Акция 2024: Оплачиваем написание статей на кардинг тематику. Подробности
Перейти к содержанию
Искать в
  • Ещё...
Поиск результатов, которые содержат...
Поиск результатов в...

INC.

Пользователи
  • Публикаций

    104
  • Зарегистрирован

  • Посещение

  • Победитель дней

    2

Весь контент INC.

  1. Исследовательские группы Cisco Talos и Citizen Lab опубликовали технический анализ коммерческого шпионского ПО для Android под названием «Predator» и его загрузчика «Alien». Predator — это коммерческое шпионское ПО для мобильных платформ (iOS и Android), связанное с операциями по шпионажу за журналистами, высокопоставленными европейскими политиками и даже руководителями Meta *. Predator может записывать телефонные звонки, собирать информацию из мессенджеров или даже скрывать приложения и блокировать их запуск на зараженных устройствах Android. Загрузчик Alien В мае 2022 года команда Google TAG раскрыла 5 уязвимостей в Android , которые Predator использовал для выполнения шелл-кода и установки загрузчика Alien на целевое устройство. Alien внедряется в основной процесс Android под названием «zygote64», а затем загружает и активирует дополнительные компоненты шпионского ПО на основе встроенной конфигурации. Alien получает компонент Predator с внешнего адреса и запускает его на устройстве или обновляет существующий модуль на более новую версию, если такая имеется. После этого Alien продолжает работать на устройстве, обеспечивая скрытое взаимодействие между компонентами шпионского ПО, пряча их внутри легитимных системных процессов и получая команды от Predator для выполнения, обходя защиту Android (SELinux). Обход SELinux — это ключевая функция шпионского ПО, отличающая его от инфостилеров и троянов, продаваемых в Telegram по цене $150-300/месяц. Cisco объясняет, что Alien обходит защиту за счет злоупотребления контекстами SELinux, которые определяют, какие пользователи и какой уровень информации разрешен для каждого процесса и объекта в системе, снимая существующие ограничения. Кроме того, Alien прослушивает команды «ioctl» (ввод/вывод) для внутреннего взаимодействия компонентов шпионского ПО, которые SELinux не проверяет. Alien также сохраняет украденные данные и записи в общем пространстве памяти, затем перемещает их в хранилище, в конечном итоге выгружая их через Predator. Этот процесс не вызывает нарушений доступа и остается незамеченным для SELinux. Возможности Predator Predator – это основной модуль шпионского ПО, поступающий на устройство в виде ELF-файла и создающий среду выполнения Python для обеспечения различных функций шпионажа. Функциональность Predator включает: выполнение произвольного кода; запись аудио; подмену сертификатов; скрытие приложений; предотвращение запуска приложений (после перезагрузки); перечисление директорий. Примечательно, что Predator проверяет, работает ли он на Samsung, Huawei, Oppo или Xiaomi. Если да – ВПО рекурсивно перечисляет содержимое директорий, которые хранят пользовательские данные из почтовых приложений, мессенджеров, соцсетей и браузеров. Predator также перечисляет список контактов жертвы и конфиденциальные файлы в папках медиа пользователя, включая аудио, изображения и видео. Predator также подменяет сертификаты для установки пользовательских сертификатов в текущие доверенные центры сертификации пользователей. Это позволяет Predator проводить MiTM-атаки (man-in-the-middle) и шпионить за TLS-зашифрованным сетевым обменом. Cisco отмечает, что Predator осторожно использует эту возможность. ВПО не устанавливает сертификаты на системном уровне, так как это может помешать работе устройства и привлечь внимание пользователя. Пропущенные части Несмотря на такой глубокий анализ компонентов шпионского ПО, исследователи не знают деталей о двух модулях – «tcore» (основной компонент) и «kmem» (механизм повышения привилегий). Оба загружены в среду выполнения Python Predator. Аналитики полагают, «tcore» отслеживает геолокацию цели, делает снимки с камеры или имитирует выключение устройства. В свою очередь, «kmem» предоставляет произвольный доступ на чтение и запись в пространство ядра. Поскольку модули не могут быть извлечены из зараженных устройств, части шпионского ПО Predator всё ещё остаются неизведанными. Predator был разработан компанией Cytrox, которая базируется в Северной Македонии и продает коммерческое шпионское ПО и другие инструменты наблюдения. Компания Cytrox также стоит за другим шпионским ПО под названием Hermit, которое было использовано для взлома смартфонов журналистов и активистов в Индии. Predator не единственное шпионское ПО, которое используется для целенаправленных атак на пользователей с высоким уровнем риска. Другой пример - Pegasus, разработанный израильской компанией NSO Group. Pegasus также может взламывать и отслеживать смартфоны на базе Android и iOS. Pegasus был использован для шпионажа за журналистами, правозащитниками, политиками и бизнесменами в разных странах мира. Apple, один из производителей смартфонов, подвергающихся атакам Predator и Pegasus, запустила новую функцию безопасности под названием «Режим изоляции (Lockdown Mode)» в iOS 16, iPadOS 16 и macOS Ventura. Эта функция блокирует некоторые функции для обеспечения максимальной защиты от «целенаправленных кибератак».
  2. Американский оператор сотовой связи T-Mobile сообщил о новом инциденте безопасности, который стал уже седьмым случаем утечки данных абонентов за последние пять лет. О последнем случае мы писали в январе этого года, тогда утечка затронула 37 миллионов абонентов. Однако на этот раз компания «отделалась малой кровью», ведь пострадали всего 836 абонентов, что поразительно мало на фоне ежедневных новостях о многомиллионных утечках. По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов. «Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов», — пояснил оператор в своём письме . Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей. T-Mobile довольно часто сталкивался с компрометацией данных своих абонентов. Первый известный случай произошел в 2018 году, когда два миллиона записей вместе с хешированными паролями оказались в открытом доступе. Год спустя ещё более миллиона клиентов лишились своих данных. В марте и декабре 2020 года произошли еще два нарушения безопасности, а в 2021 году в даркнете были опубликованы 48 миллионов записей клиентов. О шестом случае, произошедшем в январе этого года, мы упомянули в начале новости. Как можно заметить, T-Mobile, по-видимому, не делает никаких выводов из регулярно происходящих киберинцидентов, а общий уровень информационной безопасности компании и используемые защитные методы не представляют для злоумышленников значимого препятствия. Репутация коммуникационного гиганта падает с каждой новой утечкой, разве это не повод сменить текущий подход к безопасности на более эффективный?
  3. Нидерландская футбольная ассоциация стала жертвой кибератаки, в результате которой хакерская группировка Lockbit получила доступ к большому объему данных. Об этом сообщает Sport.pl. Предполагается, что злоумышленники получили доступ к контрактам бывших и настоящих игроков и тренеров, документам по текущим дисциплинарным вопросам, а также к информации о финансовой деятельности ассоциации. На данный момент футбольная ассоциация не приняла решение о том, будет ли она выполнять требования хакеров. Расследование все еще продолжается, и пока оно не завершено, представители ассоциации не будут делать каких-либо заявлений относительно произошедшего. Они также отказываются комментировать вопросы о возможных виновных и их мотивах. Хакерская группа Lockbit уже потребовала выкуп за украденные данные, а в случае отказа обещает опубликовать их в середине следующей недели. Точная сумма выкупа не разглашается, однако, вероятно, она составляет несколько миллионов евро.
  4. Сервис электронной почты компании VK подвёл своеобразные итоги за 2022 год. «Почта Mail.ru» рассказала о работе антифишинг и антиспам систем. По словам компании, жалобы пользователей на спам сократились на 6,5% в 2022 году по сравнению с 2021 годом. Как утверждают разработчики, антиспам система «Почты Mail.ru» использует технологии ИИ, где за распознавание нежелательного контента отвечают «трансформеры» — глубокие модели машинного обучения, содержащие 60 млн параметров.Сисема антиспама ежедневно обучается и в 2022 году блокировала 54,5 млн нежелательных рассылок из 404,5 млн входящих писем в день. Система заблокировала 20 млрд спам-писем. Кроме антиспам системы, в сервисах Mail.ru используются технологии «Лаборатории Касперского», защищающие пользователей от вредоносных вложений в письмах. В 2022 году 500 тысяч писем с вложениями были идентифицированы как вредоносные и заблокированы.
  5. INC.

    Хакеры YoroTrooper атакуют СНГ

    анее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года. «Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos. В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции. Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось. Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.
  6. В течение последних семи месяцев происходят непрекрающиеся атаки на сеть Tor. Временами усилия атакующих были достаточными, чтобы замедлить работу сети или даже полностью отключить доступ к onion-сервисам для некоторых пользователей, утверждают специалисты проекта. Инфраструктура сервиса уже более полугода подвергается атакам со стороны неизвестных злоумышленников, используя DoS-атаки. Команда Tor Project прилагает усилия, чтобы справиться с этой ситуацией, и кроме того, наняла двух новых разработчиков, специализирующихся в области сетевого ПО. Согласно сообщению в блоге проекта Tor, инфраструктура проекта подверглась серии мощных кибератак и невозможно установить мотивы злоумышленников и принадлежность к хакерской группировке. Также указано, что методы и векторы атак злоумышленников постоянно меняются. Команда Tor пытается адаптировать инфраструктуру сети для работы в сложных условиях. Организация обращается к сообществу с призывом помочь в финансировании развития луковой службы за счет пожертвований. Предлагая бесплатные услуги, проект Tor финансируется за счет пожертвований при поддержке Electronic Frontier Foundation (EFF), различных правительственных учреждений США и частных лиц. Напомню, ранее стало известно, что, несмотря на заявленную анонимность сети, ФБР смогло получить информацию об активности потенциального террориста в сети Tor. При этом спецслужбы категорически отказались раскрывать способ взлома.
  7. Генеральная прокуратура Нью-Йорка оштрафовала на сумму $410 000 разработчика шпионского ПО Патрика Хинчи, который с помощью 16 компаний незаконно продвигал свои инструменты наблюдения. Прокуратура также обязала Патрика Хинчи изменить методы маркетинга своих продуктов и информировать владельцев устройств о том, что их телефоны тайно отслеживаются с помощью одного из его многочисленных приложений – Auto Forward, Easy Spy, DDI Utilities, Highster Mobile, PhoneSpector, Surepoint и TurboSpy. Хинчи предоставляд компаниям-клиентам свои шпионские программы, которые позволяют отслеживать телефоны других людей без ведома пользователей. В некоторых случаях они также используются для мониторинга онлайн-активности целей и сбора конфиденциальной информации о пользователях, которая впоследствии может быть использована для шантажа или различных других злонамеренных целей. Эти приложения для наблюдения позволили клиентам Хинчи тайно отслеживать действия других людей на своих мобильных устройствах, включая: местоположение; историю просмотров; журналы вызовов; текстовые сообщения; фотографии и видео; активность электронной почты; чаты WhatsApp и Skype; активность в социальных сетях. Согласно соглашению , некоторые приложения также позволяли пользователю удаленно активировать камеру или микрофон целевого устройства. По словам генерального прокурора, приложения копируют информацию с устройства и передают ее на серверы компании, где она доступна клиенту. Другая услуга позволяет клиентам эксфильтровать данные с целевого сервера iCloud, если у клиента есть доступ к данным для входа. Для рекламы своих программ разработчик создал якобы независимые веб-сайты с обзорами продуктов, на которых публиковались восторженные отзывы о преимуществах использования шпионского ПО. В одном сообщении в блоге утверждалось, что приложение PhoneSpector «позволяет клиенту отслеживать всю телефонную активность целевого пользователя без риска быть уличенным в шпионаже».
  8. Злоумышленник выставил на продажу набор данных размером 84 МБ, который предположительно содержит личные данные 230 000 клиентов компании Puma в Чили. Продавец утверждает, что данные украдены из CMS Puma в Чили, но экспертам не удалось это проверить. База данных включает контактную информацию о клиентах компании: имена клиентов; адреса электронной почты; номера телефонов; адреса для выставления счетов и доставки. Данные также содержат подробную информацию о покупках клиентов: номера заказов; способы оплаты; общую сумму потраченных средств; стоимость доставки; доступные персональные скидки. Представители Puma сообщили, что компания расследует утечку данных, чтобы установить причину утечки и определить - какие именно данные были утеряны.
  9. Исследователи Trend Micro предупреждают, что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike. В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО. ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.
  10. Инцидент произошел в ходе тестирования ботнета, построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета. Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей. Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две: Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером. Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.
  11. Согласно последним сообщениям специалистов Avast, с начала 2022 года участились атаки с использованием вредоносного расширения для браузера Google Chrome под названием "VenomSoftX", который похищает содержимое буфера обмена. Как удалось выяснить экспертам, этот аддон является частью JavaScript-трояна ViperSoftX, крадущего пароли и криптовалюту. Известно, что ViperSoftX тихо существовал с 2020 года, ведь ранее о трояне сообщали исследователи из Cerberus и Colin Cowie. Кроме того, ему был посвящен отдельный отчет компании Fortinet. А в новом отчете Avast Threat Labs специалисты раскрыли дополнительные сведения о функциональности вредоноса и расширения VenomSoftX. Кроме того, в отчете сообщается, что с начала 2022 года специалисты Avast обнаружили и пресекли около 93 000 попыток заражения ViperSoftX. Основная часть зараженных пользователей находилась в США, Италии, Индии и Бразилии. Основным каналом распространения ViperSoftX являются торрент-файлы с “кряками” для игр и активаторы платного ПО. Адреса криптокошельков злоумышленников жёстко закодированы в образцах ViperSoftX и VenomSoftX. Всего таких кошельков нашлось два, на момент 8 ноября 2022 года в них хранилось 130 тысяч долларов. Ключевая функция ViperSoftX – установка аддона VenomSoftX для браузеров Chrome, Brave, Edge и Opera. Расширение маскируется под якобы полезное приложение “Google Sheets 2.1“. Известно, что VenomSoftX умеет модифицировать HTML-код на веб-сайтах и перенаправлять транзакции в криптовалюте на кошельки операторов вредоноса. Кроме самой валюты, троян может спокойно похищать пароли пользователей. Кроме того, расширение способно перехватывать API-запросы к криптосервисам, чтобы собрать информацию об активах жертвы.
  12. Сообщение о краже данных у Kingfisher появилось на сайте LockBit в понедельник. Хакеры заявили, что похитили 1,4 ТБ данных компании, включая личные данные сотрудников и клиентов. Kingfisher – один из крупнейших в мире DIY-ритейлеров (ритейлер, занимающийся продажей товаров для дома, сада и ремонта). Штаб-квартира компании находится в Лондоне, а магазины расположены в 9 странах мира. Штат сотрудников насчитывает 77 тыс. человек. Ежегодный оборот Kingfisher составляет $14,9458 млрд. Компания признала, что злоумышленники получили доступ к ее IT-системам, хотя и отрицает заявленный хакерами объем украденных данных. Сейчас Kingfisher работает с независимыми ИБ-специалистами над оценкой последствий кибератаки. Согласно заявлению представителя компании, злоумышленники просто не могли похитить 1,4 ТБ данных с указанных ими серверов, подтверждая это отчетами специалистов. Внутреннее расследование Kingfisher тоже принесло хорошие новости – на данный момент бизнес-операциям компании ничего не угрожает. Напомню, совсем недавно группировка LockBit нанесла удар по японской компании Oomiya. Эта кибератака могла затронуть цепочки поставок партнеров Oomiya.
  13. Автоконцерн Ferrari подтвердил наличие своих внутренних документов в Интернете, но заявил, что у него нет доказательств кибератаки. Ferrari расследует утечку внутренних документов и объявила, что примет все необходимые меры. Компания могла подвергнуться атаке программы-вымогателя, но производитель автомобилей заявил, что у него нет доказательств компрометации систем, а также добавил, что бизнес и операции компании не пострадали. Об инциденте первый сообщил итальянский новостной сайт Red Hot Cyber . По словам журналистов, банда вымогателей RansomEXX на своем сайте утечки заявила, что взломала IT-системы Ferrari и украла 6,99 ГБ данных, включая внутренние документы, базы данных, руководства по ремонту и т. д. Источник этих документов до сих пор не известен. Предположительно, RansomEXX стоит за кибератакой на крупнейшую в Бразилии сеть магазинов одежды Lojas Renner , в результате которой некоторые IT-системы оказались недоступны.
  14. Согласно новой версии сообщения об инциденте, выпущенной 15 сентября от имени Карима Туббы, генерального директора LastPass, злоумышленник имел доступ к системам разработки менеджера паролей не более четырех дней, после чего был отключен. Кроме того, по результатам расследования, проведенного совместно с Mandiant, нет никаких доказательств того, что киберпреступник получил доступ к данным пользователей или зашифрованным хранилищам паролей. Также удалось узнать, что атака началась со взлома системы одного из разработчиков, за которого хакер себя и выдавал, осуществив вход с использованием многофакторной аутентификации. Однако, несмотря на это, злоумышленник не сумел получить доступ к личным данным клиентов, так как LastPass использует особый системный дизайн и модель нулевого доверия, т.е. разделяет среды разработки и производства, а также не позволяет получить доступ к хранилищам паролей клиентов без мастер-пароля, установленного пользователями. Анализ исходного кода и сборок тоже принес хорошие новости – эксперты не обнаружили каких-либо следов внедрения вредоносного ПО. И последнее, но не по значению: LastPass привлекла ведущую фирму по кибербезопасности, которая должна развернуть расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга рабочих мест, а также дополнительные системы для защиты исходного кода и сред разработки.
  15. Центр стратегических разработок (ЦСР) предложил ввести отдельное регулирование невзаимозаменяемых токенов (NFT) и лиц, которые обеспечивают синхронность и непротиворечивость перехода токенизированных вещных прав и записей об их учете в блокчейне, сообщают «Ведомости». О такой инициативе говорится в докладе центра «Виртуальные активы: NFT и виртуальные предметы в компьютерных играх и метавселенных». ЦСР рекомендовал создать отдельную регуляторику для NFT в силу отсутствия в российском законодательстве четкого определения и правовых режимов. В докладе также рассматривается правовое регулирование в отношении виртуальных предметов в компьютерных играх и метавселенных модели play-to-earn. В Банк России такой доклад не поступал, сказал "Ведомостям" представитель регулятора. Но вопросы регулирования отдельных видов NFT могут быть решены в рамках закона об инвестиционных платформах, добавил он: эти вопросы ЦБ планирует в ближайшее время проработать с участниками финансового рынка. Контуры понятия NFT и его правовой режим до сих пор не очевидны, отмечает ЦСР. Поэтому в первую очередь необходимо внести изменения в статью о цифровых правах Гражданского кодекса (ГК) и указать там, что понятие цифровых прав может охватывать токены, которые не предусмотрены в законе. По мнению авторов доклада, это позволит без изменения общей статьи об объектах гражданских прав подчеркнуть допустимость выпуска и обращения NFT, пишут "Ведомости". Если NFT будет определяться в соответствии с ГК как «иное» имущество, то для Налогового кодекса токены будут признаваться имуществом и, соответственно, товарами, поэтому они не будут облагаться налогом при покупке и майнинге. Однако NFT могут подлежать налогообложению НДС без введения специальных положений в Налоговый кодекс. Для отдельного регулирования токенизированных вещных прав ЦСР предлагает в качестве одного из вариантов введение агента, функционально подобного эскроу-агенту. Такой агент может следить за сохранностью токенизированных вещей и по итогу обеспечивать синхронизацию внесения изменений в блокчейне с переходом вещных прав.
  16. Специалистам из TAG удалось связать бывших участников группировки Conti с UAC-0098 (такой идентификатор получила группировка от CERT-UA) с помощью анализа их методов и фишинговых кампаний, направленных на украинское правительство, организации, а также различные европейские гуманитарные и некоммерческие организации. В своем блоге специалисты сообщили, что ранее UAC-0098 использовала банковский троян IcedID для проведения вымогательских атак, но потом резко начала заниматься фишинговыми атаками, выступая в роли брокера начального доступа для других киберпреступников. Кроме того, TAG предоставила два признака, связывающие UAC-0098 с Conti: В атаках UAC-0098 использует скрытый бэкдор, доступный только тем группировкам, которые работают с Conti; UAC-0098 использует C&C-инструмент, разработанный Conti. В ходе недавних кампаний группировка рассылала фишинговые письма ряду крупных сетей украинских гостиниц, выдавая себя за Киберполицию Украины. Кроме того, хакеры пытались выдать себя за представителей Starlink, отправляя письма со ссылками на установщики вредоносных программ, замаскированные под ПО, необходимое для подключения к интернету через системы Starlink. Не стоит забывать и про нашумевшую Follina – UAC-0098 использовала эту уязвимость в своих атаках, однако TAG неизвестно, что злоумышленники делали после взлома систем с ее помощью. Подводя итоги, исследователи Google отметили, что границы между различными хакерскими группировками в Восточной Европе очень размыты. По их мнению, это является показателем того, как часто хакеры адаптируются под различные геополитические ситуации в данном регионе.
  17. Ведущая гостиничная компания InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) 5 сентября подверглась кибератаке, которая привела к отключению некоторых IT-систем компании. Системы бронирования IHG и другие сервисы были сильно повреждены и не работают на данный момент. IHG Hotels & Resorts наняла сторонних специалистов для расследования инцидента, а также уведомила соответствующие регулирующие органы. IHG рассказала об атаке в своем заявлении , поданном в Лондонскую фондовую биржу 6 сентября. Хотя компания не раскрыла никаких подробностей о характере атаки, в своем сообщении она упомянула, что работает над восстановлением пострадавших систем и оценкой масштаба кибератаки. Однако, по словам экспертов это может быть атака программы-вымогателя. IHG заявила, что отели IHG по-прежнему могут работать и принимать заказы напрямую. API-интерфейсы компании не работают и показывают ошибки HTTP 502 и 503. Кроме того, клиенты не могут войти в систему, а в приложении IHG отображается ошибка.
  18. Криптовалютная платформа Tornado Cash попала под санкции Минфина США. Об этом сообщается на сайте американского ведомства. В сообщении говорится, что работа данной платформы была заблокирована ввиду того, что она использовалась в отмывании миллиардов долларов, а также для обхода санкций против КНДР. Блокчейн-протокол, работающий в сети Ethereum, Tornado Cash позволяет повысить конфиденциальность транзакций, скрывая связь между источником и получателем токенов. Однако сервис часто используется хакерами при выведении средств с атакованных проектов. По данным Минфина США, с 2019 года сервис использовался для отмывания виртуальной валюты на сумму более $7 млрд. В эту сумму входит более $455 млн, которые были украдены Lazarus Group, спонсируемой КНДР хакерской группой, против которой США ввели санкции в 2019 году. Пpeдcтaвитeли кpиптoвaлютнoй индуcтpии ocудили ввeдeниe caнкций пpoтив микcepa Tornado Cash. Paзpaбoтчик Ethereum Пpecтoн Baн Лун cчитaeт, чтo блoкиpoвкa cepвиca лишeнa здpaвoгo cмыcлa. Пo eгo мнeнию, Tornado Cash — этo вceгo лишь инcтpумeнт, кoтopый мoжнo иcпoльзoвaть кaк для плoxиx, тaк и для xopoшиx цeлeй.
  19. Впервые суд постановил заблокировать браузер в 2017 году, но блокировать начали только спустя 4 года. Однако в мае 2022 году решение было отменено из-за нарушения нормы процессуального права во время рассмотрения дела в первый раз. Вчера Ленинский районный суд Саратова удовлетворил новое требования прокуратуры Саратовского района по делу сайта проекта сети Tor в России. Об этом сообщается на сайте суда. По мнению суда Tor Browser «содержит информацию, запрещённую к распространению на территории РФ», а также позволяет получить доступ к контенту, который «способствует совершению уголовных преступлений». Tor Browser позволяет устанавливать анонимное соединение с сайтами, а также подключаться к скрытым сайтам в зоне .onion. Как сообщила юрист правозащитной организации «Роскомсвобода» Екатерина Абашина, представлявшая интересы разработчиков браузера, Суд проигнорировал определения из федерального закона «Об информации» и «согласился с позицией Роскомнадзора о том, что информация, приложение и технология — это одно и то же», сказала госпожа Абашина. Такая интерпретация, по словам юриста, противоречит и фактическому устройству интернета. Требование к Google об удалении приложения из магазина 26 июля было выделено в отдельное производство, дело Tor по существу дальше слушалось без него, добавила она.
  20. Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла. В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe. Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее: SSID ближайшей к устройству жертвы локальной беспроводной сети; Имя компьютера; MAC-адрес; версия ОС; информацию об установленном антивирусном ПО; данные о наличии файлов WeChat и Tencent.
  21. Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) заявила, что российские хакеры используют уязвимость Follina в новых фишинговых кампаниях для установки вредоносного ПО CredoMap и маяков Cobalt Strike. По предположениям специалистов, хакерская группа APT28 ( Strontium, Fancy Bear и Sofacy ) рассылает электронные письма с вредоносным документом под названием «Ядерный терроризм — реальная угроза.rtf». Хакеры выбрали такую тему, чтобы побудить получателя открыть документ, так как среди украинцев распространен страх перед потенциальной ядерной атакой. RTF документ использует уязвимость CVE-2022-30190 (Follina) для загрузки и запуска вредоносного ПО CredoMap (docx.exe) на устройстве жертвы. Согласно отчету Malwarebytes , полезная нагрузка представляет собой инфостилер , который крадёт учетные данные и cookie файлы из браузеров Chrome, Edge и Firefox. Затем ПО извлекает украденные данные с помощью протокола электронной почты IMAP и отправляет всё на C2 адрес, который размещен на заброшенном сайте в Дубае. CERT-UA также выявила другую кампанию злоумышленника под названием UAC-0098, использующую CVE-2022-30190. CERT-UA сообщила , что субъект угрозы использовал DOCX файл с именем «Наложение штрафов.docx», а полезная нагрузка, полученная с удаленного ресурса, представляет собой маяк Cobalt Strike (ked.dll) с последней датой компиляции.
  22. Специалисты ИБ-компании Zscaler опубликовали подробности о полнофункциональном загрузчике вредоносного ПО PureCrypter, использующемся киберпреступниками для доставки на атакуемые системы троянов для удаленного доступа (RAT) и инфостилеров. Загрузчик представляет собой исполняемый файл на .NET, обфусцированный с помощью SmartAssembly для обхода обнаружения антивирусными решениями. Киберпреступники используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger и Warzone RAT. Вредонос, создателем которого является некто PureCoder, можно арендовать на хакерских форумах по цене $59 в месяц. Кроме того, его можно купить полностью за $249. С марта 2021 года PureCrypter рекламируется создателем как «единственный криптор на рынке, использующий техники доставки как offline, так и online». Крипторы выполняют функцию первого слоя защиты от реверс-инжиниринга и обычно используются для упаковки вредоносного ПО. PureCrypter также оснащен механизмом для внедрения встроенного вредоносного ПО в родные процессы, а также различными опциями конфигурации для обеспечения постоянства на атакуемой системе и обхода обнаружения. Автор вредоноса не поленился отметить, что PureCrypter «создан исключительно в образовательных целях», однако его пользовательское соглашение запрещает покупателям загружать инструмент в VirusTotal, Jotti и MetaDefender. Проанализировав один из образцов PureCrypter, специалисты Zscaler обнаружили, что файл образа диска (.IMG) содержал загрузчик первого этапа, который в свою очередь извлекал с удаленного сервера и запускал модуль второго этапа, внедрявшего финальную полезную нагрузку в процессы наподобие MSBuild. PureCryter также оснащен функцией самоудаления со взломанной машины и функцией оповещения о статусе заражения через Discord и Telegram.
  23. Исследователь безопасности обнаружил уязвимость в системе NFC (Near-Field Communication) ключ-карт Tesla , которая позволяет злоумышленникам добавлять собственные ключ-карты без ведома жертвы. В прошлом году сообщалось о незадокументированном изменении в методе работы ключ-карты, после которого пользователям больше не нужно было класть карту на центральную консоль, чтобы переключить передачу и поехать по своим делам. Единственная загвоздка была в таймере, установленном на 130 секунд, в течение которых нужно было переключить передачу. По словам Мартина Херфурта, исследователя безопасности из Австрии, таймер позволял не только завести автомобиль, но и добавлять новые ключи, не требуя аутентификации и при этом не уведомляя водителя о происходящем. Для демонстрации уязвимости Хефурт разработал пробный вариант. Все, что нужно сделать вору – находиться недалеко от автомобиля и после его разблокировки начать обмен сообщениями между своим приложением и автомобилем, что автоматически добавит ключ-карту злоумышленника в список авторизованных ключей. Затем вор может использовать свою ключ-карту, чтобы разблокировать и угнать электрокар. Существует пользовательская версия Teslakee, которая, по словам Хефурта, помогает защититься от подобных атак. В интервью изданию Ars Technica исследователь сказал, что ему удалось продемонстрировать уязвимость на Model 3 и Model Y. Он не тестировал ее на новейших Model S и Model X, но ожидает аналогичных результатов. По словам Хефурта, защититься от угона позволит только функция PIN to Drive. Она не помешает злоумышленникам разблокировать автомобиль жертвы, но не даст никуда на нем уехать. Напомним, ранее сообщалось о другой уязвимости, позволяющей хакерам угонять автомобили Tesla. Уязвимость в протоколе Bluetooth LE позволяет злоумышленникам заводить двигатель и проникать в салон электрокара.
  24. В апреле 2022 года «Лаборатория Касперского» проанализировала объявления на нескольких русскоязычных теневых площадках и изучила актуальные сообщения о продаже доступа к учётным записям на зарубежных стриминговых платформах и других сервисах. В частности, специалисты обнаружили в даркнете десятки свежих объявлений о продаже доступа к Spotify Premium, Netflix Premium, PornHub и других планах подписок. По предварительным данным, стоимость предлагаемых учётных записей начинается в среднем от 20 рублей и во многом зависит от продавца, а также от длительности «подписки»: месяц, полгода или год. Помимо доступа к стриминговым платформам на форумах и в мессенджерах активно предлагают оформить подписку на VPN различных брендов. Встречаются также объявления с «услугой» продления аккаунтов, а не покупкой сторонних учётных записей. Эксперты не исключают, что часть найденных объявлений представляет собой банальное мошенничество, цель которого — выманить данные и деньги потенциальных покупателей. Сами продавцы часто представляются магазинами цифровых товаров и заманивают потенциальных покупателей своеобразным уровнем сервиса, например, предлагают быструю замену учётных данных при их невалидности, автоматическую выдачу товаров (якобы человек получит товар сразу после оплаты), а также техническую поддержку 24/7 и удобный чат-бот. Также покупателю могут предложить временную гарантию, например на неделю, однако такие обещания, как правило, оказываются обманом. «Большинство стриминговых сервисов позволяет в той или иной форме взять одну подписку на всю семью, и злоумышленники пытаются извлечь из этого выгоду, торгуя зачастую украденными аккаунтами. В качестве ответной меры сервисы стараются ужесточить условия совместного использования учётных записей. Предложения злоумышленников не теряют актуальности, напротив, мошенники могут активизироваться, играя на новостной повестке, — отмечает Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского». — При этом нужно понимать, что в даркнете гарантий не даёт никто. Риски для потенциального покупателя высоки: неизвестно, как злоумышленники распорядятся пользовательскими данными.
  25. В ФСБ предложили обязать криптобиржи и криптокошельки представлять информацию правоохранительным органам наряду с судами. Такая инициатива содержится в отзыве российских ведомств на законопроект Минфина о регулировании криптовалют, пишут «Известия».. Кроме того, служба выступила за согласование требований к хранению и защите информации об обороте крипты с уполномоченными органами. В ведомстве также указали, что документ обязывает биржи сообщать уполномоченному органу идентификационные признаки криптовалюты, но при этом не регламентирует их «состав, характер и порядок формирования». В МВД считают , что законопроект не в полной мере регулирует порядок исполнения биржами постановления суда об аресте криптовалюты и создания кошелька для хранения арестованных или конфискованных активов. В то же время ФНС предложила ужесточить регулирование криптобирж и криптокошельков без лицензии. Минфин согласился с позициями ФСБ, МВД и ФНС по перечисленным вопросам.
×