🌐 Компания Microsoft сообщила об изменении тактики группировки хакеров Storm-0501, которая теперь нацелена на гибридные облачные среды. Специалисты обнаружили, что группировка использует вымогатель Embargo для атак на системы жертв, включая больницы, правительственные учреждения и производственные компании.

Хакеры получают доступ к облачным средам, используя слабые учётные данные и известные уязвимости, а затем применяют привилегированные учётные записи для кражи данных и развёртывания вымогательской нагрузки.

Подробнее: https://extrim-security.ru/news-ib/tpost/txi1tyas01-ataka-storm-0501-novaya-ugroza-dlya-gibr

💢 Компания The Browser Company объявила о запуске программы вознаграждения за обнаружение уязвимостей после обнаружения критической уязвимости CVE-2024-45489 в своем браузере Arc.

Уязвимость позволяла злоумышленникам совершать массовые атаки через использование Firebase для аутентификации и управления базами данных. Исследователь, обнаруживший проблему, назвал её «катастрофической», и она была устранена 26 августа после получения вознаграждения в 2000 долларов.

Теперь компания предлагает вознаграждения за обнаружение уязвимостей, варьирующиеся от 500 до 20 000 долларов, для macOS, Windows и iOS версий Arc. В связи с уязвимостью была отключена автосинхронизация Boosts с JavaScript, и в новой версии Arc 1.61.2 появилась возможность полного отключения Boosts.

Компания также разрабатывает инструмент для отключения Boosts на уровне организаций, пересматривает процесс реагирования на инциденты и планирует расширить штат собственной команды безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/8fe2lee0n1-programma-voznagrazhdeniya-za-uyazvimost

📨 Исследователи предупреждают о высокой активности хакеров, использующих недавно обнаруженную уязвимость RCE в Zimbra, которая позволяет злоумышленникам внедрять вредоносный код через специально подготовленные письма, отправляемые на SMTP-сервер. Уязвимость затрагивает службу Zimbra postjournal и может быть эксплуатирована через поле CC письма.

Атаки начались 28 сентября 2024 года после публикации анализа уязвимости и соответствующего эксплоита. Злоумышленники отправляют письма от имени Gmail с поддельными адресами и вредоносным кодом в поле CC, который выполняется на сервере Zimbra.

Это позволяет им устанавливать веб-шелл, который прослушивает соединения и выполняет команды, включая загрузку файлов. После установки веб-шелл предоставляет полный доступ к серверу, что может быть использовано для кражи данных и продвижения внутрь сети компании-жертвы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4gbvx3ztl1-kak-hakeri-ispolzuyut-uyazvimost-v-zimbr

😎 Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies прошел, и мы делимся с вами записью трансляции!

Эксперт от Экстрим безопасность участвовал в обсуждении PT NAD. Обсудили новинки, рассказали инциденты и посмеялись с мема-победителя :)

Вырезку выступления можете посмотреть тут, а полную запись мероприятия смотрите в нашей группе вк

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

💥 Мы завершаем наш первый сезон подкастов пятым выпуском – Стратегия эшелонированной защиты!

Подвели черту тем, которые поднимали в предыдущих четырех выпусках. Эшелонированная защита – лучший способ обезопасить инфраструктуру компании комплексом мер 🧠

Кто еще может так объемно рассказать про любые классы решений? Руководитель направления ИБ департамента с перспективными вендорами! Виктор Засорин из компании Axoft 😎

1. Домашние устройства, зачем их контролировать?
2. Восстание машин уже близко
3. 🥵 Атака через кондиционер - миф или реальность?
4. Подслушивают ли нас умные колонки?
5. Готов ли бизнес РФ к пентестам?
6. 🔮 Бубен и экстрасенс - самые надежные инструменты для ИБшника
7. Бэкапы в облако или на свой сервер? Как надежнее?
8. 🤯 Стикеры с паролями под мониторами - мировой челлендж бухгалтеров

Не забываем ставить реакции и комментировать. Задавайте любые вопросы, мы разберем каждый :)

Нововведения: теперь подкаст можно слушать прямо в телеграм!
Слушать на Яндекс.Музыке, СберЗвуке, ВК и mave. Или прямо на нашем сайте

❗️Российские государственные учреждения и промышленные предприятия стали объектами продолжающейся деятельности группы хакеров под названием «Пробуждение Лихо».

Согласно «Лаборатории Касперского», злоумышленники заменили ранее используемый модуль UltraVNC на агент для легитимной платформы MeshCentral для получения удалённого доступа. Кампания, начавшаяся в июне 2024 года, в первую очередь нацелена на российские государственные учреждения, их подрядчиков и промышленные предприятия.

Группа Awaken Likho, также известная как Core Werewolf и PseudoGamaredon, действует с августа 2021 года и использует целевой фишинг для маскировки вредоносных файлов под документы Microsoft Word или PDF с двойными расширениями. Открытие этих файлов приводит к установке UltraVNC, что позволяет злоумышленникам получить полный контроль над скомпрометированными хостами.

Подробнее: https://extrim-security.ru/news-ib/tpost/zl40uchdg1-liho-razbuzheno-i-shumit

🕹 «Лаборатория Касперского» предупредила о новом типе атак, использующих майнеры для добычи криптовалюты. Эти атаки, известные как SilentCryptoMiner, осуществляются через агент SIEM-системы Wazuh, что позволяет злоумышленникам избегать обнаружения и закрепляться на устройствах пользователей.

Атакующие распространяют вредоносный код через поддельные сайты и Telegram-каналы, предлагая бесплатные загрузки программ и игр, а также используют YouTube для публикации видео с вредоносными ссылками.

После загрузки ZIP-архива с файлом MSI и текстовым документом с паролем, жертвы устанавливают вредоносный скрипт и SilentCryptoMiner. Агент Wazuh позволяет хакерам получать удаленный контроль над зараженными устройствами, собирая информацию о системе и передавая ее Telegram-боту.

Модификации вредоносного ПО также могут делать скриншоты рабочего стола, устанавливать расширения для браузера и подменять криптокошельки, извлекая прибыль путем скрытной добычи криптовалюты и совершая дополнительные вредоносные действия.

Подробнее: https://extrim-security.ru/news-ib/tpost/fop5hr84v1-tainie-maineri-novaya-ugroza-v-mire-kibe

🧹 В мае текущего года в США произошла серия атак на роботы-пылесосы Ecovacs Deebot X2. Злоумышленники использовали уязвимости в устройствах для удаленного управления, доступа к камерам и динамикам, оскорбляя владельцев и преследуя их домашних животных.

Один из пострадавших, юрист из Миннесоты Дэниел Свенсон, рассказал, что его робот-пылесос начал издавать странные звуки и транслировать расистские оскорбления, когда он попытался сбросить пароль и перезагрузить устройство. Свенсон был вынужден убрать пылесос подальше, опасаясь, что хакеры могут продолжать следить за его семьей.

В последнем выпуске подкаста мы как раз разбирали возможности слежки за пользователями через домашние устройства, один из примеров был - роботы-пылесосы. За нами и подсматривают, и подслушивают. Вы же тоже замечали появляющуюся рекламу после разговора о чем-либо? Послушайте 5 выпуск, узнаете много нового🥷🏻

Подробнее: https://extrim-security.ru/news-ib/tpost/taf5s07la1-ataki-na-pilesosi-ecovacs-rasistskie-osk

🐍 Злоумышленники используют точки входа в различных программных экосистемах, таких как PyPI, npm, Ruby Gems, NuGet, Dart Pub и Rust Crates, для проведения атак на цепочки поставок программного обеспечения.

Эти точки входа позволяют выполнять вредоносный код при выполнении определённых команд, что представляет значительный риск ввиду их изощрённого характера и способности обходить традиционные средства защиты. В языках программирования, таких как Python, точки входа — это механизм упаковки, позволяющий разработчикам предоставлять функции в виде командной оболочки.

Однако ими можно злоупотреблять для распространения вредоносного кода среди пользователей, включая взлом команд и создание вредоносных плагинов.

Подробнее: https://extrim-security.ru/news-ib/tpost/1n0mrldb81-ataki-na-tochki-vhoda-v-srede-python

🃏 Компания OpenAI заявила о пресечении более 20 попыток иностранного влияния, в которых ChatGPT использовался для разработки и отладки вредоносного ПО, распространения дезинформации и проведения фишинговых атак.

Ранее специалисты по информационной безопасности предупреждали о злоупотреблениях ИИ для создания вредоносного ПО, таких как Rhadamanthys и AsyncRAT. OpenAI подтвердила факты злоупотребления и привела примеры, когда китайские и иранские хакеры использовали ChatGPT для повышения эффективности своих операций.

Одной из таких группировок стала SweetSpecter, занимающаяся кибершпионажем и нацеленная на правительства азиатских стран. SweetSpecter проводит атаки с помощью фишинговых писем, содержащих вредоносные ZIP-архивы, замаскированные под запросы в службу поддержки. После открытия вложения запускается троян SugarGh0st RAT, проникающий в систему жертвы.

Эти атаки затронули даже электронные адреса сотрудников OpenAI, которые обнаружили, что SweetSpecter использует ChatGPT для скриптинга и анализа уязвимостей.

Подробнее: https://extrim-security.ru/news-ib/tpost/fby9ollb51-chatgpt-kak-instrument-kiberprestupnikov

📝 В сентябре 2024 года эксперты Positive Technologies обнаружили вредоносное письмо, предназначенное для неназванной государственной организации в одной из стран СНГ.

Злоумышленники использовали письмо для атаки на уязвимость CVE-2024-37383, найденную в почтовом клиенте Roundcube Webmail. Письмо содержало только вложение, которое не отображалось почтовым клиентом, но декодировало и выполняло JavaScript-код через теги в теле письма.

Исследователями было установлено, что CVE-2024-37383 является XSS-багом, позволяющим выполнять произвольный JavaScript-код в браузере пользователя. Для атаки требовалось открыть вредоносное письмо в веб-клиенте Roundcube версий до 1.5.6 или от 1.6 до 1.6.6.

Подробнее: https://extrim-security.ru/news-ib/tpost/2l1xi46in1-cve-2024-37383-zloumishlenniki-atakovali

🇨🇳 Китайская ассоциация кибербезопасности обвинила корпорацию Intel в намеренном встраивании скрытых уязвимостей в свои процессоры, что, по мнению китайских экспертов, создает идеальную среду для тотальной слежки.

Эти лазейки были обнаружены в рамках системы безопасности нового поколения, разработанной Агентством национальной безопасности США. CSAC также указала на пренебрежительное отношение Intel к клиентам и масштаб потенциальной угрозы, затрагивающей не только Китай, но и другие страны.

Напряженность между США и Китаем в области технологий продолжает расти, особенно после того, как США ограничили поставки передовых чипов и запретили экспорт процессоров для искусственного интеллекта. Intel, несмотря на санкции, заключила контракты с китайскими государственными организациями на поставку процессоров Xeon.

Подробнее: https://extrim-security.ru/news-ib/tpost/sidad9vgp1-kitai-podozrevaet-korporatsiyu-v-ustanov

🪧 В Ирландии обнаружена новая схема мошенничества с использованием поддельных QR-кодов на парковочных знаках. Мошенники размещают фальшивые наклейки с изменёнными QR-кодами, ведущими на поддельные сайты для оплаты.

Один из пользователей заметил подозрительный QR-код на знаке, который позволяет оплачивать парковку, но поверх него наклеен поддельный код. Злоумышленники надеются, что водители не заметят или не придадут значения подделке.

Другие пользователи отметили, что такие наклейки выглядят официально и трудно распознаются без тщательного осмотра. Это вызывает вопросы о доверии к платёжным приложениям и QR-кодам в целом. Участники обсуждения также выразили недовольство растущим числом сервисов, требующих использования смартфонов для оплаты и ограничивающих доступ для тех, кто предпочитает наличные.

Подробнее: https://extrim-security.ru/news-ib/tpost/fj3cjg1a21-ostorozhno-moshenniki-s-poddelnimi-qr-ko

🧸 Эту историю прислала нам подписчица. Она вяжет замечательные мягкие игрушки и выставляется на бирже рукоделия. Решила выложить на продажу и на Юле.

Спустя всего несколько минут после выставления объявления, ей в WhatsApp приходит голосовое сообщение от неизвестного с вопросами об игрушке и покупке изделия.
Сначала он попросил email продавца для оформления заказа.

Сразу после получения, он прислал скрин того, что заказ оформлен и скрин платежной операции из банка. Сказал, что на почту придет подтверждение заказа.

На почту действительно пришло письмо, якобы от Юлы, что сделка сработала, перейдите подтвердите. И далее инструкция по получению средств. «На вашем балансе должна быть сумма равная сумме получения… для защиты средств покупателя», «Некоторые банки могут трактовать зачисление как списание…», «После ввода смс-кода от банка…» и так далее. А если провалиться в инфо отправителя почта указана order_756753@inbox.ru ☠️

А также скинул в переписку ссылку на «страницу заказа, заходите, получайте оплату». При этом подзаголовок ссылки гласит: «Вечернее платье Lime: доска объявлений…» - человек забыл поменять SEO описание 🔥

Конечно, в приложении Юла у подписчицы никакой информации о заказе не было.

История закончилась хорошо – наши подписчики, начитанные новостями об инцидентах с социальной инженерией, знают, что таких нужно сразу в блок. Но на подобную уловку могут легко попасться люди, которые менее подготовлены. Тем более в работе с новой платформой.

Поэтому напоминаем: обязательно тщательно проверяйте адреса отправителей в почте; при покупке/продаже на сервисах объявлений и маркетплейсах проводите сделки только через официальное приложение и не переходите в мессенджеры. И ни в коем случае не доверяйте скринам из банков. Лучше попросите платежное поручение, высланное прямо из банка, или дождитесь поступления денежных средств🙂‍↕️

Минцифры опубликовало письмо "О рекомендациях для государственных служащих, направленных на обеспечение информационной безопасности сотрудников на рабочих местах, личной информационной безопасности".

В письме содержится важная и актуальная информация, как защитить себя от мошенников и методов социальной инженерии. Она универсальна и подходит не только для госслужащих. Сейчас все пользуются смартфонами, почтой, соц сетями, всеми благами сети интернет.

Поэтому, даже если вы все знаете и помните, прочитайте памятки из письма. Чтение займет около 2 минут, а уверенность в себе и своих знаниях это бесценно!

Подробнее: https://extrim-security.ru/news-ib/tpost/3k3uioalb1-kratkaya-pamyatka-dlya-zaschiti-ot-moshe

👀 В России пользователи столкнулись с новой фишинговой схемой, использующей инструмент Gophish для распространения вредоносных программ. Основной целью злоумышленников являются DCRat и новый троян для удалённого доступа PowerRAT.

Кампания включает сложные цепочки заражения, требующие вмешательства пользователя для активации, и может использовать как вредоносные вложения, так и HTML-ссылки, замаскированные под Яндекс Диск или VK.

Злоумышленники отправляют фишинговые письма с помощью Gophish, который является платформой с открытым исходным кодом для тестирования систем защиты. Когда жертва открывает вредоносное вложение и активирует макросы, запускается VB-макрос, извлекающий HTML-файл (HTA) и PowerShell-загрузчик.

Подробнее: https://extrim-security.ru/news-ib/tpost/c3953fe3o1-html-ssilki-pod-vidom-yandeks-diska-i-vk

⚙️ В среду компания Cisco выпустила обновления для устранения уязвимости в системе Adaptive Security Appliance (ASA), активно используемой злоумышленниками и приводящей к отказу в обслуживании (DoS).

Уязвимость, получившая номер CVE-2024-20481, затрагивает службу удалённого доступа VPN (RAVPN) и программное обеспечение Cisco Firepower Threat Defense (FTD). Из-за нехватки ресурсов уязвимость позволяет удалённым злоумышленникам проводить DoS-атаки без аутентификации.

Cisco рекомендует включить ведение журнала, настроить обнаружение угроз для VPN, отключить аутентификацию и блокировать подключения из неавторизованных источников.

Подробнее: https://extrim-security.ru/news-ib/tpost/zvl9nlkg21-ugroza-dos-atak-na-setevie-ustroistva-ci