DarkNetNews

2023-11-26 17:32:27 Опенсорсный проект Blender столкнулся с мощными DDoS-атаками

Разработчики опенсорсного проекта Blender, предназначенного для работы с 3D-графикой, сообщили, что их сайт подвергается мощным DDoS-атаками, которые начались еще в прошлые выходные.

По словам команды проекта, атаки начались 18 ноября 2023 года и вызвали серьезные и затяжные перебои в работе сайта и сервисов Blender.

При этом даже в те короткие периоды времени, когда злоумышленники приостанавливали атаки, инфраструктура Blender оказывалась перегружена из-за большого количества нерассмотренных легитимных запросов, что тоже затрудняло работу серверов.

В итоге, после четырех дней почти непрерывного DDoS’а, команда проекта перевела основной сайт под защиту CloudFlare, что позволило немного снизить воздействие атак. Открыть/Комментировать

2023-11-24 17:02:43 Microsoft: группировка Lazarus взломала CyberLink ради атаки на цепочку поставок

Эксперты обнаружили, что северокорейская хак-группа Diamond Sleet (она же ZINC, Labyrinth Chollima и Lazarus) взломала тайваньскую компанию CyberLink, разрабатывающую мультимедийное ПО, и заразила трояном один из ее установщиков, чтобы организовать атаку на цепочку поставок, направленную на жертв по всему миру.

По данным специалистов Microsoft Threat Intelligence, активность, связанная с измененным установщиком CyberLink, впервые проявилась еще 20 октября 2023 года.

Зараженный малварью инсталлятор размещался в принадлежащей CyberLink инфраструктуре обновлений и к настоящему времени обнаружен более чем на 100 устройствах по всему миру, включая Японию, Тайвань, Канаду и США.

Полезная нагрузка второго этапа, обнаруженная в ходе изучения этой атаки, взаимодействует с инфраструктурой, которую ранее скомпрометировала Lazarus. Поэтому Microsoft с высокой степенью уверенности приписывает атаку именно этой северокорейской кибершпионской группировке. Открыть/Комментировать

2023-11-22 17:33:03 Операторы вымогателя Rhysida взяли на себя ответственность за взлом Британской библиотеки

Хак-группа, стоящая за вымогателем Rhysida, взяла на себя ответственность за кибератаку на национальную библиотеку Великобритании, произошедшую в октябре. Из-за этого инцидента крупнейшая национальная библиотека мира столкнулась с серьезными проблемами в работе, которые продолжаются до сих пор.

На прошлой неделе Британская библиотека подтвердила, что причиной масштабного сбоя в ее работе стала вымогательская атака. Злоумышленники зашифровали системы библиотеки в субботу, 28 октября, и возникший в результате этого сбой продолжает оказывать влияние на работу онлайновых систем, сервисов и Wi-Fi сетей Британской библиотеки. Так, сайт учреждения по-прежнему не работает, спустя почти три недели после атаки.

По оценкам представителей библиотеки, в течение ближайших нескольких недель будет восстановлена работа многих сервисов, однако различные сбои могут продолжаться еще долго.

Ежегодно сайт библиотеки посещают более 11 млн человек, а доступ к ее фондам ежедневно получают более 16 000 человек как в офлайне, так и через интернет. Открыть/Комментировать

2023-11-20 17:04:35 Роскомнадзор будет блокировать сайты с информацией об обходе блокировок

В конце прошлой недели СМИ, со ссылкой на постановления кабмина, сообщили, что теперь Роскомнадзор (РКН) официально наделили полномочиями блокировать сайты с информацией о способах обхода блокировок.

Теперь РКН сможет вносить в Единый реестр запрещенной информации сервисы, где содержатся сведения «о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации».

Напомним, что в начале сентября наделить Роскомнадзор такими полномочиями предложили в Минцифры. Тогда специалисты предупреждали, что в случае принятия этих поправок под запретом могут оказаться сайты со списками VPN, а также с инструкциями по созданию собственных VPN и прокси-серверов.

Вскоре после этого РНК представил проект приказа, в котором содержались критерии для внесения ресурсов в реестр, — их будет семь. Например, Роскомнадзор сможет блокировать сайты с информацией о методах и способах использования запрещенных ресурсов и рекламой соответствующих программ. Также поводом для блокировки могут стать «наличие информации, направленной на убеждение в привлекательности использования способов», а также «наличие информации, обосновывающей достоинства использования» способов обхода блокировок и «дающей положительную оценку или одобрение действиям по использованию таких способов, методов». Открыть/Комментировать

2023-11-18 17:03:02 Сотни сайтов-клонов перенаправляют посетителей на китайские игорные сайты

Шведская правозащитная организация Qurium обнаружила около 250 сайтов-клонов, полностью копирующих реально существующие ресурсы различных организаций. Оказалось, эти копии существуют только для того, чтобы направлять людей на связанные с Китаем игорные сайты.

В докладе Qurium говорится, что одним из первых свой клон обнаружило филиппинское СМИ MindaNews. Сайт был переведен на китайский язык и снабжен рекламой азартных игр.

Дальнейшее расследование выявило сотни подобных реплик. Среди организаций, чьи сайты были полностью скопированы, оказались частные компании, университеты и публичные библиотеки.

При этом расследование показало, что часть рекламы азартных игр, найденная на 520xingyun[.]com, связана «с физическим адресом на острове Мэн, “налоговым раем”, где зарегистрировано несколько компаний, занимающихся азартными играми». Открыть/Комментировать

2023-11-16 18:32:57 Правоохранители ликвидировали ботнет IPStorm. Его создатель признал себя виновным

Министерство юстиции США сообщает, что ФБР ликвидировало сеть и инфраструктуру прокси-ботнета IPStorm. Ранее его создатель, Сергей Макинин, гражданин России и Молдовы, признал себя виновным по трем пунктам обвинения, и теперь ему грозит наказание в виде 10 лет лишения свободы по каждому из них.

Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который вредонос использовал для связи с зараженными системами и передачи команд.

Позже IPStorm эволюционировал и научился атаковать устройства под управлением Android, macOS и Linux, включая IoT-девайсы. В итоге ботнет позволял хакерам и мошенникам анонимно пропускать вредоносный трафик через зараженные устройства по всему миру. Как пишут теперь правоохранители, жертвы IPStorm невольно становились соучастниками действий киберпреступников и рисковали получить более опасную полезную нагрузку в любой момент. Открыть/Комментировать

2023-11-14 17:04:04 Австралийские порты пострадали от кибератаки «национального масштаба»

На прошлой неделе крупнейший портовый оператор Австралии, компания DP World, приостановил работу в нескольких портах страны после кибератаки. В результате почти 30 000 транспортных контейнеров с потребительскими товарами (включая электронику, одежда и продукты питания), застряли в портах Австралии в минувшие выходные.

Из-за хакерской атаки австралийский филиал дубайской логистической компании DP World был вынужден приостановить работу контейнерных терминалов в нескольких городах, включая Сидней, Мельбурн, Брисбен и Фримантл.

Так как после обнаружения атаки компания отключила свои системы от интернета, корабли могли осуществлять разгрузку, однако грузы не могли покинуть порт. И хотя в настоящее время работа портов уже восстанавливается, согласно заявлениям компании, инцидент пока не исчерпан до конца. Открыть/Комментировать

2023-11-12 17:02:36 Вредоносная реклама имитирует новостной сайт и распространяет троянизированный CPU-Z

Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы. На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.

Новые мошеннические объявления были обнаружены специалистами Malwarebytes, которые считают, что эта активность является частью замеченной ранее вредоносной кампании. Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.

На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport. Открыть/Комментировать

2023-11-08 17:32:48 Ботнет Socks5Systemz заразил более 10 000 устройств, превращая их в прокси

Аналитики из компании BitSight обнаружили прокси-ботнет Socks5Systemz, который заражает компьютеры по всему миру через загрузчики PrivateLoader и Amadey, и в настоящее время насчитывает более 10 000 скомпрометированных устройств.

Согласно отчету BitSight, этот ботнет существует с 2016 года, но до недавнего времени оставался незамеченным. Малварь заражает компьютеры жертв и превращает их в прокси-серверы, которые используются для перенаправления вредоносного, незаконного и анонимного трафика. Доступ к Socks5Systemz продается другим преступникам, которые платят от 1 до 140 долларов в день в криптовалюте за использование мощностей ботнета.

Упомянутые PrivateLoader и Amadey распространяются самыми разными способами: посредством фишинга, наборов эксплоитов, вредоносной рекламы, троянизированных исполняемых файлов, загруженных из P2P-сетей и так далее.

Образцы, изученные исследователями, назывались previewer.exe, и их задача заключалась во внедрении прокси-бота в память хоста и закреплении в зараженной системе через службу Windows под названием ContentDWSvc. Открыть/Комментировать

2023-11-06 17:32:38 Flipper Zero приспособили для Bluetooth-спама на устройства под управлением Android и Windows

В альтернативной прошивке Xtreme для Flipper Zero появилась функция для проведения Bluetooth-атак на устройства под управлением Android и Windows. Ранее подобный Bluetooth-спам на iOS-девайсы демонстрировал ИБ-исследователь, который и вдохновил энтузиастов на эксперименты с другими платформами.

Напомним, что в сентябре 2023 года ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

Дело в том, что устройства Apple, поддерживающие технологию Bluetooth Low Energy (BLE), используют рекламные пакеты (ADV-пакеты) для оповещения других устройств о своем присутствии. Пакеты ADV широко используются в экосистеме Apple для обмена данными по протоколу AirDrop, подключения Apple Watch или AppleTV, активации функции Handoff и во многих других сценариях.

Flipper Zero способен подделывать такие ADV-пакеты и передавать их через BLE. В итоге устройства с поддержкой BLE, находящиеся в неподалеку, будут воспринимать эти пакеты как запросы на подключение. То есть эту особенность можно использовать для отправки жертве множества фальшивых запросов, затрудняя распознавание настоящих устройств, имитируя доверенные устройства для проведения фишинговых атак и так далее. Открыть/Комментировать