Эксперты Kaspersky ICS CERT обнаружили малварь PseudoManuscrypt, которая с 20 января по 10 ноября 2021 года атаковала более 35 000 компьютеров в 195 странах мира, включая Россию. В числе атакованных — значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории.
Исследователи говорят, что не менее 7,2% компьютеров, атакованных PseudoManuscrypt, являются частью систем промышленной автоматизации (АСУ ТП) в организациях различных отраслей.
Вредонос получил название PseudoManuscrypt, поскольку его загрузчик схож с загрузчиком малвари Manuscrypt, входящего в арсенал хак-группы Lazarus.
Загрузчик PseudoManuscrypt попадает в систему посредством...
Ранее отключенный ботнет Phorpiex возродился с новой одноранговой инфраструктурой управления и контроля, что затрудняет нарушение работы вредоносного ПО.
Ботнет впервые был запущен в 2016 году и за годы быстро собрал огромную армию из более чем 1 миллиона устройств.
Вредоносная программа приносит доход своим разработчикам, заменяя адреса криптовалюты, скопированные в буфер обмена Windows, адресами, находящимися под их контролем, или рассылая спам-сообщения электронной почты, чтобы напугать людей и заставить их платить по требованию вымогательства.
Однако после более чем пяти лет разработки операторы Phorpiex закрыли свою инфраструктуру и попытались продать исходный код ботнета на хакерском форуме.
Хотя неизвестно, могут ли...
Масштабное фишинговое исследование показывает, кто чаще клюет на приманку
Крупномасштабное фишинговое исследование с участием 14 733 участников в течение 15-месячного эксперимента дало некоторые удивительные результаты, которые противоречат результатам предыдущих исследований, которые легли в основу популярных отраслевых практик.
Исследование было проведено исследователями ETH Zurich в сотрудничестве с неназванной компанией, которая не проинформировала участников о смоделированной фишинговой программе.
Для проведения теста исследователи отправляли поддельные фишинговые электронные письма на обычные рабочие адреса электронной почты участников и использовали кнопку почтового клиента, которая позволяла им легко сообщать о...
В USB Gadget, подсистеме ядра Linux, предоставляющей программный интерфейс для создания клиентских USB-устройств и программной симуляции USB-устройств, выявлена уязвимость (CVE-2021-39685), которая может привести к утечке информации из ядра, краху или выполнению произвольного кода на уровне ядра. Атака производится непривилегированным локальным пользователем через манипуляции с различными классами устройств, реализованными на базе API USB Gadget, такими, как rndis, hid, uac1, uac1_legacy и uac2.
Проблема устранена в опубликованных на днях обновлениях ядра Linux 5.15.8, 5.10.85, 5.4.165, 4.19.221, 4.14.258, 4.9.293 и 4.4.295. В дистрибутивах проблема пока остаётся неисправленной (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch). Для...
Последний в этом году, декабрьский «вторник обновлений» принес патчи для шести 0-day уязвимостей в продуктах Microsoft. Среди них был баг в Windows AppX Installer, которым для распространения злоупотребляла малварь Emotet.
В этом месяце Microsoft исправила 67 уязвимостей в своих продуктах, семь из которых классифицированы как критические, а 60 — как важные. Отдельно Microsoft исправила 16 недостатков багов в Microsoft Edge, в результате общее количество ошибок составило 83.
Интересно, что согласно данным ZDI, последняя партия исправлений довела общее количество исправленных в 2021 году багов до 887, а это почти на 30% меньше, чем в 2020 году.
Одним из главных исправлений этого месяца стал патч для проблемы CVE-2021-43890 (7,1 балла...
Знаменитый банковский троян Anubis, атакующий владельцев мобильных устройств на Android, снова в деле. В новой кампании операторы вредоноса поразили почти 400 различных финансовых приложений и криптовалютных кошельков, из которых зловред пытался украсть деньги.
По словам специалистов компании Lookout, зафиксировавших новые атаки, киберкампания всё ещё находится в фазе тестирования и оптимизации. Возможно, в будущем преступники нарастят обороты и выйдут на другие масштабы. Напомним, что впервые Anubis появился на одном из российских киберпреступных форумов в 2016 году. Тогда злоумышленники опубликовали исходный код трояна, а также приложили инструкцию по использованию для желающих получить с его помощью прибыль.
В дальнейшем...
11:46 / 15 Декабря, 2021
РоскомнадзорМинцифры
Минцифры изменило порядок передачи данных мобильных абонентов операторами. Это один из шагов по борьбе с «серыми» SIM-картами.
Как пишет «Коммерсант», Минцифры изменило порядок передачи данных о разговорах и трафике мобильных абонентов Роскомнадзору по закону о борьбе с серыми сим-картами, подготовив проект постановления правительства.
По действующей редакции закона операторы должны отключить всех клиентов, которые не успели зарегистрироваться до 1 декабря, но 30 ноября стало известно, что Минцифры планирует продлить переходный период. Для проверки исполнения требований Роскомнадзор по закону сможет запрашивать данные абонентов мобильной связи.
Также из перечня передаваемых сведений...
Приложение просто вылетает при каждой попытке запуска
Появились сведения о том, что многие пользователи iPhone не могут запустить популярное приложение для обмена сообщениями WhatsApp. На данный момент проблема существует на смартфонах серии iPhone 13 более старых моделях Apple по всему миру.
Согласно многочисленным твитам в Twitter от пользователей iPhone, мессенджер WhatsApp внезапно перестал работать. Приложение просто вылетает при каждой попытке запуска. В результате владельцы iPhone потеряли доступ к истории переписок и не могут отправлять сообщения.
Примечательно, что за последние дни не выходило никаких обновлений для WhatsApp, при этом даже бета-версия сборки столкнулась с этой проблемой. Предположительно, проблема может быть...
Обновление Windows 11 KB5008215 выпущено с приложением, исправления VPN
Лоуренс Абрамс
Корпорация Майкрософт выпустила накопительное обновление Windows 11 KB5008215 для исправления уязвимостей и ошибок системы безопасности, появившихся в предыдущих версиях.
KB5008215 - это обязательное накопительное обновление, содержащее обновления безопасности, улучшения производительности и исправления ошибок для Windows 11 21H2.
Вы можете установить это обновление, выбрав « Пуск» > « Настройка» > « Центр обновления Windows» и нажав «Проверить наличие обновлений» .
Обновление KB5008215 предлагается в Центре обновления Windows
Пользователи Windows 11 также могут вручную загрузить и установить обновление KB5008215 из каталога Центра...
Microsoft развертывает поддержку сквозного шифрования (E2EE) для Teams. После анонса функции в начале этого года и тестирования общедоступной предварительной версии с октября приложение получает дополнительную поддержку безопасности E2EE для индивидуальных вызовов.
С сегодняшнего дня всем пользователям Teams стало доступно обновление, которое дает администраторам возможность включать и контролировать сквозное шифрование для индивидуальных звонков.
«Множество корпоративных клиентов в США и Европе в таких отраслях, как аэрокосмическая промышленность, производство, телекоммуникации и профессиональные услуги, находятся в процессе развертывания вызовов E2EE для своих команд», — объясняет Джон Грушчик, технический менеджер по продуктам в...
В реализации подстановок JNDI в библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов.
Уязвимость проявляется только на системах, в которых при журналировании используются контекстные...
Вредоносное ПО для кражи информации TinyNuke вновь появилось в новой кампании, нацеленной на французских пользователей, с помощью приманок на тему счетов-фактур в электронных письмах, отправляемых на корпоративные адреса и лиц, работающих в сфере производства, технологий, строительства и бизнес-услуг.
Цель этой кампании - украсть учетные данные и другую личную информацию и установить дополнительные полезные данные в скомпрометированной системе.
Возрождение TinyNuke
Активность вредоносного ПО TinyNuke впервые появилась в 2017 году, достигла кульминации в 2018 году, затем значительно снизилась в 2019 году и почти исчезла в 2020 году.
Наблюдение за новыми атаками, развертывающими конкретную разновидность вредоносного ПО в 2021 году...
Google выпустила Chrome 96.0.4664.110 для Windows, Mac и Linux, чтобы устранить серьезную уязвимость нулевого дня, эксплуатируемую в «дикой природе».
«Google осведомлен о сообщениях о том, что эксплойт для CVE-2021-4102 существует в дикой природе», - заявил поставщик браузера в сегодняшнем информационном бюллетене по безопасности .
Хотя компания заявляет, что это обновление может занять некоторое время, чтобы достичь всех пользователей, обновление уже начало развертывание Chrome 96.0.4664.110 по всему миру в канале стабильного рабочего стола.
Обновление было доступно сразу после того, как BleepingComputer проверил наличие новых обновлений в меню Chrome> Справка> О Google Chrome. Браузер также автоматически проверит наличие последних...
Microsoft
проигнорировала сообщения об уязвимости
Немецкие исследователи кибербезопасности из Positive Security нашли уязвимость в операционных системах Windows 10 и 11. По их заявлениям, Microsoft проигнорировала сообщения о новой уязвимости в ее операционных системах.
Так называемые «белые хакеры» из Берлина обнаружили в Windows 10 и 11 уязвимость, приводящую к удалённому выполнению кода, так называемую уязвимость класса «drive-by» (скрытая загрузка). Проблема кроется в стандартном обработчике URI вида «ms-officecmd:» и допускает «argument injection» (инъекцию аргумента).
Специалисты по безопасности выложили видео и подробное описание выявленной проблемы к себе на сайт. Они неоднократно упоминают, что нашли довольно серьезную...
Противостояние между майнерами и алгоритмом NVIDIA LHR продолжается. На этот раз очередную победу одержали майнеры
Уже более чем полгода хакеры бьются с хитроумным алгоритмом NVIDIA LHR, который снижает хершейт во время добычи Эфира. В какой-то момент удалось разблокировать показатели с 50% до 70%, но на этом всё остановилось. Судя по всему, руководство компании NVIDIA настолько уверено в эффективности блокировки, что даже заявляет о несокрушимости программной заплатки. Стоит отметить, что в реальности подобные меры лишь отчасти снизили интерес майнеров к новой серии видеокарт.
Кто-то ждёт полной разблокировки в самое ближайшее время. Другие полагают, что и в текущем состоянии карты приносят неплохую прибыль. Похоже, вскоре владельцам...
Аналитики из Recorded Future и MalwareHunterTeam обнаружили шифровальщика ALPHV (он же BlackCat). Исполняемый файл вымогателя написан на Rust, что нетипично вредоносных программ, но такой подход постепенно набирает популярность среди киберпреступников из-за высокой производительности и безопасности памяти.
Сами разработчики вредоноса называют его ALPHV и активно продвигают свою малварь на русскоязычных хак-форумах. Однако из-за того, что на сайте злоумышленников используется икнока, с изображением черного кота, исследователи окрестили вредоноса BlackCat.
Технически этот вымогатель является уже третьим шифровальщиком, написанным на Rust: в 2020 году на GitHub был опубликован PoC-вредонс такого рода, и в том же году был замечен уже...
Операторы ботнета Dark (MANGA) начали эксплуатировать уязвимость удаленного выполнения кода в домашнем маршрутизаторе TP-Link TL-WR840N EU V5.
TP-Link TL-WR840N EU V5
CVE-2021-41653 связана с переменной host. Авторизованный злоумышленник может использовать ее для выполнения команд на устройстве.
Для успешной атаки необходимо несколько шагов. Клиент TFTP может использоваться для копирования файлов от злоумышленника на маршрутизатор / Матек Камильо
TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Но проблема в том, что многие пользователи еще не применили обновление безопасности.
Исследователь кибербезопасности Матек Камильо, обнаруживший уязвимость, опубликовал PoC-код для...
«Бесплатного сыра» не бывает
Российские хакеры начали распространение ПО, позиционирующегося как генератор QR-кодов о прохождении вакцинации. Как сообщили CNews представители компании «Доктор Веб», за ней скрывается хитро спрятанный троян, который, к тому же, подгружает еще два не менее опасных вредоноса.
Распространяется программа через наспех созданный сайт, на котором говорится, что каждый может получить на руки лишь один код, и что до 15 декабря 2021 г. эта услуга якобы полностью бесплатна, а после обойдется всего лишь в 150 руб. Инструкция по установке гласит, что от пользователя требуется лишь ввести свои персональные данные (ФИО и др.), после чего программа сгенерирует код, ведущий на поддельную страницу «Госуслуг» с информацией...
По мере увеличения размера и частоты кампаний QBot исследователи ищут способы разорвать цепочку распространения трояна и устранить угрозу.
За последние несколько лет Qbot (Qakbot или QuakBot) превратился в широко распространенное вредоносное ПО для Windows, которое позволяет злоумышленникам красть банковские учетные данные и учетные данные домена Windows, распространяться на другие компьютеры и предоставлять удаленный доступ бандам вымогателей.
Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.
Банды программ-вымогателей, которые, как известно, использовали Qbot для...
9 декабря 360 Security Center проверил, что Apache официально выпустил версию log4j-2.15.0-rc1 7 декабря 2021 года. Согласно исследованию и заключению экспертов по безопасности 360 Group, эта версия позволяет обходить риски и риски безопасности. Производитель выпустил последнюю версию log4j-2.15.0-rc2, пожалуйста, обновите ее как можно скорее.
После включения функции ведения журнала компонент может быть успешно использован путем вставки кода эксплойта везде, где может быть запущен журнал ошибок. Если журнал, записываемый этим компонентом, содержит журнал других систем, это может вызвать непрямое заражение. Через промежуточную систему компонент косвенно считывает агрессивный код эксплойта, который также может косвенно вызвать...