SecAtor

2024-06-03 12:57:23 ͏По следам бременских музыкантов.

В комментах под вот этим вот постом нас обвинили в дамаг контроле CDEK и перекладывании ответственности за взлом с украинских расовых хохлов хакеров на американских расовых пендосов тоже хакеров.

Всем ганьба!

Мы тут пошукали немного по закромам инфосек пространства и имеем сказать - мы были таки правы в своем посте. Взлом CDEK случился за 10 (!) дней до того, как Head Mare взяли на себя ответственность за сие действо. Ломали с помощью утекших Babuk и Lockbit и все это время ждали выкупа. Как не дождались - пошли отбивать вложенное через политику.

Поэтому выводов ровно два:

1. Товарищу Гольдорту следовало бы таки выделять средства на информационную безопасность, а не корпоративы в Тбилиси устраивать.

2. Украинские хакеры - это, в первую очередь, про деньги. Открыть/Комментировать

2024-05-31 20:00:04 Добро пожаловать в матрицу!

Швейцарский стартап FinalSpark запустил онлайн-платформу Neuroplatform, реализующую доступ к органоидам человеческого мозга (биологическим нейронам, выращенным in vitro) в качестве биопроцессоров.

Создав первый в мире биопроцессор, исследователи FinalSpark выяснили, что можно значительно сократить потребление энергии ИИ, подключив его к биопроцессорам.

Современные методы обучения ИИ требует задействования большого объема энергии: один LLM, такой как GPT-3, потребляет до 10 ГВтч, а человеческий мозг работает всего на 20 Вт.

Ученые смогли запустить биопроцессор, поместив ткани мозга в мультиэлектронные матрицы MEAs.

Мозговые клетки размещаются в инкубаторах при температуре тела, снабжаются водой и питательными веществами, а также защищаются от бактериального или вирусного заражения.

Каждый MEA содержит четыре органоида мозга, подключенных к восьми электродам, которые одновременно стимулируют органоиды и записывают данные, которые они обрабатывают.

Данные передаются через цифро-аналоговые преобразователи с разрешением 16 бит и частотой 30 кГц. Срок службы установки – до нескольких месяцев.

За последние три года в нейроплатформе использовалось более чем 1000 органоидов мозга, что позволило собрать более 18 ТБ данных.

Правда, как сообщают исследователи, им еще удалось понять, имеют ли органоиды мозга разум или могут ли вообще быть разумными.

Если ученые все же додумаются снабдить MEAs возможностью простраивать нейтронные связи, то следом за матрицей определенно стоит ожидать Скайнет. Открыть/Комментировать

2024-05-31 17:40:02 Журналисты The Guardian пролили свет на десятилетнюю секретную операцию Израиля, связанную с кибершпионажем и давлением на членов Международного уголовного суда (МУС).

Спецслужбы Израиля задействовали все свои самые передовые киберинструменты и перехватывали переписку, звонки, электронные письма и документы должностных лиц МУС, в том числе главного прокурора Карима Хана и его предшественницы на посту Фаты Бенсуда.

Благодаря этому премьер-министру Израиля Биньямину Нетаньяху удалось заранее узнать о намерениях прокурора выдать ордера на арест израильтян.

По данным журналистов, разведоперация была под особым контролем Нетаньяху и велась с позиции Шин Бет, Аман и Unit 8200.

Инициирована она была в 2015 году после признания в ООН и присоединения Палестины к суду, а приступившая тогда к расследованию ситуации в Палестине Фату Бенсуда получила первые угрозы буквально уже через месяц.

По словам источников, благодаря полному доступу к палестинской телекоммуникационной инфраструктуре сотрудники разведки могли перехватывать звонки, не устанавливая шпионское ПО на устройства чиновников МУС.

По словам нынешних и бывших сотрудников разведки, военные кибернаступательные группы и Шин Бет систематически следили за сотрудниками палестинских НПО и Палестинской администрации, которые сотрудничали с МУС, с помощью шпионского ПО Pegasus от NSO.

Позже, когда дело запахло жаренным, Бенсудой занялся сам шеф Моссада Йосси Коэн, который провел ряд неформальных встреч с ней, буквально каждый раз неожиданно появляясь рядом с ней из ни от куда.

Не сумев найти общий язык, израильская разведка накопала кучу компромата на супруга прокурора МУС, однако и это не помогло. И в конце 2020 года Бенсуда передала дело Палестины в палату предварительного производства.

В этот момент израильтяне обратились за помощью к США, которым также МУС угрожал расследованиями военных преступлений в Афганистане.

По итогу США ввели против Бенсуды санкции и ограничения, сославшись на неконкретную информацию о финансовой коррупции и должностных преступлениях на самых высоких уровнях прокуратуры МУС.

В свою очередь, офицеры израильской разведки сами стали объектом расследования со стороны МУС, членов которого заблаговременно предупредили о слежке.

Теперь результаты на первых заголовках ведущих СМИ Ближнего Востока и Запада, а Бенсуда завершила расследование дела Палестины, положив начало процессу, который сейчас может привести к уголовным обвинениям.

В общем, демократия на демократии едет и демократией погоняет. Открыть/Комментировать

2024-05-31 16:10:02 Ресерчеры ThreatFabric продолжают отслеживать APT LightSpy, обнаружив на сей раз задействуемую группой версию шпионского ПО для macOS.

Вредоносная программа также известна как F_Warehouse и представляет собой модульную платформу слежения за iOS и Android, позволяя красть широкий спектр данных с мобильных устройств, включая файлы, снимки экрана, геолокацию, записи разговоров и платежную информацию WeChat, а также данные из Telegram и QQ Messenger.

Новая версия LightSpy для macOS подтверждает широкую сферу применения инструмента, ранее известного только для устройств Android и iOS.

Злоумышленники, стоящие за фреймворком, используют его для атак на цели в Азиатско-Тихоокеанском регионе.

Согласно новому отчету ThreatFabric, имплант macOS активен в дикой природе по крайней мере с января 2024 года.

Однако в настоящее время его работа, похоже, ограничивается тестовыми средами, а зараженные хосты принадлежат исследователям.

Ресерчеры смогли проникнуть в панель управления LightSpy, воспользовавшись неправильной конфигурацией, и подробно изучить функционал и инфраструктуру, а также выделить зараженные устройства.

Злоумышленники используют CVE-2018-4233 и CVE-2018-4404 в WebKit для запуска выполнения кода в Safari, ориентированном на macOS 10.13.3 и более ранние версии.

Первоначально на устройство доставляется 64-битный двоичный файл MachO, замаскированный под файл изображения PNG (20004312341.png), который расшифровывает и выполняет встроенные сценарии, извлекая второй этап.

Полезная нагрузка второго этапа загружает эксплойт повышения привилегий (ssudo), утилиту шифрования/дешифрования (ddss) и ZIP-архив (mac.zip) с двумя исполняемыми файлами (update и update.plist).

В конце концов, сценарий оболочки расшифровывает и распаковывает эти файлы, получая root-доступ на взломанном устройстве и устанавливая постоянство в системе, настраивая двоичный файл «обновления» для выполнения при запуске.

Следующий шаг выполняется компонентом macircloader, который загружает, расшифровывает и запускает LightSpy Core, действуя как центральная система управления плагинами для структуры шпионского ПО и отвечая за связь с C2.

Ядро LightSpy также может выполнять команды оболочки на устройстве, обновлять его сетевую конфигурацию и устанавливать расписание активности, чтобы избежать обнаружения.

Платформа LightSpy реализует широкий функционал шпионажа, прежде всего, за счет различных плагинов, задействуя 14 плагинов для Android и 16 плагинов для iOS и 10 для macOS.

Плагины позволяют LightSpy выполнять комплексную эксфильтрацию данных из зараженных систем macOS, а его модульная конструкция обеспечивает гибкость эксплуатации.

В своем отчете ThreatFabric отмечает, что имея доступ к панели злоумышленника, они смогли подтвердить также существование имплантатов для Windows, Linux и маршрутизаторов, но пока не понимая, как именно они задействуются в атаках. Открыть/Комментировать

2024-05-31 14:26:20 Исследователи из Lumen's Black Lotus Labs сообщают о масштабном инциденте, в рамках которого вредоносный ботнет Pumpkin Eclipse в период с 25 по 27 октября 2023 года положил целого првайдера в ходе атаки на более чем 600 000 маршрутизаторов.

Несмотря на широкий последствия атака была нацелена на конкретного интернет-провайдера (ISP) в США и на три используемых им модели маршрутизаторов: ActionTec T3200s, ActionTec T3260s и Sagemcom F5380.

Причем для восстановления работы владельцам пришлось попросту заменить устройства.

Несмотря на то, что в отчете Black Lotus не назвала жертву, в тот же период глобальный сбой произошел у Windstream, о чем также свидетельствуют сообщения на Reddit и DSLReports.

Сама компания отказалась от комментариев.

Исследователи не смогли найти уязвимость, использованную для первоначального доступа, поэтому злоумышленники либо использовали 0-day, либо слабые учетные данные в сочетании с открытым административным интерфейсом.

Полезная нагрузка первого этапа - это bash-скрипт под названием get_scrpc, отвечающего за доставку второго сценария под названием get_strtriiush, который реализует основную полезную нагрузку Chalubo («mips.elf»).

Chalubo запускается из памяти и выдерживает 30-минутный интервал, избегая обнаружения и песочниц.

Использует шифрование ChaCha20 при взаимодействии с C2 и защиты канала связи, одновременно стирая все файлы с диска и меняя имя процесса после запуска.

Злоумышленник может отправлять команды боту через скрипты Lua, которые обеспечивают фильтрацию данных, загрузку дополнительных модулей или установку новых полезных нагрузок на зараженное устройство.

Chalubo реализует механизм персистентности, поэтому перезагрузка зараженного маршрутизатора не приводит к нарушению работы бота.

Малварь также поддерживает функцию DDoS, что указывает на его возможные операционные цели Pumpkin Eclipse.

Однако Black Lotus Labs так и не нашли каких-либо DDoS-атак со стороны ботнета.

Телеметрия Black Lotus Labs позволила задетектить 45 панелей вредоносного ПО Chalubo, взаимодействующих с более чем 650 000 уникальными IP в период 3 октября по 3 ноября 2023 года, большинство из которых в США.

Ресерчеры полагают, что злоумышленник мог приобрести доступ к панели Chalubo с конкретной целью - развертывания деструктивной полезной нагрузки на маршрутизаторах в рамках конкретной ASN.

При этом для наблюдавшейся атаки была задействована лишь одна из панелей, риентированная на конкретного американского интернет-провайдера.

К сожалению, исследователям не удалось найти полезную нагрузку, использованную для блокировки маршрутизаторов, поэтому они не смогли определить, как это было сделано и с какой целью, равно как и найти какие-либо связи между инфраструктурой вредоносного ПО и известными APT. Открыть/Комментировать

2024-05-31 12:45:27 Если кто не понял, скрин выше относится к Operation Endgame, в рамках которой западные спецслужбы из 20 стран совместно с Bitdefender, Sekoia, Shadowserver, Prodaft, Proofpoint и др. накрыли инфораструктуру шести крупнейших в мире вредоносных ботнетов.

Под раздачу попали крупнейшие загрузчики вредоносного ПО, включая Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC, Trickbot, которые, по данным силовиков, использовались для развертывания ransomware в рамках бизнес-модели host rental.

Помимо технической части операции под оперативный замес попали четверо подозреваемых (1 в Армении и 3 на Украине), было произведено 16 обысков: 1 в Армении, 1 в Нидерландах, 3 в Португалии и 11 на Украине.

Немецкая полиция также выкатила ордера на арест еще восьми подозреваемых, один из которых заскринился в буденовке, вменяя им участие в работе Smokeloader и Trickbot.

По оценкам следователей, участники ботнетов в совокупности могли заработать до 75 млн. долл., сдавав в аренду доступа к своей инфраструктуре операторам вымогателей, а сумма инкриминируемого ущерба исчисляется сотнями миллионов евро.

Во всей этой истории обращает на себя внимание тот факт, что все фотографии разыскиваемых лиц имеют отредактированный фон и судя по всему сделаны с камер их мобильных девайсов.

Ведь если нельзя, но очень хочется, то все можно. Открыть/Комментировать

2024-05-31 10:42:29 ͏Ничто не выдавало в Штирлице русского разведчика - ни буденовка, ни парашют за спиной (с) Открыть/Комментировать

2024-05-30 21:40:02 ͏Secure by Design Открыть/Комментировать

2024-05-30 20:20:02 Ресерчеры из Лаборатории Касперского обратили внимание на новые вызовы в сфере инфосека, связанные с активизацией кибератак через доверительные отношения.

В 2023 году такие атаки вошли в тройку наиболее часто используемых векторов. Обусловлено это тем, что российский рынок IT-аутсорсинга, как и мировой, продолжает демонстрировать уверенный рост - сервисные услуги пользуются все большей популярностью.

Но вместе с преимуществами, такими как экономия времени и ресурсов, делегирование непрофильных задач создает и новые угрозы.

Так, предоставляя доступ сторонним компаниям (поставщикам услуг или подрядчикам) в свою инфраструктуру, бизнес увеличивает риски возникновения атак Trusted Relationship Attack (по классификации MITRE ATT&CK - T1199).

Реализуя их, злоумышленники сперва получают доступ к сети поставщика услуг, а затем, если удается скомпрометировать действующие учетные данные для подключения к сети целевой организации, проникают в ее инфраструктуру.

В большинстве случаев подрядчики - это представители малого и среднего бизнеса, которые менее защищены, чем их крупные собратья. В том числе поэтому поставщики IT-услуг привлекают внимание атакующих.

Для злоумышленников этот вектор интересен тем, что позволяет провести масштабную атаку со значительно меньшими усилиями, чем в других случаях.

Атакующим достаточно получить доступ к сети поставщика услуг, чтобы подвергнуть киберриску всех его клиентов, вне зависимости от размера и сферы деятельности.

При этом злоумышленники, используя легитимное подключение, зачастую остаются незамеченными, так как для пострадавшей организации их действия в собственной инфраструктуре выглядят как действия сотрудников поставщика услуг.

По статистике за 2023 год, только каждая четвертая пострадавшая организация смогла выявить инцидент в рамках изучения подозрительной активности у себя в инфраструктуре, остальные же обнаружили проникновение уже после утечки или шифрования.

Дабы полностью погрузиться в суть вопроса лучше обратиться к первоисточнику и понять, каким злоумышленники получают доступ в сеть поставщика и реализуют атаку, а главное - как этому противодействовать. Открыть/Комментировать

2024-05-30 18:47:46 Вопреки заявлениям Check Point высокосерьезная 0-day VPN задействуется в атаках еще с апреля 2024 года, в ходе которых злоумышленники крадут данные Active Directory для горизонтального перемещения по сетям жертв.

В понедельник Check Point предупредила клиентов о нацеливании начиная с 24 мая на их шлюзы безопасности злоумышленниками с использованием старых локальных учетных записей VPN с небезопасной аутентификацией только по паролю.

Впоследствии компания обнаружила, что хакеры использовали уязвимость раскрытия информации (CVE-2024-24919) в этих атаках и выпустила срочные исправления для блокировки попыток эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark.

Однако исследователи Mnemonic поделились своими наблюдениями, согласно которым попытки эксплуатации CVE-2024-24919 в некоторых средах клиентов начались еще 30 апреля.

Компания добавила, что уязвимость является «особенно критичной», поскольку ее легко использовать удаленно, поскольку она не требует взаимодействия с пользователем или каких-либо привилегий на атакованных шлюзах безопасности Check Point с включенным удаленным доступом VPN и мобильным доступом.

Она позволяет злоумышленнику пересчитывать и извлекать хэши паролей для всех локальных учетных записей, включая учетную запись, используемую для подключения к Active Directory. Слабые пароли также могут быть скомпрометированы.

Полный масштаб последствий при этом еще пока неизвестен.

Было замечено, что злоумышленники извлекали ntds.dit, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, от скомпрометированных клиентов в течение 2–3 часов после входа в систему с помощью локального пользователя.

Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.

Mnemonic рекомендовала клиентам Check Point немедленно обновить затронутые системы до фиксированной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности.

Администраторам также следует сменить пароли/учетные записи для подключений LDAP со шлюза в Active Directory, провести после исправления проверку журналов на наличие признаков компрометации и, если возможно, обновить сигнатуру Check Point IPS для обнаружения попыток эксплуатации. Открыть/Комментировать