SecAtor

2021-03-03 11:18:52 Еще одно внеочередное обновление - патч для Microsoft Exchange, исправляющий четыре 0-day уязвимости, эксплойты которых, судя по всему, являются составляющими боевого эксплойт-кита.

Как заявляет Microsoft, этот эксплойт-кит принадлежит китайской APT Hafnium. Говорят, что обсуждают эту группу впервые, но нас не оставляет ощущение, что где-то мы подобное обозначение слышали.

По данным исследователей, Hafnium нацелены в первую очередь на организации в США. С помощью своего эксплойт-кита хакеры могли осуществить полный цикл проникновения от прохождения аутентификации до RCE. Конечная цель - поиск и эксфильтрация информации.

Соответственно, рекомендуем срочно обновить свои сервера Microsoft Exchange. Открыть/Комментировать

2021-03-03 10:49:41 Вышло обновление десктопной версии Chrome 89.0.4389.72, в котором исправлена уязвимость CVE-2021-21166, используемая неустановленными злоумышленниками в дикой природе. Как всегда технических подробностей нет (обещают позже, когда большая часть пользователей обновится), известно лишь, что ошибка была найдена в феврале Эллисон Хафман из Microsoft. Предположим, что приводит к RCE.

Кроме CVE-2021-21166 устранены еще 7 критических уязвимостей и куча остальных. Тем, кто использует десктопный Chrome - просто необходимо обновиться. Открыть/Комментировать

2021-03-02 19:38:00 Открыть/Комментировать

2021-03-02 18:35:16 Каталин Чимпану, который убежал из ZDNet в The Record, пишет, что вчера французский исследователь Жюльен Вуазен обнаружил на Virus Total боевой эксплойт знаменитой уязвимости Spectre.

Напомним, что обнаруженная в 2018 году Spectre стала вместе с Meltdown первыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.

Имевшиеся ранее в паблике эксплойты представляли собой достаточно безобидные варианты первоначального PoC, а доказательств использования Spectre в дикой природе не было.

Однако Вуазен обнаружил полностью рабочий эксплойт для Linux, сбрасывающий содержимое /etc/shadow, в котором находятся данные учетных записей, в том числе зашифрованных паролей. Также присутствовал эксплойт для Windows, однако ресерчер его не рассматривал.

В отношении происхождения эксплойта француз лишь заметил, что такое атрибутирование является простой задачей, но не стал называть конкретного виновника. Тем не менее, инфосек эксперты быстро раскусили, что скорее всего эксплойты являются модулями инструмента для пентестинга CANVAS от компании Immunity. По имеющимся данным, взломанные версии CANVAS гуляют по закрытым Telegram-каналам как минимум с октября 2020 года.

Теперь же можно считать дни до попадания эксплойтов Spectre в паблик и массовых атак по всем направлениям. Открыть/Комментировать

2021-03-02 17:26:18 18 февраля исследователи компании Red Canary сообщили о странном вредоносе для macOS, обнаруженном более чем на 29 тыс. устройствах в 153 странах мира. Они назвали его Silver Sparrow.

Было найдено две версии вредоноса, одна из которых работает и на новом чипе M1, представленном Apple только в ноябре прошлого года. Таким образом, Silver Sparrow - это второй выявленный вредонос после обнаруженного также в середине февраля Pirrit.

Первая особенность Silver Sparrow была в использовании macOS Installer JS API, что отличает его от других вредоносов для macOS.

Вторая странность заключалась в отсутствии полезной нагрузки - раз в час вредонос отстукивался на управляющий центр, но ничего оттуда не получал.

Третья отличительная черта - наличие механизма полного удаления с атакованной машины следов своего присутствия в случае нахождения некоего пустого файла.

И, наконец, четвертая загадочная черта - наличие в обеих версиях Silver Sparrow сторонних двоичных файлов, в одном из которых содержалась фраза "Hello, World!", а в другом - "You did it!". Оба файла могут быть запущены только жертвой вручную.

Источник и каналы распространения Silver Sparrow остались неизвестными.

А сегодня свой голос подали словаки из ESET, которые сообщили, что обнаружили Silver Sparrow еще в сентябре прошлого года. С момент обнаружения исследователи также не заметили каких-либо следов полезной нагрузки, но обнаружили файл конфигурации, который хранится в корзине AWS S3.

Короче говоря, понятнее не стало. С одной стороны - продвинутый вредонос, модифицируемый под M1 и имеющий массовый охват, с другой - отсутствие вредоносной активности в течение полугода.

Загадочный инфосек - все как мы любим. Открыть/Комментировать

2021-03-02 14:32:00 ​​Вчера мы писали пост про атаку китайской APT RedEcho на индийский энергетический сектор, отчет о которой выдала инфосек компания RecordedFuture.

Сегодня продолжение про кибервойну Китая с Индией.

Reuters с подачи другой инфосек компании Cyfirma рассказала о кибероперации китайской APT, направленной на индийских производителей вакцин.

Как известно, в Индии фарма очень сильно развита. Кроме 60% всех вакцин, продаваемых в мире, индусы производят множество дженериков (лекарство, идентичное запатентованному, но производимое без лицензии и из-за этого гораздо более дешевое).

По данным исследователей, целями стали два фармацевтических гиганта - Bharat Biotech и Serum Institute of India. Вторая компания так вообще является крупнейшим в мире производителем вакцин. В настоящее время она, в числе прочего, выпускает по лицензии вакцину AstraZeneca от COVID-19. Правда, к примеру, украинцы, которым эту вакцину привез тов. Голобородько, прививаться не хотят - говорят, что не айс.

Атаковали индусов китайские хакеры из APT 10 aka Stone Panda. Группа старая, считается, что за ней стоит китайское МГБ. Ломали они много и успешно, в том числе и японскую фарму. Периодически использовали атаки на цепочку поставок.

Вот и в этот раз Stone Panda атаковали как IT-инфраструктуру индийских компаний напрямую, так и их цепочку поставок. Технических подробностей, к сожалению, нет, поскольку отчет в исходнике Cyfirma не выложили (ну или мы слепошарые не нашли).

Согласно комментарию Кумара Ритеша, генерального директора Cyfirma, основной целью хакеров была кража интеллектуальной собственности. Так что обвинить китайцев в попытке подрыва процесса производства вакцин от COVID-19 вряд ли получится, даже Reuters не попытались.

Кстати, интересный факт - Кумар Ритеш является бывшим высокопоставленным сотрудником киберподразделения британской разведки МИ-6 (где-то заикал Илья Константинович Сачков, который такое не любит, ну в России точно).

А мы говорили вчера, что продолжение следует. Китайские и индийские товарищи просто так не успокоятся. Открыть/Комментировать

2021-03-02 13:04:00 Нас спрашивают почему мы не пишем про новый релиз джейлбрейка unc0ver, который теперь поддерживает все версии iOS вплоть до 14.3.

Да просто потому, что текущая версия iOS - это 14.4. А значит для всех наших подписчиков новый джейлбрейк не актуален, так как они своевременно проводят обновление своих устройств.

А кто этого не делает - том сам себе злобный Буратина. Открыть/Комментировать

2021-03-02 12:24:51 ​​Мы рассказывали в сентябре, что сеть американской компании Universal Health Services (UHS), которая является крупным поставщиком медицинских услуг и имеет под управлением более 400 больниц в США и Великобритании, подверглась атаке ransomware Ryuk. В результате были прекращены лабораторные исследования, пациенты перенаправлялись в другие медицинские учреждения. В некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.

И вот теперь UHS выпустила финансовый отчет, в котором оценила суммарные потери от атаки вымогателя в 67 млн. долларов.

В стотысячепятнадцатый раз оставляем комментарий, что информационная безопасность вышла бы существенно дешевле. Открыть/Комментировать

2021-03-01 22:00:20 Жуткий оффтоп и тем не менее.

Иллюстрация эволюции советских и российских реактивных истребителей c Reddit. Прямо распечатать и на стенку. Очень круто. Открыть/Комментировать

2021-03-01 18:01:07 Настало время создавать продукты для обеспечения приватности и доступа к информации!

20-21 марта РосКомСвобода @roskomsvoboda и Privacy Accelerator проведут хакатон DemHack2.

Участники хакатона будут искать технические решения, которые помогут гражданам защитить свои данные, обеспечить безопасность коммуникаций, сохранить приватность частной жизни, раскрыть важную для общества информацию и наладить связь даже в условиях шатдауна.

Команды могут воплотить в жизнь одно из предложенных на сайте решений или подать заявку со своим проектом.

Лучшие команды получат приставку Sony PlayStation 5 или 65 000 рублей и, конечно, поддержку в дальнейшем развитии своих проектов.

Приём заявок – до 11 марта.

Подробности и регистрация на сайте:
https://demhack.ru Открыть/Комментировать