32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Обнаружен новый Linux-бэкдор WolfsBane
Аналитики ESET обнаружили новый бэкдор для Linux под названием WolfsBane. По данным исследователей, этот вредонос является аналогом Windows-бэкдора, который с 2014 года применяет китайская хак-группа Gelsemium.
https://xakep.ru/2024/11/22/wolfsbane/
Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL
Мы проводили пентест одной большой компании с хорошим бюджетом на ИБ и обнаружили баг в коробочном решении WebTutor. Эта уязвимость позволила нам получить доступ во внутреннюю сеть, где мы столкнулись с EDR и антивирусом. Обойти их помогла возможность исполнять команды из запросов к БД.
https://xakep.ru/2024/11/22/microsoft-sql-attack/
Американские власти закрыли хакерский маркетплейс PopeyeTools
Правоохранители отчитались о закрытии платформы PopeyeTools, которая использовалась для продажи ворованных данных банковских карт и различных хакерских инструментов. Трем предполагаемым администраторам маркетплейса уже предъявлены обвинения.
https://xakep.ru/2024/11/22/popeyetools/
Администратора шифровальщика Phobos экстрадировали в США и предъявили обвинения
Гражданин России Евгений Птицын, которого подозревают в создании шифровальщика Phobos, был экстрадирован из Южной Кореи в США. По данным американского Минюста, вымогатель Phobos связан более чем с 1000 атаками на государственные и частные организации, а общая сумма выкупов превысила 16 млн долларов США.
https://xakep.ru/2024/11/22/phobos-indictment/
РКН запретил распространять научно-техническую и статистическую информацию о VPN
Роскомнадзор (РКН) опубликовал приказ, вносящий изменения в «Критерии оценки материалов и (или) информации, необходимых для принятия решений, являющихся основаниями для включения в реестр запрещенной информации». Приказ вступает в силу 30 ноября 2024 года, и теперь научная, научно-техническая и статистическая информация о VPN-сервисах для обхода блокировок признана запрещенной в РФ.
https://xakep.ru/2024/11/21/vpn-science-ban/
В needrestart нашли уязвимости 10-летней давности, позволяющие получить root-права в Ubuntu Server
В утилите needrestart, используемой в Ubuntu с версии 21.04 и представленной более 10 лет назад, выявлены сразу пять уязвимостей, связанных с локальным повышением привилегий. Баги позволяют локальному злоумышленнику получить привилегии root без необходимости взаимодействия с пользователем.
https://xakep.ru/2024/11/21/needrestart-lpe/
Ghost Tap использует NFC для кражи денег
Хакеры разработали новый метод получения денег с украденных банковских карт, привязанных к таким платежным системам, как Apple Pay и Google Pay. Атака получила название Ghost Tap и связана с передачей NFC-данных мулам по всему миру.
https://xakep.ru/2024/11/21/ghost-tap/
Хакеры заявляют, что похитили данные клиентов Ford
Хакеры опубликовали на BreachForums 44 000 записей с информацией о клиентах Ford. В компании заявили, что уже проводят расследование возможной утечки данных.
https://xakep.ru/2024/11/20/ford-breached/
Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE #статьи #подписчикам
В прошлом году моя я и моя команда исследовали модем Cinterion EHS5. Мы обнаружили в его прошивке уязвимость переполнения кучи при обработке сообщений протокола Secure UserPlane Location (SUPL), передаваемых в виде SMS. Этот баг позволяет выполнить произвольный код на уровне операционной системы модема с максимальными привилегиями — достаточно отправить всего пять SMS через сеть оператора.
https://xakep.ru/2024/11/20/sms-attack/
Утекшие документы показывают, какие телефоны можно взломать с помощью Graykey
В распоряжении издания 404 Media оказались документы с подробным описанием возможностей инструмента Graykey, который используется правоохранительными органами и киберкриминалистами по всему миру для разблокировки смартфонов. Оказалось, Graykey позволяет получить лишь частичные данные с iPhone, работающих под управлением iOS 18 или iOS 18.0.1.
https://xakep.ru/2024/11/20/graykey-capabilities/
Более 1400 пользователей WhatsApp были взломаны с помощью спайвари Pegasus
Стало известно, что израильская компания NSO Group, занимающаяся разработкой шпионского ПО (включая нашумевший Pegasus), использовала сразу несколько 0-day эксплоитов для WhatsApp. В том числе против пользователей применялся ранее неизвестный эксплоит под названием Erised, который использовал уязвимости для развертывания Pegasus.
https://xakep.ru/2024/11/19/nso-group-court-documents/
Фейковые ИИ-генераторы картинок и видео распространяют стилеры Lumma и AMOS
Злоумышленники создают сайты, на которых якобы можно получить доступ к ИИ-решению EditProAI. Такие фальшивые генераторы изображений заражают Windows и macOS малварью Lumma и AMOS, которая затем используется для кражи учетных данных и информации криптовалютных кошельков.
https://xakep.ru/2024/11/19/editproai/
В российской системе для видеоконференций VINTEO исправили 0-day уязвимости
Специалист Positive Technologies выявил хакерскую атаку на российскую компанию. Детальный анализ трафика показал, что для взлома использовались две опасные уязвимости в системе видеоконференцсвязи VINTEO.
https://xakep.ru/2024/11/19/vinteo-0days/
Компанию T-Mobile взломали во время недавней атаки на телекомы
Компания T-Mobile подтвердила, что подверглась хакерской атаке. Ранее правоохранители предупреждали, что несколько американских телекоммуникационных компаний пострадали от атак китайских хакеров, целью которых было получение доступа к частным сообщениям, записям звонков и запросам правоохранительных органов.
https://xakep.ru/2024/11/18/t-mobile-hacked-again/
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision
Специалисты The Shadowserver Foundation обнаружили ботнет, который атакует уязвимость нулевого дня в устаревших устройствах GeoVision, чтобы впоследствии использовать их для DDoS-атак и майнинга криптовалюты.
https://xakep.ru/2024/11/18/geovision-0day/
D-Link снова просит пользователей отказаться от уязвимых роутеров
Компания D-Link рекомендовала отказаться от использования нескольких устаревших моделей маршрутизаторов. Дело в том, что в устройствах выявлена критическая RCE-уязвимость, эксплуатация которой не требует аутентификации. Однако патчей не будет, так как поддержка уязвимых девайсов уже прекращена.
https://xakep.ru/2024/11/22/d-link-eol-routers/
Студенческий ИТ-чемпионат «Кибербезопасность в финансах» от Банка России – соревнование для молодых специалистов в сфере информационной безопасности. В программе поиск флагов в CTF-задачах, решение аналитической задачи, а в финале – тематический кейс-чемпионат и сражение на киберполигоне в Екатеринбурге!
Собирайте команду единомышленников и включайтесь в борьбу за призовой фонд – 1 000 000 рублей. Регистрация
Приглашаем к участию студенческие команды из 4 или 5 человек. Подать заявку и присоединиться к яркому событию в мире инфобеза можно до 4 декабря.
Соревнование пройдет в 2 этапа: онлайн-отбор и офлайн-финал на форуме «Кибербезопасность в финансах» в Екатеринбурге!
Сначала на платформе Codenrock пройдет онлайн-этап (6-8 декабря):
🔹Четыре CTF-задачи – находите флаги, зарабатывайте баллы.
🔹Аналитическая задача – обнаружьте уязвимость в системе и предложите варианты защиты.
Лучшие 10 команд отборочного этапа будут объявлены уже 10 декабря и приглашены в Екатеринбург, где пройдет офлайн-финал (16-21 февраля) соревнования, включающий:
🔹Подготовку и защиту ИБ-кейса – за 2 месяца до очного этапа участники получат уникальную тему, которую необходимо проработать и презентовать жюри.
🔹Киберполигон – соревнование с лучшими соперниками и защита банка от киберугроз в реальном времени.
Финал чемпионата пройдет в рамках большого события федерального уровня – Уральского форума «Кибербезопасность в финансах» от Банка России.
Регистрация открыта до 4 декабря
Реклама. ООО «ЭФФЕКТКОММ». ИНН 7716792536
Более 2000 брандмауэров Palo Alto Networks взломаны через свежие 0-day баги
ИБ-эксперты предупреждают, что хакеры уже взломали тысячи брандмауэров Palo Alto Networks, используя две недавно исправленные уязвимости нулевого дня.
https://xakep.ru/2024/11/22/pan-os-attacks/
MITRE подготовила список 25 самых опасных угроз 2024 года
Эксперты MITRE традиционно представили список 25 самых распространенных и опасных уязвимостей в программном обеспечении. В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.
https://xakep.ru/2024/11/21/mitre-cwe-2024/
Семплеры и шедулеры. Разбираем два важных механизма улучшения генеративных картинок #статьи #подписчикам
У веб‑интерфейсов к диффузионным нейронкам вроде Stable Diffusion есть огромная масса параметров, движков и ползунков, меняя значения которых можно добиться изменения картинки при прочих равных условиях. Сегодня поговорим о выборе семплеров и шедулеров.
https://xakep.ru/2024/11/21/samplers-schedulers/
Исследователи выявили почти 4000 уязвимых спутниковых приемников сигнала
Специалисты «Лаборатории Касперского» изучили оборудование глобальных навигационных спутниковых систем (ГНСС), которое используется в разных отраслях по всему миру. По данным на ноябрь 2024 года, почти 4000 спутниковых приемников 70 производителей оказались уязвимыми для атак через интернет. Уязвимые устройства расположены в самых разных регионах, включая Латинскую и Северную Америку, Европу и Азию. Некоторые были обнаружены и…
https://xakep.ru/2024/11/21/gnss-problems/
Ботнет Ngioweb использовал тысячи устройств в качестве резидентных прокси
Исследователям удалось разобраться в инфраструктуре ботнета Ngioweb, который поставляет десятки тысяч прокси хакерскому сервису NSOCKS и впервые был обнаружен еще в 2017 году. В результате работа ботнета была нарушена, так как ИБ-компании начали блокировать его трафик.
https://xakep.ru/2024/11/20/ngioweb-nsocks/
Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ в Москве
Конец года — лучшее время, чтобы изучить аналитику, узнать последние тренды ИБ и прогнозы на будущее в кругу профессионалов.
🗓 5 декабря | Начало в 9:30
📍Palmira Business Club Hotel. ул. Новоданиловская набережная 6, к.2
Ради чего стоит идти?
▪️Лидеры отрасли расскажут, какие проекты они запустили и куда планируют двигаться дальше;
▪️Узнаем из первых уст, как регуляторы оценивают итоги работы участников рынка, и какие законодательные инициативы готовятся к принятию в следующем году;
▪️CISO поделятся самыми знаковыми проектами или наиболее неприятными инцидентами;
▪️Эксперты раскроют аналитику и обсудят самые резонансные события отрасли;
▪️Устроим долгожданный слёт сообщества Codeibcommunity и в приватных беседах "сверим друг с другом часы";
▪️Насытимся яркими впечатлениями во время дополнительной программы.
Уникальный контент, непринужденная атмосфера и подарки: не пропустите главную аналитическую конференцию в сфере кибербеза!
Регистрируйтесь уже сейчас
Участие бесплатное, количество мест ограничено.
Реклама. ООО "Экспо-Линк". ИНН 6670051499
Шифровальщик Helldown взламывает брандмауэры Zyxel
Обнаружен вымогатель Helldown, который проникает в корпоративные сети через уязвимости в брандмауэрах Zyxel. Пока этот шифровальщик не входит в число основных игроков на вымогательском «рынке», он быстро набирает обороты, а на сайте злоумышленников появляются сообщения о новых жертвах.
https://xakep.ru/2024/11/20/helldown/
Apple патчит сразу две 0-day уязвимости, использовавшиеся в атаках
Компания Apple выпустила экстренные патчи для исправления сразу двух уязвимостей нулевого дня, которые уже использовались в атаках на системы Mac на базе Intel.
https://xakep.ru/2024/11/20/two-apple-0day/
В Швейцарии мошенники используют для атак бумажную почту
Национальный центр кибербезопасности Швейцарии (NCSC) предупредил, что через почтовую службу страны распространяется малварь: люди получают бумажные письма с вредоносными QR-кодами.
https://xakep.ru/2024/11/19/snail-mail-trojan/
Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE #статьи #подписчикам
Самые веселые баги можно найти там, где их никто не ждал, — например, в популярных решениях управления доступом, таких как FreeIPA. Представь: у нас есть возможность запросить важные данные из системы, казавшейся абсолютно защищенной. Что, если это не просто удача? Забегая вперед, скажу, что она привела меня к нескольким интереснейшим находкам.
https://xakep.ru/2024/11/19/freeipa-kerberoasting/
Фишеры стали чаще использовать вложения в формате SVG
Исследователи заметили, что злоумышленники все чаще прикладывают к своим письмам вложения в формате SVG (Scalable Vector Graphics). Хакеры используют их для отображения фишинговых форм или внедрения малвари, при этом уклоняясь от обнаружения.
https://xakep.ru/2024/11/19/svg-danger/
🕹 Предлагаем вам сыграть в одну игру
Все игроки в ней — тестировщики, которым во время прохождения заданий нужно поломать защиту NGFW (межсетевых экранов нового поколения) разных лет, узнать, как они изменились за это время, и добраться до финального босса — PT NGFW 🔥
Каждый тап по экрану отправляет байты вредоносной информации, помогает проходить уровни и приносит вам баллы. Их можно копить или покупать на них новые атаки, которые помогут тапать ломать NGFW эффективнее.
Хотите получить больше баллов? Не ограничивайтесь дейликами, проходите квизы и выполняйте дополнительные задания.
Все игроки, которые попадут в топ-50, гарантированно получат призы на запуске PT NGFW 20 ноября 🎁
🤫 Кстати, во время эфира откроется секретный бонусный уровень, прохождение которого повысит шансы попасть в таблицу рекордов и поможет заработать один из десяти дополнительных подарков.
Три, два, один... тап! Заходите в Telegram-бот прямо сейчас и не забудьте зарегистрироваться на запуск PT NGFW заранее.
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
HTB Axlle. Повышаем привилегии через StandaloneRunner #статьи #подписчикам
В этой статье я покажу, как повысить привилегии в Windows при помощи техники LOLBins, на примере программы StandaloneRunner. Но прежде мы получим сессию через фишинг с нагрузкой XLL, а затем изменим контекст безопасности через подмену файла.
https://xakep.ru/2024/11/18/htb-axlle/