🌐 В мире кибербезопасности появилась новая угроза - атака "Легкой наживы" (Easy Money), которая использует слабости в системе доменных имен (DNS) для захвата доменов без взлома учетных записей владельцев. Более миллиона доменов оказались уязвимыми для этой атаки.
Злоумышленники могут использовать захваченные домены для распространения вредоносного ПО, фишинга и спама. Проблема заключается в неправильной конфигурации у регистраторов, которые могут использовать устаревшие методы проверки, позволяющие злоумышленникам подделывать запросы на изменение DNS-записей.
Подробнее: https://extrim-security.ru/news-ib/tpost/kcxnfdf9h1-legkaya-nazhiva-novaya-ugroza-dlya-domen
Злоумышленники могут использовать захваченные домены для распространения вредоносного ПО, фишинга и спама. Проблема заключается в неправильной конфигурации у регистраторов, которые могут использовать устаревшие методы проверки, позволяющие злоумышленникам подделывать запросы на изменение DNS-записей.
Подробнее: https://extrim-security.ru/news-ib/tpost/kcxnfdf9h1-legkaya-nazhiva-novaya-ugroza-dlya-domen
extrim-security.ru
"Легкая нажива": Новая угроза для доменов, которую вы не ожидаете
Более миллиона доменов оказались уязвимыми для этой атаки
🤕 Казахстан стал мишенью масштабной кибератаки, осуществляемой группировкой, получившей название "Кровавый волк". Злоумышленники используют вредоносное ПО STRRAT для проникновения в корпоративные сети и кражи конфиденциальных данных.
Он способен выполнять широкий спектр задач: удаленный контроль, кража данных, персистенция, сетевая активность. Все пошаговые действия направлены на кражу данных и использование их в корыстных целях.
По классике: первый ход атаки - это фишинговые письма💀
Подробнее: https://extrim-security.ru/news-ib/tpost/ekhh6se3a1-krovavii-volk-napadaet-na-kazahstan
Он способен выполнять широкий спектр задач: удаленный контроль, кража данных, персистенция, сетевая активность. Все пошаговые действия направлены на кражу данных и использование их в корыстных целях.
По классике: первый ход атаки - это фишинговые письма💀
Подробнее: https://extrim-security.ru/news-ib/tpost/ekhh6se3a1-krovavii-volk-napadaet-na-kazahstan
extrim-security.ru
"Кровавый волк" нападает на Казахстан
Вредоносное ПО STRRAT используется для кражи конфиденциальных данных
⚙️ Исследователи из Технического университета Граца обнаружили новую атаку на ядро Linux, названную SLUBStick.
Она использует уязвимости в системе управления памятью SLUB и представляет серьезную угрозу для безопасности. Атака основана на "уязвимости кучи" и "побочном канале синхронизации", позволяющих злоумышленнику манипулировать памятью.
SLUBStick демонстрирует высокую эффективность, работая на 99% версий ядра Linux 5.9 и 6.2, обходя современные механизмы защиты.
Подробнее: https://extrim-security.ru/news-ib/tpost/kch7y71nf1-slubstick-novaya-ugroza-dlya-yadra-linux
Она использует уязвимости в системе управления памятью SLUB и представляет серьезную угрозу для безопасности. Атака основана на "уязвимости кучи" и "побочном канале синхронизации", позволяющих злоумышленнику манипулировать памятью.
SLUBStick демонстрирует высокую эффективность, работая на 99% версий ядра Linux 5.9 и 6.2, обходя современные механизмы защиты.
Подробнее: https://extrim-security.ru/news-ib/tpost/kch7y71nf1-slubstick-novaya-ugroza-dlya-yadra-linux
extrim-security.ru
SLUBStick. Новая угроза для ядра Linux, которая покоряет 99% систем
Лазейка находится в системе управления памятью Linux
🥷🏻 LianSpy - это шпионское ПО, которое, по данным экспертов из Kaspersky, атакует пользователей в России, по крайней мере, с 2021 года.
Это вредоносное ПО маскируется под популярные приложения, такие как Alipay, или же под системные сервисы Android, что делает его практически неотличимым от легитимного программного обеспечения.
LianSpy использует Yandex Cloud для командно-контрольных коммуникаций (C2) как способ избежать наличия выделенной инфраструктуры и избежать обнаружения.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9zdzka541-nevidimii-shpion-v-vashem-android
Это вредоносное ПО маскируется под популярные приложения, такие как Alipay, или же под системные сервисы Android, что делает его практически неотличимым от легитимного программного обеспечения.
LianSpy использует Yandex Cloud для командно-контрольных коммуникаций (C2) как способ избежать наличия выделенной инфраструктуры и избежать обнаружения.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9zdzka541-nevidimii-shpion-v-vashem-android
extrim-security.ru
Невидимый шпион в вашем Android
Пользователи в России столкнулись с ранее недокументированным шпионским ПО
🚨 В 2008 году была обнаружена уязвимость, известная как 0.0.0.0 Day, которая до сих пор не устранена в популярных браузерах.
Она позволяет вредоносным сайтам обходить защиту и взаимодействовать с сервисами в локальной сети пользователей. Уязвимость затрагивает только устройства под управлением Linux и macOS.
0.0.0.0 — это "wildcard" IP-адрес, который может олицетворять все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Браузеры обычно не запрещают сайтам отправлять запросы на этот адрес, что позволяет им взаимодействовать с сервисами в локальной сети пользователя.
Подробнее: https://extrim-security.ru/news-ib/tpost/jpi5vdtp21-0000-day-18-letnyaya-uyazvimost-kotoraya
Она позволяет вредоносным сайтам обходить защиту и взаимодействовать с сервисами в локальной сети пользователей. Уязвимость затрагивает только устройства под управлением Linux и macOS.
0.0.0.0 — это "wildcard" IP-адрес, который может олицетворять все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Браузеры обычно не запрещают сайтам отправлять запросы на этот адрес, что позволяет им взаимодействовать с сервисами в локальной сети пользователя.
Подробнее: https://extrim-security.ru/news-ib/tpost/jpi5vdtp21-0000-day-18-letnyaya-uyazvimost-kotoraya
extrim-security.ru
0.0.0.0 Day: 18-летняя уязвимость, которая до сих пор угрожает вашей безопасности
Уязвимость позволяет вредоносным сайтам обходить защиту браузеров и взаимодействовать с сервисами
🔨 Компания Microsoft сообщила о четырёх уязвимостях средней степени опасности в программном обеспечении OpenVPN. Они могут позволить злоумышленникам получить полный контроль над целевыми устройствами, что может привести к утечке данных, компрометации системы и несанкционированному доступу к конфиденциальной информации.
Уязвимости связаны с компонентами openvpnserv и драйвером Windows TAP. Для их эксплуатации злоумышленникам требуется аутентификация пользователя OpenVPN. Под угрозой находятся все версии OpenVPN до 2.6.10 и 2.5.10.
Подробнее: https://extrim-security.ru/news-ib/tpost/7x689seuj1-openvpn-pod-ugrozoi
Уязвимости связаны с компонентами openvpnserv и драйвером Windows TAP. Для их эксплуатации злоумышленникам требуется аутентификация пользователя OpenVPN. Под угрозой находятся все версии OpenVPN до 2.6.10 и 2.5.10.
Подробнее: https://extrim-security.ru/news-ib/tpost/7x689seuj1-openvpn-pod-ugrozoi
extrim-security.ru
OpenVPN под угрозой
Четыре уязвимости средней степени опасности
🗂 Компания Microsoft обнаружила уязвимость в пакете Office, которая позволяет злоумышленникам получить доступ к защищенным данным, включая хеши NTLM.
CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.
📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.
Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim
CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.
📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.
Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim
extrim-security.ru
Microsoft Office снова под угрозой
CVE-2024-38200 и уязвимость раскрытия хешей NTLM
❗️В первой половине 2024 года количество DDoS-атак увеличилось на 46% по сравнению с аналогичным периодом прошлого года. Во втором квартале 2024 года число атак достигло 445 000, демонстрируя рост на 34% по сравнению с предыдущими шестью месяцами.
Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.
Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.
Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu
Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.
Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.
Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu
extrim-security.ru
Пугающий рост DDoS-атак в 2024 году
В первом полугодии рост атак достик уже 46%, по сравнению с аналогичным периодом прошлого года. Какие показатели нас ждут в конце года?
☠️ Microsoft выпустила предупреждение о критической уязвимости TCP/IP в системах Windows с включенным IPv6.
Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.
Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.
Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6
Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.
Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.
Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6
extrim-security.ru
Угроза для всех систем Windows с IPv6
Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя.
💢 На прошлой неделе в блоге Совета по международным отношениям (CFR) была опубликована статья об импортозамещении в России.
Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.
Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.
Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c
Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.
Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.
Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c
extrim-security.ru
Как США предлагают следить за Россией через OSINT
На прошлой неделе в CFR была опубликована статья посвященная импортозамещению в РФ. В ней призвали использовать разведку для изучения защищенности Astra Linux
🚘 🌚 Автомобильная компания Toyota вновь стала жертвой киберпреступников. Хакерская группа ZeroSevenGroup опубликовала на форуме архив с 240 ГБ данных, украденных из систем американского филиала Toyota.
В числе похищенной информации оказались данные сотрудников, клиентов, контракты, финансовая информация и сетевая инфраструктура. Хакеры использовали инструмент ADRecon для извлечения информации из сред Active Directory.
Toyota подтвердила утечку, но не раскрыла подробности.
Подробнее: https://extrim-security.ru/news-ib/tpost/3nfrcjdkz1-toyota-240-gb-dannih-utekli-v-set
В числе похищенной информации оказались данные сотрудников, клиентов, контракты, финансовая информация и сетевая инфраструктура. Хакеры использовали инструмент ADRecon для извлечения информации из сред Active Directory.
Toyota подтвердила утечку, но не раскрыла подробности.
Подробнее: https://extrim-security.ru/news-ib/tpost/3nfrcjdkz1-toyota-240-gb-dannih-utekli-v-set
extrim-security.ru
Toyota: 240 ГБ данных утекли в сеть
На хакерском форуме был опубликован архив, содержащий данные, якобы похищенных из систем американского филиала Toyota.
📨 Xeon Sender - инструмент для проведения масштабных атак SMS-фишинга и спам-кампаний. Он использует API легитимных сервисов, таких как Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt и Twilio, для отправки SMS-сообщений.
Злоумышленники могут получить доступ к этим сервисам, используя украденные учетные данные или поддельные профили. Xeon Sender позволяет злоумышленникам отправлять миллионы SMS-сообщений за короткий промежуток времени, что делает их атаки очень эффективными.
Распространение Xeon Sender происходит через Telegram и хакерские форумы. Важно отметить, что активность злоумышленников не связана с уязвимостями, присущими самим сервисам, а основывается на злоупотреблении их легитимными API.
Подробнее: https://extrim-security.ru/news-ib/tpost/vv77eu7zv1-xeon-sender-stala-novoi-vozmozhnostyu-dl
Злоумышленники могут получить доступ к этим сервисам, используя украденные учетные данные или поддельные профили. Xeon Sender позволяет злоумышленникам отправлять миллионы SMS-сообщений за короткий промежуток времени, что делает их атаки очень эффективными.
Распространение Xeon Sender происходит через Telegram и хакерские форумы. Важно отметить, что активность злоумышленников не связана с уязвимостями, присущими самим сервисам, а основывается на злоупотреблении их легитимными API.
Подробнее: https://extrim-security.ru/news-ib/tpost/vv77eu7zv1-xeon-sender-stala-novoi-vozmozhnostyu-dl
extrim-security.ru
Xeon Sender стала новой возможностью для спам-рассылок
Инструмент, который позволяет злоумышленникам проводить масштабные атаки SMS-фишинга и спам-кампании, используя легитимные сервисы для рассылки сообщений
👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾
📅 Практически каждый день в тематических новостных каналах ИБ появляются новости об утечках информации у компаний. С этой проблемой сталкиваются не только в России, наоборот, ее можно назвать проблемой мирового масштаба.
💡 В нашем четвертом выпуске мы разбираем деликатные подробности причин и последствий утечек данных. Совместно со Станиславом Юдинских, менеджером проектов команды StaffCop.
Слушать на Яндекс.Музыке, СберЗвуке и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
📅 Практически каждый день в тематических новостных каналах ИБ появляются новости об утечках информации у компаний. С этой проблемой сталкиваются не только в России, наоборот, ее можно назвать проблемой мирового масштаба.
💡 В нашем четвертом выпуске мы разбираем деликатные подробности причин и последствий утечек данных. Совместно со Станиславом Юдинских, менеджером проектов команды StaffCop.
Слушать на Яндекс.Музыке, СберЗвуке и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
Яндекс Музыка
Метод хакера
Обсуждаем актуальные темы, связанные с методами борьбы со злоумышленниками, способами проникнове... • Подкаст • 104 подписчика
🪟 👈🏻 Пользователи столкнулись с проблемами после августовского обновления, когда устройства с включенным Secure Boot, на которых установлены Windows и Linux, перестали работать.
Разработчики Microsoft установили Secure Boot Advanced Targeting (SBAT) для блокировки загрузчиков Linux, не защищенных от уязвимости CVE-2022-2601, чтобы повысить безопасность Windows. Однако, несмотря на заявления Microsoft, многие пользователи Linux обнаружили, что их системы перестали загружаться после установки августовских обновлений Windows.
Пользователи, пытающиеся решить проблему самостоятельно, сообщают, что удаление SBAT, удаление установки Windows и восстановление заводских настроек Secure Boot не помогают.
Подробнее: https://extrim-security.ru/news-ib/tpost/fhyvrkx0r1-avgustovskoe-obnovlenie-windows-sluchain
Разработчики Microsoft установили Secure Boot Advanced Targeting (SBAT) для блокировки загрузчиков Linux, не защищенных от уязвимости CVE-2022-2601, чтобы повысить безопасность Windows. Однако, несмотря на заявления Microsoft, многие пользователи Linux обнаружили, что их системы перестали загружаться после установки августовских обновлений Windows.
Пользователи, пытающиеся решить проблему самостоятельно, сообщают, что удаление SBAT, удаление установки Windows и восстановление заводских настроек Secure Boot не помогают.
Подробнее: https://extrim-security.ru/news-ib/tpost/fhyvrkx0r1-avgustovskoe-obnovlenie-windows-sluchain
extrim-security.ru
Августовское обновление Windows случайно сломало системы с мультизагрузкой
Устройства с включенным Secure Boot, на которых установлены Windows и Linux, перестают работать
🌐 Разработчики Google выпустили экстренное обновление для браузера Chrome, которое исправляет несколько уязвимостей, включая 0-day баг, уже использованный в реальных атаках.
Одна из уязвимостей - CVE-2024-7971 - была обнаружена в JavaScript-движке V8 и относится к типу type confusion.
Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 для Linux, которое будет распространено среди всех пользователей Chrome в ближайшие недели.
Подробнее: https://extrim-security.ru/news-ib/tpost/631yl0hif1-chrome-devyatii-0-day-za-god-i-drugie-uy
Одна из уязвимостей - CVE-2024-7971 - была обнаружена в JavaScript-движке V8 и относится к типу type confusion.
Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 для Linux, которое будет распространено среди всех пользователей Chrome в ближайшие недели.
Подробнее: https://extrim-security.ru/news-ib/tpost/631yl0hif1-chrome-devyatii-0-day-za-god-i-drugie-uy
extrim-security.ru
Chrome: девятый 0-day за год и другие уязвимости
CVE-2024-7971: 0-day, который уже "гуляет"
💀 В начале 2024 года была обнаружена серьезная уязвимость в системе Microsoft 365 Copilot, которая могла использоваться для хищения данных.
Эта уязвимость, известная как "контрабанда ASCII", использовала специальные символы Unicode, визуально неотличимые от обычных символов ASCII, чтобы скрывать вредоносные гиперссылки в документах, генерируемых Copilot.
Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.
Подробнее: https://extrim-security.ru/news-ib/tpost/dkin6xf7b1-nevidimaya-opasnost-kak-zloumishlenniki
Эта уязвимость, известная как "контрабанда ASCII", использовала специальные символы Unicode, визуально неотличимые от обычных символов ASCII, чтобы скрывать вредоносные гиперссылки в документах, генерируемых Copilot.
Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.
Подробнее: https://extrim-security.ru/news-ib/tpost/dkin6xf7b1-nevidimaya-opasnost-kak-zloumishlenniki
extrim-security.ru
Невидимая опасность: как злоумышленники пытались украсть данные из Microsoft 365 Copilot
Метод атаки, названный "контрабандой ASCII", представлял собой нечто новое и опасное, способное обмануть даже самых бдительных пользователей.
👾 Киберпреступники звонят директорам организаций по видеосвязи через сервисы вроде Zoom, Skype или Microsoft Teams. Во время разговора они записывают видео, которое затем используют в переписке с другими сотрудниками компании.
Видеозапись разговора с директором, особенно в знакомом офисе, создает у сотрудников ощущение подлинности и достоверности. Мошенники могут использовать запись фрагмента разговора, где директор говорит о чем-то нейтральном, чтобы вызвать у сотрудников ложное чувство безопасности.
Один из примеров такой схемы – когда мошенник от имени директора сообщает жертве о предложении предоставить конфиденциальные сведения о другой организации, предлагая обсудить это в чате и требуя сохранить беседу в тайне.
Подробнее: https://extrim-security.ru/news-ib/tpost/xis2p80u71-zloumishlenniki-ispolzuyut-videosvyaz-dl
Видеозапись разговора с директором, особенно в знакомом офисе, создает у сотрудников ощущение подлинности и достоверности. Мошенники могут использовать запись фрагмента разговора, где директор говорит о чем-то нейтральном, чтобы вызвать у сотрудников ложное чувство безопасности.
Один из примеров такой схемы – когда мошенник от имени директора сообщает жертве о предложении предоставить конфиденциальные сведения о другой организации, предлагая обсудить это в чате и требуя сохранить беседу в тайне.
Подробнее: https://extrim-security.ru/news-ib/tpost/xis2p80u71-zloumishlenniki-ispolzuyut-videosvyaz-dl
extrim-security.ru
Злоумышленники используют видеосвязь для обмана
Новый виток кибермошенничества. Использовать видеозвонки для создания иллюзии подлинности и повышения доверия у жертв
👁 Вышла интересная статья о том, что было замечено, что злоумышленники, стоящие за группой программ-вымогателей BlackByte, вероятно, используют недавно исправленную уязвимость в системе безопасности, влияющую на гипервизоры VMware ESXi, а также используют различные уязвимые драйверы для отключения средств защиты.
Краткие факты об этой новости:
Злоумышленники, стоящие за BlackByte, используют недавно исправленный недостаток безопасности в VMware ESXi и уязвимые драйверы для отключения защиты.
Использование CVE-2024-37085 является признаком отказа группы от устоявшихся подходов.
BlackByte дебютировал во второй половине 2021 года и является одним из вариантов программы-вымогателя, появившихся перед закрытием Conti.
Существует множество вариантов программы-вымогателя на C, .NET и Go.
Trustwave выпустила дешифратор для BlackByte в октябре 2021 года, но группа продолжает совершенствовать методы работы.
Cisco Talos заявила, что проникновение, вероятно, было облегчено использованием действительных учетных данных для доступа к VPN-сети организации-жертвы.
Подробнее: https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html
Краткие факты об этой новости:
Злоумышленники, стоящие за BlackByte, используют недавно исправленный недостаток безопасности в VMware ESXi и уязвимые драйверы для отключения защиты.
Использование CVE-2024-37085 является признаком отказа группы от устоявшихся подходов.
BlackByte дебютировал во второй половине 2021 года и является одним из вариантов программы-вымогателя, появившихся перед закрытием Conti.
Существует множество вариантов программы-вымогателя на C, .NET и Go.
Trustwave выпустила дешифратор для BlackByte в октябре 2021 года, но группа продолжает совершенствовать методы работы.
Cisco Talos заявила, что проникновение, вероятно, было облегчено использованием действительных учетных данных для доступа к VPN-сети организации-жертвы.
Подробнее: https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html
Интересная короткая заметка как обнаружить своими силами один из возможных векторов атак от злоумышленников
Обращаем внимание на ссылки в посте! Они ведут на полезную информацию, которая раскрывает тему в полном объеме :)
Обращаем внимание на ссылки в посте! Они ведут на полезную информацию, которая раскрывает тему в полном объеме :)
Forwarded from purple shift
В прошлом посте описывали пробив через уязвимость WinRAR, который используется многими атакующими в этом году. Например, хакерская группировка Head Mare часто применяет такую технику для компрометации своих жертв.
С деталями работы этой группировки, атакующей компании в России и Беларуси, можно ознакомиться в отдельном отчёте наших коллег. А здесь мы сконцентрируемся на таком интересном вопросе: какой самый дешёвый способ обнаружить атаку Head Mare до этапа влияния?
На этапе разведки (при включённом журналировании командных строк или EDRе) мы увидим вот такие команды:
Чтобы установить, насколько критичны подобные события и как далеко продвинулся атакующий в инциденте, необходимо посмотреть:
– привилегии пользователя, от которого запускали команды,
– что потенциально могло утечь из памяти (lsass) и/или hive-ов реестра с кредами.
Если есть привилегированные пользователи домена, то оперативность и размах реагирования должны быть масштабными: например, не просто саспенды и смена паролей пользователям, а отключение сетевой связности. И самое главное – необходимо сразу начинать восстанавливать хронологию атаки до первоначального пробива.
Безусловно, это не весь арсенал команд из разведки – пример большого списка смотрите здесь. Но мы отметили самые распространённые команды, которые будут использованы для первого получения доступа.
С деталями работы этой группировки, атакующей компании в России и Беларуси, можно ознакомиться в отдельном отчёте наших коллег. А здесь мы сконцентрируемся на таком интересном вопросе: какой самый дешёвый способ обнаружить атаку Head Mare до этапа влияния?
На этапе разведки (при включённом журналировании командных строк или EDRе) мы увидим вот такие команды:
cmd /c “echo %USERDOMAIN%”
arp -a
cmd /c “cd /d $selfpath && whoami”
cmd /c “cd /d $appdata && powershell Get-ScheduledTask -TaskName “WindowsCore””
Чтобы установить, насколько критичны подобные события и как далеко продвинулся атакующий в инциденте, необходимо посмотреть:
– привилегии пользователя, от которого запускали команды,
– что потенциально могло утечь из памяти (lsass) и/или hive-ов реестра с кредами.
Если есть привилегированные пользователи домена, то оперативность и размах реагирования должны быть масштабными: например, не просто саспенды и смена паролей пользователям, а отключение сетевой связности. И самое главное – необходимо сразу начинать восстанавливать хронологию атаки до первоначального пробива.
Безусловно, это не весь арсенал команд из разведки – пример большого списка смотрите здесь. Но мы отметили самые распространённые команды, которые будут использованы для первого получения доступа.
🤕 Белый хакер Алон Левиев представил на конференции Black Hat инструмент под названием Windows Downdate, позволяющий откатить систему Windows до ранних версий с серьезными уязвимостями.
Этот инструмент использует технические уловки для отката ключевых компонентов операционной системы, включая виртуализацию Hyper-V, ядро системы и драйверы NTFS. Таким образом, он возвращает системе уязвимости, уже исправленные в более новых версиях, что позволяет злоумышленникам использовать известные эксплойты для получения полного контроля над компьютером.
Левиев выложил Windows Downdate в открытый доступ на GitHub, заявив, что его цель - привлечь внимание к проблеме безопасности и побудить разработчиков к действию.
Новость: https://extrim-security.ru/news-ib/tpost/k393l72dt1-teper-lyuboi-mozhet-vzlomat-kompyuter-da
Этот инструмент использует технические уловки для отката ключевых компонентов операционной системы, включая виртуализацию Hyper-V, ядро системы и драйверы NTFS. Таким образом, он возвращает системе уязвимости, уже исправленные в более новых версиях, что позволяет злоумышленникам использовать известные эксплойты для получения полного контроля над компьютером.
Левиев выложил Windows Downdate в открытый доступ на GitHub, заявив, что его цель - привлечь внимание к проблеме безопасности и побудить разработчиков к действию.
Новость: https://extrim-security.ru/news-ib/tpost/k393l72dt1-teper-lyuboi-mozhet-vzlomat-kompyuter-da
extrim-security.ru
Теперь любой может взломать компьютер, даже без навыков
Белый хакер Алон Левиев открывает ящик Пандоры