Информационная безопасностьНовости

ESET: группа Turla меняет тактику

Эксперты компании ESET обнаружили новые инструменты в арсенале хакерской группы Turla. Теперь преступники используют для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение. Turla – известная кибершпионская группа, действующая не менее десяти лет. Первое упоминание Turla датировано 2008 годом и связано с взломом Министерства обороны США. Кроме того, ИБ-специалисты обнаруживали следы Turla в …
Информационная безопасностьНовости

Неизвестные сканируют сеть в поисках неправильно настроенных нодов EOS

Только недавно специалисты Qihoo 360 рассказали сразу о нескольких проблемах, обнаруженных в коде блокчейн-платформы EOS. Теперь неправильно сконфигурированные ноды EOS атакуют неизвестные хакеры и пытаются завладеть приватными ключами, которые могут «утекать» из-за ошибок в конфигурации API. Как ни странно, с обнаружением уязвимостей специалистами Qihoo 360 это не связано. Более того, разработчики EOS уже сообщили, что …
Информационная безопасностьНовости

Обнаружены уязвимости блокчейн-блатформы EOS, включая критический RCE-баг

Специалисты китайской ИБ-компании Qihoo 360 сообщили об обнаружении «серии эпических уязвимостей» в блокчен-платформе EOS. Одна из проблем была признана критической, так как позволяла атакующему перехватить контроль над сетевыми нодами EOS. 1/ Chinese Internet security giant 360 has found «a series of epic vulnerabilities» in the #EOS platform. Some of the bugs allow arbitrary code to …
Информационная безопасностьНовости

Сразу два канадских банка сообщили о взломе. Данные 40 000 человек похищены

Сразу два крупнейших канадских банка, Simplii Financial (дочерняя компания Canadian Imperial Bank of Commerce, CIBC) и Bank of Montreal, сообщили об инцидентах произошедших в минувшие выходные. Пострадали по меньшей мере 40 000 пользователей. Первым официальное заявление опубликовал Simplii Financial. Сообщение гласит, что некий инцидент из области кибербезопасности произошел в минувшие выходные. В итоге неизвестные лица …
Информационная безопасностьНовости

Арест лидера не прекратил деятельность группы Cobalt: хакеры атаковали крупные банки России и СНГ

Специалисты Group-IB подготовили новый отчет о деятельности хакерской группы Cobalt и сообщили, что последние атаки группы были проведены 23 и 28 мая 2018 года. Целями хакеров стали банки в России, странах СНГ и предположительно зарубежные финансовые организации. Напомню, что суммарно эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира. Немного …
Информационная безопасностьНовости

ФБР и производители объяснили пользователям, что делать с малварью VPNFilter

В конце прошлой недели специалисты Cisco Talos обнаружили сложного, модульного вредоноса VPNFilter, который уже заразил порядка 500 000 устройств в 54 странах мира. В основном атаке малвари подверглись роутеры Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP. Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже. Linksys E1200; Linksys E2500; …
Информационная безопасностьНовости

Неизвестные атаковали майнинговый пул HDAC, принадлежащий Hyundai

Майниговый пул HDAC, связанный с корейской блокчейн-платформой для интернета вещей и выпуском токенов Hyundai-DAC (DAC) был взломан. В настоящее время HDAC временно приостановил вывод средств. Стоит сказать, что основателем HDAC является Чанг Дай-Сан (Chung Dae-sun) – племенник главы Hyundai Group и Hyundai Motor, и автогигант поддерживает работу блокчейн-стартапа. В 2017 году HDAC провел свое ICO, в котором …
Информационная безопасностьНовости

Умные колонки Amazon могут тайно записывать разговоры владельцев и отправлять людям из списка контактов

О необычной проблеме рассказала журналистам KIRO 7 семья из американского Портленда, владеющая «умной» колонкой Amazon Echo со встроенной помощницей Alexa. В один прекрасный день супруги получили странный телефонный звонок из Сиэтла, — звонил один из сотрудников компании, принадлежащей главе семейства. «Немедленно выключите свое устройство с Alexa, вас взломали», — предупредил он по телефону. Как оказалось, …
Информационная безопасностьНовости

Малварь VPNFilter заразила 500 000 роутеров и IoT-устройств. Ее, предположительно, создали российские хакеры

Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter. Сложная малварь уже заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи подчеркивают, что VPNFilter – это вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к …
Информационная безопасностьНовости

Хакеры научились устанавливать на сайты с WordPress плагины с бэкдорами

Специалисты компании Wordfence сообщают, что злоумышленники придумали новый способ компрометации сайтов, работающих под управлением WordPress. Атакующие используют плохо защищенные аккаунты WordPress.com и плагин Jetpack для установки плагинов с бэкдорами на различные сайты. Согласно данным исследователей, новый вид атак используется преступниками с 16 мая 2018 года. Это также подтверждают сообщения пострадавших пользователей на форумах WordPress.org. На первой …
Информационная безопасностьНовости

Криптовалюты Bitcoin Gold и Verge под атакой, злоумышленники «заработали» миллионы долларов

Эксперты сообщают, что преступники вновь атаковали криптовалюту Verge (XVG), обойдя предыдущие патчи и хардфорк. Также была зафиксирована атака на инфраструктуру Bitcoin Gold (BTG), принесшая злоумышленникам более 18 млн долларов. Verge В начале текущей недели представители пула Suprnova сообщили, что криптовалюта Verge (XVG) вновь подверглась атаке злоумышленников, длившейся несколько часов. 22 мая 2018 года аналогичные сообщения …
Информационная безопасностьНовости

Житель Волгоградской области был участником хак-группы, зарабатывавшей на Android-трояне до 500 000 рублей в день

В Волгоградской области был задержан 32-летний участник хакерский группировки, которая с помощью трояна для Android похищала со счетов пользователей различных российских банков до 500 000 рублей в день. По информации издания «Коммерсант», задержанный, чье имя не раскрывается, уже признал свою вину и ранее был судим за незаконное хранение оружия (ст. 222 УК РФ). Также сообщается, что …
Информационная безопасностьНовости

Вредоносный PHP-скрипт спамерского ботнета обнаружен на 5000 сайтов

Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайтов для перенаправления пользователей на страницы, рекламирующие диеты и таблетки для усиления интеллекта. Впервые ботнет, а точнее связанные с ним вредоносные кампании, были замечены еще в марте 2017 года, однако только сейчас специалисты Proofpoint выявили полную картину происходящего. Исследователи рассказывают, что операторы …
Информационная безопасностьНовости

Взломанные сайты на базе Drupal распространяют майнеры, трояны и занимаются скамом

Специалисты компании Malwarebytes изучили угрозы, которые распространяются посредством уязвимостей Drupalgeddon2 и Drupalgeddon3, по-прежнему использующихся для компрометации сайтов, работающих под управлением Drupal. Напомню, что о проблеме Drupalgeddon2 (CVE-2018-7600) стало известно в марте 2018 года. Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо …
Информационная безопасностьНовости

Китайские исследователи нашли более десяти уязвимостей в автомобилях BMW

Специалисты Keen Security Lab, исследовательского подразделения компании Tencent, на протяжении года изучали бортовые системы автомобилей BMW. В итоге, в марте 2018 года специалисты уведомили инженеров BMW об обнаружении 14 уязвимостей, позволяющих скомпрометировать транспортные средства как локально, так и удаленно. Семи проблемам уже были присвоены идентификаторы CVE (CVE-2018-9322, CVE-2018-9320, CVE-2018-9312, CVE-2018-9313, CVE-2018-9314, CVE-2018-9311 и CVE-2018-9318), оставшиеся …
Информационная безопасностьНовости

Обнаружен новый вариант ботнета Mirai, оснащенный новыми эксплоитами

Эксперты Fortinet предупреждают о появлении новой вариации ботнета Mirai. Напомню, что ботнеты на основе малвари Mirai чаще всего сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах. Однако новая версия Mirai, получившая имя Wicked, вооружена рядом эксплоитов …
Информационная безопасностьНовости

Данные 200 000 000 японцев продаются на андеграундных форумах

Аналитики компании FireEye сообщили, что на китайских андеграундных хакерских ресурсах на продажу выставили данные примерно 200 млн жителей Японии. Изучив предложение, исследователи пришли к выводу, что БД составлена из информации, утекшей примерно с 11-50 японских сайтов, в том числе работающих в сферах розничной торговли, развлечений, ресторанном бизнесе, финансовом и транспортном секторах. Специалисты считают, что сводный …
Информационная безопасностьНовости

Охота на Енота. Как вирмейкер спалился сам и спалил заказчиков

Истории о том, как антивирусные компании вычисляют вирусописателей, всегда вызывают неподдельный интерес у самой разной аудитории. Даже несмотря на то, что в большинстве случаев такого рода разоблачения происходят потому, что вирмейкер где-то фундаментально накосячил. Так вышло и на этот раз, причем автор трояна не то чтобы подставился сам, но знатно спалил своих клиентов, на радость …
Информационная безопасностьНовости

Атака на уязвимость Spectre помогает извлечь данные, защищенные System Management Mode

Специалисты компании Eclypsium представили еще один вариант атаки на процессорную уязвимость Spectre (вариант 1). Эксплуатируя данный вектор атаки, можно получить доступ к данным, которые находятся под защитой режима системного управления (System Management Mode, SMM). Специальный процессорный режим SMM представлен на процессорах x86/x86-64, и подразумевает собой приостановку исполнения любого другого кода, включая высоко привилегированное ПО, например, ОС и гипервизор. …
Информационная безопасностьНовости

Голландская полиция закрыла «пуленепробиваемый» хостинг MaxiDed

Голландские правоохранители отчитались с совместной операции, проведенной вместе с коллегами из других стран, по закрытию «пуленепробиваемого» хостинга MaxiDed, работавшего с 2008 года и агрессивно рекламировавшегося на хакерских ресурсах. На хостинге размещались управляющие серверы DDoS-ботнетов, сайты с детской порнографией, вредоносная реклама, спамеры и так далее. Согласно архивной версии сайта MaxiDed, ресурс предлагал своим клиентам выделенные серверы, …
Информационная безопасностьНовости

Малварь, ворующая кеш-файлы и ключи мессенджера Telegram, написана русскоязычным хакером

Эксперты Cisco Talos и «Доктор Веб» сообщили о появлении новых модификаций трояна, который фигурирует в отчетах компаний под названиями Trojan.PWS.Stealer.23012 и TeleGrab. Малварь Впервые данная малварь была обнаружена еще в начале апреля 2018 года, но уже через пару недель специалисты заметили, что появились новые версии вредоноса. Так, первый вариант был написан на Python и похищал учетные данные …
Информационная безопасностьНовости

Майнер WinstarNssmMiner заразил 500 000 систем за 3 дня и способен вызвать сбой в работе ПК при обнаружении

Специалисты компании Qihoo 360 Total Security предупредили о новой вредоносной кампании по распространению майнера WinstarNssmMiner, который только за три дня наблюдений заразил порядка 500 000 машин. WinstarNssmMiner представляет собой обычную для наших дней майнинговую малварь, построенную на основе опенсорсного и легитимного майнера криптовалюты Monero XMRig. К сожалению, специалисты не пишут о том, как именно распространяется …
Информационная безопасностьНовости

Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв

Конкурс С 16 по 27 мая у всех желающих будет возможность изучить сервис каршеринга Яндекс.Драйв, запущенный в феврале текущего года, на предмет уязвимостей. Можно попытаться изменить логику работы сервиса, снизить цену поездки, получить доступ к персональным данным пользователей или, например, открыть машину, когда сервис это запрещает. Победители получат денежные призы. Для участия потребуется зарегистрироваться здесь …
Информационная безопасностьНовости

Ботнет Satori массово ищет устройства для майнинга Ethereum

ИБ-специалисты компаний SANS ISC, Qihoo 360 Netlab и GreyNoise Intelligence обратили внимание, что крупный IoT-ботнет Satori начал искать устройства для майнинга криптовалюты Ethereum. Операторы ботнета сканируют интернет в поисках устройств с открытым 3333 портом, через который зачастую осуществляется удаленное администрирование майнингового оборудования. По данным экспертов Qihoo 360 Netlab, которые первыми заметили проблему, подозрительные сканирования начались еще …
Информационная безопасностьНовости

В десктопном клиенте Signal нашли еще одну опасную уязвимость, позволяющую читать чаты

В начале текущей недели группа аргентинских ИБ-специалистов рассказала об уязвимости в десктопном клиенте мессенджера Signal. Баг получил идентификатор CVE-2018-10994. Исследователи обнаружили проблему случайно, когда сами общались через Signal, и один из участников беседы поделился ссылкой на уязвимый сайт с XSS-пейлоадом в URL. Полезная нагрузка неожиданно выполнилась в десктопном клиенте Signal, что не могло не привлечь …
Информационная безопасностьНовости

Canonical не запретит приложения для майнинга в Snap Store, но обещает относиться к безопасности серьезнее

Ранее на этой неделе мы рассказывали о том, что пользователи обнаружили среди приложений в Ubuntu Snap Store пакет, содержавший скрытого майнера. Как выяснилось, приложение 2048buntu, созданное разработчиком Nicholas Tomb, тайно добывало валюту Bytecoin (BCN) для своего автора. Пакет немедленно исключили из Snap Store и пообещали провести расследование случившегося. Сегодня представители Canonical опубликовали отчет о проделанной …
Информационная безопасностьНовости

Неизвестные злоумышленники случайно раскрыли данные о двух 0-day уязвимостях

Неизвестные хакеры случайно оповестили специалистов о существовании двух уязвимостей нулевого дня в продуктах Adobe и Microsoft (Adobe Reader и Microsoft Windows), загрузив вредоносный файл PDF в публичный сканер малвари. На уязвимости обратили внимание эксперты компании ESET, которые и сообщили производителям о происходящем. Необычный PDF-файл (образцы 1 и 2), загруженный в публичный сервис для сканирования вредоносных программ, …
Информационная безопасностьНовости

StalinLocker удаляет файлы пользователя, если тот не введет правильный код

Специалисты MalwareHunterTeam и Bleeping Computer предупредили о появлении нового локера и вайпера, который получил название StalinLocker, так как демонстрирует пользователю портрет Сталина и проигрывает гимн СССР. Исследователи рассказывают, что StalinLocker дает пользователю всего 10 минут на ввод кода, а после, если код не был введен, начинает стирать содержимое всех томов, которые обнаружит в системе. Как …
Информационная безопасностьНовости

В составе Cisco DNA Center обнаружены жестко закодированные учетные данные

Совсем недавно, весной текущего года, в продукции Cisco уже обнаруживали фактический бэкдор, то есть жестко закодированные учетные данные в составе Prime Collaboration Provisioning (PCP). Теперь разработчики Cisco обнародовали еще 16 бюллетеней безопасности, и три уязвимости получили статус критических, набрав 10 из 10 возможных баллов по шкале CVSSv3. Среди этих проблем – жестко закодированные учетные данные …
Информационная безопасностьНовости

Что случилось с PGP и S/MIME: как работает уязвимость Efail

В начале текущей недели группа из девяти европейских ученых, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шинцелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Экспертов поддержали представители Фонда электронных рубежей (Electronic Frontier Foundation, EFF); они подтвердили критичность обнаруженных проблем и опубликовали сообщение, в котором призвали пользователей отключить или деинсталлировать …
Информационная безопасностьНовости

Из-за уязвимости в Electron под угрозой оказались Skype, Slack, WhatsApp, Discord и другие

Специалист компании Trustwave Брендан Скарвелл (Brendan Scarvell) обнаружил опасную уязвимость (CVE-2018-1000136) в составе опенсорсного фреймворка Electron. Баг допускает удаленное исполнение произвольного кода. Из-за этого десятки приложений, в состав которых входит Electron, оказались под угрозой. Среди них: Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord, Twitch, браузер Brave и WordPress.com, а также многие другие. «Приложения Electron, в основном, …
Информационная безопасностьНовости

Исследователи выявили ряд проблем в протоколе OPC UA

Эксперты Центра «Лаборатории Касперского» по реагированию на киберинциденты – Kaspersky Lab ICS CERT – проанализировали протокол OPC UA (Object Linking and Embedding for Process Control Unified Automation), разработанный специально для промышленных объектов. В ходе исследования было выявлено 17 0-day уязвимостей в продуктах OPC Foundation, а также несколько уязвимостей в коммерческих приложениях, которые их используют. Эксплуатируя …
Информационная безопасностьНовости

Критические уязвимости PGP и S/MIME делают шифрование переписки практически бесполезным

Группа академиков, во главе с профессором Университета прикладных наук в Мюнстере Себастьяном Шницелем (Sebastian Schinzel), предупредила о критических уязвимостях в составе PGP и S/MIME. Пока технические подробности проблемы не раскрываются, но их обещают обнародовать завтра, 15 мая 2018 года. Сейчас, со слов экспертов, известно, что дыры в PGP и S/MIME позволяют прочитать зашифрованные таким образом …
Информационная безопасностьНовости

Целенаправленные атаки: разведка на основе открытых источников (OSINT). Колонка Дениса Макрушина

Содержание статьи Поиск незакрытых дверей Из редакционных разговоров Просканировать, отметить, повторить OSINT без интерактива Сбор информации для социальной инженерии Recon как искусство В одной из прошлых колонок я рассказал о стадиях целенаправленных атак (kill chain). Первая стадия, стадия «разведки», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, …
Информационная безопасностьНовости

Сразу пять ботнетов эксплуатируют уязвимости роутеров Dasan GPON

Ранее в этом месяце ИБ-специалисты vpnMentor предупредили, что роутеры Dasan GPON подвержены сразу двум серьезным уязвимостям, патчей для которых на тот момент не существовало: CVE-2018-10561 и CVE-2018-10562 (обход аутентификации и удаленное исполнение произвольного кода). Сообщалось, что под угрозой находятся более миллиона уязвимых устройств (основываясь на данных Shodan), и их проблемами незамедлительно стали пользоваться злоумышленники. Дело в …
Информационная безопасностьНовости

Кибершпионская группа ZooPark атакует пользователей Android на Ближнем Востоке

На прошлой неделе специалисты «Лаборатории Касперского» рассказали о запутанной кибершпионской кампании ZooPark, жертвами которой становятся пользователи Android из стран Ближнего Востока. Исследователи наблюдают за развитием этого вредоноса с 2015 года. Его текущая версия уже является четвертой и может похитить с зараженного смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями …
Информационная безопасностьНовости

Вредоносные расширения для Chrome заразили более 100 000 пользователей

Аналитики компании Radware обнаружили в официальном каталоге Chrome Web Store сразу семь вредоносных расширений, которые маскировались под известные легитимные решения, а на деле похищали учетные данные пользователей, майнили криптовалюту и  занимались кликфродом. По данным специалистов, суммарно расширения были установлены более 100 000 раз, причем в одном случае малварь проникла на компьютеры некой «хорошо защищенной сети», принадлежащей …
Информационная безопасностьНовости

Исходные коды PoS-малвари TreasureHunter попали в открытый доступ

Специалисты компании Flashpoint сообщили, что еще в марте 2018 года в открытом доступе были опубликованы исходные коды PoS-малвари TreasureHunter. Из-за чего произошла утечка доподлинно неизвестно, однако эксперты считают, что теперь следует ожидать прироста PoS-малвари. Похожие пики активности после утечки исходных кодов уже не раз демонстрировали другие угрозы, например, банкер Zeus, мобильный банкер BankBot или IoT-вреодонос …
Информационная безопасностьНовости

Самоуничтожающиеся сообщения в Signal для Mac можно восстановить и прочесть

Исследователи обнаружили, что самоуничтожающиеся сообщения в десктопном клиенте Signal для Mac при определенных условиях подлежат восстановлению. Для тех, кто не знает: самоуничтожающиеся сообщения в Signal хранятся ограниченное время, которое задает отправитель. По истечении этого срока сообщение удаляется, не оставляя и следа ни на сервере, ни на устройствах получателя и отправителя. Первым на проблему клиента для …
Информационная безопасностьНовости

Excel будет поддерживать JavaScript. Исследователи уже запустили таким образом майнер CoinHive

На конференции Build 2018 разработчики Microsoft сделали интересное объявление: скоро в Excel появится поддержка кастомной функциональности JavaScript. Таким образом, пользователи смогут создавать собстыенные формулы, которые буду сохраняться в общей базе формул. Затем такие формулы можно будет вставлять и использовать в таблицах Excel, причем работать с ними будет JavaScript интерпретатор, а не движок самого Excel. Пока …
Информационная безопасностьНовости

ESET: хакерская группа Lazarus атакует страны Центральной Америки

Хакерская группировка Lazarus (она же Hidden Cobra) получила широкую известность после кибератаки на Sony Pictures Entertainment в 2014 году. После этого специалисты по информационной безопасности детально изучили и связали эту группу с Северной Кореей и целым рядом инцидентов: эпидемией Wannacry, атаками на банки в Польше и Мексике, фишинговыми атаками на подрядчиков Министерства обороны США и так …
Информационная безопасностьНовости

В даркнете обнаружили новое поколение фишинговых наборов

Специалисты компании Check Point совместно с CyberInt обнаружили фишинг-киты нового поколения, которые активно рекламируются в даркнете. По мнению экспертов, эти наборы представляют собой более продвинутое поколение угроз для создания более убедительных поддельных сайтов. Автор фишинговых наборов скрывается под псевдонимом [A]pache и предлагает пользователям  с низким техническим бэкграундом создать собственную фишинговую кампанию для сбора критической информации …
Информационная безопасностьНовости

Компания Amazon отказалась сотрудничать с Роскомнадзором

На официальном сайте Роскомнадзора появилась интересная новость. Сообщается, что 25 апреля 2018 года, Роскомнадзор совместно с РОЦИТ провел встречу с представителями IT-индустрии по вопросам, связанным с исполнением судебного решения об ограничении доступа к мессенджеру Telegram. Как уже сообщалось ранее, регулятор пытается наладить рабочие контакты с Amazon и Google, что бы компании прекратили предоставлять Telegram IP-адреса …
Информационная безопасностьНовости

Власти Атланты потратили 2,6 млн долларов на устранение последствий атаки шифровальщика

В конце марта мы писали о том, что городские власти американского города Атланта, штат Джорджия, подверглись атаке шифровальщика. Тогда сообщалось, что  некоторые клиентские приложения могут не работать, и у пользователей могут возникнуть трудности с оплатой счетов и доступом к судебным документам. На собранной вскоре после атаки экстренной пресс-конференции мэр города, Кеиша Ланс Боттомс (Keisha Lance Bottoms), сообщила, …
Информационная безопасностьНовости

Хак-группа Orangeworm заражает рентгены и МРТ-сканеры, чтобы добраться до ценных данных

Исследователи Symantec опубликовали отчет о деятельности хакерской группы Orangeworm. Группировка действует как минимум с начала 2015 года и атакует в основном медицинские организации в США, Европе и Азии. По данным экспертов, злоумышленники заражают машины, контролирующие работу рентген-аппаратов и МРТ-сканеров, трояном Kwampirs, который обладает потенциалом червя. Как уже было сказано выше, группа Orangeworm активна как минимум …