В даркнете продают более 225 000 учетных данных для ChatGPT
Более 225 000 логов стилеров, содержащих украденные учетные данные для ChatGPT, были доступны в даркнете в период с января по октябрь 2023 года, свидетельствуют данные исследователей Group-IB.
В свежем отчете о киберкриминальных трендах 2023-2024 годов эксперты рассказывают, что учетные данные в основном обнаруживаются в логах таких инфостилеров, как LummaC2, Raccoon и RedLine.
Так, в период с июня по октябрь 2023 года было совершено более 130 000 взломов уникальных хостов с доступом к OpenAI ChatGPT, что на 36% больше, чем за первые пять месяцев 2023 года. Эксперты приводят следующую статистику для трех ведущих семейств стилеров:
LummaC2 — 70 484 хоста;
Raccoon — 22 468 хостов;
RedLine — 15 970 хостов.
По словам исследователей, LLM (такие как ChatGPT) могут использоваться злоумышленниками для разработки новых методов атак, подготовки убедительных мошеннических и фишинговых кампаний, а также для повышения общей операционной эффективности. По мнению Group-IB, ИИ также может помочь хакерам ускорить разведку, создание наборов инструментов для взлома и совершение мошеннических робозвонков.
LH | Новости | Курсы | Мемы
Более 225 000 логов стилеров, содержащих украденные учетные данные для ChatGPT, были доступны в даркнете в период с января по октябрь 2023 года, свидетельствуют данные исследователей Group-IB.
В свежем отчете о киберкриминальных трендах 2023-2024 годов эксперты рассказывают, что учетные данные в основном обнаруживаются в логах таких инфостилеров, как LummaC2, Raccoon и RedLine.
«Количество зараженных устройств немного снизилось в середине и конце лета, но значительно выросло в августе и сентябре», — отмечают в компании.
Так, в период с июня по октябрь 2023 года было совершено более 130 000 взломов уникальных хостов с доступом к OpenAI ChatGPT, что на 36% больше, чем за первые пять месяцев 2023 года. Эксперты приводят следующую статистику для трех ведущих семейств стилеров:
LummaC2 — 70 484 хоста;
Raccoon — 22 468 хостов;
RedLine — 15 970 хостов.
«Резкое увеличение количества продаваемых учетных данных для ChatGPT связано с общим ростом количества зараженных инфостилерами хостов, ведь данные, полученные от них, затем выставляются на продажу», — поясняют специалисты.
По словам исследователей, LLM (такие как ChatGPT) могут использоваться злоумышленниками для разработки новых методов атак, подготовки убедительных мошеннических и фишинговых кампаний, а также для повышения общей операционной эффективности. По мнению Group-IB, ИИ также может помочь хакерам ускорить разведку, создание наборов инструментов для взлома и совершение мошеннических робозвонков.
LH | Новости | Курсы | Мемы
👍3🤔2
В Android закрыли две критические уязвимости (RCE и повышение прав)
На этой неделе Google выпустила очередные патчи для Android, устраняющие в общей сложности 38 брешей. Две уязвимости, затрагивающие компонент System, получили статус критических. Последние проходят под идентификаторами CVE-2024-0039 и CVE-2024-23717. В первую очередь они опасны для пользователей Android 12, 12L, 13 и 14. С помощью CVE-2024-0039 атакующие могут выполнить вредоносный код удалённо, а CVE-2024-23717 позволяет повысить права в операционной системе.
LH | Новости | Курсы | Мемы
На этой неделе Google выпустила очередные патчи для Android, устраняющие в общей сложности 38 брешей. Две уязвимости, затрагивающие компонент System, получили статус критических. Последние проходят под идентификаторами CVE-2024-0039 и CVE-2024-23717. В первую очередь они опасны для пользователей Android 12, 12L, 13 и 14. С помощью CVE-2024-0039 атакующие могут выполнить вредоносный код удалённо, а CVE-2024-23717 позволяет повысить права в операционной системе.
LH | Новости | Курсы | Мемы
👍3
Фишинг-кит CryptoChameleon ориентирован на пользователей мобильных устройств
Специалисты компании Lookout обнаружили новый фишинговый набор CryptoChameleon, который имитирует страницы логина известных криптовалютных сервисов. Угроза в основном ориентирована на мобильные устройства, и ее жертвами уже стали более 100 пользователей.
Исследователи рассказывают, что CryptoChameleon позволяет злоумышленникам создавать копии страниц single sign-on (SSO), а затем использовать письма, SMS и голосовой фишинг, чтобы обманом вынудить жертву поделиться логинами, паролями, URL для сброса паролей и даже фотографиями своих удостоверений личности.
Целями фишеров уже стали сотрудники Федеральной комиссии по связи США (FCC), Binance, Coinbase, а также пользователи таких криптовалютных платформ, как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor.
При этом фишинговые страницы разработаны таким образом, что фальшивый экран входа в систему отображается только в том случае, если жертва прошла CAPTCHA с помощью hCaptcha, что не позволяет автоматическим инструментам обнаружить эти ресурсы.
В некоторых случаях фишинговые страницы распространяются посредством телефонных звонков и SMS-сообщений, в которых мошенники выдают себя за специалистов службы поддержки и лгут о том, что аккаунт срочно нужно безопасность после якобы произошедшего взлома.
После того как пользователь вводит свои учетные данные, его просят предоставить код двухфакторной аутентификации (2ФА) или просят «подождать», пока проверяется предоставленная информация.
LH | Новости | Курсы | Мемы
Специалисты компании Lookout обнаружили новый фишинговый набор CryptoChameleon, который имитирует страницы логина известных криптовалютных сервисов. Угроза в основном ориентирована на мобильные устройства, и ее жертвами уже стали более 100 пользователей.
Исследователи рассказывают, что CryptoChameleon позволяет злоумышленникам создавать копии страниц single sign-on (SSO), а затем использовать письма, SMS и голосовой фишинг, чтобы обманом вынудить жертву поделиться логинами, паролями, URL для сброса паролей и даже фотографиями своих удостоверений личности.
Целями фишеров уже стали сотрудники Федеральной комиссии по связи США (FCC), Binance, Coinbase, а также пользователи таких криптовалютных платформ, как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor.
При этом фишинговые страницы разработаны таким образом, что фальшивый экран входа в систему отображается только в том случае, если жертва прошла CAPTCHA с помощью hCaptcha, что не позволяет автоматическим инструментам обнаружить эти ресурсы.
В некоторых случаях фишинговые страницы распространяются посредством телефонных звонков и SMS-сообщений, в которых мошенники выдают себя за специалистов службы поддержки и лгут о том, что аккаунт срочно нужно безопасность после якобы произошедшего взлома.
После того как пользователь вводит свои учетные данные, его просят предоставить код двухфакторной аутентификации (2ФА) или просят «подождать», пока проверяется предоставленная информация.
«[В это время] злоумышленник, скорее всего, пытается войти в систему, используя полученные учетные данные, а затем перенаправляет жертву на соответствующую страницу, в зависимости от того, какая дополнительная информация запрашивается службой МФА, к которой пытается получить доступ мошенник», — рассказывают в Lookout.
LH | Новости | Курсы | Мемы
👍2
#обзор
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале
LH | Новости | Курсы | Мемы
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале
LH | Новости | Курсы | Мемы
Telegraph
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале.
Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 ( CVSS — 9,8) По данным Shadowserver, количество устройств, на которых присутствует FortiOS SSL VPN, — более 465 000. В России это ПО выявлено на 2816 узлах. Эксплуатация…
👍2
Код ИБ зовут руководителей по ИБ на интенсив Код ИБ ПРОФИ на Кавказе.
🗓 С 21 по 24 марта 2024
📍 Кавказ (г. Кисловодск)
Только представьте💭: горы, солнце, кавказское гостеприимство и безопасники со всей страны.
Традиционный для ПРОФИ формат: 2 дня учебы и 2 дня приключений, который позволяет и получить новые знания, и при этом немного переключиться и отдохнуть.
Программа строится в концепции ТЕХНОЛОГИИ - ПРОЦЕССЫ - ЛЮДИ и спикерами приглашены:
▪️Всеслав Соленик - Директор по кибербезопасности СберТех
▪️Илья Борисов - Директор департамента методологии ИБ ВКонтакте
▪️Ксения Трохимец - Независимый эксперт в сфере управления человеческим капиталом
▪️Сергей Рысин - Генеральный директор АСИЕ-Групп
▪️Лука Сафонов - Директор Киберполигон
Темы мастер-классов:
▪️Как выстроить стратегию КБ своей компании в части технологий и СЗИ
▪️Как выстроить процессы ИБ и измерить их эффективность
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как составить работающий playbook для кризисных ситуаций в компании
▪️Как грамотно подготовить и провести пентест: взгляд заказчика и исполнителя
Приключения начнутся с джип тура Гижгит и Чегем
Участников ждут водопады, перевалы, горы и сногсшибательные виды на природу Кавказа 💥
В заключительный день все отправятся на пешеходную прогулку в Курортном парке Кисловодска, где сначала поднимемся на канатной дороге и полюбуемся Эльбрусом со смотровой площадки, а потом отправимся по терренкурам маршрутами разной сложности.
Вы уже представили, как это будет круто?
Приезжайте сами и зовите команду. Я сам не был, но наслышан, поэтому однозначно могу рекомендовать 💪.
Все подробности можно найти на сайте мероприятия, поэтому изучайте и планируйте поездку. Таких мероприятий, как Код ИБ ПРОФИ - единицы, поэтому приезжайте. Это будет незабываемо ❤️
🗓 С 21 по 24 марта 2024
📍 Кавказ (г. Кисловодск)
Только представьте💭: горы, солнце, кавказское гостеприимство и безопасники со всей страны.
Традиционный для ПРОФИ формат: 2 дня учебы и 2 дня приключений, который позволяет и получить новые знания, и при этом немного переключиться и отдохнуть.
Программа строится в концепции ТЕХНОЛОГИИ - ПРОЦЕССЫ - ЛЮДИ и спикерами приглашены:
▪️Всеслав Соленик - Директор по кибербезопасности СберТех
▪️Илья Борисов - Директор департамента методологии ИБ ВКонтакте
▪️Ксения Трохимец - Независимый эксперт в сфере управления человеческим капиталом
▪️Сергей Рысин - Генеральный директор АСИЕ-Групп
▪️Лука Сафонов - Директор Киберполигон
Темы мастер-классов:
▪️Как выстроить стратегию КБ своей компании в части технологий и СЗИ
▪️Как выстроить процессы ИБ и измерить их эффективность
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как составить работающий playbook для кризисных ситуаций в компании
▪️Как грамотно подготовить и провести пентест: взгляд заказчика и исполнителя
Приключения начнутся с джип тура Гижгит и Чегем
Участников ждут водопады, перевалы, горы и сногсшибательные виды на природу Кавказа 💥
В заключительный день все отправятся на пешеходную прогулку в Курортном парке Кисловодска, где сначала поднимемся на канатной дороге и полюбуемся Эльбрусом со смотровой площадки, а потом отправимся по терренкурам маршрутами разной сложности.
Вы уже представили, как это будет круто?
Приезжайте сами и зовите команду. Я сам не был, но наслышан, поэтому однозначно могу рекомендовать 💪.
Все подробности можно найти на сайте мероприятия, поэтому изучайте и планируйте поездку. Таких мероприятий, как Код ИБ ПРОФИ - единицы, поэтому приезжайте. Это будет незабываемо ❤️
Взломанные WordPress-сайты заставляют посетителей брутфорсить другие сайты.
Киберпреступники запустили серию масштабных атак, в ходе которых на страницы WordPress-сайтов внедряются скрипты. Задача таких скриптов — заставить браузеры посетителей брутфорсить пароли к другим ресурсам.
Вредоносный код помещается в HTML-шаблоны. Когда посетитель заходит на ресурс, скрипт подгружается в браузер. Далее интернет-обозреватель подключается к серверу злоумышленников, откуда получает задачу — брутфорсить пароли. Таск приходит в форме JSON-файла, содержащего параметры для брутфорс-атаки: идентификатор, URL сайта, имя аккаунта, около 100 паролей, которые нужно пробовать подобрать. После этого браузер пользователя незаметно загружает файл с помощью интерфейса XMLRPC. Если брутфорс прошёл успешно, сервер уведомит киберпреступников, что пароль найден.
LH | Новости | Курсы | Мемы
Киберпреступники запустили серию масштабных атак, в ходе которых на страницы WordPress-сайтов внедряются скрипты. Задача таких скриптов — заставить браузеры посетителей брутфорсить пароли к другим ресурсам.
Вредоносный код помещается в HTML-шаблоны. Когда посетитель заходит на ресурс, скрипт подгружается в браузер. Далее интернет-обозреватель подключается к серверу злоумышленников, откуда получает задачу — брутфорсить пароли. Таск приходит в форме JSON-файла, содержащего параметры для брутфорс-атаки: идентификатор, URL сайта, имя аккаунта, около 100 паролей, которые нужно пробовать подобрать. После этого браузер пользователя незаметно загружает файл с помощью интерфейса XMLRPC. Если брутфорс прошёл успешно, сервер уведомит киберпреступников, что пароль найден.
LH | Новости | Курсы | Мемы
👍4🤔3
VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
👍3❤1
RCE in JetBrains TeamCity
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
👍3
Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
👍5😁2
Власти Швейцарии подтвердили кражу 65 000 правительственных документов.
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
👍4
США готовы платить миллионы долларов за поимку охотника на гостайну
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
🔥5
Кибербандиты похищают SAML-токены из Cisco Secure Client
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
👍4
Хакерский удар по Microsoft: руководители под слежкой, исходный код скомпрометирован
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
👍7🔥2
ИИ-оружие массового поражения: ученые создали противоядие
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
🤔3
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю (сохрани себе и отправь другу):
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
👍1
Уязвимые версии по всему миру.
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
👍3❤2
Прорыв в технологии 6G: маленький чип с большими возможностями.
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
👍3
Последние обновления macOS сносят КриптоПро CSP и Chromium ГОСТ
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
👍3🔥2
Microsoft обвиняет российских хакеров в краже исходного кода
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
LH | Новости | Курсы | Мемы
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
В последние недели мы обнаружили доказательства того, что Midnight Blizzard использует информацию, полученную из наших корпоративных систем электронной почты, для получения или попытки получения несанкционированного доступа. Включая доступ к некоторым репозиториям исходного кода и внутренним системам компании. На данный момент мы не нашли никаких доказательств того, что системы клиентов, размещенные на хостинге Microsoft, были взломаны
LH | Новости | Курсы | Мемы
🤔5🔥3👏3
Сапожник без сапог: хакеры взломали CISA
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы