Хакеры используют QEMU в качестве инструмента для создания сетевых туннелей
Специалисты «Лаборатории Касперского» рассказали, что злоумышленники использовали опенсорсный эмулятор QEMU для туннелирования.
QEMU использовался как инструмент для создания сетевых туннелей, который вряд ли вызовет какие-то подозрения (даже если это означает отказ от шифрования трафика). Кроме того, QEMU предоставляет хакерам уникальные возможности, включая эмуляцию широкого спектра аппаратных и виртуальных сетей, позволяя вредоносной активности смешиваться с обычным трафиком виртуализации и соединять сегментированные части сети.
В изученной атаке хакеры постарались оставить как можно меньше следов, выделив виртуальной машине всего 1 МБ оперативной памяти, что значительно снижало вероятность ее обнаружения из-за потребления ресурсов.
Выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам. Каждое сетевое устройство (а их много) определяется своим типом и может иметь дополнительные параметры.
В итоге, используя QEMU, злоумышленники создали сетевой туннель от целевого внутреннего хоста, не имеющего доступа в интернет, к хосту с доступом в интернет, который, в свою очередь, подключался к облачному серверу хакеров, где была установлена виртуальная машина с Kali Linux.
LH | Новости | Курсы | Мемы
Специалисты «Лаборатории Касперского» рассказали, что злоумышленники использовали опенсорсный эмулятор QEMU для туннелирования.
QEMU использовался как инструмент для создания сетевых туннелей, который вряд ли вызовет какие-то подозрения (даже если это означает отказ от шифрования трафика). Кроме того, QEMU предоставляет хакерам уникальные возможности, включая эмуляцию широкого спектра аппаратных и виртуальных сетей, позволяя вредоносной активности смешиваться с обычным трафиком виртуализации и соединять сегментированные части сети.
В изученной атаке хакеры постарались оставить как можно меньше следов, выделив виртуальной машине всего 1 МБ оперативной памяти, что значительно снижало вероятность ее обнаружения из-за потребления ресурсов.
Выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам. Каждое сетевое устройство (а их много) определяется своим типом и может иметь дополнительные параметры.
В итоге, используя QEMU, злоумышленники создали сетевой туннель от целевого внутреннего хоста, не имеющего доступа в интернет, к хосту с доступом в интернет, который, в свою очередь, подключался к облачному серверу хакеров, где была установлена виртуальная машина с Kali Linux.
LH | Новости | Курсы | Мемы
👍5❤1
Вспышка атак на WordPress: 3900 сайтов взломаны через Popup Builder
В последние три недели свыше 3900 сайтов на WordPress подверглись атаке в рамках новой злонамеренной кампании, основной целью которой стало использование уязвимости в плагине Popup Builder для внедрения на сайты вредоносного JavaScript-содержимого.
Исследователи сообщают, что атаки ведутся с доменов, зарегистрированных менее месяца назад, начиная с 12 февраля 2024 года. Основной вектор атаки связан с уязвимостью CVE-2023-6000, через которую злоумышленники создают фальшивые учётные записи администраторов и устанавливают произвольные плагины.
Ранее эта же уязвимость уже была использована хакерами для компрометации не менее 7000 веб-сайтов в рамках вредоносной операции с применением Balada Injector. Тем временем, новая серия атак внедряет ещё два варианта вредоносного кода, направленного на перенаправление посетителей сайтов на фишинговые и мошеннические страницы.
LH | Новости | Курсы | Мемы
В последние три недели свыше 3900 сайтов на WordPress подверглись атаке в рамках новой злонамеренной кампании, основной целью которой стало использование уязвимости в плагине Popup Builder для внедрения на сайты вредоносного JavaScript-содержимого.
Исследователи сообщают, что атаки ведутся с доменов, зарегистрированных менее месяца назад, начиная с 12 февраля 2024 года. Основной вектор атаки связан с уязвимостью CVE-2023-6000, через которую злоумышленники создают фальшивые учётные записи администраторов и устанавливают произвольные плагины.
Ранее эта же уязвимость уже была использована хакерами для компрометации не менее 7000 веб-сайтов в рамках вредоносной операции с применением Balada Injector. Тем временем, новая серия атак внедряет ещё два варианта вредоносного кода, направленного на перенаправление посетителей сайтов на фишинговые и мошеннические страницы.
LH | Новости | Курсы | Мемы
👍3
60 дыр безопасности закрыты в рамках очередного Patch Tuesday
В рамках ежемесячного обновления безопасности, известного как Patch Tuesday, компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.
Количество исправленных уязвимостей в каждой категории указано ниже:
Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:
LH | Новости | Курсы | Мемы
В рамках ежемесячного обновления безопасности, известного как Patch Tuesday, компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.
Количество исправленных уязвимостей в каждой категории указано ниже:
24 уязвимости повышения привилегий;
3 уязвимости обхода системы безопасности;
18 уязвимостей удалённого выполнения кода;
6 уязвимостей раскрытия информации;
6 уязвимостей отказа в обслуживании;
2 уязвимости спуфинга данных.
Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:
— CVE-2024-21400: уязвимость в Azure Kubernetes Service, позволяющая злоумышленникам повысить свои привилегии и похитить учётные данные.
— CVE-2024-26199: уязвимость в Microsoft Office, позволяющая любому аутентифицированному пользователю получить привилегии SYSTEM.
— CVE-2024-20671: уязвимость в Microsoft Defender, позволяющая обойти функцию безопасности и предотвратить запуск Defender.
— CVE-2024-21411: уязвимость в Skype for Consumer, позволяющая выполнить удалённый код посредством мошеннической ссылки или изображения.
LH | Новости | Курсы | Мемы
👍2
Forwarded from Life-Hack - Хакер
На первой неделе курса "Linux для новичков" мы познакомились с основами операционной системы Linux.
Мы узнали, что такое Linux, почему его выбирают и какие основные дистрибутивы существуют. Мы изучили различия способов установки Linux, а также освоили основные команды командной строки и познакомились со структурой файловой системы Linux.
Эти знания и навыки являются фундаментом для дальнейшего изучения Linux и помогут нам успешно преодолевать дальнейшие вызовы курса. Если вы что-то пропустили и желаете прочитать, то вот список материалов первой недели:
• Что такое Linux и почему его выбирают?
• Основные дистрибутивы Linux: Ubuntu, Fedora, CentOS и др.
• Установка Linux: дуализм с Windows, LiveCD и виртуальные машины.
• Основные команды командной строки Linux: cd, ls, mkdir, rm и др.
• Структура файловой системы Linux: /bin, /etc, /home и др.
• Пакетный менеджер APT для установки и обновления программ.
• Основы текстового редактора nano: открытие, редактирование и сохранение файлов.
Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!
Следующую неделю мы посвятим теме «Работа с файлами и директориями».
LH | Новости | Курсы | Мемы
Мы узнали, что такое Linux, почему его выбирают и какие основные дистрибутивы существуют. Мы изучили различия способов установки Linux, а также освоили основные команды командной строки и познакомились со структурой файловой системы Linux.
Эти знания и навыки являются фундаментом для дальнейшего изучения Linux и помогут нам успешно преодолевать дальнейшие вызовы курса. Если вы что-то пропустили и желаете прочитать, то вот список материалов первой недели:
Неделя 1: Введение в Linux• Что такое Linux и почему его выбирают?
• Основные дистрибутивы Linux: Ubuntu, Fedora, CentOS и др.
• Установка Linux: дуализм с Windows, LiveCD и виртуальные машины.
• Основные команды командной строки Linux: cd, ls, mkdir, rm и др.
• Структура файловой системы Linux: /bin, /etc, /home и др.
• Пакетный менеджер APT для установки и обновления программ.
• Основы текстового редактора nano: открытие, редактирование и сохранение файлов.
Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!
Следующую неделю мы посвятим теме «Работа с файлами и директориями».
LH | Новости | Курсы | Мемы
Telegram
Life-Hack - Хакер
Друзья, приветствуем вас на нашем бесплатном теоретическом курсе "Linux для новичков"!
#Linux - это не просто операционная система, это целая философия работы с компьютерами.
В этом курсе мы с вами изучим основы работы с Linux, освоим основные команды…
#Linux - это не просто операционная система, это целая философия работы с компьютерами.
В этом курсе мы с вами изучим основы работы с Linux, освоим основные команды…
👍2❤1🔥1
Уязвимость в Android 14: выполнение кода через Bluetooth
Команда проекта GrapheneOS , которая работает над безопасной версией Android Open Source Project (AOSP), обнаружила проблему в Bluetooth-стеке Android 14, приводящую к удаленному выполнению кода.
Уязвимость использования памяти после освобождения (Use-After-Free, UAF) возникает при передаче аудио через Bluetooth LE. Недостаток был обнаружен с помощью функции hardened_malloc, которая включает дополнительные меры защиты через ARMv8.5 MTE (MemTag, Memory Tagging Extension, расширение для маркировки памяти), что позволяет отслеживать и предотвращать неправильное использование указателей, связанное с освобожденными блоками памяти, переполнением буфера и другими подобными проблемами.
Уязвимость проявилась после обновления до Android 14 QPR2 в начале марта и касалась всех смартфонов, на которых не активирована MTE, хотя в GrapheneOS функция уже была реализована для усиления безопасности. Ошибка вызывала сбои при использовании Bluetooth-наушников Samsung Galaxy Buds2 Pro, если в прошивке включена защита MTE.
LH | Новости | Курсы | Мемы
Команда проекта GrapheneOS , которая работает над безопасной версией Android Open Source Project (AOSP), обнаружила проблему в Bluetooth-стеке Android 14, приводящую к удаленному выполнению кода.
Уязвимость использования памяти после освобождения (Use-After-Free, UAF) возникает при передаче аудио через Bluetooth LE. Недостаток был обнаружен с помощью функции hardened_malloc, которая включает дополнительные меры защиты через ARMv8.5 MTE (MemTag, Memory Tagging Extension, расширение для маркировки памяти), что позволяет отслеживать и предотвращать неправильное использование указателей, связанное с освобожденными блоками памяти, переполнением буфера и другими подобными проблемами.
Уязвимость проявилась после обновления до Android 14 QPR2 в начале марта и касалась всех смартфонов, на которых не активирована MTE, хотя в GrapheneOS функция уже была реализована для усиления безопасности. Ошибка вызывала сбои при использовании Bluetooth-наушников Samsung Galaxy Buds2 Pro, если в прошивке включена защита MTE.
LH | Новости | Курсы | Мемы
👀2👍1
Операторы DarkGate начали использовать уязвимость Windows SmartScreen
В новой волне атак операторов вредоносной программ DarkGate фигурирует уязвимость в Windows Defender SmartScreen, с помощью которой злоумышленники обходят защитные функции ОС и устанавливают фейковый софт.
Речь идёт о бреши под идентификатором CVE-2024-21412, которую Microsoft устранила с выходом февральского набора патчей. До этого она получила статус 0-day, именно её эксплуатировал троян DarkMe.
SmartScreen — защитный механизм в Windows, предупреждающий пользователя при попытках открыть подозрительный файл, скачанный из Сети. CVE-2024-21412 помогает использовать специально подготовленные файлы для обхода алертов. Для эксплуатации используются интернет-ярлыки (.url-файлы), указывающие на другие ярлыки, которые хранятся на удалённой SMB-шаре. Такой метод приводит к тому, что конечный файл запустится автоматически в целевой системе.
LH | Новости | Курсы | Мемы
В новой волне атак операторов вредоносной программ DarkGate фигурирует уязвимость в Windows Defender SmartScreen, с помощью которой злоумышленники обходят защитные функции ОС и устанавливают фейковый софт.
Речь идёт о бреши под идентификатором CVE-2024-21412, которую Microsoft устранила с выходом февральского набора патчей. До этого она получила статус 0-day, именно её эксплуатировал троян DarkMe.
SmartScreen — защитный механизм в Windows, предупреждающий пользователя при попытках открыть подозрительный файл, скачанный из Сети. CVE-2024-21412 помогает использовать специально подготовленные файлы для обхода алертов. Для эксплуатации используются интернет-ярлыки (.url-файлы), указывающие на другие ярлыки, которые хранятся на удалённой SMB-шаре. Такой метод приводит к тому, что конечный файл запустится автоматически в целевой системе.
LH | Новости | Курсы | Мемы
👍1
Media is too big
VIEW IN TELEGRAM
Защита систем от продвинутых кибератак — непростая задача, особенно в случае закрытых систем, таких как iOS
Этим летом «Лаборатория Касперского» сообщила об APT-кампании Операция Триангуляция, которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов — через сообщения в iMessage, который не требовал каких-либо действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. Основной целью атакующих был шпионаж. Чтобы провести детальный технический анализ, потребовалось много времени — из-за сложности атаки и закрытости iOS.
Также не стоит забывать про инцидент случившийся пару лет назад, когда сотрудники компании ZecOps, специализирующейся на кибербезопасности, обнаружили во всех моделях iPhone уязвимость, связанную с программным обеспечением NoReboot, которое умеет красть личные данные владельцев и имитировать перезагрузку гаджета. NoReboot внедряет вредоносный код в фоновые процессы, которые ответственны за включение и выключение «яблочных» аппаратов.
Ссылка на GitHub с PoC (proof of concept)
Поэтому, владельцам iPhone и проприетарного ПО следует быть особенно бдительными и внимательными к обновлениям, предлагаемым производителями. Только так можно обеспечить безопасность своих данных и личной информации. Помните, что в мире цифровых технологий безопасность всегда на первом месте, и лучше заранее предусмотреть возможные угрозы, чем потом раскаиваться в принятии легкомысленных решений.
LH | Новости | Курсы | Мемы
Этим летом «Лаборатория Касперского» сообщила об APT-кампании Операция Триангуляция, которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов — через сообщения в iMessage, который не требовал каких-либо действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. Основной целью атакующих был шпионаж. Чтобы провести детальный технический анализ, потребовалось много времени — из-за сложности атаки и закрытости iOS.
Также не стоит забывать про инцидент случившийся пару лет назад, когда сотрудники компании ZecOps, специализирующейся на кибербезопасности, обнаружили во всех моделях iPhone уязвимость, связанную с программным обеспечением NoReboot, которое умеет красть личные данные владельцев и имитировать перезагрузку гаджета. NoReboot внедряет вредоносный код в фоновые процессы, которые ответственны за включение и выключение «яблочных» аппаратов.
Ссылка на GitHub с PoC (proof of concept)
Поэтому, владельцам iPhone и проприетарного ПО следует быть особенно бдительными и внимательными к обновлениям, предлагаемым производителями. Только так можно обеспечить безопасность своих данных и личной информации. Помните, что в мире цифровых технологий безопасность всегда на первом месте, и лучше заранее предусмотреть возможные угрозы, чем потом раскаиваться в принятии легкомысленных решений.
LH | Новости | Курсы | Мемы
👍3
Оператора криптомиксера Bitcoin Fog признали виновным в отмывании 400 млн долларов
Федеральный суд США признал гражданина России и Швеции Романа Стерлингова виновным в управлении криптовалютным миксером Bitcoin Fog в период с 2011 по 2021 год. За это время через сервис прошло 1,2 млн биткоинов (примерно 400 млн долларов США по курсу на момент совершения транзакций).
Правоохранители сообщают, что Bitcoin Fog был одним из самых старых криптовалютных миксеров в даркнете, и киберпреступники с многочисленных теневых маркетплейсов использовали его для отмывания своих преступных доходов.
О популярности среди преступников свидетельствует и тот факт, что за десять лет работы через Bitcoin Fog прошло более 1,2 млн биткоинов, часть из которых удалось связать с различной преступной деятельностью. Хотя по курсу на момент совершения транзакций эта сумма равнялась примерно 400 млн долларов США, по текущему курсу, когда биткоин снова бьет рекорды, это уже было бы эквивалентно 87,5 миллиардам долларов США.
LH | Новости | Курсы | Мемы
Федеральный суд США признал гражданина России и Швеции Романа Стерлингова виновным в управлении криптовалютным миксером Bitcoin Fog в период с 2011 по 2021 год. За это время через сервис прошло 1,2 млн биткоинов (примерно 400 млн долларов США по курсу на момент совершения транзакций).
Правоохранители сообщают, что Bitcoin Fog был одним из самых старых криптовалютных миксеров в даркнете, и киберпреступники с многочисленных теневых маркетплейсов использовали его для отмывания своих преступных доходов.
О популярности среди преступников свидетельствует и тот факт, что за десять лет работы через Bitcoin Fog прошло более 1,2 млн биткоинов, часть из которых удалось связать с различной преступной деятельностью. Хотя по курсу на момент совершения транзакций эта сумма равнялась примерно 400 млн долларов США, по текущему курсу, когда биткоин снова бьет рекорды, это уже было бы эквивалентно 87,5 миллиардам долларов США.
LH | Новости | Курсы | Мемы
👍1
Фишеры сымитировали ресурсы почти 90% крупных российских компаний
Атакующие россиян фишеры предпочитают копировать сайты организаций – лидеров по выручке или популярности у пользователей. Жертвами такого подрыва репутации бренда становятся от 70 до 90% компаний, чаще всего банки.
Согласно статистике в 2023 году мошенники сымитировали 70% успешных российских бизнес-структур, около 87% популярных работодателей и 90% банков, высоко оцененных клиентами. При этом клоны ресурсов целевых компаний плодятся со скоростью до нескольких сотен в месяц. Большинство фишинговых сайтов нацелены на сбор персональных данных (ФИО, номер телефона, имейл и т. п.). В качестве приманки посетителю могут предложить пройти опрос — якобы для повышения качества обслуживания, получения доступа к услуге, участия в акции.
Злоумышленники также создают поддельные страницы регистрации и с их помощью воруют учетные данные. Такие фальшивки, по данным экспертов, в основном имитируют сервисы ДБО; в случае успеха обманщики получают доступ к платежной информации жертвы.
LH | Новости | Курсы | Мемы
Атакующие россиян фишеры предпочитают копировать сайты организаций – лидеров по выручке или популярности у пользователей. Жертвами такого подрыва репутации бренда становятся от 70 до 90% компаний, чаще всего банки.
Согласно статистике в 2023 году мошенники сымитировали 70% успешных российских бизнес-структур, около 87% популярных работодателей и 90% банков, высоко оцененных клиентами. При этом клоны ресурсов целевых компаний плодятся со скоростью до нескольких сотен в месяц. Большинство фишинговых сайтов нацелены на сбор персональных данных (ФИО, номер телефона, имейл и т. п.). В качестве приманки посетителю могут предложить пройти опрос — якобы для повышения качества обслуживания, получения доступа к услуге, участия в акции.
Злоумышленники также создают поддельные страницы регистрации и с их помощью воруют учетные данные. Такие фальшивки, по данным экспертов, в основном имитируют сервисы ДБО; в случае успеха обманщики получают доступ к платежной информации жертвы.
LH | Новости | Курсы | Мемы
👍4❤1
Администратора LockBit приговорили к тюремному сроку
В Канаде вынесен приговор одному из администраторов известной группировки LockBit, специализирующейся на распространении вымогательского программного обеспечения.
34-летний Михаил Васильев, обладающий гражданством Канады и России, признал себя виновным по восьми обвинениям и получил почти четырёхлетний срок тюремного заключения. Тем временем, задержан Васильев был около полутора лет назад, в октябре 2022 года, в канадском городе Брэдфорд. Задержание прошло в рамках международной операции с участием властей Европы, США и Канады.
Судья Мишель Ферст охарактеризовала Васильева как «кибертеррориста» и отметила, что его действия были мотивированы личными финансовыми интересами. Помимо тюремного срока мужчине также придётся выплатить $860 000 в качестве компенсации пострадавшим.
Васильев признал себя виновным по обвинениям, связанным с кибервымогательством, незаконным владением оружием и другими преступлениями. Его деятельность нанесла серьёзный ущерб трём канадским компаниям в 2021 и 2022 годах. Кроме того, преступник был замешан в деятельности LockBit во время пандемии COVID-19.
LH | Новости | Курсы | Мемы
В Канаде вынесен приговор одному из администраторов известной группировки LockBit, специализирующейся на распространении вымогательского программного обеспечения.
34-летний Михаил Васильев, обладающий гражданством Канады и России, признал себя виновным по восьми обвинениям и получил почти четырёхлетний срок тюремного заключения. Тем временем, задержан Васильев был около полутора лет назад, в октябре 2022 года, в канадском городе Брэдфорд. Задержание прошло в рамках международной операции с участием властей Европы, США и Канады.
Судья Мишель Ферст охарактеризовала Васильева как «кибертеррориста» и отметила, что его действия были мотивированы личными финансовыми интересами. Помимо тюремного срока мужчине также придётся выплатить $860 000 в качестве компенсации пострадавшим.
Васильев признал себя виновным по обвинениям, связанным с кибервымогательством, незаконным владением оружием и другими преступлениями. Его деятельность нанесла серьёзный ущерб трём канадским компаниям в 2021 и 2022 годах. Кроме того, преступник был замешан в деятельности LockBit во время пандемии COVID-19.
LH | Новости | Курсы | Мемы
👍7❤2
Google Chrome улучшит защиту от фишинга, сократив скорость реагирования
Google планирует выпустить обновление защитного механизма Safe Browsing в конце этого месяца для всех пользователей Chrome. После этого браузер будет в режиме реального времени защищать от вредоносных программ и фишинга.
Функциональность Safe Browsing — довольно древняя, её запустили аж в 2005 году. Изначально задача заключалась в защите пользователей от фишинга, однако позже возможности расширились до блокировки вредоносных доменов.
Разработчики добавили режим Enhanced Protection, который задействовал искусственный интеллект для противодействия кибератакам и более глубоко сканировал загруженные файлы. На сегодняшний день Safe Browsing проверяет сайты, загрузки и расширения, сопоставляя их с локальным списком вредоносных URL, который обновляется с серверов Google каждые 30-60 минут.
LH | Новости | Курсы | Мемы
Google планирует выпустить обновление защитного механизма Safe Browsing в конце этого месяца для всех пользователей Chrome. После этого браузер будет в режиме реального времени защищать от вредоносных программ и фишинга.
Функциональность Safe Browsing — довольно древняя, её запустили аж в 2005 году. Изначально задача заключалась в защите пользователей от фишинга, однако позже возможности расширились до блокировки вредоносных доменов.
Разработчики добавили режим Enhanced Protection, который задействовал искусственный интеллект для противодействия кибератакам и более глубоко сканировал загруженные файлы. На сегодняшний день Safe Browsing проверяет сайты, загрузки и расширения, сопоставляя их с локальным списком вредоносных URL, который обновляется с серверов Google каждые 30-60 минут.
LH | Новости | Курсы | Мемы
👍4
Хакеры угоняют eSim для получения доступа к онлайн-банкингу
Специалисты компании FACCT обнаружили попытки кражи мобильных номеров у российских пользователей для получения доступа к их онлайн-банкингу. Угон номеров происходит с помощью подмены или восстановления eSIM — встроенной цифровой карты, выполняющей в некоторых современных смартфонах функции физической SIM-карты.
Исследователи говорят, что с осени 2023 года зафиксировали уже более ста попыток входа в личные кабинеты клиентов в онлайн-сервисах только у одной финансовой организации.
Чтобы получить доступ к чужому мобильному номеру, злоумышленники используют функцию замены или восстановления цифровой SIM-карты: переносят телефон жертвы на собственное устройство с eSIM.
Для перехвата номера с использованием eSIM-профилей мошенникам требуется смартфон, поддерживающий подключение профиля eSIM, скомпрометированная учетная запись жертвы в личном кабинете у оператора связи или в популярном государственном сервисе.
Отмечается, что за рубежом аналогичный способ угона киберпреступники используют уже не меньше года, тогда как в России первые попытки были зафиксированы осенью 2023 года.
Раньше для угона аккаунтов злоумышленники (с помощью сообщников на стороне оператора) пытались перевыпустить SIM-карту без ведома самого абонента, но операторы и банки ввели жесткие меры противодействия этому виду мошенничества. Поэтому в новой схеме для получения QR-кода или кода активации адреса SM-DP+ (который в eSIM отвечает за генерацию и защиту профилей) злоумышленники сами создают заявку на сайте в или приложении оператора на перевод номера с физической карты на eSIM. Как только злоумышленник завершает этот процесс, пользователь уже не может использовать свою SIM-карту и теряет доступ к номеру.
LH | Новости | Курсы | Мемы
Специалисты компании FACCT обнаружили попытки кражи мобильных номеров у российских пользователей для получения доступа к их онлайн-банкингу. Угон номеров происходит с помощью подмены или восстановления eSIM — встроенной цифровой карты, выполняющей в некоторых современных смартфонах функции физической SIM-карты.
Исследователи говорят, что с осени 2023 года зафиксировали уже более ста попыток входа в личные кабинеты клиентов в онлайн-сервисах только у одной финансовой организации.
Чтобы получить доступ к чужому мобильному номеру, злоумышленники используют функцию замены или восстановления цифровой SIM-карты: переносят телефон жертвы на собственное устройство с eSIM.
Для перехвата номера с использованием eSIM-профилей мошенникам требуется смартфон, поддерживающий подключение профиля eSIM, скомпрометированная учетная запись жертвы в личном кабинете у оператора связи или в популярном государственном сервисе.
Отмечается, что за рубежом аналогичный способ угона киберпреступники используют уже не меньше года, тогда как в России первые попытки были зафиксированы осенью 2023 года.
Раньше для угона аккаунтов злоумышленники (с помощью сообщников на стороне оператора) пытались перевыпустить SIM-карту без ведома самого абонента, но операторы и банки ввели жесткие меры противодействия этому виду мошенничества. Поэтому в новой схеме для получения QR-кода или кода активации адреса SM-DP+ (который в eSIM отвечает за генерацию и защиту профилей) злоумышленники сами создают заявку на сайте в или приложении оператора на перевод номера с физической карты на eSIM. Как только злоумышленник завершает этот процесс, пользователь уже не может использовать свою SIM-карту и теряет доступ к номеру.
LH | Новости | Курсы | Мемы
👍6
Компания Nissan допустила утечку данных 100 000 человек
В конце прошлого года вымогательская хак-группа Akira заявила, что взломала системы компании Nissan в Австралии и Новой Зеландии. Хакеры утверждали, что похитили у автопроизводителя более 100 ГБ документов. Теперь в Nissan подтвердили, что в результате этой атаки произошла утечка данных 100 000 человек.
В декабре 2023 года злоумышленники слили в сеть конфиденциальные деловые и клиентские данные, сообщая, что переговоры с Nissan о выкупе не увенчались успехом (либо компания отказалась вступать в контакт с хакерами, либо отказалась платить выкуп). Тогда сообщалось, что среди украденных данных доступны документы с личной информацией сотрудников, а также «много других интересных вещей», включая NDA, проекты, информацию о клиентах, партнерах и так далее.
Как теперь предупредили в Nissan, участники Akira действительно похитили данные некоторых нынешних и бывших сотрудников, а также клиентов дилерских центров Nissan, Mitsubishi, Renault, Skyline, Infiniti, LDV и RAM в Австралии и Новой Зеландии.
LH | Новости | Курсы | Мемы
В конце прошлого года вымогательская хак-группа Akira заявила, что взломала системы компании Nissan в Австралии и Новой Зеландии. Хакеры утверждали, что похитили у автопроизводителя более 100 ГБ документов. Теперь в Nissan подтвердили, что в результате этой атаки произошла утечка данных 100 000 человек.
В декабре 2023 года злоумышленники слили в сеть конфиденциальные деловые и клиентские данные, сообщая, что переговоры с Nissan о выкупе не увенчались успехом (либо компания отказалась вступать в контакт с хакерами, либо отказалась платить выкуп). Тогда сообщалось, что среди украденных данных доступны документы с личной информацией сотрудников, а также «много других интересных вещей», включая NDA, проекты, информацию о клиентах, партнерах и так далее.
Как теперь предупредили в Nissan, участники Akira действительно похитили данные некоторых нынешних и бывших сотрудников, а также клиентов дилерских центров Nissan, Mitsubishi, Renault, Skyline, Infiniti, LDV и RAM в Австралии и Новой Зеландии.
LH | Новости | Курсы | Мемы
👍4🤯1
Сбои в работе интернета по всей Африке: повреждены подводные кабели
На западном побережье Африки произошло повреждение как минимум 3 подводных кабелей, вызвав масштабные нарушения в работе интернет-сервисов по всему континенту.
Повреждения затронули ключевые телекоммуникационные магистрали — системы кабелей West Africa Cable System (WACS), MainOne и Africa Coast to Europe (ACE), что привело к отключениям и проблемам с сетью для мобильных операторов и провайдеров интернета. Причина неисправностей кабелей до сих пор не установлена.
Наибольшие нарушения связи наблюдаются в 8 странах Западной Африки, среди которых Кот-д'Ивуар, Либерия и Бенин пострадали больше всего. Крупнейшие операторы сообщают о проблемах и работают над восстановлением.
Последствия сбоев в подводных кабелях ощущаются не только в телекоммуникационной отрасли, но и сказываются на облачных сервисах и приложениях крупных технологических компаний, в числе которых Microsoft, подтвердившая нарушения в работе своих облачных сервисов и приложений Microsoft 365 по всей Африке из-за снижения пропускной способности.
LH | Новости | Курсы | Мемы
На западном побережье Африки произошло повреждение как минимум 3 подводных кабелей, вызвав масштабные нарушения в работе интернет-сервисов по всему континенту.
Повреждения затронули ключевые телекоммуникационные магистрали — системы кабелей West Africa Cable System (WACS), MainOne и Africa Coast to Europe (ACE), что привело к отключениям и проблемам с сетью для мобильных операторов и провайдеров интернета. Причина неисправностей кабелей до сих пор не установлена.
Наибольшие нарушения связи наблюдаются в 8 странах Западной Африки, среди которых Кот-д'Ивуар, Либерия и Бенин пострадали больше всего. Крупнейшие операторы сообщают о проблемах и работают над восстановлением.
Последствия сбоев в подводных кабелях ощущаются не только в телекоммуникационной отрасли, но и сказываются на облачных сервисах и приложениях крупных технологических компаний, в числе которых Microsoft, подтвердившая нарушения в работе своих облачных сервисов и приложений Microsoft 365 по всей Африке из-за снижения пропускной способности.
LH | Новости | Курсы | Мемы
😱2
Украдены 501 ETH: мошенники атаковали протокол ликвидного рестейкинга
В ходе мошеннической атаки криптоинвестор потерял 501 ETH (около $2 млн.). Средства были украдены через протокол ликвидного рестейкинга Ether.Fi.
По данным Etherscan, кража произошла 14 марта и состояла из двух транзакций: в первой было выведено 426 ETH, а во второй — еще 75 ETH. На момент атаки украденные активы оценивались в $1,6 млн. и $277 тыс. соответственно. После кражи чистая стоимость кошелька жертвы сократилась более чем на 99,93%, оставив на балансе всего $1 453.
Платформа безопасности Web3 Scam Sniffer определила, что для атаки использовалась транзакция IncreaseAllowance, что является часто встречающимся признаком в фишинговых атаках, позволяя злоумышленникам получать доступ к средствам без разрешения владельца.
LH | Новости | Курсы | Мемы
В ходе мошеннической атаки криптоинвестор потерял 501 ETH (около $2 млн.). Средства были украдены через протокол ликвидного рестейкинга Ether.Fi.
По данным Etherscan, кража произошла 14 марта и состояла из двух транзакций: в первой было выведено 426 ETH, а во второй — еще 75 ETH. На момент атаки украденные активы оценивались в $1,6 млн. и $277 тыс. соответственно. После кражи чистая стоимость кошелька жертвы сократилась более чем на 99,93%, оставив на балансе всего $1 453.
Платформа безопасности Web3 Scam Sniffer определила, что для атаки использовалась транзакция IncreaseAllowance, что является часто встречающимся признаком в фишинговых атаках, позволяя злоумышленникам получать доступ к средствам без разрешения владельца.
LH | Новости | Курсы | Мемы
❤2👏1
Пропаллестинская группа хактивистов Handala Hack слила в сеть скриншоты панели администрирования приобретенного в 2014 за 900 млн.$ японской Rakuten мессенджера Viber, заявив о его полной компрометации.
Хакеры утверждают, что смогли выкрасть более 740 ГБ данных с серверов компании, включая исходный код Viber, который ассоциируют как «аффилированный с оккупационным режимом».
И, судя по скринам, в руках хактивистов оказался достаточно широкий перечень категорий данных, включая логи авторизаций и переписку.
Полученные данные теперь реализуются по цене в 8 битков (544 000 долларов США), по поводу приобретения желающим предлагается обсудить детали через TOX.
Однако сам Viber сообщил журналистам, что в ходе расследования не нашлось никаких доказательств, подтверждающих какие-либо утверждения о вторжении в системы или компрометации пользовательских данных.
Тем не менее, исследователи полагают, что утечка может действительно иметь место, ведь Viber никогда не славился надежными мерами безопасности и лишь недавно реализовал сквозное шифрование, причем сразу после нескольких технологических сбоев.
LH | Новости | Курсы | Мемы
Хакеры утверждают, что смогли выкрасть более 740 ГБ данных с серверов компании, включая исходный код Viber, который ассоциируют как «аффилированный с оккупационным режимом».
И, судя по скринам, в руках хактивистов оказался достаточно широкий перечень категорий данных, включая логи авторизаций и переписку.
Полученные данные теперь реализуются по цене в 8 битков (544 000 долларов США), по поводу приобретения желающим предлагается обсудить детали через TOX.
Однако сам Viber сообщил журналистам, что в ходе расследования не нашлось никаких доказательств, подтверждающих какие-либо утверждения о вторжении в системы или компрометации пользовательских данных.
Тем не менее, исследователи полагают, что утечка может действительно иметь место, ведь Viber никогда не славился надежными мерами безопасности и лишь недавно реализовал сквозное шифрование, причем сразу после нескольких технологических сбоев.
LH | Новости | Курсы | Мемы
👍3
CVE-2023-5528: ваш кластер Kubernetes подвержен удалённому выполнению кода
Специалистами безопасности недавно была обнародована информация об исправленной уязвимости высокой степени серьёзности в Kubernetes, которая при определённых обстоятельствах может позволить злоумышленнику осуществлять удалённое выполнение кода с повышенными привилегиями.
«Уязвимость позволяет выполнять удалённый код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes», — объяснил Томер Пелед, исследователь безопасности компании Akamai. «Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносные файлы YAML к кластеру».
Уязвимость, получившая идентификатор CVE-2023-5528 и оцененная по шкале CVSS в 7.2 балла, затрагивает все версии kubelet начиная с 1.8.0. Проблема была устранена в обновлениях, выпущенных 14 ноября 2023 года, для версий kubelet 1.28.4, 1.27.8, 1.26.11 и 1.25.16.
LH | Новости | Курсы | Мемы
Специалистами безопасности недавно была обнародована информация об исправленной уязвимости высокой степени серьёзности в Kubernetes, которая при определённых обстоятельствах может позволить злоумышленнику осуществлять удалённое выполнение кода с повышенными привилегиями.
«Уязвимость позволяет выполнять удалённый код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes», — объяснил Томер Пелед, исследователь безопасности компании Akamai. «Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносные файлы YAML к кластеру».
Уязвимость, получившая идентификатор CVE-2023-5528 и оцененная по шкале CVSS в 7.2 балла, затрагивает все версии kubelet начиная с 1.8.0. Проблема была устранена в обновлениях, выпущенных 14 ноября 2023 года, для версий kubelet 1.28.4, 1.27.8, 1.26.11 и 1.25.16.
LH | Новости | Курсы | Мемы
👍5
Microsoft и Amazon отключают облачные сервисы для России
С 20 марта 2024 года американские технологические гиганты Microsoft и Amazon прекратят предоставление доступа к своим облачным продуктам для российских компаний. Об этом стало известно благодаря информации от российской компании Softline, которой поступили соответствующие уведомления. Подтверждение этой информации также поступило от источника на IT-рынке, общавшегося с РБК .
Причиной такого решения являются новые санкции Европейского союза, введенные 19 декабря 2023 года. Двенадцатый пакет санкций включает ограничения на поставки в Россию различного программного обеспечения. В ответ на эти меры, Microsoft и Amazon остановят доступ к таким продуктам, как Power BI, Dynamics CRM и другим облачным решениям, которые включают эти программы. С 20 марта пользователи из России не смогут использовать данные продукты или получать доступ к информации, хранящейся в них.
LH | Новости | Курсы | Мемы
С 20 марта 2024 года американские технологические гиганты Microsoft и Amazon прекратят предоставление доступа к своим облачным продуктам для российских компаний. Об этом стало известно благодаря информации от российской компании Softline, которой поступили соответствующие уведомления. Подтверждение этой информации также поступило от источника на IT-рынке, общавшегося с РБК .
Причиной такого решения являются новые санкции Европейского союза, введенные 19 декабря 2023 года. Двенадцатый пакет санкций включает ограничения на поставки в Россию различного программного обеспечения. В ответ на эти меры, Microsoft и Amazon остановят доступ к таким продуктам, как Power BI, Dynamics CRM и другим облачным решениям, которые включают эти программы. С 20 марта пользователи из России не смогут использовать данные продукты или получать доступ к информации, хранящейся в них.
LH | Новости | Курсы | Мемы
👍5👎2🗿1
В Петербурге задержан 16-летний хакер, работавший на мошеннические колл-центры
В Санкт-Петербурге правоохранительные органы провели успешную операцию по задержанию молодого человека 16 лет, подозреваемого в неправомерном доступе к компьютерной информации. Этот юноша был обнаружен благодаря совместным усилиям сотрудников УБК ГУ МВД России и УФСБ.
Согласно информации, предоставленной пресс-службой ГУ МВД РФ по Петербургу и Ленобласти 14 марта, задержанный осуществлял техническую поддержку мошеннических колл-центров. Его задачей была проверка оборудования, позволяющего манипулировать и подменять номера телефонов. Для своих услуг подросток получал оплату в криптовалюте.
Операция выявила, что молодой человек работал из арендованной квартиры, которую оборудовали четырьмя GSM-шлюзами, двумя тысячами сим-карт и ноутбуком, доставленными курьерами. Для обеспечения конспирации юноша регулярно менял место жительства и ежедневно заменял сим-карты.
В ходе следствия было также установлено наличие еще двух сообщников, выполнявших роли системных администраторов. Один из них получал из Москвы около трех тысяч сим-карт еженедельно, распределяя их между членами группы.
На данный момент по факту мошеннической деятельности возбуждено несколько уголовных дел, которые в настоящее время объединены в одно производство. Фигурантам инкриминируется совершение преступлений, предусмотренных статьей 159 УК РФ.
LH | Новости | Курсы | Мемы
В Санкт-Петербурге правоохранительные органы провели успешную операцию по задержанию молодого человека 16 лет, подозреваемого в неправомерном доступе к компьютерной информации. Этот юноша был обнаружен благодаря совместным усилиям сотрудников УБК ГУ МВД России и УФСБ.
Согласно информации, предоставленной пресс-службой ГУ МВД РФ по Петербургу и Ленобласти 14 марта, задержанный осуществлял техническую поддержку мошеннических колл-центров. Его задачей была проверка оборудования, позволяющего манипулировать и подменять номера телефонов. Для своих услуг подросток получал оплату в криптовалюте.
Операция выявила, что молодой человек работал из арендованной квартиры, которую оборудовали четырьмя GSM-шлюзами, двумя тысячами сим-карт и ноутбуком, доставленными курьерами. Для обеспечения конспирации юноша регулярно менял место жительства и ежедневно заменял сим-карты.
В ходе следствия было также установлено наличие еще двух сообщников, выполнявших роли системных администраторов. Один из них получал из Москвы около трех тысяч сим-карт еженедельно, распределяя их между членами группы.
На данный момент по факту мошеннической деятельности возбуждено несколько уголовных дел, которые в настоящее время объединены в одно производство. Фигурантам инкриминируется совершение преступлений, предусмотренных статьей 159 УК РФ.
LH | Новости | Курсы | Мемы
👍5👏4🤡2🤯1
Ростелеком блокирует IP телефонию по требованию ФСБ по всей России
На этой неделе пользователи сервисов IP-телефонии, размещенных на серверах отечественных провайдеров, столкнулись с непредвиденными сложностями. Ростелеком, ссылаясь на требования Федеральной службы безопасности России, начал блокировку SIP-транков. Основанием для ограничений послужило использование IP-адресов российских хостингов в качестве средства для обеспечения анонимности в рамках антифрод-политики, применяемой к услуге "Виртуальная АТС".
В письмах, рассылаемых абонентам, сообщается о возможности обсуждения восстановления доступа для конкретных IP-адресов, однако это требует индивидуального согласования с регулирующими органами. Некоторые попытки изменить IP-адреса на принадлежащие другим диапазонам не привели к желаемому результату или были эффективны лишь на короткое время.
Проблема оказалась широкомасштабной, затрагивая не только отдельных пользователей, но и многих хостинг-провайдеров по всей России. В настоящий момент ведутся активные работы по поиску решения сложившейся ситуации.
Специалисты, в сотрудничестве с ФСБ и Министерством цифрового развития, ищут способы урегулирования вопроса. Полное решение проблемы может потребовать несколько недель, но предпринимаются все возможные меры для ускорения этого процесса.
LH | Новости | Курсы | Мемы
На этой неделе пользователи сервисов IP-телефонии, размещенных на серверах отечественных провайдеров, столкнулись с непредвиденными сложностями. Ростелеком, ссылаясь на требования Федеральной службы безопасности России, начал блокировку SIP-транков. Основанием для ограничений послужило использование IP-адресов российских хостингов в качестве средства для обеспечения анонимности в рамках антифрод-политики, применяемой к услуге "Виртуальная АТС".
В письмах, рассылаемых абонентам, сообщается о возможности обсуждения восстановления доступа для конкретных IP-адресов, однако это требует индивидуального согласования с регулирующими органами. Некоторые попытки изменить IP-адреса на принадлежащие другим диапазонам не привели к желаемому результату или были эффективны лишь на короткое время.
Проблема оказалась широкомасштабной, затрагивая не только отдельных пользователей, но и многих хостинг-провайдеров по всей России. В настоящий момент ведутся активные работы по поиску решения сложившейся ситуации.
Специалисты, в сотрудничестве с ФСБ и Министерством цифрового развития, ищут способы урегулирования вопроса. Полное решение проблемы может потребовать несколько недель, но предпринимаются все возможные меры для ускорения этого процесса.
LH | Новости | Курсы | Мемы
❤3👍2🤔2
Минцифры: операторы связи ограничат продажу сим-карт с 12 по 20 марта
Министерство цифрового развития России призвало ведущих телекоммуникационных операторов страны ограничить распространение сим-карт среди частных и корпоративных клиентов в период с 12 по 20 марта, как сообщает РБК, ссылаясь на источники в телеком-индустрии.
Компании МТС, «Мегафон», «Т2 РТК Холдинг» (Tele2) и «ВымпелКом» («Билайн») уже уведомили своих партнеров о необходимых ограничительных мерах. В частности, Tele2 указало на необходимость сократить продажу сим-карт иностранцам и лицам без гражданства, используя приложение AppSeller для регистрации новых карт без бумажного договора. Тем, кто уже активировал сим-карту по иностранному паспорту, рекомендуется посетить салон связи.
«Билайн» подчеркивает, что регистрация сим-карт должна проводиться лично клиентом, в противном случае карта будет заблокирована на следующий день после активации. Карточки, не прошедшие проверку паспортных данных через государственные информационные системы, также будут заблокированы.
МТС и «Мегафон» ввели лимит продажи – не более десяти сим-карт одному человеку, однако официальные комментарии от операторов не последовали.
Аналитики предположили, что такие меры могли быть связаны с предстоящими выборами президента России.
LH | Новости | Курсы | Мемы
Министерство цифрового развития России призвало ведущих телекоммуникационных операторов страны ограничить распространение сим-карт среди частных и корпоративных клиентов в период с 12 по 20 марта, как сообщает РБК, ссылаясь на источники в телеком-индустрии.
Компании МТС, «Мегафон», «Т2 РТК Холдинг» (Tele2) и «ВымпелКом» («Билайн») уже уведомили своих партнеров о необходимых ограничительных мерах. В частности, Tele2 указало на необходимость сократить продажу сим-карт иностранцам и лицам без гражданства, используя приложение AppSeller для регистрации новых карт без бумажного договора. Тем, кто уже активировал сим-карту по иностранному паспорту, рекомендуется посетить салон связи.
«Билайн» подчеркивает, что регистрация сим-карт должна проводиться лично клиентом, в противном случае карта будет заблокирована на следующий день после активации. Карточки, не прошедшие проверку паспортных данных через государственные информационные системы, также будут заблокированы.
МТС и «Мегафон» ввели лимит продажи – не более десяти сим-карт одному человеку, однако официальные комментарии от операторов не последовали.
Аналитики предположили, что такие меры могли быть связаны с предстоящими выборами президента России.
LH | Новости | Курсы | Мемы
🤔1