Fancy Bear пытается победить машинное обучение новым бэкдором
Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Исследователи из Cylance провели анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28). Инструмент создан с целью победить защиту на основе машинного обучения. По словам исследователей, преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Имплант представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности.
Данный подход демонстрирует утонченную работу киберпреступников. Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты, предполагают специалисты.
В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников. Обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее.
Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.
Источник: https://www.securitylab.ru/news/500726.php
Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Исследователи из Cylance провели анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28). Инструмент создан с целью победить защиту на основе машинного обучения. По словам исследователей, преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Имплант представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности.
Данный подход демонстрирует утонченную работу киберпреступников. Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты, предполагают специалисты.
В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников. Обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее.
Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.
Источник: https://www.securitylab.ru/news/500726.php
SecurityLab.ru
Fancy Bear пытается победить машинное обучение новым бэкдором
Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.
Обзор инцидентов безопасности за период с 26 августа по 1 сентября 2019 года
Коротко о главных событиях прошедшей недели.
Специалисты компании Google рассказали об одной из крупнейших в истории кибератак на владельцев iPhone. Злоумышленники взломали ряд сайтов с аудиторией в несколько тысяч пользователей в неделю и с их помощью заражали iOS-устройства вредоносным ПО через уязвимости нулевого дня в операционной системе. Об уязвимостях, как и о самой вредоносной кампании, не было известно в течение нескольких лет.
Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup. Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс. зараженных вредоносом компьютеров.
Компания Imperva, специализирующаяся на разработке решений в области защиты web-приложений и данных, допустила утечку конфиденциальной информации ряда своих клиентов. В частности, инцидент затронул пользователей CDN-сервиса Imperva Cloud Web Application Firewall (WAF), ранее известного как Incapsula.
Исследователи из Cisco Talos выявили ряд вредоносных кампаний, нацеленных на государственные и финансовые организации по всему миру. В рамках атак киберпреступники использовали инструменты Revenge и Orcus. Основной чертой всех кампаний является использование ряда уникальных тактик, методов и процедур, включая обфускацию C&C-инфраструктуры, обход анализа и обеспечение персистентности за счет применения бесфайловых вредоносов.
ИБ-эксперты предупредили об участившихся случаях использования протокола Web Services Dynamic Discovery (WS-DD, WSD, или WS-Discovery) для организации DDoS-атак. Первые атаки подобного типа были обнаружены в мае нынешнего года, мощность некоторых из них достигала 350 Гбит/с.
На минувшей неделе сотни стоматологических кабинетов в США стали жертвами вымогательского ПО REvil (Sodinokibi). Заражение осуществлялось через взломанные сети провайдеров программного обеспечения для хранения электронных медицинских карт DDS Safe - компаний The Digital Dental Record и PerCSoft. Два стоматологических кабинета заплатили выкуп вымогателям. Производители DDS Safe также предоставили своим клиентам инструмент для расшифровки заблокированных файлов, однако, судя по сообщениям в соцсетях, он срабатывал не во всех случаях или расшифровывал не все файлы.
Источник: https://www.securitylab.ru/news/500732.php
Коротко о главных событиях прошедшей недели.
Специалисты компании Google рассказали об одной из крупнейших в истории кибератак на владельцев iPhone. Злоумышленники взломали ряд сайтов с аудиторией в несколько тысяч пользователей в неделю и с их помощью заражали iOS-устройства вредоносным ПО через уязвимости нулевого дня в операционной системе. Об уязвимостях, как и о самой вредоносной кампании, не было известно в течение нескольких лет.
Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup. Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс. зараженных вредоносом компьютеров.
Компания Imperva, специализирующаяся на разработке решений в области защиты web-приложений и данных, допустила утечку конфиденциальной информации ряда своих клиентов. В частности, инцидент затронул пользователей CDN-сервиса Imperva Cloud Web Application Firewall (WAF), ранее известного как Incapsula.
Исследователи из Cisco Talos выявили ряд вредоносных кампаний, нацеленных на государственные и финансовые организации по всему миру. В рамках атак киберпреступники использовали инструменты Revenge и Orcus. Основной чертой всех кампаний является использование ряда уникальных тактик, методов и процедур, включая обфускацию C&C-инфраструктуры, обход анализа и обеспечение персистентности за счет применения бесфайловых вредоносов.
ИБ-эксперты предупредили об участившихся случаях использования протокола Web Services Dynamic Discovery (WS-DD, WSD, или WS-Discovery) для организации DDoS-атак. Первые атаки подобного типа были обнаружены в мае нынешнего года, мощность некоторых из них достигала 350 Гбит/с.
На минувшей неделе сотни стоматологических кабинетов в США стали жертвами вымогательского ПО REvil (Sodinokibi). Заражение осуществлялось через взломанные сети провайдеров программного обеспечения для хранения электронных медицинских карт DDS Safe - компаний The Digital Dental Record и PerCSoft. Два стоматологических кабинета заплатили выкуп вымогателям. Производители DDS Safe также предоставили своим клиентам инструмент для расшифровки заблокированных файлов, однако, судя по сообщениям в соцсетях, он срабатывал не во всех случаях или расшифровывал не все файлы.
Источник: https://www.securitylab.ru/news/500732.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 26 августа по 1 сентября 2019 года
Коротко о главных событиях прошедшей недели.
Злоумышленники распространяют вредоносное ПО через учебники и рефераты
Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку, литературе и математике.
За последний год злоумышленники сконцентрировались на сфере образования. В период с августа 2018-го по август 2019 года специалистами из «Лаборатории Касперского» было зафиксировано в общей сложности более 356 тыс. попыток атаковать пользователей. Из них 233 тыс. случаев приходятся на вредоносные рефераты, а 122 тыс. — на учебники.
Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку. Их пытались скачать 2080 раз. Следом идут пособия по математике с результатом 1213 загрузок. На третьем месте оказалась литература — 870 потенциальных жертв.
Под видом рефератов и учебников чаще всего распространяется вредоносное ПО Stalk. По словам экспертов, давно известный червь Worm.Win32.Stalk.a не только остается активным спустя много лет, но также занимает первую строчку по количеству атакованных пользователей. Оказавшись на системе, Stalk проникает на все подключенные устройства, как, например, «флешки». Поскольку пользователь захочет распечатать документы в университете или школе, вредонос в результате окажется в сети учебного заведения. Также вредонос попытается разослать свои копии по электронной почте всем контактам жертвы для большего охвата целей. Помимо распространения по локальной сети и почте, червь умеет загружать на зараженное устройство другие вредоносные приложения, а также копировать и отправлять своим операторам данные пользователя.
Следующим в списке является загрузчик Win32.Agent.ifdx, скрывающийся под видом документов в формате DOC, DOCX или PDF. Для большей убедительности загрузчик во время запуска действительно открывает текстовый файл, а затем загружает на компьютер вредонос. В последнее время он распространяет криптомайнеры, отмечают специалисты.
Вредонос WinLNK.Agent.gen. чаще всего скрывается в архивах, поскольку в упакованном виде его сложнее обнаружить. Помимо криптомайнеров, с его помощью на компьютер жертвы могут попасть вредоносы, демонстрирующие рекламу.
Последним в списке угроз оказался загрузчик торрент-приложения MediaGet. Его жертвами становятся посетители сайтов с учебниками, где кнопки «Скачать бесплатно» часто «подсовывают» пользователям вместо документа загрузчик программы MediaGet. Оказавшись на системе, он просто скачает и установит ненужный пользователю торрент-клиент, не причинив другого вреда.
Источник: https://www.securitylab.ru/news/500783.php
Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку, литературе и математике.
За последний год злоумышленники сконцентрировались на сфере образования. В период с августа 2018-го по август 2019 года специалистами из «Лаборатории Касперского» было зафиксировано в общей сложности более 356 тыс. попыток атаковать пользователей. Из них 233 тыс. случаев приходятся на вредоносные рефераты, а 122 тыс. — на учебники.
Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку. Их пытались скачать 2080 раз. Следом идут пособия по математике с результатом 1213 загрузок. На третьем месте оказалась литература — 870 потенциальных жертв.
Под видом рефератов и учебников чаще всего распространяется вредоносное ПО Stalk. По словам экспертов, давно известный червь Worm.Win32.Stalk.a не только остается активным спустя много лет, но также занимает первую строчку по количеству атакованных пользователей. Оказавшись на системе, Stalk проникает на все подключенные устройства, как, например, «флешки». Поскольку пользователь захочет распечатать документы в университете или школе, вредонос в результате окажется в сети учебного заведения. Также вредонос попытается разослать свои копии по электронной почте всем контактам жертвы для большего охвата целей. Помимо распространения по локальной сети и почте, червь умеет загружать на зараженное устройство другие вредоносные приложения, а также копировать и отправлять своим операторам данные пользователя.
Следующим в списке является загрузчик Win32.Agent.ifdx, скрывающийся под видом документов в формате DOC, DOCX или PDF. Для большей убедительности загрузчик во время запуска действительно открывает текстовый файл, а затем загружает на компьютер вредонос. В последнее время он распространяет криптомайнеры, отмечают специалисты.
Вредонос WinLNK.Agent.gen. чаще всего скрывается в архивах, поскольку в упакованном виде его сложнее обнаружить. Помимо криптомайнеров, с его помощью на компьютер жертвы могут попасть вредоносы, демонстрирующие рекламу.
Последним в списке угроз оказался загрузчик торрент-приложения MediaGet. Его жертвами становятся посетители сайтов с учебниками, где кнопки «Скачать бесплатно» часто «подсовывают» пользователям вместо документа загрузчик программы MediaGet. Оказавшись на системе, он просто скачает и установит ненужный пользователю торрент-клиент, не причинив другого вреда.
Источник: https://www.securitylab.ru/news/500783.php
SecurityLab.ru
Злоумышленники распространяют вредоносное ПО через учебники и рефераты
Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку, литературе и математике.
Сбой в системе оповещения SpaceX чуть не привел к столкновению спутников
Из-за компьютерного сбоя SpaceX не могла получать сообщения от Европейского космического агентства.
Европейскому спутнику пришлось изменить свое положение на орбите для того, чтобы избежать столкновения со спутником Starlink. Этот спутник вместе с другими 59 спутниками был запущен компанией SpaceX в мае нынешнего года с целью создания спутникового интернет-канала связи.
Как сообщает Forbes, Европейскому космическому агентству (ЕКА) пришлось совершить экстренный маневр, когда, согласно подсчетам, риск столкновения стал выше, чем обычно. В свою очередь SpaceX не изменила местоположение Starlink якобы из-за компьютерного сбоя, воспрепятствовавшего установлению связи с ЕКА.
Изменение местоположения спутника на орбите – дело весьма привычное. Когда подсчеты показывают хотя бы минимальную возможность столкновения, в целях предосторожности операторы спутника перемещают его. Столкновение на таких скоростях чревато опасными последствиями, поэтому операторы предпочитают не рисковать.
Однако случай со спутником ЕКА вызывает определенные опасения, поскольку SpaceX планирует запустить на низкой околоземной орбите 1,2 тыс. спутников Starlink. Такое большое спутниковое созвездие может повысить риск столкновений в космосе. Если уже сейчас ЕКА пришлось передвинуть свой спутник, то как часто придется это делать, когда SpaceX запустит более тысячи Starlink?
Ранее сообщалось, что SpaceX намеренно отказалась переместить свой спутник, однако в самой компании это отрицают. По словам представителей компании, всему виной послужил сбой в ее «пейджинговой системе вызова», из-за которого команда Starlink не смогла получать сообщения от ЕКА.
Источник: https://www.securitylab.ru/news/500822.php
Из-за компьютерного сбоя SpaceX не могла получать сообщения от Европейского космического агентства.
Европейскому спутнику пришлось изменить свое положение на орбите для того, чтобы избежать столкновения со спутником Starlink. Этот спутник вместе с другими 59 спутниками был запущен компанией SpaceX в мае нынешнего года с целью создания спутникового интернет-канала связи.
Как сообщает Forbes, Европейскому космическому агентству (ЕКА) пришлось совершить экстренный маневр, когда, согласно подсчетам, риск столкновения стал выше, чем обычно. В свою очередь SpaceX не изменила местоположение Starlink якобы из-за компьютерного сбоя, воспрепятствовавшего установлению связи с ЕКА.
Изменение местоположения спутника на орбите – дело весьма привычное. Когда подсчеты показывают хотя бы минимальную возможность столкновения, в целях предосторожности операторы спутника перемещают его. Столкновение на таких скоростях чревато опасными последствиями, поэтому операторы предпочитают не рисковать.
Однако случай со спутником ЕКА вызывает определенные опасения, поскольку SpaceX планирует запустить на низкой околоземной орбите 1,2 тыс. спутников Starlink. Такое большое спутниковое созвездие может повысить риск столкновений в космосе. Если уже сейчас ЕКА пришлось передвинуть свой спутник, то как часто придется это делать, когда SpaceX запустит более тысячи Starlink?
Ранее сообщалось, что SpaceX намеренно отказалась переместить свой спутник, однако в самой компании это отрицают. По словам представителей компании, всему виной послужил сбой в ее «пейджинговой системе вызова», из-за которого команда Starlink не смогла получать сообщения от ЕКА.
Источник: https://www.securitylab.ru/news/500822.php
SecurityLab.ru
Сбой в системе оповещения SpaceX чуть не привел к столкновению спутников
Из-за компьютерного сбоя SpaceX не могла получать сообщения от Европейского космического агентства.
В Ингушетии ликвидирована масштабная криптоферма
Криптоферма насчитывала более полутра тысяч видеокарт.
Неподалеку от села Плиево в Назрановском районе Республики Ингушетия обнаружена огромная криптовалютная ферма. Более полутора тысяч видеокарт располагались в здании, на котором незаконно были установлены два трансформатора мощностью 1600 кВт каждый.
Владелец криптофермы не платил за электричество, и служба безопасности поставщика электроэнергии обратила на это внимание. Как сообщают в энергокомпании «Россети Северный Кавказ», данный случай является самым крупным хищением за последнее время - было похищено электроэнергии на 130 млн руб.
При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано. По записям с видеокамер правоохранители надеются вычислить владельца фермы.
В настоящее время решается вопрос о возбуждении уголовного дела по ст. 165 УК РФ («Причинение имущественного ущерба путем обмана или злоупотребления доверием в особо крупном размере»). Данная статья предусматривает наказание в виде штрафа и лишения свободы на срок до пяти лет.
В мае нынешнего года SecurityLab сообщал о похожем случае. Незаконно обустроенная криптоферма в Дагестане причинила ущерб энергокомпании более чем на 4,5 млн руб.
Источник: https://www.securitylab.ru/news/500829.php
Криптоферма насчитывала более полутра тысяч видеокарт.
Неподалеку от села Плиево в Назрановском районе Республики Ингушетия обнаружена огромная криптовалютная ферма. Более полутора тысяч видеокарт располагались в здании, на котором незаконно были установлены два трансформатора мощностью 1600 кВт каждый.
Владелец криптофермы не платил за электричество, и служба безопасности поставщика электроэнергии обратила на это внимание. Как сообщают в энергокомпании «Россети Северный Кавказ», данный случай является самым крупным хищением за последнее время - было похищено электроэнергии на 130 млн руб.
При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано. По записям с видеокамер правоохранители надеются вычислить владельца фермы.
В настоящее время решается вопрос о возбуждении уголовного дела по ст. 165 УК РФ («Причинение имущественного ущерба путем обмана или злоупотребления доверием в особо крупном размере»). Данная статья предусматривает наказание в виде штрафа и лишения свободы на срок до пяти лет.
В мае нынешнего года SecurityLab сообщал о похожем случае. Незаконно обустроенная криптоферма в Дагестане причинила ущерб энергокомпании более чем на 4,5 млн руб.
Источник: https://www.securitylab.ru/news/500829.php
SecurityLab.ru
В Ингушетии ликвидирована масштабная криптоферма
Криптоферма насчитывала более полутра тысяч видеокарт.
Обзор инцидентов в области безопасности за период со 2 по 8 сентября 2019 года
Коротко о главных событиях минувшей недели.
Специалисты компании Check Point предупредили о новой угрозе для владельцев смартфонов на базе ОС Android. В частности, они обнаружили, что злоумышленник может обманом заставить пользователя изменить критически важные сетевые настройки устройства и похищать его данные с помощью всего лишь одного SMS-сообщения. Проблема затрагивает миллионы телефонов, в том числе производства Samsung, Huawei, LG и Sony.
В Сеть попала информация о телефонных номерах миллионов пользователей Facebook. Обнаруженный сервер содержал базы с данными более 419 млн пользователей из разных стран, в том числе из США (133 млн), Вьетнама (50 млн), Великобритании (18 млн). Поскольку сервер не был защищен паролем, доступ к сведениям мог получить кто угодно.
В Ингушетии ликвидирована масштабная ферма по добыче криптовалюты, владелец которой похитил электричества на 130 млн рублей. При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано.
Специалисты обнаружили вредоносную кампанию, в рамках которой злоумышленники распространяли новый вариант вредоносного ПО Astaroth, а для того, чтобы остаться незамеченными антивирусным ПО, использовали платформу Cloudflare Workers.
Китайские киберпреступники нацелились на корпоративные VPN-серверы от Fortinet и Pulse Secure. Причиной тому стала публикация в свободном доступе информации об уязвимостях, обнаруженных в продуктах в августе нынешнего года. С конца августа группировка APT5 осуществляла интернет-сканирование на предмет уязвимых VPN-серверов Fortinet и Pulse Secure. Преступники пытались проэксплуатировать уязвимости CVE-2018-13379 в Fortinet и CVE-2019-11510 в Pulse Secure, позволяющие извлечь файлы с сервера.
Исследователи в области безопасности сообщили о новом методе, используемом операторами вымогательского ПО Sodinokibi, также известного как REvil, для распространения программы. Преступники взламывают сайты на WordPress и внедряют JavaScript-код, который отображает сообщения фальшивого форума «Вопросы и ответы» поверх содержимого исходного сайта. Сообщения содержат якобы «ответ от администратора» сайта с активной ссылкой на установщик вымогательской программы.
Источник: https://www.securitylab.ru/news/500884.php
Коротко о главных событиях минувшей недели.
Специалисты компании Check Point предупредили о новой угрозе для владельцев смартфонов на базе ОС Android. В частности, они обнаружили, что злоумышленник может обманом заставить пользователя изменить критически важные сетевые настройки устройства и похищать его данные с помощью всего лишь одного SMS-сообщения. Проблема затрагивает миллионы телефонов, в том числе производства Samsung, Huawei, LG и Sony.
В Сеть попала информация о телефонных номерах миллионов пользователей Facebook. Обнаруженный сервер содержал базы с данными более 419 млн пользователей из разных стран, в том числе из США (133 млн), Вьетнама (50 млн), Великобритании (18 млн). Поскольку сервер не был защищен паролем, доступ к сведениям мог получить кто угодно.
В Ингушетии ликвидирована масштабная ферма по добыче криптовалюты, владелец которой похитил электричества на 130 млн рублей. При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано.
Специалисты обнаружили вредоносную кампанию, в рамках которой злоумышленники распространяли новый вариант вредоносного ПО Astaroth, а для того, чтобы остаться незамеченными антивирусным ПО, использовали платформу Cloudflare Workers.
Китайские киберпреступники нацелились на корпоративные VPN-серверы от Fortinet и Pulse Secure. Причиной тому стала публикация в свободном доступе информации об уязвимостях, обнаруженных в продуктах в августе нынешнего года. С конца августа группировка APT5 осуществляла интернет-сканирование на предмет уязвимых VPN-серверов Fortinet и Pulse Secure. Преступники пытались проэксплуатировать уязвимости CVE-2018-13379 в Fortinet и CVE-2019-11510 в Pulse Secure, позволяющие извлечь файлы с сервера.
Исследователи в области безопасности сообщили о новом методе, используемом операторами вымогательского ПО Sodinokibi, также известного как REvil, для распространения программы. Преступники взламывают сайты на WordPress и внедряют JavaScript-код, который отображает сообщения фальшивого форума «Вопросы и ответы» поверх содержимого исходного сайта. Сообщения содержат якобы «ответ от администратора» сайта с активной ссылкой на установщик вымогательской программы.
Источник: https://www.securitylab.ru/news/500884.php
SecurityLab.ru
Обзор инцидентов в области безопасности за период со 2 по 8 сентября 2019 года
Коротко о главных событиях минувшей недели.
Отсутствие методов совместной борьбы с киберугрозами может привести к глобальной кибервойне
Группа ООН по кибербезопасности соберется в феврале 2020 года для обсуждения доклада по угрозам в этой сфере.
Мир может оказаться на пороге глобальной кибервойны, если правительства стран не найдут способ совместной борьбы с киберугрозами. Об этом заявил спецпредставитель президента РФ по вопросам международного сотрудничества в сфере информационной безопасности Андрей Крутских на пленарном заседании рабочей группы ООН по международной информационной безопасности.
По словам политолога, мир вскоре окажется на пороге глобальной кибервойны, если правительства стран не научатся совместно бороться с киберугрозами. Как сообщил спецпредставитель президента РФ, Россия открыта для диалога со всеми странами и государствами, и необходимо выстраивать совместную работу самым эффективным образом.
«Ситуация в этой сфере стремительно деградирует. Если отбросить пропагандистскую шелуху, то станет очевидным, что киберконфронтация только нарастает и, если мы общими усилиями не найдем действенные способы борьбы с этими угрозами, то, скажу прямо, до глобальной кибервойны будет рукой подать», — приводит информационное агенство ТАСС слова Крутских.
По словам политолога, группа ООН по кибербезопасности соберется в феврале 2020 года для обсуждения доклада по угрозам в этой сфере.
Источник: https://www.securitylab.ru/news/500922.php
Группа ООН по кибербезопасности соберется в феврале 2020 года для обсуждения доклада по угрозам в этой сфере.
Мир может оказаться на пороге глобальной кибервойны, если правительства стран не найдут способ совместной борьбы с киберугрозами. Об этом заявил спецпредставитель президента РФ по вопросам международного сотрудничества в сфере информационной безопасности Андрей Крутских на пленарном заседании рабочей группы ООН по международной информационной безопасности.
По словам политолога, мир вскоре окажется на пороге глобальной кибервойны, если правительства стран не научатся совместно бороться с киберугрозами. Как сообщил спецпредставитель президента РФ, Россия открыта для диалога со всеми странами и государствами, и необходимо выстраивать совместную работу самым эффективным образом.
«Ситуация в этой сфере стремительно деградирует. Если отбросить пропагандистскую шелуху, то станет очевидным, что киберконфронтация только нарастает и, если мы общими усилиями не найдем действенные способы борьбы с этими угрозами, то, скажу прямо, до глобальной кибервойны будет рукой подать», — приводит информационное агенство ТАСС слова Крутских.
По словам политолога, группа ООН по кибербезопасности соберется в феврале 2020 года для обсуждения доклада по угрозам в этой сфере.
Источник: https://www.securitylab.ru/news/500922.php
SecurityLab.ru
Отсутствие методов совместной борьбы с киберугрозами может привести к глобальной кибервойне
Группа ООН по кибербезопасности соберется в феврале 2020 года для обсуждения доклада по угрозам в этой сфере.
Microsoft исправила две уязвимости нулевого дня в ОС Windows
Их эксплуатация позволяет запускать вредоносный код с правами администратора на зараженных системах.
В рамках ежемесячной серии обновлений безопасности, известной как «вторник исправлений», компания Microsoft выпустила 80 исправлений для 15 продуктов и сервисов, включая браузеры Internet Explorer и Edge, Office, Skype for Business и пр.
Из 80 исправленных проблем две относятся к так называемым уязвимостям нулевого дня (неизвестные уязвимости, которые активно эксплуатируются злоумышленниками). Проблемы CVE-2019-1214 и CVE-2019-1215 представляют собой уязвимости повышения привилегий, которые могут быть проэксплуатированы для запуска вредоносного кода с правами администратора на зараженных системах. Первая уязвимость затрагивает драйвер файловой системы общего журнала Windows (Common Log File System), а вторая — службу ws2ifsl.sys (Winsock).
Также Microsoft исправила уязвимости (CVE-2019-1290 и CVE-2019-1291) удаленного выполнения кода в протоколе Windows Remote Desktop. Обе ошибки были обнаружены внутренней командой Microsoft, и в отличие от уязвимостей BlueKeep и DejaBlue, в компании не раскрыли, можно ли их использовать для создания самораспространяющихся вредоносных программ или эксплоитов.
Источник: https://www.securitylab.ru/news/500969.php
Их эксплуатация позволяет запускать вредоносный код с правами администратора на зараженных системах.
В рамках ежемесячной серии обновлений безопасности, известной как «вторник исправлений», компания Microsoft выпустила 80 исправлений для 15 продуктов и сервисов, включая браузеры Internet Explorer и Edge, Office, Skype for Business и пр.
Из 80 исправленных проблем две относятся к так называемым уязвимостям нулевого дня (неизвестные уязвимости, которые активно эксплуатируются злоумышленниками). Проблемы CVE-2019-1214 и CVE-2019-1215 представляют собой уязвимости повышения привилегий, которые могут быть проэксплуатированы для запуска вредоносного кода с правами администратора на зараженных системах. Первая уязвимость затрагивает драйвер файловой системы общего журнала Windows (Common Log File System), а вторая — службу ws2ifsl.sys (Winsock).
Также Microsoft исправила уязвимости (CVE-2019-1290 и CVE-2019-1291) удаленного выполнения кода в протоколе Windows Remote Desktop. Обе ошибки были обнаружены внутренней командой Microsoft, и в отличие от уязвимостей BlueKeep и DejaBlue, в компании не раскрыли, можно ли их использовать для создания самораспространяющихся вредоносных программ или эксплоитов.
Источник: https://www.securitylab.ru/news/500969.php
SecurityLab.ru
Microsoft исправила две уязвимости нулевого дня в ОС Windows
Их эксплуатация позволяет запускать вредоносный код с правами администратора на зараженных системах.
Моя новая книга:
«Уязвимость Cross Site Scripting (XSS). Практическое руководство для хакеров.»
В качестве введения.
Здравствуйте, дорогие друзья.
Рад приветствовать Вас на страницах данной книги, или я бы даже подчеркнул, практического руководства по уязвимости XSS. Несмотря на современные типы защит от Cross Site Scripting, которые используются на сайтах, данная уязвимость актуальна на большинстве сайтов.
Навыки для освоения материала нужны минимальные. У Вас должна быть операционная система Kali Linux (и даже это необязательно), и уязвимая машина «Metasploitable 2». Как поднять эту лабораторию у себя на компьютере, я не описывал. Коротко, можете использовать среду виртуализации VirtualBox с Kali Linux и Metasploitable 2 (думаю разберетесь).
Информация носит сугубо практический характер, где Вы на наглядных примерах будете шаг за шагом повторять мои действия, и эксплуатировать разные виды этой уязвимости, видя перед собой результат и механизм взаимодействия.
Я постарался детально отобразить все мои шаги, чтобы даже совсем начинающий пентестер разобрался в них.
Во второй части данного руководства будет рассмотрен достаточно известный и популярный фреймворк, который называется «BeEF».
Наряду с эксплуатацией, мы рассмотрим также и защиту от этой коварной уязвимости.
Я надеюсь, что эта книга станет Вашим проводником в мир Тестирования на проникновение и защиты от уязвимостей.
Искренне Ваш, Михаил Тарасов (Timcore).
«Уязвимость Cross Site Scripting (XSS). Практическое руководство для хакеров.»
В качестве введения.
Здравствуйте, дорогие друзья.
Рад приветствовать Вас на страницах данной книги, или я бы даже подчеркнул, практического руководства по уязвимости XSS. Несмотря на современные типы защит от Cross Site Scripting, которые используются на сайтах, данная уязвимость актуальна на большинстве сайтов.
Навыки для освоения материала нужны минимальные. У Вас должна быть операционная система Kali Linux (и даже это необязательно), и уязвимая машина «Metasploitable 2». Как поднять эту лабораторию у себя на компьютере, я не описывал. Коротко, можете использовать среду виртуализации VirtualBox с Kali Linux и Metasploitable 2 (думаю разберетесь).
Информация носит сугубо практический характер, где Вы на наглядных примерах будете шаг за шагом повторять мои действия, и эксплуатировать разные виды этой уязвимости, видя перед собой результат и механизм взаимодействия.
Я постарался детально отобразить все мои шаги, чтобы даже совсем начинающий пентестер разобрался в них.
Во второй части данного руководства будет рассмотрен достаточно известный и популярный фреймворк, который называется «BeEF».
Наряду с эксплуатацией, мы рассмотрим также и защиту от этой коварной уязвимости.
Я надеюсь, что эта книга станет Вашим проводником в мир Тестирования на проникновение и защиты от уязвимостей.
Искренне Ваш, Михаил Тарасов (Timcore).
Атака Simjacker – новый виток в развитии техник слежения за пользователями
Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в SMS-сообщении.
Исследователи компании AdaptiveMobile Security обнаружили уязвимость в сетях сотовых операторов связи, позволяющую следить за местоположением пользователей и уже использующуюся злоумышленниками. Уязвимость и связанная с ней атака получила название Simjacker, поскольку предполагает взлом SIM-карт.
По мнению исследователей, уязвимость эксплуатируется уже как минимум два года передовыми киберпреступниками (вероятнее всего работающими на правительство) с целью слежки за пользователями.
Атака Simjacker предполагает отправку на атакуемый телефон SMS-сообщения с особым кодом наподобие шпионского ПО, что весьма необычно, поскольку, как правило, в SMS-сообщениях отправляется ссылка на вредоносное ПО, но не сам вредонос. Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в «смске».
Вредоносный код дает SIM-карте телефона команду «захватить» устройство с целью получения и выполнения команд. Все происходит совершенно незаметно для жертвы – она ничего не знает ни о получении вредоносного SMS-сообщения, ни о сборе информации о местоположении, ни о ее дальнейшей отправке в другом SMS-сообщении. Вышеупомянутые сообщения не сохраняются ни во входящих, ни в исходящих.
Всего лишь модифицировав вредоносную «смску», злоумышленник может не только получить данные о местоположении пользователя, но также воспроизводить звонок, отправлять короткие сообщения и USSD-сообщения, отключать SIM-карту, открывать браузер и пр.
Источник: https://www.securitylab.ru/news/501056.php
Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в SMS-сообщении.
Исследователи компании AdaptiveMobile Security обнаружили уязвимость в сетях сотовых операторов связи, позволяющую следить за местоположением пользователей и уже использующуюся злоумышленниками. Уязвимость и связанная с ней атака получила название Simjacker, поскольку предполагает взлом SIM-карт.
По мнению исследователей, уязвимость эксплуатируется уже как минимум два года передовыми киберпреступниками (вероятнее всего работающими на правительство) с целью слежки за пользователями.
Атака Simjacker предполагает отправку на атакуемый телефон SMS-сообщения с особым кодом наподобие шпионского ПО, что весьма необычно, поскольку, как правило, в SMS-сообщениях отправляется ссылка на вредоносное ПО, но не сам вредонос. Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в «смске».
Вредоносный код дает SIM-карте телефона команду «захватить» устройство с целью получения и выполнения команд. Все происходит совершенно незаметно для жертвы – она ничего не знает ни о получении вредоносного SMS-сообщения, ни о сборе информации о местоположении, ни о ее дальнейшей отправке в другом SMS-сообщении. Вышеупомянутые сообщения не сохраняются ни во входящих, ни в исходящих.
Всего лишь модифицировав вредоносную «смску», злоумышленник может не только получить данные о местоположении пользователя, но также воспроизводить звонок, отправлять короткие сообщения и USSD-сообщения, отключать SIM-карту, открывать браузер и пр.
Источник: https://www.securitylab.ru/news/501056.php
SecurityLab.ru
Атака Simjacker – новый виток в развитии техник слежения за пользователями
Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в SMS-сообщении.