ITsec NEWS

2022-06-15 12:11:11 ​ Кибервымогатели требуют 4,5 миллиона долларов выкупа с Пизанского университета.

Согласно требованиям злоумышленников, университет должен выплатить 4,5 миллиона долларов до 16 июня. Атака произошла в крайне тяжелое время для Италии, уже ослабленной другой кибератакой, посеявшей хаос в Палермо.

BlackCat использует чат в браузере Tor для общения с жертвами.

«Эта сумма [4,5 миллиона долларов] необходима для восстановления доступа к зашифрованным файлам», — говорится в записке, просмотренной CyberSecurity360. BlackCat угрожает распространить секретные жизненно важные данные университета, если выкуп не будет выплачен в срок.

CyberSecurity360 обратился в Пизанский университет за официальным заявлением по поводу взлома, но на момент написания статьи ответа не последовало.

#Хакеры #Кибервымогатели #Выкуп

ITsec NEWS Открыть/Комментировать

2022-06-14 19:00:20 ​ Schneider Electric представила систему кибербезопасности зданий.

Schneider Electric и компания по промышленной кибербезопасности Claroty объявили о запуске совместного решения для обеспечения безопасности умных зданий.

Здания становятся все более интеллектуальными, но системы управления зданием часто подвержены уязвимостям, которые могут позволить злоумышленнику получить контроль над HVAC-сетями, дверями, системами безопасности и другими системами

Schneider Electric и Claroty стремятся устранить эти риски с помощью нового продукта «Cybersecurity Solutions for Buildings». Это решение предоставляет следующие возможности:

— инвентаризация IT-активов;
— управление рисками;
— удаленный доступ для дистанционного обслуживания систем;
— обнаружение угроз и реагирование на них.

Руководители объектов могут использовать это решение для автоматической идентификации активов (IoT, ИБП и другие системы). Функция обнаружения угроз постоянно отслеживает аномалии сети и активов.

Решение также обеспечивает безопасный удаленный доступ, который может использоваться поставщиками, подрядчиками и техническими специалистами для удаленного обслуживания. Пользователям также предоставляются информационные панели и возможности отчетности, которые могут быть полезны для групп управления и безопасности.

#SchneiderElectric #Кибербезопасность

ITsec NEWS Открыть/Комментировать

2022-06-14 18:39:31 ​ Уязвимый API Travis CI ставит под угрозу десятки тысяч пользователей бесплатного варианта сервиса.

Уязвимость в безопасности API Travis CI оставила десятки тысяч пользовательских токенов разработчиков и другую конфиденциальную информацию незащищенной. Хакеры могут использовать учетные данные для проведения атак на GitHub, Amazon Web Services, Docker Hub и другие популярные облачные сервисы.

В ходе исследования аналитики компании Aqua Security смогли получить доступ к более чем 770 млн логов, полных токенов для подключения к репозиториям в GitHub, паролей для размещения сборок в Docker Hub, ключей для доступа к окружениям Amazon Web Services и параметров подключения к СУБД MySQL и PostgreSQL. Все это может быть использовано хакерами для бокового перемещения через облачные сервисы с последующими атаками.

Специалисты Aqua Security повторно сообщили об уязвимости компании Travis и порекомендовали всем пользователям бесплатного варианта Travis CI срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.

Напомним, в апреле этого года хакеры уже смогли получить доступ к данным десятков организаций с помощью похищенных токенов OAuth GitHub. Хакеры воспользовались похищенными токенами OAuth, выпущенными для приложений Heroku и Travis-CI.

#TravisCI #Уязвимость #Хакеры

ITsec NEWS Открыть/Комментировать

2022-06-14 16:26:52 ​ Хакеры Sandworm атакуют украинские СМИ через уязвимость Follina.

Правительственная команда реагирования на компьютерные инциденты Украины узнала о фишинговой кампании: хакеры из России рассылают вредоносные письма украинским СМИ (радиостанциям, газетам, новостным агентствам и пр.). В общей сложности CERT-UA идентифицировала свыше 500 электронных адресов получателей.

Письма с темой «Список ссылок на интерактивные карты» рассылаются со взломанных почтовых ящиков правительственных учреждений. В них содержится документ «СПИСОКпосиланьнаінтерактивнікарти.docx», после открытия которого на систему получателя загружается HTML-файл и выполняется JavaScript-код, в свою очередь загружающий и выполняющий EXE-файл 2.txt. Этот файл идентифицируется как вредоносное ПО CrescentImp.

В ходе атаки злоумышленники эксплуатируют нашумевшую уязвимость CVE-2022-30190 в утилите диагностики Microsoft Windows Support Diagnostic Tool (MSDT), известную как Follina. Уязвимость позволяет удаленно выполнить код и затрагивает все поддерживаемые версии Windows. Официального исправления от Microsoft для нее нет, однако на платформе 0patch доступен неофициальный патч.

Как сообщает CERT-UA, за фишинговыми атаками на украинские СМИ может стоять APT-группа Sandworm, связываемая с правительством РФ.

#Хакеры #Sandworm #Follina

ITsec NEWS Открыть/Комментировать

2022-06-14 13:00:17 ​ Китайские хакеры пускают крысу в сети.

Китайская APT-группа Gallium использовала троян удаленного доступа ( RAT ) в своих шпионских атаках на компании в Юго-Восточной Азии, Европе и Африке. Согласно новому исследованию Palo Alto Networks Unit 42, бэкдор PingPull использует протокол межсетевых управляющих сообщений[ ( Internet Control Message Protocol, ICMP ) для управления и контроля (command-and-control, C2).

Вредоносное ПО на основе Visual C++ PingPull предоставляет злоумышленнику возможность доступа к обратной оболочке и выполнения произвольных команд на скомпрометированном хосте. Функции ПО включают в себя выполнение файловых операций, перечисление томов хранилища и временные метки файлов .

«Образцы PingPull отправляют пакеты ICMP Echo Request (ping) на сервер C2. Сервер C2 отвечает пакетом Echo Reply, чтобы выдать команды системе», — уточнили исследователи.

Также выявлены варианты PingPull, которые используют HTTPS и TCP для связи со своим сервером C2 вместо ICMP. Кроме того, эксперты обнаружили более 170 IP-адресов, связанных с группой. Злоумышленник использует доступные в Интернете приложения, чтобы закрепиться и развернуть модифицированную версию веб-оболочки China Chopper для обеспечения устойчивости.

«Gallium остается активной угрозой для телекоммуникационных, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке», — отметили исследователи.

«Хотя использование туннелирования ICMP не является новым методом, PingPull использует ICMP для затруднения обнаружения своих соединений C2, поскольку лишь немногие организации реализуют проверку трафика ICMP в своих сетях», — добавили специалисты.

#Китай #Хакеры #Интернет

ITsec NEWS Открыть/Комментировать

2022-06-14 12:05:00 ​ Группировка SeaFlower отравляет SEO крупнейших поисковых систем Китая.

Хакерская группировка SeaFlower провела кампанию против пользователей Android и iOS, сымитировав официальные сайты криптовалютных кошельков с целью распространения вредоносного приложения с бэкдором, которое похищает криптовалюту жертв.

На основании имен пользователей macOS, комментариев к исходному коду бэкдора и злоупотребление сетью доставки контента Alibaba исследователи предположили, что группа может быть связана с Китаем.

«Основная цель SeaFlower — модифицировать Web3-кошельки с помощью бэкдора, который извлекает сид-фразу», — сказал Таха Карим из Confiant.

Фишинговые приложения включают Coinbase Wallet, MetaMask, TokenPocket и imToken для Android и iOS. Кампания SeaFlower включает в себя создание фишинговых веб-сайтов для загрузки зараженной версии приложения, которое эксфильтрует сид-фразу на удаленный домен. SeaFlower также атаковала iOS пользователей с помощью профиля подготовки , который позволяет загружать приложения на устройства.

#SeaFlower #Android #iOS #SEO

ITsec NEWS Открыть/Комментировать

2022-06-13 20:08:47 ​ Android-вредоносы маскируются под модифицированные приложения Instagram.

Исследователи безопасности из McAfee обнаружили, что пользователи Instagram все чаще становятся жертвами «модифицированных» версий приложения, в которые встроено вредоносное ПО. Мошенники заманивали жертв, обещая приложение, которое разблокирует дополнительные функции Instagram с помощью «доступа» к API социальной сети.

Специалисты также обнаружили крупные Youtube-аккаунты, владельцы которых делают гайды по использованию приложений, наполненных вредоносным ПО, тем самым подвергая опасности своих подписчиков.

Схема кражи учетных данных достаточно проста: жертва устанавливает приложение, вводит имя пользователя и пароль Instagram в появившемся окне, учетные данные попадают к злоумышленнику, хакеры обманывают жертв, убеждая их в том, что учетные данные нужно предоставить для проверки через API Instagram.

Проведя проверку, исследователи McAfee не обнаружили в исходном коде приложения многих обещанных функций. Злоумышленники обманули пользователей дважды, при этом украв их учетные данные.

Специалисты попытались накрутить подписчиков с помощью одного из «модифицированных» приложений и заметили, что вместе с ростом количества подписчиков растет и количество подписок. Это говорит об использовании аккаунтов жертв для накрутки подписчиков другим пользователей.

Сбор учетных данных стал крайне распространенной тактикой хакеров. Некоторые кампании злоумышленников приносят им миллионы долларов.

Напомним, ранее сообщалось про массовую фишинговую кампанию в Facebook и Messenger, затронувшую 8,5 млн. пользователей. Кампания распространяла рекламу и принесла злоумышленнику несколько миллионов долларов.

#Android #Instagram #Безопасность

ITsec NEWS Открыть/Комментировать

2022-06-13 16:04:04 ​ Microsoft работает над созданием музыкального «хранилища судного дня».

Microsoft работает над созданием всемирного музыкального хранилища, которое будет хранить музыку тысячи лет. Музыкальное хранилище будет расположено там же, где и всемирное хранилище семян – на Шпицбергене.

Проект Microsoft получил название Project Silica и представляет собой стеклянный жесткий диск, способный вмещать до 100 Гб цифровых данных. Кварцевое стекло имеет симметричную молекулярную структуру, что делает его более устойчивым к высоким температурам и давлению.

"На этих дисках будут сохранены самые важные музыкальные файлы. Они отправятся в хранилище и останутся навсегда в истории", – говорит компания Elire Group занимающаяся проектированием хранилища.

Вместе с Microsoft, компания тестирует систему хранения на основе кварцевого стекла, которая может сохранить музыку дольше, чем любой доступный нам носитель информации.

Используя фемтосекундный лазер, который может работать в течение одной квадриллионной доли секунды, компания Microsoft вытравливает информацию в виде трехмерных узоров на стекле. После сохранения данных другой лазер считывает узоры, а алгоритмы машинного обучения преобразуют рисунок в музыку, фильмы или любую другую цифровую информацию.

По словам Анта Роустронга, инженера и заместителя директора лаборатории Microsoft Research в Кембридже, целью компании является создание стеклянного носителя информации, способного хранить огромные объемы данных.

#Microsoft #МузыкальноеХранилище

ITsec NEWS Открыть/Комментировать

2022-06-13 15:30:02 ​ Ваш браузер хранит все пароли в открытом виде.

По словам исследователя безопасности CyberArk Зеева Бена Пората, веб-браузер может хранить конфиденциальные и учетные данные, а также cookie файлы в виде открытого текста в памяти. Недостаток содержится в браузерах на базе Chromium, в том числе Google Chrome , Microsoft Edge , Brave и Mozilla Firefox .

Физический доступ к целевому устройству не требуется, поскольку для извлечения данных достаточно удаленного доступа. Извлечение может быть выполнено из любого процесса без повышенных прав. По словам Зеева Бена Пората, можно «загрузить в память все пароли, которые хранятся в диспетчере паролей». Даже двухфакторная аутентификация не защитит учетные записи пользователя, если в памяти присутствуют cookie данные. Извлечение данных может привести к перехвату сеанса.

Исследователь описал несколько типов учетных данных в открытом виде, которые можно извлечь из памяти браузера:

— Имя пользователя + пароль, используемые при входе в веб-приложение;
— URL + имя пользователя + пароль автоматически загружаются в память при запуске браузера и хранятся в данных для входа;
— Все cookie файлы, принадлежащие определенному веб-приложению (включая сеансовые cookie файлы)

Эксперт сообщил о проблеме Google, и компания отметила эту проблему как «неисправляемая». Причина в том, что Chromium не может исправить проблемы, связанные с атаками, которые требуют физический локальный доступ
Зеев Бен Порат опубликовал в блоге CyberArk дополнительную статью, в которой описаны варианты смягчения последствий и различные типы атак с использованием этой проблемы. Кроме того, пользователь Windows может использовать бесплатный инструмент Process Hacker для тестирования своего браузера.

#Уязвимость #Пароль

ITsec NEWS Открыть/Комментировать

2022-06-13 14:50:00 ​ Пакеты PyPI содержат бэкдор.

Пакеты PyPI «keep», «pyanxdns», «api-res-py» содержат бэкдор из-за наличия вредоносной зависимости «request».

Большинство версий пакета «keep» используют запросы (requests) Python модуля для выполнения HTTP-запросов, пакет «keep» v.1.2 содержит «request» (без s ), который является вредоносным ПО. Вредоносная зависимость «request» также была обнаружена в некоторых версиях PyPI-пакетов «pyanxdns» и «api-res-py».

В мае пользователь GitHub duxinglin1 заметил, что уязвимые версии содержат зависимость «request» с ошибкой, а не законную библиотеку запросов (requests).

Были выявлены следующие уязвимости:

— CVE-2022-30877 — пакет «keep» версии 1.2 содержит «запрос» бэкдора;
— CVE-2022-30882 — затронут пакет «pyanxdns» версии 0.2;
— CVE-2022-31313 — затронут пакет «api-res-py» версии 0.1.

Разработчик пакета «pyanxdns» Марк Эгебек подтвердил, что ситуация произошла из-за опечатки, а не из-за компрометации учетной записи. Видимо, авторы пакетов «keep» и «api-res-py» также случайно ввели «request» вместо правильного «requests» из-за опечатки. Разработчик повторно загрузил новую версию в PyPI и удалил версию, которая ссылается на вредоносную зависимость «request».

#PyPi #Бэкдор

ITsec NEWS Открыть/Комментировать