Forwarded from Life-Hack - Хакер
Поиск по почте и никнейму
#ШХ #статья #OSINT
Продолжаем рубрику статей на тему OSINT под названием "ШХ". В статье рассмотрены инструменты, которые неплохо помогут в решении задач сетевой разведки. С их помощью, попробуем автоматизировать поиск по электронной почте и познакомимся с инструментом поиска по никнейму.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#ШХ #статья #OSINT
Продолжаем рубрику статей на тему OSINT под названием "ШХ". В статье рассмотрены инструменты, которые неплохо помогут в решении задач сетевой разведки. С их помощью, попробуем автоматизировать поиск по электронной почте и познакомимся с инструментом поиска по никнейму.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
❤2
Twilio: хакеры получили доступ к 33 млн номеров пользователей Authy
#Twilio
Компания Twilio сообщила о том, что неизвестные злоумышленники использовали уязвимость в неаутентифицированной конечной точке сервиса Authy для получения данных, связанных с учётными записями пользователей. В результате атаки были скомпрометированы номера мобильных телефонов пользователей.
Authy, являющийся частью Twilio с 2015 года, пользуется популярностью как приложение для двухфакторной аутентификации (2FA), добавляя дополнительный уровень защиты для учётных записей пользователей.
Twilio предприняла оперативные меры для обеспечения безопасности, закрыв уязвимую конечную точку и заблокировав неаутентифицированные запросы. Однако, несмотря на предпринятые шаги, угроза остаётся актуальной.
Информация об утечке появилась после того, как группа ShinyHunters выложила на форуме BreachForums базу данных, содержащую 33 миллиона номеров телефонов, предположительно извлечённых из учётных записей Authy.
Опубликованный CSV-файл содержит 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, статус учетной записи и количество устройств.
Данные были составлены путем подачи огромного списка телефонных номеров в незащищенную конечную точку API. Если номер был действительным, конечная точка возвращала информацию о связанных учетных записях, зарегистрированных в Authy. Хотя данные Authy содержали только номера телефонов, они все равно могут быть использованы в атаках по подмене SIM-карт (SIM Swapping), смишингу, и взломе учетных записей.
В Twilio подчеркнули, что не обнаружено доказательств того, что злоумышленники получили доступ к системам компании или другой чувствительной информации.
Пользователям следует быть особенно внимательными к получаемым сообщениям и избегать перехода по подозрительным ссылкам. Пользователи Authy также должны убедиться, что их мобильные учетные записи настроены на блокировку передачи номеров без предоставления пароля или отключения мер безопасности.
LH | Новости | Курсы | Мемы
#Twilio
Компания Twilio сообщила о том, что неизвестные злоумышленники использовали уязвимость в неаутентифицированной конечной точке сервиса Authy для получения данных, связанных с учётными записями пользователей. В результате атаки были скомпрометированы номера мобильных телефонов пользователей.
Authy, являющийся частью Twilio с 2015 года, пользуется популярностью как приложение для двухфакторной аутентификации (2FA), добавляя дополнительный уровень защиты для учётных записей пользователей.
Twilio предприняла оперативные меры для обеспечения безопасности, закрыв уязвимую конечную точку и заблокировав неаутентифицированные запросы. Однако, несмотря на предпринятые шаги, угроза остаётся актуальной.
Информация об утечке появилась после того, как группа ShinyHunters выложила на форуме BreachForums базу данных, содержащую 33 миллиона номеров телефонов, предположительно извлечённых из учётных записей Authy.
Опубликованный CSV-файл содержит 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, статус учетной записи и количество устройств.
Данные были составлены путем подачи огромного списка телефонных номеров в незащищенную конечную точку API. Если номер был действительным, конечная точка возвращала информацию о связанных учетных записях, зарегистрированных в Authy. Хотя данные Authy содержали только номера телефонов, они все равно могут быть использованы в атаках по подмене SIM-карт (SIM Swapping), смишингу, и взломе учетных записей.
В Twilio подчеркнули, что не обнаружено доказательств того, что злоумышленники получили доступ к системам компании или другой чувствительной информации.
Пользователям следует быть особенно внимательными к получаемым сообщениям и избегать перехода по подозрительным ссылкам. Пользователи Authy также должны убедиться, что их мобильные учетные записи настроены на блокировку передачи номеров без предоставления пароля или отключения мер безопасности.
LH | Новости | Курсы | Мемы
❤3
Европол ликвидировал 593 сервера Cobalt Strike, которыми пользовались хакеры
#CobaltStrike #europol
Правоохранительные органы, под руководством Европола, провели операцию «Морфей» (Morpheus), в результате которой были ликвидированы почти 600 серверов Cobalt Strike, использовавшихся киберпреступниками.
В операции, которая началась еще в 2021 году, приняли участие правоохранительные органы Австралии, Германии, Канады, Нидерландов, Польши и США, а возглавляло ее Национальное агентство по борьбе с преступностью Великобритании.
Также к правоохранителям присоединились частные компании, включая BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch и The Shadowserver Foundation. Они предоставили свою помощь в вопросах расширенного сканирования, сбора телеметрии и аналитики, чтобы выявить серверы Cobalt Strike, используемые в хакерских кампаниях.
В результате, в конце июня были обнаружены сотни IP-адресов, связанных с преступной деятельностью, и доменные имена, которые являлись частью атакующей инфраструктуры различных хак-групп. Затем собранная информация была передана провайдерам, которые отключили нелицензионные версии инструмента.
«Старые, нелицензионные версии red team инструмента Cobalt Strike были блокированы в период с 24 по 28 июня, — сообщает Европол. — В общей сложности 690 IP-адресов были переданы провайдерам в 27 странах мира. К концу недели 593 из этих адресов были отключены».
Cobalt Strike представляет собой легитимный коммерческий инструмент, который ориентирован на пентестеров и red team, и создан для эксплуатации и постэксплуатации. При этом Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
LH | Новости | Курсы | Мемы
#CobaltStrike #europol
Правоохранительные органы, под руководством Европола, провели операцию «Морфей» (Morpheus), в результате которой были ликвидированы почти 600 серверов Cobalt Strike, использовавшихся киберпреступниками.
В операции, которая началась еще в 2021 году, приняли участие правоохранительные органы Австралии, Германии, Канады, Нидерландов, Польши и США, а возглавляло ее Национальное агентство по борьбе с преступностью Великобритании.
Также к правоохранителям присоединились частные компании, включая BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch и The Shadowserver Foundation. Они предоставили свою помощь в вопросах расширенного сканирования, сбора телеметрии и аналитики, чтобы выявить серверы Cobalt Strike, используемые в хакерских кампаниях.
В результате, в конце июня были обнаружены сотни IP-адресов, связанных с преступной деятельностью, и доменные имена, которые являлись частью атакующей инфраструктуры различных хак-групп. Затем собранная информация была передана провайдерам, которые отключили нелицензионные версии инструмента.
«Старые, нелицензионные версии red team инструмента Cobalt Strike были блокированы в период с 24 по 28 июня, — сообщает Европол. — В общей сложности 690 IP-адресов были переданы провайдерам в 27 странах мира. К концу недели 593 из этих адресов были отключены».
Cobalt Strike представляет собой легитимный коммерческий инструмент, который ориентирован на пентестеров и red team, и создан для эксплуатации и постэксплуатации. При этом Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
LH | Новости | Курсы | Мемы
👍2
AST SpaceMobile против Starlink: кто победит в битве за связь будущего?
#ASTSpaceMobile #Starlink
Компания AST SpaceMobile готовится совершить революцию в сфере мобильной связи США. Генеральный директор компании Абель Авеллан заявил о планах обеспечить стопроцентное покрытие континентальной части страны спутниковой связью, доступной для обычных смартфонов.
Фундаментом для реализации этого амбициозного проекта стали соглашения о совместном использовании частот, заключенные с двумя гигантами американского телекома — AT&T и Verizon. Благодаря этим договоренностям, достигнутым в мае, абоненты обоих операторов смогут пользоваться спутниковой связью AST SpaceMobile там, где нет сигнала наземных вышек.
Изюминка технологии AST SpaceMobile кроется в использовании низкочастотного диапазона 850 МГц, который славится отличным проникновением сигнала. Авеллан утверждает, что это обеспечит связь даже внутри зданий, сводя к минимуму проблему «мертвых зон» и обрывов связи в отдаленных районах.
Важно отметить, что для доступа к спутниковой связи AST SpaceMobile абонентам AT&T и Verizon не понадобится ни специальных устройств, ни дополнительных настроек — подключение будет происходить автоматически через их обычного оператора.
Билл Рэй , ведущий аналитик Gartner, так прокомментировал ситуацию: «Операторы предоставляют частотный ресурс не повсеместно, а лишь там, где у них нет собственного покрытия. Главная загвоздка — в размере зоны покрытия. Если вы обслуживаете абонента где-нибудь в техасской глуши, за сотню километров от ближайшей вышки AT&T, проблем не возникнет. Но стоит приблизиться к наземной инфраструктуре километров на десять, и ваша спутниковая зона покрытия начнет пересекаться с наземной. Здесь и потребуется другая частота. Чем меньше спутниковая зона покрытия, тем ближе к наземным станциям можно работать без частотных конфликтов».
Спутники AST оснащены внушительных размеров антенной, способной формировать узконаправленный луч. Это позволяет существенно снизить уровень помех.
Акцент компании на возможности использования связи внутри помещений может быть тонким намеком на конкурирующий проект Starlink и T-Mobile. По мнению Рэя, их сервис, работающий на частотах выше 1,8 ГГц, вряд ли сможет похвастаться хорошим сигналом в зданиях.
Однако эксперты указывают на серьезное препятствие на пути реализации грандиозных планов AST SpaceMobile. На сегодняшний день компания еще не вывела на орбиту ни одного коммерческого спутника, необходимого для обеспечения заявленного покрытия. Запуск первой пятерки спутников BlueBird, изначально намеченный на конец прошлого года, неоднократно откладывался. По последним данным, их старт на ракете SpaceX Falcon 9 ожидается в третьем квартале текущего года.
LH | Новости | Курсы | Мемы
#ASTSpaceMobile #Starlink
Компания AST SpaceMobile готовится совершить революцию в сфере мобильной связи США. Генеральный директор компании Абель Авеллан заявил о планах обеспечить стопроцентное покрытие континентальной части страны спутниковой связью, доступной для обычных смартфонов.
Фундаментом для реализации этого амбициозного проекта стали соглашения о совместном использовании частот, заключенные с двумя гигантами американского телекома — AT&T и Verizon. Благодаря этим договоренностям, достигнутым в мае, абоненты обоих операторов смогут пользоваться спутниковой связью AST SpaceMobile там, где нет сигнала наземных вышек.
Изюминка технологии AST SpaceMobile кроется в использовании низкочастотного диапазона 850 МГц, который славится отличным проникновением сигнала. Авеллан утверждает, что это обеспечит связь даже внутри зданий, сводя к минимуму проблему «мертвых зон» и обрывов связи в отдаленных районах.
Важно отметить, что для доступа к спутниковой связи AST SpaceMobile абонентам AT&T и Verizon не понадобится ни специальных устройств, ни дополнительных настроек — подключение будет происходить автоматически через их обычного оператора.
Билл Рэй , ведущий аналитик Gartner, так прокомментировал ситуацию: «Операторы предоставляют частотный ресурс не повсеместно, а лишь там, где у них нет собственного покрытия. Главная загвоздка — в размере зоны покрытия. Если вы обслуживаете абонента где-нибудь в техасской глуши, за сотню километров от ближайшей вышки AT&T, проблем не возникнет. Но стоит приблизиться к наземной инфраструктуре километров на десять, и ваша спутниковая зона покрытия начнет пересекаться с наземной. Здесь и потребуется другая частота. Чем меньше спутниковая зона покрытия, тем ближе к наземным станциям можно работать без частотных конфликтов».
Спутники AST оснащены внушительных размеров антенной, способной формировать узконаправленный луч. Это позволяет существенно снизить уровень помех.
Акцент компании на возможности использования связи внутри помещений может быть тонким намеком на конкурирующий проект Starlink и T-Mobile. По мнению Рэя, их сервис, работающий на частотах выше 1,8 ГГц, вряд ли сможет похвастаться хорошим сигналом в зданиях.
Однако эксперты указывают на серьезное препятствие на пути реализации грандиозных планов AST SpaceMobile. На сегодняшний день компания еще не вывела на орбиту ни одного коммерческого спутника, необходимого для обеспечения заявленного покрытия. Запуск первой пятерки спутников BlueBird, изначально намеченный на конец прошлого года, неоднократно откладывался. По последним данным, их старт на ракете SpaceX Falcon 9 ожидается в третьем квартале текущего года.
LH | Новости | Курсы | Мемы
APT-атака Midnight Blizzard на Microsoft затронула федеральные органы США
#APT #взлом
В марте Microsoft сообщала о целевых атаках кибергруппировки Midnight Blizzard (которую они, естественно, относят к «российским хакерам»). Тогда писали, что злоумышленники утащили исходный код, однако теперь прошла информация, что атаки группы затронули и федеральные агентства США.
Впервые о кампании Midnight Blizzard (она же APT29 и Cozy Bear) заговорили в январе 2024 года. Microsoft тогда жаловалась на «пробив» электронной почты как обычных сотрудников, так и руководящего штата.
В марте корпорация уже писала, что нашла доказательства использования информации, похищенной из систем, для получения несанкционированного доступа. Тогда же техногигант обвинил группу Midnight Blizzard.
Теперь Bloomberg пишет, что в ходе таргетированной кибератаки были затронуты системы Департамента по делам ветеранов США и одно из подразделений Госдепа США.
Есть также информация, что Midnight Blizzard добралась и до Агентства США по глобальным медиа, чьи внутренние данные могли попасть в руки киберпреступников. Тем не менее считается, что ПДн и другая конфиденциальная информация не пострадали.
Интересно, что Microsoft уведомила о возможном взломе и независимое федеральное агентство правительства США «Корпус мира» (Peace Corps).
Напомним, на днях компания TeamViewer также обвинила Midnight Blizzard во взломе корпоративной ИТ-инфраструктуры и, само собой, тоже напомнила, что группировка «связана с Кремлём».
LH | Новости | Курсы | Мемы
#APT #взлом
В марте Microsoft сообщала о целевых атаках кибергруппировки Midnight Blizzard (которую они, естественно, относят к «российским хакерам»). Тогда писали, что злоумышленники утащили исходный код, однако теперь прошла информация, что атаки группы затронули и федеральные агентства США.
Впервые о кампании Midnight Blizzard (она же APT29 и Cozy Bear) заговорили в январе 2024 года. Microsoft тогда жаловалась на «пробив» электронной почты как обычных сотрудников, так и руководящего штата.
В марте корпорация уже писала, что нашла доказательства использования информации, похищенной из систем, для получения несанкционированного доступа. Тогда же техногигант обвинил группу Midnight Blizzard.
Теперь Bloomberg пишет, что в ходе таргетированной кибератаки были затронуты системы Департамента по делам ветеранов США и одно из подразделений Госдепа США.
Есть также информация, что Midnight Blizzard добралась и до Агентства США по глобальным медиа, чьи внутренние данные могли попасть в руки киберпреступников. Тем не менее считается, что ПДн и другая конфиденциальная информация не пострадали.
Интересно, что Microsoft уведомила о возможном взломе и независимое федеральное агентство правительства США «Корпус мира» (Peace Corps).
Напомним, на днях компания TeamViewer также обвинила Midnight Blizzard во взломе корпоративной ИТ-инфраструктуры и, само собой, тоже напомнила, что группировка «связана с Кремлём».
LH | Новости | Курсы | Мемы
👍2❤1
440 тысяч билетов на концерты Тейлор Свифт похищены хакерами
#Ticketmaster #взлом #ShinyHunters #BreachForums
В конце мая мы писали о взломе компании Ticketmaster, в рамках которого хакерам удалось похитить 1,3 ТБ данных компании. Как выяснилось позже, скомпрометирована была компания-посредник, работавшая с чувствительной информацией, — Snowflake. Более того, участь Ticketmaster постигла ещё как минимум 165 организаций, не использовавших двухфакторную аутентификацию в системах Snowflake.
Взлом Ticketmaster отгремел на весь мир и уже стал понемногу исчезать с информационных радаров, однако киберпреступники нашли, чем в очередной раз удивить общественность. Всё дело в том, что компрометация Ticketmaster, как оказалось, имеет куда более серьёзные последствия, чем предполагалось ранее.
Хакерская группировка ShinyHunters сообщила на платформе BreachForums, что среди украденных ранее 1,3 ТБ данных были обнаружены 193 миллиона штрих-кодов, включающих 440 тысяч билетов на грядущие концерты популярной американской певицы Тейлор Свифт.
Общая стоимость украденных данных оценивается в 22 миллиарда долларов, однако хакеры потребовали у LiveNation, материнской компании Ticketmaster, лишь 8 миллионов долларов выкупа, чтобы билеты на концерты и прочая ценная информация не была слита в открытый доступ.
Представители ShinyHunters заявили, что изначально согласились на предложение от LiveNation в 1 миллион долларов, чтобы скрыть факт взлома. Однако, осознав реальную ценность данных, хакеры увеличили свои требования до 8 миллионов долларов, указывая на то, что они могут сделать ситуацию ещё более сложной и затратной для компании.
Помимо билетов на концерты Тейлор Свифт, хакеры утверждают, что у них есть ещё 30 миллионов билетов общей стоимостью свыше 4,6 миллиардов долларов на 65 тысяч различных мероприятий.
Киберзлодеи подробно описали украденные данные и отметили среди них:
• 980 миллионов заказов;
• 680 миллионов деталей заказов;
• 1,2 миллиарда записей поиска;
• 440 миллионов уникальных email-адресов;
• 4 миллиона обработанных и дублированных записей;
• 560 миллионов данных системы верификации адресов (AVS);
• 400 миллионов зашифрованных данных кредитных карт с частичной информацией.
LH | Новости | Курсы | Мемы
#Ticketmaster #взлом #ShinyHunters #BreachForums
В конце мая мы писали о взломе компании Ticketmaster, в рамках которого хакерам удалось похитить 1,3 ТБ данных компании. Как выяснилось позже, скомпрометирована была компания-посредник, работавшая с чувствительной информацией, — Snowflake. Более того, участь Ticketmaster постигла ещё как минимум 165 организаций, не использовавших двухфакторную аутентификацию в системах Snowflake.
Взлом Ticketmaster отгремел на весь мир и уже стал понемногу исчезать с информационных радаров, однако киберпреступники нашли, чем в очередной раз удивить общественность. Всё дело в том, что компрометация Ticketmaster, как оказалось, имеет куда более серьёзные последствия, чем предполагалось ранее.
Хакерская группировка ShinyHunters сообщила на платформе BreachForums, что среди украденных ранее 1,3 ТБ данных были обнаружены 193 миллиона штрих-кодов, включающих 440 тысяч билетов на грядущие концерты популярной американской певицы Тейлор Свифт.
Общая стоимость украденных данных оценивается в 22 миллиарда долларов, однако хакеры потребовали у LiveNation, материнской компании Ticketmaster, лишь 8 миллионов долларов выкупа, чтобы билеты на концерты и прочая ценная информация не была слита в открытый доступ.
Представители ShinyHunters заявили, что изначально согласились на предложение от LiveNation в 1 миллион долларов, чтобы скрыть факт взлома. Однако, осознав реальную ценность данных, хакеры увеличили свои требования до 8 миллионов долларов, указывая на то, что они могут сделать ситуацию ещё более сложной и затратной для компании.
Помимо билетов на концерты Тейлор Свифт, хакеры утверждают, что у них есть ещё 30 миллионов билетов общей стоимостью свыше 4,6 миллиардов долларов на 65 тысяч различных мероприятий.
Киберзлодеи подробно описали украденные данные и отметили среди них:
• 980 миллионов заказов;
• 680 миллионов деталей заказов;
• 1,2 миллиарда записей поиска;
• 440 миллионов уникальных email-адресов;
• 4 миллиона обработанных и дублированных записей;
• 560 миллионов данных системы верификации адресов (AVS);
• 400 миллионов зашифрованных данных кредитных карт с частичной информацией.
LH | Новости | Курсы | Мемы
👍1🤬1
IT-ипотека станет менее привлекательной
#Минцифры
В правительстве активно обсуждают возможность изменения условий выдачи IT-ипотеки с 18 млн (действует для регионов, где проживает более 1 млн человек) до 9 млн руб. Источник, близкий к Минцифры, сообщил РБК , что такой шаг направлен на устранение диспропорции в распределении средств: в настоящее время около 40% IT-ипотек выдается в Москве, что считается несправедливым.
Источник также уточнил, что соответствующее распоряжение правительства может быть принято в ближайшее время. Однако рассматривается и альтернативный вариант, который предполагает создание дополнительных стимулов для региональных IT-специалистов, чтобы они активнее участвовали в программе.
Замглавы Минфина Иван Чебесков подтвердил, что обсуждение сокращения предельного размера кредита по IT-ипотеке ведется. По его словам, рассматриваются различные варианты изменений параметров программы, включая возможное изменение ставки. В настоящее время ставка составляет 5%. Чебесков заверил, что программа IT-ипотеки будет продлена, а новые условия станут известны в ближайшее время, когда правительство примет окончательные решения.
Представитель Минцифры не подтвердил конкретно возможность снижения максимального размера кредита до 9 миллионов рублей, отметив, что министерство занимается проработкой продолжения программы. От более детальных комментариев он воздержался, пояснив, что ранее оценка была проведена на основе прогнозов по выдаче ипотеки от банков-участников. По его словам, показатели, прогнозируемые банками, уже достигнуты, что свидетельствует о высокой востребованности IT-ипотеки.
LH | Новости | Курсы | Мемы
#Минцифры
В правительстве активно обсуждают возможность изменения условий выдачи IT-ипотеки с 18 млн (действует для регионов, где проживает более 1 млн человек) до 9 млн руб. Источник, близкий к Минцифры, сообщил РБК , что такой шаг направлен на устранение диспропорции в распределении средств: в настоящее время около 40% IT-ипотек выдается в Москве, что считается несправедливым.
Источник также уточнил, что соответствующее распоряжение правительства может быть принято в ближайшее время. Однако рассматривается и альтернативный вариант, который предполагает создание дополнительных стимулов для региональных IT-специалистов, чтобы они активнее участвовали в программе.
Замглавы Минфина Иван Чебесков подтвердил, что обсуждение сокращения предельного размера кредита по IT-ипотеке ведется. По его словам, рассматриваются различные варианты изменений параметров программы, включая возможное изменение ставки. В настоящее время ставка составляет 5%. Чебесков заверил, что программа IT-ипотеки будет продлена, а новые условия станут известны в ближайшее время, когда правительство примет окончательные решения.
Представитель Минцифры не подтвердил конкретно возможность снижения максимального размера кредита до 9 миллионов рублей, отметив, что министерство занимается проработкой продолжения программы. От более детальных комментариев он воздержался, пояснив, что ранее оценка была проведена на основе прогнозов по выдаче ипотеки от банков-участников. По его словам, показатели, прогнозируемые банками, уже достигнуты, что свидетельствует о высокой востребованности IT-ипотеки.
LH | Новости | Курсы | Мемы
🤡2👍1🤣1
Руководство «Формулы-1» сообщило о взломе и утечке данных
#взлом
Международная автомобильная федерация (Federation Internationale de l'Automobile, FIA), сообщила, что злоумышленники взломали несколько ее почтовых ящиков в результате фишинговой атаки и смогли получить доступ к персональным данным.
Некоммерческая организация, основанная в 1904 году и ранее называвшаяся Международной ассоциацией автомобильных клубов (AIACR), представляет собой международную ассоциацию, которая координирует проведение многих чемпионатов в сфере автоспорта, включая «Формулу-1» и Чемпионат мира по ралли (WRC). Также ассоциация объединяет 242 организации из 147 стран мира и управляет Фондом FIA, который продвигает и финансирует исследования в области безопасности дорожного движения.
Как сообщили на этой неделе представители организации, FIA пострадала от хакерской атаки:
«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA, — заявили представители организации. — Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».
При этом в организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе этого инцидента.
Сообщается, что FIA уже уведомила о произошедшем Федерального комиссара по защите данных и информации (FDPIC, швейцарский регулирующий орган по защите данных) и Национальную комиссию информационных данных и свобод (CNIL, французский регулирующий орган по защите данных).
Руководство «Формулы-1» подчеркивает, что были приняты дополнительные меры безопасности для предотвращения подобных атак в будущем, и заявляет, что «сожалеет о любых неудобствах, причиненных пострадавшим».
LH | Новости | Курсы | Мемы
#взлом
Международная автомобильная федерация (Federation Internationale de l'Automobile, FIA), сообщила, что злоумышленники взломали несколько ее почтовых ящиков в результате фишинговой атаки и смогли получить доступ к персональным данным.
Некоммерческая организация, основанная в 1904 году и ранее называвшаяся Международной ассоциацией автомобильных клубов (AIACR), представляет собой международную ассоциацию, которая координирует проведение многих чемпионатов в сфере автоспорта, включая «Формулу-1» и Чемпионат мира по ралли (WRC). Также ассоциация объединяет 242 организации из 147 стран мира и управляет Фондом FIA, который продвигает и финансирует исследования в области безопасности дорожного движения.
Как сообщили на этой неделе представители организации, FIA пострадала от хакерской атаки:
«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA, — заявили представители организации. — Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».
При этом в организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе этого инцидента.
Сообщается, что FIA уже уведомила о произошедшем Федерального комиссара по защите данных и информации (FDPIC, швейцарский регулирующий орган по защите данных) и Национальную комиссию информационных данных и свобод (CNIL, французский регулирующий орган по защите данных).
Руководство «Формулы-1» подчеркивает, что были приняты дополнительные меры безопасности для предотвращения подобных атак в будущем, и заявляет, что «сожалеет о любых неудобствах, причиненных пострадавшим».
LH | Новости | Курсы | Мемы
🤬2
Ctrl+Alt+Cancer: Хакеры лишили пациентку груди
#Ransomware #взлом
В мае 2024 года компания Synnovis, предоставляющая патологоанатомические услуги лондонским больницам, подверглась атаке программ-вымогателей . Это привело к отмене около 1500 медицинских процедур в крупнейших медучреждениях британской столицы за четыре недели.
История Ханны Гроутхёйзен ярко иллюстрирует человеческое измерение этой проблемы. 36-летняя менеджер по научным исследованиям в King's College London столкнулась с серьезными осложнениями в лечении агрессивного HER2-положительного рака груди из-за кибератаки.
Диагностированная в конце 2023 года, Ханна прошла курс химиотерапии и готовилась к операции по удалению опухоли 7 июня. Изначально планировалась операция с сохранением кожи и немедленной реконструкцией груди. Однако кибератака, произошедшая за четыре дня до операции, поставила эти планы под угрозу.
За день до процедуры Ханне сообщили, что реконструкция груди слишком рискованна из-за проблем с обеспечением переливания крови. Перед ней встал выбор: отложить операцию или согласиться на простую мастэктомию. Учитывая агрессивный характер рака, Ханна выбрала второй вариант.
Последствия атаки оказались масштабными. Больницы столкнулись с острой нехваткой донорской крови , что привело к срочным призывам о её пожертвовании. За месяц после инцидента было отложено почти 5000 амбулаторных приёмов и более 1300 плановых процедур.
LH | Новости | Курсы | Мемы
#Ransomware #взлом
В мае 2024 года компания Synnovis, предоставляющая патологоанатомические услуги лондонским больницам, подверглась атаке программ-вымогателей . Это привело к отмене около 1500 медицинских процедур в крупнейших медучреждениях британской столицы за четыре недели.
История Ханны Гроутхёйзен ярко иллюстрирует человеческое измерение этой проблемы. 36-летняя менеджер по научным исследованиям в King's College London столкнулась с серьезными осложнениями в лечении агрессивного HER2-положительного рака груди из-за кибератаки.
Диагностированная в конце 2023 года, Ханна прошла курс химиотерапии и готовилась к операции по удалению опухоли 7 июня. Изначально планировалась операция с сохранением кожи и немедленной реконструкцией груди. Однако кибератака, произошедшая за четыре дня до операции, поставила эти планы под угрозу.
За день до процедуры Ханне сообщили, что реконструкция груди слишком рискованна из-за проблем с обеспечением переливания крови. Перед ней встал выбор: отложить операцию или согласиться на простую мастэктомию. Учитывая агрессивный характер рака, Ханна выбрала второй вариант.
Последствия атаки оказались масштабными. Больницы столкнулись с острой нехваткой донорской крови , что привело к срочным призывам о её пожертвовании. За месяц после инцидента было отложено почти 5000 амбулаторных приёмов и более 1300 плановых процедур.
LH | Новости | Курсы | Мемы
👍1
Forwarded from Life-Hack - Хакер
Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. Smap - пассивный сканер портов
3. OSINT или разведка по открытым источникам
4. Топ инструментов анализа контейнеров Docker и Kubernetes
5. Desktop приложение ChatGPT, доступное для Mac, Windows и Linux
6. Поиск по почте и никнейму
7. Скрипт для установки полноценного почтового сервера, со всеми необходимыми функциями
8. Первая неделя курса "Тестирование на проникновение"
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Smap - пассивный сканер портов
3. OSINT или разведка по открытым источникам
4. Топ инструментов анализа контейнеров Docker и Kubernetes
5. Desktop приложение ChatGPT, доступное для Mac, Windows и Linux
6. Поиск по почте и никнейму
7. Скрипт для установки полноценного почтового сервера, со всеми необходимыми функциями
8. Первая неделя курса "Тестирование на проникновение"
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
Данные покупателей алкоголя в сети ВинЛаб выложили в свободный доступ
#утечки #взлом
В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».
В частичном дампе содержится более 408 тыс. строк с данными пользователей:
• ФИО
• телефон
• адрес эл. почты
• хешированный пароль (PBKDF2 SHA-256 в реализации SAP HANA)
• номер карты лояльности, кол-во бонусов и т.п.
В полном дампе, выгруженном хакером из MS SQL Server, содержится: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.
Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.
Данные в дампе датируются 06.07.2024.
LH | Новости | Курсы | Мемы
#утечки #взлом
В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».
В частичном дампе содержится более 408 тыс. строк с данными пользователей:
• ФИО
• телефон
• адрес эл. почты
• хешированный пароль (PBKDF2 SHA-256 в реализации SAP HANA)
• номер карты лояльности, кол-во бонусов и т.п.
В полном дампе, выгруженном хакером из MS SQL Server, содержится: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.
Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.
Данные в дампе датируются 06.07.2024.
LH | Новости | Курсы | Мемы
Девелоперы: Apple блокирует VPN для россиян с iPhone лучше, чем власти
#Apple #VPN #AppStore #блокировки
С прошлой недели известно, что как минимум два персональных VPN-приложения теперь недоступны в российском сегменте магазина App Store. Apple рассылает разработчикам соответствующие уведомления.
Например, разработчики Red Shield VPN, которые ориентируются именно на российских пользователей, утверждают, что получили от Apple уведомление об удалении приложения из российского App Store. Скриншот электронного письма девелоперы выложили в соцсети X. Причина удаления софта: он нарушает местные законы.
В официальном заявлении Red Shield VPN, конечно же, упомянут авторитарный режим и прочите страсти: «Действия Apple, продиктованные желанием зарабатывать на российском рынке, поддерживают авторитарный режим. За последние шесть лет российские власти заблокировали тысячи нод Red Shield VPN, но не смогли помешать гражданам получать доступ к заблокированным сайтам». «Apple оказалась эффективнее российских властей по части блокировки VPN».
Здесь как раз у разработчиков прослеживается обида: у самих теперь не получится зарабатывать на россиянах. Поэтому в ход идут избитые приёмы, рассчитанные на эмоции: «Это просто преступление против гражданского общества. Тот факт, что корпорация, чья капитализация превышает ВВП России, поддерживает авторитарный режим, говорит многое о её моральных принципах».
Девелоперы другого VPN-софта — Le VPN — также сообщили об удалении из российского App Store.
LH | Новости | Курсы | Мемы
#Apple #VPN #AppStore #блокировки
С прошлой недели известно, что как минимум два персональных VPN-приложения теперь недоступны в российском сегменте магазина App Store. Apple рассылает разработчикам соответствующие уведомления.
Например, разработчики Red Shield VPN, которые ориентируются именно на российских пользователей, утверждают, что получили от Apple уведомление об удалении приложения из российского App Store. Скриншот электронного письма девелоперы выложили в соцсети X. Причина удаления софта: он нарушает местные законы.
В официальном заявлении Red Shield VPN, конечно же, упомянут авторитарный режим и прочите страсти: «Действия Apple, продиктованные желанием зарабатывать на российском рынке, поддерживают авторитарный режим. За последние шесть лет российские власти заблокировали тысячи нод Red Shield VPN, но не смогли помешать гражданам получать доступ к заблокированным сайтам». «Apple оказалась эффективнее российских властей по части блокировки VPN».
Здесь как раз у разработчиков прослеживается обида: у самих теперь не получится зарабатывать на россиянах. Поэтому в ход идут избитые приёмы, рассчитанные на эмоции: «Это просто преступление против гражданского общества. Тот факт, что корпорация, чья капитализация превышает ВВП России, поддерживает авторитарный режим, говорит многое о её моральных принципах».
Девелоперы другого VPN-софта — Le VPN — также сообщили об удалении из российского App Store.
LH | Новости | Курсы | Мемы
👍4🔥2
CloudSorcerer — новая кибершпионская кампания против российских госструктур
#Malware
Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.
В качестве командного центра (C2) атакующие используют GitHub. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.
В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы. Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.
На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.
Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.
LH | Новости | Курсы | Мемы
#Malware
Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.
В качестве командного центра (C2) атакующие используют GitHub. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.
В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы. Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.
На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.
Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.
LH | Новости | Курсы | Мемы
Новый Zmiy атакует российские ИТ и телеком через взломанные системы лифтов
#взлом #SCADA
Для размещения C2-серверов злоумышленники взламывают диспетчерские SCADA-системы домовых лифтов и потому получили условное имя Lifting Zmiy — «лифтеры». Управление подключенными к интернету лифтами при этом не страдает; доступ к ПЛК в составе SCADA используется исключительно для проведения атак на госструктуры, ИТ-компании, телеком-провайдеров c целью кражи данных. Иногда такая атака влечет уничтожение части инфраструктуры жертвы.
Для развертывания C2-серверов на ПЛК используется известная с 2022 года уязвимость в контроллерах «Текон-Автоматика», позволяющая создать и запустить в системе LUA-скрипт с правами root.
Проблема была вызвана наличием в паблике дефолтных логина и пароля админа. После публикации PoC вендор закрыл доступ к этим учеткам на своем сайте, однако похоже, что некоторые юзеры до сих пор используют эту комбинацию — или заменили ее легко угадываемым вариантом.
Для проникновения в целевую сеть используется подбор паролей, для закрепления и развития атаки — в основном инструменты с открытым исходным кодом.
LH | Новости | Курсы | Мемы
#взлом #SCADA
Для размещения C2-серверов злоумышленники взламывают диспетчерские SCADA-системы домовых лифтов и потому получили условное имя Lifting Zmiy — «лифтеры». Управление подключенными к интернету лифтами при этом не страдает; доступ к ПЛК в составе SCADA используется исключительно для проведения атак на госструктуры, ИТ-компании, телеком-провайдеров c целью кражи данных. Иногда такая атака влечет уничтожение части инфраструктуры жертвы.
Для развертывания C2-серверов на ПЛК используется известная с 2022 года уязвимость в контроллерах «Текон-Автоматика», позволяющая создать и запустить в системе LUA-скрипт с правами root.
Проблема была вызвана наличием в паблике дефолтных логина и пароля админа. После публикации PoC вендор закрыл доступ к этим учеткам на своем сайте, однако похоже, что некоторые юзеры до сих пор используют эту комбинацию — или заменили ее легко угадываемым вариантом.
Для проникновения в целевую сеть используется подбор паролей, для закрепления и развития атаки — в основном инструменты с открытым исходным кодом.
LH | Новости | Курсы | Мемы
👍2
За месяц Роскомнадзор заблокировал более 4,5 тыс. фишинговых страниц
#Роскомнадзор
В июне 2024 года специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), работающего под эгидой Роскомнадзора, заблокировали 4665 фишинговых ресурсов и 5 сайтов, используемых для распространения вредоносных программ.
В настоящее время фишинговые страницы в рунете чаще всего имитируют инвестиционные площадки, интернет-магазины, банковские сервисы и соцсети. Из-за активной и систематической блокировки таких ловушек злоумышленники вынуждены усложнять мошеннические схемы и мигрировать в мессенджеры.
Благодаря налаженному РКН непрерывному отслеживанию состояния рунета за месяц также удалось заблокировать 16 DDoS-атак. Выявлены и устранены 767 нарушений маршрутизации трафика.
Напомним, в прошлом месяце хактивисты-дидосеры попытались нарушить работу платежной системы «Мир», крупнейших операторов связи России, центра Jet CSIRT компании «Инфосистемы Джет», а также сорвать важные для России события: международный экономический форум в Санкт-Петербурге (ПМЭФ) и спортивные игры БРИКС в Казани.
Кроме перечисленного, в задачи ЦМУ ССОП входит профилактика эксплойт-атак на сети связи. В отчетный период эксперты направили телеоператорам 83 уведомления об уязвимостях в используемом софте, с рекомендациями по устранению.
LH | Новости | Курсы | Мемы
#Роскомнадзор
В июне 2024 года специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), работающего под эгидой Роскомнадзора, заблокировали 4665 фишинговых ресурсов и 5 сайтов, используемых для распространения вредоносных программ.
В настоящее время фишинговые страницы в рунете чаще всего имитируют инвестиционные площадки, интернет-магазины, банковские сервисы и соцсети. Из-за активной и систематической блокировки таких ловушек злоумышленники вынуждены усложнять мошеннические схемы и мигрировать в мессенджеры.
Благодаря налаженному РКН непрерывному отслеживанию состояния рунета за месяц также удалось заблокировать 16 DDoS-атак. Выявлены и устранены 767 нарушений маршрутизации трафика.
Напомним, в прошлом месяце хактивисты-дидосеры попытались нарушить работу платежной системы «Мир», крупнейших операторов связи России, центра Jet CSIRT компании «Инфосистемы Джет», а также сорвать важные для России события: международный экономический форум в Санкт-Петербурге (ПМЭФ) и спортивные игры БРИКС в Казани.
Кроме перечисленного, в задачи ЦМУ ССОП входит профилактика эксплойт-атак на сети связи. В отчетный период эксперты направили телеоператорам 83 уведомления об уязвимостях в используемом софте, с рекомендациями по устранению.
LH | Новости | Курсы | Мемы
🤡4👍2
Разработчик заставил Arch Linux загружаться прямо с Google Диска
#Linux
Мир технологий полон удивительных и необычных проектов. Ранее, например, Doom запустили на кишечной палочке. На этот раз один разработчик сделал нечто действительно потрясающее: он запустил Arch Linux прямо с Google Drive на старом ноутбуке без встроенной памяти. Это достижение можно считать как важным техническим прорывом, так и весьма необычным экспериментом.
Чтобы оценить сложность выполненной задачи, стоит разобраться в процессе загрузки Linux:
• Прошивка (BIOS/UEFI) инициирует и загружает загрузчик.
• Загрузчик загружает ядро операционной системы.
• Ядро распаковывает временную файловую систему в оперативную память, содержащую инструменты для монтирования основной файловой системы.
• Ядро монтирует основную файловую систему и переключает процесс на init систему на новой файловой системе.
Разработчик по имени Ersei воспользовался третьим шагом, чтобы смонтировать FUSE файловую систему, что позволило бы Linux загружаться как обычно. FUSE – это файловая система в пользовательском пространстве, которая позволяет создавать файловые системы без необходимости привилегированных разрешений. Сначала Ersei удалось загрузить систему с Amazon S3, а затем он решил попробовать использовать Google Drive.
Запуск Arch Linux на ноутбуке напрямую с Google Drive стал действительно впечатляющим достижением. Однако процесс не обошёлся без трудностей. Использование FUSE для монтирования Google Drive с помощью google-drive-ocamlfuse вызвало множество проблем:
• Неработающие символические ссылки: ссылки на ссылки не работали, что было критично для файлов в /usr/lib.
• Нефункциональные жесткие ссылки: Жесткие ссылки, которые крайне важны для многих Unix-систем, также не работали, создавая серьезные препятствия.
• Проблемы с производительностью: всё работало очень медленно.
• Права доступа и атрибуты: они работали некорректно, еще больше усложняя настройку.
Несмотря на все трудности, Ersei продолжал упорно работать над проектом, вручную настраивая параметры и конфигурации, чтобы система заработала. В итоге ему удалось создать единый EFI файл с инструкциями для загрузки системы напрямую с Google Drive. Проект может показаться странным, но у него есть практическое применение. Например, можно создать действительно портативную версию Linux, хранящуюся в облаке. Хотя доступ и использование такой системы могут быть медленными, она всё же позволяет упростить облачную загрузку и может стать полезной для обучения.
LH | Новости | Курсы | Мемы
#Linux
Мир технологий полон удивительных и необычных проектов. Ранее, например, Doom запустили на кишечной палочке. На этот раз один разработчик сделал нечто действительно потрясающее: он запустил Arch Linux прямо с Google Drive на старом ноутбуке без встроенной памяти. Это достижение можно считать как важным техническим прорывом, так и весьма необычным экспериментом.
Чтобы оценить сложность выполненной задачи, стоит разобраться в процессе загрузки Linux:
• Прошивка (BIOS/UEFI) инициирует и загружает загрузчик.
• Загрузчик загружает ядро операционной системы.
• Ядро распаковывает временную файловую систему в оперативную память, содержащую инструменты для монтирования основной файловой системы.
• Ядро монтирует основную файловую систему и переключает процесс на init систему на новой файловой системе.
Разработчик по имени Ersei воспользовался третьим шагом, чтобы смонтировать FUSE файловую систему, что позволило бы Linux загружаться как обычно. FUSE – это файловая система в пользовательском пространстве, которая позволяет создавать файловые системы без необходимости привилегированных разрешений. Сначала Ersei удалось загрузить систему с Amazon S3, а затем он решил попробовать использовать Google Drive.
Запуск Arch Linux на ноутбуке напрямую с Google Drive стал действительно впечатляющим достижением. Однако процесс не обошёлся без трудностей. Использование FUSE для монтирования Google Drive с помощью google-drive-ocamlfuse вызвало множество проблем:
• Неработающие символические ссылки: ссылки на ссылки не работали, что было критично для файлов в /usr/lib.
• Нефункциональные жесткие ссылки: Жесткие ссылки, которые крайне важны для многих Unix-систем, также не работали, создавая серьезные препятствия.
• Проблемы с производительностью: всё работало очень медленно.
• Права доступа и атрибуты: они работали некорректно, еще больше усложняя настройку.
Несмотря на все трудности, Ersei продолжал упорно работать над проектом, вручную настраивая параметры и конфигурации, чтобы система заработала. В итоге ему удалось создать единый EFI файл с инструкциями для загрузки системы напрямую с Google Drive. Проект может показаться странным, но у него есть практическое применение. Например, можно создать действительно портативную версию Linux, хранящуюся в облаке. Хотя доступ и использование такой системы могут быть медленными, она всё же позволяет упростить облачную загрузку и может стать полезной для обучения.
LH | Новости | Курсы | Мемы
👍4🔥1
Свежая RCE-уязвимость в Ghostscript уже используется хакерами
#взлом #cve #RCE
Уязвимость удаленного выполнения кода в тулките Ghostscript, который широко применяется в *nix, Windows, MacOS и различных встроенных ОС, позволяет обойти песочницу -dSAFER и уже используется злоумышленниками.
Ghostscript — это интерпретатор для языка PostScript и документов PDF, который входит в состав многих дистрибутивов Linux и используется в различном ПО для конвертации документов (включая ImageMagick, LibreOffice, GIMP, Inkscape, Scribus и CUPS), а также встречается в приложениях для Windows и macOS, и различных встраиваемых системах.
Свежая уязвимость CVE-2024-29510, обнаруженная экспертами Codean Labs, затрагивает все версии Ghostscript до 10.03.0 и более ранние. Она позволяет злоумышленникам обойти песочницу -dSAFER (включенную по умолчанию), и связана с uniprint (universal printer device), который поддерживает формирование командных данных для широкого спектра моделей принтеров путем изменения параметров конфигурации.
Исследователи пишут, что такой обход песочницы опасен тем, что позволяет выполнять опасные операции (включая выполнение команд и I/O файлов) с помощью интерпретатора Ghostscript Postscript, что в обычных условиях блокируется песочницей. При этом отмечается, что уязвимость можно использовать как в процессорах изображений, так и в текстовых процессорах.
«Эта уязвимость серьезно влияет на веб-приложения и другие сервисы, предлагающие функции конвертации и предварительного просмотра документов, поскольку они часто используют Ghostscript под капотом».
Проблема CVE-2024-29510 была устранена разработчиками еще в мае текущего года, а специалисты Codean Labs опубликовали свой отчет с техническими подробностями и PoC-эксплоитом лишь два месяца спустя. Однако это не помешало злоумышленникам оперативно взять свежий баг на вооружение.
Как предупреждает разработчик ReadMe Билл Милл (Bill Mill), хакеры уже эксплуатируют CVE-2024-29510 в реальных атаках. Злоумышленники используют файлы EPS (PostScript), замаскированные под файлы JPG, чтобы получить доступ к уязвимым системам.
LH | Новости | Курсы | Мемы
#взлом #cve #RCE
Уязвимость удаленного выполнения кода в тулките Ghostscript, который широко применяется в *nix, Windows, MacOS и различных встроенных ОС, позволяет обойти песочницу -dSAFER и уже используется злоумышленниками.
Ghostscript — это интерпретатор для языка PostScript и документов PDF, который входит в состав многих дистрибутивов Linux и используется в различном ПО для конвертации документов (включая ImageMagick, LibreOffice, GIMP, Inkscape, Scribus и CUPS), а также встречается в приложениях для Windows и macOS, и различных встраиваемых системах.
Свежая уязвимость CVE-2024-29510, обнаруженная экспертами Codean Labs, затрагивает все версии Ghostscript до 10.03.0 и более ранние. Она позволяет злоумышленникам обойти песочницу -dSAFER (включенную по умолчанию), и связана с uniprint (universal printer device), который поддерживает формирование командных данных для широкого спектра моделей принтеров путем изменения параметров конфигурации.
Исследователи пишут, что такой обход песочницы опасен тем, что позволяет выполнять опасные операции (включая выполнение команд и I/O файлов) с помощью интерпретатора Ghostscript Postscript, что в обычных условиях блокируется песочницей. При этом отмечается, что уязвимость можно использовать как в процессорах изображений, так и в текстовых процессорах.
«Эта уязвимость серьезно влияет на веб-приложения и другие сервисы, предлагающие функции конвертации и предварительного просмотра документов, поскольку они часто используют Ghostscript под капотом».
Проблема CVE-2024-29510 была устранена разработчиками еще в мае текущего года, а специалисты Codean Labs опубликовали свой отчет с техническими подробностями и PoC-эксплоитом лишь два месяца спустя. Однако это не помешало злоумышленникам оперативно взять свежий баг на вооружение.
Как предупреждает разработчик ReadMe Билл Милл (Bill Mill), хакеры уже эксплуатируют CVE-2024-29510 в реальных атаках. Злоумышленники используют файлы EPS (PostScript), замаскированные под файлы JPG, чтобы получить доступ к уязвимым системам.
LH | Новости | Курсы | Мемы
Религия как приманка: Нигерия в лапах AndroRAT
#взлом #Android #Malware
Нигерия отличается ярким религиозным ландшафтом со множеством различных конфессий, формирующих страну. Но значительное влияние религии в стране также представляет собой плодородную почву для атак социальной инженерии как против обычных пользователей, так и против организаций.
Специалисты Symantec обнаружили кампанию, в ходе которой злоумышленники распространяют поддельное мобильное приложение, связанное с Кораном (AssunnahQuranApp.apk), для заражения пользователей.
Вредоносное приложение на самом деле является замаскированным AndroRAT — троян удаленного доступа (Remote Access Trojan, RAT) для Android, работающий по модели клиент-сервер, позволяющий удаленно управлять телефоном жертвы после установки. Среди функций – доступ к данным местоположения, журналам вызовов и контактам, а также отправка SMS-сообщений и съемка фото.
Ранее мы писали, что среди пользователей Android распространяются фейковые приложения, которые, помимо обещанных функций, поставляются с имплантированным трояном CapraRAT, модифицированной версией AndroRAT с открытым исходным кодом.
Бэкдор оснащен обширным набором функций, которые позволяют делать снимки экрана и фотографии, записывать телефонные звонки и окружающий звук, а также извлекать другую конфиденциальную информацию. Он также может совершать звонки, отправлять SMS-сообщения и получать команды для загрузки файлов.
LH | Новости | Курсы | Мемы
#взлом #Android #Malware
Нигерия отличается ярким религиозным ландшафтом со множеством различных конфессий, формирующих страну. Но значительное влияние религии в стране также представляет собой плодородную почву для атак социальной инженерии как против обычных пользователей, так и против организаций.
Специалисты Symantec обнаружили кампанию, в ходе которой злоумышленники распространяют поддельное мобильное приложение, связанное с Кораном (AssunnahQuranApp.apk), для заражения пользователей.
Вредоносное приложение на самом деле является замаскированным AndroRAT — троян удаленного доступа (Remote Access Trojan, RAT) для Android, работающий по модели клиент-сервер, позволяющий удаленно управлять телефоном жертвы после установки. Среди функций – доступ к данным местоположения, журналам вызовов и контактам, а также отправка SMS-сообщений и съемка фото.
Ранее мы писали, что среди пользователей Android распространяются фейковые приложения, которые, помимо обещанных функций, поставляются с имплантированным трояном CapraRAT, модифицированной версией AndroRAT с открытым исходным кодом.
Бэкдор оснащен обширным набором функций, которые позволяют делать снимки экрана и фотографии, записывать телефонные звонки и окружающий звук, а также извлекать другую конфиденциальную информацию. Он также может совершать звонки, отправлять SMS-сообщения и получать команды для загрузки файлов.
LH | Новости | Курсы | Мемы
👍3
Под прикрытием БПЛА: файл о дронах ворует документы Word и данные Telegram Desktop
#Malware
7 июля специалисты «Лаборатории Касперского» обнаружили новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
LH | Новости | Курсы | Мемы
#Malware
7 июля специалисты «Лаборатории Касперского» обнаружили новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
LH | Новости | Курсы | Мемы
👍1
В июле Microsoft закрыла 142 дыры, включая четыре уязвимости нулевого дня
#cve #Microsoft
Июльский набор патчей от Microsoft закрыл в общей сложности 142 уязвимости, включая две бреши, которые активно используются в реальных кибератаках, и ещё две с готовым эксплойтом.
Среди закрытых дыр есть пять критических, в случае эксплуатации они могут привести к удалённому выполнению кода. По классам уязвимости распределились в этом месяце так: 26 проблем повышения привилегий; 24 возможности обхода защитных функций; 59 уязвимостей удалённого выполнения кода; 9 багов, приводящих к раскрытию информации; 17 DoS; 7 проблем спуфинга.
Что касается упомянутых четырёх 0-day, они получили следующие идентификаторы:
• CVE-2024-38080 — возможность повышения прав в Windows Hyper-V, открывает атакующему привилегии уровня SYSTEM. Microsoft признаёт, что эта брешь фигурирует в реальных кибератаках, однако никаких деталей не раскрывает.
• CVE-2024-38112 — возможность спуфинга в Windows MSHTML. Эксплуатация этого бага требует определённой подготовки: злоумышленнику придётся отправить жертве вредоносные файл, который та должна открыть.
• CVE-2024-35264 — проблема удалённого выполнения кода в .NET и Visual Studio. Здесь атакующий может вызвать «состояние гонки», отправив поток http/3 в то время, пока обрабатывается тело запроса.
• CVE-2024-37985 — эта брешь позволяет провести атаку по сторонним каналам. Ранее Microsoft называла её FetchBench и утверждала, что с её помощью киберпреступники могут получить «секретную информацию».
LH | Новости | Курсы | Мемы
#cve #Microsoft
Июльский набор патчей от Microsoft закрыл в общей сложности 142 уязвимости, включая две бреши, которые активно используются в реальных кибератаках, и ещё две с готовым эксплойтом.
Среди закрытых дыр есть пять критических, в случае эксплуатации они могут привести к удалённому выполнению кода. По классам уязвимости распределились в этом месяце так: 26 проблем повышения привилегий; 24 возможности обхода защитных функций; 59 уязвимостей удалённого выполнения кода; 9 багов, приводящих к раскрытию информации; 17 DoS; 7 проблем спуфинга.
Что касается упомянутых четырёх 0-day, они получили следующие идентификаторы:
• CVE-2024-38080 — возможность повышения прав в Windows Hyper-V, открывает атакующему привилегии уровня SYSTEM. Microsoft признаёт, что эта брешь фигурирует в реальных кибератаках, однако никаких деталей не раскрывает.
• CVE-2024-38112 — возможность спуфинга в Windows MSHTML. Эксплуатация этого бага требует определённой подготовки: злоумышленнику придётся отправить жертве вредоносные файл, который та должна открыть.
• CVE-2024-35264 — проблема удалённого выполнения кода в .NET и Visual Studio. Здесь атакующий может вызвать «состояние гонки», отправив поток http/3 в то время, пока обрабатывается тело запроса.
• CVE-2024-37985 — эта брешь позволяет провести атаку по сторонним каналам. Ранее Microsoft называла её FetchBench и утверждала, что с её помощью киберпреступники могут получить «секретную информацию».
LH | Новости | Курсы | Мемы
👍1
Blast-RADIUS (CVE-2024-3596) позволяет обойти аутентификацию в широко распространенном протоколе RADIUS
#cve
Атака позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS (Remote Authentication Dial-In User Service) был разработан еще в 1991 году. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
• VPN-доступа;
• DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами,
• работы Wi-Fi и аутентификация 802.1X;
• роуминга в сетях 2G и 3G;
• DNN-аутентификации в сетях 5G;
• аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
• аутентификации на устройствах управления КИИ;
• Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами (как правило, роутерами, коммутаторами и другими устройствами, предоставляющими доступ к сети) и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP (Extensible Authentication Protocol).
«Атака Blast-RADIUS позволяет злоумышленнику, находящемуся между клиентом и сервером RADIUS, подделать настоящее accept-сообщение протокола в ответ на неудачный запрос аутентификации, — объясняют исследователи. — Это может дать злоумышленнику доступ к сетевым устройствам и сервисам без необходимости угадывать или взламывать пароли или shared-секреты. В итоге атакующий не получает учетные данные пользователя. Злоумышленник, использующий нашу атаку, имеет возможность повысить свои привилегии от частичного доступа к сети до входа на любое устройство, использующее RADIUS для аутентификации, или присвоить себе произвольные сетевые права».
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
LH | Новости | Курсы | Мемы
#cve
Атака позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS (Remote Authentication Dial-In User Service) был разработан еще в 1991 году. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
• VPN-доступа;
• DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами,
• работы Wi-Fi и аутентификация 802.1X;
• роуминга в сетях 2G и 3G;
• DNN-аутентификации в сетях 5G;
• аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
• аутентификации на устройствах управления КИИ;
• Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами (как правило, роутерами, коммутаторами и другими устройствами, предоставляющими доступ к сети) и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP (Extensible Authentication Protocol).
«Атака Blast-RADIUS позволяет злоумышленнику, находящемуся между клиентом и сервером RADIUS, подделать настоящее accept-сообщение протокола в ответ на неудачный запрос аутентификации, — объясняют исследователи. — Это может дать злоумышленнику доступ к сетевым устройствам и сервисам без необходимости угадывать или взламывать пароли или shared-секреты. В итоге атакующий не получает учетные данные пользователя. Злоумышленник, использующий нашу атаку, имеет возможность повысить свои привилегии от частичного доступа к сети до входа на любое устройство, использующее RADIUS для аутентификации, или присвоить себе произвольные сетевые права».
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
LH | Новости | Курсы | Мемы
👍2