🛩 Австралийская федеральная полиция обвинила мужчину в атаках типа Evil Twin на внутренние рейсы и аэропорты Перта, Мельбурна и Аделаиды. Злоумышленник получал доступ к электронной почте и учётным данным соцсетей жертв.
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
Расследование началось после жалобы сотрудников авиакомпании на подозрительную сеть Wi-Fi. У задержанного мужчины в багаже нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон».
Правоохранители напоминают, что бесплатные сети Wi-Fi НЕ требуют входа в систему с использованием электронной почты или аккаунтов в социальных сетях.
Подробнее: https://extrim-security.ru/news-ib/tpost/i5z7p0x0v1-avstraliets-arestovan-za-wi-fi-ataku-evi
extrim-security.ru
Австралиец арестован за Wi-Fi атаку Evil Twin на борту самолета
Он получал доступ к электронной почте и учетным данным социальных сетей жертв.
👁🗨 Исследователи кибербезопасности обнаружили новый ботнет, названный Zergeca, который способен проводить DDoS-атаки. Он на базе Golang и использует DNS поверх HTTPS (DoH) для связи с серверами командования и управления.
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.
Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.
Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang
extrim-security.ru
Новая ботнет-сеть Zergeca на базе Golang способна к мощным DDoS-атакам
Он обладает расширенными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве
🦠 В Git-сервисе Gogs обнаружены четыре уязвимости безопасности, включая три критические.
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.
- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.
Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.
Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe
extrim-security.ru
В Gogs Open-Source Git Service обнаружены критические неисправленные недостатки
Уязвимости могут позволить злоумышленникам получить доступ к исходному коду и секретам конфигурации
👽 Группа хакеров CloudSorcerer нацелена на российские государственные структуры, используя облачные сервисы для управления и контроля и утечки данных.
CloudSorcerer также использует GitHub в качестве своего начального C2-сервера. Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок.
Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud. Вместо подключения к GitHub, CloudSorcerer пытается получить те же данные из hxxps://my.mail.ru/.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Подробнее: https://extrim-security.ru/news-ib/tpost/f809n6a9h1-novaya-apt-group-cloudsorcerer-natselena
CloudSorcerer также использует GitHub в качестве своего начального C2-сервера. Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок.
Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud. Вместо подключения к GitHub, CloudSorcerer пытается получить те же данные из hxxps://my.mail.ru/.
CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.
Подробнее: https://extrim-security.ru/news-ib/tpost/f809n6a9h1-novaya-apt-group-cloudsorcerer-natselena
extrim-security.ru
Новая APT Group "CloudSorcerer" Нацелена на российские государственные структуры
Группировка использует облачные сервисы для управления и контроля (C2) и утечки данных.
👾 Исследователи кибербезопасности обнаружили уязвимость в протоколе RADIUS, позволяющую злоумышленникам получать доступ к сетевым устройствам и службам без подбора паролей.
Уязвимость получила название Blast-RADIUS и позволяет проводить MiTM-атаки. Она затрагивает все реализации RADIUS и представляет угрозу для организаций, использующих этот протокол. Рекомендуется проверять наличие исправлений и следовать рекомендациям по настройке RADIUS.
Подробнее: https://extrim-security.ru/news-ib/tpost/jgyuf59231-uyazvimost-v-serdtse-interneta-blast-rad
Уязвимость получила название Blast-RADIUS и позволяет проводить MiTM-атаки. Она затрагивает все реализации RADIUS и представляет угрозу для организаций, использующих этот протокол. Рекомендуется проверять наличие исправлений и следовать рекомендациям по настройке RADIUS.
Подробнее: https://extrim-security.ru/news-ib/tpost/jgyuf59231-uyazvimost-v-serdtse-interneta-blast-rad
extrim-security.ru
Уязвимость в сердце интернета: Blast-RADIUS подрывает глобальную инфраструктуру связи
Протокол 1991 года стал большой проблемой в 2024 году.
🤐 Специалисты обнаружили новую уязвимость в пакетах OpenSSH, входящих в состав операционной системы Red Hat Enterprise Linux 9 (RHEL 9), которая позволяет злоумышленникам выполнять код на удаленном сервере без прохождения аутентификации.
Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37. Проблема связана с состоянием гонки (Race Condition) в обработчике прерывания SIGALRM, которое возникает из-за выполнения функций, не рассчитанных на асинхронное выполнение из обработчиков сигналов. Патч, который привел к уязвимости, использовался в RHEL 9 и производных дистрибутивах на базе OpenSSH 8.7p1.
В последних версиях Fedora проблема не проявляется, так как начиная с Fedora 38 используется более новая версия OpenSSH. Для устранения уязвимости рекомендуется установить параметр LoginGraceTime в 0 в конфигурации sshd (sshd_config).
Подробнее: https://extrim-security.ru/news-ib/tpost/6fdk4yzy91-cve-2024-6409-openssh-snova-pod-udarom
Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37. Проблема связана с состоянием гонки (Race Condition) в обработчике прерывания SIGALRM, которое возникает из-за выполнения функций, не рассчитанных на асинхронное выполнение из обработчиков сигналов. Патч, который привел к уязвимости, использовался в RHEL 9 и производных дистрибутивах на базе OpenSSH 8.7p1.
В последних версиях Fedora проблема не проявляется, так как начиная с Fedora 38 используется более новая версия OpenSSH. Для устранения уязвимости рекомендуется установить параметр LoginGraceTime в 0 в конфигурации sshd (sshd_config).
Подробнее: https://extrim-security.ru/news-ib/tpost/6fdk4yzy91-cve-2024-6409-openssh-snova-pod-udarom
extrim-security.ru
CVE-2024-6409: OpenSSH снова под ударом
Тикающая бомба затаилась в сердце RHEL 9.
Критическая уязвимость агента передачи почты Exim
Уязвимость CVE-2024-39929 с рейтингом 9,1 из 10 была обнаружена 4 июля 2024 года.
Уязвимость позволяет злоумышленникам обходить средства защиты и прикреплять к письмам вредоносные файлы, которые будут доставлены конечным пользователям.
Исследователи заявляют что при сканировании сети Интернет обнаружили более полутора миллиона серверов с уязвимой версией Exim. Большинство серверов располагаются на территории США, России и Канады.
Подробнее: https://extrim-security.ru/news-ib/tpost/v07b4rf571-kriticheskaya-uyazvimost-agenta-peredach
Уязвимость CVE-2024-39929 с рейтингом 9,1 из 10 была обнаружена 4 июля 2024 года.
Уязвимость позволяет злоумышленникам обходить средства защиты и прикреплять к письмам вредоносные файлы, которые будут доставлены конечным пользователям.
Исследователи заявляют что при сканировании сети Интернет обнаружили более полутора миллиона серверов с уязвимой версией Exim. Большинство серверов располагаются на территории США, России и Канады.
Подробнее: https://extrim-security.ru/news-ib/tpost/v07b4rf571-kriticheskaya-uyazvimost-agenta-peredach
extrim-security.ru
Критическая уязвимость агента передачи почты Exim
Полтора миллиона почтовых серверов под угрозой
HardBit 4.0 - новый метод обхода СЗИ от злоумышленников
Специалисты по кибербезопасности обнаружили новую версию программы-вымогателя под названием HardBit, которая использует новые методы запутывания для затруднения анализа.
Исследователи отмечают, что в отличие от предыдущих версий, версия 4.0 программы-вымогателя HardBit защищена паролем. Парольная фраза должна быть введена во время выполнения программы, чтобы программа-вымогатель могла работать должным образом. Дополнительное запутывание затрудняет анализ вредоносной программы специалистами по безопасности.
Особенностью этой группы угроз является то, что она не управляет сайтом утечки данных, а вместо этого оказывает давление на жертв, требуя выплаты, угрожая провести дополнительные атаки в будущем.
Подробнее: https://extrim-security.ru/news-ib/tpost/tt6m92gy31-hardbit-40-novii-metod-obhoda-szi-ot-zlo
Специалисты по кибербезопасности обнаружили новую версию программы-вымогателя под названием HardBit, которая использует новые методы запутывания для затруднения анализа.
Исследователи отмечают, что в отличие от предыдущих версий, версия 4.0 программы-вымогателя HardBit защищена паролем. Парольная фраза должна быть введена во время выполнения программы, чтобы программа-вымогатель могла работать должным образом. Дополнительное запутывание затрудняет анализ вредоносной программы специалистами по безопасности.
Особенностью этой группы угроз является то, что она не управляет сайтом утечки данных, а вместо этого оказывает давление на жертв, требуя выплаты, угрожая провести дополнительные атаки в будущем.
Подробнее: https://extrim-security.ru/news-ib/tpost/tt6m92gy31-hardbit-40-novii-metod-obhoda-szi-ot-zlo
extrim-security.ru
HardBit 4.0 - новый метод обхода СЗИ от злоумышленников
Вымогатели используют методы обфускации, что затрудняет анализ кода средствам защиты
Новый бэкдор BugSleep распространяют через фишинг
За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.
Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.
В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/5hp8b592v1-novii-bekdor-bugsleep-rasprostranyayut-c
За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.
Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.
В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.
Подробнее: https://extrim-security.ru/news-ib/tpost/5hp8b592v1-novii-bekdor-bugsleep-rasprostranyayut-c
extrim-security.ru
Новый бэкдор BugSleep распространяют через фишинг
Ориентиром для злоумышленников стали все: от правительств до туристических агентств
Новое вредоносное ПО BeaverTrail крадет данные через поддельный образ приложения для видеозвонков MiroTalk
Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.
Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.
При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.
Подробнее: https://extrim-security.ru/news-ib/tpost/f3jxx12a01-novoe-vredonosnoe-po-beavertrail-kradet
Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.
Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.
При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.
Подробнее: https://extrim-security.ru/news-ib/tpost/f3jxx12a01-novoe-vredonosnoe-po-beavertrail-kradet
extrim-security.ru
Новое вредоносное ПО BeaverTrail крадет данные через поддельный образ приложения для видеозвонков
Клон приложения MiroTalk с возможностью эксфильтрации данных и выполнение полезной нагрузки
Уязвимость CVE-2024-20419 с оценкой в 10 баллов из 10 в Cisco Smart Software Manager
Компания Cisco обнаружила уязвимость максимального уровня безопасности в продукте Cisco Smart Software Manager On-Prem. Эта уязвимость позволяет удалённым злоумышленникам без аутентификации изменять пароли любых пользователей, включая администраторов.
Cisco Smart Software Manager On-Prem — это программное обеспечение, которое находится на территории клиента и предоставляет ему панель управления лицензиями для всех используемых устройств Cisco. Продукт предназначен для клиентов, которые не могут или не хотят управлять лицензиями в облаке.
Подробнее: https://extrim-security.ru/news-ib/tpost/olxkoik4a1-uyazvimost-v-cisco-smart-software-manage
Компания Cisco обнаружила уязвимость максимального уровня безопасности в продукте Cisco Smart Software Manager On-Prem. Эта уязвимость позволяет удалённым злоумышленникам без аутентификации изменять пароли любых пользователей, включая администраторов.
Cisco Smart Software Manager On-Prem — это программное обеспечение, которое находится на территории клиента и предоставляет ему панель управления лицензиями для всех используемых устройств Cisco. Продукт предназначен для клиентов, которые не могут или не хотят управлять лицензиями в облаке.
Подробнее: https://extrim-security.ru/news-ib/tpost/olxkoik4a1-uyazvimost-v-cisco-smart-software-manage
extrim-security.ru
Уязвимость в Cisco Smart Software Manager
Cisco в среду раскрыла уязвимость максимальной безопасности, которая позволяет субъектам удаленных угроз без аутентификации изменять пароль любого пользователя, в том числе администраторов с учетными записями, на устройствах Cisco Smart Software Manager O
Новая волна фишинга на российские компании
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
extrim-security.ru
Новая волна фишинга на российские компании
Под видом повышения уровня грамотности ИБ злоумышленники рассылают фишинговые письма
🖇 Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play, предназначенный для атак на среды VMware ESXi. Это событие показывает, что группа расширяет свои атаки на Linux, что увеличивает количество потенциальных жертв и повышает эффективность переговоров о выкупе.
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования.
Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - основные отрасли пострадавший компаний.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, содержащем другие инструменты, использованные в предыдущих атаках. Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, для помощи в избежании обнаружения при распространении вредоносного ПО.
Подробнее: https://extrim-security.ru/news-ib/tpost/zf16ep7vd1-novii-linux-variant-play-ransomware-nats
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования.
Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - основные отрасли пострадавший компаний.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, содержащем другие инструменты, использованные в предыдущих атаках. Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, для помощи в избежании обнаружения при распространении вредоносного ПО.
Подробнее: https://extrim-security.ru/news-ib/tpost/zf16ep7vd1-novii-linux-variant-play-ransomware-nats
extrim-security.ru
Новый Linux-вариант Play Ransomware, нацеленный на системы VMware ESXi
Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play (или Balloonfly, PlayCrypt), который предназначен для атак на среды VMware ESXi
💢 Сервис для сокращения ссылок goo.gl от Google прекратит работу в 2025 году.
В 2018 году сервис был закрыт для пользователей и разработчиков из-за появления множества аналогов и изменений в интернете. В 2019 году Google отключил создание новых ссылок, аналитику и управление в сервисе.
С 23 августа 2024 года для части ссылок будет отображаться промежуточная страница с уведомлением о скором прекращении работы.
А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.
Подробнее: https://extrim-security.ru/news-ib/tpost/ft13jx6ax1-google-zakrivaet-svoi-servis-dlya-sokras
В 2018 году сервис был закрыт для пользователей и разработчиков из-за появления множества аналогов и изменений в интернете. В 2019 году Google отключил создание новых ссылок, аналитику и управление в сервисе.
С 23 августа 2024 года для части ссылок будет отображаться промежуточная страница с уведомлением о скором прекращении работы.
А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.
Подробнее: https://extrim-security.ru/news-ib/tpost/ft13jx6ax1-google-zakrivaet-svoi-servis-dlya-sokras
extrim-security.ru
Google закрывает свой сервис для сокращения URL goo[.]gl
Компания Google объявила, что в 2025 году сервис для сокращения ссылок goo[.]gl окончательно прекратит свою работу.
🪐✨ Исследователи разработали метод обнаружения дипфейков, с помощью анализа отражения света в глазах. Методика основана на астрономии и адаптирует инструменты изучения галактик для изучения отражения световых вспышек в глазах людей.
Разница заключается в том, что во время настоящей съемки, при освещении одним и тем же источником света, блики в глазах будут практически одинаковые. В то же время, при искусственной генерации изображения, блики будут отличаться. 👀
Используя способ астрономов изучать последовательность распределения света со снимков телескопов, можно автоматически сравнить сходства между левым и правым глазом.
Подробнее: https://extrim-security.ru/news-ib/tpost/mtigc4h8o1-astronomi-otkrili-metod-obnaruzheniya-po
Разница заключается в том, что во время настоящей съемки, при освещении одним и тем же источником света, блики в глазах будут практически одинаковые. В то же время, при искусственной генерации изображения, блики будут отличаться. 👀
Используя способ астрономов изучать последовательность распределения света со снимков телескопов, можно автоматически сравнить сходства между левым и правым глазом.
Подробнее: https://extrim-security.ru/news-ib/tpost/mtigc4h8o1-astronomi-otkrili-metod-obnaruzheniya-po
extrim-security.ru
Астрономы открыли метод обнаружения подделок ИИ
Методика адаптирует инструменты изучения галактик для изучения отражения световых вспышек
☠️ Уязвимость нулевого дня в приложении Telegram для Android, известная как "EvilVideo", позволяет злоумышленникам отправлять вредоносные данные в формате Android APK, маскируя их под видеофайлы.
Продажа эксплойта началась 6 июня 2024 года, и уязвимость была исправлена в версии 10.14.5. Эксплойт использует API Telegram для создания сообщений, которые выглядят как видео. Пользователи, у которых отключена автоматическая загрузка, могут получить вредоносный файл, просто нажав на предварительный просмотр видео. Чтобы установить его, жертве необходимо разрешить установку неизвестных приложений.
Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файлы в предварительном просмотре, предотвращая обман пользователей. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности.
Подробности: https://extrim-security.ru/news-ib/tpost/tm4jrkbl61-proklyatie-lenti-ispolzovanie-uyazvimost
Продажа эксплойта началась 6 июня 2024 года, и уязвимость была исправлена в версии 10.14.5. Эксплойт использует API Telegram для создания сообщений, которые выглядят как видео. Пользователи, у которых отключена автоматическая загрузка, могут получить вредоносный файл, просто нажав на предварительный просмотр видео. Чтобы установить его, жертве необходимо разрешить установку неизвестных приложений.
Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файлы в предварительном просмотре, предотвращая обман пользователей. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности.
Подробности: https://extrim-security.ru/news-ib/tpost/tm4jrkbl61-proklyatie-lenti-ispolzovanie-uyazvimost
extrim-security.ru
Проклятые ленты: использование уязвимости EvilVideo в Telegram для Android
Исследователи ESET обнаружили эксплойт Telegram нулевого дня для Android, который позволяет отправлять вредоносные файлы, замаскированные под видео
🦠 В январе на Львов обрушилась кибератака, оставив жителей без отопления на два дня. Атака была направлена на системы управления технологическими процессами (ICS) с использованием нового вируса FrostyGoop.
Атака затронула муниципальную компанию, обслуживающую более 600 жилых зданий, и привела к отключению горячей воды. Последствия кибератаки устраняли почти два дня. Специалисты Dragos, изучив вирус, отметили его уникальность: FrostyGoop стал первым вирусом, использующим протокол Modbus TCP для атак на сети операционных технологий.
Подробнее: https://extrim-security.ru/news-ib/tpost/ice1su3gb1-frostygoop-hakeri-otklyuchili-otoplenie
Атака затронула муниципальную компанию, обслуживающую более 600 жилых зданий, и привела к отключению горячей воды. Последствия кибератаки устраняли почти два дня. Специалисты Dragos, изучив вирус, отметили его уникальность: FrostyGoop стал первым вирусом, использующим протокол Modbus TCP для атак на сети операционных технологий.
Подробнее: https://extrim-security.ru/news-ib/tpost/ice1su3gb1-frostygoop-hakeri-otklyuchili-otoplenie
extrim-security.ru
FrostyGoop: хакеры отключили отопление в 600 зданиях в разгар зимы
Dragos раскрывает детали работы вредоноса, нацеленного на ICS-системы.
☁️ Исследователи кибербезопасности обнаружили уязвимость в Google Cloud Platform, позволяющую злоумышленникам повышать привилегии и получать доступ к конфиденциальным данным.
Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.
После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.
Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus
Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.
После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.
Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus
extrim-security.ru
Исследователи выявили уязвимость ConfusedFunction в облачной платформе Google
Злоумышленники могут использовать эту уязвимость для получения доступа к различным сервисам
🤡 На прошлой неделе стало известно о целых пяти инцидентах со взломом компаний, которые занимаются информационной безопасностью! Алексей Лукацкий выпустил краткий обзор на все пять случаев.
- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.
- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.
- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.
- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.
- Аванпост подтвердил взлом, но детали пока неизвестны.
Читать статью полностью
- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.
- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.
- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.
- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.
- Аванпост подтвердил взлом, но детали пока неизвестны.
Читать статью полностью
🦾 Специалисты из F.A.C.C.T. Threat Intelligence обнаружили новые киберугрозы от группировки XDSpy, направленные на российские компании.
Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.
Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.
Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo
Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.
Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.
Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo
extrim-security.ru
Обнаружены атаки группы XDSpy с использованием нового загрузчика XDSpy.DSDownloader
Методы атаки включают рассылку фишинговых писем с предложением скачать RAR-архив
📨 Субъект угрозы SideWinder, предположительно связанный с Индией, начал новую кампанию кибершпионажа, нацеленную на порты и морские объекты в Индийском океане и Средиземном море.
SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.
Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.
Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na
SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.
Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.
Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na
extrim-security.ru
Новые кибератаки SideWinder нацелены на морские объекты во многих странах
Кампания кибершпионажа, предположительно связанная с Индией, использует фишинг и уязвимости Microsoft Office