Новости информационной безопасности

Исследователи нашли 26 уязвимостей в реализации USB для Windows, macOS, Linux и FreeBSD 29.05.20 В конце мая 2020 года команда специалистов по информационной безопасности из США и Швейцарии опубликовала в открытом доступе свое исследование, в ходе которого они смогли обнаружить 26 уязвимостей в наборе драйверов USB, используемом операционными системами Linux, macOS, Windows и FreeBSD. В настоящее время часть уязвимостей закрыто разработчиками ОС. Исследователь Матиас Пейер (Mathias Payer) из группы разработчиков HexHive совместно с экспертом по ИБ Хуэй Пэн (Hui Peng) из университета Пердью, проводили тестирование при помощи ранее созданного ими инструмента — USBFuzz. Фактически, они использовали технику фаззинга для отправки по USB...

Малварь Valak крадёт корпоративные данные используя сервера Microsoft Exchange 29.05.20 Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу. Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение...

Вредонос ComRAT ворует логи антивирусов и управляется через Gmail 27.05.20 ИБ-исследователи компании ESET обнаружили новые атаки русскоязычной хакерской группы Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), направленные на два министерства иностранных дел в Восточной Европе, а также на парламент неназванной страны в Кавказском регионе. По данным аналитиков, эти атаки произошли в январе 2020 года и использовали обновленную версию малвари ComRAT. Напомню, что первое официальное упоминание хак-группы Turla было датировано 2008 годом и связано со взломом Министерства обороны США. Из-за этого довольно долгое время считалось, что группировка начала свою деятельность примерно в 2007 году, но несколько лет назад...

Уязвимость StrandHogg 2.0 позволяет малвари маскироваться под другие приложения в Android 27.05.20 Первая StrandHogg В конце 2019 года ИБ-эксперты компании Promon рассказали об уязвимости в Android, которая позволяет вредоносным приложениям модифицировать легитимные и выполнять вредоносные операции от их имени. Баг получил название StrandHogg и, по сути, он может обманом вынудить пользователя предоставить опасные привилегии вредоносному приложению, причем во время взаимодействия с приложением легитимными. Также проблему можно использовать для показа жертвам фальшивых страниц логина во время подключения к легитимным приложениям. Суть StrandHogg в прошлом году хорошо объяснил редактор рубрики X-Mobile Евгений Зобнин: корень проблемы...

Китайский ботнет DoubleGuns насчитывает миллионы жертв 27 Мая, 2020 Специалистам удалось лишь частично отключить инфраструктуру одного из крупнейших китайских ботнетов. Специалисты компании Qihoo 360 раскрыли подробности об одном из крупнейших ботнетов в Китае под названием DoubleGuns. Данный ботнет атакует только китайских пользователей и насчитывает миллионы жертв. DoubleGuns представляет собой троян для заражения устройств под управлением Windows. Вредонос используется с июля 2017 года, когда исследователи Qihoo 360 впервые обнаружили его ранний вариант. За последние три года троян мало изменился. Он по-прежнему попадает на устройства через зараженные приложения (в основном, нелицензионные игры), распространяемые на китайских...

Сайт eBay сканирует сетевые порты ПК посетителей на наличие программ удалённого доступа 26.05.2020 По сообщениям сетевых источников, сайт eBay.com с помощью специального скрипта осуществляет сканирование портов ПК посетителей с целью обнаружения программ для удалённого доступа. Многие из сканируемых сетевых портов используются популярными инструментами удалённого управления, такими как Windows Remote Desktop, VNC, TeamViewer и др. Энтузиасты из Bleeping Computer провели исследование, которое подтвердило, что eBay.com действительно сканирует 14 разных портов, когда пользователь заходит на интернет-площадку. Этот процесс осуществляется с помощью скрипта check.js и запускается при каждом посещении ресурса. Скрипт выполняет...

Sophos опубликовала подробности о глобальной атаке на межсетевые экраны компани 25.05.20 Скриншот системы управления Sophos XG Firewall, который не был скомпрометирован во время атаки, но заплатка все равно была установлена. 21 мая 2020 года специалисты компании Sophos, разработчика и производителя физических и виртуальных межсетевых экранов нового поколения, опубликовали в корпоративном блоге расширенных отчет о трехдневной атаке хакеров на устройства XG Firewall по всему миру. В ходе этой атаки злоумышленниками использовалась уязвимость нулевого дня, менялись векторы атаки, было произведено несколько волн атак. В итоге Sophos смогла защитить своих клиентов и восстановить периметр их безопасности. Специалисты компании в оперативном...

Как и любой кризис, текущая пандемия коронавируса привлекла внимание киберпреступников, которые используют ее для распространения своих вредоносных программ в сетях коммерческих и государственных организаций. По данным ведущих антивирусных компаний, таких как TrendMicro, Лаборатория Касперского и ESET, за последние месяцы число фишинговых писем на тему борьбы с COVID19 увеличилось в десятки раз. В интернете появилось более 2,5 тысяч подозрительных ресурсов, где фигурируют слова covid, coronavirus и тому подобные. Они содержат ссылки на сайты-ловушки, а также вредоносные приманки, и зачастую нацелены на кражу персональных данных пользователей. Особенностью этой хакерской кампании является то, что жертвами злоумышленников все чаще...

70% проблем с безопасностью в Chromium вызваны ошибками при работе с памятью 25.05.20 Разработчики проекта Chromium проанализировали 912 опасных и критических уязвимостей, выявленных в стабильных выпусках Chrome с 2015 года, и пришли к выводу, что 70% из них были вызваны небезопасной работой с памятью (ошибками при работе с указателями в коде на C/C++). Половина из данных проблем (36.1%) вызвана обращениями к буферу после освобождения связанной с ним памяти (use-after-free). При проектировании Chromium было изначально заложено, что в коде не исключено появление ошибок, поэтому большая ставка делалась на применение sandbox-изоляции для ограничения последствий проявления уязвимостей. В настоящее время возможности применения данной...

Опубликован бесплатный инструмент для обнаружения ботов в Twitter 19.05.05 Компания NortonLifeLock, появившаяся после того, как Symantec продала свое ИБ-подразделение и бренд Symantec Broadcom за 10,7 млрд долларов, представили бета-версию бесплатного расширения для браузера BotSight, которое позволяет идентифицировать ботов в Twitter, и создано для борьбы с фальшивыми новостями и дезинформацией. Новый инструмент уже доступен для браузеров Chrome, Brave и Firefox для пользователей из США, Великобритании, Австралии и Новой Зеландии. В будущем разработчики также планируют представить аналогичное приложение для смартфонов и расширение, подходящее для Microsoft Edge. Сейчас эксперты NortonLifeLock описывают BotSight как исследовательский...

Microsoft опубликовала инструменты для борьбы с кибератаками, связанными с коронавирусом 17.05.20 Компания Microsoft опубликовала идентификаторы для кибератак, в ходе которых злоумышленники пытаются использовать информацию о COVID-19 в качестве приманки. По мнению корпорации, этот инструмент даст более полное представление о методах работы киберпреступников во время пандемии. В Microsoft отмечают, что компания уже обеспечивает защиту от кибератак, связанных с коронавирусом, с помощью инструмента Microsoft Threat Protection (MTP). Для клиентов, которые не используют MTP, Microsoft опубликовала индикаторы, которые помогут обнаружить такие атаки. Информация, опубликованная Microsoft, включает в себя 283 индикатора, характеризующих методы...

Новая версия COMphun использует коды состояния HTTP для связи с управляющем сервером 16.05.20 В прошлом году эксперты «Лаборатории Касперского» рассказывали об обнаружении инструмента Reductor, который позволял подменить генератор псевдослучайных чисел в Firefox и Chrome, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это помогало злоумышленникам тайно следить за действиями пользователей в браузере. Кроме того, обнаруженные модули малвари имели в своем составе функции удаленного администрирования, что делало возможности этого ПО практически неограниченными. С помощью этого инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, —...

22 мая «Лаборатория Касперского» представит на онлайн-конференции Kaspersky ON AIR новые решения 16.05.2020 22 мая состоится , посвящённая вопросам кибербезопасности. Начало — в 11:00 мск. В этом году главное внимание участников мероприятии будет уделено эволюции подхода к безопасности. С ростом сложности и целевым характером киберугроз становится всё более актуальным выбор решений класса EDR, потоков данных Threat Intelligence и активного поиска угроз в качестве необходимых инструментов для специалистов по информационной безопасности и команд SOC. Программа Kaspersky ON AIR традиционно включает темы «на злобу дня», выступления ведущих экспертов «Лаборатории Касперского». Компания планирует официально представить ряд новых решений...

Microsoft опубликовала инструменты для борьбы с кибератаками, связанными с коронавирусом 16.05.20 Компания Microsoft опубликовала идентификаторы для кибератак, в ходе которых злоумышленники пытаются использовать информацию о COVID-19 в качестве приманки. По мнению корпорации, этот инструмент даст более полное представление о методах работы киберпреступников во время пандемии. В Microsoft отмечают, что компания уже обеспечивает защиту от кибератак, связанных с коронавирусом, с помощью инструмента Microsoft Threat Protection (MTP). Для клиентов, которые не используют MTP, Microsoft опубликовала индикаторы, которые помогут обнаружить такие атаки. Информация, опубликованная Microsoft, включает в себя 283 индикатора, характеризующих методы...

Возобновлённая классика 15.05.20 Издание Bleeping Computer рассказывает, что операторы вымогательского ПО стали использовать новую тактику, позволяющую получить от жертв больше денег. Теперь создатели малвари требуют у пострадавших компаний два выкупа: один за расшифровку данных, а другой за удаление информации, которую хакеры похитили во время атаки. В случае неуплаты злоумышленники угрожают опубликовать эти данные в открытом доступе. Журналисты напоминают, что еще в конце 2019 года создатели вымогательской малвари стали действовать по новой схеме. Все началось с операторов шифровальщика Maze, которые начали публиковать файлы, похищенные ими у атакованных компаний, если жертвы открывались платить. Хакеры завели для таких «сливов»...

Вредоносное ПО Mandrake способно получить полный контроль над Android-устройством 14.05.2020 Компания Bitdefenter Labs, занимающаяся исследованиями безопасности программного обеспечения, раскрыла подробности о новом вредоносном ПО, атакующем Android-устройства. По словам экспертов, оно ведёт себя несколько иначе, чем большинство распространённых угроз, поскольку атакует не все устройства. Вместо этого вирус выбирает пользователей, от которых он может получить наиболее полезные данные. neowin.net Разработчики вредоносного ПО запретили ему атаковать пользователей в определённых регионах, включая страны, которые раньше входили в состав Советского Союза, Африку и Ближний Восток. Австралия, судя по исследованиям, является основной целью...

75% коммерческих приложений включают устаревший открытый код с уязвимостями 14.05.20 Компания Synopsys проанализировала 1253 коммерческих кодовых баз и пришла к выводу, что почти все (99%) рассмотренные коммерческие приложения включает как минимум один компонент с открытым исходным кодом, а 70% кода в рассмотренных репозиториях является открытым. Для сравнения в аналогичном исследовании 2015 года доля открытого кода составляла 36%. При этом в большинстве случаев использованный сторонний открытый код не обновляется и содержит потенциальные проблемы с безопасностью - в 91% из рассмотренных кодовых баз имеются открытые компоненты, которые не обновлялись более 5 лет или как минимум два года находятся в заброшенной форме и не...

Microsoft исправила 111 уязвимостей в 12 различных продуктах 13.05.20 Майский «вторник обновлений» стал третьим по объему за все время, так как в его рамках было исправлено 111 уязвимостей (13 из которых были критическими и еще 91 баг получил статус важного) в различных продуктах, от Edge до Windows, от Visual Studio до .NET Framework. Напомню, что предыдущие «рекорды» тоже зафиксированы в этом году: 115 ошибок были устранены в марте 2020 года, а в апреле 2020 года инженеры компании исправили 113 багов. Если в последние месяцы Microsoft регулярно выпускала обновления для уязвимостей нулевого дня, уже находившихся под атаками, в этом месяце обошлось без подобных проблем. Тем не менее, откладывать обновления на абстрактное «потом»...

Group-IB : Россия обогнала США по хостингу фишинговых ресурсов 9.05.20 Аналитики компании Group-IB рассказали, что в 2019 году компания заблокировала более 14 000 фишинговых ресурсов, а это втрое больше, чем годом ранее. Среди ключевых тенденций прошлого года эксперты CERT-GIB отметили смещение фокуса атак на пользователей облачных хранилищ как в B2C, так и B2B сегментах, а также переход фишеров от создания единичных мошеннических страниц на целые «сетки» сайтов под определенные бренды, что обеспечивает непрерывность их функционирования и устойчивость к блокировкам. Во второй половине 2019 в ходе CERT-GIB заблокировал 8 506 фишинговых ресурсов, в то время как годом ранее этот показатель составлял 2 567. В целом, в 2019 году было...

Хакеры прячут web-скиммеры за значками сайтов 8 Мая, 2020 Киберпреступники нашли способ эффективного сокрытия вредоносного кода на взломанных сайтах. Специалисты ИБ-компании Malwarebytes обнаружили новую вредоносную кампанию, в ходе которой злоумышленники похищают данные банковских карт пользователей с помощью встроенного в сайт вредоносного ПО. Такая техника называется web-скимминг, e-скимминг или атаки Magecart. Как правило, злоумышленники взламывают сайт и внедряют в него код, похищающий платежные данные из заполняемых пользователями форм. Эксперты фиксируют подобные атаки уже в течение четырех лет, и по мере того, как ИБ-компании находят эффективные способы их выявления, киберпреступники вынуждены искать новые способы. В новом...