Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
SecurityLab.ru
Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
SecurityLab.ru
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Дамы и господа, Батя вернулся с курорта, с новыми мыслями и силами.
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
SecurityLab.ru
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
В AMD SEV исправлена опасная уязвимость
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации.
Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные.
Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.
Источник: https://www.securitylab.ru/news/499633.php
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации.
Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные.
Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.
Источник: https://www.securitylab.ru/news/499633.php
SecurityLab.ru
В AMD SEV исправлена опасная уязвимость
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Данные о кибератаках на критические объекты в РФ утекают за рубеж
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК».
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Источник: https://www.securitylab.ru/news/499652.php
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК».
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Источник: https://www.securitylab.ru/news/499652.php
SecurityLab.ru
Данные о кибератаках на критические объекты в РФ утекают за рубеж
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Злоумышленники могут изменять чужие переписки в WhatsApp
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Эксперты из компании Check Point Research, занимающейся вопросами кибербезопасности, обнаружили три уязвимости в мессенджере WhatsApp.
По словам экспертов, эксплуатация уязвимостей позволяет злоумышленнику перехватывать и манипулировать сообщениями в личных и групповых чатах. Таким образом преступник может создавать и распространять ложную информацию.
Злоумышленник может изменить сообщения тремя способами: использовав цитирование в групповом чате для замены личности отправителя (даже если этот человек не является членом группы), изменить чей-либо ответ или отправить личное сообщение другому участнику чата, замаскированное под групповое.
Исследователи сообщили о своих находках разработчикам приложения еще в прошлом году, однако с тех пор была исправлена только последняя проблема.
На конференции Black Hat исследователи продемонстрировали, как с помощью web-версии WhatsApp и расширения Burp Suit можно получить закрытый и открытый ключи шифрования, созданные до генерации QR-кода, для перехвата и видоизменения текста на лету.
По заявлению Facebook в пресс-службе, компания не считает описанные Check Point схемы настоящими уязвимостями.
Источник: https://www.securitylab.ru/news/500349.php
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Эксперты из компании Check Point Research, занимающейся вопросами кибербезопасности, обнаружили три уязвимости в мессенджере WhatsApp.
По словам экспертов, эксплуатация уязвимостей позволяет злоумышленнику перехватывать и манипулировать сообщениями в личных и групповых чатах. Таким образом преступник может создавать и распространять ложную информацию.
Злоумышленник может изменить сообщения тремя способами: использовав цитирование в групповом чате для замены личности отправителя (даже если этот человек не является членом группы), изменить чей-либо ответ или отправить личное сообщение другому участнику чата, замаскированное под групповое.
Исследователи сообщили о своих находках разработчикам приложения еще в прошлом году, однако с тех пор была исправлена только последняя проблема.
На конференции Black Hat исследователи продемонстрировали, как с помощью web-версии WhatsApp и расширения Burp Suit можно получить закрытый и открытый ключи шифрования, созданные до генерации QR-кода, для перехвата и видоизменения текста на лету.
По заявлению Facebook в пресс-службе, компания не считает описанные Check Point схемы настоящими уязвимостями.
Источник: https://www.securitylab.ru/news/500349.php
SecurityLab.ru
Злоумышленники могут изменять чужие переписки в WhatsApp
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Обзор инцидентов безопасности с 5 по 11 августа
Коротко о главных событиях прошедшей недели.
Прошлая неделя началась с сообщения об утечке данных более 23 млн пользователей популярного сайта CafePress. Обнаружить утечку удалось с помощью сервиса Have I Been Pwned. Кроме того, на черном рынке уже выставлены на продажу личная информация пользователей, включая адреса электронной почты, имена, пароли, номера телефонов и физические адреса.
В начале недели также стало известно о весьма необычном ботнете из маршрутизаторов Fiberhome. За один день в ботсеть под названием Gwmndy добавляется всего 200 устройств. В отличие от большинства ботнетов, Gwmndy не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, непонятно.
Что касается устройств «Интернета вещей», то Gwmndy – не единственная угроза, о которой стало известно на прошлой неделе. Специалисты Microsoft Threat Intelligence Center предупредили корпоративных пользователей о том, что группировка Fancy Bear (она же APT28) взламывает IoT-устройства и использует их как плацдарм для проникновения в сети компаний.
На прошлой неделе сразу две компании были уличены в незаконном сборе данных пользователей. Социальная сеть Twitter сообщила о проблемах в приложении, из-за которых некоторые настройки работали не должным образом и данные пользователей без их разрешения передавались партнеру компании.
Без ведома пользователей собирала и хранила данные также компания HYP3R, некогда сотрудничавшая с Facebook. Для достижения своих целей HYP3R эксплуатировала уязвимость в Instagram, позволяющую неавторизованным пользователям просматривать публикации, сделанные в таких местах, как отели и спортивные залы.
Одной из самых громких новостей на прошлой неделе стало сообщение о том, что нанятые Microsoft подрядчики прослушивают личные разговоры пользователей Skype, ведущиеся через службу-переводчик приложения.
Специалисты предупредили о новой фишинговой кампании, в ходе которой злоумышленники используют для выманивания учетных данных пользователей не лендинговые страницы, а PDF-документы. В ходе кампании, нацеленной на пользователей в Германии, злоумышленники рассылают поддельные налоговые накладные от Amazon, для просмотра которых пользователю якобы нужно авторизоваться в своей учетной записи Amazon Seller. При открытии вложенного в электронное письмо PDF-документа появляется созданное с помощью JavaScript окно авторизации, запрашивающее электронный адрес и пароль.
И напоследок, эксперты компании Group-IB предупредили о новом виде мошенничества с использованием глубокого обучения (deep learning), направленного на похищение персональных данных россиян. По словам специалистов, злоумышленники распространяют в Сети фальшивые видеоролики, в которых звезды российского шоу-бизнеса предлагают принять участие в розыгрыше ценных призов. На самом деле жертва заманивается на фишинговые страницы, где от нее требуются учетные данные.
Источник: https://www.securitylab.ru/news/500387.php
Коротко о главных событиях прошедшей недели.
Прошлая неделя началась с сообщения об утечке данных более 23 млн пользователей популярного сайта CafePress. Обнаружить утечку удалось с помощью сервиса Have I Been Pwned. Кроме того, на черном рынке уже выставлены на продажу личная информация пользователей, включая адреса электронной почты, имена, пароли, номера телефонов и физические адреса.
В начале недели также стало известно о весьма необычном ботнете из маршрутизаторов Fiberhome. За один день в ботсеть под названием Gwmndy добавляется всего 200 устройств. В отличие от большинства ботнетов, Gwmndy не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, непонятно.
Что касается устройств «Интернета вещей», то Gwmndy – не единственная угроза, о которой стало известно на прошлой неделе. Специалисты Microsoft Threat Intelligence Center предупредили корпоративных пользователей о том, что группировка Fancy Bear (она же APT28) взламывает IoT-устройства и использует их как плацдарм для проникновения в сети компаний.
На прошлой неделе сразу две компании были уличены в незаконном сборе данных пользователей. Социальная сеть Twitter сообщила о проблемах в приложении, из-за которых некоторые настройки работали не должным образом и данные пользователей без их разрешения передавались партнеру компании.
Без ведома пользователей собирала и хранила данные также компания HYP3R, некогда сотрудничавшая с Facebook. Для достижения своих целей HYP3R эксплуатировала уязвимость в Instagram, позволяющую неавторизованным пользователям просматривать публикации, сделанные в таких местах, как отели и спортивные залы.
Одной из самых громких новостей на прошлой неделе стало сообщение о том, что нанятые Microsoft подрядчики прослушивают личные разговоры пользователей Skype, ведущиеся через службу-переводчик приложения.
Специалисты предупредили о новой фишинговой кампании, в ходе которой злоумышленники используют для выманивания учетных данных пользователей не лендинговые страницы, а PDF-документы. В ходе кампании, нацеленной на пользователей в Германии, злоумышленники рассылают поддельные налоговые накладные от Amazon, для просмотра которых пользователю якобы нужно авторизоваться в своей учетной записи Amazon Seller. При открытии вложенного в электронное письмо PDF-документа появляется созданное с помощью JavaScript окно авторизации, запрашивающее электронный адрес и пароль.
И напоследок, эксперты компании Group-IB предупредили о новом виде мошенничества с использованием глубокого обучения (deep learning), направленного на похищение персональных данных россиян. По словам специалистов, злоумышленники распространяют в Сети фальшивые видеоролики, в которых звезды российского шоу-бизнеса предлагают принять участие в розыгрыше ценных призов. На самом деле жертва заманивается на фишинговые страницы, где от нее требуются учетные данные.
Источник: https://www.securitylab.ru/news/500387.php
SecurityLab.ru
Обзор инцидентов безопасности с 5 по 11 августа
Коротко о главных событиях прошедшей недели.