🚘 🌚 Автомобильная компания Toyota вновь стала жертвой киберпреступников. Хакерская группа ZeroSevenGroup опубликовала на форуме архив с 240 ГБ данных, украденных из систем американского филиала Toyota.

В числе похищенной информации оказались данные сотрудников, клиентов, контракты, финансовая информация и сетевая инфраструктура. Хакеры использовали инструмент ADRecon для извлечения информации из сред Active Directory.

Toyota подтвердила утечку, но не раскрыла подробности.

Подробнее: https://extrim-security.ru/news-ib/tpost/3nfrcjdkz1-toyota-240-gb-dannih-utekli-v-set

📨 Xeon Sender - инструмент для проведения масштабных атак SMS-фишинга и спам-кампаний. Он использует API легитимных сервисов, таких как Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt и Twilio, для отправки SMS-сообщений.

Злоумышленники могут получить доступ к этим сервисам, используя украденные учетные данные или поддельные профили. Xeon Sender позволяет злоумышленникам отправлять миллионы SMS-сообщений за короткий промежуток времени, что делает их атаки очень эффективными.

Распространение Xeon Sender происходит через Telegram и хакерские форумы. Важно отметить, что активность злоумышленников не связана с уязвимостями, присущими самим сервисам, а основывается на злоупотреблении их легитимными API.

Подробнее: https://extrim-security.ru/news-ib/tpost/vv77eu7zv1-xeon-sender-stala-novoi-vozmozhnostyu-dl

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

📅 Практически каждый день в тематических новостных каналах ИБ появляются новости об утечках информации у компаний. С этой проблемой сталкиваются не только в России, наоборот, ее можно назвать проблемой мирового масштаба.

💡 В нашем четвертом выпуске мы разбираем деликатные подробности причин и последствий утечек данных. Совместно со Станиславом Юдинских, менеджером проектов команды StaffCop.

Слушать на Яндекс.Музыке, СберЗвуке и mave. Или прямо на нашем сайте

UPD: Теперь и в тг такая возможность есть)

🪟 👈🏻 Пользователи столкнулись с проблемами после августовского обновления, когда устройства с включенным Secure Boot, на которых установлены Windows и Linux, перестали работать.

Разработчики Microsoft установили Secure Boot Advanced Targeting (SBAT) для блокировки загрузчиков Linux, не защищенных от уязвимости CVE-2022-2601, чтобы повысить безопасность Windows. Однако, несмотря на заявления Microsoft, многие пользователи Linux обнаружили, что их системы перестали загружаться после установки августовских обновлений Windows.

Пользователи, пытающиеся решить проблему самостоятельно, сообщают, что удаление SBAT, удаление установки Windows и восстановление заводских настроек Secure Boot не помогают.

Подробнее: https://extrim-security.ru/news-ib/tpost/fhyvrkx0r1-avgustovskoe-obnovlenie-windows-sluchain

🌐 Разработчики Google выпустили экстренное обновление для браузера Chrome, которое исправляет несколько уязвимостей, включая 0-day баг, уже использованный в реальных атаках.

Одна из уязвимостей - CVE-2024-7971 - была обнаружена в JavaScript-движке V8 и относится к типу type confusion.

Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 для Linux, которое будет распространено среди всех пользователей Chrome в ближайшие недели.

Подробнее: https://extrim-security.ru/news-ib/tpost/631yl0hif1-chrome-devyatii-0-day-za-god-i-drugie-uy

💀 В начале 2024 года была обнаружена серьезная уязвимость в системе Microsoft 365 Copilot, которая могла использоваться для хищения данных.

Эта уязвимость, известная как "контрабанда ASCII", использовала специальные символы Unicode, визуально неотличимые от обычных символов ASCII, чтобы скрывать вредоносные гиперссылки в документах, генерируемых Copilot.

Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.

Подробнее: https://extrim-security.ru/news-ib/tpost/dkin6xf7b1-nevidimaya-opasnost-kak-zloumishlenniki

👾 Киберпреступники звонят директорам организаций по видеосвязи через сервисы вроде Zoom, Skype или Microsoft Teams. Во время разговора они записывают видео, которое затем используют в переписке с другими сотрудниками компании.

Видеозапись разговора с директором, особенно в знакомом офисе, создает у сотрудников ощущение подлинности и достоверности. Мошенники могут использовать запись фрагмента разговора, где директор говорит о чем-то нейтральном, чтобы вызвать у сотрудников ложное чувство безопасности.

Один из примеров такой схемы – когда мошенник от имени директора сообщает жертве о предложении предоставить конфиденциальные сведения о другой организации, предлагая обсудить это в чате и требуя сохранить беседу в тайне.

Подробнее: https://extrim-security.ru/news-ib/tpost/xis2p80u71-zloumishlenniki-ispolzuyut-videosvyaz-dl

👁 Вышла интересная статья о том, что было замечено, что злоумышленники, стоящие за группой программ-вымогателей BlackByte, вероятно, используют недавно исправленную уязвимость в системе безопасности, влияющую на гипервизоры VMware ESXi, а также используют различные уязвимые драйверы для отключения средств защиты.

Краткие факты об этой новости:

Злоумышленники, стоящие за BlackByte, используют недавно исправленный недостаток безопасности в VMware ESXi и уязвимые драйверы для отключения защиты.

Использование CVE-2024-37085 является признаком отказа группы от устоявшихся подходов.

BlackByte дебютировал во второй половине 2021 года и является одним из вариантов программы-вымогателя, появившихся перед закрытием Conti.

Существует множество вариантов программы-вымогателя на C, .NET и Go.

Trustwave выпустила дешифратор для BlackByte в октябре 2021 года, но группа продолжает совершенствовать методы работы.

Cisco Talos заявила, что проникновение, вероятно, было облегчено использованием действительных учетных данных для доступа к VPN-сети организации-жертвы.

Подробнее: https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html

Интересная короткая заметка как обнаружить своими силами один из возможных векторов атак от злоумышленников

Обращаем внимание на ссылки в посте! Они ведут на полезную информацию, которая раскрывает тему в полном объеме :)

В прошлом посте описывали пробив через уязвимость WinRAR, который используется многими атакующими в этом году. Например, хакерская группировка Head Mare часто применяет такую технику для компрометации своих жертв.

С деталями работы этой группировки, атакующей компании в России и Беларуси, можно ознакомиться в отдельном отчёте наших коллег. А здесь мы сконцентрируемся на таком интересном вопросе: какой самый дешёвый способ обнаружить атаку Head Mare до этапа влияния?

На этапе разведки (при включённом журналировании командных строк или EDRе) мы увидим вот такие команды:

cmd /c “echo %USERDOMAIN%”
arp -a
cmd /c “cd /d $selfpath && whoami”
cmd /c “cd /d $appdata && powershell Get-ScheduledTask -TaskName “WindowsCore””

Чтобы установить, насколько критичны подобные события и как далеко продвинулся атакующий в инциденте, необходимо посмотреть:
– привилегии пользователя, от которого запускали команды,
– что потенциально могло утечь из памяти (lsass) и/или hive-ов реестра с кредами.

Если есть привилегированные пользователи домена, то оперативность и размах реагирования должны быть масштабными: например, не просто саспенды и смена паролей пользователям, а отключение сетевой связности. И самое главное – необходимо сразу начинать восстанавливать хронологию атаки до первоначального пробива.

Безусловно, это не весь арсенал команд из разведки – пример большого списка смотрите здесь. Но мы отметили самые распространённые команды, которые будут использованы для первого получения доступа.

🤕 Белый хакер Алон Левиев представил на конференции Black Hat инструмент под названием Windows Downdate, позволяющий откатить систему Windows до ранних версий с серьезными уязвимостями.

Этот инструмент использует технические уловки для отката ключевых компонентов операционной системы, включая виртуализацию Hyper-V, ядро системы и драйверы NTFS. Таким образом, он возвращает системе уязвимости, уже исправленные в более новых версиях, что позволяет злоумышленникам использовать известные эксплойты для получения полного контроля над компьютером.

Левиев выложил Windows Downdate в открытый доступ на GitHub, заявив, что его цель - привлечь внимание к проблеме безопасности и побудить разработчиков к действию.

Новость: https://extrim-security.ru/news-ib/tpost/k393l72dt1-teper-lyuboi-mozhet-vzlomat-kompyuter-da

🕹 Злоумышленники используют поддельные пакеты npm для атаки на разработчиков. Один из примеров - кампания с использованием поддельных пакетов "noblox.js". Создаются десятки пакетов, имитирующих легитимные библиотеки.

Они получают видимость легитимности, используя такие названия, как "noblox.js-async", "noblox.js-thread", "noblox.js-threads" и "noblox.js-api". Разработчики, не подозревая о подделке, устанавливают вредоносные пакеты, что приводит к компрометации их систем.

Злоумышленники могут использовать эти пакеты для кражи токенов доступа, паролей и другой ценной информации. Поддельные пакеты также могут использоваться для установки вредоносного ПО, которое может повредить систему или получить полный контроль над компьютером.

Подробнее: https://extrim-security.ru/news-ib/tpost/katmy1p191-nobloxjs-lovushka-dlya-razrabotchikov-ro

🖇 Вредоносная кампания "Волдеморт" использует Google Таблицы для заманивания жертв. Злоумышленники, маскирующиеся под налоговые органы, рассылают фишинговые письма с информацией о налогах. Кампания началась 5 августа 2024 года и атаковала более 70 организаций.

При переходе по ссылке из письма, получатель попадает на лендинг, который проверяет User Agent браузера. Если это Windows, то он перенаправляется на URI TryCloudflare, что является признаком бэкдора "Волдеморт".

Этот бэкдор предназначен для сбора информации и доставки дополнительных полезных нагрузок, что позволяет атакующим получить доступ к данным с устройства жертвы и даже получить полный контроль над системой.

Подробнее: https://extrim-security.ru/news-ib/tpost/oc2uttkjy1-novaya-vredonosnaya-kampaniya-voldemort

🐉 Традиционные антивирусы оказываются бессильными перед новыми, изощренными атаками, такими как использование уязвимости CVE-2023-22527 в продуктах Atlassian Confluence Data Center и Confluence Server для внедрения бэкдора Godzilla.

Ошибка CVE-2023-22527 позволяет злоумышленникам выполнять произвольный код на уязвимых серверах Atlassian, получая полный контроль над системой. Godzilla - это веб-шелл, разработанный китайским хакером «BeichenDream», который использует AES-шифрование для маскировки своих действий.

Атака начинается с внедрения вредоносного кода через уязвимость CVE-2023-22527, затем хакеры используют сложные многоэтапные действия, включая инъекцию кода в оперативную память сервера. Godzilla работает в оперативной памяти, не оставляя следов на жестком диске, делая его практически невидимым для традиционных антивирусных программ.

Подробнее: https://extrim-security.ru/news-ib/tpost/zvrc4fi6c1-godzilla-nanosit-udar

Надеемся, не жиза 🤪

🌐 ФСТЭК России предупредила о критической уязвимости в веб-сервере Apache, получившей идентификатор CVE-2024-38474 и оценку CVSS 9.8.

Уязвимость затрагивает версии 2.4.60 и 2.4.61 и позволяет удаленному злоумышленнику выполнять произвольный код на сервере. Проблема связана с функцией mod_rewrite веб-сервера Apache HTTP Server.

Уязвимость касается только Apache HTTP Server под Windows. Злоумышленник может использовать уязвимость для утечки NTLM-хэшей и компрометации учетных записей пользователей, что приводит к захвату контроля над сервером.

Подробнее: https://extrim-security.ru/news-ib/tpost/xclhddvf61-apache-pod-ugrozoi-sereznaya-uyazvimost

Аналитики компании McAfee выявили наличие вредоносного ПО SpyAgent в 280 различных приложениях для платформы Android.

Это вредоносное ПО использует технологию оптического распознавания символов (OCR) для похищения seed-фраз, то есть фраз восстановления, которые служат резервным ключом для криптовалютных кошельков. Фразы восстановления обычно представляют собой последовательность из 12-24 слов и используются для восстановления доступа к криптокошелькам.

Подробнее: https://extrim-security.ru/news-ib/tpost/f8j23ojm91-280-android-prilozhenii-zarazheni-spyage

☁️ Атака по побочному каналу под названием РЭМБО использует радиосигналы, исходящие от оперативной памяти устройств, для кражи данных.

Это представляет серьезную угрозу для сетей с воздушным зазором, которые считаются наиболее защищенными от кибератак. Вредоносное ПО, внедренное в систему, кодирует конфиденциальную информацию в радиосигналы, которые затем излучаются RAM. Сигналы могут быть перехвачены с помощью SDR-оборудования и обычной антенны на расстоянии.

Подробнее: https://extrim-security.ru/news-ib/tpost/mbzo7kua81-novaya-ataka-po-pobochnomu-kanalu-ugrozh

Атака PIXHELL: похищение данных с помощью шума экрана

Известно, что злоумышленники могут использовать компьютерные динамики для утечки данных через звук, обходя защиту воздушного зазора. Чтобы противостоять этой угрозе, при работе с особо чувствительными данными может быть введено ограничение на использование громкоговорителей или аудиооборудования.

PIXHELL — новый тип атаки скрытого канала, позволяющей хакерам передавать информацию через шум, создаваемый пикселями экрана. Как написал в своей статье руководитель Лаборатории исследований наступательной кибербезопасности на кафедре разработки программного обеспечения и информационных систем в Университете имени Бен-Гуриона в Негеве, для этого не требуется аудиооборудование или динамики. Вредоносный код создаёт специальные шаблоны пикселей, которые генерируют шум в диапазоне частот от 0 до 22 кГц.

Подробнее: https://extrim-security.ru/news-ib/tpost/7zsfdzzb71-ataka-pixhell-pohischenie-dannih-s-pomos

🖥 Компания Microsoft выпустила обновление безопасности, Patch Tuesday, в сентябре 2024 года, которое устраняет 79 уязвимостей в операционной системе Windows. Среди этих уязвимостей есть три, которые уже активно используются злоумышленниками, а также одна ошибка, которая, по мнению Microsoft, является "эксплуатируемой".

Одна из наиболее серьезных уязвимостей, CVE-2024-43491, позволяет злоумышленникам выполнять произвольный код на компьютере жертвы, получая полный контроль над системой. Еще две важные уязвимости, CVE-2024-38226 и CVE-2024-38217, позволяют обходить функции безопасности, блокирующие запуск макросов Microsoft Office. Эти уязвимости требуют от злоумышленника создания специального файла и убеждения цели открыть его. Для использования CVE-2024-38226 злоумышленнику требуется прохождение аутентификации и наличие локального доступа к системе.

Подробнее: https://extrim-security.ru/news-ib/tpost/4fcobfxor1-microsoft-vipustil-ispravleniya-dlya-79

🤖 Исследователи кибербезопасности обнаружили новую вредоносную кампанию, использующую уязвимости в Linux-системах для майнинга криптовалют и DDoS-атак. Основой кампании является вредоносное ПО Hadooken, которое разработано для заражения серверов Oracle Weblogic.

Hadooken использует цепочку атак, начиная с эксплуатации известных уязвимостей и заканчивая извлечением самого ПО с удаленных серверов. После проникновения Hadooken удаляет другое вредоносное ПО Tsunami и запускает майнер криптовалюты, используя вычислительные ресурсы зараженного сервера. Затем скрипт оболочки Hadooken анализирует данные SSH для распространения на другие серверы в сети.

Таким образом, Hadooken создает ботнет для DDoS-атак и майнинга. Зараженные серверы используются для майнинга без ведома владельцев, что приводит к значительным затратам на электроэнергию и снижению производительности.

Подробнее: https://extrim-security.ru/news-ib/tpost/mjjby7ohz1-novaya-ugroza-dlya-linux-sistem-sochetay