Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
www.securitylab.ru
Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
Название: "Расследование компьютерных преступлений"
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
www.securitylab.ru
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
Прохождение CTF Мистер Робот. Практический курс для хакеров.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
www.securitylab.ru
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Сбербанк расследует возможную утечку данных своих клиентов
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.
На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Финансовой организации стало известно об инциденте вечером в среду, 2 октября. Как сообщается в пресс-релизе Сбербанка, возможная утечка записей по кредитным картам затрагивает как минимум 200 человек. Однако сами продавцы уверяют, что в их распоряжении находится информация по 60 млн кредитных карт, как действующих, так и закрытых (в настоящее время у банка насчитывается порядка 18 млн активных карт), пишет «КоммерсантЪ».
«Пробный» фрагмент базы из 200 строк продавец предоставляет потенциальным покупателям для ознакомления. В нем содержится информация по клиентам принадлежащего Сбербанку Уральского территориально банка, в том числе персональные данные и подробности о кредитной карте и операциях с нею. Стоимость данных составляет 5 руб. за строку.
Судя по всему, утечка могла произойти 24 августа нынешнего года. Указанные в БД слова way4 и w4 вероятно относятся к используемой Сбербанком процессинговой платформе Way4.
В настоящее время специалисты финорганизации проводят служебное расследование потенциальной утечки. Основная версия следствия заключается в том, что данные были похищены и «слиты» кем-то из сотрудников, поскольку БД изолирована от Сети и проникнуть в нее можно только изнутри. Вероятность получения данных путем «пробива» клиентов с помощью подкупа сотрудника финорганизации также исключается.
«Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», - уверяют в Сбербанке.
Источник: https://www.securitylab.ru/news/501540.php
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.
На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Финансовой организации стало известно об инциденте вечером в среду, 2 октября. Как сообщается в пресс-релизе Сбербанка, возможная утечка записей по кредитным картам затрагивает как минимум 200 человек. Однако сами продавцы уверяют, что в их распоряжении находится информация по 60 млн кредитных карт, как действующих, так и закрытых (в настоящее время у банка насчитывается порядка 18 млн активных карт), пишет «КоммерсантЪ».
«Пробный» фрагмент базы из 200 строк продавец предоставляет потенциальным покупателям для ознакомления. В нем содержится информация по клиентам принадлежащего Сбербанку Уральского территориально банка, в том числе персональные данные и подробности о кредитной карте и операциях с нею. Стоимость данных составляет 5 руб. за строку.
Судя по всему, утечка могла произойти 24 августа нынешнего года. Указанные в БД слова way4 и w4 вероятно относятся к используемой Сбербанком процессинговой платформе Way4.
В настоящее время специалисты финорганизации проводят служебное расследование потенциальной утечки. Основная версия следствия заключается в том, что данные были похищены и «слиты» кем-то из сотрудников, поскольку БД изолирована от Сети и проникнуть в нее можно только изнутри. Вероятность получения данных путем «пробива» клиентов с помощью подкупа сотрудника финорганизации также исключается.
«Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», - уверяют в Сбербанке.
Источник: https://www.securitylab.ru/news/501540.php
SecurityLab.ru
Сбербанк расследует возможную утечку данных своих клиентов
В Сети выставлены на продажу данные 60 млн кредитных карт, предположительно принадлежащих клиентам Сбербанка.
Начал вести Яндекс Дзен.
Поддержи меня подпиской и просмотрами, а я, в свою очередь буду радовать Вас годным контентом.
Ссылка на Дзен: https://zen.yandex.ru/id/5aa8f18f8c8be3818c1b2dd0
Поддержи меня подпиской и просмотрами, а я, в свою очередь буду радовать Вас годным контентом.
Ссылка на Дзен: https://zen.yandex.ru/id/5aa8f18f8c8be3818c1b2dd0
Дзен
Этичный хакинг с Михаилом Тарасовым (Timcore)
Здравствуйте, дорогие друзья.
Меня зовут Михаил Тарасов, и в интернете я фигурирую под ником Timcore.
Сертифицированный специалист по информационной безопасности.
Ethical Hacker, CTF player, Beginner Bug Hunter.
Меня зовут Михаил Тарасов, и в интернете я фигурирую под ником Timcore.
Сертифицированный специалист по информационной безопасности.
Ethical Hacker, CTF player, Beginner Bug Hunter.
Главной причиной инцидентов кибербезопасности являются ошибки сотрудников
IT-специалисты признали плохое управление паролями самой главной причиной беспокойства касательно внутренних угроз.
Исследователи из компании SolarWinds в период с августа по сентябрь 2019 провели опрос среди 110 IT-специалистов, менеджеров и директоров организаций малого и среднего бизнеса, а также сотрудников компаний в государственном и частном секторах в Германии. По результатам опроса, главной причиной инцидентов кибербезопасности оказались ошибки сотрудников (80%), за которыми последовали риски, вызванные недостаточной безопасностью сетей и приложений (36%), а также киберпреступники, проникшие в сеть организаций (31%).
В плане внутренних угроз IT-специалисты признали плохое управление паролями основной причиной беспокойства. По словам 45% респондентов, плохое управление и ненадежность паролей являются наиболее частыми причинами случайных или неосторожных нарушений со стороны сотрудников, а 42% назвали совместное использование паролей самой распространенной проблемой. Среди других причин инцидентов также были указаны случайная утечка, удаление, повреждение или изменение критических данных (40%) и копирование данных на незащищенные устройства (36%).
По результатам опроса, 89% технических специалистов чувствуют себя не готовыми к успешной реализации и управлению задачами кибербезопасности в нынешнее время с их текущими навыками в области IT. Более половины опрошенных технических специалистов (54%) считают, что они не готовы использовать прогнозную аналитику для определения вероятности результатов в своей сфере.
55% респондентов чрезвычайно обеспокоены сотрудниками, совершающими ошибки, которые подвергают риску организации. Почти половина опрошенных специалистов крайне обеспокоены киберпреступниками, которые в следующие 12 месяцев могут стать основной причиной инцидентов в области безопасности.
По словам 25% респондентов, наиболее существенным препятствием для поддержания и повышения IT-безопасности в их организациях является сложность IT-инфраструктуры, за которыми следуют бюджетные ограничения (20%) и недостаток рабочей силы (19%).
Источник: https://www.securitylab.ru/news/501632.php
IT-специалисты признали плохое управление паролями самой главной причиной беспокойства касательно внутренних угроз.
Исследователи из компании SolarWinds в период с августа по сентябрь 2019 провели опрос среди 110 IT-специалистов, менеджеров и директоров организаций малого и среднего бизнеса, а также сотрудников компаний в государственном и частном секторах в Германии. По результатам опроса, главной причиной инцидентов кибербезопасности оказались ошибки сотрудников (80%), за которыми последовали риски, вызванные недостаточной безопасностью сетей и приложений (36%), а также киберпреступники, проникшие в сеть организаций (31%).
В плане внутренних угроз IT-специалисты признали плохое управление паролями основной причиной беспокойства. По словам 45% респондентов, плохое управление и ненадежность паролей являются наиболее частыми причинами случайных или неосторожных нарушений со стороны сотрудников, а 42% назвали совместное использование паролей самой распространенной проблемой. Среди других причин инцидентов также были указаны случайная утечка, удаление, повреждение или изменение критических данных (40%) и копирование данных на незащищенные устройства (36%).
По результатам опроса, 89% технических специалистов чувствуют себя не готовыми к успешной реализации и управлению задачами кибербезопасности в нынешнее время с их текущими навыками в области IT. Более половины опрошенных технических специалистов (54%) считают, что они не готовы использовать прогнозную аналитику для определения вероятности результатов в своей сфере.
55% респондентов чрезвычайно обеспокоены сотрудниками, совершающими ошибки, которые подвергают риску организации. Почти половина опрошенных специалистов крайне обеспокоены киберпреступниками, которые в следующие 12 месяцев могут стать основной причиной инцидентов в области безопасности.
По словам 25% респондентов, наиболее существенным препятствием для поддержания и повышения IT-безопасности в их организациях является сложность IT-инфраструктуры, за которыми следуют бюджетные ограничения (20%) и недостаток рабочей силы (19%).
Источник: https://www.securitylab.ru/news/501632.php
SecurityLab.ru
Главной причиной инцидентов кибербезопасности являются ошибки сотрудников
IT-специалисты признали плохое управление паролями самой главной причиной беспокойства касательно внутренних угроз.
Компания не знает, какое количество пользователей затронула данная ошибка.
Представители компании Twitter признались в случайном использовании в рекламных целях привязанных к учетным записям адресов электронной почты и номеров телефонов, применяемых для обеспечения безопасности (например, для двухфакторной авторизации). Адреса и номера использовались в продукте Tailored Audiences, позволяющем рекламодателям осуществлять рекламный таргетинг на основе их собственных маркетинговых списков.
«Когда рекламодатель загружал маркетинговый список, мы могли сопоставить данные пользователей Twitter с его списком на основе адресов электронной почты или номеров телефонов, которые использовались владельцами аккаунта для целей безопасности. Это была ошибка, и мы приносим свои извинения», — сообщили представители компании.
По словам представителей, они не знают, какое количество пользователей затронула данная ошибка, однако уверены, что конфиденциальная информация не была передана третьим лицам, использующим Tailored Audiences.
Напомним, в августе нынешнего года представители Twitter сообщили о проблемах в приложении, из-за которых некоторые настройки работали не должным образом, из-за чего данные пользователей передавались без их разрешения третьим лицам.
Подробнее: https://www.securitylab.ru/news/501654.php
Представители компании Twitter признались в случайном использовании в рекламных целях привязанных к учетным записям адресов электронной почты и номеров телефонов, применяемых для обеспечения безопасности (например, для двухфакторной авторизации). Адреса и номера использовались в продукте Tailored Audiences, позволяющем рекламодателям осуществлять рекламный таргетинг на основе их собственных маркетинговых списков.
«Когда рекламодатель загружал маркетинговый список, мы могли сопоставить данные пользователей Twitter с его списком на основе адресов электронной почты или номеров телефонов, которые использовались владельцами аккаунта для целей безопасности. Это была ошибка, и мы приносим свои извинения», — сообщили представители компании.
По словам представителей, они не знают, какое количество пользователей затронула данная ошибка, однако уверены, что конфиденциальная информация не была передана третьим лицам, использующим Tailored Audiences.
Напомним, в августе нынешнего года представители Twitter сообщили о проблемах в приложении, из-за которых некоторые настройки работали не должным образом, из-за чего данные пользователей передавались без их разрешения третьим лицам.
Подробнее: https://www.securitylab.ru/news/501654.php
SecurityLab.ru
Twitter случайно использовала конфиденциальные данные для целевой рекламы
Компания не знает, какое количество пользователей затронула данная ошибка.