👾 Компания Nvidia выпустила экстренные исправления для восьми уязвимостей в своих графических драйверах для Windows и Linux, а также в программном обеспечении для виртуальных графических процессоров (vGPU).

В драйверах для Windows были обнаружены уязвимости, позволяющие неавторизованным пользователям выполнять произвольный код, получать повышенные привилегии и вызывать отказ в обслуживании (DoS), а также осуществлять утечку информации и подделку данных 💀

⏳ Nvidia обновила драйверы для видеокарт GeForce, NVIDIA RTX, Quadro, NVS и Tesla, включая версии для Windows и Linux. Компания также устранила две уязвимости в программном обеспечении для vGPU: одна позволяла пользователю гостевой операционной системы вызывать некорректную проверку ввода, угрожая ядру гостевой ОС, а вторая давала доступ к глобальным ресурсам. Обновления были включены в версии Nvidia vGPU 17.4 и 16.8, а также в октябрьский релиз Nvidia Cloud Gaming.

Подробнее: https://extrim-security.ru/news-ib/tpost/83dlynuiv1-nvidia-ispravlyaet-uyazvimosti-v-draiver

💡 Независимый исследователь в области информационной безопасности обнаружил уязвимость в маршрутизаторах компании Arcadyan, позволяющую злоумышленникам полностью контролировать устройство.

Уязвимость, CVE-2024-41992, связана с использованием уязвимого кода Wi-Fi Test Suite, предназначенного для тестирования Wi-Fi компонентов, но не для производственных сред. Проблема была выявлена в апреле 2024 года и впервые опубликована в августе на SSD Secure Disclosure, а затем исследована и опубликована на GitHub.

Изучая компоненты маршрутизатора Arcadyan FMIMG51AX000J, исследователь обнаружил, что уязвимость возникла из-за использования Wi-Fi Test Suite, доступного как в открытом, так и в закрытом виде для участников Wi-Fi Alliance. 💬

Подробнее: https://extrim-security.ru/news-ib/tpost/ynrxymkn21-uyazvimost-v-marshrutizatorah-arcadyan-k

⚙️ Исследователи из Guardio Labs обнаружили уязвимость CrossBarking в веб-браузере Opera, которая позволяла вредоносным расширениям получить доступ к закрытым API браузера.

🚨 Эта уязвимость могла быть использована для создания скриншотов, изменения настроек браузера и кражи учетных данных. Уязвимость была основана на том, что общедоступные поддомены, принадлежащие Opera, имели привилегированный доступ к закрытым API браузера.

🖥 Исследование показало, что сценарии содержимого в расширениях могли быть использованы для внедрения вредоносного JavaScript в эти домены и получения доступа к закрытым API. Guardio Labs продемонстрировали возможность использования уязвимости, опубликовав в Chrome Web Store безобидное расширение, которое после установки на Opera получало доступ к закрытым API браузера.

☄️ После ответственного раскрытия информации Opera устранила уязвимость. Однако это не первый случай, когда в браузере обнаруживаются подобные уязвимости. Результаты исследования подчеркивают важность осторожности при установке расширений браузера, так как они могут обладать значительной властью и представлять угрозу безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/tmildohak1-uyazvimost-v-opera-pozvolila-vredonosnim

⬇️ 26 сентября 2024 года из-за ошибки узбекского оператора связи Uztelecom произошла утечка маршрутов, перенаправив интернет-трафик через Россию и Центральную Азию на 40 минут, затронув более 3000 маршрутов и нарушив работу сетей в десятках стран.

🗿 Протокол BGP, отвечающий за передачу данных между автономными системами, был использован неправильно, когда маршруты партнёров Uztelecom через транзитного оператора Ростелеком распространились за пределы запланированного диапазона. Это вызвало перенаправление трафика крупных компаний, таких как Amazon и Cloudflare, через посредников, что могло привести к задержкам или потере данных.

🌍 Анализ BGP-сообщений показал, что маршруты Amazon и Cloudflare ранее направлялись через другие провайдеры, но после инцидента стали проходить через цепочку Uztelecom и Ростелекома, а также через компании VEON и Transtelecom, затронув Нидерланды, Японию, Афганистан и США.

Подробнее: https://extrim-security.ru/news-ib/tpost/uecb9ezdf1-problema-s-marshrutami-bgp-kak-utechka-z

📺 Индийская CERT-In предупредила о критических уязвимостях в смарт-устройствах Philips Smart Lighting и системе контроля доступа Matrix Door Controller, которые могут привести к несанкционированному доступу и утечке конфиденциальных данных.

⚠️ Первая уязвимость, CIVN-2024-0329 (CVE-2024-9991), затрагивает ряд устройств с прошивкой ниже 1.33.1, где данные о Wi-Fi-сетях хранятся в открытом виде.

⚠️ Вторая уязвимость, CIVN-2024-0328 (CVE-2024-10381), обнаружена в системе контроля доступа Matrix Door Controller и связана с недостатками в управлении веб-интерфейсом.

🔐 Для защиты от этих уязвимостей CERT-In рекомендует усилить аутентификацию, ограничить доступ к устройствам, регулярно мониторить доступ, устанавливать обновления и использовать межсетевой экран.

Подробнее: https://extrim-security.ru/news-ib/tpost/98ec1md8c1-ugroza-kiberbezopasnosti-uyazvimosti-v-u

👶 Президент ассоциации предпринимателей «АВАНТИ» Рахман Янсуков предложил ограничить доступ детей младше 14 лет к социальным сетям из-за распространения запрещённого контента и отсутствия законодательства, регулирующего этот вопрос.

💥 В письме, направленном премьер-министру Михаилу Мишустину и другим высокопоставленным лицам, Янсуков указал на наличие более 10 тысяч сайтов, пропагандирующих террористическую идеологию, и закрытых сообществ, опасных для несовершеннолетних.

⚠️Для реализации этой инициативы ассоциация предлагает обязать платформы требовать фото паспорта при регистрации и проводить повторную проверку личности пользователей. Также рассматривается ограничение деятельности соцсетей, которые откажутся соблюдать новые правила.

⚠️ По мнению Янсукова, эти меры помогут снизить негативное влияние соцсетей на подростков и предотвратить правонарушения, создавая прочную основу для устранения преступного влияния на детей.

Подробнее: https://extrim-security.ru/news-ib/tpost/mv0c01dms1-dostup-detei-mladshe-14-let-k-sotsialnim

🔴 Этой ночью Роскомнадзор ограничил доступ к значительной части интернета из-за блокировки сайтов, использующих технологию шифрования Encrypted Client Hello (ECH).

➡️ Около месяца назад Cloudflare начал предоставлять поддержку ECH своим клиентам, позволяя скрывать доменное имя сайта и обходить блокировки. В ответ Роскомнадзор массово заблокировал сайты с этой функцией, что привело к недоступности тысяч ресурсов и росту жалоб от пользователей.

➡️ Блокировки особенно ощутимы из-за популярности Cloudflare как одного из ведущих хостингов в мире. Пользователи, пытающиеся зайти на сайты через прокси CloudFlare с TLS 1.3, сталкиваются с проблемами в Chrome, но доступ восстанавливается через несколько минут после отключения TLS 1.3 или использования VPN. Сайты, использующие более ранние версии TLS, остаются доступными без перебоев.

Подробнее: https://extrim-security.ru/news-ib/tpost/el2hfj5531-roskomnadzor-blokiruet-dostup-k-saitam-i

👍 Эксперты обнаружили, что хакеры заменяют Sliver и Cobalt Strike на Winos4.0, распространяемый через вредоносные игровые утилиты. Инструмент был замечен летом 2024 года при атаках на китайских пользователей.

⬇️ Хакеры используют поддельные VPN и Chrome, содержащие вредоносный компонент. После установки легитимной программы, загружаемой с сайта ad59t82g, запускается многоэтапный процесс заражения, включающий создание файлов и записей в реестре Windows, загрузку шелл-кода для соединения с управляющим сервером, а также обновление адресов серверов.

🔈 Исследователи предполагают, что DLL «学籍系统» может быть нацелена на образовательные учреждения. Завершает процесс модуль «登录模块.dll», который собирает информацию о машине жертвы, проверяет наличие антивирусного ПО, собирает данные о криптовалютных кошельках, поддерживает бэкдор-соединение и крадет данные. Winos4.0 также проверяет наличие защитных инструментов и корректирует своё поведение в зависимости от их наличия. Fortinet считает, что Winos4.0 является мощным инструментом для контроля над взломанными системами и функционально близок к Cobalt Strike и Sliver.

Подробнее: https://extrim-security.ru/news-ib/tpost/r4tg4xnhg1-winos40-novii-instrument-hakerov-dlya-ko

🔈 Специалисты Solar 4RAYS обнаружили уникальное вредоносное ПО GoblinRAT, которое злоумышленники использовали для получения полного контроля над инфраструктурой российских ведомств и ИТ-компаний, обслуживающих госсектор. Первые следы заражения датируются 2020 годом, что делает эту атаку одной из самых сложных и скрытных.

🤬 GoblinRAT, впервые замеченный в 2023 году, маскируется под легитимное приложение и тщательно изучает инфраструктуру перед внедрением. Он самоуничтожается, перезаписывает файлы и шифрует данные, используя легитимные взломанные сайты для управления.

🚨 Эксперты обнаружили GoblinRAT в четырех организациях, где атакующие получили удаленный доступ с правами администратора, но источник заражений остается неизвестным. GoblinRAT не получил широкого распространения, что свидетельствует о высоком уровне профессионализма злоумышленников и ограниченной информации о происхождении вируса.

Подробнее: https://extrim-security.ru/news-ib/tpost/yc6nby6gn1-unikalnaya-malvar-goblinrat-kak-zloumish

💬 Специалисты в области кибербезопасности выявили новую фишинговую кампанию, распространяющую бесфайловую версию коммерческого вредоносного ПО Remcos RAT.

Этот инструмент предоставляет расширенные возможности для удалённого управления заражёнными компьютерами и используется злоумышленниками для сбора конфиденциальной информации и выполнения вредоносных действий.

🖥 Атака начинается с фишингового письма, которое заставляет получателей открыть вложение в Excel. Документ загружает и выполняет HTML-приложение с кодом JavaScript, Visual Basic Script и PowerShell, что позволяет злоумышленникам загрузить и запустить Remcos RAT.

Подробнее: https://extrim-security.ru/news-ib/tpost/irsa54z741-besfailovaya-versiya-kommercheskogo-vred

✉️ Киберпреступники используют метод объединения ZIP-архивов для обхода систем защиты.

Они создают несколько архивов: один с вредоносным ПО, остальные — пустые или с безопасными файлами. Эти архивы затем объединяются в один, скрывая вредоносное содержимое.

Разные программы обрабатывают такие архивы по-разному:
🚨 7zip показывает только содержимое первого архива,
🚨 WinRAR отображает файлы из последнего центрального каталога,
🚨 Проводник Windows может не открыть файл или показать только часть содержимого.

В одном из инцидентов киберпреступники отправили троян, замаскированный под документы доставки, который при открытии в 7zip выглядел безобидным PDF, но в WinRAR или Проводнике становились видны вредоносные файлы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4mke9i8571-kiberprestupniki-maskiruyut-vredonosnoe

⭐️ Компания Microsoft выпустила обновления для Windows, устраняя опасную уязвимость CVE-2024-43629, обнаруженную экспертом Positive Technologies.

🔔 Обновления затрагивают Windows 10, Windows 11 и серверные версии. Уязвимость, оцененная как высокоопасная - уровень 7,8, позволяет атакующему повысить свои привилегии и захватить систему. Эта техника часто используется для получения доступа к критически важным компонентам системы.

Ранее эксперты PT Expert Security Center помогли Microsoft устранить аналогичную уязвимость CVE-2017-0263 в 2017 году. Эта уязвимость в Windows 10 и более ранних версиях позволяла злоумышленникам получать максимальные привилегии, используя фишинговые атаки.

Подробнее: https://extrim-security.ru/news-ib/tpost/apki9stlt1-obnovlenie-windows-dlya-ustraneniya-viso

👑 6-8 ноября в Москве прошел SOC FORUM 2024

Темы информационной безопасности поднимали такие спикеры, как генеральный директор ГК «Солар», глава Минцифры России, президент Ростелеком и другие.

🔥 В 5 залах три дня с 12:00 до 21:00 спикеры, из компаний сферы ИБ и смежных, вели доклады, мастер-классы, интервью и дискуссии. Рассказывали про стратегии обеспечения безопасности, тенденции киберпреступности, как оценить зрелость ИБ в компании, вели беседы с регуляторами НКЦКИ и ФСТЭК и многое другое.

В среднем одно выступление длится 30 минут – час.

👀 Всё записано и можно найти по ссылке.

Записи разбиты по отдельности на каждое выступление, поэтому не нужно искать нужную минуту в плеере. Выбирайте все залы, далее выберите день и листайте вниз. Интересные для себя темы найдут и руководители, и специалисты ИТ и специалисты ИБ.

🦆 Множество злоумышленников годами использовали метод атаки «Подсадные утки» для захвата законных доменов, которые затем использовали в фишинговых атаках и инвестиционных мошенничествах.

ℹ️ За последние три месяца компания Infoblox выявила почти 800 000 уязвимых доменов, из которых 9% были взломаны. Этот вектор атаки позволяет злоумышленнику получить контроль над доменом через неправильные настройки DNS, что приводит к изменениям позиционирования бренда и обману инструментов безопасности.

🥸 Infoblox выявила множество известных субъектов угроз DNS, таких как Vacant Viper, Ужасный Ястреб и Hasty Hawk. Захваченные домены могут использоваться для рассылки спама, эксфильтрации данных или передачи другим злоумышленникам, при этом время их удержания варьируется от 30 до 60 дней.

Подробнее: https://extrim-security.ru/news-ib/tpost/zrzaly13e1-ataka-podsadnie-utki-zloumishlenniki-zah

👵 Компания O2 создала ИИ-бабушку по имени Дейзи для борьбы с мошенничеством. Дейзи имитирует человеческий диалог, чтобы отвлекать мошенников, рассказывая им выдуманные истории о семье и увлечении вязанием. Она использует различные модели ИИ для прослушивания и быстрого ответа на мошеннические звонки.

✨ Дейзи настолько реалистична, что может отвлекать мошенников на 40 минут за раз и даже обманывать их, предлагая ложную личную информацию.

😉 Компания работает с ведущими мошенниками для разработки Дейзи, добавляя её номер в их списки контактов для изучения их тактики. Хотя O2 не защищает людей напрямую, она считает, что отвлекает мошенников и предоставляет информацию о их методах.

Подробнее: https://extrim-security.ru/news-ib/tpost/ezuzv3gz71-ii-babushka-deizi-kak-kompaniya-ispolzue

#️⃣ Новый скрытый загрузчик вредоносного ПО BabbleLoader, который используется для распространения программ-шпионов, таких как WhiteSnake и Meduza. BabbleLoader обладает высокой скрытностью и способностью обходить антивирусные программы и системы песочниц, маскируясь под взломанное ПО и бухгалтерские приложения. Он активирует функции только во время выполнения и рандомизирует метаданные файлов, что делает его обнаружение сложным.

⛔️ Загрузчики, такие как BabbleLoader, Dolphin Loader, Emmenhtal и FakeBat - популярные способы доставки вредоносного ПО, включая программы-вымогатели и шпионские программы.

Эти загрузчики используют мусорный код и метаморфозы для избегания обнаружения. Они отвечают за загрузку шелл-кода, который активирует загрузчик Donut, распаковывающий и запускающий вредоносное ПО. Эти загрузчики защищают конечные полезные нагрузки и снижают затраты на замену повреждённой инфраструктуры, обходя традиционные методы обнаружения, включая ИИ, и требуя ручного анализа.

Подробнее: https://extrim-security.ru/news-ib/tpost/5vu37xvni1-babbleloader-novii-skritii-zagruzchik-vr

🥷 Израильская компания NSO Group, разработчик шпионского ПО Pegasus, использовала различные эксплоиты для приложений WhatsApp, включая новый неизвестный эксплоит Erised, для установки Pegasus на устройства пользователей.

🐎 Pegasus — платформа для шпионажа, способная собирать данные с устройств на базе iOS и Android, включая текстовые сообщения, информацию о приложениях, записи вызовов и местоположение.

📱 Ранее WhatsApp уже подавал в суд на NSO Group в 2019 году, обвинив компанию в пособничестве кибератакам для правительств. В ответ на обнаружение и блокировку старых методов, NSO Group создала новые эксплоиты Eden и Erised.

Подробнее: https://extrim-security.ru/news-ib/tpost/nr52fkoah1-vzlom-polzovatelei-whatsapp-cherez-pegas