ZDNet сообщает, что данные более чем 4 млн. пользователей оказались скомпрометированы в результате взлома онлайн-площадки предметами коллекционирования Quidd.
Судя по всему, взлом произошел в прошлом году, поскольку некоторые данные с Quidd появлялись в привате еще в октябре 2019 года. А в марте хакер ProTag стал продавать полную базу данных на одном из публичных хакерских форумов.
И хотя пароли в БД содержатся в хэше bcrypt, отдельные представители хакерской сцены уже приступили к их расшифровке. Так, в продаже уже появились более 135 тыс. взломанных паролей, а один из хакеров обещает в ближайшее время выставить более 1 млн.
Не знаем, есть ли среди подписчиков пользователи Quidd, но есть так - срочно меняйте пароли. И, на всякий случай, явки.
Судя по всему, взлом произошел в прошлом году, поскольку некоторые данные с Quidd появлялись в привате еще в октябре 2019 года. А в марте хакер ProTag стал продавать полную базу данных на одном из публичных хакерских форумов.
И хотя пароли в БД содержатся в хэше bcrypt, отдельные представители хакерской сцены уже приступили к их расшифровке. Так, в продаже уже появились более 135 тыс. взломанных паролей, а один из хакеров обещает в ближайшее время выставить более 1 млн.
Не знаем, есть ли среди подписчиков пользователи Quidd, но есть так - срочно меняйте пароли. И, на всякий случай, явки.
ZDNET
Account details for 4 million Quidd users shared on hacking forum
Users of Quidd, an online marketplace for trading stickers, cards, toys, and other collectibles, are advised to change account passwords as soon as possible.
Хакеры уронили старейшую компанию Дании DESMI.
Как сообщил на официальном сайте компании ее CEO Хенрик Соренсен, на прошлой неделе, в ночь со среды на четверг, DESMI подверглась кибератаке, в результате чего все ее системы упали.
По словам Соренсена на восстановление деятельности компании потребуется до нескольких недель. Возможность потери данных уточняется. Судя по всему, компания попала на ransomware.
DESMI - старейшая компания в Дании, основанная аж в 1834 году. Занимается производством и поставкой насосов и насосного оборудования. Оборот в 2018 году - более 120 млн. евро.
https://www.desmi.com/pumps.aspx
Как сообщил на официальном сайте компании ее CEO Хенрик Соренсен, на прошлой неделе, в ночь со среды на четверг, DESMI подверглась кибератаке, в результате чего все ее системы упали.
По словам Соренсена на восстановление деятельности компании потребуется до нескольких недель. Возможность потери данных уточняется. Судя по всему, компания попала на ransomware.
DESMI - старейшая компания в Дании, основанная аж в 1834 году. Занимается производством и поставкой насосов и насосного оборудования. Оборот в 2018 году - более 120 млн. евро.
https://www.desmi.com/pumps.aspx
Desmi
DESMI A/S
Pumps and pumping systems for marine and industry. Centrifugal Pumps and Gear Pumps. Oil spill response Equipment. Pumps and pumping systems for defence and utility.
В связи с бушующей в мире эпидемией коронавируса отрасль инфосек новостей несколько скукожилась. Все сидят дома, обсуждают COVID-19, интересных кейсов все меньше.
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить отказываются.
Как могли заметить наши подписчики, нас всегда интересовал вопрос APT и их активности, особенно с привязкой к реальной геополитике. Иногда, анализируя деятельность той или иной хакерской группы, можно прийти к неожиданным выводам о реальной заинтересованности государств и крупных корпораций.
Примером, на наш взгляд, может служить история с атакой DarkHotel на китайские правительственные ресуры.
Для тех подписчиков, которые могут не знать все тонкости инфосек определений немного раскроем термин APT. Advanced Persistent Threat – целевая кибер операция, изначально этим термином назывались сложные комплексные кибератаки, ориентированные на государственные ресурсы той или иной страны.
Самый известный пример такой APT – операция Stuxnet по выведению из строя иранских центрифуг по обогащению урана, работавших в рамках иранской ядерной программы, проведенная спецслужбами Израиля и США.
Со временем термином APT стали называть мощные хакерские группы, как правило, ассоциированные с государственными спецслужбами разных стран.
К сожалению, признанные эксперты в области APT зачастую политизированы и склонны делать отмодерированные в соответствии со своими интересами заключения. Мы сейчас, конечно, говорим про FireEye, CrowdStrike, Microsoft, Касперского, Group IB, NSO Group, Cisco Talos и ряд других.
Поэтому мы решили начать делать свои собственные обзоры активности APT, основываясь на OSINT и собственном понимании этой сферы хакерской деятельности. Тема эта сложная, поэтому писать будем размеренно и вдумчиво.
Само собой, ресурсно наша редакция не может сравниться с вышеперечисленными командами, поэтому мы тоже можем ошибаться. Зато и модерировать нас некому.
Все посты, посвященные этой теме, мы будем помечать хэштегом #APT.
Надеемся, что вам это будет также интересно, как и нам.
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить отказываются.
Как могли заметить наши подписчики, нас всегда интересовал вопрос APT и их активности, особенно с привязкой к реальной геополитике. Иногда, анализируя деятельность той или иной хакерской группы, можно прийти к неожиданным выводам о реальной заинтересованности государств и крупных корпораций.
Примером, на наш взгляд, может служить история с атакой DarkHotel на китайские правительственные ресуры.
Для тех подписчиков, которые могут не знать все тонкости инфосек определений немного раскроем термин APT. Advanced Persistent Threat – целевая кибер операция, изначально этим термином назывались сложные комплексные кибератаки, ориентированные на государственные ресурсы той или иной страны.
Самый известный пример такой APT – операция Stuxnet по выведению из строя иранских центрифуг по обогащению урана, работавших в рамках иранской ядерной программы, проведенная спецслужбами Израиля и США.
Со временем термином APT стали называть мощные хакерские группы, как правило, ассоциированные с государственными спецслужбами разных стран.
К сожалению, признанные эксперты в области APT зачастую политизированы и склонны делать отмодерированные в соответствии со своими интересами заключения. Мы сейчас, конечно, говорим про FireEye, CrowdStrike, Microsoft, Касперского, Group IB, NSO Group, Cisco Talos и ряд других.
Поэтому мы решили начать делать свои собственные обзоры активности APT, основываясь на OSINT и собственном понимании этой сферы хакерской деятельности. Тема эта сложная, поэтому писать будем размеренно и вдумчиво.
Само собой, ресурсно наша редакция не может сравниться с вышеперечисленными командами, поэтому мы тоже можем ошибаться. Зато и модерировать нас некому.
Все посты, посвященные этой теме, мы будем помечать хэштегом #APT.
Надеемся, что вам это будет также интересно, как и нам.
Telegram
SecAtor
Неожиданно, но у нас продолжение минисериала про похождения APT DarkHotel. На данный момент эта хакерская группа, пожалуй, одна из наиболее активных прогосударственных прокси.
Новости опять принесли китайские исследователи из Qihoo 360. В конце прошлой…
Новости опять принесли китайские исследователи из Qihoo 360. В конце прошлой…
Как только мы заговорили об APT, тут же всплывают новости на эту тему.
ESET заявили, что за недавним взломом ресурсов аэропорта Сан-Франциско стоит APT Energetic Bear (она же Dragonfly), якобы являющаяся российской хакерской прокси.
Атаки были направлены на сайты SFOConnect .com, используемый сотрудниками аэропорта, и SFOConstruction .com, используемый его строительными подрядчиками. По данным представителей аэропорта Сан-Франциско, хакеры сайты были взломаны и в них был внедрен код, использовавший уязвимость Internet Explorer для кражи учетных данных.
Сегодня ESET объявили, что целью хакеров являлись учетные данные Windows, принадлежащие посетителям сайта. С помощью инъекции вредоносной ссылки пользователь перенаправлялся на подконтрольный сайт по SMB и передавал на него логин и NTLM-хэш пароля. Последний в наше время достаточно легко вскрывается.
Про потенциальное использование подобной уязвимости в ZOOM мы писали две недели назад.
А дальше на основании того, что в данной атаке использовался SMB relay, а подобную же тактику в 2018 году использовали Energetic Bear, словаки на голубом глазу утверждают, что аэропорт взламывала русская хакерская группа.
О спорности данного заявления говорят и комментаторы новости в Твиттере. На что ESET тут же отвечает, что вообще-то это могли быть и другие хакеры.
Но часть журналистов это не смутило и Каталин Чимпану, неровно дышащий к русским APT (румын, что с него взять), тут же написал материал "Русские правительственные хакеры взломали аэропорт Сан-Франциско".
Кстати, Energetic Bear стали в своей время именно правительственной хакерской группой с подачи US-CERT и британского Национального центра кибербезопасности (NCSC). При том, что часть их целей была вполне себе на территории России. Что, вообще говоря, свойственно коммерческим группам, но никак не хакерским прокси.
ESET же, как и любое ласковое теля, двух маток сосет. Прописанная в Калифорнии компания, со штаб-квартирой в Словакии и русскими ресерчерами в штате. Которая пыталась попасть в реестр российского обеспечения, но ей отказали.
Мелко, Хоботов.
#APT #EnergeticBear #ESET
ESET заявили, что за недавним взломом ресурсов аэропорта Сан-Франциско стоит APT Energetic Bear (она же Dragonfly), якобы являющаяся российской хакерской прокси.
Атаки были направлены на сайты SFOConnect .com, используемый сотрудниками аэропорта, и SFOConstruction .com, используемый его строительными подрядчиками. По данным представителей аэропорта Сан-Франциско, хакеры сайты были взломаны и в них был внедрен код, использовавший уязвимость Internet Explorer для кражи учетных данных.
Сегодня ESET объявили, что целью хакеров являлись учетные данные Windows, принадлежащие посетителям сайта. С помощью инъекции вредоносной ссылки пользователь перенаправлялся на подконтрольный сайт по SMB и передавал на него логин и NTLM-хэш пароля. Последний в наше время достаточно легко вскрывается.
Про потенциальное использование подобной уязвимости в ZOOM мы писали две недели назад.
А дальше на основании того, что в данной атаке использовался SMB relay, а подобную же тактику в 2018 году использовали Energetic Bear, словаки на голубом глазу утверждают, что аэропорт взламывала русская хакерская группа.
О спорности данного заявления говорят и комментаторы новости в Твиттере. На что ESET тут же отвечает, что вообще-то это могли быть и другие хакеры.
Но часть журналистов это не смутило и Каталин Чимпану, неровно дышащий к русским APT (румын, что с него взять), тут же написал материал "Русские правительственные хакеры взломали аэропорт Сан-Франциско".
Кстати, Energetic Bear стали в своей время именно правительственной хакерской группой с подачи US-CERT и британского Национального центра кибербезопасности (NCSC). При том, что часть их целей была вполне себе на территории России. Что, вообще говоря, свойственно коммерческим группам, но никак не хакерским прокси.
ESET же, как и любое ласковое теля, двух маток сосет. Прописанная в Калифорнии компания, со штаб-квартирой в Словакии и русскими ресерчерами в штате. Которая пыталась попасть в реестр российского обеспечения, но ей отказали.
Мелко, Хоботов.
#APT #EnergeticBear #ESET
Twitter
ESET research
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix…
Согласно эксклюзивному материалу ZDNet, на прошлой неделе Google удалили из своего Интернет-магазина несколько десятков расширений для Chrome, которые крали криптоключи пользователей.
Гарри Денли, директор по безопасности платформы MyCrypto, сообщил, что его подразделением выявлены 49 расширений, разработанных предположительно одним актором и мимикрирующих под криптоприложения Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey.
Все расширения содержали код, отсылающий пользовательские криптоключи и мнемонические фразы на сервер, принадлежащий злоумышленникам.
Остается вопрос, почему Google допускает такие массовые вбросы malware в свой Интернет-магазин.
Полный список Extension ID указанных вредоносов приведен в статье ZDNet. Можно использовать для проверки.
Гарри Денли, директор по безопасности платформы MyCrypto, сообщил, что его подразделением выявлены 49 расширений, разработанных предположительно одним актором и мимикрирующих под криптоприложения Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey.
Все расширения содержали код, отсылающий пользовательские криптоключи и мнемонические фразы на сервер, принадлежащий злоумышленникам.
Остается вопрос, почему Google допускает такие массовые вбросы malware в свой Интернет-магазин.
Полный список Extension ID указанных вредоносов приведен в статье ZDNet. Можно использовать для проверки.
ZDNet
Exclusive: Google removes 49 Chrome extensions caught stealing crypto-wallet keys
The Chrome extensions were mimicking cryptocurrency wallet apps like Ledger, MyEtherWallet, Trezor, Electrum, and others, but, in reality, they were stealing users' private keys and mnemonic phrases.
Microsoft выпустила большой апдейт, устраняющий в общей сложности 113 уязвимостей, среди которых три 0-day.
Первая 0-day, CVE-2020-1020 (мы о ней писали), была выявлена в прошлом месяце, связана с библиотекой Windows Adobe Type Manager и позволяет удаленно исполнять код в целевой системе. Как сообщалось ранее, уязвимость использовалась в дикой природе. Но закрыть ее Microsoft удосужились только сейчас.
Вторая уязвимость нулевого дня - CVE-2020-0938 - также связана с библиотекой Windows Adobe Type Manager и также позволяет удаленное исполнение кода . В дикой природе, по заявлению экспертов Tenable, пока не встречалась.
И третья 0-day уязвимость - CVE-2020-1027- является ошибкой в ядре Windows, позволяющей злоумышленнику повысить локальные привилегии.
Всем апдейтить Windows.
Первая 0-day, CVE-2020-1020 (мы о ней писали), была выявлена в прошлом месяце, связана с библиотекой Windows Adobe Type Manager и позволяет удаленно исполнять код в целевой системе. Как сообщалось ранее, уязвимость использовалась в дикой природе. Но закрыть ее Microsoft удосужились только сейчас.
Вторая уязвимость нулевого дня - CVE-2020-0938 - также связана с библиотекой Windows Adobe Type Manager и также позволяет удаленное исполнение кода . В дикой природе, по заявлению экспертов Tenable, пока не встречалась.
И третья 0-day уязвимость - CVE-2020-1027- является ошибкой в ядре Windows, позволяющей злоумышленнику повысить локальные привилегии.
Всем апдейтить Windows.
Telegram
SecAtor
Zero Day сообщает о 0-day уязвимости во всех операционных системах Microsoft, которая уже эксплуатируется в дикой природе.
По данным Microsoft, две уязвимости нулевого дня выявлены в библиотеке Adobe Type Manager (atmfd.dll), которая используется для визуализации…
По данным Microsoft, две уязвимости нулевого дня выявлены в библиотеке Adobe Type Manager (atmfd.dll), которая используется для визуализации…
@blackorbird, который(е), судя по наличию учетки в Weibo, относится к Китаю, приводит фрагмент отчета на английском языке, посвященного атакам зарубежных APT на китайские ресурсы в 2019 году.
Согласно документу, в прошлом году на Китай было совершено более 4 тыс. целевых кибератак, в которые были вовлечены около 100 APT групп.
Информация для понимания масштаба деятельности APT.
#APT
https://twitter.com/blackorbird/status/1249995232743051264
Согласно документу, в прошлом году на Китай было совершено более 4 тыс. целевых кибератак, в которые были вовлечены около 100 APT групп.
Информация для понимания масштаба деятельности APT.
#APT
https://twitter.com/blackorbird/status/1249995232743051264
Twitter
blackorbird
Several #APT Group that attacked China in 2019.
Here comes another big fish.
Операторы ransomware RagnarLocker удачно зашифровали данные португальского энергетического гиганта Energias de Portugal (EDP) и теперь требуют выкуп в 10,9 млн долларов (!).
EDP Group - одна из крупнейших европейских энергетических компаний, работающая в 19 странах мира. Оборот в 2017 году - более 15 млрд. долларов.
Хакеры утверждают, что получили доступ к 10 Тб данных, включающих информацию о выставленных счетах, контрактах, транзакциях, клиентах и партнерах. Они обещают разметить данные на всеобщее обозрение в сеть если EDP не заплатит выкуп.
В качестве доказательства серьезности своих намерений владельцы RagnarLocker разместили на своем сайте украденную базу данных менеджера паролей KeePass.
Наше мнение - EDP заплатит.
Кстати, нам пришла в голову интересная мысль - новая тактика операторов ransomware по принуждению к выплате под угрозой публикации конфиденциальных сведений может послужить отличным поводом для многих больших руководителей уделять более серьезное внимание вопросам информационной безопасности. Потому что когда перед глазами в качестве примера стоят реальные миллионы долларов, заплаченные пострадавшими в качестве выкупа, инфосек стразу становится близким и понятным.
https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/
Операторы ransomware RagnarLocker удачно зашифровали данные португальского энергетического гиганта Energias de Portugal (EDP) и теперь требуют выкуп в 10,9 млн долларов (!).
EDP Group - одна из крупнейших европейских энергетических компаний, работающая в 19 странах мира. Оборот в 2017 году - более 15 млрд. долларов.
Хакеры утверждают, что получили доступ к 10 Тб данных, включающих информацию о выставленных счетах, контрактах, транзакциях, клиентах и партнерах. Они обещают разметить данные на всеобщее обозрение в сеть если EDP не заплатит выкуп.
В качестве доказательства серьезности своих намерений владельцы RagnarLocker разместили на своем сайте украденную базу данных менеджера паролей KeePass.
Наше мнение - EDP заплатит.
Кстати, нам пришла в голову интересная мысль - новая тактика операторов ransomware по принуждению к выплате под угрозой публикации конфиденциальных сведений может послужить отличным поводом для многих больших руководителей уделять более серьезное внимание вопросам информационной безопасности. Потому что когда перед глазами в качестве примера стоят реальные миллионы долларов, заплаченные пострадавшими в качестве выкупа, инфосек стразу становится близким и понятным.
https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/
BleepingComputer
RagnarLocker ransomware hits EDP energy giant, asks for €10M
Attackers using the Ragnar Locker ransomware have encrypted the systems of Portuguese multinational energy giant Energias de Portugal (EDP) and are now asking for a 1580 BTC ransom ($10.9M or €9.9M).
В последнем сэмпле ransomware Nemty обнаружилось послание от создателей Виталию Кремезу (CEO SentinelLabs), Майклу Гилеспи (создатель ID Ransomware) и команде MalwareHunterTeam.
Кроме того, авторы транслитером написали "Москва любит экстази" и строчку из песни Скриптонита "Привычка".
Шутники, однако.
Кроме того, авторы транслитером написали "Москва любит экстази" и строчку из песни Скриптонита "Привычка".
Шутники, однако.
Motherboard выяснили, что у брокеров, специализирующихся на продаже 0-day уязвимостей, появилось предложение двух уязвимостей нулевого дня для ZOOM.
Одна из 0-day уязвимостей относится к клиенту ZOOM под Windows и позволяет осуществить удаленное исполнение кода в атакуемой системе, однако может быть использована только в комплексе с другими имеющимися ошибками.
За данные об этой дырке хакеры просят 500 тыс. долларов, но, по мнению экспертов, эта цена завышена вдвое.
Вторая 0-day уязвимость присутствует в ZOOM под Мак, но не приводит к удаленному исполнению кода. Соответственно, ценность ее гораздо меньше.
Похоже, что два совета CISO, сформированные ZOOM для консультаций по вопросам информационной безопасности, пока что не очень помогают.
Одна из 0-day уязвимостей относится к клиенту ZOOM под Windows и позволяет осуществить удаленное исполнение кода в атакуемой системе, однако может быть использована только в комплексе с другими имеющимися ошибками.
За данные об этой дырке хакеры просят 500 тыс. долларов, но, по мнению экспертов, эта цена завышена вдвое.
Вторая 0-day уязвимость присутствует в ZOOM под Мак, но не приводит к удаленному исполнению кода. Соответственно, ценность ее гораздо меньше.
Похоже, что два совета CISO, сформированные ZOOM для консультаций по вопросам информационной безопасности, пока что не очень помогают.
Vice
Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
People who trade in zero-day exploits say there are two Zoom zero-days, one for Windows and one for MacOS, on the market.
Евгений Валентинович Маск в условиях коронавирусной самоизоляции на острове Тристан-да-Кунья с голодухи сожрал всех своих ресерчеров.
И теперь вынужден ретвитить спецов из Cisco Talos.
Конец императора тайги.
И теперь вынужден ретвитить спецов из Cisco Talos.
Конец императора тайги.
Twitter
Eugene Kaspersky
Faking fingerprints — doable, but hard ⇒ https://t.co/uoBGtqEY0o ⇐ @r00tbsd and @_vventura from @talossecurity found a way to create fake fingerprints to fool many devices, although it took a lot of effort
Хулиганы-зумбомберы добрались до Конгресса США.
Как сообщает ZDNet, 3 апреля Комитет по надзору и реформам Палаты представителей Конгресса США (по логике Палата - это аналог нашей Думы, в реале - аналог нашего Совета Федерации) проводил совещание в ZOOM, в процессе которого его зазумбомбили 3 раза.
Подробностей о том, что конкретно это было - порно, оскорбление или угрозы, - ZDNet не дает.
Мы сначала огорчились за американских законодателей. Но потом увидели, что видеоконференция представляла собой брифинг для членов Совета по правам женщин в Афганистане со Специальным генеральным инспектором по восстановлению Афганистана.
И поняли, что некоторые американские политики оторваны от текущей жизни еще сильнее наших. По крайней мере, бордюр можно потрогать руками. В отличие от прав афганских женщин.
Как сообщает ZDNet, 3 апреля Комитет по надзору и реформам Палаты представителей Конгресса США (по логике Палата - это аналог нашей Думы, в реале - аналог нашего Совета Федерации) проводил совещание в ZOOM, в процессе которого его зазумбомбили 3 раза.
Подробностей о том, что конкретно это было - порно, оскорбление или угрозы, - ZDNet не дает.
Мы сначала огорчились за американских законодателей. Но потом увидели, что видеоконференция представляла собой брифинг для членов Совета по правам женщин в Афганистане со Специальным генеральным инспектором по восстановлению Афганистана.
И поняли, что некоторые американские политики оторваны от текущей жизни еще сильнее наших. По крайней мере, бордюр можно потрогать руками. В отличие от прав афганских женщин.
ZDNET
Zoom-bombing disrupted a House Oversight Committee meeting
Zoom-bombing has now disrupted a meeting at the highest level of the US government.
Американское правительство объявило награду в 5 млн. долларов за информацию о северокорейских хакерах.
Госдеп, ФБР, Министерство финансов и Министерство национальной безопасности США выпустили руководство, посвященное деятельности северокорейских APT.
Американцы заявляют, что в рамках операции Hidden Cobra северокорейские хакеры в 2019 году заработали для КНДР более 2 млрд. долларов в результате серии атак, направленных на банки и криптообменники.
Госдеп США сообщает, что готов заплатить до 5 млн. долларов за любую информацию о киберактивности северокорейских APT, включая прошлые или текущие операции, которая приведет к идентификации или обнаружению конкретных лиц, а также к срыву такой активности.
Основным сторонним экспертом, как всегда, выступила FireEye.
Кстати, мы про северокорейские APT тоже обязательно поговорим. Их там есть - APT37 (aka Konni, Ricochet Chollima), Kimsuki (aka Velvet Chollima) и другие.
#APT
Госдеп, ФБР, Министерство финансов и Министерство национальной безопасности США выпустили руководство, посвященное деятельности северокорейских APT.
Американцы заявляют, что в рамках операции Hidden Cobra северокорейские хакеры в 2019 году заработали для КНДР более 2 млрд. долларов в результате серии атак, направленных на банки и криптообменники.
Госдеп США сообщает, что готов заплатить до 5 млн. долларов за любую информацию о киберактивности северокорейских APT, включая прошлые или текущие операции, которая приведет к идентификации или обнаружению конкретных лиц, а также к срыву такой активности.
Основным сторонним экспертом, как всегда, выступила FireEye.
Кстати, мы про северокорейские APT тоже обязательно поговорим. Их там есть - APT37 (aka Konni, Ricochet Chollima), Kimsuki (aka Velvet Chollima) и другие.
#APT
BleepingComputer
US issues guidance on North Korean hackers, offers $5M reward
The U.S. government has issued guidance on North Korean hacking activity in a joint advisory published by the U.S. Departments of State, Treasury, and Homeland Security, and the FBI.
После последнего обновления Windows в ряде случаев встроенный антивирус Microsoft Windows Defender стал крашиться, сообщает Bleeping Computer.
В ходе проведения полного сканирования системы после проверки определенного количества файлов Windows Defender зависает. При этом в процессе быстрой проверки никаких проблем не возникает.
Обновление Windows Defender не помогает. Но, что интересно, зависание антивируса происходит не на всех компьютерах.
Microsoft пока ситуацию не комментирует. Да и не удивительно, для мелкомягких подобные последствия апдейтов уже вошли в привычку - две уязвимости закрыли, три новых появилось.
В ходе проведения полного сканирования системы после проверки определенного количества файлов Windows Defender зависает. При этом в процессе быстрой проверки никаких проблем не возникает.
Обновление Windows Defender не помогает. Но, что интересно, зависание антивируса происходит не на всех компьютерах.
Microsoft пока ситуацию не комментирует. Да и не удивительно, для мелкомягких подобные последствия апдейтов уже вошли в привычку - две уязвимости закрыли, три новых появилось.
BleepingComputer
Windows Defender broken by recent updates, how to fix
When performing a full antivirus scan using Windows Defender, a recent definition update or Windows update is causing the program to crash in the middle of a scan.
Сегодня мы, как и обещали, начинаем выпускать посты про APT (терминология описана здесь, крупные хакерские группы, как правило прогосударственные.
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Неожиданно, мы начнем не с российских Fancy Bear или Turla, не с ЦРУшной Longhorn и даже не с различных китайских Panda. Начнем мы с Индии.
Неделю назад Malwarebytes выпустили отчет "APT и COVID-19", который мы с интересом прочитали. И с удивлением обнаружили в нем описываемую активность индийской APT-C-09, направленную на Китай. Памятуя историю с DarkHotel мы решили присмотреться поближе.
Встречайте – APT-C-09, больше известная как Patchwork и Dropping Elephant, а также как Chinastrats и Quilted Tiger. Индийская хакерская прокси, предположительно активная с 2013 года.
Основные цели APT – государственные организации, а также крупные отраслевые структуры Китая, Японии, стран Ближнего Востока, США, Британии, Бангладеш, Шри Ланки и Пакистана.
Хакерская группа основана бывшим подполковником индийской армии Брайаном Мирандой, который более 20 лет прослужил в различных армейских подразделениях, в том числе в Разведывательном Корпусе. Специалист в областях кибербезопасности, кибер-криминалистики, информационных войн, киберразведки.
По выходу на пенсию Миранда основал инфосек компанию Phronesis Corporate Intelligence Services Pvt Ltd., под прикрытием которой и работает APT-C-09.
Основные методы группы – атаки типа spear-phishing (целевой фишинг, рассылка фишинговых сообщений специально сформированному перечню интересующих хакеров адресатов) и watering hole (атака на водопой, взлом и заражение информационного ресурса, который посещают интересующие хакеров пользователи).
Группа привлекла к себе внимание сразу нескольких инфосек-вендоров в 2015-2016 годах, когда развернула крупную киберкампанию в отношении ресурсов США, Китая, Японии и Британии. Интересующими ее отраслями были государственные структуры, авиация, СМИ, энергетика, финансы, фармакалогия. Эта кибероперация известна под названием MONSOON. И мы рассмотрим ее и другую активность индийских хакеров в следующем посте про APT.
#APT #APTC09 #Patchwork #DroppingElephant
Telegram
SecAtor
В связи с бушующей в мире эпидемией коронавируса отрасль инфосек новостей несколько скукожилась. Все сидят дома, обсуждают COVID-19, интересных кейсов все меньше.
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить…
Количество фишинга на тему коронавируса составляет около 20% от всех фишинговых рассылок, выявляемых Google.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Компания сообщает, что запущенное в феврале 2020 года новое поколение сканера электронной переписки Gmail успешно защищает пользователей от фишинга и спама.
Сканер активно использует технологии машинного обучения и блокирует в среднем 240 млн. спам-писем в день, а также около 100 млн. фишинговых электронных сообщений.
Интересным фактом является то, что на протяжении последней недели в среднем ежедневно Google блокирует около 18 млн. фишинговых писем, в которых в качестве приманки и используется тема COVID-19.
Удивительно, что коронавирус еще не занимает 90% во вредоносных рассылках. По крайней мере, с новостями дела обстоят именно так.
Google Cloud Blog
Protecting against cyber threats during COVID-19 and beyond | Google Cloud Blog
COVID-19-related phishing and malware threats and steps to effectively deal with them
По сообщению ZDNet на известном хакерском форуме вчера были размещены данные 20 млн. пользователей бразильского альтернативного магазина Android-приложений Aptoide.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
Данные включают в себя адреса электронной почты, хешированные пароли, регистрационные данные, включая IP-адрес регистрации и данные использовавшегося устройства. Вся информация относится к 2016-2018 годам.
По словам выложившего их хакера, всего в его наличии есть сведения более чем о 39 млн. пользователях ресурса.
ZDNet
Details of 20 million Aptoide app store users leaked on hacking forum
Hacker claims to be in possession of 39 million Aptoide user records. Leaks 20 million today.
Совершенно замечательная история от BleepingComputer.
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
Тайваньское подразделение Digital Crimes Unit (DCU) компании Microsoft в августе 2019 года выявило ботнет из 400 тыс. скомпрометированных устройств. Сеть была универсальной и использовалась как для осуществления DDoS-атак, так и для фишинга, загрузки вредоносов и пр.
Microsoft DCU передали информацию в отношении ботнета в Бюро расследования Министерства юстиции Тайваня (MJIB), которое провело разыскные мероприятия и нашло его управляющий центр. Им оказалась консоль управления светодиодным освещением (!), которая была скомпрометирована злоумышленниками.
Внимательно следите за своим холодильником, возможно в данный момент он управляет DDoS-атакой на Пентагон!
BleepingComputer
Microsoft helped stop a botnet controlled via an LED light console
Microsoft says that its Digital Crimes Unit (DCU) discovered and helped take down a botnet of 400,000 compromised devices controlled with the help of an LED light control console.
"Некоммерческая организация Tor Project, стоящая за разработкой одноимённого безопасного браузера", ага, как же.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.
Вообще-то за разработкой Tor стояло Разведуправление Минобороны США (РУМО).
Коллеги, учите матчасть.