⚖️ Интерпол арестовал трех нигерийцев за онлайн-мошенничество.
💬 Во время международной операции под кодовым названием Killer Bee Интерпол арестовал трех нигерийцев в Лагосе. Мужчин подозревают в использовании Agent Tesla RAT для перенаправления финансовых операций и кражи конфиденциальных данных корпоративных организаций. У подозреваемых полиция обнаружила поддельные документы, включая счета-фактуры и официальные письма.
Agent Tesla — чрезвычайно популярный троян удаленного доступа. Используется для кражи учетных данных, кейлоггинга, сбора данных буфера обмена и др. Киберпреступные группировки и хакеры-шпионы любят Agent Tesla за его стабильность, гибкость и функциональность.
В операции Killer Bee участвовали штаб-квартира Генерального секретариата Интерпола, национальное центральное бюро и правоохранительные органы из 11 стран Юго-Восточной Азии.
Одного из мошенников, Хендрикса Оморуме, обвинили и осудили по трем эпизодам серьезного финансового мошенничества. Ему грозит год тюрьмы. Двое других нигерийцев находятся под судом.
«Благодаря глобальной полицейской сети и постоянному мониторингу киберпространства Интерпол располагает необходимыми данными, чтобы предупредить Нигерию о серьезной угрозе безопасности, где миллионы могли быть потеряны без оперативных действий полиции», — заявил директор Интерпола по киберпреступности Крейг Джонс. «По мере поступления оперативной информации и проведения расследований ожидаются новые аресты злоумышленников по всему миру».
#Интерпол #KillerBee
🔔 ITsec NEWS
💬 Во время международной операции под кодовым названием Killer Bee Интерпол арестовал трех нигерийцев в Лагосе. Мужчин подозревают в использовании Agent Tesla RAT для перенаправления финансовых операций и кражи конфиденциальных данных корпоративных организаций. У подозреваемых полиция обнаружила поддельные документы, включая счета-фактуры и официальные письма.
Agent Tesla — чрезвычайно популярный троян удаленного доступа. Используется для кражи учетных данных, кейлоггинга, сбора данных буфера обмена и др. Киберпреступные группировки и хакеры-шпионы любят Agent Tesla за его стабильность, гибкость и функциональность.
В операции Killer Bee участвовали штаб-квартира Генерального секретариата Интерпола, национальное центральное бюро и правоохранительные органы из 11 стран Юго-Восточной Азии.
Одного из мошенников, Хендрикса Оморуме, обвинили и осудили по трем эпизодам серьезного финансового мошенничества. Ему грозит год тюрьмы. Двое других нигерийцев находятся под судом.
«Благодаря глобальной полицейской сети и постоянному мониторингу киберпространства Интерпол располагает необходимыми данными, чтобы предупредить Нигерию о серьезной угрозе безопасности, где миллионы могли быть потеряны без оперативных действий полиции», — заявил директор Интерпола по киберпреступности Крейг Джонс. «По мере поступления оперативной информации и проведения расследований ожидаются новые аресты злоумышленников по всему миру».
#Интерпол #KillerBee
🔔 ITsec NEWS
🧄 РКН потребовал удалить Tor Browser из магазина Google Play.
💬 Роскомнадзор потребовал от Google LLC удалить Tor Browser из магазина приложений Google Play. Ведомство ссылается на решение саратовского суда, признавшего содержащуюся в Tor Browser информацию запрещенной.
«Суд признал содержащуюся в Tor Browser информацию запрещённой к распространению на территории Российской Федерации, а также само программное приложение, позволяющее получить доступ к запрещённому контенту и способствующее совершению уголовных преступлений», — говорится в сообщении ведомства.
19 мая Саратовский областной суд отменил решение районного суда о блокировке браузера Tor в России в связи с нарушениями норм процессуального права. Владелец ресурса не был привлечен к участию в деле. Дело отправили на новое рассмотрение.
#РКН #Tor #GooglePlay
🔔 ITsec NEWS
💬 Роскомнадзор потребовал от Google LLC удалить Tor Browser из магазина приложений Google Play. Ведомство ссылается на решение саратовского суда, признавшего содержащуюся в Tor Browser информацию запрещенной.
«Суд признал содержащуюся в Tor Browser информацию запрещённой к распространению на территории Российской Федерации, а также само программное приложение, позволяющее получить доступ к запрещённому контенту и способствующее совершению уголовных преступлений», — говорится в сообщении ведомства.
19 мая Саратовский областной суд отменил решение районного суда о блокировке браузера Tor в России в связи с нарушениями норм процессуального права. Владелец ресурса не был привлечен к участию в деле. Дело отправили на новое рассмотрение.
#РКН #Tor #GooglePlay
🔔 ITsec NEWS
☠️ Российские хакеры опубликовали данные о 700 сотрудниках СБУ.
💬 Российская хакерская группа RaHDIt выложила в открытый доступ данные 700 сотрудников Службы безопасности Украины (СБУ). Подлинность сведений подтвердил один из сотрудников российских спецслужб.
Хакерская группа RaHDIt ведет информационный ресурс "Немезида", на котором сегодня выложили сведения о кадровом составе СБУ с фотографиями, телефонами и даже адресами проживания.
#RaHDIt #Хакеры #СБУ
🔔 ITsec NEWS
💬 Российская хакерская группа RaHDIt выложила в открытый доступ данные 700 сотрудников Службы безопасности Украины (СБУ). Подлинность сведений подтвердил один из сотрудников российских спецслужб.
Хакерская группа RaHDIt ведет информационный ресурс "Немезида", на котором сегодня выложили сведения о кадровом составе СБУ с фотографиями, телефонами и даже адресами проживания.
#RaHDIt #Хакеры #СБУ
🔔 ITsec NEWS
⚔️ Коста-Рика снова подверглась кибератаке.
💬 Очередная попытка взлома компьютерной системы государственного управления Коста-Рики привела к отключению IT-системы здравоохранения страны и усложнила медицинское обслуживание тысяч людей. По данным правительства, 30 из 1500 серверов управления социального обеспечения заразились программами-вымогателями.
Атаку совершила банда вымогателей Hive, но аналитик Emsisoft Бретта Кэллоу предположил, что Conti и Hive установили своего рода рабочие отношения.
«Может показаться, что кто-то, кто работает с Conti, также работает с Hive. Conti, вероятно, сотрудничает с другими группировками, потому что Conti становится труднее собирать платежи с тех пор, как они объявили о поддержке со стороны России и угрожают атаками на критически важную инфраструктуру США», — сказал Кэллоу.
Президент агентства социального обеспечения Коста-Рики Альваро Рамос заявил, что быстрое отключение систем помешало киберпреступникам получить контроль и зашифровать данные. Он также добавил, что злоумышленники не потребовали выкуп.
Позже Hive опубликовал требование на своем портале для переговоров с жертвами. «Чтобы расшифровать ваши системы, вы должны заплатить 5 000 000 долларов в биткоинах», — написали Hive.
По словам генерального директора SSA Роберто Сервантеса, системы выплат заработной платы и пенсий не пострадали. Отключение систем также помешало правительству обновить свои данные о заражении COVID-19 на фоне новой волны инфекции. Кроме того, министерство здравоохранения не может уведомлять инфицированных о необходимой изоляции.
Правительство Коста-Рики ожидает, что система заработает в ближайшие дни, так как над её восстановлением работают около 300 специалистов.
Напомним, что кибератака группировки Conti заблокировала системы госучреждений Коста-Рики. По заявлению президента Коста-Рики Родриго Чавеса, количество пострадавших госучреждений от кибератаки группировки Conti в стране увеличилось до 27. Чавес добавил, что 9 учреждений считаются «сильно пострадавшими».
Ранее сообщалось, что Группировка Conti прекратила свою деятельность , но разделилась на более мелкие группы, чтобы продолжить свое влияние в мире киберпреступности.
#КостаРика #Хакеры #Conti
🔔 ITsec NEWS
💬 Очередная попытка взлома компьютерной системы государственного управления Коста-Рики привела к отключению IT-системы здравоохранения страны и усложнила медицинское обслуживание тысяч людей. По данным правительства, 30 из 1500 серверов управления социального обеспечения заразились программами-вымогателями.
Атаку совершила банда вымогателей Hive, но аналитик Emsisoft Бретта Кэллоу предположил, что Conti и Hive установили своего рода рабочие отношения.
«Может показаться, что кто-то, кто работает с Conti, также работает с Hive. Conti, вероятно, сотрудничает с другими группировками, потому что Conti становится труднее собирать платежи с тех пор, как они объявили о поддержке со стороны России и угрожают атаками на критически важную инфраструктуру США», — сказал Кэллоу.
Президент агентства социального обеспечения Коста-Рики Альваро Рамос заявил, что быстрое отключение систем помешало киберпреступникам получить контроль и зашифровать данные. Он также добавил, что злоумышленники не потребовали выкуп.
Позже Hive опубликовал требование на своем портале для переговоров с жертвами. «Чтобы расшифровать ваши системы, вы должны заплатить 5 000 000 долларов в биткоинах», — написали Hive.
По словам генерального директора SSA Роберто Сервантеса, системы выплат заработной платы и пенсий не пострадали. Отключение систем также помешало правительству обновить свои данные о заражении COVID-19 на фоне новой волны инфекции. Кроме того, министерство здравоохранения не может уведомлять инфицированных о необходимой изоляции.
Правительство Коста-Рики ожидает, что система заработает в ближайшие дни, так как над её восстановлением работают около 300 специалистов.
Напомним, что кибератака группировки Conti заблокировала системы госучреждений Коста-Рики. По заявлению президента Коста-Рики Родриго Чавеса, количество пострадавших госучреждений от кибератаки группировки Conti в стране увеличилось до 27. Чавес добавил, что 9 учреждений считаются «сильно пострадавшими».
Ранее сообщалось, что Группировка Conti прекратила свою деятельность , но разделилась на более мелкие группы, чтобы продолжить свое влияние в мире киберпреступности.
#КостаРика #Хакеры #Conti
🔔 ITsec NEWS
🔒 Минцифры: В 99% регионов созданы штабы по кибербезопасности.
💬 Программу по созданию штабов по обеспечению кибербезопасности реализовали в абсолютном большинстве регионов России, сообщает ТАСС со ссылкой на пресс-службу Минцифры РФ.
«Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования», — сообщили в пресс-службе.
В ведомстве отметили, что многие регионы проявили значительную активность и представили собственные предложения по повышению эффективности этой работы. Кроме того, в ближайшей перспективе задачи оперативных штабов будут дополнены мерами по реализации Указа Президента от 1 мая «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
1 июня в газете «Коммерсант» вышла статья, в которой утверждается, что регионы не справляются с поручениями правительства об организации работы по обеспечению кибербезопасностью.
#Россия #Кибербезопасность
🔔 ITsec NEWS
💬 Программу по созданию штабов по обеспечению кибербезопасности реализовали в абсолютном большинстве регионов России, сообщает ТАСС со ссылкой на пресс-службу Минцифры РФ.
«Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования», — сообщили в пресс-службе.
В ведомстве отметили, что многие регионы проявили значительную активность и представили собственные предложения по повышению эффективности этой работы. Кроме того, в ближайшей перспективе задачи оперативных штабов будут дополнены мерами по реализации Указа Президента от 1 мая «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
1 июня в газете «Коммерсант» вышла статья, в которой утверждается, что регионы не справляются с поручениями правительства об организации работы по обеспечению кибербезопасностью.
#Россия #Кибербезопасность
🔔 ITsec NEWS
📬 ФАС и операторы связи запустили сервис для подачи заявок на рекламный спам.
💬 Из-за большого количества жалоб граждан на спам-звонки и SMS, в том числе из-за рубежа с использованием подменных номеров, ведомство совместно с операторами связи запустило сервис обращений граждан к операторам для оперативной блокировки нежелательной рекламы, которая поступает абонентам без их согласия.
От клиентов потребуется ввести ФИО, номер получателя и отправителя, а также краткие данные о поступившей рекламе. Планируется, что потребитель получит оперативный ответ от своего оператора, а номер, с которого поступил спам, будет заблокирован в течение 72 часов всеми компаниями, подключенными к системе.
На сайте ФАС, а также компаний МТС, Tele2 и Мегафон уже появилась возможность пожаловаться на рекламу, поступившую без согласия абонента. В ближайшее время к сервису подключатся и другие мобильные операторы.
#ФАС #Спам
🔔 ITsec NEWS
💬 Из-за большого количества жалоб граждан на спам-звонки и SMS, в том числе из-за рубежа с использованием подменных номеров, ведомство совместно с операторами связи запустило сервис обращений граждан к операторам для оперативной блокировки нежелательной рекламы, которая поступает абонентам без их согласия.
От клиентов потребуется ввести ФИО, номер получателя и отправителя, а также краткие данные о поступившей рекламе. Планируется, что потребитель получит оперативный ответ от своего оператора, а номер, с которого поступил спам, будет заблокирован в течение 72 часов всеми компаниями, подключенными к системе.
На сайте ФАС, а также компаний МТС, Tele2 и Мегафон уже появилась возможность пожаловаться на рекламу, поступившую без согласия абонента. В ближайшее время к сервису подключатся и другие мобильные операторы.
#ФАС #Спам
🔔 ITsec NEWS
🎣 Платформа Telegraph используется для фишинговых кампаний.
💬 Злоумышленники проводят фишинговые атаки на платформе анонимных блогов Telegraph. Они создают временные целевые страницы для кражи учетных данных.
Сервисы электронной почты не отмечают платформу как опасную или подозрительную, и злоумышленники пользуются этим. Фишинговые письма приходили с украденных аккаунтов электронной почты, поэтому мошенники смогли обойти черные списки и спам-листы.
Цель — мошенничество с криптовалютой или кража учетных данных. В некоторых случаях злоумышленники требовали выкуп за конфиденциальность личных данных жертвы. Мошенники предлагали несколько вариантов оплаты.
Специалисты рекомендуют не доверять электронным письмам от неизвестного отправителя и всегда до перехода по ссылке наводить курсор на ссылку, — чтобы увидеть, куда она ведет. А еще до ввода учетных данных нужно убедиться, что сайт не фишинговый.
#Telegraph #Фишинг
🔔 ITsec NEWS
💬 Злоумышленники проводят фишинговые атаки на платформе анонимных блогов Telegraph. Они создают временные целевые страницы для кражи учетных данных.
Сервисы электронной почты не отмечают платформу как опасную или подозрительную, и злоумышленники пользуются этим. Фишинговые письма приходили с украденных аккаунтов электронной почты, поэтому мошенники смогли обойти черные списки и спам-листы.
Цель — мошенничество с криптовалютой или кража учетных данных. В некоторых случаях злоумышленники требовали выкуп за конфиденциальность личных данных жертвы. Мошенники предлагали несколько вариантов оплаты.
Специалисты рекомендуют не доверять электронным письмам от неизвестного отправителя и всегда до перехода по ссылке наводить курсор на ссылку, — чтобы увидеть, куда она ведет. А еще до ввода учетных данных нужно убедиться, что сайт не фишинговый.
#Telegraph #Фишинг
🔔 ITsec NEWS
⚡️ FluBot побежден: спецслужбы берут под контроль инфраструктуру вредоноса, угрожавшего миллиардам пользователей Android.
💬 Европол объявил о уничтожении одного из самых быстро распространяющихся вредоносов — трояна FluBot. В операции по уничтожению вредоносного ПО приняли участие 11 стран.
По данным властей, FluBot активно распространялся через текстовые сообщения, похищал пароли, банковские реквизиты и другую конфиденциальную информацию. Голландская мафия уничтожила нфраструктуру, которая поддерживает троян — вредоносная программа стала неактивной.
Впервые FluBot заметили в декабре 2020 года, — когда вредонос успел волной прокатиться по миру, взломав миллионы устройств. Визитной карточкой трояна стал его способ распространения — безобидные SMS-сообщения. Жертву просили перейти по ссылке и установить приложение для отслеживания посылок или прослушивания фальшивого голосового сообщения.
После установки FluBot запрашивал разрешения на доступ к данным устройства. Получив доступ, хакеры похищали учетные данные банковских приложений и криптовалютных счетов жертв, а потом отключали встроенные механизмы безопасности.
Поскольку вредоносная программа могла получить доступ к списку контактов, она распространялась как лесной пожар, отправляя сообщения со ссылками на FluBot всем контактам жертвы.
По данным Европола, специалисты все еще ищут злоумышленников, распространявших FluBot по всему миру.
#FluBot #Android #Хакеры
🔔 ITsec NEWS
💬 Европол объявил о уничтожении одного из самых быстро распространяющихся вредоносов — трояна FluBot. В операции по уничтожению вредоносного ПО приняли участие 11 стран.
По данным властей, FluBot активно распространялся через текстовые сообщения, похищал пароли, банковские реквизиты и другую конфиденциальную информацию. Голландская мафия уничтожила нфраструктуру, которая поддерживает троян — вредоносная программа стала неактивной.
Впервые FluBot заметили в декабре 2020 года, — когда вредонос успел волной прокатиться по миру, взломав миллионы устройств. Визитной карточкой трояна стал его способ распространения — безобидные SMS-сообщения. Жертву просили перейти по ссылке и установить приложение для отслеживания посылок или прослушивания фальшивого голосового сообщения.
После установки FluBot запрашивал разрешения на доступ к данным устройства. Получив доступ, хакеры похищали учетные данные банковских приложений и криптовалютных счетов жертв, а потом отключали встроенные механизмы безопасности.
Поскольку вредоносная программа могла получить доступ к списку контактов, она распространялась как лесной пожар, отправляя сообщения со ссылками на FluBot всем контактам жертвы.
По данным Европола, специалисты все еще ищут злоумышленников, распространявших FluBot по всему миру.
#FluBot #Android #Хакеры
🔔 ITsec NEWS
⚔️ Эксперты продемонстрировали PoC-атаку вымогательского ПО на IoT и OT.
💬 Специалисты Vedere Labs ИБ-компании Forescout Technologies представили новую PoC-атаку с использованием вымогательского ПО на IoT- и OT-оборудование.
По словам главы исследовательского отдела Vedere Labs Даниэля дос Сантоса, это «первая и единственная в настоящее время работа, совмещающая миры IT, OT и вымогательского ПО для IoT».
Вот как проходит атака: с помощью IP-камеры хакер взламывает IT-инфраструктуру организации и использует полученный доступ для отключения операционно-технологического оборудования. В атаке эксплуатируются существующие известные уязвимости, и новые эксплоиты не предусмотрены.
В ходе атаки злоумышленник взламывает подключенные к сети камеры видеонаблюдения, в частности от Axis и Hikvision. По данным Forescout на этих двух вендоров приходится 77% от всех IP-камер в корпоративных сетях. А еще более полумиллиона устройств используют заводскую конфигурацию VLAN 1, то есть, камеры не настроены должным образом с учетом сегментации сети.
Исследователи показали, как с помощью уязвимостей в камерах злоумышленники могут выполнять команды для получения доступа к Windows-машинам. Оттуда они могут выполнять дальнейшие команды для выявления дополнительных подключенных к камерам машин и машин с ненадежными учетными данными, открывать RDP-порты и прокладывать SSH-туннели.
Затем с помощью полученного доступа злоумышленники могут открывать RDP-сеанс, устанавливать вредоносное ПО и отключать межсетевые экраны и антивирусные решения. Доступ позволяет хакерам повышать свои привилегии, устанавливать вымогательское ПО и криптовалютные майнеры, а также запускать вредоносные исполняемые файлы, нацеленные на OT-системы.
В своем видео специалисты продемонстрировали симуляцию атаки вымогательского ПО на условную больницу. Исследователи получили доступ к IP-камере, а через нее – к сети больницы и выявили программируемый логический контроллер, использующийся для управления HVAC-системой больницы. Повысив свои привилегии, они установили вымогательское ПО и отключили HVAC.
Хотя смоделированная атака слишком специфична, чтобы ее можно было непосредственно применить к какой-либо одной организации, исследование Vedere Labs показывает, как через различные типы подключенного к сети оборудования злоумышленники могут причинить серьезный вред организациям.
#Хакеры #ВымогательскоеПО
🔔 ITsec NEWS
💬 Специалисты Vedere Labs ИБ-компании Forescout Technologies представили новую PoC-атаку с использованием вымогательского ПО на IoT- и OT-оборудование.
По словам главы исследовательского отдела Vedere Labs Даниэля дос Сантоса, это «первая и единственная в настоящее время работа, совмещающая миры IT, OT и вымогательского ПО для IoT».
Вот как проходит атака: с помощью IP-камеры хакер взламывает IT-инфраструктуру организации и использует полученный доступ для отключения операционно-технологического оборудования. В атаке эксплуатируются существующие известные уязвимости, и новые эксплоиты не предусмотрены.
В ходе атаки злоумышленник взламывает подключенные к сети камеры видеонаблюдения, в частности от Axis и Hikvision. По данным Forescout на этих двух вендоров приходится 77% от всех IP-камер в корпоративных сетях. А еще более полумиллиона устройств используют заводскую конфигурацию VLAN 1, то есть, камеры не настроены должным образом с учетом сегментации сети.
Исследователи показали, как с помощью уязвимостей в камерах злоумышленники могут выполнять команды для получения доступа к Windows-машинам. Оттуда они могут выполнять дальнейшие команды для выявления дополнительных подключенных к камерам машин и машин с ненадежными учетными данными, открывать RDP-порты и прокладывать SSH-туннели.
Затем с помощью полученного доступа злоумышленники могут открывать RDP-сеанс, устанавливать вредоносное ПО и отключать межсетевые экраны и антивирусные решения. Доступ позволяет хакерам повышать свои привилегии, устанавливать вымогательское ПО и криптовалютные майнеры, а также запускать вредоносные исполняемые файлы, нацеленные на OT-системы.
В своем видео специалисты продемонстрировали симуляцию атаки вымогательского ПО на условную больницу. Исследователи получили доступ к IP-камере, а через нее – к сети больницы и выявили программируемый логический контроллер, использующийся для управления HVAC-системой больницы. Повысив свои привилегии, они установили вымогательское ПО и отключили HVAC.
Хотя смоделированная атака слишком специфична, чтобы ее можно было непосредственно применить к какой-либо одной организации, исследование Vedere Labs показывает, как через различные типы подключенного к сети оборудования злоумышленники могут причинить серьезный вред организациям.
#Хакеры #ВымогательскоеПО
🔔 ITsec NEWS
⚔️ Калифорнийскую фабрику крупнейшей тайваньской компании атаковали кибервымогатели.
💬 LockBit 2.0, использующая одноименную программу-вымогатель, заявила, что успешно атаковала завод Foxconn в Мексике. Злоумышленники угрожают выложить украденную информацию в сеть 11 июня.
Пока неясно, повлияла ли атака вымогателей на системы операционных технологий фабрики. Издание SecurityWeek связалось с Foxconn, но ответа не получило.
Это не первый случай , когда Foxconn страдает от вымогательского ПО. В декабре 2020 года компания подтвердила, что некоторые из ее систем в США подверглись кибератаке после того, как группа вымогателей DoppelPaymer начала выкладывать в сеть похищенные файлы. Злоумышленники требовали 34 миллиона долларов выкупа в биткоинах.
В феврале ФБР опубликовало индикаторы компрометации для атак LockBit 2.0 и отметило, что операторы этой вредоносной программы проникают в корпоративные сети, покупая доступ к сетям жертв или используя неисправленные уязвимости и эксплоиты нулевого дня.
#LockBit #Кибергвымогатели
🔔 ITsec NEWS
💬 LockBit 2.0, использующая одноименную программу-вымогатель, заявила, что успешно атаковала завод Foxconn в Мексике. Злоумышленники угрожают выложить украденную информацию в сеть 11 июня.
Пока неясно, повлияла ли атака вымогателей на системы операционных технологий фабрики. Издание SecurityWeek связалось с Foxconn, но ответа не получило.
Это не первый случай , когда Foxconn страдает от вымогательского ПО. В декабре 2020 года компания подтвердила, что некоторые из ее систем в США подверглись кибератаке после того, как группа вымогателей DoppelPaymer начала выкладывать в сеть похищенные файлы. Злоумышленники требовали 34 миллиона долларов выкупа в биткоинах.
В феврале ФБР опубликовало индикаторы компрометации для атак LockBit 2.0 и отметило, что операторы этой вредоносной программы проникают в корпоративные сети, покупая доступ к сетям жертв или используя неисправленные уязвимости и эксплоиты нулевого дня.
#LockBit #Кибергвымогатели
🔔 ITsec NEWS
🌐 В России сбои в работе популярных VPN сервисов.
💬 Российские пользователи Proton VPN сообщили о проблемах с подключением к VPN-соединению через сервис. В компании ProtonMail сбои в работе объяснили вероятными попытками российских властей и интернет-провайдеров ограничить доступ к ресурсу.
«Вполне вероятно, что местные интернет-провайдеры и власти мешают VPN-соединениям, и в этом случае мы не сможем решить такие проблемы. Некоторые серверы могут продолжать работать. Мы продолжаем попытки обойти блокировку. Спасибо за ваше терпение и понимание», — написала компания.
В реестрах Роскомнадзора, по данным на утро 2 июня, сайтов protonvpn.com и proton.me нет. По данным Globalcheck, сайт proton.me недоступен на сетях Tele2 и «Ростелекома», protonvpn.com доступен.
Ранее проект GlobalCheck сообщал, что в некоторых областях России начали тестировать блокировку популярных VPN-протоколов. Речь идёт об L2TP, IKEv2 и IPsec.
По данным «Медиазоны» (признана иноагентом), Роскомнадзор начал блокировать VPN-сервисы и необходимую для их работы инфраструктуру еще осенью 2021 года, обосновывая это тем, что VPN-соединение позволяет пользователям получить доступ к запрещенным на территории России ресурсам.
Российские пользователи также сообщают о сбоях в работе NordVPN. По данным Globalcheck, сайт nordvpn.com недоступен на сетях «Ростелекома», МТС, «Мегафона», Tele2, «Билайна», Yota.
В конце мая 2022 года о сбоях в России сообщил VPN-сервис Windscribe. 1 июня компания обновила расширения для браузеров Chrome и Firefox, чтобы сервис снова стал доступен.
Проблемы с доступом также возникли у клиентов сервиса Lantern. А еще пользователи Twitter не могли подключиться к Outline VPN.
#VPN #Россия #Сбои
🔔 ITsec NEWS
💬 Российские пользователи Proton VPN сообщили о проблемах с подключением к VPN-соединению через сервис. В компании ProtonMail сбои в работе объяснили вероятными попытками российских властей и интернет-провайдеров ограничить доступ к ресурсу.
«Вполне вероятно, что местные интернет-провайдеры и власти мешают VPN-соединениям, и в этом случае мы не сможем решить такие проблемы. Некоторые серверы могут продолжать работать. Мы продолжаем попытки обойти блокировку. Спасибо за ваше терпение и понимание», — написала компания.
В реестрах Роскомнадзора, по данным на утро 2 июня, сайтов protonvpn.com и proton.me нет. По данным Globalcheck, сайт proton.me недоступен на сетях Tele2 и «Ростелекома», protonvpn.com доступен.
Ранее проект GlobalCheck сообщал, что в некоторых областях России начали тестировать блокировку популярных VPN-протоколов. Речь идёт об L2TP, IKEv2 и IPsec.
По данным «Медиазоны» (признана иноагентом), Роскомнадзор начал блокировать VPN-сервисы и необходимую для их работы инфраструктуру еще осенью 2021 года, обосновывая это тем, что VPN-соединение позволяет пользователям получить доступ к запрещенным на территории России ресурсам.
Российские пользователи также сообщают о сбоях в работе NordVPN. По данным Globalcheck, сайт nordvpn.com недоступен на сетях «Ростелекома», МТС, «Мегафона», Tele2, «Билайна», Yota.
В конце мая 2022 года о сбоях в России сообщил VPN-сервис Windscribe. 1 июня компания обновила расширения для браузеров Chrome и Firefox, чтобы сервис снова стал доступен.
Проблемы с доступом также возникли у клиентов сервиса Lantern. А еще пользователи Twitter не могли подключиться к Outline VPN.
#VPN #Россия #Сбои
🔔 ITsec NEWS
⚔️ CША официально призналась в проведении наступательных кибератак против России.
💬 В США заявили об отсутствии противоречий в кибератаках и нежелании прямого конфликта с Россией. Любая киберактивность против РФ не является нарушением политики США по предотвращению прямого конфликта с Российской Федерацией, заявила на брифинге пресс-секретарь Белого дома Карин Жан-Пьер.
Пресс-секретарь Белого дома Карин Жан-Пьер прокомментировала заявления главы Киберкомандования США генерала Пола Накасоне, который сказал, что Соединенные Штаты провели серию «цифровых операций» в поддержку Украины.
Выступая в столице Эстонии, генерал заявил, что обеспокоен рисками кибератаки со стороны России против США. Он подчеркнул: активные действия против Москвы в киберпространстве — эффективный способ защиты как Америки, так и союзных держав.
Накасоне впервые подтвердил, что США проводят наступательные кибероперации в поддержку Украины. Он сказал: «Мы провели ряд операций по всему спектру: наступательные, оборонительные и информационные операции».
Генерал не описал эти действия подробно, но объяснил, что атаки законны, осуществлялись под полным гражданским и военным контролем и определялись политикой Министерства обороны.
Ранее США и Европа официально обвинили Россию в серии разрушительных заражений вредоносными программами, стирающими данные, в сетях правительства и частного сектора Украины, и заявили, что «предпримут шаги» для защиты от организованных Кремлем атак и реагирования на них.
#США #Россия #Кибератаки
🔔 ITsec NEWS
💬 В США заявили об отсутствии противоречий в кибератаках и нежелании прямого конфликта с Россией. Любая киберактивность против РФ не является нарушением политики США по предотвращению прямого конфликта с Российской Федерацией, заявила на брифинге пресс-секретарь Белого дома Карин Жан-Пьер.
Пресс-секретарь Белого дома Карин Жан-Пьер прокомментировала заявления главы Киберкомандования США генерала Пола Накасоне, который сказал, что Соединенные Штаты провели серию «цифровых операций» в поддержку Украины.
Выступая в столице Эстонии, генерал заявил, что обеспокоен рисками кибератаки со стороны России против США. Он подчеркнул: активные действия против Москвы в киберпространстве — эффективный способ защиты как Америки, так и союзных держав.
Накасоне впервые подтвердил, что США проводят наступательные кибероперации в поддержку Украины. Он сказал: «Мы провели ряд операций по всему спектру: наступательные, оборонительные и информационные операции».
Генерал не описал эти действия подробно, но объяснил, что атаки законны, осуществлялись под полным гражданским и военным контролем и определялись политикой Министерства обороны.
Ранее США и Европа официально обвинили Россию в серии разрушительных заражений вредоносными программами, стирающими данные, в сетях правительства и частного сектора Украины, и заявили, что «предпримут шаги» для защиты от организованных Кремлем атак и реагирования на них.
#США #Россия #Кибератаки
🔔 ITsec NEWS
🧠 В даркнете выложили базу данных пользователей GeekBrains.
💬 В сеть выложили файл, в котором содержится 100 тысяч строк, предположительно принадлежащих образовательной платформе GeekBrains.
По информации источника, полная база данных содержит 6 млн строк. Базу выложил пользователь, который ранее разместил в свободном доступе базы данных службы доставки Delivery Club», «Школы управления СКОЛКОВО» и якутского портала Ykt.Ru.
В базе содержится 3 поля: адрес электронной почты, ФИО и телефон. Выборочная проверка базы данных через функцию восстановления паролей показала, что база полностью рабочая. Источник утверждает, что полная база данных содержит 6 млн строк.
Недавно была выложена база данных более 700 тысяч строк данных курьеров «Яндекс.Еды», включающих в себя фамилии, имена, отчества, хэшированные пароли и телефоны, а также более 521 тысячи строк с информацией о курьерах Delivery Club.
#Даркнет #Утечка #Слив #GeekBrains
🔔 ITsec NEWS
💬 В сеть выложили файл, в котором содержится 100 тысяч строк, предположительно принадлежащих образовательной платформе GeekBrains.
По информации источника, полная база данных содержит 6 млн строк. Базу выложил пользователь, который ранее разместил в свободном доступе базы данных службы доставки Delivery Club», «Школы управления СКОЛКОВО» и якутского портала Ykt.Ru.
В базе содержится 3 поля: адрес электронной почты, ФИО и телефон. Выборочная проверка базы данных через функцию восстановления паролей показала, что база полностью рабочая. Источник утверждает, что полная база данных содержит 6 млн строк.
Недавно была выложена база данных более 700 тысяч строк данных курьеров «Яндекс.Еды», включающих в себя фамилии, имена, отчества, хэшированные пароли и телефоны, а также более 521 тысячи строк с информацией о курьерах Delivery Club.
#Даркнет #Утечка #Слив #GeekBrains
🔔 ITsec NEWS
🔒 Upwork заблокировала аккаунты пользователей из России и Беларуси.
💬 Платформа Upwork заблокировала аккаунты из Беларуси и России. Пользователи двух стран получили соответствующие письма.
Как написано в сообщении, компания приняла тяжелое решение приостановить бизнес в России и Беларуси. Аккаунты пользователей, которые физически находятся в Беларуси или России, замораживаются.
При этом, если пользователь сможет сменить место жительства, аккаунт разблокируют. В письме дается ссылка на инструкцию по возвращению аккаунта к работе после релокации.
Upwork объявила о приостановке работы в России и Беларуси 7 марта. Все активные контракты должны были быть завершены 1 мая.
#Upwork #Россия #Беларусь
🔔 ITsec NEWS
💬 Платформа Upwork заблокировала аккаунты из Беларуси и России. Пользователи двух стран получили соответствующие письма.
Как написано в сообщении, компания приняла тяжелое решение приостановить бизнес в России и Беларуси. Аккаунты пользователей, которые физически находятся в Беларуси или России, замораживаются.
При этом, если пользователь сможет сменить место жительства, аккаунт разблокируют. В письме дается ссылка на инструкцию по возвращению аккаунта к работе после релокации.
Upwork объявила о приостановке работы в России и Беларуси 7 марта. Все активные контракты должны были быть завершены 1 мая.
#Upwork #Россия #Беларусь
🔔 ITsec NEWS
⚡️ Миллионы Android-смартфонов подвержены критической уязвимости в чипе UNISOC.
💬 В смартфонах на базе чипсета UNISOC обнаружена критическая уязвимость, которая может быть использована для сброса настроек модема смартфона с помощью неправильно сформированного пакета.
«Если уязвимость не будет устранена, хакер или военное подразделение могут использовать ее для нарушения связи», — говорится в отчете израильской компании Check Point.
UNISOС — крупный производитель полупроводников, базирующийся в Шанхае. Компания является четвертым в мире производителем мобильных процессоров после Mediatek, Qualcomm и Apple. По данным Counterpoint Research, на долю UNISOC приходится 10% всех поставок однокристальных систем (SoC) в 3 квартале 2021 года.
Устраненной уязвимости присвоен идентификатор CVE-2022-20210, а ее серьезность оценивается в 9,4 балла по CVSS. Уязвимость связана с переполнением буфера в компоненте, который обрабатывает сообщения Non-Access Stratum (NAS) в прошивке модема, что приводит к отказу в обслуживании.
Исправление CVE-2022-20210 выйдет вместе с бюллетенем безопасности Android за июнь 2022 года. Специалисты рекомендуют установить обновление с исправлением сразу же, как только оно станет доступно.
#Android #Уязвимость #UNISOC
🔔 ITsec NEWS
💬 В смартфонах на базе чипсета UNISOC обнаружена критическая уязвимость, которая может быть использована для сброса настроек модема смартфона с помощью неправильно сформированного пакета.
«Если уязвимость не будет устранена, хакер или военное подразделение могут использовать ее для нарушения связи», — говорится в отчете израильской компании Check Point.
UNISOС — крупный производитель полупроводников, базирующийся в Шанхае. Компания является четвертым в мире производителем мобильных процессоров после Mediatek, Qualcomm и Apple. По данным Counterpoint Research, на долю UNISOC приходится 10% всех поставок однокристальных систем (SoC) в 3 квартале 2021 года.
Устраненной уязвимости присвоен идентификатор CVE-2022-20210, а ее серьезность оценивается в 9,4 балла по CVSS. Уязвимость связана с переполнением буфера в компоненте, который обрабатывает сообщения Non-Access Stratum (NAS) в прошивке модема, что приводит к отказу в обслуживании.
Исправление CVE-2022-20210 выйдет вместе с бюллетенем безопасности Android за июнь 2022 года. Специалисты рекомендуют установить обновление с исправлением сразу же, как только оно станет доступно.
#Android #Уязвимость #UNISOC
🔔 ITsec NEWS
💵 Минцифры: Госкомпаниям нужно увеличить расходы на отечественное ПО.
💬 Минцифры внесло новые коррективы в параметры переориентации госкомпаний на отечественное ПО. Об инициативе сообщил замглавы министерства Максим Паршин.
Госкомпании обязаны нарастить долю совокупных расходов на российское программное обеспечение с 70% до 80%. При этом 70% решений должны представлять собой внешний софт с лицензией компаний, не входящих в холдинг. 30% решений разрешается разрабатывать самостоятельно.
Также Минцифры намерено установить критерии, в соответствии с которыми софт, который разрабатывается внутри, будет монетизироваться на рынке.
Паршин напомнил, что с 1 января 2025 года на важных инфраструктурных объектах будет запрещено закупать и использовать иностранное ПО. В связи с этим Минцифры РФ начало разработку стратегии цифровой трансформации для госкомпаний. В ее рамках планируется полный переход на российское программное обеспечение.
#ПО #Минцифры
🔔 ITsec NEWS
💬 Минцифры внесло новые коррективы в параметры переориентации госкомпаний на отечественное ПО. Об инициативе сообщил замглавы министерства Максим Паршин.
Госкомпании обязаны нарастить долю совокупных расходов на российское программное обеспечение с 70% до 80%. При этом 70% решений должны представлять собой внешний софт с лицензией компаний, не входящих в холдинг. 30% решений разрешается разрабатывать самостоятельно.
Также Минцифры намерено установить критерии, в соответствии с которыми софт, который разрабатывается внутри, будет монетизироваться на рынке.
Паршин напомнил, что с 1 января 2025 года на важных инфраструктурных объектах будет запрещено закупать и использовать иностранное ПО. В связи с этим Минцифры РФ начало разработку стратегии цифровой трансформации для госкомпаний. В ее рамках планируется полный переход на российское программное обеспечение.
#ПО #Минцифры
🔔 ITsec NEWS
💰 Большой куш: операторы ботнета Clipminer заработали 1,7 миллиона долларов.
💬 Троян Clipminer распространяется через взломанное и пиратское ПО, специалисты сравнивают его с KryptoCibule из-за схожих методов работы. По данным Symantec, Clipminer был впервые замечен в январе 2021 года: вскоре после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
После заражения компьютера вредонос может использовать его ресурсы для добычи криптовалюты, а также менять содержимое буфера обмена. Когда Clipminer обнаруживает адрес криптокошелька жертвы в буфере обмена, он заменяет его на адрес криптокошелька злоумышленника.
«Троян умеет распознавать по меньшей мере десяток форматов адресов разных криптовалют», — добавили в Symantec .
Исследователи выявили в общей сложности 4 375 уникальных адресов криптокошельков в составе вредоносной программы, 3 677 из которых используются только для трех различных форматов адресов Bitcoin.
Symantec обнаружила 34,3 Bitcoin и 129,9 Ethereum на некоторых из адресов криптокошельков злоумышленников. По словам специалистов, часть средств была выведена через миксер криптовалют.
«Если учитывать уже выведенные средства, операторы Clipminer заработали не менее 1,7 миллиона долларов только на перехвате буфера обмена», — подвели итоги исследователи.
#Ботнет #Clipminer
🔔 ITsec NEWS
💬 Троян Clipminer распространяется через взломанное и пиратское ПО, специалисты сравнивают его с KryptoCibule из-за схожих методов работы. По данным Symantec, Clipminer был впервые замечен в январе 2021 года: вскоре после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
После заражения компьютера вредонос может использовать его ресурсы для добычи криптовалюты, а также менять содержимое буфера обмена. Когда Clipminer обнаруживает адрес криптокошелька жертвы в буфере обмена, он заменяет его на адрес криптокошелька злоумышленника.
«Троян умеет распознавать по меньшей мере десяток форматов адресов разных криптовалют», — добавили в Symantec .
Исследователи выявили в общей сложности 4 375 уникальных адресов криптокошельков в составе вредоносной программы, 3 677 из которых используются только для трех различных форматов адресов Bitcoin.
Symantec обнаружила 34,3 Bitcoin и 129,9 Ethereum на некоторых из адресов криптокошельков злоумышленников. По словам специалистов, часть средств была выведена через миксер криптовалют.
«Если учитывать уже выведенные средства, операторы Clipminer заработали не менее 1,7 миллиона долларов только на перехвате буфера обмена», — подвели итоги исследователи.
#Ботнет #Clipminer
🔔 ITsec NEWS
⚽️ FIFA оказалась в центре скандала.
💬 Коалиция групп защиты прав детей призвала Федеральную торговую комиссию провести расследование в отношении Electronic Arts. Поступают жалобы: популярная видеоигра FIFA эксплуатирует детей и подростков.
15 групп защиты детей заявили, что использование игровых лутбоксов эксплуатирует детей, обещая конкурентное преимущество и скрывая реальную стоимость предмета. По словам Коалиции, вероятность разблокировки лучших предметов неясна и получение самых желанных карт может стоить тысячи долларов. Группы требуют расследовать факт недобросовестной и вводящей в заблуждение практики EA при разработке лутбоксов.
Лутбоксы содержат карточки игроков, командные комплекты или значки, которые игроки FIFA Ultimate Team могут купить с помощью виртуальной валюты, потратив реальные деньги или накопив валюту в процессе игры.
«С помощью лутбоксов EA использует желание детей соревноваться со своими друзьями», — сказал исполнительный директор Fairplay Джош Голин.
Напомним, что в начале 2022 года мошенники обманули техподдержку EA и похитили топовые учетные записи FIFA.
#FIFA #ElectronicArts
🔔 ITsec NEWS
💬 Коалиция групп защиты прав детей призвала Федеральную торговую комиссию провести расследование в отношении Electronic Arts. Поступают жалобы: популярная видеоигра FIFA эксплуатирует детей и подростков.
15 групп защиты детей заявили, что использование игровых лутбоксов эксплуатирует детей, обещая конкурентное преимущество и скрывая реальную стоимость предмета. По словам Коалиции, вероятность разблокировки лучших предметов неясна и получение самых желанных карт может стоить тысячи долларов. Группы требуют расследовать факт недобросовестной и вводящей в заблуждение практики EA при разработке лутбоксов.
Лутбоксы содержат карточки игроков, командные комплекты или значки, которые игроки FIFA Ultimate Team могут купить с помощью виртуальной валюты, потратив реальные деньги или накопив валюту в процессе игры.
«С помощью лутбоксов EA использует желание детей соревноваться со своими друзьями», — сказал исполнительный директор Fairplay Джош Голин.
Напомним, что в начале 2022 года мошенники обманули техподдержку EA и похитили топовые учетные записи FIFA.
#FIFA #ElectronicArts
🔔 ITsec NEWS
🏦 Банковские трояны угрожают миллиарду пользователей зараженных приложений.
💬 Десять самых распространенных мобильных банковских троянов для Android нацелены на 639 финансовых приложений, которые в совокупности имеют более миллиарда загрузок в Google Play Store. Согласно отчету компании Zimperium , в котором представлен обзор экосистемы Android в первом квартале 2021 года, каждый из десяти вредоносов занял свое уникальное место на рынке по количеству организаций-жертв и особых функций, отличающих один троян от другого.
Больше всех приложений охватывает троян Teabot – у него на счету 410 из 639 отслеживаемых приложений. Прямо за ним находится Exobot с результатом в 324 из 639 приложений.
Больше всех было загружено уязвимое приложение PhonePe. Оно крайне популярно в Индии и имеет 100 миллионов загрузок из Play Store. Binance, популярное приложение для обмена криптовалют, насчитывает 50 миллионов загрузок. Cash App, мобильный платежный сервис для США и Великобритании, также имеет 50 миллионов установок в Play Store. Оба этих приложения также являются целью для нескольких банковских троянов.
Самой популярной среди хакеров целью стало приложение BBVA – глобальный портал онлайн-банкинга с десятками миллионов загрузок. На него нацелены семь из десяти наиболее активных банковских троянов.
#Android #Троян #Банки
🔔 ITsec NEWS
💬 Десять самых распространенных мобильных банковских троянов для Android нацелены на 639 финансовых приложений, которые в совокупности имеют более миллиарда загрузок в Google Play Store. Согласно отчету компании Zimperium , в котором представлен обзор экосистемы Android в первом квартале 2021 года, каждый из десяти вредоносов занял свое уникальное место на рынке по количеству организаций-жертв и особых функций, отличающих один троян от другого.
Больше всех приложений охватывает троян Teabot – у него на счету 410 из 639 отслеживаемых приложений. Прямо за ним находится Exobot с результатом в 324 из 639 приложений.
Больше всех было загружено уязвимое приложение PhonePe. Оно крайне популярно в Индии и имеет 100 миллионов загрузок из Play Store. Binance, популярное приложение для обмена криптовалют, насчитывает 50 миллионов загрузок. Cash App, мобильный платежный сервис для США и Великобритании, также имеет 50 миллионов установок в Play Store. Оба этих приложения также являются целью для нескольких банковских троянов.
Самой популярной среди хакеров целью стало приложение BBVA – глобальный портал онлайн-банкинга с десятками миллионов загрузок. На него нацелены семь из десяти наиболее активных банковских троянов.
#Android #Троян #Банки
🔔 ITsec NEWS
🔍 Исследователь опубликовал новый метод обхода CSP с помощью WordPress.
💬 Техника взлома, разработанная исследователем безопасности Паулосом Йибело, основана на использовании уязвимости вида «same origin method execution», позволяющая атакующему выполнять от имени пользователя непредусмотренные действия. Техника также использует JSONP (дополнение к базовому формату JSON) для вызова функции. Подобные вещи могут позволить скомпрометировать учетную запись WordPress, но только при наличии эксплойта для межсайтового скриптинга (XSS), которого у исследователя пока нет.
Йибело рассказал, что он не пытался использовать этот трюк на реальных сайтах, ограничив применение эксплойта тестовым сайтом.
«Для теста мне бы пришлось ждать пользователя WordPress, затем устанавливать плагин и делать HTML-инъекцию. Это незаконно даже в рамках моей задачи», — объяснил исследователь.
По словам Йибело, он проинформировал WordPress об этом методе взлома еще 3 месяца назад. Но не получив ответа, исследователь решил опубликовать результаты своих трудов в техническом блоге.
Последствия подобной атаки серьезны. Если злоумышленник сможет осуществить HTML-инъекцию, то используя найденную Паулосом уязвимость, хакер сможет модернизировать HTML-инъекцию до полноценного XSS , который в свою очередь может быть повышен до выполнения RCE (удаленного выполнения кода).
Издание The Daily Swig предложило основной команде разработчиков WordPress прокомментировать исследование, но ответа от компании пока не последовало.
#WordPress #Взлом
🔔 ITsec NEWS
💬 Техника взлома, разработанная исследователем безопасности Паулосом Йибело, основана на использовании уязвимости вида «same origin method execution», позволяющая атакующему выполнять от имени пользователя непредусмотренные действия. Техника также использует JSONP (дополнение к базовому формату JSON) для вызова функции. Подобные вещи могут позволить скомпрометировать учетную запись WordPress, но только при наличии эксплойта для межсайтового скриптинга (XSS), которого у исследователя пока нет.
Йибело рассказал, что он не пытался использовать этот трюк на реальных сайтах, ограничив применение эксплойта тестовым сайтом.
«Для теста мне бы пришлось ждать пользователя WordPress, затем устанавливать плагин и делать HTML-инъекцию. Это незаконно даже в рамках моей задачи», — объяснил исследователь.
По словам Йибело, он проинформировал WordPress об этом методе взлома еще 3 месяца назад. Но не получив ответа, исследователь решил опубликовать результаты своих трудов в техническом блоге.
Последствия подобной атаки серьезны. Если злоумышленник сможет осуществить HTML-инъекцию, то используя найденную Паулосом уязвимость, хакер сможет модернизировать HTML-инъекцию до полноценного XSS , который в свою очередь может быть повышен до выполнения RCE (удаленного выполнения кода).
Издание The Daily Swig предложило основной команде разработчиков WordPress прокомментировать исследование, но ответа от компании пока не последовало.
#WordPress #Взлом
🔔 ITsec NEWS
🚀 Хакерская группировка WatchDog запустила новую криптоджекинговую кампанию.
💬 Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию. Злоумышленники используют передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.
WatchDog атакует конечные точки Docker Engine API и серверы Redis. Цель — финансовая выгода путем майнинга криптовалюты с помощью ресурсов незащищенных серверов.
WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375. Это дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.
С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.
В итоге на скомпрометированную машину устанавливается майнер XMRig.
Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.
Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.
Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.
#Хакеры #WathDog
🔔 ITsec NEWS
💬 Хакерская группировка WatchDog проводит новую криптоджекинговую кампанию. Злоумышленники используют передовые методы взлома, червеобразное распространение вредоносного ПО и техники обхода решений безопасности.
WatchDog атакует конечные точки Docker Engine API и серверы Redis. Цель — финансовая выгода путем майнинга криптовалюты с помощью ресурсов незащищенных серверов.
WatchDog запускает атаки, взламывая плохо сконфигурированные конечные точки Docker Engine API через порт 2375. Это дает хакерам доступ к демону в заводских настройках. Далее злоумышленники могут создавать списки и модифицировать контейнеры и запускать на них произвольные команды. Первый запускаемый хакерами скрипт cronb.sh проверяет статус заражения хоста, создает списки процессов и извлекает полезную нагрузку ar.sh для второго этапа атаки.
С помощью перехвата команды ps второй скрипт выполняет процесс, скрывающий shell-скрипт. Вдобавок он также меняет временные метки, чтобы сбить с толку исследователей безопасности.
В итоге на скомпрометированную машину устанавливается майнер XMRig.
Полезная нагрузка для третьего этапа атаки использует zgrab, masscan и pnscan для поиска в сети действительных точек и загружает последние два скрипта для распространения инфекции - c.sh и d.sh.
Первый скрипт, c.sh, отключает SELinux и устанавливает настройки ulimit и iptables для подключения к серверам Redis в скомпрометированной сети, при этом отключая любой другой доступ извне.
Второй скрипт, d.sh, похож на первый, но вместо Redis атакует другие конечные точки Docker Engine API и заражает их вредоносным контейнером Alpine Linux, который запускает скрипт для первоначального доступа cronb.sh.
#Хакеры #WathDog
🔔 ITsec NEWS
