Профессор Массимилиано Сала из Университета Тренто в Италии недавно обсудил будущее блокчейн-технологий, их связь с шифрованием и квантовыми вычислениями с командой Ripple в рамках университетской лекционной серии компании.
Сала уделил внимание потенциальной угрозе, которую представляют квантовые компьютеры по мере их развития. По словам профессора, современные методы шифрования могут оказаться легко решаемыми для квантовых компьютеров будущего, что ставит под угрозу целые блокчейны.
По словам профессора, "квантовые компьютеры могут легко решать задачи, лежащие в основе цифровых подписей, что потенциально подрывает механизмы защиты активов пользователей на блокчейн-платформах". Это гипотетическая парадигма, называемая "Q-day", момент, когда квантовые компьютеры станут достаточно мощными и доступными для того, чтобы злоумышленники могли взламывать классические методы шифрования.
Такие изменения могут иметь далеко идущие последствия для любой сферы, где важна безопасность данных — в том числе для экстренных служб, инфраструктуры, банковского дела и обороны. Однако наиболее разрушительными эти изменения могут быть для мира криптовалют и блокчейна.
Сала предупреждает, что "все классические криптосистемы с открытым ключом должны быть заменены на аналоги, защищенные от квантовых атак". Идея заключается в том, что будущий квантовый компьютер или алгоритм квантовой атаки может взломать шифрование этих ключей с помощью математической грубой силы.
Следует отметить, что Биткойн, самая популярная криптовалюта и блокчейн в мире, попадает под эту категорию.
Хотя в настоящее время не существует практического квантового компьютера, способного на такое, правительства и научные учреждения по всему миру готовятся к "Q-day", рассматривая его как неизбежность. Сала считает, что такое событие не является неминуемым в ближайшее время.
Сала уделил внимание потенциальной угрозе, которую представляют квантовые компьютеры по мере их развития. По словам профессора, современные методы шифрования могут оказаться легко решаемыми для квантовых компьютеров будущего, что ставит под угрозу целые блокчейны.
По словам профессора, "квантовые компьютеры могут легко решать задачи, лежащие в основе цифровых подписей, что потенциально подрывает механизмы защиты активов пользователей на блокчейн-платформах". Это гипотетическая парадигма, называемая "Q-day", момент, когда квантовые компьютеры станут достаточно мощными и доступными для того, чтобы злоумышленники могли взламывать классические методы шифрования.
Такие изменения могут иметь далеко идущие последствия для любой сферы, где важна безопасность данных — в том числе для экстренных служб, инфраструктуры, банковского дела и обороны. Однако наиболее разрушительными эти изменения могут быть для мира криптовалют и блокчейна.
Сала предупреждает, что "все классические криптосистемы с открытым ключом должны быть заменены на аналоги, защищенные от квантовых атак". Идея заключается в том, что будущий квантовый компьютер или алгоритм квантовой атаки может взломать шифрование этих ключей с помощью математической грубой силы.
Следует отметить, что Биткойн, самая популярная криптовалюта и блокчейн в мире, попадает под эту категорию.
Хотя в настоящее время не существует практического квантового компьютера, способного на такое, правительства и научные учреждения по всему миру готовятся к "Q-day", рассматривая его как неизбежность. Сала считает, что такое событие не является неминуемым в ближайшее время.
Мир Jailbreak для PS4 продолжает активно развиваться, и недавние обновления для эксплойта PPPwn, предназначенного для версии прошивки 11.00, открывают новые горизонты для пользователей. Эти обновления позволяют выполнять Jailbreak без необходимости использования компьютера, предлагая множество альтернативных решений, таких как Raspberry Pi, телевизоры и роутеры.
Сам по себе Jailbreak — это процесс снятия программных ограничений с устройства, позволяющий устанавливать и запускать кастомное программное обеспечение и пиратские игры.
Версия PPPwn для Raspberry Pi претерпела значительные улучшения. Ключевым обновлением стал переход на C++, что позволяет ускорить процесс взлома в 5-10 раз по сравнению с исходными скриптами на Python. Помимо этого, теперь возможно загружать полезную нагрузку с Raspberry Pi непосредственно в PS4 напрямую.
Разработчик Stooged добавил веб-сервер и веб-интерфейс, что позволяет управлять Raspberry Pi через телефон или непосредственно с PS4. Эти нововведения дают возможность перезапускать сервер, запускать эксплойт и загружать полезную нагрузку с USB на Raspberry Pi.
Поддерживаемые модели Raspberry Pi включают: Raspberry Pi 5, Raspberry Pi 4 Model B, Raspberry Pi 400, Raspberry Pi 3B+, Raspberry Pi 2 Model B, Raspberry Pi Zero 2 W и Zero W с USB-Ethernet адаптером. Как оптимальное сочетание цены и производительности рекомендуется использовать Raspberry Pi 4 Model B.
Одна из самых интересных версий PPPwn позволяет запускать эксплойт прямо с телевизора бренда LG, устраняя необходимость в дополнительных устройствах. Телевизоры LG обладают достаточной мощностью, чтобы запускать эксплойт менее чем за 20 секунд, что делает этот метод одним из самых быстрых.
Разработчики zauceee и llbranco объединили усилия для улучшения этой версии. В последней версии 1.2 добавлена поддержка TV на aarch64 и возможность автоматического запуска эксплойта при включении телевизора. Также можно назначить кнопку пульта для запуска эксплойта в любое время.
Сам по себе Jailbreak — это процесс снятия программных ограничений с устройства, позволяющий устанавливать и запускать кастомное программное обеспечение и пиратские игры.
Версия PPPwn для Raspberry Pi претерпела значительные улучшения. Ключевым обновлением стал переход на C++, что позволяет ускорить процесс взлома в 5-10 раз по сравнению с исходными скриптами на Python. Помимо этого, теперь возможно загружать полезную нагрузку с Raspberry Pi непосредственно в PS4 напрямую.
Разработчик Stooged добавил веб-сервер и веб-интерфейс, что позволяет управлять Raspberry Pi через телефон или непосредственно с PS4. Эти нововведения дают возможность перезапускать сервер, запускать эксплойт и загружать полезную нагрузку с USB на Raspberry Pi.
Поддерживаемые модели Raspberry Pi включают: Raspberry Pi 5, Raspberry Pi 4 Model B, Raspberry Pi 400, Raspberry Pi 3B+, Raspberry Pi 2 Model B, Raspberry Pi Zero 2 W и Zero W с USB-Ethernet адаптером. Как оптимальное сочетание цены и производительности рекомендуется использовать Raspberry Pi 4 Model B.
Одна из самых интересных версий PPPwn позволяет запускать эксплойт прямо с телевизора бренда LG, устраняя необходимость в дополнительных устройствах. Телевизоры LG обладают достаточной мощностью, чтобы запускать эксплойт менее чем за 20 секунд, что делает этот метод одним из самых быстрых.
Разработчики zauceee и llbranco объединили усилия для улучшения этой версии. В последней версии 1.2 добавлена поддержка TV на aarch64 и возможность автоматического запуска эксплойта при включении телевизора. Также можно назначить кнопку пульта для запуска эксплойта в любое время.
Сегодня состоялся релиз долгожданной адвенчуры Senuas Saga Hellblade II от студии Ninja Theory на консолях Xbox и ПК. Поскольку Microsoft, будучи издателем, не стала навешивать серьезных систем антипиратской защиты, вроде Denuvo или привязки к Xbox Live, команда FLT мгновенно отчиталась о взломе. Об этом сообщает тематическая ветка на Reddit. DRM-защиту обошли при помощи эмулятора Steam, а общий вес загружаемого архива составил 48 ГБ.
Forwarded from Cyber Media
🏜 Вирус, посиди в «песочнице»! Как работает Sandbox и от чего зависит эффективность этого класса решений
Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox.
➡️ В новой статье на сайте разобрались, что такое «Песочница», как вредоносы пытаются обойти этот класс решений и какие ошибки в настройке могут снизить эффективность Sandbox.
Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox.
Please open Telegram to view this post
VIEW IN TELEGRAM
CISA включило уязвимость, влияющую на Mirth Connect от компании NextGen Healthcare, в свой каталог известных эксплуатируемых уязвимостей (KEV).
Уязвимость, обозначенная как CVE-2023-43208, связана с удалённым выполнением кода без аутентификации и возникла в результате неполного исправления другой критической уязвимости — CVE-2023-37679, имеющей рейтинг 9.8 по шкале CVSS.
Mirth Connect — это платформа для интеграции данных с открытым исходным кодом, широко используемая в американском здравоохранении для обмена данными между различными системами.
Информация об этой уязвимости впервые появилась благодаря специалистам Horizon3 в конце октября 2023 года, а дополнительные технические детали вместе с PoC-эксплойтом были опубликованы в январе 2024 года.
Исследователь безопасности Навин Санкавалли сообщил, что CVE-2023-43208 связана с небезопасным использованием библиотеки Java XStream для обработки XML-данных, что делает уязвимость легко эксплуатируемой.
CISA не предоставила информации о характере атак, использующих эту уязвимость, и неясно, кто и когда начал их использовать.
Помимо уязвимости в Mirth Connect агентство также внесла в каталог KЕV недавнюю уязвимость Type Confusion, влияющую на браузер Google Chrome, которую компания признала эксплуатируемой в реальных атаках.
Федеральным агентствам США предписано обновить программное обеспечение до исправленной версии: Mirth Connect версии 4.4.1 или выше, а также Chrome версии 125.0.6422.60/.61 для Windows, macOS и Linux в срок до 10 июня 2024 года, чтобы защитить свои сети от активных киберугроз.
Уязвимость, обозначенная как CVE-2023-43208, связана с удалённым выполнением кода без аутентификации и возникла в результате неполного исправления другой критической уязвимости — CVE-2023-37679, имеющей рейтинг 9.8 по шкале CVSS.
Mirth Connect — это платформа для интеграции данных с открытым исходным кодом, широко используемая в американском здравоохранении для обмена данными между различными системами.
Информация об этой уязвимости впервые появилась благодаря специалистам Horizon3 в конце октября 2023 года, а дополнительные технические детали вместе с PoC-эксплойтом были опубликованы в январе 2024 года.
Исследователь безопасности Навин Санкавалли сообщил, что CVE-2023-43208 связана с небезопасным использованием библиотеки Java XStream для обработки XML-данных, что делает уязвимость легко эксплуатируемой.
CISA не предоставила информации о характере атак, использующих эту уязвимость, и неясно, кто и когда начал их использовать.
Помимо уязвимости в Mirth Connect агентство также внесла в каталог KЕV недавнюю уязвимость Type Confusion, влияющую на браузер Google Chrome, которую компания признала эксплуатируемой в реальных атаках.
Федеральным агентствам США предписано обновить программное обеспечение до исправленной версии: Mirth Connect версии 4.4.1 или выше, а также Chrome версии 125.0.6422.60/.61 для Windows, macOS и Linux в срок до 10 июня 2024 года, чтобы защитить свои сети от активных киберугроз.
Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» сообщают, что заблокировали шпионскую активность APT-группировки Obstinate Mogwai в инфраструктуре неназванного российского телеком-оператора. В атаке хакеры использовали старую, но не полностью устраненную уязвимость десериализации в параметре ViewState.
Уязвимость позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP NET. Исследователи отмечают, что сам факт ее эксплуатации нелегко обнаружить, а методика реагирования ранее не описывалась в профильных сообществах.
Проблема параметра ViewState известна еще с 2014 года. Фактически она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, подменять или портить данные.
Расследование началось после того, как защитные средства обнаружили подозрительную активность в инфраструктуре неназванной телеком-компании. Оказалась, что к этому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных самой компании и ее клиентов.
Эксперты пишут, что несколько раз находили вредоносные инструменты группировки в атакованной сети и удаляли их. Однако через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость исследователи назвали эту хак-группу Obstinate Mogwai и обещают в будущем опубликовать подробный отчет от этих хакерах.
Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP NET. Сериализация – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений. Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации выполнять произвольный код.
Уязвимость была частично исправлена все в том же 2014 году.
Уязвимость позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP NET. Исследователи отмечают, что сам факт ее эксплуатации нелегко обнаружить, а методика реагирования ранее не описывалась в профильных сообществах.
Проблема параметра ViewState известна еще с 2014 года. Фактически она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, подменять или портить данные.
Расследование началось после того, как защитные средства обнаружили подозрительную активность в инфраструктуре неназванной телеком-компании. Оказалась, что к этому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных самой компании и ее клиентов.
Эксперты пишут, что несколько раз находили вредоносные инструменты группировки в атакованной сети и удаляли их. Однако через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость исследователи назвали эту хак-группу Obstinate Mogwai и обещают в будущем опубликовать подробный отчет от этих хакерах.
Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP NET. Сериализация – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений. Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации выполнять произвольный код.
Уязвимость была частично исправлена все в том же 2014 году.
Специалисты Elastic Security Labs и Antiy выявили новую кампанию по добыче криптовалюты под кодовым названием REF4578, в ходе которой вредоносное ПО GhostEngine использует уязвимые драйверы для отключения антивирусных программ и запуска майнера XMRig.
Elastic Security Labs и Antiy отметили высокую степень сложности атаки. В своих отчетах компании поделились правилами обнаружения угрозы, чтобы помочь защитникам обнаруживать и останавливать такие атаки. Однако ни один из отчетов не связывает деятельность с известными хакерскими группами и не предоставляет деталей о жертвах, поэтому происхождение и масштаб кампании остаются неизвестными.
Пока неясно, каким образом злоумышленникам удается взломать серверы, однако атака начинается с выполнения файла Tiworker.exe, который маскируется под легитимный файл Windows. Исполняемый файл является первой стадией запуска GhostEngine, который представляет собой PowerShell-скрипт для загрузки различных модулей на зараженное устройство.
После запуска Tiworker.exe скачивает скрипт get.png с C2-сервера, который служит основным загрузчиком GhostEngine. PowerShell-скрипт загружает дополнительные модули и их конфигурации, отключает Windows Defender, включает удаленные службы и очищает различные журналы событий Windows.
Скрипт проверяет наличие как минимум 10 МБ свободного места на диске, чтобы продолжить заражение, и создает запланированные задачи для обеспечения устойчивости угрозы. Затем скрипт загружает и запускает исполняемый файл smartsscreen.exe – основное вредоносное ПО GhostEngine. Программа отключает и удаляет EDR-решения, а также загружает и запускает XMRig для майнинга криптовалюты.
Для отключения программ защиты GhostEngine загружает 2 уязвимых драйвера: aswArPots.sys для завершения процессов EDR и IObitUnlockers.sys для удаления связанных исполняемых файлов.
Специалисты Elastic рекомендуют защитникам обратить внимание на подозрительные выполнения PowerShell, необычную активность процессов и сетевой трафик, указывающий на криптовалютные пулы.
Elastic Security Labs и Antiy отметили высокую степень сложности атаки. В своих отчетах компании поделились правилами обнаружения угрозы, чтобы помочь защитникам обнаруживать и останавливать такие атаки. Однако ни один из отчетов не связывает деятельность с известными хакерскими группами и не предоставляет деталей о жертвах, поэтому происхождение и масштаб кампании остаются неизвестными.
Пока неясно, каким образом злоумышленникам удается взломать серверы, однако атака начинается с выполнения файла Tiworker.exe, который маскируется под легитимный файл Windows. Исполняемый файл является первой стадией запуска GhostEngine, который представляет собой PowerShell-скрипт для загрузки различных модулей на зараженное устройство.
После запуска Tiworker.exe скачивает скрипт get.png с C2-сервера, который служит основным загрузчиком GhostEngine. PowerShell-скрипт загружает дополнительные модули и их конфигурации, отключает Windows Defender, включает удаленные службы и очищает различные журналы событий Windows.
Скрипт проверяет наличие как минимум 10 МБ свободного места на диске, чтобы продолжить заражение, и создает запланированные задачи для обеспечения устойчивости угрозы. Затем скрипт загружает и запускает исполняемый файл smartsscreen.exe – основное вредоносное ПО GhostEngine. Программа отключает и удаляет EDR-решения, а также загружает и запускает XMRig для майнинга криптовалюты.
Для отключения программ защиты GhostEngine загружает 2 уязвимых драйвера: aswArPots.sys для завершения процессов EDR и IObitUnlockers.sys для удаления связанных исполняемых файлов.
Специалисты Elastic рекомендуют защитникам обратить внимание на подозрительные выполнения PowerShell, необычную активность процессов и сетевой трафик, указывающий на криптовалютные пулы.
В марте команда безопасности WhatsApp сообщила о серьёзной угрозе для пользователей мессенджера. Несмотря на мощное шифрование, пользователи по-прежнему уязвимы для правительственного надзора. Внутренний документ, полученный The Intercept, утверждает, что содержание переписок 2 миллиардов пользователей остается защищенным, однако правительственные агентства могут обходить шифрование, чтобы определить, кто общается друг с другом, выяснить состав частных групп и, возможно, даже местоположение пользователей.
Уязвимость связана с анализом трафика - методом мониторинга сетей, основанным на наблюдении за интернет-трафиком в национальном масштабе. Документ указывает, что WhatsApp не является единственным сервисом, подверженным такой угрозе. Согласно внутренней оценке, компании Meta, владеющей WhatsApp, рекомендуется принять дополнительные меры безопасности для защиты небольшой, но уязвимой части пользователей. Эти меры могут включать более надежное шифрование трафика, маскировку метаданных и другие способы противодействия анализу трафика на национальном уровне.
На фоне продолжающегося вооруженного конфликта в секторе Газа предупреждение об уязвимости вызвало серьезную озабоченность у некоторых сотрудников Meta. Сотрудники WhatsApp выразили опасения, что эта уязвимость потенциально может быть использована израильскими спецслужбами для слежки за палестинцами в рамках своих оперативных программ в секторе Газа, где цифровое наблюдение играет роль при определении целей. Четыре сотрудника, пожелавшие остаться неназванными, сообщили The Intercept о том, что такие опасения имели место внутри компании. При этом важно отметить, что никаких конкретных доказательств злоупотребления уязвимостью на тот момент представлено не было.
Представитель Meta заявила, что у WhatsApp нет уязвимостей и документ отражает лишь теоретическую возможность, не уникальную для WhatsApp.
Уязвимость связана с анализом трафика - методом мониторинга сетей, основанным на наблюдении за интернет-трафиком в национальном масштабе. Документ указывает, что WhatsApp не является единственным сервисом, подверженным такой угрозе. Согласно внутренней оценке, компании Meta, владеющей WhatsApp, рекомендуется принять дополнительные меры безопасности для защиты небольшой, но уязвимой части пользователей. Эти меры могут включать более надежное шифрование трафика, маскировку метаданных и другие способы противодействия анализу трафика на национальном уровне.
На фоне продолжающегося вооруженного конфликта в секторе Газа предупреждение об уязвимости вызвало серьезную озабоченность у некоторых сотрудников Meta. Сотрудники WhatsApp выразили опасения, что эта уязвимость потенциально может быть использована израильскими спецслужбами для слежки за палестинцами в рамках своих оперативных программ в секторе Газа, где цифровое наблюдение играет роль при определении целей. Четыре сотрудника, пожелавшие остаться неназванными, сообщили The Intercept о том, что такие опасения имели место внутри компании. При этом важно отметить, что никаких конкретных доказательств злоупотребления уязвимостью на тот момент представлено не было.
Представитель Meta заявила, что у WhatsApp нет уязвимостей и документ отражает лишь теоретическую возможность, не уникальную для WhatsApp.
Разработчики LastPass добавили новую интересную функциональность: теперь менеджер паролей будет шифровать URL, сохранённые вместе с учётными данными. Это поможет снизить риски при утечках и несанкционированном доступе.
Вы наверняка знаете, как это работает: когда пользователь LastPass заходит на какой-либо ресурс, менеджер паролей сверяет URL с теми, что сохранены в аккаунте. Эта функциональность нужна для автоматической подстановки учётных данных.
Ранее занесённые ссылки не шифровались, по словам девелоперов, из-за малых мощностей. LastPass не должен был сильно нагружать процессор и хорошим тоном было минимизировать энергопотребление.
Однако так было в 2008 году, когда менеджер паролей увидел свет, а сегодня аппаратное обеспечение шагнуло далеко вперёд. Шифровать и расшифровывать такие URL теперь можно на лету, и пользователь даже ничего не заметит.
Чтобы усилить защиту данных веб-сёрферов, разработчики LastPass наконец решили добавить шифрование URL.
Вы наверняка знаете, как это работает: когда пользователь LastPass заходит на какой-либо ресурс, менеджер паролей сверяет URL с теми, что сохранены в аккаунте. Эта функциональность нужна для автоматической подстановки учётных данных.
Ранее занесённые ссылки не шифровались, по словам девелоперов, из-за малых мощностей. LastPass не должен был сильно нагружать процессор и хорошим тоном было минимизировать энергопотребление.
Однако так было в 2008 году, когда менеджер паролей увидел свет, а сегодня аппаратное обеспечение шагнуло далеко вперёд. Шифровать и расшифровывать такие URL теперь можно на лету, и пользователь даже ничего не заметит.
Чтобы усилить защиту данных веб-сёрферов, разработчики LastPass наконец решили добавить шифрование URL.
ИБ-компания CloudSEK предупреждает о мошенниках, которые продают поддельное ПО, рекламируемое как Pegasus от NSO Group.
Поддельная программа была обнаружена после анализа около 25 000 сообщений людей, предлагающих Pegasus и другие инструменты NSO Group в Telegram. Затем специалисты взаимодействовали с более чем 150 потенциальными продавцами, которые предоставили доступ к 15 образцам и более 30 индикаторам компрометации.
Индикаторы компрометации включали исходный код предполагаемых образцов Pegasus, демонстрации работы образцов в реальном времени и структуру файлов. Почти все образцы были мошенническими и неэффективными, но некоторые продавались за сотни тысяч долларов. Один из продавцов предложил постоянный доступ к Pegasus за $1,5 миллиона и заявил, что совершил 4 продажи за 2 дня.
Поддельное шпионское ПО также было найдено на других платформах для обмена кодами, где, по утверждениям CloudSEK, злоумышленники распространяли свои собственные случайно сгенерированные исходные коды.
CloudSEK начала исследование продаж Pegasus после того, как Apple в апреле решила прекратить приписывать атаки с использованием шпионского ПО конкретному источнику, и вместо этого стала классифицировать их как mercenary spyware attack.
CloudSEK была не единственной организацией, которая действовала после изменения политики Apple. Исследователи компании обнаружили, что мошенники, продающие поддельный «постоянный доступ» к Pegasus, внутри радовались и приветствовали уведомление Apple.
CloudSEK отмечает, что продавцы мошеннического кода получают не только выгоду от известного бренда, рекламируя продукт как принадлежащий NSO Group, но это также помогает им оставаться вне поля зрения, продавая специально разработанное шпионское ПО под именем другой компании.
На данный момент NSO Group не предоставила комментариев по поводу подделок и их воздействия на бизнес компании.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира.
Поддельная программа была обнаружена после анализа около 25 000 сообщений людей, предлагающих Pegasus и другие инструменты NSO Group в Telegram. Затем специалисты взаимодействовали с более чем 150 потенциальными продавцами, которые предоставили доступ к 15 образцам и более 30 индикаторам компрометации.
Индикаторы компрометации включали исходный код предполагаемых образцов Pegasus, демонстрации работы образцов в реальном времени и структуру файлов. Почти все образцы были мошенническими и неэффективными, но некоторые продавались за сотни тысяч долларов. Один из продавцов предложил постоянный доступ к Pegasus за $1,5 миллиона и заявил, что совершил 4 продажи за 2 дня.
Поддельное шпионское ПО также было найдено на других платформах для обмена кодами, где, по утверждениям CloudSEK, злоумышленники распространяли свои собственные случайно сгенерированные исходные коды.
CloudSEK начала исследование продаж Pegasus после того, как Apple в апреле решила прекратить приписывать атаки с использованием шпионского ПО конкретному источнику, и вместо этого стала классифицировать их как mercenary spyware attack.
CloudSEK была не единственной организацией, которая действовала после изменения политики Apple. Исследователи компании обнаружили, что мошенники, продающие поддельный «постоянный доступ» к Pegasus, внутри радовались и приветствовали уведомление Apple.
CloudSEK отмечает, что продавцы мошеннического кода получают не только выгоду от известного бренда, рекламируя продукт как принадлежащий NSO Group, но это также помогает им оставаться вне поля зрения, продавая специально разработанное шпионское ПО под именем другой компании.
На данный момент NSO Group не предоставила комментариев по поводу подделок и их воздействия на бизнес компании.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира.
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
Please open Telegram to view this post
VIEW IN TELEGRAM
Группа ученых из Университета Цинхуа рассказала о новом методе DDoS-атак, который получил название DNSBomb. Для организации мощных DDoS-атак в данном случае используется DNS-трафик.
Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности. Так, в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации. Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Обычно пульсирующие DDoS-атаки сложнее обнаружить.
DNSBomb применяет тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver'ы.
В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.
Исследователи пишут, что в рамках тестов они использовали DNSBomb против 10 распространенных DNS-программ и 46 публичных DNS-сервисов, и добились атаки мощностью до 8,7 Гбит/сек. При этом исходный DNS-трафик был усилен в 20 000 раз от своего первоначального размера.
В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так с сохранением.
Ученые сообщают, что уведомили о проблеме все затронутые стороны, и 24 организации уже работают над исправлениями или выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.
Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями.
Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности. Так, в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации. Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Обычно пульсирующие DDoS-атаки сложнее обнаружить.
DNSBomb применяет тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver'ы.
В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.
Исследователи пишут, что в рамках тестов они использовали DNSBomb против 10 распространенных DNS-программ и 46 публичных DNS-сервисов, и добились атаки мощностью до 8,7 Гбит/сек. При этом исходный DNS-трафик был усилен в 20 000 раз от своего первоначального размера.
В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так с сохранением.
Ученые сообщают, что уведомили о проблеме все затронутые стороны, и 24 организации уже работают над исправлениями или выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.
Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями.
В Минцифры прошло совещание с представителями IT-компаний, операторов связи и банков, на котором обсуждалась идея создания единой платформы для реагирования на кибератаки. Участники рынка должны были подготовить предложения по реализации этой инициативы.
Операторы связи Tele2, «Вымпелком» и «МегаФон» подтвердили свое участие в совещании и готовность участвовать в разработке концепции новой платформы. Заместитель главы Минцифры заявил, что там намерены создать с бизнесом «единую цифровую платформу», где объединятся системы «Антифрод», «Антифишинг» и банковские специализированные системы.
Хотя участники рынка в целом не против этой идеи, некоторые считают ее пока недостаточно проработанной и непонятной в плане конечной цели.
Один из рассматриваемых сценариев предполагает разделение реагирования на киберинциденты между крупными участниками рынка. Силовые ведомства будут играть скорее контролирующую роль, что может выражаться как в проверках компаний на соблюдение требований кибербезопасности, так и в вынесении решений по штрафам за допущенный инцидент.
В России уже действует ряд систем противодействия киберугрозам, таких как ГосСОПКА, «Антифрод», «Антифишинг», ФинЦЕРТ и внутренние сервисы компаний. Новая платформа может стать развитием системы «Антифрод».
Компании финансового сектора, принимающие участие в диалоге с Минцифры, считают, что новая платформа должна стать развитием системы «Антифрод». Представители Тинькофф-банка называют проект «ТелекомЦерт», поясняя, что участники рынка смогут собрать информацию о мошенничестве и анализе звонков злоумышленников. В банке считают «логичным» ужесточение ответственности операторов за пропуск мошеннического трафика.
Эксперты считают создание такой платформы технически реализуемым, но отмечают необходимость специализированной архитектуры, многоуровневой защиты данных и совместимости с существующими системами. Основной вызов - защита самой платформы от уязвимостей.
Операторы связи Tele2, «Вымпелком» и «МегаФон» подтвердили свое участие в совещании и готовность участвовать в разработке концепции новой платформы. Заместитель главы Минцифры заявил, что там намерены создать с бизнесом «единую цифровую платформу», где объединятся системы «Антифрод», «Антифишинг» и банковские специализированные системы.
Хотя участники рынка в целом не против этой идеи, некоторые считают ее пока недостаточно проработанной и непонятной в плане конечной цели.
Один из рассматриваемых сценариев предполагает разделение реагирования на киберинциденты между крупными участниками рынка. Силовые ведомства будут играть скорее контролирующую роль, что может выражаться как в проверках компаний на соблюдение требований кибербезопасности, так и в вынесении решений по штрафам за допущенный инцидент.
В России уже действует ряд систем противодействия киберугрозам, таких как ГосСОПКА, «Антифрод», «Антифишинг», ФинЦЕРТ и внутренние сервисы компаний. Новая платформа может стать развитием системы «Антифрод».
Компании финансового сектора, принимающие участие в диалоге с Минцифры, считают, что новая платформа должна стать развитием системы «Антифрод». Представители Тинькофф-банка называют проект «ТелекомЦерт», поясняя, что участники рынка смогут собрать информацию о мошенничестве и анализе звонков злоумышленников. В банке считают «логичным» ужесточение ответственности операторов за пропуск мошеннического трафика.
Эксперты считают создание такой платформы технически реализуемым, но отмечают необходимость специализированной архитектуры, многоуровневой защиты данных и совместимости с существующими системами. Основной вызов - защита самой платформы от уязвимостей.
В GitLab исправили серьезную XSS-уязвимость, которую неаутентифицированные злоумышленники могли использовать для захвата учетных записей пользователей.
Проблема отслеживается под идентификатором CVE-2024-4835 и представляет собой XSS в редакторе кода VS. Она позволяла злоумышленникам в один клик похищать закрытую информацию с помощью вредоносных страниц.
Хотя для атак не требовалась аутентификация, взаимодействие с пользователем все же было необходимо, что повышало сложность эксплуатации.
Помимо упомянутой XSS-проблемы, компания исправила еще шесть других уязвимостей, включая CSRF в Kubernetes Agent Server и ошибку отказа в обслуживании, с помощью которой злоумышленники могли нарушать загрузку веб-ресурсов GitLab.
Стоит отметить, что ранее в этом месяце CISA предупреждало, что злоумышленники активно эксплуатируют другую zero-click проблему в GitLab, CVE-2023-7028, которая тоже позволяет захватить чужую учетную запись.
Проблема отслеживается под идентификатором CVE-2024-4835 и представляет собой XSS в редакторе кода VS. Она позволяла злоумышленникам в один клик похищать закрытую информацию с помощью вредоносных страниц.
Хотя для атак не требовалась аутентификация, взаимодействие с пользователем все же было необходимо, что повышало сложность эксплуатации.
Помимо упомянутой XSS-проблемы, компания исправила еще шесть других уязвимостей, включая CSRF в Kubernetes Agent Server и ошибку отказа в обслуживании, с помощью которой злоумышленники могли нарушать загрузку веб-ресурсов GitLab.
Стоит отметить, что ранее в этом месяце CISA предупреждало, что злоумышленники активно эксплуатируют другую zero-click проблему в GitLab, CVE-2023-7028, которая тоже позволяет захватить чужую учетную запись.
Новая вредоносная рекламная кампания, использующая Google Ads, взяла в оборот тему выхода браузера Arc для Windows. Клюнувшие пользователи получают троянизированный установщик.
Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.
В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.
На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.
Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.
Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.
Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».
Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных. Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.
Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна.
Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.
В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.
На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.
Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.
Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.
Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».
Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных. Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.
Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна.
Компания Google снова патчит уязвимость нулевого дня в своем браузере Chrome, которая уже использовалась в атаках. Это исправление стало уже четвертым за последние две недели и восьмым патчем для 0-day в Chrome в этом году.
Свежая уязвимость имеет идентификатор CVE-2024-5274 и была обнаружена внутри компании, специалистом Google. Сообщается, что проблема типа type confusion была выявлена в JavaScript-движке V8, который отвечает за выполнение JS-кода в браузере.
Уязвимости этого типа возникают в том случае, если программа выделяет участок памяти для хранения данных определенного типа, но ошибочно интерпретирует их как данные иного типа. Обычно такие баги приводят к сбоям, повреждению данных, а также выполнению произвольного кода.
Разработчики предупредили, что им известно о существовании эксплоита для CVE-2024-5274, и уязвимость уже находилась под атаками.
Исправление для этого бага вошло в состав Chrome версий 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux должны получить обновление в версии 125.0.6422.112 в ближайшие недели.
Свежая уязвимость имеет идентификатор CVE-2024-5274 и была обнаружена внутри компании, специалистом Google. Сообщается, что проблема типа type confusion была выявлена в JavaScript-движке V8, который отвечает за выполнение JS-кода в браузере.
Уязвимости этого типа возникают в том случае, если программа выделяет участок памяти для хранения данных определенного типа, но ошибочно интерпретирует их как данные иного типа. Обычно такие баги приводят к сбоям, повреждению данных, а также выполнению произвольного кода.
Разработчики предупредили, что им известно о существовании эксплоита для CVE-2024-5274, и уязвимость уже находилась под атаками.
Исправление для этого бага вошло в состав Chrome версий 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux должны получить обновление в версии 125.0.6422.112 в ближайшие недели.
Forwarded from Cyber Media
Если в цифровом продукте имеются недостатки, связанные с логикой, то злоумышленники могут взаимодействовать с ними по не предусмотренным разработчиками сценариям. Такое взаимодействие преследует одну цель — получение выгоды, и на сленговом языке называется abuse.
Please open Telegram to view this post
VIEW IN TELEGRAM
В Минцифры России обсуждают возможность введения платы для юрлиц за использование зарубежного софта: там считают, что подобная мера способна ускорить процесс импортозамещения.
В ходе выступления глава Минцифры признал, что запреты российским компаниям не помеха: они научились использовать серые схемы импорта, обновлять установленные продукты иностранного производства. Поскольку подход оказался малоэффективным, Минцифры решило опробовать другие способы стимулирования.
В ходе выступления глава Минцифры признал, что запреты российским компаниям не помеха: они научились использовать серые схемы импорта, обновлять установленные продукты иностранного производства. Поскольку подход оказался малоэффективным, Минцифры решило опробовать другие способы стимулирования.
Исследователь безопасности iOS рассказал об эксплойте, который позволяет менять иконки приложений на анимированные. Он использует собственные допуски Apple с небольшими изменениями.
В iOS довольно давно появилась возможность предлагать пользователю несколько иконок на выбор, и он сам может менять их по своему вкусу. Однако по умолчанию приложению запрещено это делать без согласия пользователя; именно этот запрет смог обойти хакер. Он сумел заставить iOS думать, будто приложение запущено и пользователь вручную меняет иконку, тогда как на самом деле всё происходит автоматически.
Методом многократного повторения процедуры исследователь добился быстрой смены иконок, после чего загрузил в приложение ряд слайдов. В результате получилась анимированная иконка. В теории умелые разработчики могут сделать то же самое со своими приложениями и превратить рабочий стол пользователя iPhone в пестрящий ужас.
Напомним, что в iOS 18 должны появиться два способа кастомизации рабочего стола, которые давным-давно доступны в Android.
В iOS довольно давно появилась возможность предлагать пользователю несколько иконок на выбор, и он сам может менять их по своему вкусу. Однако по умолчанию приложению запрещено это делать без согласия пользователя; именно этот запрет смог обойти хакер. Он сумел заставить iOS думать, будто приложение запущено и пользователь вручную меняет иконку, тогда как на самом деле всё происходит автоматически.
Методом многократного повторения процедуры исследователь добился быстрой смены иконок, после чего загрузил в приложение ряд слайдов. В результате получилась анимированная иконка. В теории умелые разработчики могут сделать то же самое со своими приложениями и превратить рабочий стол пользователя iPhone в пестрящий ужас.
Напомним, что в iOS 18 должны появиться два способа кастомизации рабочего стола, которые давным-давно доступны в Android.
Статистика за первый квартал 2024 года показала, что из всех видов противозаконных действий на территории России доля киберпреступности составляет 38%.
Половина криминальной активности, которая включает в себя использование компьютерных сетей и технологий, является фактами мошенничества.
Половина криминальной активности, которая включает в себя использование компьютерных сетей и технологий, является фактами мошенничества.