Уязвимость CVE-2024-4577 была опубликована 6 июня. За двое суток злоумышленники из группировки TellYouThePass просканировали и зашифровали 2800 серверов.
Сопроводительное письмо, которое злоумышленники оставили на серверах, гласит о выкупе в размере 6,5 тысяч долларов за ключ к расшифровке.
Злоумышленники используют технику Argument Injectio для запуска произвольного кода на удаленных PHP-серверах.
CVE-2024-4577 влияет на PHP только тогда, когда он работает в режиме, известном как CGI, в котором веб-сервер анализирует HTTP-запросы и передает их PHP-скрипту для обработки. Однако даже когда PHP не установлен в CGI-режиме, уязвимость все еще может использоваться, когда исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в каталогах, доступных веб-серверу.
Уязвимость очень схожа с CVE-2012-1823, но особенность преобразования кодирования в ОС Windows, позволяет неавторизованным пользователям обойти защиту по специфическим последовательным символам.
Рекомендуем проверить версию PHP на своих серверах и установить патчи безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/2ymflyml21-uyazvimost-v-php-s-reitingom-98-iz-10
Сопроводительное письмо, которое злоумышленники оставили на серверах, гласит о выкупе в размере 6,5 тысяч долларов за ключ к расшифровке.
Злоумышленники используют технику Argument Injectio для запуска произвольного кода на удаленных PHP-серверах.
CVE-2024-4577 влияет на PHP только тогда, когда он работает в режиме, известном как CGI, в котором веб-сервер анализирует HTTP-запросы и передает их PHP-скрипту для обработки. Однако даже когда PHP не установлен в CGI-режиме, уязвимость все еще может использоваться, когда исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в каталогах, доступных веб-серверу.
Уязвимость очень схожа с CVE-2012-1823, но особенность преобразования кодирования в ОС Windows, позволяет неавторизованным пользователям обойти защиту по специфическим последовательным символам.
Рекомендуем проверить версию PHP на своих серверах и установить патчи безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/2ymflyml21-uyazvimost-v-php-s-reitingom-98-iz-10
extrim-security.ru
Уязвимость в PHP с рейтингом 9,8 из 10
Злоумышленники шифруют сервера и требуют выкуп
👻 Новая угроза TIKTAG направлена на Google Chrome и Linux.
Этот вид атаки влияет на Memory Tagging Extension (MTE) в архитектуре ARM, что может привести к утечке данных с вероятностью успеха 95%. Функция MTE была внедрена в архитектуру ARM v8.5-A для обнаружения и предотвращения повреждения памяти, используя маркировку для защиты от атак, связанных с повреждением памяти.
Однако специалисты обнаружили, что с помощью инструментов TIKTAG-v1 и TIKTAG-v2 можно спровоцировать спекулятивное выполнение для утечки меток памяти MTE.
В то время как компания Arm не считает эту проблему уязвимостью архитектуры, команда безопасности Chrome признала наличие проблемы, но решила не устранять уязвимости.
Подробнее: https://extrim-security.ru/news-ib/tpost/3lk8kc5jg1-novaya-ugroza-tiktag-napravlena-na-googl
Этот вид атаки влияет на Memory Tagging Extension (MTE) в архитектуре ARM, что может привести к утечке данных с вероятностью успеха 95%. Функция MTE была внедрена в архитектуру ARM v8.5-A для обнаружения и предотвращения повреждения памяти, используя маркировку для защиты от атак, связанных с повреждением памяти.
Однако специалисты обнаружили, что с помощью инструментов TIKTAG-v1 и TIKTAG-v2 можно спровоцировать спекулятивное выполнение для утечки меток памяти MTE.
В то время как компания Arm не считает эту проблему уязвимостью архитектуры, команда безопасности Chrome признала наличие проблемы, но решила не устранять уязвимости.
Подробнее: https://extrim-security.ru/news-ib/tpost/3lk8kc5jg1-novaya-ugroza-tiktag-napravlena-na-googl
extrim-security.ru
Новая угроза TIKTAG направлена на Google Chrome и Linux
Сообщается, что новая угроза влияет на Memory Tagging Extension в архитектуре ARM и может привести к утечке данных
🕸🕷 Злоумышленники используют вредоносное ПО NiceRAT для создания ботнета из заражённых устройств, нацеливаясь на пользователей из Южной Кореи.
Распространение этого ПО происходит через файлообменники и блоги под видом взломанных программ и инструментов активации Windows. Пользователи, следуя указаниям злоумышленников, отключают или удаляют антивирусное ПО, облегчая проникновение вируса в систему.
NiceRAT способен собирать информацию о жертве и отправлять её злоумышленникам через серверы Discord. Пользователям рекомендуется быть осторожными при использовании программ из ненадежных источников и устанавливать антивирусное ПО для защиты своих систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/kpyfyt1h41-nicerat-udalite-svoi-antivirus-chtobi-on
Распространение этого ПО происходит через файлообменники и блоги под видом взломанных программ и инструментов активации Windows. Пользователи, следуя указаниям злоумышленников, отключают или удаляют антивирусное ПО, облегчая проникновение вируса в систему.
NiceRAT способен собирать информацию о жертве и отправлять её злоумышленникам через серверы Discord. Пользователям рекомендуется быть осторожными при использовании программ из ненадежных источников и устанавливать антивирусное ПО для защиты своих систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/kpyfyt1h41-nicerat-udalite-svoi-antivirus-chtobi-on
extrim-security.ru
NiceRat: «Удалите свой антивирус, чтобы он не мешал работать нашему трояну»
Новый трюк киберпреступников отличается коварностью и находчивостью.
TheHackerNews поделились информацией о новом способе обмана пользователей. Злоумышленники привлекают внимание пользователей бесплатными или пиратскими версиями коммерческого программного обеспечения. И все это, чтобы передать загрузчик ВПО Hijack Loader. Который разворачивает программу для кражи информации, известную как Vidar Stealer.
Злоумышленникам удалось обманом заставить пользователей загрузить защищённые паролем архивные файлы, содержащие троянизированные копии приложения Cisco Webex Meetings (ptService.exe).
Пользователи запускали файл «Setup.exe», приложение Cisco Webex Meetings скрытно загружало незаметный загрузчик вредоносных программ. Это приводило к запуску модуля кражи информации.
Вредоносное ПО использует известную технику обхода контроля учётных записей (UAC) для повышения привилегий. После успешного повышения привилегий вредоносное ПО добавляет себя в список исключений Защитника Windows, чтобы скрыть следы присутствия.
Бесплатные приманки для программного обеспечения ещё один субъект угрозы для пользователей.
Подробнее: https://extrim-security.ru/news-ib/tpost/ht8pbi9p21-opensorsnoe-po-ispolzuetsya-dlya-krazhi
Злоумышленникам удалось обманом заставить пользователей загрузить защищённые паролем архивные файлы, содержащие троянизированные копии приложения Cisco Webex Meetings (ptService.exe).
Пользователи запускали файл «Setup.exe», приложение Cisco Webex Meetings скрытно загружало незаметный загрузчик вредоносных программ. Это приводило к запуску модуля кражи информации.
Вредоносное ПО использует известную технику обхода контроля учётных записей (UAC) для повышения привилегий. После успешного повышения привилегий вредоносное ПО добавляет себя в список исключений Защитника Windows, чтобы скрыть следы присутствия.
Бесплатные приманки для программного обеспечения ещё один субъект угрозы для пользователей.
Подробнее: https://extrim-security.ru/news-ib/tpost/ht8pbi9p21-opensorsnoe-po-ispolzuetsya-dlya-krazhi
extrim-security.ru
Опенсорсное ПО используется для кражи конфиденциальных данных
Злоумышленники используют копии Cisco Webex Meetings Ap для распространения вредоносов
🤡 Вредоносная программа для Linux под названием DISGOMOJI использует новый метод атаки, основанный на использовании смайликов для выполнения команд на заражённых устройствах
Она была обнаружена компанией Volexity, которая связывает её с пакистанским хакером UTA0137. Программа уникальна тем, что использует платформу Discord и смайлики для управления и контроля, что позволяет ей обходить стандартные средства защиты.
DISGOMOJI, по мнению Volexity, нацелена на специализированный дистрибутив Linux BOSS, активно используемый в индийских государственных учреждениях, но потенциально может угрожать и другим дистрибутивам Linux.
Подробнее: https://extrim-security.ru/news-ib/tpost/et660y67e1-skritaya-ugroza-kak-vredonos-ispolzuet-s
Она была обнаружена компанией Volexity, которая связывает её с пакистанским хакером UTA0137. Программа уникальна тем, что использует платформу Discord и смайлики для управления и контроля, что позволяет ей обходить стандартные средства защиты.
DISGOMOJI, по мнению Volexity, нацелена на специализированный дистрибутив Linux BOSS, активно используемый в индийских государственных учреждениях, но потенциально может угрожать и другим дистрибутивам Linux.
Подробнее: https://extrim-security.ru/news-ib/tpost/et660y67e1-skritaya-ugroza-kak-vredonos-ispolzuet-s
extrim-security.ru
Скрытая угроза: как вредонос использует смайлики в Discord для атак на Linux
DISGOMOJI, применяет новую методику, которая заключается в использовании смайликов для осуществления команд на заражённых устройствах
👉🏻 Автоматизированная система бинарного анализа Eclypsium выявила уязвимость с высокой степенью воздействия (с заявленным CVSS 7,5) в микропрограмме Phoenix SecureCore UEFI, которая работает на нескольких семействах настольных и мобильных процессоров Intel Core.
Этой уязвимости могут быть подвержены ПК и серверы Lenovo, Acer, Dell и HP.
🕸 Проблема связана с небезопасной переменной в конфигурации доверенного платформенного модуля (TPM), что может привести к переполнению буфера и выполнению вредоносного кода.
🕸 Уязвимость затрагивает несколько версий прошивки SecureCore, работающих на процессорах семейства Intel.
🕸 Возможность использования уязвимости зависит от конфигурации и разрешений, присвоенных переменной TCG2_CONFIGURATION.
🕸 Уязвимость позволяет локальному злоумышленнику повысить уровень привилегий и получить доступ к выполнению кода во встроенном ПО UEFI во время выполнения.
🕸 Такое использование уязвимостей дают злоумышленникам возможность постоянно находиться внутри устройства и часто обходить меры безопасности более высокого уровня.
Подробнее: https://extrim-security.ru/news-ib/tpost/nrd6iitdv1-ueficanhazbufferoverflow-uyazvimi-populy
Этой уязвимости могут быть подвержены ПК и серверы Lenovo, Acer, Dell и HP.
🕸 Проблема связана с небезопасной переменной в конфигурации доверенного платформенного модуля (TPM), что может привести к переполнению буфера и выполнению вредоносного кода.
🕸 Уязвимость затрагивает несколько версий прошивки SecureCore, работающих на процессорах семейства Intel.
🕸 Возможность использования уязвимости зависит от конфигурации и разрешений, присвоенных переменной TCG2_CONFIGURATION.
🕸 Уязвимость позволяет локальному злоумышленнику повысить уровень привилегий и получить доступ к выполнению кода во встроенном ПО UEFI во время выполнения.
🕸 Такое использование уязвимостей дают злоумышленникам возможность постоянно находиться внутри устройства и часто обходить меры безопасности более высокого уровня.
Подробнее: https://extrim-security.ru/news-ib/tpost/nrd6iitdv1-ueficanhazbufferoverflow-uyazvimi-populy
extrim-security.ru
UEFICANHAZBUFFEROVERFLOW. Уязвимы популярные прошивки ПК и серверов
Выявлена уязвимость с высокой степенью воздействия в микропрограмме Phoenix SecureCore UEFI
🗂 Аналитики обнаружили, что злоумышленники создавали поддельные аккаунты в социальных сетях, массово размещали сообщения и посты рекламного характера на площадках с видеоконтентом и образовательных порталах.
Таким способом они пытались масштабировать свою кампанию и мотивировать пользователей воспользоваться якобы преимуществом взломанного софта за счёт отсутствия трат на покупку.
В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
Подробнее: https://extrim-security.ru/news-ib/tpost/tjmg0n53o1-kryak-s-vredonosom
Таким способом они пытались масштабировать свою кампанию и мотивировать пользователей воспользоваться якобы преимуществом взломанного софта за счёт отсутствия трат на покупку.
В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
Подробнее: https://extrim-security.ru/news-ib/tpost/tjmg0n53o1-kryak-s-vredonosom
extrim-security.ru
Кряк с вредоносом
Аналитики Центра кибербезопасности F.A.C.C.T. обнаружили масштабную кампанию распространения ВПО под видом взломанных программ
🇺🇸 Американские власти запретят продажу продуктов "Лаборатории Касперского" и прекратят обновления для них на территории США с 29 сентября 2024 года. Запрет распространяется и на заключение новых соглашений с американскими компаниями, которое будет невозможно с 20 июля 2024 года.
В "Лаборатории Касперского" считают, что решение американского Министерства торговли было принято "вероятно, основываясь на текущей геополитической ситуации и теоретических опасениях, а не на технической оценке продуктов".
Компания предлагает провести проверку своих продуктов независимой третьей стороной и намерена использовать доступные юридические меры, чтобы сохранить текущую деятельность и отношения с партнёрами и клиентами даже после запрета.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9s3u8f8e1-v-ssha-polnostyu-zapretyat-prodazhu-prod
В "Лаборатории Касперского" считают, что решение американского Министерства торговли было принято "вероятно, основываясь на текущей геополитической ситуации и теоретических опасениях, а не на технической оценке продуктов".
Компания предлагает провести проверку своих продуктов независимой третьей стороной и намерена использовать доступные юридические меры, чтобы сохранить текущую деятельность и отношения с партнёрами и клиентами даже после запрета.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9s3u8f8e1-v-ssha-polnostyu-zapretyat-prodazhu-prod
extrim-security.ru
В США полностью запретят продажу продуктов "Лаборатория Касперского" с 29 сентября 2024
США приняло окончательное решение, запрещающее Kaspersky Lab, Inc. «прямо или косвенно поставлять антивирусное программное обеспечение и другие защитные продукты или услуги в США или американским гражданам».
🚪 Бэкдор проник в несколько плагинов WordPress в результате продолжающейся атаки на цепочку поставок
Злоумышленники заражают программное обеспечение прямо на этапе его создания, чтобы затем через обновления или установочные файлы внедриться в большое количество устройств пользователей, которые ни о чём не подозревают.
▪️ Плагины WordPress на 36 000 веб-сайтах были взломаны в результате атаки на цепочку поставок неизвестного происхождения.
◾️ Кампания затронула пять плагинов, сообщили исследователи из охранной фирмы Wordfence: Social Warfare, BLAZE Retail Widge, Wrapper Link Elementor, Contact Form 7 Multi-Step Addon, Simply Show Hooks.
Читать подробнее: https://extrim-security.ru/news-ib/tpost/x47brag9h1-bekdor-pronik-v-neskolko-plaginov-wordpr
Злоумышленники заражают программное обеспечение прямо на этапе его создания, чтобы затем через обновления или установочные файлы внедриться в большое количество устройств пользователей, которые ни о чём не подозревают.
▪️ Плагины WordPress на 36 000 веб-сайтах были взломаны в результате атаки на цепочку поставок неизвестного происхождения.
◾️ Кампания затронула пять плагинов, сообщили исследователи из охранной фирмы Wordfence: Social Warfare, BLAZE Retail Widge, Wrapper Link Elementor, Contact Form 7 Multi-Step Addon, Simply Show Hooks.
Читать подробнее: https://extrim-security.ru/news-ib/tpost/x47brag9h1-bekdor-pronik-v-neskolko-plaginov-wordpr
extrim-security.ru
Бэкдор проник в несколько плагинов WordPress в результате продолжающейся атаки на цепочку поставок
36 000 веб-сайтов подверглись угрозе взлома из-за зараженных плагинов.
👁🗨 Мошенники разработали новый метод атаки в реальных условиях, используя специально созданные файлы консоли управления (MSC), чтобы получить полный контроль над компьютером с помощью консоли управления Microsoft (MMC) и обойти все средства защиты.
Этот метод получил название GrimResource после того, как был обнаружен вредоносный файл ("sccm-updater.msc") на платформе сканирования вирусов VirusTotal 6 июня 2024 года. Используя уязвимость в одной из библиотек MMC, мошенники могут запустить вредоносный код, включая вредоносное ПО.
Для обхода мер безопасности, установленных Microsoft, они также используют уязвимость межсайтового скриптинга (XSS), присутствующую в библиотеке apds.dll, чтобы запустить произвольный код JavaScript в контексте MMC. Это достигается путем добавления ссылки на уязвимый ресурс APDS в раздел StringTable вредоносного MSC-файла.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ukoxinap1-novii-metod-ataki-ispolzuet-faili-konsol
Этот метод получил название GrimResource после того, как был обнаружен вредоносный файл ("sccm-updater.msc") на платформе сканирования вирусов VirusTotal 6 июня 2024 года. Используя уязвимость в одной из библиотек MMC, мошенники могут запустить вредоносный код, включая вредоносное ПО.
Для обхода мер безопасности, установленных Microsoft, они также используют уязвимость межсайтового скриптинга (XSS), присутствующую в библиотеке apds.dll, чтобы запустить произвольный код JavaScript в контексте MMC. Это достигается путем добавления ссылки на уязвимый ресурс APDS в раздел StringTable вредоносного MSC-файла.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ukoxinap1-novii-metod-ataki-ispolzuet-faili-konsol
extrim-security.ru
Новый метод атаки использует файлы консоли управления Microsoft
Мошенники придумали новый способ нападения в реальных условиях, используя специально созданные файлы консоли управления
⚙️ Исследователи из Грацкого технологического университета раскрыли детали новой side-channel атаки под названием SnailLoad. Эта атака позволяет злоумышленнику удаленно узнавать, какие сайты и контент просматривает пользователь без непосредственного доступа к его трафику.
Для осуществления атаки SnailLoad злоумышленник проводит серию измерений задержки (latency) для различных видео на YouTube и сайтов, которые просматривает жертва. Полученные данные позволяют отслеживать время ожидания, включая специфические временные отклонения для каждого целевого видео или сайта, по сути, осуществляя фингерпринтинг каждого из них.
Важным аспектом атаки является то, что вредоносный сервер должен загружать контент очень медленно (отсюда и название SnailLoad), чтобы злоумышленник мог наблюдать за задержкой в течение продолжительного периода времени.
Подробнее: https://extrim-security.ru/news-ib/tpost/f8g08zbzk1-snailload-novaya-side-channel-ataka-na-k
Для осуществления атаки SnailLoad злоумышленник проводит серию измерений задержки (latency) для различных видео на YouTube и сайтов, которые просматривает жертва. Полученные данные позволяют отслеживать время ожидания, включая специфические временные отклонения для каждого целевого видео или сайта, по сути, осуществляя фингерпринтинг каждого из них.
Важным аспектом атаки является то, что вредоносный сервер должен загружать контент очень медленно (отсюда и название SnailLoad), чтобы злоумышленник мог наблюдать за задержкой в течение продолжительного периода времени.
Подробнее: https://extrim-security.ru/news-ib/tpost/f8g08zbzk1-snailload-novaya-side-channel-ataka-na-k
extrim-security.ru
SnailLoad: Новая side-channel атака на конфиденциальность пользователей
Атака позволяет злоумышленникам удаленно узнавать, какие сайты и контент просматривает пользователь без непосредственного доступа к его трафику
🏦 20 июня хакерская атака привела к временным трудностям в работе национальной системы платежных карт (НСПК), включая проблемы с интернет-платежами и переводами через систему быстрого платежа (СБП).
Неполадки в работе НСПК были вызваны атакой типа DDoS, которая повлияла на ограниченное количество сервисов. По словам представителей НСПК, у них есть необходимые средства и механизмы для мониторинга и предотвращения подобных ситуаций.
Атака на НСПК была более успешной, чем предыдущие попытки взлома нескольких крупных российских банков. Злоумышленники применили ковровую атаку, которая наносит ущерб всем ресурсам компании одновременно.
Подробнее: https://extrim-security.ru/news-ib/tpost/g95snb5uh1-sistema-bitih-platezhei
Неполадки в работе НСПК были вызваны атакой типа DDoS, которая повлияла на ограниченное количество сервисов. По словам представителей НСПК, у них есть необходимые средства и механизмы для мониторинга и предотвращения подобных ситуаций.
Атака на НСПК была более успешной, чем предыдущие попытки взлома нескольких крупных российских банков. Злоумышленники применили ковровую атаку, которая наносит ущерб всем ресурсам компании одновременно.
Подробнее: https://extrim-security.ru/news-ib/tpost/g95snb5uh1-sistema-bitih-platezhei
extrim-security.ru
Система битых платежей
Самая масштабная атака хакеров на НСПК вызвала перебои в работе СБП
❗️Обнаружена критическая уязвимость в программном обеспечении MOVEit от компании Progress Software, которая подвергает опасности большие сегменты интернета. Злоумышленники уже пытаются использовать эту уязвимость для проведения атак.
Продукт MOVEit используется для передачи и управления файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая такие известные компании, как Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что повлекло за собой утечку данных о 3,4 миллиона человек.
Подробнее: https://extrim-security.ru/news-ib/tpost/o00pgkm631-kriticheskaya-uyazvimost-moveit-podverga
Продукт MOVEit используется для передачи и управления файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая такие известные компании, как Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что повлекло за собой утечку данных о 3,4 миллиона человек.
Подробнее: https://extrim-security.ru/news-ib/tpost/o00pgkm631-kriticheskaya-uyazvimost-moveit-podverga
extrim-security.ru
Критическая уязвимость MOVEit подвергает серьезному риску многие участки Интернета
Злоумышленники уже пытаются воспользоваться ею для проведения атак, предупреждают эксперты. Аналогичная ошибка в прошлом году привела к повреждению 1800 сетей
👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾
Свеженький, сегодняшний, с пылу с жару - новый выпуск подкаста Метод хакера "Замок из песка"!
В этот раз обсуждаем песочницы информационной безопасности. Наш эксперт Сергей Осипов – бизнес-лидер продукта PT Sandbox от Positive Technologies 🕶
Противоборство песочницы и вредоносного ПО, приманки-провокаторы, машина времени в ИБ. Концентрация только самого интересного и полезного! Советуем даже запастись ручкой и бумажкой, возможно вам захочется записать небольшой конспект :)
Все, все, больше не спойлерим. Послушать можно тут: ЯндексМузыка, Звук, ВК и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
Свеженький, сегодняшний, с пылу с жару - новый выпуск подкаста Метод хакера "Замок из песка"!
В этот раз обсуждаем песочницы информационной безопасности. Наш эксперт Сергей Осипов – бизнес-лидер продукта PT Sandbox от Positive Technologies 🕶
Противоборство песочницы и вредоносного ПО, приманки-провокаторы, машина времени в ИБ. Концентрация только самого интересного и полезного! Советуем даже запастись ручкой и бумажкой, возможно вам захочется записать небольшой конспект :)
Все, все, больше не спойлерим. Послушать можно тут: ЯндексМузыка, Звук, ВК и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
Яндекс Музыка
Замок из песка
Метод хакера • Подкаст • 80 подписчиков • Сезон 1
👿 Специалисты FACCT выявили новую хакерскую группу ReaverBits, осуществляющую рассылку вредоносных писем российским организациям от лица различных компаний и министерств.
На данный момент известно о пяти таких рассылках, целью которых стали российские компании из сферы розничной торговли, телекоммуникаций, процессинговая компания, агропромышленное объединение и федеральный фонд.
Хакеры использовали различные методы, включая выдачу себя за интернет-магазин Skyey и предложение фальшивой скидки на запчасти для автомобилей УАЗ.
Эксперты отмечают, что все атаки направлены исключительно на российские организации, группа активно использует спуфинг и применяет MetaStealer в качестве полезной нагрузки.
Подробнее: https://extrim-security.ru/news-ib/tpost/j46u8dylo1-novaya-hakerskaya-ugroza-reaverbits-atak
На данный момент известно о пяти таких рассылках, целью которых стали российские компании из сферы розничной торговли, телекоммуникаций, процессинговая компания, агропромышленное объединение и федеральный фонд.
Хакеры использовали различные методы, включая выдачу себя за интернет-магазин Skyey и предложение фальшивой скидки на запчасти для автомобилей УАЗ.
Эксперты отмечают, что все атаки направлены исключительно на российские организации, группа активно использует спуфинг и применяет MetaStealer в качестве полезной нагрузки.
Подробнее: https://extrim-security.ru/news-ib/tpost/j46u8dylo1-novaya-hakerskaya-ugroza-reaverbits-atak
extrim-security.ru
Новая хакерская угроза: ReaverBits атакует российские организации
Специалисты FACCT выявили новую хакерскую группу, которая осуществляет рассылку вредоносных писем российским организациям от лица различных компаний и министерств.
🔨 Компания Juniper Networks выпустила обновления для устранения критической уязвимости в своих маршрутизаторах, которая может привести к обходу аутентификации.
Уязвимость получила высокую оценку CVSS и затрагивает только определенные модели маршрутизаторов. Производитель заявил, что не обнаружено активного использования уязвимости и выпустил автоматические исправления для затронутых устройств.
В январе 2024 года компания также выпустила исправления другой критической уязвимости, которая может позволить злоумышленнику вызвать отказ в обслуживании или удаленное выполнение кода.
Подробнее: https://extrim-security.ru/news-ib/tpost/ihj3xx72z1-ustranenie-kriticheskoi-uyazvimosti-v-ma
Уязвимость получила высокую оценку CVSS и затрагивает только определенные модели маршрутизаторов. Производитель заявил, что не обнаружено активного использования уязвимости и выпустил автоматические исправления для затронутых устройств.
В январе 2024 года компания также выпустила исправления другой критической уязвимости, которая может позволить злоумышленнику вызвать отказ в обслуживании или удаленное выполнение кода.
Подробнее: https://extrim-security.ru/news-ib/tpost/ihj3xx72z1-ustranenie-kriticheskoi-uyazvimosti-v-ma
extrim-security.ru
Устранение критической уязвимости в маршрутизаторах Juniper Networks
Компания Juniper Networks выпустила обновления для устранения критической уязвимости в своих маршрутизаторах, которая может привести к обходу аутентификации
👉🏻 Исследователи из подразделения угроз Qualys (TRU) обнаружили критическую уязвимость в безопасности сервера OpenSSH (sshd) в системах Linux на основе glibc, которую они назвали "regreSSHion". Эта уязвимость, обозначенная кодом CVE-2024-6387, позволяет удаленно выполнять код без аутентификации (RCE), представляя серьезную угрозу для затронутых систем.
👉🏻 Согласно Бхарату Джоги, старшему директору Qualys TRU, уязвимость описывается как "состояние гонки обработчика сигналов на сервере OpenSSH (sshd)".
Хотя использование этой уязвимости сложно и требует нескольких попыток, оно все же может привести к повреждению памяти и требует преодоления рандомизации расположения адресного пространства (ASLR).
Подробнее: https://extrim-security.ru/news-ib/tpost/esd18rhcy1-obnaruzhena-kriticheskaya-uyazvimost-v-o
👉🏻 Согласно Бхарату Джоги, старшему директору Qualys TRU, уязвимость описывается как "состояние гонки обработчика сигналов на сервере OpenSSH (sshd)".
Хотя использование этой уязвимости сложно и требует нескольких попыток, оно все же может привести к повреждению памяти и требует преодоления рандомизации расположения адресного пространства (ASLR).
Подробнее: https://extrim-security.ru/news-ib/tpost/esd18rhcy1-obnaruzhena-kriticheskaya-uyazvimost-v-o
extrim-security.ru
Обнаружена "Критическая" уязвимость в OpenSSH, затрагивающая почти все системы Linux
14 миллионов серверов, подключенных к интернету, уязвимы
💵 Мошенники начали публиковать ложные объявления о работе в IT-сфере в популярных Telegram-каналах. Они просят у соискателей личные данные и пытаются привязать к их банковским счетам номера SIM-карт, чтобы украсть деньги.
Эксперты считают, что интерес мошенников к IT-вакансиям вызван высоким спросом на удаленную работу и популярностью этой сферы. Фальшивые объявления публикуются в крупных каналах с большим количеством подписчиков.
Одно из таких объявлений было опубликовано в канале с 20 тысячами подписчиков. Специалисты рекомендуют проверять вакансии на официальных сайтах компаний или на проверенных сайтах по поиску работы.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ol3mm0sf1-moshennichestvo-v-telegram-zloumishlenni
Эксперты считают, что интерес мошенников к IT-вакансиям вызван высоким спросом на удаленную работу и популярностью этой сферы. Фальшивые объявления публикуются в крупных каналах с большим количеством подписчиков.
Одно из таких объявлений было опубликовано в канале с 20 тысячами подписчиков. Специалисты рекомендуют проверять вакансии на официальных сайтах компаний или на проверенных сайтах по поиску работы.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ol3mm0sf1-moshennichestvo-v-telegram-zloumishlenni
extrim-security.ru
Мошенничество в Telegram: злоумышленники используют объявления о работе в IT для кражи денег
Злоумышленники запрашивают личные данные соискателей и пытаются получить доступ к их банковским счетам, чтобы украсть деньги
🛩 Австралийская федеральная полиция обвинила мужчину в атаках типа Evil Twin на внутренние рейсы и аэропорты Перта, Мельбурна и Аделаиды. Злоумышленник получал доступ к электронной почте и учётным данным соцсетей жертв.
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
extrim-security.ru
Австралиец арестован за Wi-Fi атаку Evil Twin на борту самолета
Он получал доступ к электронной почте и учетным данным социальных сетей жертв.
👁🗨 Исследователи кибербезопасности обнаружили новый ботнет, названный Zergeca, который способен проводить DDoS-атаки. Он на базе Golang и использует DNS поверх HTTPS (DoH) для связи с серверами командования и управления.
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
extrim-security.ru
Новая ботнет-сеть Zergeca на базе Golang способна к мощным DDoS-атакам
Он обладает расширенными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве
🦠 В Git-сервисе Gogs обнаружены четыре уязвимости безопасности, включая три критические.
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
extrim-security.ru
В Gogs Open-Source Git Service обнаружены критические неисправленные недостатки
Уязвимости могут позволить злоумышленникам получить доступ к исходному коду и секретам конфигурации