Новости информационной безопасности

Защитник Windows начал обнаруживать измененные файлы HOSTS и определять их как угрозу «SettingsModifier: Win32 / HostsFileHijack». Компания Microsoft с конца июля нынешнего года начала определять файлы HOSTS, блокирующие серверы телеметрии Windows 10, как серьезную угрозу безопасности. HOSTS представляет собой текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от системы DNS, содержимое файла задается администратором компьютера. Файл расположен по адресу C:\Windows\system32\driver\etc\HOSTS, и редактировать его может только программа с правами администратора. Данный файл обычно используется для...

Единственный способ, с помощью которого компания могла получить ключ для расшифровки файлов, - заплатить вымогателям. Американский производитель цифровых устройств для навигации, активного отдыха и занятий спортом, компания Garmin, восстановила свои данные после атаки вымогательского ПО WastedLocker с помощью ключа для дешифровки. Напомним, 23 июля нынешнего года пользователи по всему миру не могли получить доступ к подключенным сервисам, в том числе к Garmin Connect, flyGarmin, Strava и inReach. Хотя сама компания не раскрыла характер инцидента, согласно публикациям ее сотрудников в соцсетях, Garmin стала жертвой вымогательского ПО WastedLocker, зашифровавшего ее сети и потребовавшего выкуп в размере до $10 млн. Через несколько дней...

В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5. Плагин wpDiscuz предоставляет возможность использования AJAX для динамической отправки комментариев без перезагрузки страницы. Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям. Для ограничения загрузки произвольных файлов вызывалась функция определения MIME-типа по содержимому, которую было легко обойти для...

Причиной включения утилиты CCleaner в список является то, что пробные версии CCleaner поставляются в комплекте с приложениями которые не требуются для функционирования программы CCleaner или производятся тем же издателем Piriform. А именно Google Chrome Google Toolbar Avast Free Antivirus AVG Antivirus Free Такое поведение попадает в один из критериев PUA. CCleaner представляет собой утилиту для удаления "мусорных файлов", "очистки реестра" и "оптимизации производительности Windows", разработанную компанией Piriform. В 2017 году Avast приобрела Piriform, а в 2018 в программу была добавлена функция «мониторинга и сбора данных». Проблема заключалась в том, что данная функция отправляла на серверы Avast различную информацию...

В июне текущего года специалисты предупреждали, что 79 моделей маршрутизаторов Netgear уязвимы перед серьезным багом, который может позволить хакерам удаленно захватить полный контроль над устройством. Уязвимость затрагивает 758 различных версий прошивки, которые использовались в 79 роутерах Netgear на протяжении многих лет, причем некоторые версии прошивки можно найти на устройствах, выпущенных еще в далеком 2007 году. Проблема связана с компонентом веб-сервера, который входит в состав прошивок Netgear. Данный веб-сервер используется для обеспечения работы встроенной панели администрирования. Как оказалось, сервер некорректно проверяет вводимые пользователем данные, не использует canary's куки для защиты памяти, а бинарник сервера...

На этой неделе ИБ-эксперт Нил Кравец (Neal Krawetz), который сам управляет несколькими узлами Tor, обнародовал детали двух уязвимостей нулевого дня, затрагивающих саму сеть Tor и Tor Browser. Исследователь говорит, что разработчики Tor уже не раз отказывались исправлять найденные им проблемы, поэтому он решил придать уязвимости огласке. Хуже того, Кравец обещает обнародовать информацию еще о трех 0-day багах в ближайшее время, и одна из них может использоваться для раскрытия реальных IP-адресов серверов Tor. Первую 0-day проблему специалист описал в своем блоге 23 июля 2020 года. В этой статье он рассказал, как компании и интернет-провайдеры могут блокировать подключение пользователей к сети Tor. Для этого требуется лишь сканировать...

Эксперты компании Check Point подвели итоги первых шести месяцев 2020 года и представили отчет о самых активных киберугрозах первого полугодия. Отчет гласит, что в среднем на одну компанию в России приходилось 570 атак в неделю, причем среднее по миру число атак на одну организацию составило 474. Динамика изменения среднего числа атак на организации в неделю в России и в мире за первое полугодие 2020 года Исследователи рассказывают, что мошенники активно использовали пандемию и связанные с ней темы для развертывания атак. Так, в первом полугодии ландшафт киберугроз выглядел следующим образом. Атаки на облачную среду. Масштабы облачных атак продолжают расти, при этом неправильная конфигурация облачных ресурсов по-прежнему является...

В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью. Атакующий может скомпрометировать процесс верификации не только Linux, но и других операционных систем, включая Windows. Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых...

Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot. Хотя работу ботнета пытаются саботировать неизвестные "доброжелатели", подменяя пейлоады фалами GIF, Emotet все же стал одной из самых активных угроз последних недель. TOP10 last week's threats by uploads #Emotet 1371 (315) #njRAT 150 (146) #AgentTesla 118 (176) #FormBook 105 (121) #NanoCore 75 (84) #AsyncRAT 61 (49) #LokiBot 57 (67) #Qealler 55 (106) #Masslogger 44 (38) #Remcos 42 (68) Malware...

Специалисты «Лаборатории Касперского» сообщают, что северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала использовать новое вымогательское ПО, получившее имя VHD. С точки зрения функциональности VHD представляет вполне стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, ведонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server). Эксперты исследовали два инцидента...

Киберпреступная группировка Ngrok использует троян Doki в криптомайнинговых операциях. Времена, когда вредоносного ПО для Linux практически не существовало, давно канули в Лету. В настоящее время сообщения об угрозах для Linux появляются почти каждую неделю. К примеру, недавно специалисты ИБ-компании Intezer Labs представили подробный анализ нового трояна Doki, которым обзавелась хорошо известная киберпреступная группировка Ngrok, специализирующаяся на майнинге криптовалюты. Группировка, активная с 2018 года, получила свое название из-за первоначального использования сервиса Ngrok для хостинга своих C&C-серверов. Однако, по данным Intezer Labs, в нынешнем году она изменила тактику и теперь атакует установки Docker, где хранятся...

Все смартфоны с Apple, начиная с iPhone 5S и заканчивая iPhone X, могут быть взломаны из-за таящейся в них аппаратной уязвимости, которую невозможно пропатчить. Проблема касается также и планшетов iPad, построенных на процессорах от А7 до А11. В новых модели смартфонов и планшетов подобная «дыра» отсутствует. Глобальная проблема iPhone В смартфонах iPhone компании Apple выявлена новая уязвимость, угрожающая сохранности персональных данных их владельцев. «Дыру» обнаружили специалисты китайской команды разработчиков Pangu, и ее невозможно устранить путем выпуска патча к прошивке. Эксперты Pangu отмечают, что для взлома смартфонов и планшетов Apple используется эксплойт Checkm8, который также применялся для джейлбрейка ряда версий iOS...

Google якобы ввела в заблуждение своих пользователей ради финансовой выгоды. Австралийская комиссия по вопросам конкуренции и защиты потребителей (ACCC) подала в суд на компанию Google, поскольку техногигант расширил использование персональных данных потребителей для показа рекламы на сайтах без явного их согласия. «Данные о деятельности пользователей, не принадлежащих Google, были связаны с их именами и другой идентификационной информацией, хранящейся в Google. Ранее эта информация хранилась отдельно от учетных записей пользователей Google», — сообщили представители ACCC. С 28 июня 2016 года по декабрь 2018 года владельцам учетных записей Google было предложено нажать «Я согласен» на всплывающее уведомление от Google, которое якобы...

Неизвестный хакер-мститель саботирует работу крупного ботнета Emotet, заменяя полезную нагрузку анимированными GIF-файлами — и таким образом эффективно предотвращая заражение жертв, пишет ZDNet. На сегодняшний день Emotet считается самым крупным и опасным ботнетом в Сети. Он молчал в течение пяти месяцев, но возобновил активность на прошлой неделе. Но лёгкой жизни бандитам никто не обещал. Саботаж системы начался 21 июля, а через несколько дней превратился из простой шутки в серьёзную проблему, которая затронула значительную часть операций ботнета. Активность Emotet отслеживает группа из более 20 добропорядочных хакеров Cryptolaemus. Ежедневные обновления публикуются на официальном сайте и в твиттере. По их данным, некий «народный...

Интернет-издание The Verge, ссылаясь на информацию, полученную от пользователей iOS 14, сообщает, что приложение Instagram пользуется доступом к камере смартфона даже тогда, когда пользователь просто просматривает ленту приложения. Владельцы смартфонов с новой версией ОС заметили, что зелёный индикатор работы камеры отображается даже тогда, когда не происходит съёмка фото или запись видео. macrumors.com Представители Instagram утверждают, что суть проблемы заключается в ошибке программного обеспечения, и приложение на самом деле не имеет доступа к камере или микрофону смартфона, когда пользователь сам не инициирует такую активность. Но всё же этот баг может стать как минимум тревожным звоночком для ряда пользователей, которые...

В Nginx пробита дыра, которую не заметил ни один антивирус 24.07.2020 Китайские исследователи выявили бэкдор для Nginx, использовавший модифицированный код оригинала. Прямых подтверждений этот вредонос получил очень мало. Теперь его видят как минимум девять антивирусов. Изначально не видел ни один. Бэкдор-лабиринт Исследователи обнаружили бэкдор для веб-сервера Nginx, который до недавнего времени не обнаруживал ни один антивирус. Эксперты китайской компании Anheng Threat Intelligence Center загрузили подозрительный файл на VirusTotal, и ни один защитный движок на тот момент не заметил ничего подозрительного. Позднее стало ясно, что кто-то модифицировал функцию ngx_http_header_filter в оригинальном Nginx. Судя по приведенным...

Компания Garmin, производящая «умные» часы и GPS-навигаторы, была вынуждена временно приостановить рабочий процесс, поскольку внутренняя сеть и некоторые системы производства подверглись атаке шифровальщика. Чтобы справиться с последствиями инцидента, Garmin планировала взять паузу в несколько дней. Компания сразу предупредила, что в этот период официальный сайт будет недоступен для посетителей. Согласно официальному аккаунту Garmin в Twitter, киберпреступники добились сбоя в работе кол-центров, из-за чего компания не могла отвечать на звонки, электронные письма и текстовые сообщения в чатах. Инцидент крайне негативно сказался на клиентах, полагающихся на сервис Garmin Connect, который помогает им синхронизировать данные своей...

Компания Group-IB, работающая в сфере информационной безопасности, опубликовала отчёт по итогам собственного расследования, в ходе которого были установлены главные бенефициары пиратских онлайн-кинотеатров и сервисов спортивного стриминга. Специалисты выяснили, что пиратская индустрия активно финансируется онлайн-казино Lucky Partners, Welcome Partners, букмекерской конторой 1xBet и поддерживается хостерами «Многобайт» и «ДДОС-ГВАРД». В отчёте отмечается, что территориально многие бенефициары пиратского бизнеса находятся на Украине. Они осуществляют финансовые переводы через российские банки и платёжные системы, не кодируя платежи. Лидеры рынка незаконных онлайн-казино и букмекерские конторы спонсируют пиратскую деятельность на всех...

Жертвами MATA оказались представители разных отраслей по всему миру. Специалисты из «Лаборатории Касперского» обнаружили новый вредоносный фреймворк, который злоумышленники используют для осуществления кибератак на операционные системы Windows, Linux и macOS по всему миру. Вредоносная программная платформа, получившая название MATA, впервые была обнаружена исследователями в апреле 2018 года. Жертвами MATA оказались представители разных отраслей — разработчики ПО, интернет-провайдеры, online-магазины и пр. Вредоносная активность преступников была зафиксирована в Польше, Германии, Турции, Корее, Японии и Индии. Первые атаки с использованием MATA были направлены на устройства под управлением Windows и осуществлялись в несколько...

Для критической уязвимости в .NET опубликован PoC-эксплоит 22 Июля, 2020 По мнению ИБ-экспертов, эксплуатация уязвимости в .NET куда более вероятна по сравнению с нашумевшей SigRed. Исправленная на прошлой неделе червеобразная уязвимость SigRed в Windows Server 2003-2019 затмила другие опасные уязвимости, также исправленные Microsoft в рамках июльского «вторника исправлений». К таковым в частности относится уязвимость CVE-2020-1147 в Microsoft SharePoint, позволяющая удаленно выполнить код. Учитывая, что на этой неделе для нее был опубликован PoC-эксплоит, пользователям настоятельно рекомендуется установить обновление безопасности от Microsoft. Уязвимость присутствует в двух компонентах .NET (DataSet и DataTable), использующихся...