1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Новости информационной безопасности

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 1 сен 2012.

  1. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
  2. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 25 фев 2018
    В России может появиться своя киберполиция

    Вопрос о возможности создания киберполиции будет рассмотрен в Совфеде в следующем месяце.

    В конце следующего месяца в Совфеде РФ пройдут слушания, посвященные вопросу ужесточения наказания за педофилию. Помимо прочего, в ходе слушаний будет рассматриваться возможность создания в России киберполиции для борьбы с преступлениями, совершаемыми в киберпространстве. Об этом в среду, 21 февраля, сообщила руководитель рабочей группы по совершенствованию мер защиты несовершеннолетних сенатор Елена Мизулина.

    Идея создания российской киберполиции принадлежит директору некоммерческой организации «Мониторинговый центр по выявлению опасного и запрещенного законодательством контента» Анне Левченко. На заседании рабочей группы Левченко отметила острую необходимость в создании ведомства, занимающегося расследованием преступлений в интернете, в частности детской порнографии. По словам Мизулиной, предложение Левченко по созданию киберполиции весьма интересно и будет включено в проект рекомендаций к предстоящим парламентским слушаниям.

    Руководитель рабочей группы также намерена уточнить у Роскомнадзора, отправляет ли регулятор данные по заблокированным сайтам с детской порнографией в МВД. Если ведомство не отчитывается перед МВД о закрытых порнографических ресурсах, тогда следует внести изменения в законодательство и утвердить нормы, обязывающие Роскомнадзор предоставлять вышеупомянутые сведения правоохранителям, считает сенатор.

    Подробнее: https://www.securitylab.ru/news/491693.php
    --- Сообщения объединены, 25 фев 2018 ---
    Хакеры продают легитимные цифровые сертификаты для вредоносного ПО

    Подписанное вредоносное ПО сложнее обнаружить с помощью решений безопасности, что упрощает проникновение в систему.

    Хакеры продают легитимные цифровые сертификаты для подписи вредоносного ПО. Об этомсообщилиисследователи безопасности из команды Insikt Group компании Recorded Future.

    Сертификаты предназначены для цифровой подписи программного обеспечения разработчиками. Сертификат позволяет гарантировать пользователям, что код и содержимое являются безопасными для загрузки и установки. Большинство современных операционных систем по умолчанию запускают только подписанные приложения.

    Приложения с цифровой подписью сложно обнаружить с помощью решений сетевой безопасности. Согласно исследованию, оборудование, использующее технологию DPI (deep packet inspection, углубленная проверка пакетов) для сканирования сетевого трафика, становится менее эффективным, если вредоносное ПО использует легитимный сертификат.

    Специалисты выявили подпольный рынок по продаже легитимных сертификатов. Их стоимость варьируется от $299 до $1599 и выше за сертификаты расширенной проверки (Extended Validation Certificate, EV). Ассортимент включает сертификаты, выданные авторитетными центрами сертификации (ЦС), такими как Comodo, Symantec, Thawte и Apple.

    Одним из первых сертификаты для вредоносного ПО начал предлагать хакер под псевдонимом C@T. В марте 2015 года C@T предложил для продажи сертификаты Microsoft для подписи 32/64-битных версий различных исполняемых файлов, а также Microsoft Office, Microsoft VBA, Netscape Object Signing и Marimba Channel Signing. По его словам, сертификаты были выданы авторитетными ЦС.

    Примерно через два года еще три хакера начали предлагать услуги по продаже сертификатов на русскоязычных подпольных форумах. Из них двое до сих пор активно поставляют сертификаты злоумышленникам. Стандартные сертификаты подписи кода, выпущенные Comodo, которые не включают рейтинг репутации SmartScreen стоят $295. Покупателю, заинтересованному в сертификате расширенной проверки, выпущенном Symantec, придется заплатить $1599, что на 230% процентов выше по сравнению с ценой сертификата от ЦС. Оптовые покупатели могут купить полностью аутентифицированные домены с EV SSL-сертификатами и возможностью подписи кода за $1799. При этом все сертификаты создаются для каждого покупателя индивидуально на основе данных, похищенных у различных компаний.

    Подробнее: https://www.securitylab.ru/news/491716.php
     
  3. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 26 фев 2018
    Обзор инцидентов безопасности за прошлую неделю
    Краткий обзор ключевых событий за период с 19 по 25 февраля.


    Прошедшая неделя ознаменовалась рядом событий, наиболее громкими из которых стали очередное обвинение в адрес пресловутых «русских хакеров», обнаружение майнинговой кампании с использованием вычислительных мощностей производителя электромобилей Tesla и хищение порядка $2 млн у индийского банка City Union Bank. Об этих и прочих инцидентах читайте в нашем кратком обзоре.

    Ситуация вокруг хакерской атаки на компьютеры зимней Олимпиады-2018, прошедшей в южнокорейском Пхенчхане, набирает обороты. Как сообщило издание The Washington Post, по мнению американской разведки, «российские военные хакеры»взломалинесколько сотен компьютеров на зимних Олимпийских играх, причем попытались обставить атаку так, чтобы подозрение упало на КНДР. Мотивом атаки представители спецслужб назвали месть за решения Международного олимпийского комитета, отстранившего национальную сборную России от участия в Олимпийских играх. Как полагают эксперты из американских спецслужб, в начале февраля российские военные из ГРУ (Главное разведывательное управление) имели доступ к 300 компьютерам на Олимпиаде в Южной Корее.

    Добытчики криптовалюты не устают искать новые пути заработка, и все чаще под их прицел попадают крупные компании. В частности, неизвестные хакерыпрониклив облачную среду компании Tesla через незащищенную консоль Kubernetes и, воспользовавшись учетными данными для сервисов Amazon Web Service компании, запустили скрипты для тайного майнинга криптовалюты. Как отметили исследователи из RedLock, обнаружившие криптомайнинговую операцию, жертвами майнеров стали не только Tesla, но и крупная британская страховая компания Aviva, а также крупнейший в мире производитель SIM-карт Gemalto.

    К слову, эксперты израильской компании Votiro обнаружили еще один метод майнинга криптовалюты – с помощью файлов Microsoft Word. Речь идет о функционале, позволяющем добавлять в файлы Word видео из интернета без необходимости встраивать собственно видео в документ. Злоумышленники могутпроэксплуатироватьэтот механизм для загрузки JS-скриптов для майнинга криптовалюты Monero.

    Невзирая на захлестнувшую мир криптовалютную лихорадку, в сфере основных интересов хакеров по-прежнему остаются банки. В частности, из-за неизвестных киберпреступников индийский банк City Union Bankлишился$1,8 млн. Злоумышленникам удалось вывести средства с помощью банковской системы SWIFT. Мошеннические транзакции были обнаружены 7 февраля в процессе сверки. Один из переводов в размере $500 тыс. удалось своевременно выявить и заблокировать. Однако злоумышленникам удалось успешно провести два других платежа, перечислив средства на счета в банках Турции и Китая.

    Как стало известно на минувшей неделе, жертвами хакеров стали пользователи дистрибутива Mageia. Злоумышленникискомпрометировалисервер Mageia, похитили базу данных, включавшую логины, хэши паролей и электронные адреса пользователей, и опубликовали ее в Сети. Как именно преступникам удалось прочитать содержимое LDAP-каталога в обход настроек ограничения доступа, в настоящее время неизвестно.

    Подробнее: https://www.securitylab.ru/news/491737.php
     
  4. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 4 мар 2018
    GitHub подвергся мощнейшей DDoS-атаке через серверы memcached

    Атакующие использовали новый метод усиления DDoS-атак под названием Memcrashed.

    На днях портал SecurityLabрассказывало новом методе усиления DDoS-атак с использованием серверов memcached, получившем название Memcrashed. В последнее время число подобных атаках стремительно растет, и одной из их жертв стал сайт GitHub.

    В среду, 28 февраля, GitHubбыл недоступендля пользователей с 20:21 до 20:26 МСК, а затем частично недоступен с 20:26 до 20:30. Атака осуществлялась с более тысячи различных автономных систем через десятки тысяч уникальных конечных точек. Пиковая мощность атаки достигала 1,35 ТБ/с (126,9 млн пакетов/с).

    В 20:21 система мониторинга сети GitHub зафиксировала аномалию в соотношении входящего и исходящего трафика и уведомила соответствующих специалистов. Поскольку на одном из серверов пропускная способность входящего трафика превысила 100 Гб/с, было принято решение перенаправить его Akamai, и DDoS-атака была отражена.

    Как уже упоминалось, пиковая мощность на первом этапе атаки составляла 1,35 ТБ/с, а после 21:00 был зафиксирован второй кратковременный этап с пиковой мощностью 400 ГБ/с. По словам представителей GitHub, данные пользователей в результате инцидента не пострадали.

    Автономная система (в интернете) - система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с интернетом.

    Подробнее: https://www.securitylab.ru/news/491821.php
    --- Сообщения объединены, 4 мар 2018 ---
    Хакеры атакуют пользователей rTorrent для скрытого майнинга криптовалюты

    Атаку можно осуществить, когда пользователь переходит на подконтрольную злоумышленнику страницу в интернете с включенным rTorrent.

    Исследователи безопасности из компании F5сообщилио новой вредоносной кампании, направленной на пользователей свободного консольного торрент-клиента rTorrent. Проэксплуатировав уязвимость в данном ПО, злоумышленники загружают на компьютеры жертв приложения для майнинга криптовалюты Monero.

    По словам исследователей, злоумышленники эксплуатируют особенность реализации в торрент-клиенте протокола XML-RPC, в частности включенный метод execute, позволяющий выполнить произвольный shell-код на целевой системе.

    Атаку можно осуществить, когда пользователь переходит на подконтрольную злоумышленнику страницу в интернете с включенным rTorrent. В данном случае, злоумышленники устанавливают на компьютеры пользователей программу для майнинга криптовалюты Monero (XMR). В настоящее время на одном из кошельков злоумышленников уже накопилось 13 XMR (порядка $4,2 тыс.).

    Исследователи рекомендуют пользователям rTorrent убедиться, что их клиенты закрыты для внешних подключений, а сокеты привязаны к локальному хосту. Помимо этого, рекомендуется избегать функционала XML-RPC, если он не является установкой по умолчанию.

    Ранее SecurityLab сообщал ораспространениирусскоязычным торрент-сайтом b-tor[.]ru майнера криптовалюты Monero вместе с легитимными файлами.

    Подробнее: https://www.securitylab.ru/news/491868.php
    --- Сообщения объединены, 4 мар 2018 ---
    Киберпреступники требуют выкуп за остановку DDoS-атак Memcrashed

    Атаки «DDoS-for-Bitcoin» получили новый виток в развитии.

    На этой неделе исследователи компании Cloudflareрассказалио новом эффективном методе усиления DDoS-атак с использованием серверов memcached. В последнее время популярность метода, получившего название Memcrashed, стремительно растет. В частности, с его помощью была осуществлена самая мощная DDoS-атака за всю историю интернета, жертвой которойсталпортал GitHub. Пиковая мощность атаки составляла 1,35 ТБ/с.

    Вооружившись новым методом, киберпреступники не только атакуют интересующие их ресурсы, но также занимаются вымогательством. Эксперты компании Akamaiсообщилио весьма необычной атаке с использованием серверов memcached. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующие оставили в них короткое послание. Согласно сообщению, жертва должна заплатить по указанному адресу 50 Monero (около $17 тыс.). Правда, злоумышленники не пообещали прямо, что прекратят атаку, а только намекнули на такую возможность.

    Подобный вид вымогательства используется киберпреступниками с 2015 года и изначально был известен как «DDoS-for-Bitcoin» («DDoS за биткойны») по одноименному названию группировки, первой начавшей его применять.

    Подробнее: https://www.securitylab.ru/news/491872.php
     
  5. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 5 мар 2018
    Зафиксирована первая «настоящая» DDoS IPv6 атака

    Источниками «атаки по словарю» являются порядка 1,9 тыс. узлов IPv6, принадлежащих к более чем 650 сетям.

    Сеть DNS-службы Neustar стала жертвой первой зафиксированной «настоящей» IPv6 DDoS-атаки. Источниками «атаки по словарю» являются порядка 1,9 тыс. узлов IPv6, принадлежащих к более чем 650 сетям. Об этом сообщило издание SC Magazine UK.

    По словам представителей Neustar, данная атака примечательна тем, что злоумышленники используют новые методы вместо копирования уже существующих, однако с применением IPv4. Атаки IPv6 могут причинить серьезный вред, например, превысить объемы памяти современных средств безопасности за счет большого количества адресов, доступных хакерам.

    В общей сложности IPv6 содержит более чем в 7.9×1028 раз больше адресов чем IPv4, который использует 32-битные адреса и позволяет организовать порядка 4,3 млрд адресов. Таким образом количество потенциальных атак также вырастает в разы. При этом, множество сетей, поддерживающих протокол IPv6, не поддерживают инструменты для противодействия хакерам.

    Как отметили специалисты, в текущем году наблюдается значительный рост количества IPv4 атак – оно удвоилось в сравнении с аналогичным периодом 2017 года.

    Neustar - технологическая компания, которая предоставляет информацию и аналитику в реальном времени для интернет-индустрии, телекоммуникаций, развлечений и маркетинга, а также предлагает услуги обмена информацией для глобальных коммуникаций.

    Подробнее: https://www.securitylab.ru/news/491875.php
    --- Сообщения объединены, 5 мар 2018 ---
    Обзор инцидентов безопасности за минувшую неделю

    Краткий обзор главных событий в мире ИБ за период с 26 февраля по 4 марта 2018 года.

    Предыдущая неделя оказалась довольно насыщенной в плане различных инцидентов кибербезопасности, в том числе вызвавших большой общественный резонанс, как, например, мощнейшие DDoS-атаки на портал для разработчиков GitHub и крупнейшие web-ресурсы России и Европы. В числе других примечательных событий стоит отметить сообщения об атаках «русских хакеров» на правительственные ресурсы Германии и ряд вредоносных кампаний по добыче криптовалют с использованием торрент-сайтов. Более подробно об этих и прочих инцидентах, имевших место на прошлой неделе, в нашем кратком обзоре.

    Пожалуй, самым громким событием прошлой неделисталамощная DDoS-атака на портал GitHub, в ходе которой злоумышленники использовали новый метод усиления DDoS-атак под названием Memcrashed. Из-за атаки сайт GitHub был недоступен для пользователей с 20:21 до 20:26 МСК, а затем частично недоступен с 20:26 до 20:30. Атака осуществлялась с более тысячи различных автономных систем через десятки тысяч уникальных конечных точек и на пике достигала 1,35 ТБ/с (126,9 млн пакетов/с).

    С 23 по 27 февраля исследователи из компании Qrator Labsзафиксировалисерию высокоскоростных DDoS-атак на ряд крупнейших web-ресурсов России и Европы, в которых использовалась техника амплификации на основе memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы). По данным экспертов, источником атаки стал ряд интернет-провайдеров, в том числе крупнейший хостинг-провайдер OVH.

    Взяв на вооружение новый метод усиления DDoS-атак, злоумышленники не только атакуют интересующие их ресурсы, но и занимаются вымогательством. К примеру, компания Akamai сообщила об одном из таких случаев. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующиеоставилив них короткое послание с требованием заплатить по указанному адресу 50 Monero (около $17 тыс.). Однако злоумышленники не пообещали прекратить атаку в случае уплаты требуемой суммы, а только намекнули на такую возможность.

    На прошлой неделе стало известно, что немецкие спецслужбыраскрылимасштабную кибератаку, направленную на правительство Германии. По имеющимся данным, хакеры заразили вредоносным ПО сети МИД и Минобороны Германии. Вредоносы были выявлены в декабре 2017 года, однако по мнению немецких спецслужб, они находились в сетях по меньшей мере с 2016 года.

    Еще одним громким событием на минувшей неделе сталскандалвокруг поставщика цифровых сертификатов DigiCert и британского реселлера Trustico. Последняя потребовала аннулировать порядка 50 тыс. SSL-сертификатов Symantec, выданных DigiCert (компания приобрела часть бизнеса Symantec по выпуску сертификатов). DigiCert отказалась аннулировать сертификаты, ссылаясь на то, что массовый отзыв возможен только в случае, если имеются свидетельства инцидента безопасности, в результате которого были скомпрометированы закрытые ключи клиентов. В ответ Trustico направила письмо, содержащее более 23 тыс. закрытых ключей для SSL-сертификатов клиентов компании. В итоге DigiCert пришлось отозвать сертификаты, фигурировавшие в письме.

    Майнеры не прекращают изыскивать новые возможности для добычи криптовалюты. На прошлой неделе эксперты сообщили о двух вредоносных кампаниях, направленных на пользователей торрент-сайтовb-tor[.]ruиrTorrent. В обоих случаях злоумышленники загружали на компьютеры пользователей программы для добычи криптовалюты.

    Подробнее: https://www.securitylab.ru/news/491883.php
     
  6. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 16 мар 2018
    Китайские хакеры создали ботнет из 5 млн Android-устройств

    Для создания ботнета киберпреступники используют рекламное ПО.

    Китайские киберпреступники используют вредоносное ПО RottenSys для создания ботнета, который уже насчитывает порядка 5 млн Android-устройств. В своей теперешней форме вредонос используется для отображения навязчивой рекламы на экране зараженных устройств. Тем не менее, исследователи из Check Pointобнаружилисвидетельства применения злоумышленниками нового модуля на языке Lua для объединения зараженных гаджетов в одну гигантскую ботсеть.

    По словам исследователей, ботнет предоставит киберпреступникам гораздо больше возможностей, чем простое отображение рекламы. «У этого ботнета будут расширенные возможности, в том числе незаметная установка дополнительных приложений и автоматизация пользовательского интерфейса», – пишут исследователи.

    По словам экспертов, RottenSys не всегда был таким опасным. Вредонос появился в сентябре 2016 года, и большую часть времени киберпреступники занимались его распространением с целью отображения рекламы. С течением времени число зараженных устройств медленно, но верно росло и к настоящему времени достигло порядка 4 964 460.

    Компонент на Lua, позволяющий операторам ботнета получать контроль над зараженными устройствами, был добавлен в RottenSys только в прошлом месяце. Пока что вредонос активен только на китайском рынке и распространяется через китайские инфицированные приложения. Большую часть ботнета составляют устройства Huawei (свыше 1 млн), Xiaomi (почти 0,5 млн), OPPO, vivo, LeEco, Coolpad и GIONEE.

    По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».

    Сначала с помощью Small вредонос создает виртуальные контейнеры для своих внутренних компонентов, позволяющие им запускаться параллельно в одно и то же время. Как правило, ОС Android не поддерживает такой функционал. Затем с помощью MarsDaemon вредонос поддерживает процессы активными. Даже когда пользователь завершает их, механизм внедрения рекламы все равно не отключается.

    Подробнее: https://www.securitylab.ru/news/492148.php
    --- Сообщения объединены, 16 мар 2018 ---
    Питерский хакер похищал средства с банковских карт

    Для хищения средств использовалось вредоносное ПО, замаскированное под приложения для ОС Android.

    Российские правоохранительные органы пресекли деятельность мошеннической группировки, занимавшейся хищением средств с банковских карт с помощью вредоносного ПО, замаскированного под безобидные приложения для ОС Android. Об этомсообщилапресс-служба МВД России.

    Согласно материалам дела, 19-летний хакер из Санкт-Петербурга самостоятельно разработал несколько на первый взгляд безобидных программ для ОС Android (например, альтернативу системному приложению «Фонарик»). Однако в программы был внедрен вредоносный код, позволявший похищать средства с банковских карт, а также перехватывать SMS-сообщения с паролями для проведения перевода и уведомления о списании средств.

    «Злоумышленники похищали не больше 8 тысяч рублей с одной карты - суммы установленного суточного лимита на операции по переводу», - отметила официальный представитель МВД России Ирина Волк.

    Среди пострадавших - жители Московской, Ленинградской, Архангельской и Иркутской областей, а также Чеченской Республики и других субъектов РФ. После непосредственного хищения, украденные средства переводились на различные счета в Братске, где их обналичивал ранее неоднократно судимый местный житель.

    В настоящее время в отношении злоумышленников возбуждено уголовное дело по признакам преступления, предусмотренного статьей 273 Уголовного кодекса Российской Федерации, которое в настоящее время передано в суд для рассмотрения по существу.

    Подробнее: https://www.securitylab.ru/news/492156.php
     
  7. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 19 мар 2018
    Житель Пермского края с помощью трояна похитил 3,6 млн руб.

    Злоумышленник заразил корпоративный компьютер компании вредоносным ПО.
    Свердловский районный суд города Перми признал местного жителя виновным в хищении более 3,6 млн руб., принадлежащих ООО «Информ», тем самым полностью удовлетворив гражданский иск потерпевших. Каксообщаетсяна сайте краевой прокуратуры, преступник признан виновным в совершении преступления, предусмотренного ч.3 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное в крупном размере).

    По данным прокуратуры, злоумышленник заразил корпоративный компьютер компании вредоносным ПО, предоставившим ему удаленный доступ к хранящимся на зараженной системе данным и установленным программам. Киберпреступник переводил денежные средства на счета подставных физических лиц, а затем обналичивал их. Суд избрал для него наказание в виде штрафа в размере 110 тыс. руб.

    Помимо вышеупомянутого преступника, в деле фигурировали еще два человека. Один из них был освобожден судом от ответственности в связи с наличием психического расстройства. Для него была избрана мера в виде принудительного психиатрического лечения. Личность третьего фигуранта пока не установлена.

    Подробнее: https://www.securitylab.ru/news/492185.php
    --- Сообщения объединены, 19 мар 2018 ---
    Краткий обзор главных событий в мире ИБ за период с 12 по 18 марта 2018 года.

    Скандал вокруг новых уязвимостей в процессорах AMD, официальное обвинение РФ в атаках на электростанции в США, а также заявление премьер-министра Великобритании Терезы Мэй о возможном принятии мер (в числе которых могут быть и кибератаки) в отношении России стали наиболее обсуждаемыми событиями на минувшей неделе. Кроме того, не обошлось без сообщений о новых майнинговых кампаниях и ботнетах. Об этих и других инцидентах читайте в нашем кратком обзоре за период с 12 по 18 марта 2018 года.

    Не успела слегка утихнуть шумиха вокруг проблем Spectre и Meltdown, как эксперты в области безопасности огорошили общественность известием об обнаружении похожих уязвимостей в процессорах AMD Ryzen и EPYC. Исследователи израильской компании CTS-Labsвыявилив чипах 13 уязвимостей, позволяющих получить доступ к высокочувствительной информации и установить вредоносное ПО. При этом исследователи отступили от общепринятой практики и предоставили производителю всего 24 часа на изучение проблемы и выпуск соответствующих патчей, чем вызвали немалоевозмущениесообщества, заподозрившего CTS-Labs в обмане. Специалисты компании Trail of Bits, проводившие независимую экспертизу уязвимостей в процессорах AMD,подтвердили, что они действительно существуют, однако представляют меньшую опасность по сравнению со Spectre и Meltdown, так как их эксплуатация - сложный многоступенчатый процесс, который под силу только государственным хакерам, обладающим временем и значительными ресурсами.

    На минувшей неделе Министерство внутренней безопасности США и Федеральное бюро расследованийпредупредилиоб атаках «русских хакеров» на американские правительственные и коммерческие организации, а также на объекты критической инфраструктуры. Согласно отчету, опубликованному на сайте Компьютерной группы реагирования на чрезвычайные ситуации США (US-CERT), «русские хакеры» атакуют американские электростанции и другие объекты критической инфраструктуры по крайней мере с марта 2016 года. При этом ведомства не привели в докладе ни названия пострадавших компаний, ни размер причиненного им ущерба.

    Премьер-министр Великобритании Тереза Мэйпотребовалаот России объяснений, каким образом на британскую территорию попало сильнодействующее химическое оружие, использовавшееся в покушении на убийство полковника ГРУ Сергея Скрипаля и его дочери Юлии в Солсбери. Мэй дала России 24 часа на предоставление объяснений, в противном случае Великобритания намерена предпринять соответствующие меры, которые также могут включать в себя кибератаки.

    Киберпреступники продолжают проводить кампании по добыче криптовалют. В частности, специалисты компании Imperva сообщили о вредоносной кампании, в ходе которой злоумышленникиатакуютсерверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они используют изображение голливудской актрисы Скарлетт Йоханссон. Кроме того, исследователи из Avast зафиксировали необычную кампанию, в рамках которой злоумышленникииспользуюткопии проектов на портале для разработчиков GitHub для распространения майнера криптовалюты.

    В Сетизамеченновый ботнет, состоящий из порядка 5 млн Android-устройств. Для создания ботсети злоумышленники применяют вредоносное ПО RottenSys. По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».

    На прошедшей неделе эксперты Forcepointзафиксировалиновую вредоносную кампанию, нацеленную на организации по всему миру. В ходе атак злоумышленники используют новый опасный троян Qrypter. В общей сложности исследователи выявили три таких кампании, затронувшие 243 организации по всему миру. Qrypter предоставляет злоумышленникам широкий спектр возможностей, в том числе подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Авторы трояна предлагают вредонос в рамках модели «вредоносное-ПО-как-услуга» (Malware-as-a-Service, MaaS). Стоимость месячной аренды составляет $80. В качестве возможных способов оплаты указаны PerfectMoney, Bitcoin-Cash и Bitcoin. Помимо этого, можно приобрести трехмесячную или годовую подписку по сниженной цене.

    Подробнее: https://www.securitylab.ru/news/492187.php
    --- Сообщения объединены, 19 мар 2018 ---
    Хакерская группировка Fancy Bear провела новую шпионскую кампанию

    Вредоносное ПО доставляется через фишинговые письма, содержащие документ о конференции по защите.

    Исследователи безопасности из компании Palo Alto Networksсообщилио новой фишинговойкампании, за которой стоит хакерская группировка Fancy Bear, предположительно связанная с властями РФ.

    По словам исследователей, активность хакеров была зафиксирована дважды, 12 и 14 марта 2018 года. Для осуществления атак группировка использует обновленную версию платформы DealersChoice, которая эксплуатирует уязвимость в Adobe Flash для скрытой доставки вредоносного ПО.

    Обновленная версия DealersChoice использует новую технику ухода от обнаружения. В частности, вредоносный модуль загружается только тогда, когда просматривается конкретная страница вредоносного документа, содержащегося в фишинговых письмах.

    Жертвой фишинга стала некая европейская правительственная организация (название не раскрывается). Сотрудники организации получили письма с темой «Оборона и безопасность 2018». Письма содержат документ MS Word, озаглавленный «Defence & Security 2018 Conference Agenda.docx».

    Как отметили исследователи, атакующие полностью скопировали повестку дня реальной конференции, которая состоится в Великобритании. Если пользователь открывает вложение Microsoft Word, объект Flash, содержащий вредоносный скрипт, пытается установить полезную нагрузку, однако скрипт запускается только в том случае, если жертва прокрутит документ до третьей страницы.

    «Судя по всему хакеры уверены в том, что их цели будут достаточно заинтересованы в содержании, чтобы прокрутить документ до 3 страницы», - отметили эксперты.

    По словам специалистов, вредоносный Flash-объект не запускается до тех пор, пока пользователь не дойдет до третьей страницы, поскольку SWF-загрузчик DealersChoice не активируется до тех пор, пока не появится на экране. Данная тактика помогает вредоносу избежать обнаружения. Вредоносный Flash-объект отображается как маленькая черная точка, которую многие пользователи могут просто не заметить.

    После активации Flash-объект связывается с C&C-сервером для загрузки дополнительного вредоносного ПО, которое содержит код эксплоита.

    Исследователи связали данную кампанию с Fancy Bear, поскольку в свойствах документа имя пользователя, в последний раз вносившего изменения, было обозначено как Nick Daemoji. Данное имя пользователя фигурировало в предыдущих кампаниях Fancy Bear.

    Подробнее: https://www.securitylab.ru/news/492188.php
     
  8. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 1 апр 2018
    Вредонос HiddenMiner может вывести Android-устройство из строя

    Майнер будет постоянно добывать Monero до тех пор, пока ресурсы устройства не будут полностью исчерпаны.

    Исследователи безопасности из компании TrendMicroобнаружилиновое вредоносное ПО для ОС Android, получившее название HiddenMiner. Вредонос предназначен для майнинга криптовалюты Monero и способен вывести гаджет из строя чрезмерной нагрузкой на процессор.

    По словам исследователей, HiddenMiner мало отличается от других подобных программ, однако в его коде отсутствует переключатель, контроллер или оптимизатор. Таким образом майнер будет постоянно добывать Monero до тех пор, пока ресурсы устройства не будут полностью исчерпаны.

    «Учитывая природу HiddenMiner, это может привести к перегреву затронутого устройства и потенциальному сбою», - сообщили специалисты.

    Данное ПО уже не первое в своем роде. В 2017 году эксперты по кибербезопасности из «Лаборатории Касперского»обнаружилиAndroid-троян Loapi, способный вызвать физическую поломку устройства путем перегрева.

    Как отметили исследователи, два вредоноса во многом схожи, а метод, с помощью которого Loapi блокирует экран и требует права администратора устройства, аналогичен методам HiddenMiner.

    Экспертам удалось выявить связанные с вредоносным ПО кошельки для криптовалюты Monero. Один из операторов HiddenMiner вывел 26 XMR (около $5360) из одного из кошельков.

    HiddenMiner маскируется под легитимное приложение для обновления Google Play и заставляет пользователей активировать его в качестве администратора устройства. Всплывающее окно будет постоянно появляться, пока жертва не нажмет кнопку «Активировать». После предоставления разрешения HiddenMiner начнет добывать Monero в фоновом режиме.

    Вредонос пытается скрыть себя на зараженных устройствах, используя прозрачную иконку и оставляя пустым поле с названием приложения. После активации в качестве администратора устройства он скрывает программу на панели запущенных приложений. HiddenMiner также применяет антиэмуляционные техники для предотвращения обнаружения и автоматического анализа.

    Помимо этого, пользователи не могут удалить вредоносную программу до тех пор, пока у нее не будут отозваны привилегии администратора устройства. Однако, в данном случае HiddenMiner блокирует экран гаджета, эксплуатируя уязвимость в операционной системе Android.

    HiddenMiner распространяется через сторонние магазины приложений и пока атакует пользователей в Китае и Индии, но эксперты не исключают, что кампания может затронуть и другие страны.

    Подробнее: https://www.securitylab.ru/news/492356.php
    --- Сообщения объединены, 1 апр 2018 ---
    Банковский троян Buhtrap распространялся через российские новостные сайты

    Большинство попыток заражения пришлось на пользователей из России.

    Исследователи кибербезопасности из «Лаборатории Касперского»обнаружиливредоносную кампанию по распространению банковского трояна Buhtrap через ряд российских новостных сайтов (название изданий не раскрывается). По данным ЛК, большинство зараженных пользователей находились в России. Попытки заражения были также зафиксированы в Украине и Казахстане.

    Как выяснили специалисты, злоумышленники внедрили вредоносный скрипт на главные страницы сайтов ряда крупных новостных изданий. При посещении зараженного сайта жертва перенаправлялась на подконтрольный злоумышленикам сервер, после чего на ее компьютере выполнялся эксплоит для браузера Internet Explorer, известный под названием VBScript Godmode.

    Для загрузки скрипта с сайтов использовался HTTPS, затрудняя тем самым обнаружение и анализ вредоноса различными защитными решениями.

    По словам экспертов, сам скрипт является лишь загрузчиком и после запуска он проверяет наличие файла «06d488» в папке %TEMP%. Если файл отсутствует, скрипт загружает и запускает основной модуль, а именно банковский троян Buhtrap, позволяющий злоумышленникам получить полный контроль над зараженной системой.

    Конечной целью операторов банковского трояна является хищение денег со счетов юридических лиц, поэтому злоумышленники в основном атакуют компьютеры финансовых работников различных организаций. В августе минувшего года данное вредоносное ПОраспространялосьпо аналогичной схеме через популярные у бухгалтеров и юристов сайты.

    Исследователи порекомендовали специалистам по безопасности обратить особое внимание на защиту рабочих станций сотрудников финансовых отделов, в частности, установить последние обновления, запретить запуск утилит удаленного администрирования и установить защитные решения.

    Подробнее: https://www.securitylab.ru/news/492378.php
     
  9. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 2 апр 2018
    Обзор инцидентов безопасности за минувшую неделю

    Краткий обзор главных событий в мире ИБ с 26 марта по 1 апреля 2018 года
    .

    Прошедшая неделя ознаменовалась рядом громких событий: возвращением нашумевшего вымогательского ПО WannaCry, арестом предполагаемого лидера хакерской группировки Carbanak, утечкой данных 150 млн клиентов Under Armour, кибератакой на Антидопинговое агентство Великобритании и пр. Подробнее об этих и других инцидентах читайте в нашем кратком обзоре за период с 26 марта по 1 апреля 2018 года.

    28 марта один из крупнейших мировых производителей авиационной, космической и военной техники Boeing стал жертвой кибератаки с использованием вымогательского ПО WannaCry, в 2017 году поразившего огромное количество компьютеров по всему миру. По словам представителей компании, атака затронула лишь небольшое количество систем, были приняты необходимые меры и проблем с производственными процессами или доставкой не возникло.

    Жертвой хакерской атаки стало и Антидопинговое агентство Великобритании (Ukad). Злоумышленники пытались получить доступ к результатам медосмотров и анализов на допинг звезд большого спорта, но безуспешно. По словам представителей агентства, преступникам не удалось похитить данные.

    В начале минувшей недели испанская полиция арестовала гражданина Украины, предположительно являющегося лидером киберпреступной группировки Carbanak, также известной как Anunak и Cobalt. Carbanak активна как минимум с 2013 года. С помощью вредоносного ПО Anunak киберпреступники атаковали электронные платежные системы и банки в 40 странах по всему миру. В 2016 году киберпреступники переключились с Anunak на более сложное ПО Carbanak, использовавшееся до 2016 года, а затем вооружились еще более усовершенствованным инструментом, созданным на основе программы для проведения тестов на проникновение Cobalt Strike. С помощью вредоносного ПО злоумышленники заставляли банкоматы выдавать наличные. Одновременно с известием об аресте предполагаемого лидера группировки Департамент киберполиции Украины сообщил об установлении личности еще одного участника Carbanak. Им оказался 30-летний житель Киева. Подозреваемый занимался разработкой и поддержкой используемых в атаках эксплойтов. Сотрудникам киберполиции удалось установить личности остальных участников группировки, в настоящее время они находятся на территории РФ.

    Американский производитель спортивной одежды Under Armour сообщил об утечке данных порядка 150 млн пользователей разработанного компанией фитнес-приложения MyFitnessPal. В руках у хакеров оказались имена пользователей, электронные адреса и пароли, хешированные с помощью bcrypt. Утечка не коснулась данных платежных карт, так как они собираются и обрабатываются отдельно от остальной информации.

    В конце прошлой недели эксперты «Лаборатории Касперского» сообщили о новой кампании по распространению банковского трояна Buhtrap через ряд крупных российских новостных сайтов. Названия ресурсов исследователи не раскрыли. По данным ЛК, большинство атакованных пользователей находились в России, попытки заражения были также зафиксированы в Украине и Казахстане.

    Эксперты в области безопасности сообщили о возросшей активности ботнета Hajime. Теперь ботсеть нацелена на массовое инфицирование устройств MikroTik. По подсчетам специалистов Qihoo 360 Netlab, Hajime провел свыше 860 тыс. сканирований на предмет открытых портов 8291, однако точное число успешных заражений исследователи затруднились назвать. Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.

    Подробнее: https://www.securitylab.ru/news/492409.php
     
  10. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 7 апр 2018
    Большинство руководителей объектов критической инфраструктуры не готовы к кибератакам

    35% руководителей мало осведомлены о текущем состоянии кибербезопасности в своей среде, а 23% не осведомлены о ней вовсе.

    Почти 60% руководителей объектов критической инфраструктуры заявили в ходепроведенногокомпанией Ingedy опроса об отсутствии рычагов управления, необходимых для защиты предприятий от киберугроз.

    Несмотря на то, что организации вложили значительные средства в защиту IT-инфраструктуры, полностью устранить угрозы для среды операционных технологий (ОТ) не удалось. Как заявили 57 из 100 руководителей различных предприятий критической инфраструктуры, они не уверены, что их фирмы и другие связанные с инфраструктурой компании могут полностью контролировать безопасность OT.

    Опрос также выявил отсутствие готовности противостоять кибератакам в ключевых секторах, включая энергетику, коммунальные услуги и производство. Например, по словам 35% респондентов, они мало осведомлены о текущем состоянии кибербезопасности в своей среде, а 23% не осведомлены о ней вовсе.

    Согласно мнению 63% опрошенных, угроза атак со стороны инсайдеров и неправильная конфигурация являются самыми большими рисками кибербезопасности, с которыми они в настоящее время сталкиваются.

    Вместе с тем 44% респондентов сообщили о планах увеличить расходы на кибербезопасность автоматизированных систем управления технологическими процессами (АСУ ТП) в ближайшие 12-24 месяца.

    Подробнее: https://www.securitylab.ru/news/492484.php
     
  11. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 10 апр 2018
    Вредоносное ПО FormBook распространяется посредством вложений в Word

    Новая волна атак нацелена преимущественно на сектор финансовых и информационных услуг на Ближнем Востоке и в США.

    Исследователи безопасности из компании Menlo Security зафиксировали новую вредоносную кампании с использованием программы для хищения паролей FormBook, распространяемой посредством вредоносного вложения в документах Microsoft Word. Об этом сообщает издание Threatpost.

    По словам исследователей, новая волна атак нацелена преимущественно на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Особенностью данной кампании является то, что для активации вредоноса не требуется макрос. Помимо этого, программа может избегать решений безопасности, таких как песочницы и антивирусное ПО, путем сокрытия вредоносного контента. Также примечательно отсутствие активного кода в первичном вредоносном документе, поскольку данная атака основана на загрузке удаленного вредоносного объекта.

    Злоумышленники используют новый многоступенчатый метод заражения. Первым этапом атаки является рассылка фишинговыхписем с прикрепленным файлом .docx, использующим Framesets (теги HTML, ответственные за загрузку документов). Если жертва открывает вредоносный документ, Microsoft Word делает HTTP-запрос для загрузки объекта, на который указывает скрытый URL-адрес, и отображает его в документе.

    При просмотре в режиме редактирования (а не в защищенном, установленном по умолчанию), внедренный тег указывает на сокращенный URL, определенный в файле webSettings.xml.rels документа. URL указывает на расположенные во Франции и США C&C-серверы, с которых загружается вредоносный RTF-файл.

    «Когда открыт документ RTF со встроенным объектом, данный объект автоматически переносится в папку %TEMP% в Windows. Подобный метод также использовался членами хакерской группировки Cobalt», - отметили специалисты.

    Как выяснили исследователи, в новых атаках злоумышленники эксплуатируют уязвимость CVE-2017-8570, позволяющую удаленно выполнить код в Microsoft Office.

    «Когда файл .sct выполняется, большой объем данных записывается в каталог %TEMP% с именем chris101.exe. Затем метод Wscript.Shell.Run () запускает вредоносный исполняемый файл», - добавили эксперты.

    Далее вредоносный исполняемый файл обращается C&C-серверам злоумышленников и загружает вредоносное ПО FormBook на целевую систему.

    FormBook - вредоносная программа с возможностью регистрации нажатия клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP. Она также может выполнять команды, поступающие с C&C-серверов. Вредоносное ПО можно настроить на загрузку и выполнение файлов, запуск процессов, завершение работы и перезагрузку системы, а также хищение файлов cookie и локальных паролей.

    Подробнее: https://www.securitylab.ru/news/492539.php
     
  12. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 16 апр 2018
    Обзор инцидентов безопасности за прошлую неделю

    Кратких обзор главных событий в мире ИБ за период с 9 по 15 апреля.

    На минувшей неделе внимание общественности привлекли несколько инцидентов, в том числе взлом учетной записи сервиса Vevo на YouTube, очередные обвинения РФ в кибератаках и таинственное исчезновение 438 биткойнов, принадлежащих клиентам индийской биржи Coinsecure. Подробнее об этих и других событиях читайте в нашем кратком обзоре.

    В начале прошлой недели хакеры взломали учетную запись музыкального видеохостинга Vevo на YouTube и осуществили дефейс видеороликов ряда исполнителей, в том числе Шакиры, Селены Гомез, Дрейка и Тейлор Свифт. Злоумышленники, именующие себя Prosox и Kuroi'sh, изменили названия и обложки клипов и в ряде случаев заменили некоторые названия видео своими сообщениями, включая собственные псевдонимы наряду с призывом к «освобождению Палестины». По признанию одного из хакеров, дефейс был осуществлен «просто ради веселья».

    Глава Федеральной службы защиты конституции Германии Ханс-Георг Маасен (Hans-Georg Maaßen) заявило «высокой вероятности» причастности российских властей к кибератакам на компьютерные сети правительства ФРГ в декабре минувшего года. При этом чиновник заявил, что у немецких властей нет доказательств причастности к атаке русскоязычной хакерской группировки APT28 (она же Fancy Bear, Sofacy, Pawn Storm и Sednit), подозреваемой в нападении на компьютерные сети нижней палаты Германии в мае 2015 года.

    Как стало известно в конце прошлой недели, индийская криптовалютная биржа «потеряла» 438 биткойнов (свыше $3 млн), принадлежащих ее пользователям. Согласно пояснению представителей компании, директор по безопасности биржи Амитабх Саксена (Amitabh Saxena) снял некую сумму с целью перевести деньги клиентам, но «в процессе они куда-то пропали». Инцидент произошел 9 апреля нынешнего года. Пользователи заподозрили неладное, когда сайт Coinsecure внезапно перестал работать, а затем биржа прекратила принимать депозиты, сославшись на установку обновлений.

    Эксперты компании Menlo Security обнаружили интересную кампанию по распространению вредоносного ПО для хищения паролей FormBook, нацеленную на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Отличительной особенностью данной кампании является использование многоступенчатого метода заражения, не требующего активации макроса в документах Microsoft Word, через которые распространялся вредонос.

    На прошедшей неделе владельцы серверов, использующих хостинг-панель VestaCP, начали массово сообщать об атаках на свои серверы. Проэксплуатировав уязвимость в VestaCP, злоумышленники осуществляли DDoS-атаки с помощью взломанных виртуальных серверов, направляя на жертв большой поток трафика.

    Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось перехватить контроль над управляющей инфраструктурой одной из крупных сетей дистрибуции вредоносного ПО EITest. В состав сети вошло свыше 52 тыс. зараженных серверов. Эксперты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.

    Подробнее: https://www.securitylab.ru/news/492655.php
     
  13. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 22 апр 2018
    JavaScript-трекеры тайно собирают данные с помощью функции «Войти через Facebook»

    Большинство владельцев сайтов даже не знают о наличии данной проблемы.

    Библиотеки JavaScript различных рекламных и аналитических сервисов тайно собирают пользовательские данные с web-страниц, на которых используется функция «Войти через Facebook», позволяющая пользователям регистрироваться с использованием учетных данных Facebook.

    Каквыяснилиученые из Принстонского университета (США), 434 сайта из списка Alexa ТОР 1М загружают код JavaScript из сторонних служб, собирающих данные с помощью функции «Войти через Facebook».

    По словам исследователей, скорее всего, большинство владельцев сайтов, даже не знают о наличии данной проблемы. Сбор данных, как правило, происходит с помощью двух способов. В первом случае сайты используют функцию «Войти через Facebook» для аутентификации пользователей.

    При авторизации пользователя в учетной записи, функция «Войти через Facebook» отправляет запрос на серверы Facebook, которые возвращают данные учетной записи в соцсети. Сторонний код JavaScript, загружающийся на странице входа, способен перехватывать эти данные и извлечь их. По словам специалистов, им удалось обнаружить 7 аналитических сервисов, практикующих данный метод.

    Некоторые из аналитических служб собирали пользовательские идентификаторы приложения, которые можно преобразовать обратно в идентификатор Facebook, а затем использовать для получения большего количества информация о посетителе сайта.

    Во втором случае процесс сбора данных несколько сложнее. Когда на сайте используется система «Вход через Facebook», сторонние аналитические сервисы могут встраивать скрытый iframe на другие сайты для того, чтобы обмануть браузеры пользователей. Таким образом сторонний скрипт может перехватить учетные данные и извлечь информацию о пользователе.

    По словам специалистов, второй сценарий был обнаружен только один раз и использовался с сервисом Bandsintown. Проблема была исправлена после того, как исследователи уведомили представителей сервиса.

    Подробнее: https://www.securitylab.ru/news/492757.php.
     
  14. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 10 май 2018
    Хакеры взломали сайт Россотрудничества в отместку за блокировку Telegram


    [​IMG]

    Авторы призвали считать взлом сайта «последним предупреждением» Роскомнадзору.

    Неизвестные взломали старую версию сайта Россотрудничества и опубликовали обращение к Роскомнадзору, в котором обвинили ведомство в разрушительных действиях против Рунета и бессмысленном вандализме. Обращение подписано словом Anonymous. Авторы призвали считать взлом сайта «последним предупреждением» Роскомнадзору.

    В настоящее время старая версия сайта отключена. Текущая версия Россотрудничества работает в обычном режиме.

    16 апреля текущего года Роскомнадзор приступил к блокировке мессенджера Telegram в связи с отказом операторов сервиса передать ФСБ ключи для декодирования переписки пользователей. С этого же дня надзорная служба начала блокировать миллионы IP-адресов Google, Amazon и Microsoft, используемые мессенджером для обхода блокировки. В отдельные дни количество заблокированных IP-адресов превышало 19 миллионов, что стало причиной сбоя в работе сторонних ресурсов и сервисов. В конце апреля Роскомнадзор разблокировал часть подсетей Amazon и OVH, а в начале мая были разблокированы 6 подсетей Google. В настоящее время заблокированными остаются почти 11 млн. IP-адресов различных хостинг-провайдеров.

    Напомним, 1 мая неизвестные взломали сайт Росприроднадзора и опубликовали картинку, изображающую блокировку Роскомнадзором мессенджера Telegram.
    Подробнее: https://www.securitylab.ru/news/493206.php
     
  15. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 12 май 2018
    Пользователям Facebook угрожает новая вредоносная кампания

    Злоумышленники распространяют крадущие учетные данные расширения через ссылки в соцсети.

    Эксперты компании Radwareпредупредилио новой вредоносной кампании, в рамках которой злоумышленники через ссылки в социальной сети Facebook распространяют вредоносное ПО Nigelthorn, способное красть учетные данные пользователей и устанавливать майнеры криптовалюты. Исследователи обнаружили 7 вредоносных расширений для Google Chrome, содержащих Nigelthorn, причем все они были размещены в официальном магазине Chrome Web Store.

    Вредоносная кампания активна по меньшей мере с марта нынешнего года. С момента ее начала от Nigelthorn пострадало более 100 тыс. пользователей по всему миру. По данным Radware, злоумышленники внедряют вредоносный скрипт в копии легитимных расширений и таким образом обходят проверку Google. Вредонос маскируется под следующие расширения: Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno.

    Nigelthorn распространяется через ссылки в Facebook, при переходе по которым пользователи попадают на фальшивую страницу в YouTube, предлагающую загрузить расширения для дальнейшего просмотра видео. После установки вредоносное расширение выполняет скрипт JavaScript, в результате устройство пользователя становится частью ботнета. Основная задача вредоноса заключается в краже учетных данных для аккаунтов жертвы в Facebook и Instagram и хищения содержащейся в них информации. Данные сведения используются для отправки вредоносных ссылок друзьям пользователя.

    Кроме прочего, Nigelthorn загружает и устанавливает майнер криптовалюты для добычи цифровых средств, в том числе Monero, Bytecoin или Electroneum. По данным исследователей, за 6 дней операторам вредоноса удалось заработать примерно $1 тыс. в криптовалюте, в основном в Monero.

    Вредонос препятствует удалению вредоносного расширения, автоматически закрывая его вкладку. Кроме того, Nigelthorn вносит в черный список все инструменты для очистки, предлагаемые Facebook и Google, а также не позволяет пользователям делать изменения, удалять публикации или оставлять комментарии.

    В настоящее время все указанные выше расширения уже удалены из Chrome Web Store. Пользователям, загрузившим какое-либо из расширений, рекомендуется деинсталлировать его и сменить все пароли для Facebook, Instagram и других сервисов, где используются те же учетные данные.

    Подробнее: https://www.securitylab.ru/news/493233.php
     
  16. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 13 июн 2018
    Microsoft приняла меры против атаки Spectre Variant 4

    С выпуском июньского пакета обновлений Microsoft устранила более 50 уязвимостей в своих продуктах.

    В рамках планового «вторника исправлений» компания Microsoft выпустила пакет обновлений безопасности, в том числе добавляющих поддержку функции, призванной предотвратить атаки с эксплуатацией уязвимости Spectre Variant 4 (CVE-2018-3639), так же известной как Speculative Store Bypass (SSB). О четвертом варианте нашумевших уязвимостей Meltdown-Spectre сталоизвестнов мае нынешнего года. Атака Spectre Variant 4 основана на так называемом спекулятивном выполнении – функции, присущей практически всем современным процессорам. Благодаря ей злоумышленник может осуществить атаку по сторонним каналам и похитить конфиденциальные данные.

    С целью устранения риска атак Microsoft добавила в платформы Windows (Windows 10, 7, Windows Server 2008, Windows Server 2016, Windows Server 1709 и 1803) и Azure поддержку функции Speculative Store Bypass Disable (SSBD), предотвращающей эксплуатацию SSB. Компания не раскрыла информацию о том, каким образом можно осуществить подобную атаку. В настоящее время поддержка функции реализована только для устройств с процессорами Intel, для ее активации потребуется обновление микрокода Intel. Обновления для компьютеров на базе процессоров AMD будут доступны позже. Для них обновление прошивки не потребуется.

    С выпуском июньского пакета обновлений Microsoftустранилаболее 50 уязвимостей (в том числе 11 критических), затрагивающих Windows, Internet Explorer, Edge, MS Office, MS Office Exchange Server, ChakraCore и Adobe Flash Player. Наиболее опасной является проблема CVE-2018-8225 в Windows Domain Name System (DNS) DNSAPI.dll, которая затрагивает все версии Windows с 7 по 10, а также все редакции Windows Server. Уязвимость связана с процессом обработки Windows DNS-ответов и может быть проэксплуатирована путем отправки специально сформированных DNS-ответов с подконтрольного злоумышленнику DNS-сервера. Проэксплуатировав проблему, атакующий может выполнить произвольный код в контексте локальной системной учетной записи (Local System Account).

    В числе прочих исправлены уязвимостиCVE-2018-8231иCVE-2018-8213в Windows 10 Windows Server, позволяющие выполнить произвольный код и получить контроль над целевой системой, а также уязвимость нулевого дня в Flash Player, патч для которой былвыпущенAdobe на минувшей неделе.

    Подробнее: https://www.securitylab.ru/news/493910.php
     
  17. unbreakable

    unbreakable Модератор

    Репутация:
    34.788.710
    unbreakable, 29 июн 2018
    Хакеры начали использовать метод внедрения кода PROPagate

    Злоумышленники используют данный метод для заражения пользователей майнером криптовалюты.

    Исследователи безопасности из компании FireEyeзафиксировалислучаи применения авторами вредоносных программ техники внедрения кода PROPagate,описанногов ноябре 2017 года.

    Техника заключается в использовании функций служб управления API интерфейса Windows GUI для загрузки и выполнения вредоносного кода внутри процессов легитимных приложений.

    Разработчикам вредоносных программ потребовалось 8 месяцев для того, чтобы разобраться в PROPagate. Согласно отчету, исследователи обнаружили вредоносную кампанию с использованием технологии PROPagate для заражения устройство пользователей майнерами криптовалюты.

    По словам специалистов, операторы набора эксплойтов RIG запустили кампанию по перехвату трафика с легитимных сайтов с помощью скрытого элемента iframe и перенаправления пользователей на «целевую страницу». На данной странице RIG использует один из трех вредоносных скриптов для загрузки и запуска вредоносного установщика NSIS. В свою очередь установщик запускает трехступенчатый механизм, который включает в себя технику PROPagate, для заражения устройства пользователя конечной полезной нагрузкой, а именно майнером криптовалюты Monero.

    Подробнее: https://www.securitylab.ru/news/494187.php
    --- Сообщения объединены, 29 июн 2018 ---
    Хакеры внедрили бэкдор в код Gentoo Linux на GitHub

    Злоумышленники заменили ветки portage и musl-dev вредоносными ebuild, предназначенными для удаления всех файлов из системы.

    Разработчики дистрибутива Gentoo Linuxпредупредилипользователей о компрометации одной из учетных записей проекта на портале GitHub. Злоумышленникам удалось изменить содержание репозиториев и внедрить вредоносный код, позволяющий удалить все файлы из системы.

    «28 июня около 20:20 неизвестные получили контроль над учетной записью проекта Gentoo на портале GitHub и изменили содержание репозиториев. Мы все еще работаем над определением маштабов ущерба и восстановлением контроля над репозиториями. Весь код Gentoo, размещенный на GitHub, на данный момент должен считаться скомпрометированным», - следует из заявления Gentoo.

    По словам разработчиков, злоумышленники заменили ветки portage и musl-dev вредоносными ebuild, предназначенными для удаления всех файлов из системы.

    Ebuild представляют собой скрипты bash, используемые Gentoo Linux для системы управления программным обеспечением Portage.

    «Поскольку главный репозиторий Gentoo ebuild размещен в нашей собственной инфраструктуре, а Github - это только его зеркало, все в порядке, если вы используете rsync или webrsync из gentoo.org», - отметили разработчики.

    Подробнее: https://www.securitylab.ru/news/494175.php
     
Загрузка...