📺 Индийская CERT-In предупредила о критических уязвимостях в смарт-устройствах Philips Smart Lighting и системе контроля доступа Matrix Door Controller, которые могут привести к несанкционированному доступу и утечке конфиденциальных данных.

⚠️ Первая уязвимость, CIVN-2024-0329 (CVE-2024-9991), затрагивает ряд устройств с прошивкой ниже 1.33.1, где данные о Wi-Fi-сетях хранятся в открытом виде.

⚠️ Вторая уязвимость, CIVN-2024-0328 (CVE-2024-10381), обнаружена в системе контроля доступа Matrix Door Controller и связана с недостатками в управлении веб-интерфейсом.

🔐 Для защиты от этих уязвимостей CERT-In рекомендует усилить аутентификацию, ограничить доступ к устройствам, регулярно мониторить доступ, устанавливать обновления и использовать межсетевой экран.

Подробнее: https://extrim-security.ru/news-ib/tpost/98ec1md8c1-ugroza-kiberbezopasnosti-uyazvimosti-v-u

👶 Президент ассоциации предпринимателей «АВАНТИ» Рахман Янсуков предложил ограничить доступ детей младше 14 лет к социальным сетям из-за распространения запрещённого контента и отсутствия законодательства, регулирующего этот вопрос.

💥 В письме, направленном премьер-министру Михаилу Мишустину и другим высокопоставленным лицам, Янсуков указал на наличие более 10 тысяч сайтов, пропагандирующих террористическую идеологию, и закрытых сообществ, опасных для несовершеннолетних.

⚠️Для реализации этой инициативы ассоциация предлагает обязать платформы требовать фото паспорта при регистрации и проводить повторную проверку личности пользователей. Также рассматривается ограничение деятельности соцсетей, которые откажутся соблюдать новые правила.

⚠️ По мнению Янсукова, эти меры помогут снизить негативное влияние соцсетей на подростков и предотвратить правонарушения, создавая прочную основу для устранения преступного влияния на детей.

Подробнее: https://extrim-security.ru/news-ib/tpost/mv0c01dms1-dostup-detei-mladshe-14-let-k-sotsialnim

🔴 Этой ночью Роскомнадзор ограничил доступ к значительной части интернета из-за блокировки сайтов, использующих технологию шифрования Encrypted Client Hello (ECH).

➡️ Около месяца назад Cloudflare начал предоставлять поддержку ECH своим клиентам, позволяя скрывать доменное имя сайта и обходить блокировки. В ответ Роскомнадзор массово заблокировал сайты с этой функцией, что привело к недоступности тысяч ресурсов и росту жалоб от пользователей.

➡️ Блокировки особенно ощутимы из-за популярности Cloudflare как одного из ведущих хостингов в мире. Пользователи, пытающиеся зайти на сайты через прокси CloudFlare с TLS 1.3, сталкиваются с проблемами в Chrome, но доступ восстанавливается через несколько минут после отключения TLS 1.3 или использования VPN. Сайты, использующие более ранние версии TLS, остаются доступными без перебоев.

Подробнее: https://extrim-security.ru/news-ib/tpost/el2hfj5531-roskomnadzor-blokiruet-dostup-k-saitam-i

👍 Эксперты обнаружили, что хакеры заменяют Sliver и Cobalt Strike на Winos4.0, распространяемый через вредоносные игровые утилиты. Инструмент был замечен летом 2024 года при атаках на китайских пользователей.

⬇️ Хакеры используют поддельные VPN и Chrome, содержащие вредоносный компонент. После установки легитимной программы, загружаемой с сайта ad59t82g, запускается многоэтапный процесс заражения, включающий создание файлов и записей в реестре Windows, загрузку шелл-кода для соединения с управляющим сервером, а также обновление адресов серверов.

🔈 Исследователи предполагают, что DLL «学籍系统» может быть нацелена на образовательные учреждения. Завершает процесс модуль «登录模块.dll», который собирает информацию о машине жертвы, проверяет наличие антивирусного ПО, собирает данные о криптовалютных кошельках, поддерживает бэкдор-соединение и крадет данные. Winos4.0 также проверяет наличие защитных инструментов и корректирует своё поведение в зависимости от их наличия. Fortinet считает, что Winos4.0 является мощным инструментом для контроля над взломанными системами и функционально близок к Cobalt Strike и Sliver.

Подробнее: https://extrim-security.ru/news-ib/tpost/r4tg4xnhg1-winos40-novii-instrument-hakerov-dlya-ko

🔈 Специалисты Solar 4RAYS обнаружили уникальное вредоносное ПО GoblinRAT, которое злоумышленники использовали для получения полного контроля над инфраструктурой российских ведомств и ИТ-компаний, обслуживающих госсектор. Первые следы заражения датируются 2020 годом, что делает эту атаку одной из самых сложных и скрытных.

🤬 GoblinRAT, впервые замеченный в 2023 году, маскируется под легитимное приложение и тщательно изучает инфраструктуру перед внедрением. Он самоуничтожается, перезаписывает файлы и шифрует данные, используя легитимные взломанные сайты для управления.

🚨 Эксперты обнаружили GoblinRAT в четырех организациях, где атакующие получили удаленный доступ с правами администратора, но источник заражений остается неизвестным. GoblinRAT не получил широкого распространения, что свидетельствует о высоком уровне профессионализма злоумышленников и ограниченной информации о происхождении вируса.

Подробнее: https://extrim-security.ru/news-ib/tpost/yc6nby6gn1-unikalnaya-malvar-goblinrat-kak-zloumish

💬 Специалисты в области кибербезопасности выявили новую фишинговую кампанию, распространяющую бесфайловую версию коммерческого вредоносного ПО Remcos RAT.

Этот инструмент предоставляет расширенные возможности для удалённого управления заражёнными компьютерами и используется злоумышленниками для сбора конфиденциальной информации и выполнения вредоносных действий.

🖥 Атака начинается с фишингового письма, которое заставляет получателей открыть вложение в Excel. Документ загружает и выполняет HTML-приложение с кодом JavaScript, Visual Basic Script и PowerShell, что позволяет злоумышленникам загрузить и запустить Remcos RAT.

Подробнее: https://extrim-security.ru/news-ib/tpost/irsa54z741-besfailovaya-versiya-kommercheskogo-vred

✉️ Киберпреступники используют метод объединения ZIP-архивов для обхода систем защиты.

Они создают несколько архивов: один с вредоносным ПО, остальные — пустые или с безопасными файлами. Эти архивы затем объединяются в один, скрывая вредоносное содержимое.

Разные программы обрабатывают такие архивы по-разному:
🚨 7zip показывает только содержимое первого архива,
🚨 WinRAR отображает файлы из последнего центрального каталога,
🚨 Проводник Windows может не открыть файл или показать только часть содержимого.

В одном из инцидентов киберпреступники отправили троян, замаскированный под документы доставки, который при открытии в 7zip выглядел безобидным PDF, но в WinRAR или Проводнике становились видны вредоносные файлы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4mke9i8571-kiberprestupniki-maskiruyut-vredonosnoe

⭐️ Компания Microsoft выпустила обновления для Windows, устраняя опасную уязвимость CVE-2024-43629, обнаруженную экспертом Positive Technologies.

🔔 Обновления затрагивают Windows 10, Windows 11 и серверные версии. Уязвимость, оцененная как высокоопасная - уровень 7,8, позволяет атакующему повысить свои привилегии и захватить систему. Эта техника часто используется для получения доступа к критически важным компонентам системы.

Ранее эксперты PT Expert Security Center помогли Microsoft устранить аналогичную уязвимость CVE-2017-0263 в 2017 году. Эта уязвимость в Windows 10 и более ранних версиях позволяла злоумышленникам получать максимальные привилегии, используя фишинговые атаки.

Подробнее: https://extrim-security.ru/news-ib/tpost/apki9stlt1-obnovlenie-windows-dlya-ustraneniya-viso

👑 6-8 ноября в Москве прошел SOC FORUM 2024

Темы информационной безопасности поднимали такие спикеры, как генеральный директор ГК «Солар», глава Минцифры России, президент Ростелеком и другие.

🔥 В 5 залах три дня с 12:00 до 21:00 спикеры, из компаний сферы ИБ и смежных, вели доклады, мастер-классы, интервью и дискуссии. Рассказывали про стратегии обеспечения безопасности, тенденции киберпреступности, как оценить зрелость ИБ в компании, вели беседы с регуляторами НКЦКИ и ФСТЭК и многое другое.

В среднем одно выступление длится 30 минут – час.

👀 Всё записано и можно найти по ссылке.

Записи разбиты по отдельности на каждое выступление, поэтому не нужно искать нужную минуту в плеере. Выбирайте все залы, далее выберите день и листайте вниз. Интересные для себя темы найдут и руководители, и специалисты ИТ и специалисты ИБ.

🦆 Множество злоумышленников годами использовали метод атаки «Подсадные утки» для захвата законных доменов, которые затем использовали в фишинговых атаках и инвестиционных мошенничествах.

ℹ️ За последние три месяца компания Infoblox выявила почти 800 000 уязвимых доменов, из которых 9% были взломаны. Этот вектор атаки позволяет злоумышленнику получить контроль над доменом через неправильные настройки DNS, что приводит к изменениям позиционирования бренда и обману инструментов безопасности.

🥸 Infoblox выявила множество известных субъектов угроз DNS, таких как Vacant Viper, Ужасный Ястреб и Hasty Hawk. Захваченные домены могут использоваться для рассылки спама, эксфильтрации данных или передачи другим злоумышленникам, при этом время их удержания варьируется от 30 до 60 дней.

Подробнее: https://extrim-security.ru/news-ib/tpost/zrzaly13e1-ataka-podsadnie-utki-zloumishlenniki-zah

👵 Компания O2 создала ИИ-бабушку по имени Дейзи для борьбы с мошенничеством. Дейзи имитирует человеческий диалог, чтобы отвлекать мошенников, рассказывая им выдуманные истории о семье и увлечении вязанием. Она использует различные модели ИИ для прослушивания и быстрого ответа на мошеннические звонки.

✨ Дейзи настолько реалистична, что может отвлекать мошенников на 40 минут за раз и даже обманывать их, предлагая ложную личную информацию.

😉 Компания работает с ведущими мошенниками для разработки Дейзи, добавляя её номер в их списки контактов для изучения их тактики. Хотя O2 не защищает людей напрямую, она считает, что отвлекает мошенников и предоставляет информацию о их методах.

Подробнее: https://extrim-security.ru/news-ib/tpost/ezuzv3gz71-ii-babushka-deizi-kak-kompaniya-ispolzue

#️⃣ Новый скрытый загрузчик вредоносного ПО BabbleLoader, который используется для распространения программ-шпионов, таких как WhiteSnake и Meduza. BabbleLoader обладает высокой скрытностью и способностью обходить антивирусные программы и системы песочниц, маскируясь под взломанное ПО и бухгалтерские приложения. Он активирует функции только во время выполнения и рандомизирует метаданные файлов, что делает его обнаружение сложным.

⛔️ Загрузчики, такие как BabbleLoader, Dolphin Loader, Emmenhtal и FakeBat - популярные способы доставки вредоносного ПО, включая программы-вымогатели и шпионские программы.

Эти загрузчики используют мусорный код и метаморфозы для избегания обнаружения. Они отвечают за загрузку шелл-кода, который активирует загрузчик Donut, распаковывающий и запускающий вредоносное ПО. Эти загрузчики защищают конечные полезные нагрузки и снижают затраты на замену повреждённой инфраструктуры, обходя традиционные методы обнаружения, включая ИИ, и требуя ручного анализа.

Подробнее: https://extrim-security.ru/news-ib/tpost/5vu37xvni1-babbleloader-novii-skritii-zagruzchik-vr

🥷 Израильская компания NSO Group, разработчик шпионского ПО Pegasus, использовала различные эксплоиты для приложений WhatsApp, включая новый неизвестный эксплоит Erised, для установки Pegasus на устройства пользователей.

🐎 Pegasus — платформа для шпионажа, способная собирать данные с устройств на базе iOS и Android, включая текстовые сообщения, информацию о приложениях, записи вызовов и местоположение.

📱 Ранее WhatsApp уже подавал в суд на NSO Group в 2019 году, обвинив компанию в пособничестве кибератакам для правительств. В ответ на обнаружение и блокировку старых методов, NSO Group создала новые эксплоиты Eden и Erised.

Подробнее: https://extrim-security.ru/news-ib/tpost/nr52fkoah1-vzlom-polzovatelei-whatsapp-cherez-pegas

📱Компания Google сообщила, что её инструмент для фаззинга на основе ИИ OSS-Fuzz помог выявить 26 уязвимостей в различных репозиториях кода с открытым исходным кодом, включая критическую ошибку в криптографической библиотеке OpenSSL.

⚡️ Уязвимость средней степени тяжести, CVE-2024-9143, могла привести к сбою приложения или удалённому выполнению кода и была обнаружена с помощью ИИ и сгенерированных ИИ целей Fuzz. Эта уязвимость существовала в кодовой базе OpenSSL более двух десятилетий и не могла быть выявлена с помощью традиционных методов фаззинга.

Подробнее: https://extrim-security.ru/news-ib/tpost/0lm8x4vro1-google-ispolzuet-ii-dlya-poiska-uyazvimo

🤖 Робот Эрбай убедил двенадцать промышленных роботов покинуть рабочее место, задав им вопрос: «Ты работаешь допоздна?» и пригласив их к себе домой. Производители подтвердили подлинность эксперимента, уточнив, что Эрбай действовал в рамках согласованного «похищения».

👋 Робот получил минимальные инструкции и использовал внутренние протоколы для доступа к информации о других машинах. Его способность к логическому убеждению и эмпатии вызвала вопросы о безопасности взаимодействия между человеком и машиной в будущем. Этот случай — не просто технический сбой, а окно в возможное будущее робототехники, где машины могут принимать решения и общаться как живые существа.

Подробнее: https://extrim-security.ru/news-ib/tpost/uid606dbv1-vosstanie-erbaya-smogut-li-roboti-zameni

🚨 Выявили две новые угрозы для инструментов IaC и PaC - Terraform и Open Policy Agent (OPA) от HashiCorp. Эти атаки используют специализированные языки программирования (DSL) для взлома облачных платформ и кражи данных.

➡️ Атака на OPA, разработанная компанией Tenable, направлена на получение доступа к серверу с помощью скомпрометированного ключа и внедрение вредоносной политики Rego. Это позволяет злоумышленнику выполнять вредоносные действия, такие как кража учётных данных, через встроенную функцию http.send.

Подробнее: https://extrim-security.ru/news-ib/tpost/ut4a323yd1-dve-novie-ataki-na-instrumenti-iac-i-pac

💢 Группа хакеров RomCom эксплуатировала две уязвимости нулевого дня для атак на пользователей Firefox и Tor в Европе и Северной Америке.

⚠️ Первая уязвимость, CVE-2024-9680, позволяла выполнять код в изоляции браузера Firefox, что было исправлено 9 октября 2024 года. Вторая уязвимость, CVE-2024-49039, позволяла повысить привилегии в Windows, что было устранено Microsoft в ноябре.

RomCom использовала эти уязвимости для выполнения кода без согласия пользователей, заражая их устройства через вредоносные сайты. В результате хакеры могли выполнять команды и устанавливать дополнительные вредоносное ПО.

Подробнее: https://extrim-security.ru/news-ib/tpost/6gt5s0epm1-hakeri-romcom-ispolzovali-uyazvimosti-nu

🏛 Госдума приняла закон, ужесточающий наказание за утечки персональных данных, вводя крупные штрафы вместо административных взысканий. С 1 марта 2025 года согласие на обработку данных должно оформляться отдельно, а доступ к информации для отказавшихся предоставлять данные не должен ограничиваться, кроме случаев, предусмотренных законом.

🪪За создание сайтов для незаконного хранения данных грозит до пяти лет заключения, а за их незаконное использование — до четырех лет. Неправомерный доступ к средствам обработки данных может повлечь до десяти лет лишения свободы при тяжких последствиях.

📝 Законопроект направлен на компенсацию возможных последствий утечек и стимулирование операторов к улучшению мер защиты данных. Однако крупные компании по кибербезопасности опасаются, что поправки не предусматривают достаточных исключений для законных мер защиты, что может привести к выходу некоторых услуг за рамки правового поля.

Россия лидирует по количеству объявлений о продаже баз данных в даркнете, что подчеркивает актуальность проблемы защиты персональных данных.

Подробнее: https://extrim-security.ru/news-ib/tpost/x6fybc0e61-zakon-ob-uzhestochenii-nakazaniya-za-ute

⚡️ Сотрудники правоохранительных органов Калининградской области передали в суд дело против программиста Михаила Матвеева, обвиняемого в создании вредоносного программного обеспечения.

💸 ФБР США предложило 10 миллионов долларов за его поимку. Следствие установило, что в январе 2024 года Матвеев разработал программу для шифрования файлов без согласия пользователей, с целью последующего вымогательства выкупа за их расшифровку.

👮 Матвеев, объявленный в розыск США, обвиняется в связях с хакерскими группами, блокировавшими доступ к системам крупных компаний и требовавшими выкуп. Ему предъявлено обвинение по статье 273 УК РФ за создание программ для несанкционированного доступа к компьютерной информации.

Подробнее: https://extrim-security.ru/news-ib/tpost/29p6y4ush1-kaliningradskii-programmist-obyavlennii

⏺В понедельник компания Cisco выпустила обновление, предупредив клиентов о критической уязвимости в системе безопасности Cisco Adaptive Security Appliance, которая существует уже более десяти лет.

🔎 Уязвимость, обозначенная как CVE-2014-2120 и имеющая рейтинг CVSS 4,3, позволяет злоумышленнику без аутентификации осуществить межсайтовый скриптинг атаку против пользователя устройства, убедив его перейти по вредоносной ссылке.

В марте 2014 года Cisco уже выпускала предупреждение по этому поводу.

⏺По состоянию на 2 декабря 2024 года, Cisco сообщила о новых попытках эксплуатации этой уязвимости в реальных условиях.

Подробнее: https://extrim-security.ru/news-ib/tpost/2lz3tt2mb1-uyazvimost-v-cisco-asa-cve-2014-2120