32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Операторы Black Basta переходят на email-бомберы и социальную инженерию
По данным Rapid7, в октябре 2024 года злоумышленники, связанные с вымогателем Black Basta, начали менять тактику. Теперь они используют социальную инженерию и распространяют различные полезные нагрузки, например Zbot и DarkGate.
https://xakep.ru/2024/12/10/black-basta-tactics/
Производитель медицинского оборудования Artivion стал жертвой вымогателей
Компания Artivion, ведущий производитель медицинского оборудования для хирургии сердца, пострадала от вымогательской атаки. Еще 21 ноября 2024 года злоумышленники нарушили работу компании и вынудили ее отключить некоторые системы.
https://xakep.ru/2024/12/10/artivion-hacked/
Скамеры использовали Airbnb для развертывания мошеннических колл-центров
Европол сообщает об аресте восьми участников международной киберпреступной группировки, которая похитила миллионы евро у своих жертв. Подозреваемые арендовали недвижимость и роскошные апартаменты через Airbnb, и разворачивали там мошеннические колл-центры.
https://xakep.ru/2024/12/10/airbnb-call-centers/
В РКН прокомментировали проблемы в работе интернета в ряде регионов
В минувшие выходные пользователи из некоторых регионов РФ столкнулись с ограничениями в работе интернета. К примеру, дагестанская телекоммуникационная компания Ellco уведомила пользователей, что из-за учений Роскомнадзора «по отработке сценариев отключения доступа к зарубежному сегменту сети Интернет» наблюдались ограничения в доступе к некоторым сайтам и сервисам.
https://xakep.ru/2024/12/09/rkn-foreign-internet/
Для 0-day уязвимости в Windows уже готов неофициальный патч
Уязвимость нулевого дня в Windows позволяет перехватить учетные данные NTLM, а для ее эксплуатации достаточно обманом вынудить пользователя просмотреть вредоносный файл через Windows Explorer. Официального исправления для этой проблемы пока нет.
https://xakep.ru/2024/12/09/ntlm-0day/
ИИ-модель Ultralytics взломана, в ее код внедрили майнер
В PyPI обнаружили еще одну атаку на цепочку поставок. На этот раз компрометации подверглась популярная ИИ-модель Ultralytics YOLO11: в код версий 8.3.41 и 8.3.42 были внедрены майнеры.
https://xakep.ru/2024/12/09/yolo-miner/
Хакеры.RU. Глава 0х01. Точка входа
Это вторая глава из романа нашего ведущего редактора Валентина Холмогорова «Хакеры.RU». Каждую субботу мы публикуем по одной главе специально для подписчиков «Хакера». Если ты еще не прочел первую, начни с нее!
https://xakep.ru/2024/12/07/hackers-story-01/
Громим PrestaShop. Как я захватил инсталл интернет-магазина на багбаунти #статьи #подписчикам
В этой статье я расскажу, как одна маленькая ошибка с установочным скриптом в CMS PrestaShop может открыть дверь для удаленного выполнения кода. Оказалось, что некоторые аспекты этой CMS устроены так, что не подлежат исправлению и создают опасные лазейки для опытных хакеров.
https://xakep.ru/2024/12/06/prestashop-hack/
По подозрению в атаке на американские телекомы арестован участник Scattered Spider
Американские власти арестовали 19-летнего хакера, связанного с известной группировкой Scattered Spider. Подозреваемого связывают со взломом неназванного финансового учреждения, а также двух телекоммуникационных компаний.
https://xakep.ru/2024/12/06/scattered-spider-remi/
Повлияйте на развитие нового решения для защиты данных — PT Data Security от Positive Technologies. Продукт позволяет в реальном времени отслеживать инфраструктуру данных и автоматически классифицирует информацию по уровню критичности.
Разработчик запускает программу «Ранние ПТашки» и предлагает три формата участия:
1️⃣ Продуктовые исследования: изучите ранний прототип решения и посоветуйте команде R&D, что в нем можно улучшить.
2️⃣ Глубинные интервью: поделитесь опытом использования инструментов для защиты данных, их плюсами и недостатками.
3️⃣ Передача опыта: опишите, как организованы базы и системы хранения данных в вашей компании.
🎁 Активным участникам программы будет предоставлена возможность получить доступ к ранним версиям решения, а также возможность приобрести лицензию на специальных условиях после выхода коммерческой версии*.
Оставляйте заявку, чтобы команда PT Data Security подобрала для вас удобное время и формат участия.
* Подробности уточняйте у специалистов PT Data Security
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
Хак-группа Turla захватила серверы пакистанской APT
Специалисты Lumen Black Lotus Labs и Microsoft Threat Intelligence Team обнаружили, что русскоязычная кибершпионская группировка Turla (она же Secret Blizzard) взломала инфраструктуру пакистанской хак-группы Storm-0156, чтобы проводить собственные тайные атаки на уже взломанные сети.
https://xakep.ru/2024/12/05/turla-storm-0156/
В сеть попали данные 760 000 сотрудников Xerox, Nokia, Morgan Stanley и других компаний
В начале текущей недели на хакерском форуме опубликовали информацию более чем о 760 000 сотрудниках нескольких крупных организаций. Судя по всему, данные были получены в результате прошлогоднего взлома MOVEit.
https://xakep.ru/2024/12/05/new-nam3l3ss-leak/
В Германии закрыли хакерский маркетплейс Crimenetwork
Власти Германии закрыли крупнейший в стране маркетплейс для киберпреступников Crimenetwork. Администратор площадки арестован по обвинениям в содействии распространению наркотиков, краденых данных и незаконных услуг.
https://xakep.ru/2024/12/05/crimenetwork-down/
Малварь DroidBot ворует данные из 77 финансовых и криптовалютных приложений
Новая банковская Android-малварь DroidBot стремится похитить учетные данные из 77 криптовалютных и банковских приложений. По информации Cleafy, вредонос в основном атакует пользователей в Великобритании, Италии, Франции, Испании и Португалии.
https://xakep.ru/2024/12/05/droidbot/
Опубликован эксплоит для RCE-уязвимости в Progress WhatsUp Gold
В сети появился PoC-эксплоит для критической уязвимости в Progress WhatsUp Gold, которая позволяет добиться удаленного выполнения кода.
https://xakep.ru/2024/12/04/whatsup-gold-poc/
Ботнет Socks5Systemz поддерживает прокси-сервис, насчитывающий более 85 000 устройств
Аналитики компании Bitsight сообщают, что за работой прокси-сервиса PROXY[.]AM стоит ботнет Socks5Systemz, размеры которого сейчас составляют от 85 000 до 100 000 зараженных устройств.
https://xakep.ru/2024/12/10/socks5systemz-proxy-am/
Инфра в огне. Как мы пентестили сети двух крупных российских компаний #статьи #подписчикам
В этой статье я расскажу про два кейса из моей практики пентестов внешнего периметра, в которых удалось применить несколько нестандартных подходов с последующим «классическим» получением привилегий администратора домена.
https://xakep.ru/2024/12/10/pentast-cases/
Уязвимости в OpenWRT SysUpgrade позволяли подменить образы прошивок вредоносными
Специалист Flatt Security обнаружил критические уязвимости в функциональности ASU (Attended SysUpgrade) OpenWRT, которая используется для создания кастомных on-demand образов прошивки. Баги могли привести к распространению вредоносных прошивок среди пользователей.
https://xakep.ru/2024/12/10/openwrt-asu-flaw/
QR-коды могут использоваться для обхода изоляции браузера
Специалисты компании Mandiant рассказали о новом способе обхода технологии изоляции браузера и осуществления операций с помощью QR-кодов.
https://xakep.ru/2024/12/09/qr-isolation-bypass/
HTB GreenHorn. Получаем сессию через сервис Pluck #статьи #начинающим #подписчикам
В этом райтапе я покажу, как можно получить сессию в системе через загрузку своего модуля в систему управления контентом Pluck. При повышении привилегий решим задачу в духе CTF по восстановлению размытых на картинке приватных данных из PDF.
https://xakep.ru/2024/12/09/htb-greenhorn/
Роскомнадзор может ограничить работу зарубежных хостеров
В Роскомнадзоре предупредили, что могут ограничить работу восьми зарубежных хостинг-провайдеров: GoDaddy, Kamatera, Network Solutions, Ionos, HostGator, DigitalOcean, Amazon Web Services и Hetzner Online GmbH. По словам представителей ведомства, ресурсы, размещенные на их мощностях, подвергаются рискам.
https://xakep.ru/2024/12/09/rkn-hosting-2/
Стилер RedLine маскируется под пиратский активатор для популярного бухгалтерского ПО
«Лаборатория Касперского» сообщает о вредоносной кампании, направленной на российские организации. Атакующие распространяют стилер RedLine на бухгалтерских форумах, маскируя его под пиратский активатор HPDxLIB, предназначенный для популярного софта.
https://xakep.ru/2024/12/06/redline-buhgalteria/
Для критической уязвимости в Mitel MiCollab появился PoC-эксплоит
ИБ-специалисты обнародовали proof-of-concept (PoC) эксплоит, который объединяет в себе исправленную критическую уязвимость в Mitel MiCollab и 0-day проблему произвольного чтения файлов. В итоге злоумышленник может получить доступ к файлам на сервере.
https://xakep.ru/2024/12/06/mitel-micollab/
Правоохранители изъяли 50 серверов Manson Market и закрыли торговую площадку
Немецкие правоохранители конфисковали более 50 серверов, на которых размещался хакерский маркетплейс Manson Market, а также фальшивые интернет-магазины, использовавшиеся в фишинговых операциях.
https://xakep.ru/2024/12/06/manson-market-seized/
«Почта России» проводит проверку из-за сообщений об утечке данных
Специалисты Data Leakage & Breach Intelligence (DLBI) предупредили, что в открытом доступе был опубликован небольшой фрагмент БД, содержащий информацию об отправлениях «Почты России». Представители «Почты России» заявили, что уже проводят аудит безопасности и проверяют опубликованный фрагмент на принадлежность к утечке двухлетней давности.
https://xakep.ru/2024/12/06/pochta-new-leak/
Luntry проведет вебинар «Подпись и валидация образов в Kubernetes»
10 декабря в 11:00 (по московскому времени) эксперты Luntry проведут бесплатный вебинар, на котором расскажут о технических аспектах работы с валидацией образов. Эфир будет полезен для специалистов, которые работают с контейнеризацией и стремятся повысить безопасность инфраструктуры.
https://xakep.ru/2024/12/05/luntry-webinar/
Реклама. ООО «КлаудРан». ИНН 7804685734.
Руби наотмашь. Исследуем архитектуру приложения на Ruby и учимся его реверсить #статьи #подписчикам
В сегодняшней статье мы поговорим о Ruby, вернее — о тонкостях и нюансах реверса написанных на этом языке приложений. Мы разберем особенности таких программ, перечислим полезный инструментарий для их исследования и найдем простой способ их отладки.
https://xakep.ru/2024/12/05/ruby-reverse/
В библиотеку Solana Web3.js внедрили бэкдор, ворующий приватные ключи
2 декабря 2024 года пакет Solana Web3.js был скомпрометирован в результате атаки на цепочку поставок и взлома аккаунта с соответствующими правами. В результате в код библиотеки внедрили бэкдор для кражи приватных криптовалютных ключей.
https://xakep.ru/2024/12/05/solana-web3-js/
Правоохранители закрыли платформу для зашифрованных коммуникаций Matrix
В результате международной операции Passionflower правоохранительные органы закрыли платформу для обмена зашифрованными сообщениями Matrix. При этом власти утверждают, что захватили сервис еще в начале 2024 года и следили за коммуникациями преступников три месяца.
https://xakep.ru/2024/12/04/matrix-down/
Positive Technologies: DMA-атаки могут снова стать актуальными
Аналитики Positive Technologies обнаружили, что уже известные DMA-атаки получили новую точку входа при наличии физического доступа к целевым устройствам. По их словам, такой вектор атак может набрать популярность из-за архитектурной особенности новых пользовательских устройств, которые подключаются к компьютеру и имеют прямой доступ к его памяти благодаря механизму DMA (direct memory access).
https://xakep.ru/2024/12/04/damagecard/