32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Опенсорсный игровой движок Godot применяют для распространения малвари
Малварь GodLoader эксплуатирует возможности популярного игрового движка Godot, чтобы избежать обнаружения. Вредоносу уже удалось заразить более 17 000 систем всего за три месяца.
https://xakep.ru/2024/11/29/godloader-godot/
Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ
В сети появилась информация о том, что функциональность Connected Experiences используется Microsoft для сбора данных из Word и Excel для обучения ИИ. Представители компании уверяют, что приложения Microsoft 365 (включая Word, Excel и PowerPoint) и данные из них не используются обучения ИИ-моделей.
https://xakep.ru/2024/11/29/connected-experiences/
Ликвидирован пиратский стриминговый сервис, насчитывавший 22 млн пользователей
Правоохранители сообщили о проведении международной операции Taken down, в ходе которой был ликвидирован пиратский стриминговый IPTV-сервис. Им пользовались более 22 млн человек по всему миру, а ежемесячный доход его операторов оценивается в 250 млн евро (3 млрд евро в год).
https://xakep.ru/2024/11/28/operation-takendown/
Workplace OS. Вспоминаем историю самого крупного провала IBM #статьи #подписчикам
Альтернативная история — один из самых популярных литературных жанров. Многим интересно узнать, в какую сторону свернула бы цивилизация, если бы Колумб не открыл Америку или IBM приняла на вооружение вместо чипов Intel процессоры PowerPC… Впрочем, последнее — совсем не фантастика, а реальный исторический факт. Ведь для «IBM PowerPC» даже разрабатывалась специальная операционная система!
https://xakep.ru/2024/11/28/workplace-os/
Исходники macOS-стилера Banshee попали в открытый доступ
Сообщается, что cтилер Banshee (Banshee Stealer), появившийся в начале текущего года и продававшийся в даркнете за 3000 долларов США в месяц, прекратил свою работу. Дело в том, что кто-то слил исходники малвари в сеть.
https://xakep.ru/2024/11/28/banshee-leak/
Исследователи обнаружили первый в истории Linux-буткит Bootkitty
Аналитики компании ESET рассказали об обнаружении UEFI-буткита, нацеленного на Linux-системы. Хотя пока вредонос Bootkitty скорее похож на proof-of-concept и работает лишь с некоторыми версиями Ubuntu, его появление свидетельствует о том, что злоумышленники начали вкладывать значительные ресурсы и время в разработку буткитов для Linux.
https://xakep.ru/2024/11/28/bootkitty/
В рамках операции Serengeti арестованы более 1000 человек
Правоохранительные органы стран Африки рассказали о проведении операции Serengeti, в ходе которой было арестовано более 1000 человек, подозреваемых в причастности к киберпреступной деятельности. Общая сумма причиненного ими финансового ущерба оценивается в 193 млн долларов США.
https://xakep.ru/2024/11/27/serengeti/
WordPress-плагин для защиты от спама подвергает риску 200 000 сайтов
Сразу две критические уязвимости обнаружены в плагине для защиты от спама, разработанном CleanTalk. Эти баги позволяют неавторизованному злоумышленнику устанавливать и активировать вредоносные плагины на уязвимых сайтах, что может привести к удаленному выполнению кода и полному захвату ресурса.
https://xakep.ru/2024/11/27/spam-protection-anti-spam-and-firewall/
Google упростит вход в приложения на Android после смены устройства
Компания Google представила новую функцию под названием Restore Credentials, которая должна помочь пользователям безопасно и быстро восстановить доступ к сторонним приложениям после перехода на новое устройство под управлением Android.
https://xakep.ru/2024/11/26/restore-credentials/
Антируткит драйвер Avast применяется для отключения защиты
Специалисты Trellix рассказали о новой вредоносной кампании, которая эксплуатирует старый и уязвимый антируткит драйвер Avast. Злоумышленники используют тактику BYOVD для уклонения от обнаружения и отключения защитных компонентов.
https://xakep.ru/2024/11/26/avast-anti-rootkit-abuse/
Фальшивые ИТ-специалисты из Северной Кореи работают в российских и китайских компаниях
Похоже, проблема фейковых северокорейских ИТ-специалистов, которые обманом устраиваются на работу в крупные компании, оказалась актуальна не только для США. По данным аналитиков Microsoft, похожие схемы работают по всему миру, включая Китай, Россию и другие страны.
https://xakep.ru/2024/11/26/fake-it-workers/
Почта на прокачку: как повысить защиту Microsoft Exchange и не слить чувствительные данные в сеть
⏰ Когда: 27 ноября, 11:00 по Москве
📍 Регистрируйтесь на вебинар!
SuperHardio time*! Чтобы узнать, как захардкорить самое ценное и построить настоящий лабиринт для хакера, присоединяйтесь к нашему новому образовательному проекту от ИТ-экспертов Positive Technologies.
В программе:
— Что не так с типовой настройкой Microsoft Exchange 2019
— Топ-3 сценария уязвимостей
— Как ИТ-специалисту справиться с бременем ответственности за корректную работу почтового сервиса.
— Поговорим про харденинг Microsoft Exchange 2019 и особенности подхода к повышению киберустойчивости
Вебинар будет полезен архитекторам, CIO, СТО, DevOps-экспертам и техническим специалистам разных профилей. Присоединяйтесь!
*Это как "Марио тайм", время героев-экспертов харденинга
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
ИБ-эксперты нарушили работу фишингового сервиса ONNX
Специалисты Microsoft заявляют, что конфисковали 240 доменов и нарушили работу фишингового сервиса ONNX, работавшего по модели «фишинг как услуга» (Phishing-as-a-Service, PhaaS). Также исследователи обнародовали данные египтянина, который предположительно управляет ONNX.
https://xakep.ru/2024/11/25/onnx-down/
HTB Resource. Разбираемся с SSH-авторизацией по сертификату #статьи #подписчикам
Сегодня я покажу, как получив корневой сертификат, подписать SSH-ключ и повысить привилегии. При эскалации привилегий проэксплуатируем уязвимость в пользовательском скрипте на Bash. Но первым делом нам понадобится атаковать сайт — мы получим удаленное выполнение кода через связку LFI и PHAR upload.
https://xakep.ru/2024/11/25/htb-resource/
Мошенники из Таиланда разослали более миллиона фишинговых SMS из фургона
Полиция Таиланда сообщила, что обнаружила принадлежавший мошенникам фургон и арестовала его водителя за использование устройства для массовой рассылки фишинговых SMS-сообщений. Из этого фургона каждый час рассылали около 100 000 фишинговых SMS, адресованных жителям Бангкока.
https://xakep.ru/2024/11/25/sms-spam-thailand/
MEGANews. Самые важные события в мире инфосека за ноябрь
В этом месяце: GoblinRAT шпионил за российскими ведомствами и ИТ‑компаниями, разработчики Tor рассказали об атаке, произошла утечка документации для инструмента Graykey, WhatsApp использовался для доставки шпионского ПО Pegasus, исследователь нашел проблемы в песочнице ChatGPT и другие интересные события ноября.
https://xakep.ru/2024/11/29/meganews-308/
Новая хак-группа TaxOff атаковала госструктуры РФ
Эксперты Positive Technologies обнаружили новую APT-группировку, которая атакует организации российского государственного сектора. Злоумышленники использовали фишинговые письма на темы финансов и права, поэтому группа получила имя TaxOff. В атаках хакеры использовали бэкдор Trinper, который способен оставаться незаметным даже при одновременном выполнении множества задач.
https://xakep.ru/2024/11/29/taxoff/
Все больше российских пользователей сталкиваются со сталкерским ПО
«Лаборатория Касперского» провела опрос и выяснила, с какими формами цифрового преследования со стороны бывших или нынешних партнеров сталкивались пользователи. Оказалось, десять месяцев 2024 года количество пользователей Android-устройств, столкнувшихся со stalkerware, выросло на 25% по сравнению с 2023 годом.
https://xakep.ru/2024/11/28/stalkerware-russia/
Acribia VM – продвинутый сервис для управления уязвимостями:
- набор сканеров и инструментов;
- свежие 1-day уязвимости, контроль конфигураций (benchmarks), проверка паролей, мониторинг портов;
- нестандартные рекомендации по устранению и минимизации ущерба;
- платформа Acribia.SOC;
- готовые процессы, аналитика, SLA и отчетность;
- продвинутый External Attack Surface Management.
Распределение расходов на всех клиентов позволило сделать отличный сервис по цене хорошего сканера.
Мы предлагаем не просто полезный инструмент, а сервис с человеческим лицом: экспертиза аналитиков, рекомендации и консультации, оценка и улучшение текущей стратегии по работе с уязвимостями и т.д.
Свяжитесь с нами, и мы подробно расскажем о работе сервиса и проведем демонстрацию.
Реклама. ООО «Акрибия. Исследования и разработки». ИНН 7802879558.
Zello просит пользователей сменить пароли
Компания Zello предупредила клиентов, что им нужно сбросить пароли, если их учетная запись была создана до 2 ноября 2024 года. Это позволяет предположить, что компания пострадала от хакерской атаки.
https://xakep.ru/2024/11/28/zello-passwords/
Группировка RomCom применяет в атаках уязвимости нулевого дня в Firefox и Windows
Обнаружилось, что хак-группа RomCom использовала сразу две уязвимости нулевого дня в недавних атаках, направленных на пользователей браузеров Firefox и Tor по всей Европе и Северной Америке.
https://xakep.ru/2024/11/27/romcom-0days/
CVE со скоростью света. Исправляем публичный эксплоит для LiteSpeed Cache #статьи #подписчикам
Сегодня я разберу уязвимость в LiteSpeed Cache — популярном плагине для ускорения работы сайтов. Плагин работает с движками WooCommerce, bbPress, ClassicPress и Yoast, на сегодня у него более пяти миллионов установок. Давай посмотрим, как генерация недостаточно качественных случайных чисел привела к возможности повысить привилегии до админа.
https://xakep.ru/2024/11/27/litespeed-cve/
Владельцы NAS Qnap лишились доступа к своим устройствам из-за обновления прошивки
Компания Qnap отозвала недавно выпущенное обновление прошивки после многочисленных жалоб пользователей NAS. Дело в том, что обновление нарушало различные функции устройств, а в некоторых случаях вообще блокировало доступ к ним.
https://xakep.ru/2024/11/27/qts-5-2-2-2950-build-20241114/
Пакет из PyPI, загруженный 12 000 раз, воровал приватные ключи
Текст: Администраторы репозитория Python Package Index (PyPI) поместили в карантин, а затем удалили пакет aiocpa, установленный более 12 000 раз. После обновления в нем появился вредоносный код, отвечавший за кражу приватных ключей.
https://xakep.ru/2024/11/26/aiocpa-pypi/
В погоне за билетом. Как мы дважды проникли в домен, который считался неприступным #статьи #подписчикам
В этой статье я расскажу о тестировании сети одной государственной компании, в котором я участвовал. Организация несколько раз в год заказывала пентесты как внешней, так и внутренней инфраструктуры. Мы отрабатывали модель внутреннего нарушителя — злоумышленника, обладающего доступом к сети компании, но без привилегий в домене.
https://xakep.ru/2024/11/26/domain-pentesting/
Обновление до Windows 11 24H2 нарушает работу USB-сканеров
Microsoft заблокировала распространение обновления до Windows 11 24H2 на компьютерах с USB-сканерами, поддерживающими протокол eSCL, который работает через Ethernet, Wi-Fi и USB-соединения без драйверов.
https://xakep.ru/2024/11/26/windows-11-24h2-escl/
APT28 взломала случайную организацию по соседству, чтобы пробраться в целевую сеть Wi-Fi
Аналитики Volexity обнаружили, что хак-группа APT28 проникла в неназванную американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от нее. Для этого хакеры использовали тактику, получившую название «атака на ближайшего соседа»: взломали случайную организацию в соседнем здании, находящуюся в зоне действия целевого Wi-Fi.
https://xakep.ru/2024/11/25/nearest-neighbor-attack/
Microsoft исправляет ошибку, из-за которой в Windows 10 не удалялись приложения
Microsoft выпустила опциональное накопительное обновление KB5046714 Preview для Windows 10 22H2. В нем компания исправила шесть ошибок, включая баг, мешавший пользователям удалять или обновлять пакетные приложения.
https://xakep.ru/2024/11/25/winappsdk-bug/
Под видом инструментов для создания чат-ботов в PyPI распространялся стилер Jarka
Специалисты «Лаборатории Касперского» выявили в PyPI вредоносные пакеты, загруженные более 1700 раз. Эта атака на цепочку поставок были замаскирована под инструменты для создания чат-ботов на основе нейросетей, но на самом деле в пакетах скрывался инфостилер Jarka.
https://xakep.ru/2024/11/25/pypi-jarka/
В Spotify нашли рекламу пиратского софта и читерского ПО
Плейлисты и подкасты в Spotify используются для продвижения пиратского софта, читов для игр, спамерских ссылок и сайтов с варезом. Злоумышленники внедряют ключевые слова и ссылки в названия плейлистов и описания подкастов ради SEO-оптимизации сомнительных ресурсов, так как результаты работы веб-плеера Spotify отображаются в выдаче поисковиков (например, Google).
https://xakep.ru/2024/11/22/spotify-spam/