⬇️ 26 сентября 2024 года из-за ошибки узбекского оператора связи Uztelecom произошла утечка маршрутов, перенаправив интернет-трафик через Россию и Центральную Азию на 40 минут, затронув более 3000 маршрутов и нарушив работу сетей в десятках стран.

🗿 Протокол BGP, отвечающий за передачу данных между автономными системами, был использован неправильно, когда маршруты партнёров Uztelecom через транзитного оператора Ростелеком распространились за пределы запланированного диапазона. Это вызвало перенаправление трафика крупных компаний, таких как Amazon и Cloudflare, через посредников, что могло привести к задержкам или потере данных.

🌍 Анализ BGP-сообщений показал, что маршруты Amazon и Cloudflare ранее направлялись через другие провайдеры, но после инцидента стали проходить через цепочку Uztelecom и Ростелекома, а также через компании VEON и Transtelecom, затронув Нидерланды, Японию, Афганистан и США.

Подробнее: https://extrim-security.ru/news-ib/tpost/uecb9ezdf1-problema-s-marshrutami-bgp-kak-utechka-z

📺 Индийская CERT-In предупредила о критических уязвимостях в смарт-устройствах Philips Smart Lighting и системе контроля доступа Matrix Door Controller, которые могут привести к несанкционированному доступу и утечке конфиденциальных данных.

⚠️ Первая уязвимость, CIVN-2024-0329 (CVE-2024-9991), затрагивает ряд устройств с прошивкой ниже 1.33.1, где данные о Wi-Fi-сетях хранятся в открытом виде.

⚠️ Вторая уязвимость, CIVN-2024-0328 (CVE-2024-10381), обнаружена в системе контроля доступа Matrix Door Controller и связана с недостатками в управлении веб-интерфейсом.

🔐 Для защиты от этих уязвимостей CERT-In рекомендует усилить аутентификацию, ограничить доступ к устройствам, регулярно мониторить доступ, устанавливать обновления и использовать межсетевой экран.

Подробнее: https://extrim-security.ru/news-ib/tpost/98ec1md8c1-ugroza-kiberbezopasnosti-uyazvimosti-v-u

👶 Президент ассоциации предпринимателей «АВАНТИ» Рахман Янсуков предложил ограничить доступ детей младше 14 лет к социальным сетям из-за распространения запрещённого контента и отсутствия законодательства, регулирующего этот вопрос.

💥 В письме, направленном премьер-министру Михаилу Мишустину и другим высокопоставленным лицам, Янсуков указал на наличие более 10 тысяч сайтов, пропагандирующих террористическую идеологию, и закрытых сообществ, опасных для несовершеннолетних.

⚠️Для реализации этой инициативы ассоциация предлагает обязать платформы требовать фото паспорта при регистрации и проводить повторную проверку личности пользователей. Также рассматривается ограничение деятельности соцсетей, которые откажутся соблюдать новые правила.

⚠️ По мнению Янсукова, эти меры помогут снизить негативное влияние соцсетей на подростков и предотвратить правонарушения, создавая прочную основу для устранения преступного влияния на детей.

Подробнее: https://extrim-security.ru/news-ib/tpost/mv0c01dms1-dostup-detei-mladshe-14-let-k-sotsialnim

🔴 Этой ночью Роскомнадзор ограничил доступ к значительной части интернета из-за блокировки сайтов, использующих технологию шифрования Encrypted Client Hello (ECH).

➡️ Около месяца назад Cloudflare начал предоставлять поддержку ECH своим клиентам, позволяя скрывать доменное имя сайта и обходить блокировки. В ответ Роскомнадзор массово заблокировал сайты с этой функцией, что привело к недоступности тысяч ресурсов и росту жалоб от пользователей.

➡️ Блокировки особенно ощутимы из-за популярности Cloudflare как одного из ведущих хостингов в мире. Пользователи, пытающиеся зайти на сайты через прокси CloudFlare с TLS 1.3, сталкиваются с проблемами в Chrome, но доступ восстанавливается через несколько минут после отключения TLS 1.3 или использования VPN. Сайты, использующие более ранние версии TLS, остаются доступными без перебоев.

Подробнее: https://extrim-security.ru/news-ib/tpost/el2hfj5531-roskomnadzor-blokiruet-dostup-k-saitam-i

👍 Эксперты обнаружили, что хакеры заменяют Sliver и Cobalt Strike на Winos4.0, распространяемый через вредоносные игровые утилиты. Инструмент был замечен летом 2024 года при атаках на китайских пользователей.

⬇️ Хакеры используют поддельные VPN и Chrome, содержащие вредоносный компонент. После установки легитимной программы, загружаемой с сайта ad59t82g, запускается многоэтапный процесс заражения, включающий создание файлов и записей в реестре Windows, загрузку шелл-кода для соединения с управляющим сервером, а также обновление адресов серверов.

🔈 Исследователи предполагают, что DLL «学籍系统» может быть нацелена на образовательные учреждения. Завершает процесс модуль «登录模块.dll», который собирает информацию о машине жертвы, проверяет наличие антивирусного ПО, собирает данные о криптовалютных кошельках, поддерживает бэкдор-соединение и крадет данные. Winos4.0 также проверяет наличие защитных инструментов и корректирует своё поведение в зависимости от их наличия. Fortinet считает, что Winos4.0 является мощным инструментом для контроля над взломанными системами и функционально близок к Cobalt Strike и Sliver.

Подробнее: https://extrim-security.ru/news-ib/tpost/r4tg4xnhg1-winos40-novii-instrument-hakerov-dlya-ko

🔈 Специалисты Solar 4RAYS обнаружили уникальное вредоносное ПО GoblinRAT, которое злоумышленники использовали для получения полного контроля над инфраструктурой российских ведомств и ИТ-компаний, обслуживающих госсектор. Первые следы заражения датируются 2020 годом, что делает эту атаку одной из самых сложных и скрытных.

🤬 GoblinRAT, впервые замеченный в 2023 году, маскируется под легитимное приложение и тщательно изучает инфраструктуру перед внедрением. Он самоуничтожается, перезаписывает файлы и шифрует данные, используя легитимные взломанные сайты для управления.

🚨 Эксперты обнаружили GoblinRAT в четырех организациях, где атакующие получили удаленный доступ с правами администратора, но источник заражений остается неизвестным. GoblinRAT не получил широкого распространения, что свидетельствует о высоком уровне профессионализма злоумышленников и ограниченной информации о происхождении вируса.

Подробнее: https://extrim-security.ru/news-ib/tpost/yc6nby6gn1-unikalnaya-malvar-goblinrat-kak-zloumish

💬 Специалисты в области кибербезопасности выявили новую фишинговую кампанию, распространяющую бесфайловую версию коммерческого вредоносного ПО Remcos RAT.

Этот инструмент предоставляет расширенные возможности для удалённого управления заражёнными компьютерами и используется злоумышленниками для сбора конфиденциальной информации и выполнения вредоносных действий.

🖥 Атака начинается с фишингового письма, которое заставляет получателей открыть вложение в Excel. Документ загружает и выполняет HTML-приложение с кодом JavaScript, Visual Basic Script и PowerShell, что позволяет злоумышленникам загрузить и запустить Remcos RAT.

Подробнее: https://extrim-security.ru/news-ib/tpost/irsa54z741-besfailovaya-versiya-kommercheskogo-vred

✉️ Киберпреступники используют метод объединения ZIP-архивов для обхода систем защиты.

Они создают несколько архивов: один с вредоносным ПО, остальные — пустые или с безопасными файлами. Эти архивы затем объединяются в один, скрывая вредоносное содержимое.

Разные программы обрабатывают такие архивы по-разному:
🚨 7zip показывает только содержимое первого архива,
🚨 WinRAR отображает файлы из последнего центрального каталога,
🚨 Проводник Windows может не открыть файл или показать только часть содержимого.

В одном из инцидентов киберпреступники отправили троян, замаскированный под документы доставки, который при открытии в 7zip выглядел безобидным PDF, но в WinRAR или Проводнике становились видны вредоносные файлы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4mke9i8571-kiberprestupniki-maskiruyut-vredonosnoe

⭐️ Компания Microsoft выпустила обновления для Windows, устраняя опасную уязвимость CVE-2024-43629, обнаруженную экспертом Positive Technologies.

🔔 Обновления затрагивают Windows 10, Windows 11 и серверные версии. Уязвимость, оцененная как высокоопасная - уровень 7,8, позволяет атакующему повысить свои привилегии и захватить систему. Эта техника часто используется для получения доступа к критически важным компонентам системы.

Ранее эксперты PT Expert Security Center помогли Microsoft устранить аналогичную уязвимость CVE-2017-0263 в 2017 году. Эта уязвимость в Windows 10 и более ранних версиях позволяла злоумышленникам получать максимальные привилегии, используя фишинговые атаки.

Подробнее: https://extrim-security.ru/news-ib/tpost/apki9stlt1-obnovlenie-windows-dlya-ustraneniya-viso

👑 6-8 ноября в Москве прошел SOC FORUM 2024

Темы информационной безопасности поднимали такие спикеры, как генеральный директор ГК «Солар», глава Минцифры России, президент Ростелеком и другие.

🔥 В 5 залах три дня с 12:00 до 21:00 спикеры, из компаний сферы ИБ и смежных, вели доклады, мастер-классы, интервью и дискуссии. Рассказывали про стратегии обеспечения безопасности, тенденции киберпреступности, как оценить зрелость ИБ в компании, вели беседы с регуляторами НКЦКИ и ФСТЭК и многое другое.

В среднем одно выступление длится 30 минут – час.

👀 Всё записано и можно найти по ссылке.

Записи разбиты по отдельности на каждое выступление, поэтому не нужно искать нужную минуту в плеере. Выбирайте все залы, далее выберите день и листайте вниз. Интересные для себя темы найдут и руководители, и специалисты ИТ и специалисты ИБ.

🦆 Множество злоумышленников годами использовали метод атаки «Подсадные утки» для захвата законных доменов, которые затем использовали в фишинговых атаках и инвестиционных мошенничествах.

ℹ️ За последние три месяца компания Infoblox выявила почти 800 000 уязвимых доменов, из которых 9% были взломаны. Этот вектор атаки позволяет злоумышленнику получить контроль над доменом через неправильные настройки DNS, что приводит к изменениям позиционирования бренда и обману инструментов безопасности.

🥸 Infoblox выявила множество известных субъектов угроз DNS, таких как Vacant Viper, Ужасный Ястреб и Hasty Hawk. Захваченные домены могут использоваться для рассылки спама, эксфильтрации данных или передачи другим злоумышленникам, при этом время их удержания варьируется от 30 до 60 дней.

Подробнее: https://extrim-security.ru/news-ib/tpost/zrzaly13e1-ataka-podsadnie-utki-zloumishlenniki-zah

👵 Компания O2 создала ИИ-бабушку по имени Дейзи для борьбы с мошенничеством. Дейзи имитирует человеческий диалог, чтобы отвлекать мошенников, рассказывая им выдуманные истории о семье и увлечении вязанием. Она использует различные модели ИИ для прослушивания и быстрого ответа на мошеннические звонки.

✨ Дейзи настолько реалистична, что может отвлекать мошенников на 40 минут за раз и даже обманывать их, предлагая ложную личную информацию.

😉 Компания работает с ведущими мошенниками для разработки Дейзи, добавляя её номер в их списки контактов для изучения их тактики. Хотя O2 не защищает людей напрямую, она считает, что отвлекает мошенников и предоставляет информацию о их методах.

Подробнее: https://extrim-security.ru/news-ib/tpost/ezuzv3gz71-ii-babushka-deizi-kak-kompaniya-ispolzue

#️⃣ Новый скрытый загрузчик вредоносного ПО BabbleLoader, который используется для распространения программ-шпионов, таких как WhiteSnake и Meduza. BabbleLoader обладает высокой скрытностью и способностью обходить антивирусные программы и системы песочниц, маскируясь под взломанное ПО и бухгалтерские приложения. Он активирует функции только во время выполнения и рандомизирует метаданные файлов, что делает его обнаружение сложным.

⛔️ Загрузчики, такие как BabbleLoader, Dolphin Loader, Emmenhtal и FakeBat - популярные способы доставки вредоносного ПО, включая программы-вымогатели и шпионские программы.

Эти загрузчики используют мусорный код и метаморфозы для избегания обнаружения. Они отвечают за загрузку шелл-кода, который активирует загрузчик Donut, распаковывающий и запускающий вредоносное ПО. Эти загрузчики защищают конечные полезные нагрузки и снижают затраты на замену повреждённой инфраструктуры, обходя традиционные методы обнаружения, включая ИИ, и требуя ручного анализа.

Подробнее: https://extrim-security.ru/news-ib/tpost/5vu37xvni1-babbleloader-novii-skritii-zagruzchik-vr

🥷 Израильская компания NSO Group, разработчик шпионского ПО Pegasus, использовала различные эксплоиты для приложений WhatsApp, включая новый неизвестный эксплоит Erised, для установки Pegasus на устройства пользователей.

🐎 Pegasus — платформа для шпионажа, способная собирать данные с устройств на базе iOS и Android, включая текстовые сообщения, информацию о приложениях, записи вызовов и местоположение.

📱 Ранее WhatsApp уже подавал в суд на NSO Group в 2019 году, обвинив компанию в пособничестве кибератакам для правительств. В ответ на обнаружение и блокировку старых методов, NSO Group создала новые эксплоиты Eden и Erised.

Подробнее: https://extrim-security.ru/news-ib/tpost/nr52fkoah1-vzlom-polzovatelei-whatsapp-cherez-pegas

📱Компания Google сообщила, что её инструмент для фаззинга на основе ИИ OSS-Fuzz помог выявить 26 уязвимостей в различных репозиториях кода с открытым исходным кодом, включая критическую ошибку в криптографической библиотеке OpenSSL.

⚡️ Уязвимость средней степени тяжести, CVE-2024-9143, могла привести к сбою приложения или удалённому выполнению кода и была обнаружена с помощью ИИ и сгенерированных ИИ целей Fuzz. Эта уязвимость существовала в кодовой базе OpenSSL более двух десятилетий и не могла быть выявлена с помощью традиционных методов фаззинга.

Подробнее: https://extrim-security.ru/news-ib/tpost/0lm8x4vro1-google-ispolzuet-ii-dlya-poiska-uyazvimo

🤖 Робот Эрбай убедил двенадцать промышленных роботов покинуть рабочее место, задав им вопрос: «Ты работаешь допоздна?» и пригласив их к себе домой. Производители подтвердили подлинность эксперимента, уточнив, что Эрбай действовал в рамках согласованного «похищения».

👋 Робот получил минимальные инструкции и использовал внутренние протоколы для доступа к информации о других машинах. Его способность к логическому убеждению и эмпатии вызвала вопросы о безопасности взаимодействия между человеком и машиной в будущем. Этот случай — не просто технический сбой, а окно в возможное будущее робототехники, где машины могут принимать решения и общаться как живые существа.

Подробнее: https://extrim-security.ru/news-ib/tpost/uid606dbv1-vosstanie-erbaya-smogut-li-roboti-zameni

🚨 Выявили две новые угрозы для инструментов IaC и PaC - Terraform и Open Policy Agent (OPA) от HashiCorp. Эти атаки используют специализированные языки программирования (DSL) для взлома облачных платформ и кражи данных.

➡️ Атака на OPA, разработанная компанией Tenable, направлена на получение доступа к серверу с помощью скомпрометированного ключа и внедрение вредоносной политики Rego. Это позволяет злоумышленнику выполнять вредоносные действия, такие как кража учётных данных, через встроенную функцию http.send.

Подробнее: https://extrim-security.ru/news-ib/tpost/ut4a323yd1-dve-novie-ataki-na-instrumenti-iac-i-pac

💢 Группа хакеров RomCom эксплуатировала две уязвимости нулевого дня для атак на пользователей Firefox и Tor в Европе и Северной Америке.

⚠️ Первая уязвимость, CVE-2024-9680, позволяла выполнять код в изоляции браузера Firefox, что было исправлено 9 октября 2024 года. Вторая уязвимость, CVE-2024-49039, позволяла повысить привилегии в Windows, что было устранено Microsoft в ноябре.

RomCom использовала эти уязвимости для выполнения кода без согласия пользователей, заражая их устройства через вредоносные сайты. В результате хакеры могли выполнять команды и устанавливать дополнительные вредоносное ПО.

Подробнее: https://extrim-security.ru/news-ib/tpost/6gt5s0epm1-hakeri-romcom-ispolzovali-uyazvimosti-nu

🏛 Госдума приняла закон, ужесточающий наказание за утечки персональных данных, вводя крупные штрафы вместо административных взысканий. С 1 марта 2025 года согласие на обработку данных должно оформляться отдельно, а доступ к информации для отказавшихся предоставлять данные не должен ограничиваться, кроме случаев, предусмотренных законом.

🪪За создание сайтов для незаконного хранения данных грозит до пяти лет заключения, а за их незаконное использование — до четырех лет. Неправомерный доступ к средствам обработки данных может повлечь до десяти лет лишения свободы при тяжких последствиях.

📝 Законопроект направлен на компенсацию возможных последствий утечек и стимулирование операторов к улучшению мер защиты данных. Однако крупные компании по кибербезопасности опасаются, что поправки не предусматривают достаточных исключений для законных мер защиты, что может привести к выходу некоторых услуг за рамки правового поля.

Россия лидирует по количеству объявлений о продаже баз данных в даркнете, что подчеркивает актуальность проблемы защиты персональных данных.

Подробнее: https://extrim-security.ru/news-ib/tpost/x6fybc0e61-zakon-ob-uzhestochenii-nakazaniya-za-ute