Хакеры рассказали о прибыльной мошеннической схеме с Facebook и PayPal
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
Представители киберпреступного сообщества рассказали изданию CyberNews о мошеннической схеме с Facebook и PayPal, приносящей $1,6 млн дохода в месяц. Отличительной чертой данной схемы является то, что жертва сама добровольно переводит деньги мошенникам.
Впервые схема начала применяться в 2016 году, и в последние годы мошенники снова вспомнили о ней. Последняя волна продолжалась в течение двух месяцев, принося злоумышленникам $53 тыс. чистого дохода в день.
У мошеннической схемы существует два варианта. Для осуществления первого варианта требуется две жертвы. Первая жертва – пользователь Facebook, чью учетную запись нужно взломать, а вторая – человек, переводящий деньги. Злоумышленник взламывает учетную запись пользователя Facebook и просит у 5-6 его друзей перевести деньги. Мошенник просит «друга» получить средства в его PayPal-кошелек, а затем отправить ту же сумму на банковский счет мошенника. Как правило, мошенник объясняет это тем, что у него возникли проблемы с PayPal-кошельком, и он не может снять деньги.
Злоумышленник действительно переводит средства на PayPal-кошелек жертвы. Жертва видит, что деньги получены, и отправляет такую же сумму на указанный банковский счет. Через день-два мошенник осуществляет возврат платежа, и жертва лишается переведенных ей денег. Злоумышленник конвертирует похищенные средства в криптовалюту и закрывает банковский счет.
Второй вариант мошеннической схемы предусматривает использование взломанного PayPal-кошелька. То есть, злоумышленник отправляет жертве средства не со своего PayPal-кошелька, а со взломанного. Когда настоящий владелец увидит несанкционированный перевод, он сам инициирует возврат платежа, и в результате жертва опять же таки лишается средств.
Для осуществления схемы злоумышленникам нужны взломанные учетные записи пользователей Facebook, PayPal-кошелек (свой или взломанный) и «одноразовый» банковский счет. Если на каком-то этапе операции мошенники сталкиваются с трудностями, они переходят к следующей жертве. Как сообщил представитель киберпреступного сообщества, нет смысла слишком стараться, поскольку количество имеющихся в их распоряжении взломанных учетных записей позволяет не зацикливаться на одной жертве.
Источник: https://www.securitylab.ru/news/507944.php
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
Представители киберпреступного сообщества рассказали изданию CyberNews о мошеннической схеме с Facebook и PayPal, приносящей $1,6 млн дохода в месяц. Отличительной чертой данной схемы является то, что жертва сама добровольно переводит деньги мошенникам.
Впервые схема начала применяться в 2016 году, и в последние годы мошенники снова вспомнили о ней. Последняя волна продолжалась в течение двух месяцев, принося злоумышленникам $53 тыс. чистого дохода в день.
У мошеннической схемы существует два варианта. Для осуществления первого варианта требуется две жертвы. Первая жертва – пользователь Facebook, чью учетную запись нужно взломать, а вторая – человек, переводящий деньги. Злоумышленник взламывает учетную запись пользователя Facebook и просит у 5-6 его друзей перевести деньги. Мошенник просит «друга» получить средства в его PayPal-кошелек, а затем отправить ту же сумму на банковский счет мошенника. Как правило, мошенник объясняет это тем, что у него возникли проблемы с PayPal-кошельком, и он не может снять деньги.
Злоумышленник действительно переводит средства на PayPal-кошелек жертвы. Жертва видит, что деньги получены, и отправляет такую же сумму на указанный банковский счет. Через день-два мошенник осуществляет возврат платежа, и жертва лишается переведенных ей денег. Злоумышленник конвертирует похищенные средства в криптовалюту и закрывает банковский счет.
Второй вариант мошеннической схемы предусматривает использование взломанного PayPal-кошелька. То есть, злоумышленник отправляет жертве средства не со своего PayPal-кошелька, а со взломанного. Когда настоящий владелец увидит несанкционированный перевод, он сам инициирует возврат платежа, и в результате жертва опять же таки лишается средств.
Для осуществления схемы злоумышленникам нужны взломанные учетные записи пользователей Facebook, PayPal-кошелек (свой или взломанный) и «одноразовый» банковский счет. Если на каком-то этапе операции мошенники сталкиваются с трудностями, они переходят к следующей жертве. Как сообщил представитель киберпреступного сообщества, нет смысла слишком стараться, поскольку количество имеющихся в их распоряжении взломанных учетных записей позволяет не зацикливаться на одной жертве.
Источник: https://www.securitylab.ru/news/507944.php
SecurityLab.ru
Хакеры рассказали о прибыльной мошеннической схеме с Facebook и PayPal
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
«Правительственные» хакеры взломали почту высокопоставленных лиц Эстонии
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.
Финансируемые правительством хакеры проэксплуатировали уязвимость нулевого дня в эстонском сервисе электронной почты Mail.ee и взломали учетные записи ряда высокопоставленных лиц.
Как сообщается в опубликованном недавно отчете Полиции безопасности Эстонии (Kaitsepolitseiamet, KaPo), инцидент имел место в прошлом году, и с тех пор уязвимость была исправлена. «Уязвимость эксплуатировалась для взлома лишь небольшого количества электронных ящиков, принадлежащих лицам, которые представляют интерес для иностранного государства», - говорится в отчете. Широкому кругу пользователей сервиса беспокоиться не о чем, уверяет KaPo.
Согласно отчету, атака была осуществлена с помощью электронных писем с вредоносным кодом, выполнявшимся, когда получатель открывал письмо на портале Mail.ee. Достаточно было лишь, чтобы жертва открыла письмо, никаких других действий с ее стороны не требовалось.
Вредоносный код автоматизировал ряд действий и настраивал переадресацию писем. «С момента открытия электронного письма с вредоносным кодом все получаемые жертвой письма переадресовывались на учетную запись, подконтрольную атакующему», - сообщила KaPo.
Помимо взлома Mail.ee в отчете также сообщается о других кибератаках на компании и частных лиц в Эстонии. В частности, говорится об операциях с использованием целенаправленного фишинга, проводимых другими финансируемыми правительствами группировками, такими как Gamaredon и Silent Librarian.
Источник: https://www.securitylab.ru/news/507989.php
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.
Финансируемые правительством хакеры проэксплуатировали уязвимость нулевого дня в эстонском сервисе электронной почты Mail.ee и взломали учетные записи ряда высокопоставленных лиц.
Как сообщается в опубликованном недавно отчете Полиции безопасности Эстонии (Kaitsepolitseiamet, KaPo), инцидент имел место в прошлом году, и с тех пор уязвимость была исправлена. «Уязвимость эксплуатировалась для взлома лишь небольшого количества электронных ящиков, принадлежащих лицам, которые представляют интерес для иностранного государства», - говорится в отчете. Широкому кругу пользователей сервиса беспокоиться не о чем, уверяет KaPo.
Согласно отчету, атака была осуществлена с помощью электронных писем с вредоносным кодом, выполнявшимся, когда получатель открывал письмо на портале Mail.ee. Достаточно было лишь, чтобы жертва открыла письмо, никаких других действий с ее стороны не требовалось.
Вредоносный код автоматизировал ряд действий и настраивал переадресацию писем. «С момента открытия электронного письма с вредоносным кодом все получаемые жертвой письма переадресовывались на учетную запись, подконтрольную атакующему», - сообщила KaPo.
Помимо взлома Mail.ee в отчете также сообщается о других кибератаках на компании и частных лиц в Эстонии. В частности, говорится об операциях с использованием целенаправленного фишинга, проводимых другими финансируемыми правительствами группировками, такими как Gamaredon и Silent Librarian.
Источник: https://www.securitylab.ru/news/507989.php
SecurityLab.ru
«Правительственные» хакеры взломали почту высокопоставленных лиц Эстонии
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.
#news@hacker_timcore
Киберпреступники атакуют разработчиков вакцины от COVID-19
Киберпреступники, действующие под прикрытием иностранных государств, активно атакуют исследователей с целью кражи важных данных.
Национальный центр кибербезопасности Великобритании (National Cyber Security Center, NCSC) сообщил о значительном увеличении количества кибератак, направленных на британские университеты и научные организации, занимающиеся разработкой вакцины от коронавирусной инфекции (COVID-19). Киберпреступники, действующие под прикрытием иностранных государственных органов, в частности Китая и Ирана, активно атакуют исследователей с целью кражи важных данных.
Как сообщила газета The Guardian, в настоящее время десятки медицинских учреждений занимаются исследованием COVID-19, поэтому злоумышленники пытаются похитить какую-либо ценную информацию, связанную с деятельностью ученых. Пока что не было зафиксировано ни одной успешной атаки.
NCSC тесно сотрудничает со специалистами Оксфордского университета, которые заняты разработкой вакцины от коронавируса. Несмотря на возросшее количество кибератак, общее количество связанных с кибербезопасностью инцидентов в Великобритании во время пандемии не увеличилось.
Рост киберпреступной активности во время пандемии был отмечен еще в прошлом месяце. Например, в апреле зампомощника директора ФБР США Тоня Угорец (Tonya Ugoretz) сообщила об увеличении количества киберпреступных атак и взломов систем некоторых учреждений, которые публично заявили о работе над исследованиями в области изучения COVID-19.
Источник: https://www.securitylab.ru/news/508046.php
Киберпреступники атакуют разработчиков вакцины от COVID-19
Киберпреступники, действующие под прикрытием иностранных государств, активно атакуют исследователей с целью кражи важных данных.
Национальный центр кибербезопасности Великобритании (National Cyber Security Center, NCSC) сообщил о значительном увеличении количества кибератак, направленных на британские университеты и научные организации, занимающиеся разработкой вакцины от коронавирусной инфекции (COVID-19). Киберпреступники, действующие под прикрытием иностранных государственных органов, в частности Китая и Ирана, активно атакуют исследователей с целью кражи важных данных.
Как сообщила газета The Guardian, в настоящее время десятки медицинских учреждений занимаются исследованием COVID-19, поэтому злоумышленники пытаются похитить какую-либо ценную информацию, связанную с деятельностью ученых. Пока что не было зафиксировано ни одной успешной атаки.
NCSC тесно сотрудничает со специалистами Оксфордского университета, которые заняты разработкой вакцины от коронавируса. Несмотря на возросшее количество кибератак, общее количество связанных с кибербезопасностью инцидентов в Великобритании во время пандемии не увеличилось.
Рост киберпреступной активности во время пандемии был отмечен еще в прошлом месяце. Например, в апреле зампомощника директора ФБР США Тоня Угорец (Tonya Ugoretz) сообщила об увеличении количества киберпреступных атак и взломов систем некоторых учреждений, которые публично заявили о работе над исследованиями в области изучения COVID-19.
Источник: https://www.securitylab.ru/news/508046.php
SecurityLab.ru
Киберпреступники атакуют разработчиков вакцины от COVID-19
Киберпреступники, действующие под прикрытием иностранных государств, активно атакуют исследователей с целью кражи важных данных.
Системы коммерческих самолетов подвержены спуфингу
Злоумышленник может заставить системы самолета изменить направление самолета, находящегося в воздухе.
Специалисты из компании Pen Test Partners сообщили о проблеме, затрагивающей компьютерные системы коммерческих самолетов. Система предупреждения столкновения самолетов в воздухе (Traffic Collision Avoidance System, TCAS) может быть обманута для принудительного изменения направления самолета, находящегося в воздухе.
Исследователи разработали эффективный метод спуфинга TCAS с помощью USB-ключа для цифрового видеовещания стоимостью $10 и вредоносного транспондера для связи с самолетом. С помощью систем, имитирующих настоящие самолеты, злоумышленник может заставить самолет под управлением автопилота менять высоту в заданном направлении.
«Поддельные самолеты» могут активировать систему предотвращения столкновений в самолете, предупреждающую пилота о том, что он должен либо подняться на высоту, либо спуститься, чтобы избежать столкновения в воздухе. Как отметили эксперты, в некоторых случаях (в основном самолеты Airbus) воздушное судно автоматически следует так называемым указаниям «Resolution advisory» системы TCAS и поднимается или опускается без участия пилота.
Исследователям удалось успешно продемонстрировать данную атаку на летном тренажере.
TCAS использует ответы от вторичных радиолокационных ретрансляторов наблюдения — есть два типа, используемые для вычисления местоположения другого воздушного судна. Режим S передает уникальный 24-битный адрес воздушного судна вместе с высотой и данными о местоположении, полученными с GPS, а режим C передает только 4-значный код транспондера и информацию о высоте, поэтому само устройство TCAS рассчитывает дальность и направление на основе этих передач. Пакеты данных отправляются на частоте 1090 МГц с использованием PPM в манчестерском кодировании со скоростью 1 Мбит/с. Структуру данных на самом деле легко декодировать и благодаря дешевому USB-ключу DVB за $10 можно самостоятельно изменять данные самолета.
Источник: https://www.securitylab.ru/news/508092.php
Злоумышленник может заставить системы самолета изменить направление самолета, находящегося в воздухе.
Специалисты из компании Pen Test Partners сообщили о проблеме, затрагивающей компьютерные системы коммерческих самолетов. Система предупреждения столкновения самолетов в воздухе (Traffic Collision Avoidance System, TCAS) может быть обманута для принудительного изменения направления самолета, находящегося в воздухе.
Исследователи разработали эффективный метод спуфинга TCAS с помощью USB-ключа для цифрового видеовещания стоимостью $10 и вредоносного транспондера для связи с самолетом. С помощью систем, имитирующих настоящие самолеты, злоумышленник может заставить самолет под управлением автопилота менять высоту в заданном направлении.
«Поддельные самолеты» могут активировать систему предотвращения столкновений в самолете, предупреждающую пилота о том, что он должен либо подняться на высоту, либо спуститься, чтобы избежать столкновения в воздухе. Как отметили эксперты, в некоторых случаях (в основном самолеты Airbus) воздушное судно автоматически следует так называемым указаниям «Resolution advisory» системы TCAS и поднимается или опускается без участия пилота.
Исследователям удалось успешно продемонстрировать данную атаку на летном тренажере.
TCAS использует ответы от вторичных радиолокационных ретрансляторов наблюдения — есть два типа, используемые для вычисления местоположения другого воздушного судна. Режим S передает уникальный 24-битный адрес воздушного судна вместе с высотой и данными о местоположении, полученными с GPS, а режим C передает только 4-значный код транспондера и информацию о высоте, поэтому само устройство TCAS рассчитывает дальность и направление на основе этих передач. Пакеты данных отправляются на частоте 1090 МГц с использованием PPM в манчестерском кодировании со скоростью 1 Мбит/с. Структуру данных на самом деле легко декодировать и благодаря дешевому USB-ключу DVB за $10 можно самостоятельно изменять данные самолета.
Источник: https://www.securitylab.ru/news/508092.php
SecurityLab.ru
Системы коммерческих самолетов подвержены спуфингу
Злоумышленник может заставить системы самолета изменить направление самолета, находящегося в воздухе.
В Европе запретили сайтам использовать «стену cookie»
Отныне сайты не могут требовать от пользователей разрешения на обработку их данных в обмен на доступ к контенту.
Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал обновленное руководство касательно получения сайтами разрешений от пользователей на обработку их информации. Среди прочего, руководство теперь запрещает сайтам делать доступ к ним зависимым от того, дал ли пользователь согласие на обработку своих данных (так называемая «стена cookie» или cookie wall).
Согласно европейскому законодательству, наличие разрешения пользователя является одним из шести обязательных условий при обработке персональных данных. В соответствии с «Общим регламентом по защите данных» (General Data Protection Regulation, GDPR), разрешение должно быть понятным, конкретным, сознательным и добровольным. Однако владельцы сайтов нашли способ, как выпросить у посетителей заветное разрешение с помощью «стены cookie», и стали предоставлять пользователям доступ к своим ресурсам только в обмен на разрешение на обработку их данных.
Оператором такой «стены cookie» в Европе является организация Internet Advertising Bureau Europe, запрашивающая у посетителей сайтов согласие на обработку данных, если они хотят получить доступ к контенту. Однако проблема в том, что такое «согласие» не является добровольным, как того требует GDPR, поэтому обновленное руководство EDPB запретило использование «стены cookie».
Кроме того, в новой редакции документа уточняется, что прокрутка страниц (скроллинг) не является согласием пользователя на обработку его данных. «Такие действия, как прокрутка или пролистывание web-страницы или аналогичные действия пользователей, ни при каких обстоятельствах не могут считаться удовлетворяющими требования четких и утвердительных действий», - говорится в обновленном руководстве.
Источник: https://www.securitylab.ru/news/508121.php
Отныне сайты не могут требовать от пользователей разрешения на обработку их данных в обмен на доступ к контенту.
Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал обновленное руководство касательно получения сайтами разрешений от пользователей на обработку их информации. Среди прочего, руководство теперь запрещает сайтам делать доступ к ним зависимым от того, дал ли пользователь согласие на обработку своих данных (так называемая «стена cookie» или cookie wall).
Согласно европейскому законодательству, наличие разрешения пользователя является одним из шести обязательных условий при обработке персональных данных. В соответствии с «Общим регламентом по защите данных» (General Data Protection Regulation, GDPR), разрешение должно быть понятным, конкретным, сознательным и добровольным. Однако владельцы сайтов нашли способ, как выпросить у посетителей заветное разрешение с помощью «стены cookie», и стали предоставлять пользователям доступ к своим ресурсам только в обмен на разрешение на обработку их данных.
Оператором такой «стены cookie» в Европе является организация Internet Advertising Bureau Europe, запрашивающая у посетителей сайтов согласие на обработку данных, если они хотят получить доступ к контенту. Однако проблема в том, что такое «согласие» не является добровольным, как того требует GDPR, поэтому обновленное руководство EDPB запретило использование «стены cookie».
Кроме того, в новой редакции документа уточняется, что прокрутка страниц (скроллинг) не является согласием пользователя на обработку его данных. «Такие действия, как прокрутка или пролистывание web-страницы или аналогичные действия пользователей, ни при каких обстоятельствах не могут считаться удовлетворяющими требования четких и утвердительных действий», - говорится в обновленном руководстве.
Источник: https://www.securitylab.ru/news/508121.php
SecurityLab.ru
В Европе запретили сайтам использовать «стену cookie»
Отныне сайты не могут требовать от пользователей разрешения на обработку их данных в обмен на доступ к контенту.
Новые ИБ-решения недели: 8 мая 2020 года
Краткий обзор новых предложений в сфере информационной безопасности.
Компания Guardicore добавила в свое BAS-решение Infection Monkey новые возможности. Теперь инструмент отображает свои действия в базе знаний MITER ATT&CK и тем самым предоставляет ИБ-экспертам новые отчеты с указанием использованных методов и мер по снижению риска для моделирования APT-атак.
В настоящее время исходный код Guardicore Infection Monkey, разработанный под лицензией GPLv3, доступен в репозитории GitHub. Добавленные возможности ATT&CK также доступны для немедленной загрузки. Инструмент Guardicore Infection Monkey подходит для Linux- и Windows-серверов, сред AWS, Azure, VMWare и Docker, а также для частных облаков.
Компания Datadog выпустила новую платформу Security Monitoring, объединяющую разработчиков, операции и команды специалистов по безопасности в одном месте. Datadog Security Monitoring отображает DevOps-контент, бизнес-показатели и сведения о безопасности на единой панели инструментов. Решение обнаруживает даже нестандартные угрозы и уведомляет о них ИБ-специалистов по электронной почте, Slack, Jira, PagerDuty или через web-перехватчик. В число обнаруживаемых угроз для приложений и инфраструктуры входят: целевые атаки, вредоносные IP-соединение, небезопасные конфигурации и пр.
Компания Moogsoft выпустила очередную версию своей AIOps-платформы Moogsoft Enterprise 8.0, позволяющей командам IT Ops и DevOps создавать Network Operations Center (NOC) и обеспечивать производительную работу из любого уголка.
Moogsoft Enterprise объединяет в себе наглядность и контроль над инструментами мониторинга и позволяет снижать уровень шума, расставлять приоритеты по инцидентам, уменьшать эскалацию и обеспечивать время безотказной работы. С помощью Moogsoft Enterprise IT-специалисты могут удаленно анализировать уведомления, журналы, метрики и трассировки, чтобы выявлять и устранять основную причину инцидентов до того, как они вызовут сбои.
Компания Bugcrowd дополнила свое портфолио Pen Test Portfolio решением Bugcrowd Classic Pen Test . Bugcrowd Next Gen Pen Test (NGPT), а теперь и Classic Pen Test, предоставляет ИБ-экспертам немедленный доступ к глобальной сети квалифицированных пен-тестеров, тщательно проверенных и подобранных через платформу Bugcrowd.
Платформа Guardsquare для обеспечения безопасности мобильных приложений запустила облачную консоль Guardsquare ThreatCast . ThreatCast предоставляет единый интерфейс для мониторинга и анализа данных об угрозах, получаемых от продуктов Guardsquare для многоуровневой безопасности мобильных приложений DexGuard для Android и iXGuard для iOS.
Простые в навигации панели управления и настраиваемые уведомления позволяют выявлять угрозы безопасности по мере их возникновения. Guardsquare ThreatCast анализирует данные для мгновенного реагирования на кибератаки и блокировки подозрительных пользователей. Благодаря решению специалисты могут приоритизировать безопасность мобильных приложений в процессе разработки без ущерба для скорости их выхода на рынок.
Компания Obsidian Security выпустила защиту для Zoom, позволяющую организациям безопасно пользоваться сервисом, как критически важным для бизнеса. Obsidian обеспечивает пользователям Zoom мониторинг, выявление и ответ на угрозы на корпоративном уровне. Решение генерирует аналитические данные и выдает предупреждения, связанные с различными рисками и угрозами.
Компания Cygilant, предоставляющая среднему бизнесу кибербезопасность как услугу, запустила новое решение Cygilant Endpoint Security . Агент предоставляет компаниям больше информации о подозрительных действиях, происходящих на конечных точках их сетей.
В режиме реального времени Cygilant Endpoint Security собирает из критических активов компании данные о состоянии безопасности, выявляет подозрительные файлы, сервисы и другую активность и отправляет эти сведения сервису 24×7 Cygilant SOC для дальнейшего исследования и действий.
Источник: https://www.securitylab.ru/news/508155.php
Краткий обзор новых предложений в сфере информационной безопасности.
Компания Guardicore добавила в свое BAS-решение Infection Monkey новые возможности. Теперь инструмент отображает свои действия в базе знаний MITER ATT&CK и тем самым предоставляет ИБ-экспертам новые отчеты с указанием использованных методов и мер по снижению риска для моделирования APT-атак.
В настоящее время исходный код Guardicore Infection Monkey, разработанный под лицензией GPLv3, доступен в репозитории GitHub. Добавленные возможности ATT&CK также доступны для немедленной загрузки. Инструмент Guardicore Infection Monkey подходит для Linux- и Windows-серверов, сред AWS, Azure, VMWare и Docker, а также для частных облаков.
Компания Datadog выпустила новую платформу Security Monitoring, объединяющую разработчиков, операции и команды специалистов по безопасности в одном месте. Datadog Security Monitoring отображает DevOps-контент, бизнес-показатели и сведения о безопасности на единой панели инструментов. Решение обнаруживает даже нестандартные угрозы и уведомляет о них ИБ-специалистов по электронной почте, Slack, Jira, PagerDuty или через web-перехватчик. В число обнаруживаемых угроз для приложений и инфраструктуры входят: целевые атаки, вредоносные IP-соединение, небезопасные конфигурации и пр.
Компания Moogsoft выпустила очередную версию своей AIOps-платформы Moogsoft Enterprise 8.0, позволяющей командам IT Ops и DevOps создавать Network Operations Center (NOC) и обеспечивать производительную работу из любого уголка.
Moogsoft Enterprise объединяет в себе наглядность и контроль над инструментами мониторинга и позволяет снижать уровень шума, расставлять приоритеты по инцидентам, уменьшать эскалацию и обеспечивать время безотказной работы. С помощью Moogsoft Enterprise IT-специалисты могут удаленно анализировать уведомления, журналы, метрики и трассировки, чтобы выявлять и устранять основную причину инцидентов до того, как они вызовут сбои.
Компания Bugcrowd дополнила свое портфолио Pen Test Portfolio решением Bugcrowd Classic Pen Test . Bugcrowd Next Gen Pen Test (NGPT), а теперь и Classic Pen Test, предоставляет ИБ-экспертам немедленный доступ к глобальной сети квалифицированных пен-тестеров, тщательно проверенных и подобранных через платформу Bugcrowd.
Платформа Guardsquare для обеспечения безопасности мобильных приложений запустила облачную консоль Guardsquare ThreatCast . ThreatCast предоставляет единый интерфейс для мониторинга и анализа данных об угрозах, получаемых от продуктов Guardsquare для многоуровневой безопасности мобильных приложений DexGuard для Android и iXGuard для iOS.
Простые в навигации панели управления и настраиваемые уведомления позволяют выявлять угрозы безопасности по мере их возникновения. Guardsquare ThreatCast анализирует данные для мгновенного реагирования на кибератаки и блокировки подозрительных пользователей. Благодаря решению специалисты могут приоритизировать безопасность мобильных приложений в процессе разработки без ущерба для скорости их выхода на рынок.
Компания Obsidian Security выпустила защиту для Zoom, позволяющую организациям безопасно пользоваться сервисом, как критически важным для бизнеса. Obsidian обеспечивает пользователям Zoom мониторинг, выявление и ответ на угрозы на корпоративном уровне. Решение генерирует аналитические данные и выдает предупреждения, связанные с различными рисками и угрозами.
Компания Cygilant, предоставляющая среднему бизнесу кибербезопасность как услугу, запустила новое решение Cygilant Endpoint Security . Агент предоставляет компаниям больше информации о подозрительных действиях, происходящих на конечных точках их сетей.
В режиме реального времени Cygilant Endpoint Security собирает из критических активов компании данные о состоянии безопасности, выявляет подозрительные файлы, сервисы и другую активность и отправляет эти сведения сервису 24×7 Cygilant SOC для дальнейшего исследования и действий.
Источник: https://www.securitylab.ru/news/508155.php
SecurityLab.ru
Новые ИБ-решения недели: 8 мая 2020 года
Краткий обзор новых предложений в сфере информационной безопасности.
ПК с поддержкой Thunderbolt можно взломать менее чем за 5 минут
Атака Thunderspy затрагивает миллионы ПК, выпущенных до 2019 года.
Специалист Технического университета Эйндховена в Нидерландах продемонстрировал новый метод атаки на компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt, позволяющий взломать устройства менее чем за пять минут.
С помощью новой техники, получившей название Thunderspy, возможно обойти экран авторизации (и даже шифрование жесткого диска) на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Хотя в большинстве случаев для эксплуатации уязвимости потребуется вскрыть корпус ПК, атака не оставляет следов и занимает всего несколько минут, пояснил автор метода Бьорн Руйтенберг (Björn Ruytenberg).
Новый метод относится к типу атак известных как «evil maid» («злая горничная»), в которых злоумышленник, имеющий физический доступ к ПК, может обойти локальную аутентификацию. По словам Руйтенберга, пока единственным способом защититься от атаки Thunderspy является отключение порта Thunderbolt.
После выхода доклада об атаке Thunderclap, позволяющей украсть информацию непосредственно из памяти ОС с помощью периферийных устройств, компания Intel представила механизм безопасности Kernel DMA Protection, который блокирует подключенные устройства Thunderbolt 3 и не дает им доступа к функции Direct Memory Access до момента, пока не будут выполнен определенный набор процедур.
Данная функция предотвращает атаку Thunderspy, однако проблема заключается в том, что этот механизм отсутствует в ПК, выпущенных до 2019 года, поясняет исследователь. Более того, многие произведенные до 2019 года периферийные устройства Thunderbolt не поддерживают данную технологию.
Специалисты изучили несколько моделей ПК Dell, HP и Lenovo и обнаружили, что в ПК Dell отсутствует функция Kernel DMA Protection (в том числе в устройствах, выпущенных после 2019 года), а в случае HP и Lenovo только несколько моделей используют технологию. Уязвимость не затрагивает компьютеры на базе Apple macOS.
По словам представителей HP, в «большинстве коммерческих ПК мобильных рабочих станций HP с поддержкой Sure Start Gen5 и выше» реализована защита от атак Thunderspy. В Lenovo сообщили, что изучают ситуацию.
Thunderbolt — технология периферийного подключения, разработанная Intel совместно с Apple, которая позволяет передавать данные, видео, аудио и электроэнергию через один порт.
HP Sure Start — технология, разработанная компанией HP (Hewlett-Packard) для защиты BIOS компьютера. Отвечает за безопасность BIOS и включает функцию Dynamic Protection, которая проверяет BIOS не только при изменении состояния устройства, но также в течение дня с регулярными интервалами.
Источник: https://www.securitylab.ru/news/508172.php
Атака Thunderspy затрагивает миллионы ПК, выпущенных до 2019 года.
Специалист Технического университета Эйндховена в Нидерландах продемонстрировал новый метод атаки на компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt, позволяющий взломать устройства менее чем за пять минут.
С помощью новой техники, получившей название Thunderspy, возможно обойти экран авторизации (и даже шифрование жесткого диска) на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Хотя в большинстве случаев для эксплуатации уязвимости потребуется вскрыть корпус ПК, атака не оставляет следов и занимает всего несколько минут, пояснил автор метода Бьорн Руйтенберг (Björn Ruytenberg).
Новый метод относится к типу атак известных как «evil maid» («злая горничная»), в которых злоумышленник, имеющий физический доступ к ПК, может обойти локальную аутентификацию. По словам Руйтенберга, пока единственным способом защититься от атаки Thunderspy является отключение порта Thunderbolt.
После выхода доклада об атаке Thunderclap, позволяющей украсть информацию непосредственно из памяти ОС с помощью периферийных устройств, компания Intel представила механизм безопасности Kernel DMA Protection, который блокирует подключенные устройства Thunderbolt 3 и не дает им доступа к функции Direct Memory Access до момента, пока не будут выполнен определенный набор процедур.
Данная функция предотвращает атаку Thunderspy, однако проблема заключается в том, что этот механизм отсутствует в ПК, выпущенных до 2019 года, поясняет исследователь. Более того, многие произведенные до 2019 года периферийные устройства Thunderbolt не поддерживают данную технологию.
Специалисты изучили несколько моделей ПК Dell, HP и Lenovo и обнаружили, что в ПК Dell отсутствует функция Kernel DMA Protection (в том числе в устройствах, выпущенных после 2019 года), а в случае HP и Lenovo только несколько моделей используют технологию. Уязвимость не затрагивает компьютеры на базе Apple macOS.
По словам представителей HP, в «большинстве коммерческих ПК мобильных рабочих станций HP с поддержкой Sure Start Gen5 и выше» реализована защита от атак Thunderspy. В Lenovo сообщили, что изучают ситуацию.
Thunderbolt — технология периферийного подключения, разработанная Intel совместно с Apple, которая позволяет передавать данные, видео, аудио и электроэнергию через один порт.
HP Sure Start — технология, разработанная компанией HP (Hewlett-Packard) для защиты BIOS компьютера. Отвечает за безопасность BIOS и включает функцию Dynamic Protection, которая проверяет BIOS не только при изменении состояния устройства, но также в течение дня с регулярными интервалами.
Источник: https://www.securitylab.ru/news/508172.php
SecurityLab.ru
ПК с поддержкой Thunderbolt можно взломать менее чем за 5 минут
Атака Thunderspy затрагивает миллионы ПК, выпущенных до 2019 года.
Обзор уязвимостей за неделю: 12 мая 2020 года
Было обнаружено множество уязвимостей в Mozilla Firefox, Google Chrome, NGINX, устройствах Cisco и пр
За последнюю неделю был обнаружен ряд уязвимостей в браузерах Mozilla Firefox и Google Chrome, web-сервере NGINX Controller, ПО Cisco Adaptive Security Appliance и Firepower Threat Defense и пр.
Компания Mozilla выпустила обновления безопасности, устраняющие множество уязвимостей в браузере Firefox и почтовом приложении Thunderbird, включая несколько опасных уязвимостей, позволяющих удаленному злоумышленнику взломать систему ( CVE-2020-12387 ), обойти ограничения песочницы и повысить привилегии на системе ( CVE-2020-12388 и CVE-2020-12389 ), или выполнить произвольный код на целевой системе ( CVE-2020-6831 ).
Google также исправила несколько опасных уязвимостей в своем браузере Chrome, эксплуатация которых позволяла удаленно выполнить код.
Компания Cisco исправила в своем программном обеспечении Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) 34 уязвимости, включая 12 опасных. Самой опасной проблемой является обход пути ( CVE-2020-3187 ) в ПО ASA и FTD, которая получила оценку в 9,1 балла по шкале CVSS. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного HTTP-запроса, содержащего последовательности символов обхода каталога. Это позволит преступнику просматривать или удалять файлы на системе. Как отметили специалисты, все удаленные файлы восстанавливаются после перезагрузки устройства.
Web-сервер NGINX Controller содержит две уязвимости, наиболее опасная из которых ( CVE-2020-5895 ) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость связана с ошибкой границ при обработке сообщений в демонах Analytics, Visibility и Reporting. Удаленный злоумышленник может отправить приложению специально сформированное сообщение, вызвать повреждение памяти и выполнить произвольный код на целевой системе. Проблема затрагивает версии NGINX Controller 3.0.0, 3.1.0, 3.2.0 и 3.3.0.
В ПО Salt от SaltStack обнаружены две проблемы ( CVE-2020-11651 и CVE-2020-11652 ) — уязвимость обхода каталога и уязвимость обхода аутентификации соответственно. Эксплуатация данных уязвимостей позволяет злоумышленнику обойти аутентификацию и запустить произвольный код на главных серверах Salt, доступных в Сети.
Уязвимости уже использовались во время атак на ряд организаций, использующих данную технологию, включая мобильную операционную систему LineageOS на базе Android и популярную платформу для ведения блогов Ghost .
В решении Advantech WebAccess/SCADA обнаружены множественные уязвимости , наиболее опасные из которых позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе.
В программном обеспечении для управления логами Zoho ManageEngine EventLog Analyzer обнаружена опасная RCE-уязвимость . Проблема связана с некорректной проверкой введенных пользователем данных на страницах продукта. Удаленный злоумышленник может передать специально сформированные данные в приложение и выполнить произвольный код на системе.
Источник: https://www.securitylab.ru/news/508206.php
Было обнаружено множество уязвимостей в Mozilla Firefox, Google Chrome, NGINX, устройствах Cisco и пр
За последнюю неделю был обнаружен ряд уязвимостей в браузерах Mozilla Firefox и Google Chrome, web-сервере NGINX Controller, ПО Cisco Adaptive Security Appliance и Firepower Threat Defense и пр.
Компания Mozilla выпустила обновления безопасности, устраняющие множество уязвимостей в браузере Firefox и почтовом приложении Thunderbird, включая несколько опасных уязвимостей, позволяющих удаленному злоумышленнику взломать систему ( CVE-2020-12387 ), обойти ограничения песочницы и повысить привилегии на системе ( CVE-2020-12388 и CVE-2020-12389 ), или выполнить произвольный код на целевой системе ( CVE-2020-6831 ).
Google также исправила несколько опасных уязвимостей в своем браузере Chrome, эксплуатация которых позволяла удаленно выполнить код.
Компания Cisco исправила в своем программном обеспечении Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) 34 уязвимости, включая 12 опасных. Самой опасной проблемой является обход пути ( CVE-2020-3187 ) в ПО ASA и FTD, которая получила оценку в 9,1 балла по шкале CVSS. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного HTTP-запроса, содержащего последовательности символов обхода каталога. Это позволит преступнику просматривать или удалять файлы на системе. Как отметили специалисты, все удаленные файлы восстанавливаются после перезагрузки устройства.
Web-сервер NGINX Controller содержит две уязвимости, наиболее опасная из которых ( CVE-2020-5895 ) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость связана с ошибкой границ при обработке сообщений в демонах Analytics, Visibility и Reporting. Удаленный злоумышленник может отправить приложению специально сформированное сообщение, вызвать повреждение памяти и выполнить произвольный код на целевой системе. Проблема затрагивает версии NGINX Controller 3.0.0, 3.1.0, 3.2.0 и 3.3.0.
В ПО Salt от SaltStack обнаружены две проблемы ( CVE-2020-11651 и CVE-2020-11652 ) — уязвимость обхода каталога и уязвимость обхода аутентификации соответственно. Эксплуатация данных уязвимостей позволяет злоумышленнику обойти аутентификацию и запустить произвольный код на главных серверах Salt, доступных в Сети.
Уязвимости уже использовались во время атак на ряд организаций, использующих данную технологию, включая мобильную операционную систему LineageOS на базе Android и популярную платформу для ведения блогов Ghost .
В решении Advantech WebAccess/SCADA обнаружены множественные уязвимости , наиболее опасные из которых позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе.
В программном обеспечении для управления логами Zoho ManageEngine EventLog Analyzer обнаружена опасная RCE-уязвимость . Проблема связана с некорректной проверкой введенных пользователем данных на страницах продукта. Удаленный злоумышленник может передать специально сформированные данные в приложение и выполнить произвольный код на системе.
Источник: https://www.securitylab.ru/news/508206.php
SecurityLab.ru
Обзор уязвимостей за неделю: 12 мая 2020 года
Было обнаружено множество уязвимостей в Mozilla Firefox, Google Chrome, NGINX, устройствах Cisco и пр
#news
Северокорейские хакеры вооружились тремя новыми вредоносами
Новые вредоносы получили названия COPPERHEDGE, TAINTEDSCRIBE и PEBBLEDASH.
Правительство США обнародовало информацию о трех новых разновидностях вредоносного ПО, используемых северокорейской киберпреступной группировкой Lazarus (она же Hidden Cobra). Варианты вредоносных программ, получившие названия COPPERHEDGE, TAINTEDSCRIBE и PEBBLEDASH, обладают функциями для удаленной разведки и удаления конфиденциальной информации на целевых системах.
COPPERHEDGE представляет собой полнофункциональный инструмент для удаленного доступа (RAT), способный выполнять произвольные команды, проводить рекогносцировку и извлекать данные. Он используется киберпреступниками для осуществления атак на криптовалютные биржи и связанные с ними объекты. Эксперты выявили шесть различных версий COPPERHEDGE.
TAINTEDSCRIBE используется в качестве бэкдор-имплантата, который маскируется под утилиту считывания экрана «Экранный диктор» от Microsoft для загрузки вредоносных модулей с C&C-сервера, загрузки и выполнения файлов, а также создания и завершения процессов и осуществления доступа к интерпретатору командной строки Windows.
PEBBLEDASH, как и TAINTEDSCRIBE, способен загружать, скачивать, удалять и выполнять файлы, создавать и завершать процессы, и осуществлять доступ к интерпретатору командной строки Windows. Также вредонос способен выполнять перечисление системы.
Киберкомандование США загрузило образцы данных вредоносных программ на VirusTotal.
Источник: https://www.securitylab.ru/news/508299.php
Северокорейские хакеры вооружились тремя новыми вредоносами
Новые вредоносы получили названия COPPERHEDGE, TAINTEDSCRIBE и PEBBLEDASH.
Правительство США обнародовало информацию о трех новых разновидностях вредоносного ПО, используемых северокорейской киберпреступной группировкой Lazarus (она же Hidden Cobra). Варианты вредоносных программ, получившие названия COPPERHEDGE, TAINTEDSCRIBE и PEBBLEDASH, обладают функциями для удаленной разведки и удаления конфиденциальной информации на целевых системах.
COPPERHEDGE представляет собой полнофункциональный инструмент для удаленного доступа (RAT), способный выполнять произвольные команды, проводить рекогносцировку и извлекать данные. Он используется киберпреступниками для осуществления атак на криптовалютные биржи и связанные с ними объекты. Эксперты выявили шесть различных версий COPPERHEDGE.
TAINTEDSCRIBE используется в качестве бэкдор-имплантата, который маскируется под утилиту считывания экрана «Экранный диктор» от Microsoft для загрузки вредоносных модулей с C&C-сервера, загрузки и выполнения файлов, а также создания и завершения процессов и осуществления доступа к интерпретатору командной строки Windows.
PEBBLEDASH, как и TAINTEDSCRIBE, способен загружать, скачивать, удалять и выполнять файлы, создавать и завершать процессы, и осуществлять доступ к интерпретатору командной строки Windows. Также вредонос способен выполнять перечисление системы.
Киберкомандование США загрузило образцы данных вредоносных программ на VirusTotal.
Источник: https://www.securitylab.ru/news/508299.php
SecurityLab.ru
Северокорейские хакеры вооружились тремя новыми вредоносами
Новые вредоносы получили названия COPPERHEDGE, TAINTEDSCRIBE и PEBBLEDASH.