💻 Секреты AMD слиты: исходники, базы сотрудников и финансы – всё в открытом доступе

Компания AMD начала расследование возможного кибернападения после того, как данные, якобы украденные у компании, были выставлены на продажу на хакерском форуме BreachForums. Преступники заявляют, что информация включает данные сотрудников, финансовые документы и конфиденциальные сведения.

Представитель AMD сообщил: «Мы осведомлены о киберпреступной организации, утверждающей, что у неё есть украденные данные AMD. Мы активно сотрудничаем с правоохранительными органами и сторонними партнёрами для расследования этого инцидента и оценки значимости утечки».

Хакер, известный как IntelBroker, опубликовал скриншоты некоторых предполагаемых учётных данных AMD.
Согласно сообщению IntelBroker, скомпрометированная информация была добыта в этом месяце и включает будущие продукты AMD, технические спецификации, базы данных сотрудников и клиентов, файлы собственности, разнообразные ROM-ы, исходный код, прошивки и финансовые данные.

По данным DarkWebInformer, в утекших данных содержатся базы данных сотрудников, включающие идентификаторы пользователей, имена и фамилии, должностные обязанности, рабочие телефоны, адреса электронной почты и статус занятости.

@linuxkalii

🖥 SQLMC - SQL Injection Massive Checker

Официальный инструмент Kali Linux для проверки всех URL-адресов домена на наличие SQL-инъекций.

▪Github

@linuxkalii

💻 MaskPhish — маскировка любого URL под лигитимный

git clone https://github.com/jaykali/maskphish
cd maskphish
bash maskphish.sh

MaskPhish — это простой Bash-скрипт для демонстрации того, как легко можно спрятать любой URL в обычном (типа google.com или facebook.com).
MaskPhish без проблем можно интегрировать в более навороченные инструменты, разумеется только для этичных целей

🖥 GitHub

@linuxkalii

💻 Poseidon — стилер от APT-C-56

Хакерская группировка APT-C-56, также известная как Transparent Tribe, ProjectM и C-Major, вновь активизировала свою деятельность, на этот раз с использованием атак на Linux-системы.

Базирующаяся в Южной Азии группа киберпреступников обычно сосредотачивает свои усилия на странах данного региона, в том числе часто атакуя Индию. APT-C-56 известна своими сложными методами фишинговых атак и мультиплатформенными вредоносными программами, включая знаменитый троян CrimsonRAT для Windows.

Недавно специалисты из 360 Advanced Threat Research Institute зафиксировали атаку, в ходе которой APT-C-56 использовала файлы Linux c расширением .desktop для распространения вредоносного ПО. Вредоносная программа, получившая название Poseidon, является инфостилером и предназначена для кражи данных. Метод атаки с Linux-ярлыками ранее применялся довольно редко, что делает его особенно опасным.

Для осуществления атаки группа создала архивный файл, содержащий desktop-файл, который в Linux-системах выполняет роль ярлыка. Пользователь, запускающий этот файл, активирует цепочку событий: загружается и открывается поддельный документ, одновременно скачиваются и запускаются вредоносные ELF-файлы. Затем Poseidon, написанный на Go, устанавливает постоянное присутствие в системе для сбора конфиденциальной информации.

Архивный файл, рассмотренный исследователями, имел название Agenda_of_Meeting.zip и содержал desktop-файл approved_copy.desktop. Этот файл использует символы # для увеличения размера и обхода антивирусных систем. После удаления этих символов становится виден скрипт, который скачивает и открывает PDF-документ, а затем создаёт скрытые директории и запускает вредоносные программы. Одна из программ выполняет функции сбора данных и отправки их на сервер злоумышленников.

Исследование показало, что Poseidon способен выполнять множество задач: фиксировать нажатия клавиш, загружать и скачивать файлы, сканировать порты, делать скриншоты, исполнять команды и осуществлять удалённое управление. Эти функции делают его мощным инструментом для шпионажа.

🗄 Подробнее

@linuxkalii

💻 RedTiger — мультитул с массой функций для пентеста и взлома

Позволяет проводить реализовывать разные атаки, типо SQL-инъекций, извлекать информацию по email и т.д.
Исключительно в этичных целях

🖥 GitHub

@linuxkalii

💻 Уязвимость Linux: загрузчик GRUB скомпрометирован хакерами

21 июня на одном из киберпреступных форумов появилась информация о продаже эксплойта к уязвимости нулевого дня в GRUB-загрузчике Linux, позволяющей локальное повышение привилегий (LPE). Это заявление вызвало серьёзное беспокойство среди специалистов по кибербезопасности.

По данным Dark Web Intelligence, злоумышленник утверждает, что нашёл уязвимость в GRUB, которая позволяет обойти механизмы аутентификации и получить права root на системе.

Согласно сообщению участника тёмного форума под ником «Cas», уязвимость затрагивает GRUB — критический компонент большинства Linux-систем, управляющий процессом загрузки, что позволяет атакующим устанавливать скрытое и устойчивое вредоносное ПО, обнаружить и устранить которое может быть весьма проблематично. Эксплойт продаётся по цене 90 тысяч долларов.

Основные дистрибутивы Linux, такие как Debian, RedHat и Ubuntu, оперативно выпускали рекомендации и патчи для предыдущих уязвимостей GRUB и, вероятно, поступят аналогично и в этот раз, однако проблема усугубляется тем, что уязвимость обнаружена злоумышленниками, а не этичными хакерами. Это означает, что её обнаружение и исправление исследователями безопасности может существенно затянуться.

@linuxkalii

💻 В TeamViewer сообщили о хакерской атаке на корпоративную среду компании

Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.

Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.

Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.

О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.

Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.

@linuxkalii

💻 Фантомные гиперссылки как инструмент хакера

Опубликованное на конференции Web Conference 2024 исследование показывает, что киберугрозы в интернете могут использоваться на гораздо большем уровне, чем предполагалось ранее. Особо тревожным является то, что уязвимые ссылки обнаружены на сайтах крупных компаний, религиозных организаций, финансовых фирм и даже правительственных структур. Эти гиперссылки могут быть перехвачены без каких-либо предупреждений.

Перехватываемые гиперссылки возникают, когда программисты допускают ошибки в адресах веб-сайтов в своем коде. Это может привести пользователей на домены, которые никогда не были зарегистрированы, так называемые фантомные домены. Например, вместо правильного kali.org может быть написано kaIi.org. Если такой домен не был зарегистрирован, его может приобрести злоумышленник и направить на него входящий трафик.

Эти ошибки могут привести пользователей не только на фишинговые сайты, но и на ресурсы с вредоносными скриптами, дезинформацией, вирусами и другими угрозами.

Используя высокопроизводительные вычислительные кластеры, исследователи проанализировали весь доступный для просмотра интернет, обработав данные с более чем 10000 жестких дисков. В результате было выявлено более 572000 фантомных доменов. Перехватываемые гиперссылки, ведущие на них, найдены на многих надежных сайтах, включая веб-приложения, предназначенные для обеспечения конфиденциальности.

🗄 Подробнее

@linuxkalii

💻 Свежая уязвимость CVE-2024-6387 в компоненте OpenSSH

Разработчики OpenSSH устранили критическую уязвимость, которая может привести к удаленному выполнению кода с root-привилегиями в системах Linux на базе glibc. Ошибку обнаружили специалисты компании Qualys.

Уязвимость CVE-2024-6387 типа Race Condition находится в серверном компоненте OpenSSH, также известном как sshd, который предназначен для прослушивания соединений от любого клиентского приложения.

OpenSSH — это набор программных инструментов, обеспечивающих безопасный удалённый доступ с использованием протокола шифрования SSH. Набор включён во все системы Linux, основанные на glibc, что означает практически все крупные дистрибутивы (кроме Alpine Linux, который использует libc). Системы BSD не подвержены данной уязвимости. Qualys пока не знает, насколько могут быть затронуты операционные системы macOS или Windows.

Qualys выявила не менее 14 миллионов потенциально уязвимых экземпляров серверов OpenSSH, доступных через Интернет. Отмечается, что обнаруженная ошибка, получившая название «regreSSHion» является регрессией уже исправленной 18-летней уязвимости (CVE-2006-5051, оценка CVSS: 8.1).

Успешная эксплуатация уязвимости была продемонстрирована на 32-битных системах Linux/glibc с рандомизацией адресного пространства (ASLR). В лабораторных условиях атака требует в среднем 6-8 часов непрерывных подключений до максимума, который может принять сервер. Не отмечается, были ли замечены случаи эксплуатации regreSSHion в реальных условиях.

Qualys объясняет, что если клиент не проходит аутентификацию в течение 120 секунд (настройка, определяемая LoginGraceTime), то обработчик sshd SIGALRM вызывается асинхронно способом, который не является безопасным для async-signal.

🗄 Подробнее

@linuxkalii

💻 LockBit заявила о взломе Федерального резерва США

Хакерская группировка LockBit заявила о взломе Федеральной резервной системы (ФРС) США. LockBit утверждает, что похитила 33 терабайта конфиденциальных данных. По словам хакеров, они проникли в инфраструктуру ФРС и изъяли конфиденциальную информацию о банковской деятельности в США.

С LockBit сначала вёл переговоры один сотрудник от Федерального резерва, но после того как хакгруппе была назначена цена в $50 тысяч за непубликацию информации, хакеры дали ФРС 48 часов, чтобы нанять нового переговорщика и уволить текущего.

Эксперты в сфере ИБ оценивают возможные последствия от проникновения как очень серьёзные. Полученный доступ к обширному объёму чувствительной информации может нанести ущерб индивидуальной конфиденциальности, финансовой стабильности и национальной безопасности США.

Федеральная резервная система США отвечает за проведение денежно-кредитной политики, регулирование банков и поддержание финансовой стабильности, а также представляет собой один из ключевых элементов финансовой инфраструктуры США. ФРС пока официально не подтвердила факт взлома и не предоставила информацию о принимаемых мерах из-за произошедшего инцидента. Однако федеральные агентства (например, CISA и ФБР) уже активно занимаются информацией о возможном взломе.

@linuxkalii

💻 Обнаружена новая версия вайпера BiBi

Новая версия мавлари BiBi стирает таблицу разделов диска, что дополнительно затрудняет восстановление данных и увеличивает время простоя атакованных компьютеров.

Впервые BiBi Wiper был обнаружен специалистами компании SecurityJoes в октябре 2023 года. Они писали, что вредонос, скорее всего, был развернут хакерами поддерживающими ХАМАС, с целью вызвать необратимые повреждения данных. Вскоре после этого израильский CERT предупредил, что атаки на израильские компьютеры с целью уничтожения данных становятся все более частыми, а BiBi используется в атаках против критически важных организаций в стране.

Как теперь сообщают эксперты Check Point, атаки вайпера на Израиль и Албанию связаны с поддерживаемой Ираном хак-группой Void Manticore (Storm-842). Также в отчете отмечается сходство операций Void Manticore с другой иранской группировкой Scarred Manticore, что позволяет сделать предположение о сотрудничестве между ними.

Кроме того, исследователи сообщают, что обнаружили не только новые варианты вайпера BiBi, но и два других кастомных вайпера, используемых той же группировкой, — Cl Wiper и Partition Wiper.

Аналитики CheckPoint полагают, что Void Manticore маскируется под группу Karma в Telegram, которая появилась после атаки ХАМАС на Израиль в октябре прошлого года. К настоящему времени Karma заявила об атаках на 40 израильских организаций, публикуя в Telegram украденные данные или свидетельства об уничтоженных дисках.

Интересно, что в некоторых случаях Void Manticore получала контроль над инфраструктурой жертв от уже упомянутой группы Scarred Manticore. Эта группа фокусируется на получении первоначального доступа, в основном эксплуатируя уязвимость CVE-2019-0604 в Microsoft Sharepoint, а затем выполняет боковое перемещение через SMB и собирая электронные письма. Далее взломанные организации передавались Void Manticore, которая внедряла полезные нагрузки, осуществляла боковое перемещение по сети и разворачивала в системах жертв вайпер.

🗄 Подробнее

@linuxkalii

😂 Хакеры опубликовали крупнейшую базу с паролями — почти 10 миллиардов слитых паролей!

На хакерском форуме появился файл rockyou2024.txt с 9,94 миллиардами уникальных паролей. Cybernews отметили, что это крупнейшая из известных баз паролей. Файл опубликовал пользователь под ником ObamaCare, указав, что он включает недавно утекшие пароли. Cybernews предупреждает, что злоумышленники могут использовать базу для кибератак методом брутфорса. Эксперты советуют сменить пароли и использовать дополнительные методы защиты. Предыдущая утечка содержала 8,5 миллиарда записей.

🔒 Самое время сменить пароли и включить двухфакторную аутентификацию!

https://uproger.com/hakery-opublikovali-krupnejshuyu-bazu-s-parolyami-pochti-10-milliardov/

@linuxkalii

🖥 Xeno RAT опубликован на GitHub

⏩Недавно на GitHub был опубликован новый продвинутый инструмент для удалённого доступа (RAT) под названием Xeno RAT. Этот троян, написанный на языке программирования C# и совместимый с операционными системами Windows 10 и Windows 11, предоставляет «обширный набор функций для удалённого управления системой», согласно заявлениям разработчика под псевдонимом moom825.
В функционал Xeno RAT входит обратный прокси-сервер SOCKS5, возможность записи аудио в реальном времени, а также интеграция модуля скрытого виртуального сетевого вычисления (hVNC), подобного DarkVNC, который позволяет злоумышленникам получать удалённый доступ к заражённому компьютеру.

⏩Разработчик отдельно отметил «весёлые» функции своего инструмента, такие как «синий экран смерти» по запросу, отключение монитора удалённого хоста, открытие/закрытие лотка для компакт-дисков и т.п.
Разработчик утверждает, что Xeno RAT был разработан исключительно в образовательных целях.

А что, неплохая идея для пет-проекта на C# ¯\_(ツ)_/¯
🖥 GitHub

@linuxkalii