Надеемся, не жиза 🤪

🌐 ФСТЭК России предупредила о критической уязвимости в веб-сервере Apache, получившей идентификатор CVE-2024-38474 и оценку CVSS 9.8.

Уязвимость затрагивает версии 2.4.60 и 2.4.61 и позволяет удаленному злоумышленнику выполнять произвольный код на сервере. Проблема связана с функцией mod_rewrite веб-сервера Apache HTTP Server.

Уязвимость касается только Apache HTTP Server под Windows. Злоумышленник может использовать уязвимость для утечки NTLM-хэшей и компрометации учетных записей пользователей, что приводит к захвату контроля над сервером.

Подробнее: https://extrim-security.ru/news-ib/tpost/xclhddvf61-apache-pod-ugrozoi-sereznaya-uyazvimost

Аналитики компании McAfee выявили наличие вредоносного ПО SpyAgent в 280 различных приложениях для платформы Android.

Это вредоносное ПО использует технологию оптического распознавания символов (OCR) для похищения seed-фраз, то есть фраз восстановления, которые служат резервным ключом для криптовалютных кошельков. Фразы восстановления обычно представляют собой последовательность из 12-24 слов и используются для восстановления доступа к криптокошелькам.

Подробнее: https://extrim-security.ru/news-ib/tpost/f8j23ojm91-280-android-prilozhenii-zarazheni-spyage

☁️ Атака по побочному каналу под названием РЭМБО использует радиосигналы, исходящие от оперативной памяти устройств, для кражи данных.

Это представляет серьезную угрозу для сетей с воздушным зазором, которые считаются наиболее защищенными от кибератак. Вредоносное ПО, внедренное в систему, кодирует конфиденциальную информацию в радиосигналы, которые затем излучаются RAM. Сигналы могут быть перехвачены с помощью SDR-оборудования и обычной антенны на расстоянии.

Подробнее: https://extrim-security.ru/news-ib/tpost/mbzo7kua81-novaya-ataka-po-pobochnomu-kanalu-ugrozh

Атака PIXHELL: похищение данных с помощью шума экрана

Известно, что злоумышленники могут использовать компьютерные динамики для утечки данных через звук, обходя защиту воздушного зазора. Чтобы противостоять этой угрозе, при работе с особо чувствительными данными может быть введено ограничение на использование громкоговорителей или аудиооборудования.

PIXHELL — новый тип атаки скрытого канала, позволяющей хакерам передавать информацию через шум, создаваемый пикселями экрана. Как написал в своей статье руководитель Лаборатории исследований наступательной кибербезопасности на кафедре разработки программного обеспечения и информационных систем в Университете имени Бен-Гуриона в Негеве, для этого не требуется аудиооборудование или динамики. Вредоносный код создаёт специальные шаблоны пикселей, которые генерируют шум в диапазоне частот от 0 до 22 кГц.

Подробнее: https://extrim-security.ru/news-ib/tpost/7zsfdzzb71-ataka-pixhell-pohischenie-dannih-s-pomos

🖥 Компания Microsoft выпустила обновление безопасности, Patch Tuesday, в сентябре 2024 года, которое устраняет 79 уязвимостей в операционной системе Windows. Среди этих уязвимостей есть три, которые уже активно используются злоумышленниками, а также одна ошибка, которая, по мнению Microsoft, является "эксплуатируемой".

Одна из наиболее серьезных уязвимостей, CVE-2024-43491, позволяет злоумышленникам выполнять произвольный код на компьютере жертвы, получая полный контроль над системой. Еще две важные уязвимости, CVE-2024-38226 и CVE-2024-38217, позволяют обходить функции безопасности, блокирующие запуск макросов Microsoft Office. Эти уязвимости требуют от злоумышленника создания специального файла и убеждения цели открыть его. Для использования CVE-2024-38226 злоумышленнику требуется прохождение аутентификации и наличие локального доступа к системе.

Подробнее: https://extrim-security.ru/news-ib/tpost/4fcobfxor1-microsoft-vipustil-ispravleniya-dlya-79

🤖 Исследователи кибербезопасности обнаружили новую вредоносную кампанию, использующую уязвимости в Linux-системах для майнинга криптовалют и DDoS-атак. Основой кампании является вредоносное ПО Hadooken, которое разработано для заражения серверов Oracle Weblogic.

Hadooken использует цепочку атак, начиная с эксплуатации известных уязвимостей и заканчивая извлечением самого ПО с удаленных серверов. После проникновения Hadooken удаляет другое вредоносное ПО Tsunami и запускает майнер криптовалюты, используя вычислительные ресурсы зараженного сервера. Затем скрипт оболочки Hadooken анализирует данные SSH для распространения на другие серверы в сети.

Таким образом, Hadooken создает ботнет для DDoS-атак и майнинга. Зараженные серверы используются для майнинга без ведома владельцев, что приводит к значительным затратам на электроэнергию и снижению производительности.

Подробнее: https://extrim-security.ru/news-ib/tpost/mjjby7ohz1-novaya-ugroza-dlya-linux-sistem-sochetay

🕸 Специалисты "Доктор Веб" обнаружили новый бэкдор, получивший название Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок на базе Android в 197 странах мира.

Android.Vo1d способен скрытно загружать и устанавливать на устройства стороннее ПО, представляя серьезную угрозу для пользователей. Он внедряет свои компоненты в системную область устройства, оставаясь незаметным для стандартных антивирусных средств.

На одной из затронутых приставок были изменены объекты install-recoverysh и daemonsu, а также появились новые файлы: /system/xbin/vo1d, /system/xbin/wd, /system/bin/debuggerd, /system/bin/debuggerd_real.

Подробнее: https://extrim-security.ru/news-ib/tpost/eyj3a5omv1-novii-bekdor-androidvo1d

🪐 15 сентября 2024 года научный сотрудник НАСА Кайл Кабасарес потряс мир науки своим сообщением. Он рассказал о том, как нейросеть OpenAI ChatGPT o1 за час создала рабочий код для его докторской диссертации, над которым он самостоятельно работал 10 месяцев.

Нейросеть сгенерировала код, способный обрабатывать данные и выполнять необходимые вычисления, используя всего шесть запросов.

Важно отметить, что этот код был создан для работы с синтетическими данными, а не с реальными астрономическими данными. Для полноценной работы программы потребуется дополнительная информация и использование специализированного программного обеспечения.

Подробнее: https://extrim-security.ru/news-ib/tpost/lkbovink31-iskusstvennii-intellekt-v-nauke-chatgpt

58% компаний сталкиваются с атаками на свою инфраструктуру два раза в год и более

Компания Гарда выпустила итоги опроса, в котором приводится статистика взаимодействия компаний с кибератаками

Самые распространенные атаки за прошедший год: фишинг, DDoS-атака, социальная инженерия

- 79% компаний столкнулись с фишингом🎏

- половина была подвержена DDoS-атаке🤖

- у 67% опрошенных стоят файерволы, на втором месте по популярности SIEM системы, третье место занимает WAF🛡

- 6% готовы полностью перейти на автоматическое реагирование, без участия специалистов ИБ⚙️

- 41% готовы или уже внедрили систему автоматического оповещения о возникновении инцидента💡

NetCase Day - это новый формат мероприятия.

Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies. Уже завтра, 24 сентября в 16:00 по мск, пользователи будут делиться своим опытом работы с PT NAD и PT Sandbox.

Рассматривать будем с трех сторон: разработчики, интеграторы и заказчики.

Взгляд интегратора на PT NAD будет представлять наш эксперт по сетевой безопасности!

Регистрируйтесь и слушайте профессионалов! 😎

🔨 Исследователи кибербезопасности из голландской компании ThreatFabric обнаружили новую версию банковского трояна для Android, получившего название Octo2.

Эта версия представляет собой серьёзную угрозу для пользователей, так как обладает улучшенными возможностями для захвата устройств (DTO) и осуществления мошеннических транзакций. Octo2 является эволюцией трояна Octo, замеченного в начале 2022 года. Разработчики уделили особое внимание стабильности функций DTO, что повышает эффективность атак.

Octo2 распространяется через вредоносные приложения, маскирующиеся под популярные программы. Основные цели злоумышленников – пользователи в Италии, Польше, Молдове и Венгрии.

Подробнее: https://extrim-security.ru/news-ib/tpost/950dlndcp1-octo2-evolyutsiya-bankovskogo-troyana-dl

💀 Уязвимость CVE-2024-7593, которая затрагивает Ivanti Virtual Traffic Manager (vTM). Она получила высокую оценку опасности CVSS 9,8 и может позволить злоумышленнику обойти систему защиты и получить доступ к панели администратора без прохождения аутентификации. Это дает возможность создать фиктивные учетные записи с правами администратора и полностью контролировать устройство.

Незаконное проникновение в систему vTM может привести к хищению данных, перехвату трафика, несанкционированному доступу к чувствительной информации и даже к полной потере контроля над сетью. Злоумышленники могут использовать доступ к vTM для запуска вредоносных программ, дискредитации сети и проведения DDoS-атак.

Подробнее: https://extrim-security.ru/news-ib/tpost/dl5tbxoag1-kriticheskaya-uyazvimost-ivanti-vtm-i-pr

🦊 Некоммерческая организация по защите персональных данных noyb, базирующаяся в Вене, подала жалобу на разработчика браузера Firefox, компанию Mozilla. Причиной стал спор вокруг новой функции браузера под названием Privacy-Conservating Attribution (PPA).

По мнению noyb, данная функция нарушает право пользователей на неприкосновенность частной жизни, так как была включена по умолчанию без явного согласия пользователей. noyb также утверждает, что PPA позволяет Firefox тайно отслеживать поведение пользователей на веб-сайтах, перекладывая ответственность за отслеживание с веб-сайтов на браузер.

Mozilla, в свою очередь, заявляет, что PPA - это неинвазивный способ для сайтов понять, как работает их реклама, без сбора данных об отдельных людях. Компания позиционирует PPA как альтернативу межсайтовому отслеживанию, которое считается нарушением конфиденциальности.

Однако, существует спор о том, насколько PPA действительно защищает конфиденциальность пользователей. noyb считает, что технология создает новый уровень отслеживания, скрытый от пользователей. Mozilla же утверждает, что это шаг в направлении более конфиденциального интернета.

Подробнее: https://extrim-security.ru/news-ib/tpost/z878a8n9b1-noyb-obvinyaet-firefox-v-skritom-otslezh

🌚🚘 Специалисты по кибербезопасности выявили уязвимости в автомобилях Kia, позволяющие злоумышленникам удаленно управлять функциями транспортного средства через его номерной знак.

Атаки могут быть выполнены за 30 секунд на любом автомобиле, выпущенном после 2013 года, независимо от подписки Kia Connect. Уязвимости затрагивают конфиденциальную информацию владельца, включая имя, номер телефона, адрес электронной почты и физический адрес.

Злоумышленник может добавить себя в качестве второго пользователя автомобиля, используя инфраструктуру дилерского центра Kia для регистрации поддельных учетных записей. Жертва не получает уведомлений и её права доступа не изменяются, что позволяет злоумышленнику отслеживать владельца и отправлять команды, такие как разблокировка или гудок.

Подробнее: https://extrim-security.ru/news-ib/tpost/uppta6isl1-kia-stali-uyazvimi-dlya-atak-na-rasstoya

🕹 Исследователи из компании Wiz обнаружили критическую уязвимость в инструменте Nvidia Container Toolkit, используемом в облачных средах и для ИИ.

Уязвимость типа TOCTOU позволяет злоумышленникам выйти из контейнеров и получить контроль над хост-системой, что может привести к выполнению вредоносного кода и раскрытию информации. Проблема затрагивает версии до 1.16.1 Toolkit и до 24.6.1 GPU Operator, и уже затронула более 35% облачных сред с GPU Nvidia.

Уязвимость возникает из-за доступа ИИ-приложений к GPU в контейнерных средах, что оптимизирует производительность, но также может использоваться для выхода из контейнера и доступа к хосту, особенно в многопользовательских средах.

Подробнее: https://extrim-security.ru/news-ib/tpost/b8d71az6x1-seryoznaya-uyazvimost-v-instrumente-nvid

💸 В России распространяется новый вид мошенничества с использованием троянских программ, имитирующих уведомления от банков. Вредоносное ПО попадает на телефон жертвы через фишинговые письма, например, от "Госуслуг".

После установки трояна на устройство, он блокирует экран и показывает ложные уведомления о списаниях средств, а затем звонит мошенник, выдающий себя за сотрудника банка. Он требует предоставить платежную информацию для защиты денег.

Злоумышленники не получают полный доступ к устройству, и приходящие уведомления являются поддельными. Жертва, паникуя, доверяет мошенникам и предоставляет данные для входа в онлайн-банк или переводит средства на "безопасный счет". Для удаления вируса обычно достаточно сбросить телефон до заводских настроек.

Подробнее: https://extrim-security.ru/news-ib/tpost/s5xx99cgv1-troyanskie-programmi-imitiruyut-uvedomle

🌐 Компания Microsoft сообщила об изменении тактики группировки хакеров Storm-0501, которая теперь нацелена на гибридные облачные среды. Специалисты обнаружили, что группировка использует вымогатель Embargo для атак на системы жертв, включая больницы, правительственные учреждения и производственные компании.

Хакеры получают доступ к облачным средам, используя слабые учётные данные и известные уязвимости, а затем применяют привилегированные учётные записи для кражи данных и развёртывания вымогательской нагрузки.

Подробнее: https://extrim-security.ru/news-ib/tpost/txi1tyas01-ataka-storm-0501-novaya-ugroza-dlya-gibr

💢 Компания The Browser Company объявила о запуске программы вознаграждения за обнаружение уязвимостей после обнаружения критической уязвимости CVE-2024-45489 в своем браузере Arc.

Уязвимость позволяла злоумышленникам совершать массовые атаки через использование Firebase для аутентификации и управления базами данных. Исследователь, обнаруживший проблему, назвал её «катастрофической», и она была устранена 26 августа после получения вознаграждения в 2000 долларов.

Теперь компания предлагает вознаграждения за обнаружение уязвимостей, варьирующиеся от 500 до 20 000 долларов, для macOS, Windows и iOS версий Arc. В связи с уязвимостью была отключена автосинхронизация Boosts с JavaScript, и в новой версии Arc 1.61.2 появилась возможность полного отключения Boosts.

Компания также разрабатывает инструмент для отключения Boosts на уровне организаций, пересматривает процесс реагирования на инциденты и планирует расширить штат собственной команды безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/8fe2lee0n1-programma-voznagrazhdeniya-za-uyazvimost

📨 Исследователи предупреждают о высокой активности хакеров, использующих недавно обнаруженную уязвимость RCE в Zimbra, которая позволяет злоумышленникам внедрять вредоносный код через специально подготовленные письма, отправляемые на SMTP-сервер. Уязвимость затрагивает службу Zimbra postjournal и может быть эксплуатирована через поле CC письма.

Атаки начались 28 сентября 2024 года после публикации анализа уязвимости и соответствующего эксплоита. Злоумышленники отправляют письма от имени Gmail с поддельными адресами и вредоносным кодом в поле CC, который выполняется на сервере Zimbra.

Это позволяет им устанавливать веб-шелл, который прослушивает соединения и выполняет команды, включая загрузку файлов. После установки веб-шелл предоставляет полный доступ к серверу, что может быть использовано для кражи данных и продвижения внутрь сети компании-жертвы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4gbvx3ztl1-kak-hakeri-ispolzuyut-uyazvimost-v-zimbr

😎 Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies прошел, и мы делимся с вами записью трансляции!

Эксперт от Экстрим безопасность участвовал в обсуждении PT NAD. Обсудили новинки, рассказали инциденты и посмеялись с мема-победителя :)

Вырезку выступления можете посмотреть тут, а полную запись мероприятия смотрите в нашей группе вк