Хакеры выкладывают малварь на GitHub, выдавая ее за эксплоиты

Злоумышленники притворяются ИБ-исследователями в Twitter и на GitHub, публикуя в открытом доступе фальшивые PoC-эксплоиты для различных уязвимостей нулевого дня. На самом деле под видом эксплоитов хакеры распространяют малварь, которая заражает машины под управлением Windows и Linux.

Фейки распространяются от лица несуществующей ИБ-компании High Sierra Cyber ​​Security и активно продвигаются в Twitter.

Репозитории злоумышленников кажутся легитимными, а их мейнтейнеры выдают себя за настоящих экспертов из Rapid7 и других известных компаний, даже используя для этого реальные фотографии.

Во всех изученных случаях репозитории атакующих содержат Python-скрипт poc.py, который действует как загрузчик малвари для Linux и Windows. Скрипт загружает на компьютер жертвы ZIP-архив с внешнего URL-адреса.

Вредоносная программа сохраняется в папке %Temp% в Windows или в /home/<username>/.local/share в Linux, а затем извлекается и запускается.

Пока неясно, какой тип малвари распространяют злоумышленники, но оба исполняемых файла устанавливают клиент TOR, а версия для Windows порой обнаруживается как троян для кражи паролей.

Хотя масштабы и эффективность этой кампании неясны, хакеры весьма настойчиво создают все новые учетные записи и репозитории, когда прошлые обнаруживают и удаляют.

В настоящее время известно о семи репозиториях на GitHub, принадлежащих этим злоумышленникам:
• github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
• github.com/MHadzicHSCS/Chrome-0-day
• github.com/GSandersonHSCS/discord-0-day-fix
• github.com/BAdithyaHSCS/Exchange-0-Day
• github.com/RShahHSCS/Discord-0-Day-Эксплойт
• github.com/DLandonHSCS/Discord-RCE
• github.com/SsankkarHSCS/Chromium-0-Day

Кроме того, в Twitter следующие аккаунты принадлежат хакерам:
• twitter.com/AKuzmanHSCS
• twitter.com/DLandonHSCS
• twitter.com/GSandersonHSCS
• twitter.com/MHadzicHSCS

🥸 godnoTECH

В Евросоюзе одобрили поправки о возвращении съемных аккумуляторов

У компаний будет два пути: либо «горячая» замена батареи либо полный запрет продажи на территории ЕС.

🥸 godnoTECH

Оплата по биометрии во всех магазинах РФ

Центральный банк России планирует запустить биометрические платежи в магазинах до определенной суммы в этом году. Регулятор считает, что этот способ оплаты будет крайне востребован, в проекте также будет участвовать Национальная система платежных карт.

«С точки зрения инноваций это точно можно будет распространить на всю страну, во всех торговых сетях» — публично заявила первый зампред ЦБ Ольга Скоробогатова.

Стоит отметить, что оплата по лицу в магазинах уже практикуется в «Пятёрочке» и «Перекрёстке».

🥸 godnoTECH

Главные новости прошедшей недели

🥸 Многослойные платы видеокарт Gigabyte Nvidia GeForce RTX 30/40 трескаются, производитель отказывает в гарантии

🤐 На Reddit началась забастовка, десятки тысяч сабреддитов стали приватными

👁 Совместимость с двумя российскими ОС станет обязательной для отечественного ПО

🫡 Рунет 2.0: пользователи РФ смогут протестировать закрытую сеть из безопасных и проверенных сервисов

😸 Хакеры выкладывают малварь на GitHub, выдавая ее за эксплоиты

Cервис FRVR Forge позволяет создавать игры всего за пару минут

Достаточно кратко описать идею, по ходу генерации задать пару параметров и игра готова. Картинки и текст для нее тоже сгенерирует ИИ. Заценить возможности можно в демо-игре, которую создали за 15 минут. Пока можно только записаться в бета-тестирование.

🥸 godnoTECH

Квантовый компьютер обогнал суперкомпьютер в расчете физической задачи

Ученые сравнили работу квантового компьютера IBM Eagle, содержащего 127 кубитов, и суперкомпьютера Summit, одного из самых мощных в мире. Они решали задачу из области квантовой механики, связанную с определением энергии основного состояния системы частиц. Эта задача часто возникает при изучении квантовых свойств сверхпроводников и новых электронных материалов.

Квантовый компьютер использовал алгоритм QAOA, который позволяет находить приближенные решения для сложных оптимизационных задач. Суперкомпьютер применял классический алгоритм QMC, который имитирует квантовую систему с помощью случайных чисел.

Оказалось, что при увеличении сложности задачи квантовый компьютер продолжал давать верные ответы, в то время как суперкомпьютер стал ошибаться. Это свидетельствует о том, что квантовые компьютеры могут иметь преимущество перед классическими для некоторых типов расчетов, даже несмотря на то, что они подвержены шумам и ошибкам.

Ученые также применили метод под названием устранение ошибок (error mitigation), который позволяет уменьшить влияние шума на результаты квантового компьютера. Они показали, что этот метод значительно повышает точность квантового алгоритма и делает его более конкурентоспособным по сравнению с классическим.

🥸 godnoTECH

ВК запустит маркетплейс для торговли NFT-токенами до конца 2023

Пользователи смогут запускать свои коллекции, продавать-покупать токены на первичном и вторичном рынке. Будет система рекомендаций и рекламы.

🥸 godnoTECH

Макс Хедрум: «Первый телевизионный персонаж, созданный компьютером» ~ 1985 г.

🥸 godnoTECH

Сервера TOR можно деанонимизировать

ИБ-специалист Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor. Для этого он использовал ETag (entity tag) в заголовке HTTP-ответов.

Sh1ttyKids начали это исследование после взлома Capcom в 2020 году группой вымогателей Ragnar Locker. Capcom отказалась платить выкуп, тогда около 67 ГБ украденных файлов были опубликованы в даркнете. Cайт группировки содержал только ссылку на утечку, но не сами файлы, и Sh1ttyKids заметил, что существует отдельный Onion-адрес для размещения «сливов» Ragnar Locker.

Файлы были размещены на Onion-адресе, начинающемся на «t2w…». Попытка прямого доступа к этому адресу приводила на пустую страницу.

⏺Тогда исследователь подумал о том, что при поиске IP-адресов даркнет-сайтов обычно проверяется исходный код сайта, SSL-сертификат, заголовки ответов и так далее. Это делается для того, чтобы получить уникальные строки и фингерпринтинг, которые затем можно использовать в Shodan, Censys и других аналогичных сервисах, для обнаружения реального IP-адреса ресурса.

Однако исходный код сайта в данном случае получить не удалось.

Тогда Sh1ttyKids проверил хэдеры ответов, ведь если они содержат уникальную строку, их можно использовать для получения IP-адреса источника.

В итоге исследователь пришел к вводу, что даже ETag в хэдере ответа может принести пользу. Через Shodan он поискал полученный от сайта Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение.

При попытке получить доступ к этому IP-адресу напрямую, можно было обнаружить лишь пустую страницу, точно так же, как и при прямом доступе к адресу t2w5by<…>.onion.

Однако проверив заголовки ответа, исследователь обнаружил тот же самый ETag.

Затем Sh1ttyKids попытался загрузить файл с одинаковым именем с Onion-адреса и по IP-адресу, в итоге подтвердив, что файл обнаруживается в обоих случаях.

Таким образом, исследователь пришел к выводу, что исходный IP-адрес Onion-сайта t2w5by<…>.onion — это 5[.]45[.]65[.]52. Более того, спустя время обнаружилось, что обнаруженный специалистом адрес 5[.]45[.] 65[.]52 фигурирует в отчете ФБР.

Sh1ttyKids отмечет, что эту информацию могут использовать правоохранительные органы, ведь знание IP-адреса потенциально может помочь им захватить сервер и использовать его в расследовании.

🥸 godnoTECH

Программа обратной релокации для IТ-специалистов не потребовалась, айтишники возвращаются в Россию, заявил глава Минцифры Максут Шадаев.

Тренд на возвращение, по его словам, подтвердили и несколько российских IТ-компаний.

🥸 godnoTECH

Новая прошивка ASUS закрывает дыры в безопасности роутеров

ASUS выпустила обновление прошивки для своих роутеров, исправляющее девять уязвимостей различной степени опасности.

Среди уязвимостей две критические: CVE-2022-26376 и CVE-2018-1160. Первая — это ошибка в прошивке Asuswrt, которая может привести к отказу в обслуживании или выполнению произвольного кода на роутере. Вторая — это старая уязвимость в Netatalk, которая также позволяет злоумышленникам получить контроль над устройством.

Обновление прошивки касается следующих моделей роутеров: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.

🥸 godnoTECH

Аэропорт Пулково перешёл на российское ПО

Пулково перевёл на российское ПО инфраструктуру стоек регистрации и выходов на посадку. Так, платформа «Аист» предназначена для работы авиакомпаний на единой инфраструктуре и с различными периферийными устройствами.

На новую платформу перевели 175 рабочих мест, на которых обслуживают более 40 авиакомпаний и через которые в сутки проходит около 70 тысяч человек.

Ранее Пулково внедрил систему многофакторных проверок документов и данных пассажиров и учёта мобильных посадочных талонов «СпецКонтроль». Сейчас продолжается работа над проектом системы контроля багажа. В компании рассчитывают создать комплексную услугу, которая будет формировать единый цифровой путь пассажира.

🥸 godnoTECH

Каждый пятый россиянин хотя бы раз пробовал троллить телефонных или онлайн-мошенников

При этом мужчины поступали подобным образом чаще женщин — 26,5% против 14,5%.

Почти каждый десятый (8%) опрошенный ругался со злоумышленниками, еще 6% — унижали их, а 4% разговаривали с ними о жизни. Еще 2% респондентов пытались уговорить злоумышленников не заниматься мошенничеством.

При этом большинство опрошенных (61%) сообщил, что сразу кладут трубку или перестают отвечать мошенникам в интернете.

🥸 godnoTECH

Теперь за использование зарубежных мессенджеров при оказании госуслуг будут штрафовать

Штраф за передачу персональных данных через зарубежные мессенджеры при оказании госуслуг в соответствии с новым законом составит от 30 тыс. до 50 тыс. рублей для должностных лиц и от 100 тыс. до 700 тыс. рублей для юридических лиц.

🥸 godnoTECH