Группа ученых из Университета Цинхуа рассказала о новом методе DDoS-атак, который получил название DNSBomb. Для организации мощных DDoS-атак в данном случае используется DNS-трафик.

Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности. Так, в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации. Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Обычно пульсирующие DDoS-атаки сложнее обнаружить.

DNSBomb применяет тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver'ы.

В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.

Исследователи пишут, что в рамках тестов они использовали DNSBomb против 10 распространенных DNS-программ и 46 публичных DNS-сервисов, и добились атаки мощностью до 8,7 Гбит/сек. При этом исходный DNS-трафик был усилен в 20 000 раз от своего первоначального размера.

В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так с сохранением.

Ученые сообщают, что уведомили о проблеме все затронутые стороны, и 24 организации уже работают над исправлениями или выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.

Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями.

В Минцифры прошло совещание с представителями IT-компаний, операторов связи и банков, на котором обсуждалась идея создания единой платформы для реагирования на кибератаки. Участники рынка должны были подготовить предложения по реализации этой инициативы.

Операторы связи Tele2, «Вымпелком» и «МегаФон» подтвердили свое участие в совещании и готовность участвовать в разработке концепции новой платформы. Заместитель главы Минцифры заявил, что там намерены создать с бизнесом «единую цифровую платформу», где объединятся системы «Антифрод», «Антифишинг» и банковские специализированные системы.

Хотя участники рынка в целом не против этой идеи, некоторые считают ее пока недостаточно проработанной и непонятной в плане конечной цели.

Один из рассматриваемых сценариев предполагает разделение реагирования на киберинциденты между крупными участниками рынка. Силовые ведомства будут играть скорее контролирующую роль, что может выражаться как в проверках компаний на соблюдение требований кибербезопасности, так и в вынесении решений по штрафам за допущенный инцидент.

В России уже действует ряд систем противодействия киберугрозам, таких как ГосСОПКА, «Антифрод», «Антифишинг», ФинЦЕРТ и внутренние сервисы компаний. Новая платформа может стать развитием системы «Антифрод».

Компании финансового сектора, принимающие участие в диалоге с Минцифры, считают, что новая платформа должна стать развитием системы «Антифрод». Представители Тинькофф-банка называют проект «ТелекомЦерт», поясняя, что участники рынка смогут собрать информацию о мошенничестве и анализе звонков злоумышленников. В банке считают «логичным» ужесточение ответственности операторов за пропуск мошеннического трафика.

Эксперты считают создание такой платформы технически реализуемым, но отмечают необходимость специализированной архитектуры, многоуровневой защиты данных и совместимости с существующими системами. Основной вызов - защита самой платформы от уязвимостей.

В GitLab исправили серьезную XSS-уязвимость, которую неаутентифицированные злоумышленники могли использовать для захвата учетных записей пользователей.

Проблема отслеживается под идентификатором CVE-2024-4835 и представляет собой XSS в редакторе кода VS. Она позволяла злоумышленникам в один клик похищать закрытую информацию с помощью вредоносных страниц.

Хотя для атак не требовалась аутентификация, взаимодействие с пользователем все же было необходимо, что повышало сложность эксплуатации.

Помимо упомянутой XSS-проблемы, компания исправила еще шесть других уязвимостей, включая CSRF в Kubernetes Agent Server и ошибку отказа в обслуживании, с помощью которой злоумышленники могли нарушать загрузку веб-ресурсов GitLab.

Стоит отметить, что ранее в этом месяце CISA предупреждало, что злоумышленники активно эксплуатируют другую zero-click проблему в GitLab, CVE-2023-7028, которая тоже позволяет захватить чужую учетную запись.

Новая вредоносная рекламная кампания, использующая Google Ads, взяла в оборот тему выхода браузера Arc для Windows. Клюнувшие пользователи получают троянизированный установщик.

Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.

В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.

На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.

Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.

Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.

Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».

Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных. Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.

Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна.

Компания Google снова патчит уязвимость нулевого дня в своем браузере Chrome, которая уже использовалась в атаках. Это исправление стало уже четвертым за последние две недели и восьмым патчем для 0-day в Chrome в этом году.

Свежая уязвимость имеет идентификатор CVE-2024-5274 и была обнаружена внутри компании, специалистом Google. Сообщается, что проблема типа type confusion была выявлена в JavaScript-движке V8, который отвечает за выполнение JS-кода в браузере.

Уязвимости этого типа возникают в том случае, если программа выделяет участок памяти для хранения данных определенного типа, но ошибочно интерпретирует их как данные иного типа. Обычно такие баги приводят к сбоям, повреждению данных, а также выполнению произвольного кода.

Разработчики предупредили, что им известно о существовании эксплоита для CVE-2024-5274, и уязвимость уже находилась под атаками.

Исправление для этого бага вошло в состав Chrome версий 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux должны получить обновление в версии 125.0.6422.112 в ближайшие недели.

В Минцифры России обсуждают возможность введения платы для юрлиц за использование зарубежного софта: там считают, что подобная мера способна ускорить процесс импортозамещения.

В ходе выступления глава Минцифры признал, что запреты российским компаниям не помеха: они научились использовать серые схемы импорта, обновлять установленные продукты иностранного производства. Поскольку подход оказался малоэффективным, Минцифры решило опробовать другие способы стимулирования.

Исследователь безопасности iOS рассказал об эксплойте, который позволяет менять иконки приложений на анимированные. Он использует собственные допуски Apple с небольшими изменениями.

В iOS довольно давно появилась возможность предлагать пользователю несколько иконок на выбор, и он сам может менять их по своему вкусу. Однако по умолчанию приложению запрещено это делать без согласия пользователя; именно этот запрет смог обойти хакер. Он сумел заставить iOS думать, будто приложение запущено и пользователь вручную меняет иконку, тогда как на самом деле всё происходит автоматически.

Методом многократного повторения процедуры исследователь добился быстрой смены иконок, после чего загрузил в приложение ряд слайдов. В результате получилась анимированная иконка. В теории умелые разработчики могут сделать то же самое со своими приложениями и превратить рабочий стол пользователя iPhone в пестрящий ужас.

Напомним, что в iOS 18 должны появиться два способа кастомизации рабочего стола, которые давным-давно доступны в Android.

Статистика за первый квартал 2024 года показала, что из всех видов противозаконных действий на территории России доля киберпреступности составляет 38%.

Половина криминальной активности, которая включает в себя использование компьютерных сетей и технологий, является фактами мошенничества.

Правительство собирается запустить масштабный образовательный проект, посвященный кибербезопасности и цифровой гигиене.

Всероссийская программа цифровой грамотности россиян была одобрена на круглом столе «Цифровая грамотность - основа безопасности в цифровой среде». Член комитета Госдумы анонсировал единый стандарт для учебных материалов, на основе которых любые ведомства и госучреждения могли бы запускать собственные проекты. По его мнению, российское общество очень нуждается в широкомасштабной работе по повышению общей цифровой грамотности. Об этом свидетельствуют регулярные случаи утери персональных данных, распространение фишинговых сайтов и мошеннических схем, а также печальная эффективность вредоносных приложений.

В качестве первого шага будет подготовлена краткая методичка для школьников.

Эксперты сообщают, что хак-группа Sapphire Werewolf, активная с марта 2024 года, уже более 300 раз атаковала российские организации из сферы образования, IT, ВПК и аэрокосмической отрасли. Основной целью хакеров является шпионаж, и для кражи данных они используют сильно модифицированный опенсорсный инструмент.

По информации аналитиков, обычно атаки Sapphire Werewolf начинаются с фишинговых писем со ссылками, созданными с помощью сервиса для сокращения URL. Пользователи, попадавшиеся на удочку злоумышленников, полагали, что скачивают официальные документы, но вместо этого загружали вредоносный файл, при открытии которого устанавливался инфостилер Amethyst.

Чтобы у жертв не возникало подозрений, одновременно с загрузкой малвари открывался отвлекающий внимание документ — постановление о возбуждении исполнительного производства, листовка ЦИК или указ Президента Российской Федерации. Сервис для сокращения URL злоумышленники использовали с той же целью: это позволяло сделать ссылки похожими на легитимные.

Стилер Amethyst ворует данные со скомпрометированных устройств, включая базы данных паролей, cookie, историю браузера, популярных сайтов и сохраненных страниц, текстовые и другие документы, а также файлы конфигурации, включая FileZilla и SSH, а даже данные, которые позволяют получить доступ к учетной записи жертвы в Telegram. Вся эта информация собиралась в архив и передавалась на управляющий сервер хакеров, роль которого играет Telegram-бот.

Исследователи отмечают, что еще несколько месяцев назад папка для сохранения собранных данных называлась sapphire. А также в то время стилер еще не содержал в себе дополнительных стадий, не имел механизмов закрепления в скомпрометированной системе и собирал весьма ограниченный набор данных: из браузеров не извлекалось ничего, кроме баз данных паролей и cookie, а также игнорировались файлы из загрузок мессенджера Telegram, с внешних носителей и журналы использования PowerShell.

Бразильские банковские учреждения стали объектом новой кампании по распространению специального варианта трояна удаленного доступа AllaKore для Windows под названием AllaSenha. RAT-троян нацелен на кражу учетных данных, необходимых для доступа к банковским счетам, и использует облачную платформу Azure в качестве C2-инфраструктуры.

ИБ-компания HarfangLab в своем техническом анализе подробно описала кампанию. Атака охватывает такие банки, как Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob и Sicredi. Предполагается, что злоумышленники используют фишинговые сообщения с вредоносными ссылками для первоначального доступа.

В общем плане, цепочка заражения выглядит так:

- Атака начинается с запуска LNK-ярлыка Windows, замаскированного под PDF-документ, размещенного на сервере WebDAV;
- Ярлык открывает командную оболочку Windows, отображает подставной PDF-документ и загружает BAT-файл «c.cmd»;
- BAT-файл запускает PowerShell команду, которая скачивает бинарный файл Python с официального сайта и выполняет скрипт BPyCode;
- Скрипт BPyCode загружает и запускает динамическую библиотеку;
- Библиотека выполняется в памяти и внедряет троян AllaSenha в легитимный процесс «mshta.exe».

Стоит отметить, что DLL-библиотека извлекается из одного из доменных имен, созданных с помощью алгоритма генерации домена. Сгенерированные имена хостов соответствуют тем, которые связаны со службой Microsoft Azure Functions, бессерверной инфраструктурой, которая в данном случае позволяет операторам легко развертывать и управлять промежуточной инфраструктурой.

Помимо кражи учетных данных для онлайн-банкинга из веб-браузеров, AllaSenha может отображать наложенные окна для захвата кодов двухфакторной аутентификации и даже обманом заставить жертву отсканировать QR-код для одобрения мошеннической транзакции, инициированной злоумышленниками.

Агентство CISA добавило уязвимость ядра ​​Linux в каталог известных эксплуатируемых уязвимостей, сославшись на доказательства активной эксплуатации.

CVE-2024-1086 связана с ошибкой use-after-free в компоненте netfilter и позволяет локальному злоумышленнику повысить привилегии обычного пользователя до root и выполнить произвольный код. Уязвимость была устранена в январе 2024 года. При этом точная природа атак, использующих уязвимость, на данный момент неизвестна.

Netfilter — это платформа, предоставляемая ядром Linux, которая позволяет реализовывать различные сетевые операции в виде пользовательских обработчиков для облегчения фильтрации пакетов, трансляции сетевых адресов и трансляции портов.

Ранее в этом месяце ФБР во второй раз арестовало домены хакерского форума BreachForums, через который хакеры продавали украденные данные другим киберпреступникам. Однако ресурс вернулся в онлайн уже через пару недель и, похоже, теперь находится под контролем ShinyHunters — одного из прежних администраторов BreachForums.

Дело в том, что ShinyHunters не только восстановил сайт, но и выставил на продажу БД объемом 1,3 ТБ, содержащую данные 560 млн клиентов Ticketmaster, оценив дамп в 500 000 долларов. Ранее эта БД выставлялась на продажу на русскоязычном хак-форуме Exploit.

Хакеры пишут, что дамп содержит полные имена пользователей, их адреса, адреса электронной почты, номера телефонов, информацию о продаже билетов и мероприятиях, а также последние четыре цифры номера банковских карт и связанные с ними даты истечения срока действия.

Напомним, что сайт и Telegram-канал BreachForums были закрыты правоохранителями 15 мая 2024 года, и на обоих появилось предупреждение о том, что теперь ресурсы и все данные на бэкэнде «находятся под контролем ФБР».

Более того, сообщение о конфискации сопровождалось двумя изображениями из профилей администраторов сайта (Baphomet и ShinyHunters), на аватары которых были наложенные прутья тюремной решетки.

Из-за этого многие предположили, что Baphomet и ShinyHunters арестованы, хотя официально власти об этом не сообщали. Стоит добавить, что правоохранители также захватили и Telegram-канал, принадлежащий лично Baphomet: в канале появились сообщения, подтверждающие, что тот действительно находится под их контролем властей.

Однако, похоже, ShinyHunters удалось избежать ареста: недавно команда ShinyHunters сообщила, что осталась невредимой и похвасталась тем, что никто из ее участников не был арестован.

По информации сайта Hackread, который взял интервью у представителя ShinyHunters, хакеры якобы вернули себе доступ к сайту BreachForums и новому домену в даркнете всего через день после операции ФБР.

В сеть попали данные, якобы принадлежащие «Московскому городскому открытому колледжу». SQL-дамп сайта open-college(.)ru недавно появился в открытом доступе.

В дампе можно найти следующую информацию: адреса электронной почты, телефонные номера, хешированные пароли, ссылки на профили в социальных сетях, пол.

Все данные, судя по всему, свежие, поскольку датируются 26 мая 2024 года.

Сеть магазинов «Верный» в Москве и других городах подверглась хакерской атаке. Более тысячи магазинов перестали принимать оплату банковскими картами, а также не обрабатывают интернет-заказы. Сайт и мобильное приложение сети тоже перестали работать.

Покупатели в магазинах «Верный» не могут воспользоваться кассами самообслуживания и картами лояльности. Кассиры принимают только наличные, а с учётом того, насколько этот способ оплаты непопулярен в России, многие покупатели разворачиваются и уходят без покупок. По подсчётам экспертов, «Верный» теряет около 40% оборота, а это приблизительно по 120-140 миллионов рублей ежедневно. За неделю потери могут превысить миллиард рублей. СДЭК за несколько дней простоя потерял столько же, и это без учёта долгосрочных репутационных потерь.

После случаев со СДЭК и «Верным» российские компании запустили аудит своей ИТ-инфраструктуры и собираются уделять больше внимания защищённости компьютерных систем. Обычно хакеры атакуют серверы компаний вирусами-шифровальщиками, которые быстро зашифровывают все данные, включая бэкапы, после чего злоумышленники требуют крупный выкуп за предоставление ключа расшифровки. Некоторые компании платят за восстановление данных, но многие отказываются, считая, что тем самым они простимулировали бы хакеров к осуществлению новых атак.

Бывшие топ-менеджер и менеджер по продажам компании Epsilon Data Management LLC (Epsilon) признаны виновными в продаже данных миллионов американцев участникам схем мошенничества с использованием почты. Руководители более 10 лет предоставляли мошенникам целевые списки клиентов компании.

Epsilon Data Management LLC — брокерская и маркетинговая компания, специализирующаяся на сборе, анализе и продаже потребительских данных предприятиям для целевых маркетинговых целей. Epsilon использует передовые алгоритмы и обширную базу данных по 100 миллионам домохозяйств в США для прогнозирования поведения потребителей и выявления потенциальных покупателей продуктов и услуг своих клиентов.

Обвиняемые работали в Epsilon, где они использовали алгоритмы Epsilon для прогнозирования новых списков потребителей, которые наиболее вероятно отреагируют на фишинговые письма.

Списки, включающие полные имена, домашние адреса, адреса электронной почты, возраст, потребительские предпочтения и историю покупок, были проданы мошенникам, которые использовали их для таргетинга отдельных лиц с помощью персонализированных электронных писем. В письмах жертвам обещали крупные призы, ложные астрологические прогнозы на богатство и другие приманки, которые обманом заставляли людей отправлять мошенникам деньги.

Министерство юстиции США утверждает, что осужденные поделились этими данными, зная, что они будут использованы для мошенничества в отношении пожилых людей и уязвимых слоев населения. В одном случае сотрудники продали 100 списков одному мошеннику. Схема просуществовала 10 лет, в результате чего сотни тысяч американцев потеряли крупные суммы денег.

Хотя компания Epsilon не принимала непосредственного участия в схеме, она урегулировала свою уголовную ответственность в 2021 году соглашением об отсрочке судебного преследования. Резолюция требовала от фирмы выплатить $150 миллионов в качестве штрафов, из которых $122 миллиона были выделены на компенсацию 200 000 жертвам мошенничества.