ITsec NEWS

2022-08-29 10:06:46 ​ В Atlassian Bitbucket Server и Data Center нашли критические уязвимости.

Уязвимость, отслеживаемая под идентификатором CVE-2022-36804, позволят хакеру произвести инъекцию команд в нескольких конечных точках. Брешь в защите могут использовать с помощью специально созданных HTTP-запросов.

Кроме того, в сообщении Atlassian говорится, что для успешной эксплуатации CVE-2022-36804 злоумышленник должен иметь доступ к публичному репозиторию Bitbucket или права на чтение частного репозитория

По словам ИБ-специалиста под никнеймом @TheGrandPew, уязвимость затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17, включая 7.0.0 и более новые.

Для уязвимости уже доступно исправление, но в случаях, где обновления нельзя применить немедленно, Atlassian рекомендует отключить публичные репозитории с помощью "feature.public.access=false", чтобы предотвратить использование уязвимости неавторизованными злоумышленниками.

Компания предупреждает, что такой обходной путь не полностью устраняет уязвимость, так как злоумышленник с учетной записью пользователя все еще может воспользоваться CVE-2022-36804.

Пользователям уязвимых версий рекомендуется как можно скорее обновить ПО до последней версии, чтобы снизить потенциальные риски.

#AtlassianBitbucketServer #DataCenter #Уязвимость

ITsec NEWS Открыть/Комментировать

2022-08-28 19:02:54 ​ В Chrome внесли изменение, допускающее запись в буфер обмена без действий пользователя.

В недавних выпусках движка Chromium изменили поведение, связанное с записью в буфер обмена. Если в Firefox, Safari и старых выпусках Chrome запись в буфер обмена допускалась только после явных действий пользователя, то в новых выпусках для записи достаточно просто открыть сайт.

Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выполнении теста, проверяющего работу заставки Google Doodle на странице открытия новой вкладки. Вместо специфичной обработки этой ситуации в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя.

Возможность записи работает при вызове методов navigator.clipboard.write (пример) и navigator.clipboard.writeText (пример), которые теперь не учитывают активность пользователя на странице.

#GoogleChrome

ITsec NEWS Открыть/Комментировать

2022-08-28 15:02:33 ​ В открытый доступ утекли данные пользователей онлайн-кинотеатра «СТАРТ» В базе 72 гигабайта данных о почти 44 миллионах пользователей, в том числе: имя/фамилия, адрес электронной почты, пароль, IP-адрес, страна, дата начала/окончания подписки, последнего… Открыть/Комментировать

2022-08-28 14:39:52 ​ На Def Con показали кабель, который может взломать любую ОС.

На лас-вегасской выставке Def Con 2022, посвященной информационной безопасности, представили кабель O.MG Elite. Провод внешне ничем не отличается от обычного USB-кабеля для смартфонов, но внутри него прячется «цифровой шпион». Устройство может взломать практически любую операционную систему, в том числе Windows, iOS и Android.

Как отмечается, O.MG Elite дает своему обладателю возможность осуществлять перехват нажатия кнопок, инициировать атаки и иные действия с применением консоли, подгружать вредоносное ПО, а также похищать чужие конфиденциальные данные (пароли и т. п.) и передавать их через интернет преступникам. Заявлено, что новинка может хранить одновременно до 650.000 записей о вас.

Хакер рассказал, что создал версии с разъемами Lightning для «айфонов» и наиболее популярные USB-A и USB-C.

Устройство совместимо со всеми актуальными операционными системами для ПК и ноутбуков, в том числе iOS и MacOS. Особенность гаджета — антивирус не определяет его как опасность. Стоимость — $180. Разработчик пообещал, что скоро выставит устройства на продажу.

#Взлом #Хакеры #Windows #MacOS

ITsec NEWS Открыть/Комментировать

2022-08-28 13:53:20 ​ В США судят обвиняемого в криптомошенничестве на $7 млн гражданина Латвии.

На фоне экстрадиции россиян Александра Винника и Дениса Дубника Министерство юстиции США вывезло в страну подозреваемого в многомиллионном криптомошенничестве латыша Иварса Аузиньша.

Прокуратура Восточного округа Нью-Йорка сообщила, что гражданин Латвии 27 августа предстал перед федеральным судьей Бруклина Роанном Л. Манном. Прокурор Восточного округа Нью-Йорка Бреон Пис и помощник директора нью-йоркского отделения ФБР Майкл Дж. Дрисколл обвинили Иварса Аузиньша в криптомошеничестве и аферах с ценными бумагами:

«Обвиняемый подозревается в том, что реализовал наглую схему, благодаря которой обворовывал инвесторов, вкладывавших миллионы долларов в мошенническую криптовалюту. Мы продолжим активно расследовать и преследовать тех, кто лжет и ворует у инвесторов, в том числе таких, как ответчик, действовавший из-за границы».

Обвинение утверждает, что латыш руководил группой компаний Auzins Entities, куда входили проекты Denaro и Bitroad, брокеры Impressio Estate, Broi Investments, Changepro, Gemneon Investments и Lycovest, а также майнинг-отель Innovamine. Используя первичные предложения монет, инвестиционные стратегии для заработка на криптобиржах, инвестиции в майнинг криптовалют, создатели проектов с 2017 года по 2019 год убедили американских инвесторов вложить не менее $7 млн в компании Аузинша.

Проекты и услуги рекламировали через электронную почту, социальные сети и веб-сайты. Организаторы проектов убеждали инвесторов вложить деньги, обещая высоки прибыли. Собрав деньги с клиентов, мошенники исчезали.

#США #Латвия #Криптомошенничество

CryptoYozh Открыть/Комментировать

2022-06-24 09:00:07 ​ Крупнейшие криптовалютные биржи теряют миллионы из-за сбоя в работе Cloudflare.

Сбои в работе Cloudflare затронули крупнейшие глобальные сервисы, включая популярные криптобиржи. Компания подтвердила, что проблемы связаны с критическим сбоем, который привел к нарушению работы сервиса во многих регионах. По мнению специалистов, сбои в работе Cloudflare затронули приложения и сайты по всему миру.

По данным компании disBalancer, дольше всего не работали криптобиржи Gate.io (1 ч 20 мин), AscendEX (1 ч 20 мин), Coinbase (1 ч 19 мин), OKX (1 ч 19 мин), Blockchain.com (1 ч 19 мин), Crypto.com (1 ч 17 мин). Наибольшие потери понесли криптобиржи Coinbase ($109 083 180), OKX ($93 475 456), и Gate.io ($77 789 159). ИБ-специалисты отметили, что данные об объемах торгов непостоянны, поэтому оценки являются приблизительными.

«Это был не первый случай, когда перебои в работе Cloudflare приводили к простою популярных приложений и веб-ресурсов. Учитывая сложившуюся ситуацию, настоящие причины сбоя в работе Cloudflare остаются неизвестными», — заявили в disBalancer.

#Cloudflare #Криптовалюта

ITsec NEWS Открыть/Комментировать

2022-06-23 18:08:22 ​ Шпионское ПО Pegasus использовалось в 5 странах Европы.

Израильский поставщик шпионского ПО NSO Group признался Евросоюзу, что Pegasus использовался правительствами 5 стран Европы.

Согласно отчету компании Politico, NSO Group признала, что «допустила ошибки» и подчеркнула необходимость создания международного стандарта, регулирующего использование правительством шпионского ПО.

Ранее в апреле 2022 года был создан специальный комитет для расследования предполагаемых нарушений законодательства ЕС после того, как выяснилось, что шпионское ПО Pegasus используется для слежки за телефонами политиков, дипломатов и активистов.

«Комитет изучит существующие национальные законы по регулированию слежки и выяснит, использовалось ли шпионское ПО Pegasus в политических целях против журналистов, политиков и юристов», — заявил Европарламент в марте 2022 года.

ПО Pegasus использовалось правительствами по всему миру для слежки за политическими диссидентами, главами государств, журналистами и активистами. В использовании Pegasus обвиняются Испания, Саудовская Аравия, Индия, ОАЭ и другие страны.

Оператор шпионского ПО Pegasus может незаметно получить полный контроль над телефоном жертвы: доступ к сообщениям, перехват телефонных звонков, использование телефона как устройства для удаленного прослушивания.

#Pegasus #ШпионскоеПО

ITsec NEWS Открыть/Комментировать

2022-06-23 16:44:14 ​ Раскрыта личность администратора известного ботнета RSOCKS.

Эксперты KrebsOnSecurity раскрыли личность владельца ботнета RSOCKS. Это 35-летний проживающий за границей россиянин, который также является руководителем крупнейшего в мире спам-форума RUSdot Mailer.

Согласно заявлению Минюста США, RSOCKS предлагал клиентам доступ к IP-адресам взломанных IoT-устройств: «Киберпреступник мог через веб-браузер для арендовать доступ к пулу прокси на день, неделю или месяц. Стоимость доступа к пулу прокси RSOCKS варьировалась от $30 в день за доступ к 2 000 прокси до $200 в день за доступ к 90 000 прокси».

Владелец ботнета был участником российского форума Verified, был зарегистрирован на форумах Antichat с 2005 года и Exploit с 2013 года. В одном из первых сообщений в Antichat в 2005 году сообщил, что он из Омска.

Исследователи ИБ-компании Intel 471 нашли кэшированную версию профиля ВКонтакте Дениса «Нео» Клостера из Омска. Сейчас профиль ВКонтакте Дениса открыт и доступен для просмотра.

По словам экспертов компании Constella Intelligence, настоящее имя хакера — Денис Емельянцев. Ему принадлежат несколько доменных имен: proxy[.]info, allproxy[.]info, kloster.pro и deniskloster.com.

Согласно сайту Deniskloster.com, 35-летний мужчина родился в Омске, первый компьютер у него появился в 12 лет, а школу он окончил в 16. Клостер говорит, что работал во многих крупных компаниях Омска как системный администратор, веб-разработчик и фотограф. По словам Клостера, его первой настоящей работой было управление собственной фирмой интернет-рекламы в Омске.

Также известно, что определенное время Емельянцев жил в Нью-Йорке, получив визу США в Бангкоке. «Требовалось что-то новое, и я решил уехать из Омска и попробовать жить в Штатах. Я открыл для себя американскую визу, получить ее было несложно. И вот я переехал жить в Нью-Йорк, крупнейший город мира, в страну, где сбываются все желания. Но даже этого мне было мало, и с тех пор я начал путешествовать по миру», — писал Клостер в 2013 году .

В 2016 году на Deniskloster.com был опубликован пост, посвященный трем годам работы сайта. В записи говорилось, что анонимный бизнес Клостера вырос почти до 20 сотрудников.

«Благодаря вам мы сейчас развиваемся в сфере информационной безопасности и анонимности! Мы делаем продукты, которыми пользуются тысячи людей по всему миру, и это очень круто! И это только начало!!! Мы не просто работаем вместе, и мы не просто друзья, мы — Семья», — писал Емельянцев в блоге.

«RSocks прекращает свое существование, но не беспокойтесь. Все активные планы и остатки средств будут переведены в другой сервис. Следите за обновлениями. Мы сообщим вам его название и все подробности позже», — написал Емельянцев на форуме BlackHatWorld после закрытия ботнета RSOCKS.

#RSOCKS #Ботнет #Деанонимизация

ITsec NEWS Открыть/Комментировать

2022-06-23 14:58:21 ​ Китай использует новый троян Yahoyah.

Исследователи кибербезопасности обнаружили кампанию новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Кампания приписывается китайской хакерской группе Tropic Trooper.

Троян входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует бомбер как встроенный исполняемый файл.

В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, — чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.

Эта нагрузка — новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2-сервер. Окончательная полезная нагрузка кодируется в JPG-изображение с использованием стеганографии. Собранная трояном информация включает имя компьютера, MAC-адрес, версию ОС, информацию об установленном антивирусном ПО, данные о наличии файлов WeChat и Tencent.

#Китай #Троян #Yahoyah

ITsec NEWS Открыть/Комментировать

2022-06-23 13:00:19 ​ Киберспецназ провел DDoS-атаку на Литву.

Из-за введенного запрета на ЖД-перевозку российских товаров киберспецназ атаковал государственные ресурсы Литвы и критически важную инфраструктуру. Конкретная причина — отказ Вильнюса пропустить сталь и железную руду через Калининград.

21 июня группа указала множество целей для скоординированных DDoS-атак. Они распределились между «подразделениями», которые состоят из добровольцев. Основная задача — кратковременное отключение или временная недоступность ресурса для сбоя работы жертвы.

В списке целей ресурсы критической инфраструктуры в Литве. Среди них логистические компании, транспортная инфраструктура, крупные финансовые учреждения и т.д.

#DDoS #Киберспецназ #Литва

ITsec NEWS Открыть/Комментировать