрометации и предупредили о рисках, посоветовав пользователям изъять свои старые и, вероятно, скомпрометированные сертификаты, заменив их на вновь сгенерированные. Кроме того, всем рекомендовано отозвать свои голоса за governance proposal 47, чтобы отменить изменения и избавиться от вредоносного кода.
Напомним, что Tornado Cash — опенсорсный децентрализованный миксер на блокчейне Ethereum. Он использует криптографическую zero-knowledge систему SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge), чтобы пользователи могли вносить и выводить средства анонимно.
IT Дайджест / IT Новости / IT / Технологии
🤔4👍1
«Тайпсквоттинг» от Lazarus: хакеры из КНДР больно ударили по Python-сообществу
Невнимательные разработчики уже десять раз пожалели, что попались в столь глупую ловушку.
Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index (PyPI) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT, отметил , что названия пакетов «pycryptoenv» и «pycryptoconf» схожи с «pycrypto», популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом «тайпсквоттинг».
Это открытие последовало за недавним обнаружением нескольких вредоносных пакетов в реестре npm исследовательской компанией Phylum. Эти пакеты были направлены на разработчиков, находящихся в активном поиске работы.
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, впервые описанной Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.
LH | Новости | Курсы | Мемы
Невнимательные разработчики уже десять раз пожалели, что попались в столь глупую ловушку.
Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index (PyPI) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT, отметил , что названия пакетов «pycryptoenv» и «pycryptoconf» схожи с «pycrypto», популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом «тайпсквоттинг».
Это открытие последовало за недавним обнаружением нескольких вредоносных пакетов в реестре npm исследовательской компанией Phylum. Эти пакеты были направлены на разработчиков, находящихся в активном поиске работы.
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, впервые описанной Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.
LH | Новости | Курсы | Мемы
👍2❤1
Прошлогодние DDoS в России бьют рекорды: 1 Тбит/с и 278 дней
Согласно статистике ГК «Солар», в 2023 году с DDoS-атаками столкнулось на 40% больше российских компаний, чем в предыдущем. В целом по стране число таких инцидентов сократилось на треть, до 306 тысяч.
Уменьшение общего количества DDoS экспертов не удивило: после резкого всплеска агрессии в первой половине 2022 года, когда наблюдался разгул хактивизма, атаки дидосеров пошли на спад. В прошлом году они затронули 700 организаций разных вертикалей; больше прочих страдали телеком, ИТ и логистика.
Повышенное внимание инициаторов DDoS к этим сферам вполне объяснимо: успешная атака нарушит бизнес-процессы не только у провайдера, но и у его многочисленных клиентов (развитие рынка облачных услуг расширило целевую аудиторию ИТ-компаний).
Средняя продолжительность DDoS, по данным «Солара», за год значительно сократилась — с 19 суток до немногим более 1 дня; средняя мощность почти не изменилась. Зато максимальные зафиксированные значения оказались рекордными: 278 дней (9 месяцев против 2,7 в 2022 году) и 1 Тбит/с (годом ранее — 768 Гбит/с).
LH | Новости | Курсы | Мемы
Согласно статистике ГК «Солар», в 2023 году с DDoS-атаками столкнулось на 40% больше российских компаний, чем в предыдущем. В целом по стране число таких инцидентов сократилось на треть, до 306 тысяч.
Уменьшение общего количества DDoS экспертов не удивило: после резкого всплеска агрессии в первой половине 2022 года, когда наблюдался разгул хактивизма, атаки дидосеров пошли на спад. В прошлом году они затронули 700 организаций разных вертикалей; больше прочих страдали телеком, ИТ и логистика.
Повышенное внимание инициаторов DDoS к этим сферам вполне объяснимо: успешная атака нарушит бизнес-процессы не только у провайдера, но и у его многочисленных клиентов (развитие рынка облачных услуг расширило целевую аудиторию ИТ-компаний).
Средняя продолжительность DDoS, по данным «Солара», за год значительно сократилась — с 19 суток до немногим более 1 дня; средняя мощность почти не изменилась. Зато максимальные зафиксированные значения оказались рекордными: 278 дней (9 месяцев против 2,7 в 2022 году) и 1 Тбит/с (годом ранее — 768 Гбит/с).
«Злоумышленники сначала прощупывают слабомощным DDoS инфраструктуры в самых разных отраслях, а затем реализуют прицельные массированные киберудары по наименее защищенным организациям, — комментирует Алексей Пашков, руководитель направлений WAF и Anti-DDoS ГК «Солар». — Не исключено также, что сегодня хакеры тестируют ПО для управления крупными ботнетами, готовясь к новому витку мощных DDoS-атак».
LH | Новости | Курсы | Мемы
🔥3👍2
Более 100 тысяч зараженных репозиториев на GitHub маскируются под легитимные проекты
Злоумышленники автоматизировали процесс создания и продвижения фейковых библиотек.
Исследователи из компании Apiiro провели расследование масштабной кампании атак на платформу GitHub с использованием вредоносных репозиториев. Эксперты выявили более 100 тысяч поддельных репозиториев, мимикрирующих под популярные open-source проекты с целью распространения вредоносного ПО. Количество подобных репозиториев продолжает неуклонно расти.
Как пояснили специалисты, хакеры активно используют тактику подмены названий реальных проектов. Они создают репозиторий, идентичный популярному проекту на GitHub, с максимально похожим названием. Злоумышленники рассчитывают, что пользователь сделает опечатку во время ввода названия и загрузит заражённый код. Подобный метод часто применяется в работе с менеджерами пакетов, где командная строка оставляет меньше возможностей для своевременного распознавания ошибки.
Для реализации атаки злоумышленники клонируют целевой репозиторий, инъецируют его вредоносным кодом и повторно публикуют под оригинальным названием. Затем начинается этап продвижения таких репозиториев через различные каналы в интернете, включая форумы и социальные сети, где они выдаются за настоящие. Автоматизация процесса позволяет масштабировать распространение зараженных проектов.
Вредоносный код на компьютере жертве обычно начинает фоновую загрузку стороннего софта. Отмечается, что чаще всего злоумышленники используют BlackCap Grabber — программа, которая крадет учетные данные, cookie и другую важную информацию, отправляя её на серверы злоумышленников.
GitHub принимает меры против так называемых fork-бомб, автоматически отслеживая и блокируя подозрительные репозитории с чрезмерным количеством копий. Несмотря на автоматизированное удаление миллионов подозрительных форков, приблизительно 1% зараженных копий все же умудряется оставаться на платформе.
LH | Новости | Курсы | Мемы
Злоумышленники автоматизировали процесс создания и продвижения фейковых библиотек.
Исследователи из компании Apiiro провели расследование масштабной кампании атак на платформу GitHub с использованием вредоносных репозиториев. Эксперты выявили более 100 тысяч поддельных репозиториев, мимикрирующих под популярные open-source проекты с целью распространения вредоносного ПО. Количество подобных репозиториев продолжает неуклонно расти.
Как пояснили специалисты, хакеры активно используют тактику подмены названий реальных проектов. Они создают репозиторий, идентичный популярному проекту на GitHub, с максимально похожим названием. Злоумышленники рассчитывают, что пользователь сделает опечатку во время ввода названия и загрузит заражённый код. Подобный метод часто применяется в работе с менеджерами пакетов, где командная строка оставляет меньше возможностей для своевременного распознавания ошибки.
Для реализации атаки злоумышленники клонируют целевой репозиторий, инъецируют его вредоносным кодом и повторно публикуют под оригинальным названием. Затем начинается этап продвижения таких репозиториев через различные каналы в интернете, включая форумы и социальные сети, где они выдаются за настоящие. Автоматизация процесса позволяет масштабировать распространение зараженных проектов.
Вредоносный код на компьютере жертве обычно начинает фоновую загрузку стороннего софта. Отмечается, что чаще всего злоумышленники используют BlackCap Grabber — программа, которая крадет учетные данные, cookie и другую важную информацию, отправляя её на серверы злоумышленников.
GitHub принимает меры против так называемых fork-бомб, автоматически отслеживая и блокируя подозрительные репозитории с чрезмерным количеством копий. Несмотря на автоматизированное удаление миллионов подозрительных форков, приблизительно 1% зараженных копий все же умудряется оставаться на платформе.
LH | Новости | Курсы | Мемы
👍5⚡3
Фармацевтический гигант Cencora пострадал от кибератаки
Американская компания Cencora, занимающаяся распространением фармацевтических препаратов, сообщила, что пострадала от атаки хакеров. Злоумышленники похитили данные из корпоративных ИТ-систем.
Компания Cencora, ранее известная как AmerisourceBergen, специализируется на фармацевтических услугах, предоставляя услуги и решения для врачебных кабинетов, аптек и ветеринарных клиник. Выручка компании в 2023 финансовом году составила 262,2 млрд долларов, а штат сотрудников насчитывает около 46 000 человек.
В заявлении, поданном в Комиссию по ценным бумагам и биржам США, Cencora сообщила, что подверглась кибератаке, которая привела к краже данных.
Cencora подчеркивает, что инцидент был локализован вскоре после обнаружения подозрительной активности, и в настоящее время компания работает с правоохранительными органами, внешними ИБ-экспертами и юристами над его расследованием.
Хотя речь, скорее всего, идет о вымогательской атаке, пока ни одна хак-группа не взяла на себя ответственность за взлом на Cencora. Также в компании сообщили СМИ, что этот взлом не связан с недавней атакой на Optum, дочернюю компанию UnitedHealth Group, которая глубоко интегрирована с системой здравоохранения США и работает с электронными медицинскими картами, обработкой платежей, анализом данных в больницах, клиниках и аптеках. Атаку на Optum связывают с вымогательской группировкой BlackCat (ALPHV).
LH | Новости | Курсы | Мемы
Американская компания Cencora, занимающаяся распространением фармацевтических препаратов, сообщила, что пострадала от атаки хакеров. Злоумышленники похитили данные из корпоративных ИТ-систем.
Компания Cencora, ранее известная как AmerisourceBergen, специализируется на фармацевтических услугах, предоставляя услуги и решения для врачебных кабинетов, аптек и ветеринарных клиник. Выручка компании в 2023 финансовом году составила 262,2 млрд долларов, а штат сотрудников насчитывает около 46 000 человек.
В заявлении, поданном в Комиссию по ценным бумагам и биржам США, Cencora сообщила, что подверглась кибератаке, которая привела к краже данных.
«21 февраля 2024 года Cencora, Inc. узнала, что данные из ее ИТ-систем были похищены, причем некоторые из них могут содержать личную информацию, — гласит документ. — На момент подачи заявления инцидент не оказал существенного влияния на деятельность компании, и ее информационные системы продолжают работать. Компания еще не определила, может ли инцидент оказать заметное влияние на финансовые показатели и результаты деятельности компании».
Cencora подчеркивает, что инцидент был локализован вскоре после обнаружения подозрительной активности, и в настоящее время компания работает с правоохранительными органами, внешними ИБ-экспертами и юристами над его расследованием.
Хотя речь, скорее всего, идет о вымогательской атаке, пока ни одна хак-группа не взяла на себя ответственность за взлом на Cencora. Также в компании сообщили СМИ, что этот взлом не связан с недавней атакой на Optum, дочернюю компанию UnitedHealth Group, которая глубоко интегрирована с системой здравоохранения США и работает с электронными медицинскими картами, обработкой платежей, анализом данных в больницах, клиниках и аптеках. Атаку на Optum связывают с вымогательской группировкой BlackCat (ALPHV).
LH | Новости | Курсы | Мемы
👍4
Атаки Fluffy Wolf бюджетны и незатейливы: готовый стилер, бесплатный RAT
Выявлена еще одна кибергруппа, действующая на территории России, — Fluffy Wolf. Злоумышленники рассылают в организации письма, приносящие вредоноса Meta Stealer и инструмент удаленного администрирования Remote Utilities.
По словам BI.ZONE, данная группировка активна как минимум с 2022 года и провела не менее 140 атак на российские компании. Своих наработок у Fluffy Wolf нет, она использует хорошо известные приемы и готовые инструменты.
Тем не менее подобные схемы до сих пор эффективны: вредоносные вложения и ссылки, по данным экспертов, до сих пор открывают порядка 5% корпоративных пользователей в России. Подобная неосмотрительность только на руку злоумышленникам: они получают точку входа в сеть организации; видимо, поэтому 68% целевых атак начинаются с фишинговой рассылки.
В ходе одной из недавних кампаний Fluffy Wolf рассылала письма от имени строительной организации, обозначив тему как «Акты на подпись». В названии прикрепленного архива был указан пароль, содержимым оказался вредоносный файл, замаскированный под заявленный документ.
При его открытии на машину жертвы устанавливались Meta Stealer и легитимный Remote Utilities. Получив контроль над устройством, авторы атаки могли отслеживать действия пользователя, выгружать файлы, выполнять команды, работать с диспетчером задач.
Ранее в атаках Fluffy Wolf засветились и другие зловреды.
LH | Новости | Курсы | Мемы
Выявлена еще одна кибергруппа, действующая на территории России, — Fluffy Wolf. Злоумышленники рассылают в организации письма, приносящие вредоноса Meta Stealer и инструмент удаленного администрирования Remote Utilities.
По словам BI.ZONE, данная группировка активна как минимум с 2022 года и провела не менее 140 атак на российские компании. Своих наработок у Fluffy Wolf нет, она использует хорошо известные приемы и готовые инструменты.
Тем не менее подобные схемы до сих пор эффективны: вредоносные вложения и ссылки, по данным экспертов, до сих пор открывают порядка 5% корпоративных пользователей в России. Подобная неосмотрительность только на руку злоумышленникам: они получают точку входа в сеть организации; видимо, поэтому 68% целевых атак начинаются с фишинговой рассылки.
В ходе одной из недавних кампаний Fluffy Wolf рассылала письма от имени строительной организации, обозначив тему как «Акты на подпись». В названии прикрепленного архива был указан пароль, содержимым оказался вредоносный файл, замаскированный под заявленный документ.
При его открытии на машину жертвы устанавливались Meta Stealer и легитимный Remote Utilities. Получив контроль над устройством, авторы атаки могли отслеживать действия пользователя, выгружать файлы, выполнять команды, работать с диспетчером задач.
«Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном телеграм-канале, — рассказывает руководитель BI.ZONE Threat Intelligence Олег Скулкин. — Арендовать стилер на месяц можно за 150 долларов. Стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой и позволяет реализовывать успешные атаки даже злоумышленникам с невысоким уровнем подготовки».
Ранее в атаках Fluffy Wolf засветились и другие зловреды.
LH | Новости | Курсы | Мемы
👍5
Маск обвиняет Microsoft и OpenAI в предательстве миссии и жажде наживы
В центре конфликта - будущее искусственного общего интеллекта.
Илон Маск подал в суд на OpenAI и ее генерального директора Сэма Альтмана, а также на других лиц, утверждая, что они отошли от первоначальной миссии компании разрабатывать искусственный интеллект во благо всего человечества.
В иске , поданном в четверг в суд Сан-Франциско, адвокаты Маска указали, что в 2015 году Альтман и сооснователь OpenAI Грег Брокман предложили технологическому миллиардеру сформировать некоммерческую лабораторию, которая бы разрабатывала искусственный общий интеллект на благо человечества.
Будучи одним из сооснователей OpenAI в 2015 году, Маск покинул совет директоров компании в 2018 году, через четыре года после того, как заявил, что ИИ может быть "потенциально более опасен, чем ядерное оружие".
"До сих пор на сайте OpenAI, Inc. заявляется, что ее устав направлен на то, чтобы AGI приносила пользу всему человечеству. Однако на деле OpenAI, Inc. превратилась в закрытую дочернюю компанию крупнейшей технологической компании в мире: Microsoft", - говорится в исковом заявлении.
В иске указано, что переориентация OpenAI на увеличение прибыли Microsoft противоречит первоначальным договоренностям.
"Под новым советом директоров компания не только разрабатывает, но и совершенствует AGI с целью максимизации прибыли для Microsoft, а не во благо человечества", - указано в документе.
LH | Новости | Курсы | Мемы
В центре конфликта - будущее искусственного общего интеллекта.
Илон Маск подал в суд на OpenAI и ее генерального директора Сэма Альтмана, а также на других лиц, утверждая, что они отошли от первоначальной миссии компании разрабатывать искусственный интеллект во благо всего человечества.
В иске , поданном в четверг в суд Сан-Франциско, адвокаты Маска указали, что в 2015 году Альтман и сооснователь OpenAI Грег Брокман предложили технологическому миллиардеру сформировать некоммерческую лабораторию, которая бы разрабатывала искусственный общий интеллект на благо человечества.
Будучи одним из сооснователей OpenAI в 2015 году, Маск покинул совет директоров компании в 2018 году, через четыре года после того, как заявил, что ИИ может быть "потенциально более опасен, чем ядерное оружие".
"До сих пор на сайте OpenAI, Inc. заявляется, что ее устав направлен на то, чтобы AGI приносила пользу всему человечеству. Однако на деле OpenAI, Inc. превратилась в закрытую дочернюю компанию крупнейшей технологической компании в мире: Microsoft", - говорится в исковом заявлении.
В иске указано, что переориентация OpenAI на увеличение прибыли Microsoft противоречит первоначальным договоренностям.
"Под новым советом директоров компания не только разрабатывает, но и совершенствует AGI с целью максимизации прибыли для Microsoft, а не во благо человечества", - указано в документе.
LH | Новости | Курсы | Мемы
👍7❤5🤔2😁1