Злоумышленники могут использовать уязвимости, обнаруженные в спецификациях Bluetooth Core и Mesh Profile, чтобы выдавать себя за легитимные устройства в процессе сопряжения и запускать атаки типа «человек посередине» (MitM).
Спецификации Bluetooth Core и Mesh Profile определяют требования, необходимые для устройств Bluetooth для связи друг с другом, а также для устройств Bluetooth, использующих беспроводную технологию с низким энергопотреблением, чтобы обеспечить возможность взаимодействия сетевых решений для ячеистой сети.
Успешное использование уязвимостей, обнаруженных и заявленных исследователями из Национального агентства безопасности информационных систем (ANSSI), может позволить злоумышленникам запускать атаки MitM, находясь в...
Web-страницы поддельных пакетов содержат ссылки на стриминговые сайты с пиратским контентом.
Злоумышленники заполняют официальный репозиторий программных пакетов Python Package Index (PyPI) спам-пакетами, названными в честь форумов и сайтов с пиратским контентом. Каждый из многочисленных пакетов публикуется уникальной учетной записью, что затрудняет их удаление и эффективную борьбу со спамерскими аккаунтами.
Проблему обнаружил специалист Адам Бош (Adam Boesch) из компании Sonatype, который проводил аудит набора данных и заметил необычный компонент PyPI, названный в честь популярного телесериала.
Хотя некоторым из этих пакетов уже несколько недель, спамеры до сих пор продолжают добавлять новые пакеты в PyPI. Результаты поисковых...
Разработчики вымогателя Zeppelin возобновили свою деятельность после периода относительного молчания, начавшегося прошлой осенью, и начали рекламировать новые версии вредоносного ПО.
Недавний вариант вредоносного ПО стал доступен на хакерском форуме в конце прошлого месяца, предлагая киберпреступникам, занимающимся программами-вымогателями, полную независимость.
Новые версии в продаже
Программа-вымогатель Zeppelin также известна как Buran и происходит из семейства Vega / VegaLocker, программы-вымогателя как услуги (RaaS) на базе Delphi, которая наблюдалась на русскоязычных хакерских форумах в 2019 году.
Однако разработчики штамма вымогателя Zeppelin продают его на подпольных форумах, позволяя покупателям решать, как они хотят...
Компания Microsoft предупредила об атаках малвари STRRAT, которая имитирует поведение шифровальщика, но на самом деле таковым не является.
STRRAT представляет собой троян удаленного доступа (RAT), написанный на Java и впервые замеченный в 2020 году. Малварь может действовать как бэкдор на зараженных хостах и ориентирована на кражу данных из зараженных систем. Согласно прошлогоднему техническому анализу немецкой ИБ-компании G DATA, данная малварь имеет широкий спектр функций, от кражи учетных данных до модификации локальных файлов.
К примеру, STRRAT способен похищать учетные данные из следующих браузеров и почтовых клиентов: Firefox, Internet Explorer, Chrome, Foxmail, Outlook и Thunderbird. Также вредонос может выполнять кастомный...
Проблемы существует из-за неправильной конфигурации баз данных в реальном времени, push-уведомлений и ключей облачного хранилища.
По данным исследования ИБ-компании Check Point, из-за неправильной конфигурации ряд Android-приложений раскрывают конфиденциальные данные более 100 млн пользователей.
«Не следуя лучшим практикам конфигурирования и интегрирования сторонних облачных сервисов с приложениями, разработчики подвергают риску персональные данные миллионов пользователей. Во многих случаях проблема затрагивает пользователей, но в некоторых – и самих разработчиков. Неправильная конфигурация подвергает риску персональные данные пользователей и внутренние ресурсы разработчиков, такие как доступ к механизмам обновления, хранилища и...
Microsoft выпустила SimuLand, лабораторную среду с открытым исходным кодом, чтобы помочь протестировать и улучшить защиту Microsoft 365 Defender, Azure Defender и Azure Sentinel от реальных сценариев атак.
SimuLand испытательные лаборатории «обеспечивают случаи использования из различных источников данных , включая телеметрию от Microsoft 365 безопасности продуктов Defender, Azure Защитнику и других интегрированных источников данных через разъемы данных Azure Стражей,» MSTIC Threat Исследователь Роберто Родригес сказал .
Лабораторные среды, развернутые с помощью SimuLab, могут помочь экспертам по безопасности «активно тестировать и проверять эффективность соответствующих обнаружений Microsoft 365 Defender, Azure Defender и Azure...
Специалисты Palo Alto Networks подсчитали, что каждый час злоумышленники начинают новые сканирования в поисках уязвимых систем, и в целом действуют намного быстрее, чем компании, которым на исправлением багов требуется время. Если же в сети появляется информация о каких-то критических уязвимостях, хакеры действуют еще быстрее: новые сканирования запускаются в течении нескольких минут.
Чтобы собрать эту статистику, эксперты Palo Alto Networks с января по март 2021 года изучали различные сканы 50 000 000 IP-адресов 50 глобальных предприятий, некоторые из которых входят в список Fortune 500.
Выяснилось, что в среднем компаниям требуется около 12 часов на обнаружение и исправление новой серьезной уязвимости. Причем почти треть...
Майские патчи от Google, предназначенные для мобильной операционной системы Android, устраняют опасные уязвимости, среди которых особо выделяются четыре 0-day, уже фигурирующие в реальных кибератаках.
Бреши нулевого дня получили идентификаторы CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 и CVE-2021-28664. Они затрагивают графические процессоры Qualcomm и драйверы Arm Mali GPU.
Как отметили исследователи Google Project Zero, соответствующие кибератаки поразили ограниченное число пользователей. Специалисты также дали пояснения к каждой из пропатченных дыр:
CVE-2021-1905 — проблема «Use After Free» в Graphics. Существует из-за некорректной обработки памяти.
CVE-2021-1906 — эта брешь возникла благодаря неправильной перерегистрации...
Проведенное в Trend Micro исследование показало, что 47% эксплойтов, пользующихся спросом на черном рынке, ориентированы на уязвимости в продуктах Microsoft. Почти в половине случаев покупателей интересуют инструменты для уязвимостей, выявленных два года назад и ранее. Эти цифры озвучила Маира Фуэнтес (Mayra Rosario Fuentes), выступая с докладом на конференции RSA, проходящей в США.
Эксперты два года (с января 2019 по декабрь 2020) изучали объявления о купле-продаже эксплойтов на подпольных англо- и русскоязычных форумах, общим числом более 600. Собранная ими статистика полезна не только для специалистов, но и для пользователей ИТ-продуктов — она помогает сориентироваться в потоке патчей и точнее расставлять приоритеты при их...
Программа-вымогатель MountLocker теперь использует корпоративные API-интерфейсы Windows Active Directory для проникновения через сети.
MountLocker начал работать в июле 2020 года как программа-вымогатель как услуга (RaaS), где разработчики отвечают за программирование программного обеспечения-вымогателя и сайта платежей, а аффилированные лица нанимают для взлома предприятий и шифрования их устройств.
В рамках этой договоренности основная команда MountLocker получает меньшую долю в размере 20-30% от суммы выкупа, а аффилированное лицо получает остальную часть.
В марте 2021 года появилась новая группа вымогателей под названием Astro Locker, которая начала использовать настроенную версию вымогателя MountLocker с примечаниями о выкупе...
Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.
Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.
Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в...
Распространители пиратского контента научились обходить блокировки, введенные поисковиками «Яндекса», Mail.ru Group и Rambler согласно меморандуму, принятому 2,5 года назад. По данным Group-IB, в текущем году в черный список были внесены 6 млн ссылок на пиратский контент; более 1 млн из них по-прежнему доступны в «Яндексе».
Упомянутый меморандум был принят действующими в России поисковиками в 2018 году. Он предполагает создание и ведение реестра источников пиратского контента и удаление соответствующих ссылок из поисковой выдачи в течение нескольких часов.
По словам экспертов, эта мера пресечения противоправной деятельности оказалась эффективной: с момента подписания меморандума «Яндекс» удалил из поисковой выдачи более 15 млн...
С февраля 2021 года было обнаружено как минимум четыре различные версии вредоносной кампании.
Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.
По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.
«Кампания по распространению RAT начинается со скрипта, скомпилированного AutoHotKey (AHK). Автономный исполняемый файл содержит интерпретатор AHK, скрипт AHK и любые файлы, внедренные с помощью команды FileInstall. В этой кампании злоумышленники включают...
Специалисты в области кибербезопасности обнаружили более 150 фейковых банковских и криптовалютных приложений, разработанных для кражи пользовательских средств. Программное обеспечение рассчитано на тех, кто плохо знаком с фондовым рынком и торговлей криптоактивами.
По данным экспертов IT-компании Sophos, вредоносные приложения для Android и iOS используют единый сервер, что свидетельствует о том, что за их деятельностью стоит одна преступная группа. Это предположение косвенно подтверждается общими элементами в дизайне программ, а также единым стилем общения фальшивых групп поддержки.
По имеющимся данным, мошенники использовали разнообразные методы социальной инженерии, чтобы поощрить людей устанавливать вредоносные приложения, в том...
Разработчики библиотеки fingerprintjs, позволяющей генерировать идентификаторы браузера в пассивном режиме на основе косвенных признаков, таких как разрешение экрана, особенностей WebGL, списки установленных плагинов и шрифтов, представили новый метод идентификации, основанный на оценке установленных у пользователя типовых приложений и работающий через проверку поддержки в браузере дополнительных обработчиков протоколов. Код скрипта с реализацией метода опубликован под лицензий MIT.
Проверка осуществляется на основе анализа привязки обработчиков к 32 популярным приложениями. Например, определив наличие в браузере обработчиков схем URL telegram://, slack:// и skype:// можно сделать вывод о наличии в системе приложений telegram, slack и...
Если Babuk продолжит осуществлять атаки быстрыми темпами, группировка может стать серьезной угрозой, как и Egregor.
Команда специалистов Sogeti CERT ESEC Threat Intelligence (CETI) провела анализ деятельности операторов вымогательского ПО Babuk и рассказала, как быстро новая группировка может приспособиться к проведению одиночного, двойного и даже тройного вымогательства. Не менее быстро операторы Babuk перешли на бизнес-модель «вымогательское-ПО-как-услуга», начав нанимать партнеров на подпольных русскоязычных форумах.
В отличие от других вымогателей, участники Babuk размещают рекламные сообщения на английском языке на популярных хакерских форумах. Во вредоносном ПО Babuk также отсутствует так называемая мера безопасности «Kill...
Мэти Ванхоф (Mathy Vanhoef), автор атаки KRACK на беспроводные сети, раскрыл сведения о 12 уязвимостях, затрагивающих различные беспроводные устройства. Выявленные проблемы представлены под кодовым именем FragAttacks и охватывают практически все находящиеся в обиходе беспроводные платы и точки доступа - из протестированных 75 устройств каждое было подвержено как минимум одному из предложенных методов атаки.
Проблемы разделены на две категории: 3 уязвимости выявлены непосредственно в стандартах Wi-Fi и охватывают все устройства, поддерживающие актуальные стандарты IEEE 802.11 (проблемы прослеживаются с 1997 года). 9 уязвимостей касаются ошибок и недоработок в конкретных реализациях беспроводных стеков. Основную опасность представляет...
ФБР заявила, за атаку на трубопровод крупного поставщика бензина и нефтепродуктов Colonial Pipeline в США ответственны распространители программы-криптовымогателя DarkSide. Исследователь безопасности Брайан Кребс выяснил, что хакеры не атакуют системы в странах бывшего советского блока.
Нью-Йоркская компания киберразведки Flashpoint заявила, что атака DarkSide не была нацелена на ущерб национальной инфраструктуре, а связана с вымогательством. Ранее хакеры из группы уже предпринимали подобные действия в отношении других компаний с солидным капиталом.
В самой DarkSide подтвердили, что «не участвуют в геополитике», а «зарабатывают деньги». Группа обещала принять меры для того, чтобы подобных атак с серьезными последствиями для общества...
Исследователи разработали способ отслеживать пользователя в разных браузерах на одном компьютере, запрашивая установленные на устройстве приложения.
Определенные приложения при установке создают настраиваемые схемы URL-адресов, которые браузер может использовать для запуска URL-адреса в определенном приложении.
Например, настраиваемая схема URL-адресов для веб-конференции Zoom - zoommtg: //, которая при открытии предложит браузеру запустить клиент Zoom, как показано ниже.
Приложение, открытое через обработчик URL-адресов клиента.
Приложение, открытое через обработчик URL-адресов клиента.
Существует более сотни различных обработчиков URL-адресов, настраиваемых приложениями, включая Slack, Skype, Windows 10 и даже Steam...
Сайт несуществующей компании SecuriElite
В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции.
Злоумышленники использовали новые 0-day, которые срабатывают в последних версиях Windows 10 и Chrome. Кроме того, исследователям предлагали поучаствовать в совместном проекте Visual Studio и по их запросу предоставляли DLL якобы с кодом эксплоита (хэш DLL на VirusTotal). Такой вектор социальной инженерии встречается впервые в мире.
Как показало расследование, хакерская группа контактировала с исследователями безопасности через поддельные аккаунты в социальных сетях Twitter и LinkedIn.
Фейковые...