👁🗨 Мошенники разработали новый метод атаки в реальных условиях, используя специально созданные файлы консоли управления (MSC), чтобы получить полный контроль над компьютером с помощью консоли управления Microsoft (MMC) и обойти все средства защиты.
Этот метод получил название GrimResource после того, как был обнаружен вредоносный файл ("sccm-updater.msc") на платформе сканирования вирусов VirusTotal 6 июня 2024 года. Используя уязвимость в одной из библиотек MMC, мошенники могут запустить вредоносный код, включая вредоносное ПО.
Для обхода мер безопасности, установленных Microsoft, они также используют уязвимость межсайтового скриптинга (XSS), присутствующую в библиотеке apds.dll, чтобы запустить произвольный код JavaScript в контексте MMC. Это достигается путем добавления ссылки на уязвимый ресурс APDS в раздел StringTable вредоносного MSC-файла.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ukoxinap1-novii-metod-ataki-ispolzuet-faili-konsol
Этот метод получил название GrimResource после того, как был обнаружен вредоносный файл ("sccm-updater.msc") на платформе сканирования вирусов VirusTotal 6 июня 2024 года. Используя уязвимость в одной из библиотек MMC, мошенники могут запустить вредоносный код, включая вредоносное ПО.
Для обхода мер безопасности, установленных Microsoft, они также используют уязвимость межсайтового скриптинга (XSS), присутствующую в библиотеке apds.dll, чтобы запустить произвольный код JavaScript в контексте MMC. Это достигается путем добавления ссылки на уязвимый ресурс APDS в раздел StringTable вредоносного MSC-файла.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ukoxinap1-novii-metod-ataki-ispolzuet-faili-konsol
extrim-security.ru
Новый метод атаки использует файлы консоли управления Microsoft
Мошенники придумали новый способ нападения в реальных условиях, используя специально созданные файлы консоли управления
⚙️ Исследователи из Грацкого технологического университета раскрыли детали новой side-channel атаки под названием SnailLoad. Эта атака позволяет злоумышленнику удаленно узнавать, какие сайты и контент просматривает пользователь без непосредственного доступа к его трафику.
Для осуществления атаки SnailLoad злоумышленник проводит серию измерений задержки (latency) для различных видео на YouTube и сайтов, которые просматривает жертва. Полученные данные позволяют отслеживать время ожидания, включая специфические временные отклонения для каждого целевого видео или сайта, по сути, осуществляя фингерпринтинг каждого из них.
Важным аспектом атаки является то, что вредоносный сервер должен загружать контент очень медленно (отсюда и название SnailLoad), чтобы злоумышленник мог наблюдать за задержкой в течение продолжительного периода времени.
Подробнее: https://extrim-security.ru/news-ib/tpost/f8g08zbzk1-snailload-novaya-side-channel-ataka-na-k
Для осуществления атаки SnailLoad злоумышленник проводит серию измерений задержки (latency) для различных видео на YouTube и сайтов, которые просматривает жертва. Полученные данные позволяют отслеживать время ожидания, включая специфические временные отклонения для каждого целевого видео или сайта, по сути, осуществляя фингерпринтинг каждого из них.
Важным аспектом атаки является то, что вредоносный сервер должен загружать контент очень медленно (отсюда и название SnailLoad), чтобы злоумышленник мог наблюдать за задержкой в течение продолжительного периода времени.
Подробнее: https://extrim-security.ru/news-ib/tpost/f8g08zbzk1-snailload-novaya-side-channel-ataka-na-k
extrim-security.ru
SnailLoad: Новая side-channel атака на конфиденциальность пользователей
Атака позволяет злоумышленникам удаленно узнавать, какие сайты и контент просматривает пользователь без непосредственного доступа к его трафику
🏦 20 июня хакерская атака привела к временным трудностям в работе национальной системы платежных карт (НСПК), включая проблемы с интернет-платежами и переводами через систему быстрого платежа (СБП).
Неполадки в работе НСПК были вызваны атакой типа DDoS, которая повлияла на ограниченное количество сервисов. По словам представителей НСПК, у них есть необходимые средства и механизмы для мониторинга и предотвращения подобных ситуаций.
Атака на НСПК была более успешной, чем предыдущие попытки взлома нескольких крупных российских банков. Злоумышленники применили ковровую атаку, которая наносит ущерб всем ресурсам компании одновременно.
Подробнее: https://extrim-security.ru/news-ib/tpost/g95snb5uh1-sistema-bitih-platezhei
Неполадки в работе НСПК были вызваны атакой типа DDoS, которая повлияла на ограниченное количество сервисов. По словам представителей НСПК, у них есть необходимые средства и механизмы для мониторинга и предотвращения подобных ситуаций.
Атака на НСПК была более успешной, чем предыдущие попытки взлома нескольких крупных российских банков. Злоумышленники применили ковровую атаку, которая наносит ущерб всем ресурсам компании одновременно.
Подробнее: https://extrim-security.ru/news-ib/tpost/g95snb5uh1-sistema-bitih-platezhei
extrim-security.ru
Система битых платежей
Самая масштабная атака хакеров на НСПК вызвала перебои в работе СБП
❗️Обнаружена критическая уязвимость в программном обеспечении MOVEit от компании Progress Software, которая подвергает опасности большие сегменты интернета. Злоумышленники уже пытаются использовать эту уязвимость для проведения атак.
Продукт MOVEit используется для передачи и управления файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая такие известные компании, как Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что повлекло за собой утечку данных о 3,4 миллиона человек.
Подробнее: https://extrim-security.ru/news-ib/tpost/o00pgkm631-kriticheskaya-uyazvimost-moveit-podverga
Продукт MOVEit используется для передачи и управления файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая такие известные компании, как Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что повлекло за собой утечку данных о 3,4 миллиона человек.
Подробнее: https://extrim-security.ru/news-ib/tpost/o00pgkm631-kriticheskaya-uyazvimost-moveit-podverga
extrim-security.ru
Критическая уязвимость MOVEit подвергает серьезному риску многие участки Интернета
Злоумышленники уже пытаются воспользоваться ею для проведения атак, предупреждают эксперты. Аналогичная ошибка в прошлом году привела к повреждению 1800 сетей
👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾
Свеженький, сегодняшний, с пылу с жару - новый выпуск подкаста Метод хакера "Замок из песка"!
В этот раз обсуждаем песочницы информационной безопасности. Наш эксперт Сергей Осипов – бизнес-лидер продукта PT Sandbox от Positive Technologies 🕶
Противоборство песочницы и вредоносного ПО, приманки-провокаторы, машина времени в ИБ. Концентрация только самого интересного и полезного! Советуем даже запастись ручкой и бумажкой, возможно вам захочется записать небольшой конспект :)
Все, все, больше не спойлерим. Послушать можно тут: ЯндексМузыка, Звук, ВК и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
Свеженький, сегодняшний, с пылу с жару - новый выпуск подкаста Метод хакера "Замок из песка"!
В этот раз обсуждаем песочницы информационной безопасности. Наш эксперт Сергей Осипов – бизнес-лидер продукта PT Sandbox от Positive Technologies 🕶
Противоборство песочницы и вредоносного ПО, приманки-провокаторы, машина времени в ИБ. Концентрация только самого интересного и полезного! Советуем даже запастись ручкой и бумажкой, возможно вам захочется записать небольшой конспект :)
Все, все, больше не спойлерим. Послушать можно тут: ЯндексМузыка, Звук, ВК и mave. Или прямо на нашем сайте
UPD: Теперь и в тг такая возможность есть)
Яндекс Музыка
Замок из песка
Метод хакера • Подкаст • 80 подписчиков • Сезон 1
👿 Специалисты FACCT выявили новую хакерскую группу ReaverBits, осуществляющую рассылку вредоносных писем российским организациям от лица различных компаний и министерств.
На данный момент известно о пяти таких рассылках, целью которых стали российские компании из сферы розничной торговли, телекоммуникаций, процессинговая компания, агропромышленное объединение и федеральный фонд.
Хакеры использовали различные методы, включая выдачу себя за интернет-магазин Skyey и предложение фальшивой скидки на запчасти для автомобилей УАЗ.
Эксперты отмечают, что все атаки направлены исключительно на российские организации, группа активно использует спуфинг и применяет MetaStealer в качестве полезной нагрузки.
Подробнее: https://extrim-security.ru/news-ib/tpost/j46u8dylo1-novaya-hakerskaya-ugroza-reaverbits-atak
На данный момент известно о пяти таких рассылках, целью которых стали российские компании из сферы розничной торговли, телекоммуникаций, процессинговая компания, агропромышленное объединение и федеральный фонд.
Хакеры использовали различные методы, включая выдачу себя за интернет-магазин Skyey и предложение фальшивой скидки на запчасти для автомобилей УАЗ.
Эксперты отмечают, что все атаки направлены исключительно на российские организации, группа активно использует спуфинг и применяет MetaStealer в качестве полезной нагрузки.
Подробнее: https://extrim-security.ru/news-ib/tpost/j46u8dylo1-novaya-hakerskaya-ugroza-reaverbits-atak
extrim-security.ru
Новая хакерская угроза: ReaverBits атакует российские организации
Специалисты FACCT выявили новую хакерскую группу, которая осуществляет рассылку вредоносных писем российским организациям от лица различных компаний и министерств.
🔨 Компания Juniper Networks выпустила обновления для устранения критической уязвимости в своих маршрутизаторах, которая может привести к обходу аутентификации.
Уязвимость получила высокую оценку CVSS и затрагивает только определенные модели маршрутизаторов. Производитель заявил, что не обнаружено активного использования уязвимости и выпустил автоматические исправления для затронутых устройств.
В январе 2024 года компания также выпустила исправления другой критической уязвимости, которая может позволить злоумышленнику вызвать отказ в обслуживании или удаленное выполнение кода.
Подробнее: https://extrim-security.ru/news-ib/tpost/ihj3xx72z1-ustranenie-kriticheskoi-uyazvimosti-v-ma
Уязвимость получила высокую оценку CVSS и затрагивает только определенные модели маршрутизаторов. Производитель заявил, что не обнаружено активного использования уязвимости и выпустил автоматические исправления для затронутых устройств.
В январе 2024 года компания также выпустила исправления другой критической уязвимости, которая может позволить злоумышленнику вызвать отказ в обслуживании или удаленное выполнение кода.
Подробнее: https://extrim-security.ru/news-ib/tpost/ihj3xx72z1-ustranenie-kriticheskoi-uyazvimosti-v-ma
extrim-security.ru
Устранение критической уязвимости в маршрутизаторах Juniper Networks
Компания Juniper Networks выпустила обновления для устранения критической уязвимости в своих маршрутизаторах, которая может привести к обходу аутентификации
👉🏻 Исследователи из подразделения угроз Qualys (TRU) обнаружили критическую уязвимость в безопасности сервера OpenSSH (sshd) в системах Linux на основе glibc, которую они назвали "regreSSHion". Эта уязвимость, обозначенная кодом CVE-2024-6387, позволяет удаленно выполнять код без аутентификации (RCE), представляя серьезную угрозу для затронутых систем.
👉🏻 Согласно Бхарату Джоги, старшему директору Qualys TRU, уязвимость описывается как "состояние гонки обработчика сигналов на сервере OpenSSH (sshd)".
Хотя использование этой уязвимости сложно и требует нескольких попыток, оно все же может привести к повреждению памяти и требует преодоления рандомизации расположения адресного пространства (ASLR).
Подробнее: https://extrim-security.ru/news-ib/tpost/esd18rhcy1-obnaruzhena-kriticheskaya-uyazvimost-v-o
👉🏻 Согласно Бхарату Джоги, старшему директору Qualys TRU, уязвимость описывается как "состояние гонки обработчика сигналов на сервере OpenSSH (sshd)".
Хотя использование этой уязвимости сложно и требует нескольких попыток, оно все же может привести к повреждению памяти и требует преодоления рандомизации расположения адресного пространства (ASLR).
Подробнее: https://extrim-security.ru/news-ib/tpost/esd18rhcy1-obnaruzhena-kriticheskaya-uyazvimost-v-o
extrim-security.ru
Обнаружена "Критическая" уязвимость в OpenSSH, затрагивающая почти все системы Linux
14 миллионов серверов, подключенных к интернету, уязвимы
💵 Мошенники начали публиковать ложные объявления о работе в IT-сфере в популярных Telegram-каналах. Они просят у соискателей личные данные и пытаются привязать к их банковским счетам номера SIM-карт, чтобы украсть деньги.
Эксперты считают, что интерес мошенников к IT-вакансиям вызван высоким спросом на удаленную работу и популярностью этой сферы. Фальшивые объявления публикуются в крупных каналах с большим количеством подписчиков.
Одно из таких объявлений было опубликовано в канале с 20 тысячами подписчиков. Специалисты рекомендуют проверять вакансии на официальных сайтах компаний или на проверенных сайтах по поиску работы.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ol3mm0sf1-moshennichestvo-v-telegram-zloumishlenni
Эксперты считают, что интерес мошенников к IT-вакансиям вызван высоким спросом на удаленную работу и популярностью этой сферы. Фальшивые объявления публикуются в крупных каналах с большим количеством подписчиков.
Одно из таких объявлений было опубликовано в канале с 20 тысячами подписчиков. Специалисты рекомендуют проверять вакансии на официальных сайтах компаний или на проверенных сайтах по поиску работы.
Подробнее: https://extrim-security.ru/news-ib/tpost/0ol3mm0sf1-moshennichestvo-v-telegram-zloumishlenni
extrim-security.ru
Мошенничество в Telegram: злоумышленники используют объявления о работе в IT для кражи денег
Злоумышленники запрашивают личные данные соискателей и пытаются получить доступ к их банковским счетам, чтобы украсть деньги
🛩 Австралийская федеральная полиция обвинила мужчину в атаках типа Evil Twin на внутренние рейсы и аэропорты Перта, Мельбурна и Аделаиды. Злоумышленник получал доступ к электронной почте и учётным данным соцсетей жертв.
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
extrim-security.ru
Австралиец арестован за Wi-Fi атаку Evil Twin на борту самолета
Он получал доступ к электронной почте и учетным данным социальных сетей жертв.
👁🗨 Исследователи кибербезопасности обнаружили новый ботнет, названный Zergeca, который способен проводить DDoS-атаки. Он на базе Golang и использует DNS поверх HTTPS (DoH) для связи с серверами командования и управления.
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
extrim-security.ru
Новая ботнет-сеть Zergeca на базе Golang способна к мощным DDoS-атакам
Он обладает расширенными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве
🦠 В Git-сервисе Gogs обнаружены четыре уязвимости безопасности, включая три критические.
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
extrim-security.ru
В Gogs Open-Source Git Service обнаружены критические неисправленные недостатки
Уязвимости могут позволить злоумышленникам получить доступ к исходному коду и секретам конфигурации
👽 Группа хакеров CloudSorcerer нацелена на российские государственные структуры, используя облачные сервисы для управления и контроля и утечки данных.
CloudSorcerer также использует GitHub в качестве своего начального C2-сервера. Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок.
Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud. Вместо подключения к GitHub, CloudSorcerer пытается получить те же данные из hxxps://my.mail.ru/.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Подробнее: https://extrim-security.ru/news-ib/tpost/f809n6a9h1-novaya-apt-group-cloudsorcerer-natselena
CloudSorcerer также использует GitHub в качестве своего начального C2-сервера. Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок.
Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud. Вместо подключения к GitHub, CloudSorcerer пытается получить те же данные из hxxps://my.mail.ru/.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Подробнее: https://extrim-security.ru/news-ib/tpost/f809n6a9h1-novaya-apt-group-cloudsorcerer-natselena
extrim-security.ru
Новая APT Group "CloudSorcerer" Нацелена на российские государственные структуры
Группировка использует облачные сервисы для управления и контроля (C2) и утечки данных.
👾 Исследователи кибербезопасности обнаружили уязвимость в протоколе RADIUS, позволяющую злоумышленникам получать доступ к сетевым устройствам и службам без подбора паролей.
Уязвимость получила название Blast-RADIUS и позволяет проводить MiTM-атаки. Она затрагивает все реализации RADIUS и представляет угрозу для организаций, использующих этот протокол. Рекомендуется проверять наличие исправлений и следовать рекомендациям по настройке RADIUS.
Подробнее: https://extrim-security.ru/news-ib/tpost/jgyuf59231-uyazvimost-v-serdtse-interneta-blast-rad
Уязвимость получила название Blast-RADIUS и позволяет проводить MiTM-атаки. Она затрагивает все реализации RADIUS и представляет угрозу для организаций, использующих этот протокол. Рекомендуется проверять наличие исправлений и следовать рекомендациям по настройке RADIUS.
Подробнее: https://extrim-security.ru/news-ib/tpost/jgyuf59231-uyazvimost-v-serdtse-interneta-blast-rad
extrim-security.ru
Уязвимость в сердце интернета: Blast-RADIUS подрывает глобальную инфраструктуру связи
Протокол 1991 года стал большой проблемой в 2024 году.
🤐 Специалисты обнаружили новую уязвимость в пакетах OpenSSH, входящих в состав операционной системы Red Hat Enterprise Linux 9 (RHEL 9), которая позволяет злоумышленникам выполнять код на удаленном сервере без прохождения аутентификации.
Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37. Проблема связана с состоянием гонки (Race Condition) в обработчике прерывания SIGALRM, которое возникает из-за выполнения функций, не рассчитанных на асинхронное выполнение из обработчиков сигналов. Патч, который привел к уязвимости, использовался в RHEL 9 и производных дистрибутивах на базе OpenSSH 8.7p1.
В последних версиях Fedora проблема не проявляется, так как начиная с Fedora 38 используется более новая версия OpenSSH. Для устранения уязвимости рекомендуется установить параметр LoginGraceTime в 0 в конфигурации sshd (sshd_config).
Подробнее: https://extrim-security.ru/news-ib/tpost/6fdk4yzy91-cve-2024-6409-openssh-snova-pod-udarom
Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37. Проблема связана с состоянием гонки (Race Condition) в обработчике прерывания SIGALRM, которое возникает из-за выполнения функций, не рассчитанных на асинхронное выполнение из обработчиков сигналов. Патч, который привел к уязвимости, использовался в RHEL 9 и производных дистрибутивах на базе OpenSSH 8.7p1.
В последних версиях Fedora проблема не проявляется, так как начиная с Fedora 38 используется более новая версия OpenSSH. Для устранения уязвимости рекомендуется установить параметр LoginGraceTime в 0 в конфигурации sshd (sshd_config).
Подробнее: https://extrim-security.ru/news-ib/tpost/6fdk4yzy91-cve-2024-6409-openssh-snova-pod-udarom
extrim-security.ru
CVE-2024-6409: OpenSSH снова под ударом
Тикающая бомба затаилась в сердце RHEL 9.
Критическая уязвимость агента передачи почты Exim
Уязвимость CVE-2024-39929 с рейтингом 9,1 из 10 была обнаружена 4 июля 2024 года.
Уязвимость позволяет злоумышленникам обходить средства защиты и прикреплять к письмам вредоносные файлы, которые будут доставлены конечным пользователям.
Исследователи заявляют что при сканировании сети Интернет обнаружили более полутора миллиона серверов с уязвимой версией Exim. Большинство серверов располагаются на территории США, России и Канады.
Подробнее: https://extrim-security.ru/news-ib/tpost/v07b4rf571-kriticheskaya-uyazvimost-agenta-peredach
Уязвимость CVE-2024-39929 с рейтингом 9,1 из 10 была обнаружена 4 июля 2024 года.
Уязвимость позволяет злоумышленникам обходить средства защиты и прикреплять к письмам вредоносные файлы, которые будут доставлены конечным пользователям.
Исследователи заявляют что при сканировании сети Интернет обнаружили более полутора миллиона серверов с уязвимой версией Exim. Большинство серверов располагаются на территории США, России и Канады.
Подробнее: https://extrim-security.ru/news-ib/tpost/v07b4rf571-kriticheskaya-uyazvimost-agenta-peredach
extrim-security.ru
Критическая уязвимость агента передачи почты Exim
Полтора миллиона почтовых серверов под угрозой
HardBit 4.0 - новый метод обхода СЗИ от злоумышленников
Специалисты по кибербезопасности обнаружили новую версию программы-вымогателя под названием HardBit, которая использует новые методы запутывания для затруднения анализа.
Исследователи отмечают, что в отличие от предыдущих версий, версия 4.0 программы-вымогателя HardBit защищена паролем. Парольная фраза должна быть введена во время выполнения программы, чтобы программа-вымогатель могла работать должным образом. Дополнительное запутывание затрудняет анализ вредоносной программы специалистами по безопасности.
Особенностью этой группы угроз является то, что она не управляет сайтом утечки данных, а вместо этого оказывает давление на жертв, требуя выплаты, угрожая провести дополнительные атаки в будущем.
Подробнее: https://extrim-security.ru/news-ib/tpost/tt6m92gy31-hardbit-40-novii-metod-obhoda-szi-ot-zlo
Специалисты по кибербезопасности обнаружили новую версию программы-вымогателя под названием HardBit, которая использует новые методы запутывания для затруднения анализа.
Исследователи отмечают, что в отличие от предыдущих версий, версия 4.0 программы-вымогателя HardBit защищена паролем. Парольная фраза должна быть введена во время выполнения программы, чтобы программа-вымогатель могла работать должным образом. Дополнительное запутывание затрудняет анализ вредоносной программы специалистами по безопасности.
Особенностью этой группы угроз является то, что она не управляет сайтом утечки данных, а вместо этого оказывает давление на жертв, требуя выплаты, угрожая провести дополнительные атаки в будущем.
Подробнее: https://extrim-security.ru/news-ib/tpost/tt6m92gy31-hardbit-40-novii-metod-obhoda-szi-ot-zlo
extrim-security.ru
HardBit 4.0 - новый метод обхода СЗИ от злоумышленников
Вымогатели используют методы обфускации, что затрудняет анализ кода средствам защиты
Новый бэкдор BugSleep распространяют через фишинг
За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.
Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.
В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/5hp8b592v1-novii-bekdor-bugsleep-rasprostranyayut-c
За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.
Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.
В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/5hp8b592v1-novii-bekdor-bugsleep-rasprostranyayut-c
extrim-security.ru
Новый бэкдор BugSleep распространяют через фишинг
Ориентиром для злоумышленников стали все: от правительств до туристических агентств
Новое вредоносное ПО BeaverTrail крадет данные через поддельный образ приложения для видеозвонков MiroTalk
Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.
Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.
При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.
Подробнее: https://extrim-security.ru/news-ib/tpost/f3jxx12a01-novoe-vredonosnoe-po-beavertrail-kradet
Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.
Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.
При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.
Подробнее: https://extrim-security.ru/news-ib/tpost/f3jxx12a01-novoe-vredonosnoe-po-beavertrail-kradet
extrim-security.ru
Новое вредоносное ПО BeaverTrail крадет данные через поддельный образ приложения для видеозвонков
Клон приложения MiroTalk с возможностью эксфильтрации данных и выполнение полезной нагрузки
Уязвимость CVE-2024-20419 с оценкой в 10 баллов из 10 в Cisco Smart Software Manager
Компания Cisco обнаружила уязвимость максимального уровня безопасности в продукте Cisco Smart Software Manager On-Prem. Эта уязвимость позволяет удалённым злоумышленникам без аутентификации изменять пароли любых пользователей, включая администраторов.
Cisco Smart Software Manager On-Prem — это программное обеспечение, которое находится на территории клиента и предоставляет ему панель управления лицензиями для всех используемых устройств Cisco. Продукт предназначен для клиентов, которые не могут или не хотят управлять лицензиями в облаке.
Подробнее: https://extrim-security.ru/news-ib/tpost/olxkoik4a1-uyazvimost-v-cisco-smart-software-manage
Компания Cisco обнаружила уязвимость максимального уровня безопасности в продукте Cisco Smart Software Manager On-Prem. Эта уязвимость позволяет удалённым злоумышленникам без аутентификации изменять пароли любых пользователей, включая администраторов.
Cisco Smart Software Manager On-Prem — это программное обеспечение, которое находится на территории клиента и предоставляет ему панель управления лицензиями для всех используемых устройств Cisco. Продукт предназначен для клиентов, которые не могут или не хотят управлять лицензиями в облаке.
Подробнее: https://extrim-security.ru/news-ib/tpost/olxkoik4a1-uyazvimost-v-cisco-smart-software-manage
extrim-security.ru
Уязвимость в Cisco Smart Software Manager
Cisco в среду раскрыла уязвимость максимальной безопасности, которая позволяет субъектам удаленных угроз без аутентификации изменять пароль любого пользователя, в том числе администраторов с учетными записями, на устройствах Cisco Smart Software Manager O
Новая волна фишинга на российские компании
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
extrim-security.ru
Новая волна фишинга на российские компании
Под видом повышения уровня грамотности ИБ злоумышленники рассылают фишинговые письма