Румынская инфосек-компания Bitdefender выпустила дешифратор для LockerGoga.
Инструмент доступен для загрузки с сервера Bitdefender и позволяет восстанавливать зашифрованные файлы, следуя инструкциям в этом руководстве по использованию (PDF).
Ресерчеры Bitdefender сообщают, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, прокуратуру и полицию Цюриха, а также при участии NoMoreRansom.
Искать криптографические уязвимости в данном случае не пришлось, поскольку после ареста операторов LockerGoga спецслужбам удалось получить приватные мастер-ключи, используемые в их крипторе.
Инструмент Bitdefender позволяет просканировать всю файловую систему или отдельный каталог, обнаруживая любые зашифрованные файлы и автоматически выполняя их расшифровку.
При этом компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные ransomware во время шифрования, должны соответствовать исходным путям.
Дешифратор может работать как на одной машине, так и в сетях, зашифрованных LockerGoga. Также в расшифровщике по умолчанию реализовано резервирование для исключения повреждения файлов в ходе процесса.
Как известно, операция LockerGoga стартовала в январе 2019 года, вымогатели атаковали достаточно крупные цели, включая французскую Altran Technologies или норвежский Norsk Hydro.
Совместно с Ryuk и MegaCortex, банда принимала участвовала в более чем 1800 атак на организаций в 71 стране с ущербом более 104 млн. долларов США.
Правда в октябре 2021 года двенадцать участников из числа операторов были арестованы в ходе международной правоохранительной операции, после чего злоумышленники отказались от дальнейшего использования LockerGoga, а исходный код ransomware так и не был публикован.
Таким образом, Bitdefender предоставили реальный шанс восстановить инфраструктуру для жертв, отказавшихся платить выкуп.
Инструмент доступен для загрузки с сервера Bitdefender и позволяет восстанавливать зашифрованные файлы, следуя инструкциям в этом руководстве по использованию (PDF).
Ресерчеры Bitdefender сообщают, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, прокуратуру и полицию Цюриха, а также при участии NoMoreRansom.
Искать криптографические уязвимости в данном случае не пришлось, поскольку после ареста операторов LockerGoga спецслужбам удалось получить приватные мастер-ключи, используемые в их крипторе.
Инструмент Bitdefender позволяет просканировать всю файловую систему или отдельный каталог, обнаруживая любые зашифрованные файлы и автоматически выполняя их расшифровку.
При этом компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные ransomware во время шифрования, должны соответствовать исходным путям.
Дешифратор может работать как на одной машине, так и в сетях, зашифрованных LockerGoga. Также в расшифровщике по умолчанию реализовано резервирование для исключения повреждения файлов в ходе процесса.
Как известно, операция LockerGoga стартовала в январе 2019 года, вымогатели атаковали достаточно крупные цели, включая французскую Altran Technologies или норвежский Norsk Hydro.
Совместно с Ryuk и MegaCortex, банда принимала участвовала в более чем 1800 атак на организаций в 71 стране с ущербом более 104 млн. долларов США.
Правда в октябре 2021 года двенадцать участников из числа операторов были арестованы в ходе международной правоохранительной операции, после чего злоумышленники отказались от дальнейшего использования LockerGoga, а исходный код ransomware так и не был публикован.
Таким образом, Bitdefender предоставили реальный шанс восстановить инфраструктуру для жертв, отказавшихся платить выкуп.
͏Пока все обсуждали слив еще не вышедшей шестой части GTA с геймплеями и исходниками, наши подписчики нашептали об уязвимости в приложении Тиньков, которая приводит к раскрытию информации и вовсе может подвести клиента «под статью».
Как оказалось, прогрессивная опция «совместный счет» позволяет злоумышленнику открыть счет на пару с любым клиентом без согласия второй стороны.
Для создания счета требуется лишь указать номер телефона клиента Тиньков, без каких-либо дополнительных сведений о второй стороне. Кроме того, нет и второго фактора для акцепта операции и получения согласия.
Отсутствует какой-либо второй фактор для подтверждения операции и согласия второй стороной (пуш-уведомление или смс). Как например, круговая верификация семейного аккаунта в Яндекс Go, а в Тиньков почему-то решили этим функционалом пренебречь.
Путем несложных манипуляций вас могут наградить «совместным счетом» и даже выпустить виртуальную банковскую карту. При этом сведения о второй стороне будут считаться банковской тайной, поэтому информация о личности своего визави клиенту будет не доступна.
Оказавшись достаточно продвинутым в вопросах OSINT, расследовавший инцидент ресерчер смог идентифицировать своего банковского «напарника» и создателя совместно счета, которым в конкретной ситуации оказался предприимчивый гражданин Украины, что в нынешней ситуации если не нагоняет страх и панику, то сеет легкие переживания из категории "а вдруг что".
Все бы ничего, но после дальнейших манипуляций баги стало понятно, что транзакции и переводы также не требуют каких-либо подтверждений.
Таким образом, открывается широкий простор для всевозможных провокаций и мошеннических махинаций, участниками которых могут стать весьма известные личности из числа клиентов Тиньков, не говоря уже про чиновников, военных или пенсионеров, ведь открыть счет и сделать переводы теперь еще более удобно «благодаря новой опции».
Впрочем, фантазировать можно сколько угодно, но с фактами - не поспоришь.
Как оказалось, прогрессивная опция «совместный счет» позволяет злоумышленнику открыть счет на пару с любым клиентом без согласия второй стороны.
Для создания счета требуется лишь указать номер телефона клиента Тиньков, без каких-либо дополнительных сведений о второй стороне. Кроме того, нет и второго фактора для акцепта операции и получения согласия.
Отсутствует какой-либо второй фактор для подтверждения операции и согласия второй стороной (пуш-уведомление или смс). Как например, круговая верификация семейного аккаунта в Яндекс Go, а в Тиньков почему-то решили этим функционалом пренебречь.
Путем несложных манипуляций вас могут наградить «совместным счетом» и даже выпустить виртуальную банковскую карту. При этом сведения о второй стороне будут считаться банковской тайной, поэтому информация о личности своего визави клиенту будет не доступна.
Оказавшись достаточно продвинутым в вопросах OSINT, расследовавший инцидент ресерчер смог идентифицировать своего банковского «напарника» и создателя совместно счета, которым в конкретной ситуации оказался предприимчивый гражданин Украины, что в нынешней ситуации если не нагоняет страх и панику, то сеет легкие переживания из категории "а вдруг что".
Все бы ничего, но после дальнейших манипуляций баги стало понятно, что транзакции и переводы также не требуют каких-либо подтверждений.
Таким образом, открывается широкий простор для всевозможных провокаций и мошеннических махинаций, участниками которых могут стать весьма известные личности из числа клиентов Тиньков, не говоря уже про чиновников, военных или пенсионеров, ведь открыть счет и сделать переводы теперь еще более удобно «благодаря новой опции».
Впрочем, фантазировать можно сколько угодно, но с фактами - не поспоришь.
Лаборатория Касперского готовится к презентации нового решения на базе операционной системы собственной разработки KasperskyOS.
Премьера состоится 21 сентября в рамках международного форума Kazan Digital Week 2022 в Казани на стенде Лаборатории Касперского (место P13).
В этом году команда KasperskyOS совместно с партнерами подготовила насыщенную программу и предоставляет участникам уникальную возможность из первых рук узнать о технологиях Лаборатории Касперского для обеспечения безопасности IT-систем в различных отраслях.
22 сентября в ходе сессии Лаборатории Касперского «Рабочее место 4.0: кибериммунитет как ключевой элемент цифровой трансформации» специалисты расскажут о кибериммунитете и безопасных решениях на базе собственной OC.
Участникам представят реальные кейсы внедрения таких продуктов, включая инфраструктуру автоматизированных рабочих мест, а также поделятся перспективами развития облачных решений и анализом моделей On-Premise и DaaS.
Премьера состоится 21 сентября в рамках международного форума Kazan Digital Week 2022 в Казани на стенде Лаборатории Касперского (место P13).
В этом году команда KasperskyOS совместно с партнерами подготовила насыщенную программу и предоставляет участникам уникальную возможность из первых рук узнать о технологиях Лаборатории Касперского для обеспечения безопасности IT-систем в различных отраслях.
22 сентября в ходе сессии Лаборатории Касперского «Рабочее место 4.0: кибериммунитет как ключевой элемент цифровой трансформации» специалисты расскажут о кибериммунитете и безопасных решениях на базе собственной OC.
Участникам представят реальные кейсы внедрения таких продуктов, включая инфраструктуру автоматизированных рабочих мест, а также поделятся перспективами развития облачных решений и анализом моделей On-Premise и DaaS.
KasperskyOS | Кибериммунный подход к созданию информационных систем
Международный форум Kazan Digital Week 2022
Показываем новое решение на международном форуме в Казани
В мире ransomware новые тренды.
LockBit выплатил свою первую награду в размере 50 000 долларов по BugBounty за на недостатки дешифрования в варианте LB3 ESXi.
Уязвимость позволяла обойти необходимость платить выкуп за ключ и расшифровать любой файл VMDK/VHDX. Вероятно, примеру последуют и другие известные группы.
А в остальном, как обычно.
На этот раз под ударом Мексика. KelvinSecurity слила конфиденциальные данные мексиканских банков и Walmart. Утечка включает мультимедийные файлы, документы, сообщения, аудио, видео и звуковые сообщения из внутренней сети.
Кроме того, в сеть попала база данных Volaris с указанием имени, авиалинии, номера телефона, города, страны и многих других данных.
BlackByte добавила на свой DLS крупнейшее медиа в Уганде и Восточноафриканском регионе - New Vision с оборотом в 150 миллионов долларов.
Ragnar Locker, вероятно, после неудачных переговоров обнародовала данные более чем 1,5 млн. клиентов недавно взломанной TAP Air. А у LAZARUS GROUP появился новый канал в телеграмм.
LockBit выплатил свою первую награду в размере 50 000 долларов по BugBounty за на недостатки дешифрования в варианте LB3 ESXi.
Уязвимость позволяла обойти необходимость платить выкуп за ключ и расшифровать любой файл VMDK/VHDX. Вероятно, примеру последуют и другие известные группы.
А в остальном, как обычно.
На этот раз под ударом Мексика. KelvinSecurity слила конфиденциальные данные мексиканских банков и Walmart. Утечка включает мультимедийные файлы, документы, сообщения, аудио, видео и звуковые сообщения из внутренней сети.
Кроме того, в сеть попала база данных Volaris с указанием имени, авиалинии, номера телефона, города, страны и многих других данных.
BlackByte добавила на свой DLS крупнейшее медиа в Уганде и Восточноафриканском регионе - New Vision с оборотом в 150 миллионов долларов.
Ragnar Locker, вероятно, после неудачных переговоров обнародовала данные более чем 1,5 млн. клиентов недавно взломанной TAP Air. А у LAZARUS GROUP появился новый канал в телеграмм.
͏Не знал об оптических атаках - ошибка, используешь очки в ходе видеоконференций - фатальная ошибка!
Группа исследователей из Мичиганского университет,а (Анн-Арбор, США) и Колледжа электротехники Чжэцзянского университета (Ханчжоу, Китай) разработала метод реконструкции текста, отображаемого через очки и другие отражающие объекты участников видеоконференций.
Получивший широкое распространение в последние годы, особенно на фоне пандемии Covid-19, формат видеосвязи, к примеру Zoom, может использоваться злоумышленниками для снятия информации с отраженной поверхности.
Используя математическое моделирование и эксперименты на реальных объектах, ресерчеры оценили, как современные веб-камеры могут передавать распознаваемую текстовую и графическую информацию в отражениях.
По мнению исследователей, дальнейшее развитие видеотехнологий может привести к оптическим атакам, основанным на использовании методов многокадрового сверхвысокого разрешения для реконструкции отраженного контента.
Разработанная учеными модель угроз, получившая название атака с просмотром веб-камеры позволяет получить точность в более чем 75% при восстановлении и распознавании текста высотой всего 10 мм, снятого веб-камерой 720p.
Кроме того, по словам ученых, веб-камеры 4k позволят злоумышленникам легко реконструировать большинство текстов заголовков на популярных веб-сайтах.
Для того, чтобы снизить риск таких атак исследователи предлагают использование специализированного ПО, которое реализует размытие области очков в видеопотоке. Причем, некоторый софт для видеоконференций уже включает так опцию.
Производительность атаки с просмотром через веб-камеру можно значительно повысить, если использовать более сложную модель машинного обучения, однако это, по их мнению, вероятно, будет проблематично из-за различных условий личной среды.
Свои выводы и реальные эксперименты исследователи представили в своей статье.
Группа исследователей из Мичиганского университет,а (Анн-Арбор, США) и Колледжа электротехники Чжэцзянского университета (Ханчжоу, Китай) разработала метод реконструкции текста, отображаемого через очки и другие отражающие объекты участников видеоконференций.
Получивший широкое распространение в последние годы, особенно на фоне пандемии Covid-19, формат видеосвязи, к примеру Zoom, может использоваться злоумышленниками для снятия информации с отраженной поверхности.
Используя математическое моделирование и эксперименты на реальных объектах, ресерчеры оценили, как современные веб-камеры могут передавать распознаваемую текстовую и графическую информацию в отражениях.
По мнению исследователей, дальнейшее развитие видеотехнологий может привести к оптическим атакам, основанным на использовании методов многокадрового сверхвысокого разрешения для реконструкции отраженного контента.
Разработанная учеными модель угроз, получившая название атака с просмотром веб-камеры позволяет получить точность в более чем 75% при восстановлении и распознавании текста высотой всего 10 мм, снятого веб-камерой 720p.
Кроме того, по словам ученых, веб-камеры 4k позволят злоумышленникам легко реконструировать большинство текстов заголовков на популярных веб-сайтах.
Для того, чтобы снизить риск таких атак исследователи предлагают использование специализированного ПО, которое реализует размытие области очков в видеопотоке. Причем, некоторый софт для видеоконференций уже включает так опцию.
Производительность атаки с просмотром через веб-камеру можно значительно повысить, если использовать более сложную модель машинного обучения, однако это, по их мнению, вероятно, будет проблематично из-за различных условий личной среды.
Свои выводы и реальные эксперименты исследователи представили в своей статье.
Forwarded from SecurityLab.ru
🔸 100 подписчиков канала, которые пройдут опрос (займет не больше минуты) получат сертификат OZON на 1000 руб. Также в выпуске разыгрывается тамагочи для хакеров Flipper Zero!
🔸 Впервые в истории кибератака привела к разрыву дипломатических отношений! Албания обвинила Иран в атаке на свои госсервисы и потребовала от дипломатов исламской республики покинуть страну.
🔸 Искусственный интеллект помогает собирать налоги. Во Франции с помощью ИИ обнаружили свыше 20 тысяч незадекларированных бассейнов и пополнили казну на 10 млн евро.
🔸 В Японии ученые превратили таракана в спасателя-киборга, в Китае новая волна COVID-19 вновь угрожает цепочкам поставок технологий, а в России планируют создать отечественный движок для видеоигр.
Смотреть выпуск: https://youtu.be/WOp3R9E5VFA
Please open Telegram to view this post
VIEW IN TELEGRAM
Typeform
Поделитесь обратной связью о выпусках SecLab News
Помогите сделать выпуски лучше, приняв участие в опросе <3
VMware и Microsoft предупреждают об эскалации угрозы, связанной с распространением малвари Chromeloader, которая из условно безобидной рекламной кликалки превратилась в более продвинутое вредоносное ПО, способное увеличить поверхность атаки зараженной системы вплоть до ransomware.
Как сообщили специалисты, ChromeLoader оказался чрезвычайно распространенным и устойчивым вредоносным ПО. Первоначально, он запускается как .iso и может использоваться для кражи учетных данных браузера пользователей, сбора данных о недавней онлайн-активности и перехвата результатов поиска в браузере для показа рекламы.
Команда VMware Carbon Black Managed Detection and Response (MDR) наблюдала за первыми версиями ChromeLoader для Windows в январе 2022 года и версией для macOS в марте 2022 года, а сегодня аналитики опубликовали технический отчет с описанием его различных вариантов, которые использовались уже в августе и сентябре, некоторые из которых содержат гораздо более мощные полезные нагрузки.
Выделено несколько вариантов, включая ChromeBack и Choziosi Loader. Исследователи Unit 42, например, обнаружили доказательства того, что The Real First Windows Variant использует инструмент AHK (AutoHotKey) для компиляции вредоносного исполняемого файла и удаления версии 1.0 вредоносного ПО.
На днях и Microsoft предупредили о продолжающейся широкомасштабной кампании с кликами для монетизации трафика. Атаки приписывают злоумышленнику, отслеживаемому как DEV-0796, который использует Chromeloader для заражения жертв различными вредоносными программами.
Как уже было сказано ChromeLoader поставляется в виде файлов ISO и распространяются через вредоносную рекламу, перенаправление браузера и комментарии к видео на YouTube. Использование злоумышленниками файлов ISO стало популярным способом распространения вредоносных программ с тех пор, как Microsoft по умолчанию начали блокировать макросы Office.
В рамках исследования было протестировано не менее десяти вариаций Chromeloader. Некоторые из низ них имитировали работу полезных утилит типа OpenSubtitles - утилиту, помогающую пользователям находить субтитры для фильмов и телепередач.
Другие просто разворачивали ZipBomb на компьютере жертвы, то более тревожным звоночком послужило то, что в последних версиях Chromeloader было замечено развертывание программы-вымогателя Enigma в HTML-файле.
Прекрасный пример когда простенькое вредоносное ПО для рекламы с более мощными полезными нагрузками в руках предприимчивых злоумышленников превращается в более прибыльную альтернативу мошенничеству с кликами.
Как сообщили специалисты, ChromeLoader оказался чрезвычайно распространенным и устойчивым вредоносным ПО. Первоначально, он запускается как .iso и может использоваться для кражи учетных данных браузера пользователей, сбора данных о недавней онлайн-активности и перехвата результатов поиска в браузере для показа рекламы.
Команда VMware Carbon Black Managed Detection and Response (MDR) наблюдала за первыми версиями ChromeLoader для Windows в январе 2022 года и версией для macOS в марте 2022 года, а сегодня аналитики опубликовали технический отчет с описанием его различных вариантов, которые использовались уже в августе и сентябре, некоторые из которых содержат гораздо более мощные полезные нагрузки.
Выделено несколько вариантов, включая ChromeBack и Choziosi Loader. Исследователи Unit 42, например, обнаружили доказательства того, что The Real First Windows Variant использует инструмент AHK (AutoHotKey) для компиляции вредоносного исполняемого файла и удаления версии 1.0 вредоносного ПО.
На днях и Microsoft предупредили о продолжающейся широкомасштабной кампании с кликами для монетизации трафика. Атаки приписывают злоумышленнику, отслеживаемому как DEV-0796, который использует Chromeloader для заражения жертв различными вредоносными программами.
Как уже было сказано ChromeLoader поставляется в виде файлов ISO и распространяются через вредоносную рекламу, перенаправление браузера и комментарии к видео на YouTube. Использование злоумышленниками файлов ISO стало популярным способом распространения вредоносных программ с тех пор, как Microsoft по умолчанию начали блокировать макросы Office.
В рамках исследования было протестировано не менее десяти вариаций Chromeloader. Некоторые из низ них имитировали работу полезных утилит типа OpenSubtitles - утилиту, помогающую пользователям находить субтитры для фильмов и телепередач.
Другие просто разворачивали ZipBomb на компьютере жертвы, то более тревожным звоночком послужило то, что в последних версиях Chromeloader было замечено развертывание программы-вымогателя Enigma в HTML-файле.
Прекрасный пример когда простенькое вредоносное ПО для рекламы с более мощными полезными нагрузками в руках предприимчивых злоумышленников превращается в более прибыльную альтернативу мошенничеству с кликами.
VMware Security Blog
The Evolution of the Chromeloader Malware
The VMware Carbon Black MDR team goes in depth on the latest variants of the Chromeloader malware and how to detect them.
Вслед за португальской авиакомпанией TAP Air Portugal об утечке данных клиентов сообщила American Airlines.
Инцидент произошел в июле 2022 года и был связан с фишинговой атакой на корпоративную почту компании, содержащую личную информацию некоторых клиентов, включая имя, дата рождения, номер телефона, почтовый адрес, адрес электронной почты, номер водительского удостоверения, паспорта, а также и медицинскую информацию.
Согласно результатам расследования American Airlines, доказательств дальнейшего злонамеренного использования раскрытой личной информации не получено. Добавим, что «пока» не получено.
Другая недавняя крупная утечка затронула финтехкомпанию Revolut, которая подверглась кибератаке, приведшей к компрометации данных ее клиентов.
Revolut охарактеризовала атаку как целенаправленную, использовалась социальная инженерия, в результате которой злоумышленник имел доступ ко внутреннейсети в течение короткого периода времени.
При этом у злоумышленник не смог добраться до управления денежными активами, данным карт, PIN-кодам или паролям. Утекшая информация включает в себя имена, адреса, номера телефонов, адреса электронной почты, частичные данные платежной карты и некоторые данные учетной записи.
Revolut базируется в Великобритании, но имеет специализированную банковскую лицензию из Литвы, где также располагается Revolut Bank UAB.
По данным Revolut, инцидент затронул 0,16% ее клиентов, или около 50 150 клиентов по всему миру, в том числе около 20 000 в Европе, которые были предупреждены о повышенном риске мошенничества в результате взлома.
Незадолго до того, как взлом был раскрыт, некоторые клиенты Revolut сообщили о получении непристойных сообщений в чате приложения.
Кроме того, после того, как об инциденте было объявлено, некоторые пользователи сообщили о получении текстовых сообщений, указывающих на фишинговый веб-сайт Revolut. Однако пока неясно, связаны ли эти события с расследуемым нарушением. Будем следить за ситуацией.
Инцидент произошел в июле 2022 года и был связан с фишинговой атакой на корпоративную почту компании, содержащую личную информацию некоторых клиентов, включая имя, дата рождения, номер телефона, почтовый адрес, адрес электронной почты, номер водительского удостоверения, паспорта, а также и медицинскую информацию.
Согласно результатам расследования American Airlines, доказательств дальнейшего злонамеренного использования раскрытой личной информации не получено. Добавим, что «пока» не получено.
Другая недавняя крупная утечка затронула финтехкомпанию Revolut, которая подверглась кибератаке, приведшей к компрометации данных ее клиентов.
Revolut охарактеризовала атаку как целенаправленную, использовалась социальная инженерия, в результате которой злоумышленник имел доступ ко внутреннейсети в течение короткого периода времени.
При этом у злоумышленник не смог добраться до управления денежными активами, данным карт, PIN-кодам или паролям. Утекшая информация включает в себя имена, адреса, номера телефонов, адреса электронной почты, частичные данные платежной карты и некоторые данные учетной записи.
Revolut базируется в Великобритании, но имеет специализированную банковскую лицензию из Литвы, где также располагается Revolut Bank UAB.
По данным Revolut, инцидент затронул 0,16% ее клиентов, или около 50 150 клиентов по всему миру, в том числе около 20 000 в Европе, которые были предупреждены о повышенном риске мошенничества в результате взлома.
Незадолго до того, как взлом был раскрыт, некоторые клиенты Revolut сообщили о получении непристойных сообщений в чате приложения.
Кроме того, после того, как об инциденте было объявлено, некоторые пользователи сообщили о получении текстовых сообщений, указывающих на фишинговый веб-сайт Revolut. Однако пока неясно, связаны ли эти события с расследуемым нарушением. Будем следить за ситуацией.
В блоках распределения питания Dataprobe iBoot-PDU для ICS и ЦОД обнаружены критические уязвимости.
iBoot-PDU — это блок распределения питания PDU, который предоставляет пользователям возможности мониторинга в режиме реального времени и сложные механизмы оповещения через веб-интерфейс для контроля подачу питания на оборудование в среде OT.
Успешная эксплуатация баг может привести к RCE без проверки подлинности на устройстве. Проблемы выявила Claroty, которая заявила, что ошибки могут быть использованы удаленно либо через прямое веб-соединение с устройством, либо через облако.
Анализ прошивки PDU показал, что продукт обладает множеством от проблем, начиная от внедрения команд и заканчивая недостатками обхода пути, что подвергает клиентов серьезным рискам, особенно если учесть, что две из них имеют оценку CVSS: 9,8.
Из них CVE-2022-3183 связана с внедрением команд из-за отсутствия дезинфекции пользовательского ввода, а CVE-2022-3184 представляет собой уязвимость обхода пути, позволяющая получить доступ к странице PHP без проверки подлинности, которую можно использовать для вставки вредоносного кода.
Другие пять обнаруженных уязвимостей (от CVE-2022-3185 до CVE-2022-3189) могут быть использованы злоумышленником для получения доступа к главной странице управления устройством из облака, что может привести к утечке конфиденциальной информации.
Claroty также отметила способ вычислить все подключенные к облаку устройства iBoot PDU, используя комбинацию действительного файла cookie и идентификатора устройства, тем самым расширить поверхность атаки.
Но печальнее всего то, что в глобальной сети сейчас доступно не менее 2600 PDU, причем на устройства Dataprobe приходится почти треть уязвимых, согласно отчету Censys за 2021 год.
Пользователям Dataprobe iBoot-PDU рекомендуется обновить прошивку до последней версии (1.42.06162022), а также отключить SNMP, Telnet и HTTP, если они не используются, для устранения некоторых из уязвимостей.
iBoot-PDU — это блок распределения питания PDU, который предоставляет пользователям возможности мониторинга в режиме реального времени и сложные механизмы оповещения через веб-интерфейс для контроля подачу питания на оборудование в среде OT.
Успешная эксплуатация баг может привести к RCE без проверки подлинности на устройстве. Проблемы выявила Claroty, которая заявила, что ошибки могут быть использованы удаленно либо через прямое веб-соединение с устройством, либо через облако.
Анализ прошивки PDU показал, что продукт обладает множеством от проблем, начиная от внедрения команд и заканчивая недостатками обхода пути, что подвергает клиентов серьезным рискам, особенно если учесть, что две из них имеют оценку CVSS: 9,8.
Из них CVE-2022-3183 связана с внедрением команд из-за отсутствия дезинфекции пользовательского ввода, а CVE-2022-3184 представляет собой уязвимость обхода пути, позволяющая получить доступ к странице PHP без проверки подлинности, которую можно использовать для вставки вредоносного кода.
Другие пять обнаруженных уязвимостей (от CVE-2022-3185 до CVE-2022-3189) могут быть использованы злоумышленником для получения доступа к главной странице управления устройством из облака, что может привести к утечке конфиденциальной информации.
Claroty также отметила способ вычислить все подключенные к облаку устройства iBoot PDU, используя комбинацию действительного файла cookie и идентификатора устройства, тем самым расширить поверхность атаки.
Но печальнее всего то, что в глобальной сети сейчас доступно не менее 2600 PDU, причем на устройства Dataprobe приходится почти треть уязвимых, согласно отчету Censys за 2021 год.
Пользователям Dataprobe iBoot-PDU рекомендуется обновить прошивку до последней версии (1.42.06162022), а также отключить SNMP, Telnet и HTTP, если они не используются, для устранения некоторых из уязвимостей.
Американский издатель видеоигр 2K Games подтвердил инцидент, связанный со взломом его службы поддержки, от имени которой злоумышленники распространяли среди игроков вредоносное ПО через встроенные ссылки.
Компания является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.
2K отключила портал поддержки на время расследования и устранения последствий инцидента, намерена выпустить отдельное уведомление игрокам о возобновлении работы службы.
А началось все с того, что клиенты 2K начали получать электронные письма о том, что они открыли запросы в службу поддержки на 2ksupport.zendesk.com, онлайн-системе поддержки 2K.
Вскоре после этого, последовали электронные письма в ответ на исходный запрос (от предполагаемого представителя службы поддержки 2K по имени «Принц К»), которые также содержали ссылки для загрузки файла с именем 2K Launcher.zip из 2ksupport.zendesk.com.
Согласно VirusTotal и Any.Run, архив содержал исполняемый файл, который на самом деле является известной вредоносной ПО RedLine.
Мальварь, как известно, активно используется киберподпольем для кражи широкого спектра данных после заражения системы, включая историю веб-браузера, файлы cookie, сохраненные пароли браузера, кредитные карты, учетные данные VPN, контент для обмена мгновенными сообщениями, криптовалютные кошельки и др.
К настоящему времени 2K еще не предоставила никакой информации по поводу инцидента. Однако некоторые ресерчеры предполагают взаимосвязь атаки с недавним взломом Rockstar Games.
При этом обе компании являются дочерними компаниями Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе.
Злоумышленник, стоящий за взломом Rockstar Games, также заявил о недавнем взломе Uber, специалисты которого, в свою очередь, связывают инцидент с активностью Lapsus$.
Но будем посмотреть.
Компания является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.
2K отключила портал поддержки на время расследования и устранения последствий инцидента, намерена выпустить отдельное уведомление игрокам о возобновлении работы службы.
А началось все с того, что клиенты 2K начали получать электронные письма о том, что они открыли запросы в службу поддержки на 2ksupport.zendesk.com, онлайн-системе поддержки 2K.
Вскоре после этого, последовали электронные письма в ответ на исходный запрос (от предполагаемого представителя службы поддержки 2K по имени «Принц К»), которые также содержали ссылки для загрузки файла с именем 2K Launcher.zip из 2ksupport.zendesk.com.
Согласно VirusTotal и Any.Run, архив содержал исполняемый файл, который на самом деле является известной вредоносной ПО RedLine.
Мальварь, как известно, активно используется киберподпольем для кражи широкого спектра данных после заражения системы, включая историю веб-браузера, файлы cookie, сохраненные пароли браузера, кредитные карты, учетные данные VPN, контент для обмена мгновенными сообщениями, криптовалютные кошельки и др.
К настоящему времени 2K еще не предоставила никакой информации по поводу инцидента. Однако некоторые ресерчеры предполагают взаимосвязь атаки с недавним взломом Rockstar Games.
При этом обе компании являются дочерними компаниями Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе.
Злоумышленник, стоящий за взломом Rockstar Games, также заявил о недавнем взломе Uber, специалисты которого, в свою очередь, связывают инцидент с активностью Lapsus$.
Но будем посмотреть.
Reddit
From the sysadmin community on Reddit: 2K support likely hacked
Posted by TronFan - 94 votes and 29 comments
Forwarded from Social Engineering
🧠 Социальная инженерия в Telegram. А у тебя есть галочка?
• Соответственно разводить людей стало проще, ведь жертва видит галочку и охотно верит атакующему, тем самым подвергая себя взлому. Напомню, что многие фишеры атакуют определенный сегмент Telegram-админов, которые ведут свои блоги и мало связаны с различными схемами обмана и ИТ в целом. При успешной атаке можно не только получить данные банковской карты, а еще и угнать аккаунт и продать канал за большую сумму.
Будьте внимательны и всегда проверяйте информацию. Твой S.E. #СИ #Фишинг
🖖🏻 Приветствую тебя user_name.• Пока все информационные ресурсы заняты обсуждением новых Telegram ссылок, фишеры взяли на вооружение другую фичу прошедшего обновления. Теперь Premium пользователи могут поставить в свой статус любой смайлик (эмодзи) который отображается в публичных чатах, профиле, списке чатов и т.д. Разумеется сразу появился пользовательский набор эмодзи, который включает в себя галочку, как у верифицированных пользователей Telegram: https://t.me/addemoji/EmojiStatus
• Соответственно разводить людей стало проще, ведь жертва видит галочку и охотно верит атакующему, тем самым подвергая себя взлому. Напомню, что многие фишеры атакуют определенный сегмент Telegram-админов, которые ведут свои блоги и мало связаны с различными схемами обмана и ИТ в целом. При успешной атаке можно не только получить данные банковской карты, а еще и угнать аккаунт и продать канал за большую сумму.
Будьте внимательны и всегда проверяйте информацию. Твой S.E. #СИ #Фишинг
VMware выпустила ежегодный отчет Global Incident Response за 2022 год.
В основе отчета результаты анализа последних инцидентов и консолидированное мнение 125 респондентов из числа ИБ-ресерчеров и экспертов по реагированию на инциденты. Не углубляясь в детали, в нем раскрыты наиболее актуальные тенденции в сфере современного инфосека.
Среди ключевых моментов:
1. Злоумышленники все чаще стали использовать латеральные перемещения в своем стремлении получить доступ к конфиденциальным ресурсам. По данным VMware, такие перемещения наблюдались в 25% всех атак.
2. Количество дипфейковых атак выросло на 13%, при этом 66% респондентов заявили, что были их свидетелями за последние 12 месяцев. В данном случае термин относится к сообщениям (в первую очередь к сообщениям электронной почты), созданным таким образом, чтобы казалось, что они исходят от известного лица с имитацией стиля предполагаемого отправителя.
3. 65% респондентов о прогрессивном увеличении количества кибератак.
4. За последние 12 месяцев с 0-day эксплойтами столкнулись 62% респондентов, что на 11% больше, чем за прошлый год.
5. 23 % атак в настоящее время ставят под угрозу безопасность API. Исследование VMware также показало, что злоумышленники все чаще используют API, а также проверенные методы, такие как SQL-инъекции.
6. Почти 60% респондентов подверглись атаке c использованием ransomware за последние 12 месяцев. Собственно, проблема вымогателей была и остается одной из самых серьезных категорий угроз, неудивительно, что VMware включила ее в свой список.
7. 87 % опрошенных заявили, что иногда (50 %) или очень часто (37 %) противодействовали действиям киберпреступников. В то время как раньше, остановить активную кибератаку, не прибегая к решительным мерам, требовало значительных усилий. Однако, по данным VMware, 75% опрошенных добились успеха в использовании виртуальных исправлений (использование брандмауэра веб-приложений или аналогичного инструмента для прерывания сетевого пути злоумышленника) в качестве аварийного механизма.
8. Уровень выгорания IT-специалистов снизился по сравнению с прошлым годом, но остается серьезной проблемой. По данным VMware, почти 70% тех, кто испытывает симптомы ИТ-выгорания, рассматривают возможность ухода с работы.
В основе отчета результаты анализа последних инцидентов и консолидированное мнение 125 респондентов из числа ИБ-ресерчеров и экспертов по реагированию на инциденты. Не углубляясь в детали, в нем раскрыты наиболее актуальные тенденции в сфере современного инфосека.
Среди ключевых моментов:
1. Злоумышленники все чаще стали использовать латеральные перемещения в своем стремлении получить доступ к конфиденциальным ресурсам. По данным VMware, такие перемещения наблюдались в 25% всех атак.
2. Количество дипфейковых атак выросло на 13%, при этом 66% респондентов заявили, что были их свидетелями за последние 12 месяцев. В данном случае термин относится к сообщениям (в первую очередь к сообщениям электронной почты), созданным таким образом, чтобы казалось, что они исходят от известного лица с имитацией стиля предполагаемого отправителя.
3. 65% респондентов о прогрессивном увеличении количества кибератак.
4. За последние 12 месяцев с 0-day эксплойтами столкнулись 62% респондентов, что на 11% больше, чем за прошлый год.
5. 23 % атак в настоящее время ставят под угрозу безопасность API. Исследование VMware также показало, что злоумышленники все чаще используют API, а также проверенные методы, такие как SQL-инъекции.
6. Почти 60% респондентов подверглись атаке c использованием ransomware за последние 12 месяцев. Собственно, проблема вымогателей была и остается одной из самых серьезных категорий угроз, неудивительно, что VMware включила ее в свой список.
7. 87 % опрошенных заявили, что иногда (50 %) или очень часто (37 %) противодействовали действиям киберпреступников. В то время как раньше, остановить активную кибератаку, не прибегая к решительным мерам, требовало значительных усилий. Однако, по данным VMware, 75% опрошенных добились успеха в использовании виртуальных исправлений (использование брандмауэра веб-приложений или аналогичного инструмента для прерывания сетевого пути злоумышленника) в качестве аварийного механизма.
8. Уровень выгорания IT-специалистов снизился по сравнению с прошлым годом, но остается серьезной проблемой. По данным VMware, почти 70% тех, кто испытывает симптомы ИТ-выгорания, рассматривают возможность ухода с работы.
Уязвимость в Python, на которую не обращали внимания в течение 15 лет, теперь снова в центре внимания, поскольку она затрагивает более 350 000 репозиториев с открытым исходным кодом и может привести к RCE.
Раскрытая в 2007 году и отмеченная как CVE-2007-4559 ошибка так и не была исправлена. Под нее лишь переделали документацию, предупреждающую разработчиков об возможных рисках в цепочке поставок ПО.
Уязвимость затрагивает пакет tarfile Python и связана с неправильной реализацией функции tarfile.extract(). Она представляет собой проблему обхода пути, которая позволяет злоумышленнику перезаписывать произвольные файлы.
Технические детали CVE-2007-4559 доступны с момента выхода первоначального отчета в августе 2007 года, данных об использовании этой ошибки отсутствуют.
Однако в этом году в ходе расследования инцидента CVE-2007-4559 была повторно обнаружена ресерчерами Trellix Advanced Threat Research, о чем он упомянул в системе отслеживания ошибок Python и получил ответ о закрытии баги документацией.
Он выяснил, что недостаток связан с тем, что код в функции извлечения в модуле tarfile Python явно доверяет информации в объекте TarInfo и объединяет путь, который передается функции извлечения, и имя в объекте TarInfo. В конечном итоге, позволяет злоумышленнику получить доступ к файловой системе.
Анализируя ситуацию, Trellix извлекли набор из 257 репозиториев, которые с большей вероятностью содержат уязвимый код, и вручную проверили 175, выяснив, что 61% репозиториев были уязвимы.
Далее с помощью GitHub они идентифицировали 588 840 уникальных репозиториев, которые включают import tarfile в свой код Python.
Но, что еще более усугубляет проблему: более 350 000 уязвимых репозиториев применяют инструменты машинного обучения (например, GitHub Copilot), распространяя небезопасный код на другие проекты без ведома разработчика.
Trellix описали простой алгоритм эксплуатации CVE-2007-4559 в версии Spyder IDE для Windows.
Показали, что уязвимость можно использовать и в Linux. Им удалось ускорить запись файла и добиться RCE в тесте службы управления ИТ-инфраструктурой Polemarch.
Помимо исследования уязвимости и ее последствий, Trellix выпустили исправления для 11 000 проектов, которые позже они будут добавлены через пулреквесты.
Кроме того, планируется, что более 70 000 проектов также получат исправления в ближайшие несколько недель.
Раскрытая в 2007 году и отмеченная как CVE-2007-4559 ошибка так и не была исправлена. Под нее лишь переделали документацию, предупреждающую разработчиков об возможных рисках в цепочке поставок ПО.
Уязвимость затрагивает пакет tarfile Python и связана с неправильной реализацией функции tarfile.extract(). Она представляет собой проблему обхода пути, которая позволяет злоумышленнику перезаписывать произвольные файлы.
Технические детали CVE-2007-4559 доступны с момента выхода первоначального отчета в августе 2007 года, данных об использовании этой ошибки отсутствуют.
Однако в этом году в ходе расследования инцидента CVE-2007-4559 была повторно обнаружена ресерчерами Trellix Advanced Threat Research, о чем он упомянул в системе отслеживания ошибок Python и получил ответ о закрытии баги документацией.
Он выяснил, что недостаток связан с тем, что код в функции извлечения в модуле tarfile Python явно доверяет информации в объекте TarInfo и объединяет путь, который передается функции извлечения, и имя в объекте TarInfo. В конечном итоге, позволяет злоумышленнику получить доступ к файловой системе.
Анализируя ситуацию, Trellix извлекли набор из 257 репозиториев, которые с большей вероятностью содержат уязвимый код, и вручную проверили 175, выяснив, что 61% репозиториев были уязвимы.
Далее с помощью GitHub они идентифицировали 588 840 уникальных репозиториев, которые включают import tarfile в свой код Python.
Но, что еще более усугубляет проблему: более 350 000 уязвимых репозиториев применяют инструменты машинного обучения (например, GitHub Copilot), распространяя небезопасный код на другие проекты без ведома разработчика.
Trellix описали простой алгоритм эксплуатации CVE-2007-4559 в версии Spyder IDE для Windows.
Показали, что уязвимость можно использовать и в Linux. Им удалось ускорить запись файла и добиться RCE в тесте службы управления ИТ-инфраструктурой Polemarch.
Помимо исследования уязвимости и ее последствий, Trellix выпустили исправления для 11 000 проектов, которые позже они будут добавлены через пулреквесты.
Кроме того, планируется, что более 70 000 проектов также получат исправления в ближайшие несколько недель.
Trellix
Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
Trellix Advanced Research Center stumbled across a vulnerability in Python’s tarfile module. As we dug into the issue, we realized this was in fact CVE-2007-4559.
͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика банды, который вышел в июне 2022 года.
Новая версия ransomware включала обновленные функции антианализа, собственную BugBounty и передовые методы вымогательства.
Однако не прошло и трех месяцев, как все труды по факту были обнулены. Первоначально, ресерчеры полагали, что инфраструктуру LockBits взломали, после чего два пользователя слили сборщик LockBit 3.0 в Twitter, заявив о взломе.
Как позже пояснил LockBitSupp, публичный представитель LockBit, сервера не были взломаны, а частный сборщик ransomware слил недовольный разработчик, которого нанимали хакеры под проект. При этом ряд исследователей подтвердили, что сборщик является аутентичным.
На самом деле утечка имеет более серьезные последствия, ведь теперь конструктор LockBit 3.0 доступен любому злоумышленнику, который, как выяснили ресерчеры, позволяет быстро создавать исполняемые файлы для запуска собственных операций, включая шифровальщик, дешифратор и специализированные инструменты для его запуска.
Конструктор состоит из четырех файлов, генератора ключей шифрования, построителя, изменяемого файла конфигурации и пакетного файла для сборки всех файлов.
Config.json позволяет осуществлять все ключевые настройки шифровальщика: заметки о выкупе, параметров конфигурации, списка завершаемых процессов и служб, а также С2, на который шифровальщик будет отправлять данные.
После выполнения пакетного файла сборщик создаст все файлы, необходимые для запуска полноценной кампании ransomware.
Так что еще не понятно, кто пострадает от утечки больше: вымогатели или же потенциально возросшее таким образом сообщество жертв.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика банды, который вышел в июне 2022 года.
Новая версия ransomware включала обновленные функции антианализа, собственную BugBounty и передовые методы вымогательства.
Однако не прошло и трех месяцев, как все труды по факту были обнулены. Первоначально, ресерчеры полагали, что инфраструктуру LockBits взломали, после чего два пользователя слили сборщик LockBit 3.0 в Twitter, заявив о взломе.
Как позже пояснил LockBitSupp, публичный представитель LockBit, сервера не были взломаны, а частный сборщик ransomware слил недовольный разработчик, которого нанимали хакеры под проект. При этом ряд исследователей подтвердили, что сборщик является аутентичным.
На самом деле утечка имеет более серьезные последствия, ведь теперь конструктор LockBit 3.0 доступен любому злоумышленнику, который, как выяснили ресерчеры, позволяет быстро создавать исполняемые файлы для запуска собственных операций, включая шифровальщик, дешифратор и специализированные инструменты для его запуска.
Конструктор состоит из четырех файлов, генератора ключей шифрования, построителя, изменяемого файла конфигурации и пакетного файла для сборки всех файлов.
Config.json позволяет осуществлять все ключевые настройки шифровальщика: заметки о выкупе, параметров конфигурации, списка завершаемых процессов и служб, а также С2, на который шифровальщик будет отправлять данные.
После выполнения пакетного файла сборщик создаст все файлы, необходимые для запуска полноценной кампании ransomware.
Так что еще не понятно, кто пострадает от утечки больше: вымогатели или же потенциально возросшее таким образом сообщество жертв.
This media is not supported in your browser
VIEW IN TELEGRAM
Bug Bounty от Rambler&Co
К платформе The Standoff 365 присоединился медиахолдинг Rambler&Co с ежемесячной аудиторией почти в 48 млн человек. У вас есть возможность получить вознаграждения за уязвимости, найденные в десяти сервисах компании:
🔸 портале Rambler.ru
🔸 издании «Лента.ру»
🔸 издании «Газета.Ru»
🔸 издании «Чемпионат»
🔸 «Рамблер/новостях»
🔸 «Рамблер/почте»
🔸 Rambler&Co ID
🔸 «Рамблер/видеоплатформе»
🔸 Afisha.ru
🔸 «Рамблер/кассе»
⚡️ Самые критичные уязвимости могут принести вам 100 000 ₽
Сделать Rambler&Co безопаснее, а себя богаче 👉 https://bugbounty.standoff365.com/programs/rambler_and_co
К платформе The Standoff 365 присоединился медиахолдинг Rambler&Co с ежемесячной аудиторией почти в 48 млн человек. У вас есть возможность получить вознаграждения за уязвимости, найденные в десяти сервисах компании:
🔸 портале Rambler.ru
🔸 издании «Лента.ру»
🔸 издании «Газета.Ru»
🔸 издании «Чемпионат»
🔸 «Рамблер/новостях»
🔸 «Рамблер/почте»
🔸 Rambler&Co ID
🔸 «Рамблер/видеоплатформе»
🔸 Afisha.ru
🔸 «Рамблер/кассе»
⚡️ Самые критичные уязвимости могут принести вам 100 000 ₽
Сделать Rambler&Co безопаснее, а себя богаче 👉 https://bugbounty.standoff365.com/programs/rambler_and_co
Ресерчеры Unit 42 из Palo Alto Networks предупреждают об активно растущей угрозе, связанной с domain shadowing после того, как им удалось выявить 12 197 подобных инцидентов в результате сканирования сети в период с апреля по июнь 2022 года.
Теневое копирование домена — это подкатегория перехвата DNS, когда злоумышленники компрометируют DNS легитимного домена, чтобы размещать собственные субдомены для использования в злонамеренных действиях, но не изменяют уже существующие легитимные записи.
Затем эти поддомены используются злоумышленниками для создания вредоносных страниц, размещения C2-адресов, фишинговых сайтов, злоупотребляя репутацией захваченного домена для обхода проверок безопасности.
При этом веб-страницы сайта владельца домена и записи DNS остаются неизменными, а сами владельцы даже не догадываются, что они были взломаны.
Unit 42 объясняет, что обнаружение реальных случаев компрометации домена без использования алгоритмов автоматизированного машинного обучения достаточно сложно, что делает эту тактику столь привлекательной среди злоумышленников.
Аналитики отмечают, что VirusTotal отметил лишь 200 доменов как вредоносные из 12 197, обнаруженных Palo Alto.
При этом субдомены, которые перенаправляют на фишинговые сайты, могут легко обходить фильтры безопасности электронной почты, поскольку они не содержат ничего вредоносного и имеют надежную репутацию.
Стоит отметить, что ответственность за защиту от мошеннических поддоменов наряду с регистраторами и поставщиками услуг DNS, несут также и владельцы доменов.
Пользователям же, прежде чем отправлять учетные данные или другую конфиденциальную информацию, всегда следует учитывать, что поддомен на известном домене может быть вредоносным.
Теневое копирование домена — это подкатегория перехвата DNS, когда злоумышленники компрометируют DNS легитимного домена, чтобы размещать собственные субдомены для использования в злонамеренных действиях, но не изменяют уже существующие легитимные записи.
Затем эти поддомены используются злоумышленниками для создания вредоносных страниц, размещения C2-адресов, фишинговых сайтов, злоупотребляя репутацией захваченного домена для обхода проверок безопасности.
При этом веб-страницы сайта владельца домена и записи DNS остаются неизменными, а сами владельцы даже не догадываются, что они были взломаны.
Unit 42 объясняет, что обнаружение реальных случаев компрометации домена без использования алгоритмов автоматизированного машинного обучения достаточно сложно, что делает эту тактику столь привлекательной среди злоумышленников.
Аналитики отмечают, что VirusTotal отметил лишь 200 доменов как вредоносные из 12 197, обнаруженных Palo Alto.
При этом субдомены, которые перенаправляют на фишинговые сайты, могут легко обходить фильтры безопасности электронной почты, поскольку они не содержат ничего вредоносного и имеют надежную репутацию.
Стоит отметить, что ответственность за защиту от мошеннических поддоменов наряду с регистраторами и поставщиками услуг DNS, несут также и владельцы доменов.
Пользователям же, прежде чем отправлять учетные данные или другую конфиденциальную информацию, всегда следует учитывать, что поддомен на известном домене может быть вредоносным.
Unit 42
Domain Shadowing: A Stealthy Use of DNS Compromise for Cybercrime
Domain shadowing is a special case of DNS hijacking where attackers stealthily create malicious subdomains under compromised domain names.
У держателей децентрализованных криптоактивов DeFi очередное потрясение. В этот раз от хакерской руки пострадала торговая платформа Wintermute.
Взлом состоял из серии несанкционированных транзакций, в результате которых кошелек злоумышленника пополнился USD Coin, Binance USD, Tether USD, Wrapped ETH и еще 66 других криптовалют на сумму почти 160 миллионов долларов.
В компании заявили, что инцидент с безопасностью не повлиял на ее централизованные финансовые CeFi и внебиржевые OTC операции. Когда именно произошел взлом не сообщается.
Возможны временные перебои в работе, но в компании подчеркнули, что сервис полностю платежеспособен, так как имеет собственные активы на сумму вдвое больше украденной.
Однако представители платформы тешат себя ожиданиями, что злоумышленник подобно Белой шляпе свяжится с нами и все вернет, о чем написал в своем Twitter основатель и генеральный директор компании Евгений Гаевой.
Подробностей по тому, как и посредством какого эксплойта была скомпрометирована система тоже нет.
Но согласно отчету Bishop Fox, опубликованному в мае 2022 года, инциденты, связанные с безопасностью платформ DeFi в большинстве случаев происходят из-за уязвимости в смарт-контрактах или в самой логике протокола.
Другим важным вектором является компрометация кошельков и их приватных ключей. В совокупности только в 2021 году это привело к убыткам в размере 1,8 миллиарда долларов, при этом сервисы подвергались в среднем пяти взломам в месяц.
Кроме того, Wintermute признали, что использовали Profanity - программное обеспечение для генерации личных адресов Ethereum, из-за которых буквально на днях хакерам удалось украсть 3,3 миллиона долларов.
На сегодняшний день Wintermute замыкает цепочку инцидентов с атаками на протоколы DeFi, включая Axie Infinity, Harmony Horizon Bridge, Nomad и Curve.Finance за последние несколько месяцев.
Кто стоит за атакой еще предстоит узнать, но некоторые из последних краж приписывают группировке Lazarus.
Взлом состоял из серии несанкционированных транзакций, в результате которых кошелек злоумышленника пополнился USD Coin, Binance USD, Tether USD, Wrapped ETH и еще 66 других криптовалют на сумму почти 160 миллионов долларов.
В компании заявили, что инцидент с безопасностью не повлиял на ее централизованные финансовые CeFi и внебиржевые OTC операции. Когда именно произошел взлом не сообщается.
Возможны временные перебои в работе, но в компании подчеркнули, что сервис полностю платежеспособен, так как имеет собственные активы на сумму вдвое больше украденной.
Однако представители платформы тешат себя ожиданиями, что злоумышленник подобно Белой шляпе свяжится с нами и все вернет, о чем написал в своем Twitter основатель и генеральный директор компании Евгений Гаевой.
Подробностей по тому, как и посредством какого эксплойта была скомпрометирована система тоже нет.
Но согласно отчету Bishop Fox, опубликованному в мае 2022 года, инциденты, связанные с безопасностью платформ DeFi в большинстве случаев происходят из-за уязвимости в смарт-контрактах или в самой логике протокола.
Другим важным вектором является компрометация кошельков и их приватных ключей. В совокупности только в 2021 году это привело к убыткам в размере 1,8 миллиарда долларов, при этом сервисы подвергались в среднем пяти взломам в месяц.
Кроме того, Wintermute признали, что использовали Profanity - программное обеспечение для генерации личных адресов Ethereum, из-за которых буквально на днях хакерам удалось украсть 3,3 миллиона долларов.
На сегодняшний день Wintermute замыкает цепочку инцидентов с атаками на протоколы DeFi, включая Axie Infinity, Harmony Horizon Bridge, Nomad и Curve.Finance за последние несколько месяцев.
Кто стоит за атакой еще предстоит узнать, но некоторые из последних краж приписывают группировке Lazarus.
Bloomberg.com
Wintermute Hacked for About $160 Million in DeFi Operations
Crypto market maker Wintermute said about $160 million had been hacked from its decentralized finance unit, the latest in a string of exploits hitting the digital assets industry.