Channel: ITsec NEWS
⚡️Бэкдор из XZ Utils добрался и до Rust: под ударом liblzma-sys
💬 Свежее открытие исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.
Как оказалось, в пакет liblzma-sys, широко используемый Rust-разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.
Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.
Как сообщается на странице с проблемой на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».
После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.
Как пояснили исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.
Бэкдор в XZ Utils был впервые обнаружен в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.
Согласно исследованиям специалистов SentinelOne и «Лаборатории Касперского», изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.
Ранее мы сообщали, что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.
Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.
🔔 ITsec NEWS
💬 Свежее открытие исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.
Как оказалось, в пакет liblzma-sys, широко используемый Rust-разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.
Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.
Как сообщается на странице с проблемой на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».
После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.
Как пояснили исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.
Бэкдор в XZ Utils был впервые обнаружен в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.
Согласно исследованиям специалистов SentinelOne и «Лаборатории Касперского», изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.
Ранее мы сообщали, что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.
Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.
🔔 ITsec NEWS
⚡️СОРМ грозит CDN-провайдерам миллионными тратами
💬 Министерство цифрового развития, связи и массовых коммуникаций РФ сочло, что коммерческие CDN-провайдеры (провайдеры услуг доставки контента) должны выполнять те же обязательства, что и веб-хостинги, пишут «Ведомости». Речь идёт о географически распределенной инфраструктуре серверов, хранящих кэшированные данные и обеспечивающих ускоренную доставку цифрового контента пользователям.
Как пояснили источники СМИ, Минцифры направило соответствующие разъяснения российским IT-компаниям, оказывающим коммерческие услуги CDN. Согласно этим разъяснениям, такие компании теперь должны внедрять СОРМ с целью обеспечить требования по защите информации и установке технических средств противодействия угрозам.
Ранее для CDN-провайдеров подобные строгие требования не применялись. Более того, само понятие «услуга доставки контента» нигде в российском законодательстве не было определено. По данным источников, представитель «Билайна» еще в январе 2024 года запрашивал у Минцифры разъяснения, считать ли CDN хостингом, на что получил утвердительный ответ.
В соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации» под провайдером хостинга понимается лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения сведений в информационной системе, постоянно подключённой к интернету, следует из ответа врио директора департамента обеспечения кибербезопасности Минцифры Евгения Хасина «Вымпелкому». «При предоставлении услуги доставки контента (CDN) владельцем сервиса предоставляются вычислительные мощности для размещения информации в информационной системе, постоянно подключённой к сети интернет, в связи с чем указанные в вашем письме лица являются провайдерами хостинга», – говорится в письме. К каким конкретно лицам это относится, в ответе регулятора не уточняется.
В то же время в позиции Минцифры подчёркивается, что «письмо носит информационно-разъяснительный характер» и «не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом».
Аналитическое агентство «Рустелеком» в 2022 г. оценивало российский рынок CDN в 2,5 млрд руб., писал CNews. Показатели рынка за 2023 г. пока никто из аналитических компаний не оценивал. Лидер рынка – Ngenix (входит в группу «Ростелеком ЦОД»). В сентябре 2023 г. «Вымпелком» стал владельцем 95% доли в компании CDNvideo, второго по выручке игрока на российском рынке CDN.
Третью позицию на рынке занимает «Мегафон». На четвертом месте находился «EdgeЦентр», созданный бывшими сотрудниками ушедшей из России G-Core Labs. Среди крупных игроков на российском рынке в исследовании «Рустелекома» перечисляются Selectel, VK, МТС и «Яндекс», а также иностранные игроки Akamai, CloudFlare, CDN77, в 2022 г. покинувшие Россию. Еще одним серьезным игроком на рынке был Google. В мае 2022 г. компания уведомляла своих партнеров о расторжении договоров на обслуживание серверов Google Global Cache (GGC), которые использовались для ускорения загрузки сервисов Google, в том числе контента YouTube, писал РБК.
По мнению экспертов, новые требования касаются именно коммерческих CDN, но не затронут компании вроде «Яндекса» и VK, развивающие CDN для собственных нужд. Такие компании уже являются организаторами распространения информации и выполняют обязательства по СОРМ.
Ожидается, что для крупных CDN-провайдеров затраты на установку СОРМ могут составить десятки миллионов рублей, а для малых игроков станут нерентабельными. СМИ сообщали, что российские операторы ведут работы по расширению пропускных способностей своих CDN для замещения сетей Google.
🔔 ITsec NEWS
💬 Министерство цифрового развития, связи и массовых коммуникаций РФ сочло, что коммерческие CDN-провайдеры (провайдеры услуг доставки контента) должны выполнять те же обязательства, что и веб-хостинги, пишут «Ведомости». Речь идёт о географически распределенной инфраструктуре серверов, хранящих кэшированные данные и обеспечивающих ускоренную доставку цифрового контента пользователям.
Как пояснили источники СМИ, Минцифры направило соответствующие разъяснения российским IT-компаниям, оказывающим коммерческие услуги CDN. Согласно этим разъяснениям, такие компании теперь должны внедрять СОРМ с целью обеспечить требования по защите информации и установке технических средств противодействия угрозам.
Ранее для CDN-провайдеров подобные строгие требования не применялись. Более того, само понятие «услуга доставки контента» нигде в российском законодательстве не было определено. По данным источников, представитель «Билайна» еще в январе 2024 года запрашивал у Минцифры разъяснения, считать ли CDN хостингом, на что получил утвердительный ответ.
В соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации» под провайдером хостинга понимается лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения сведений в информационной системе, постоянно подключённой к интернету, следует из ответа врио директора департамента обеспечения кибербезопасности Минцифры Евгения Хасина «Вымпелкому». «При предоставлении услуги доставки контента (CDN) владельцем сервиса предоставляются вычислительные мощности для размещения информации в информационной системе, постоянно подключённой к сети интернет, в связи с чем указанные в вашем письме лица являются провайдерами хостинга», – говорится в письме. К каким конкретно лицам это относится, в ответе регулятора не уточняется.
В то же время в позиции Минцифры подчёркивается, что «письмо носит информационно-разъяснительный характер» и «не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом».
Аналитическое агентство «Рустелеком» в 2022 г. оценивало российский рынок CDN в 2,5 млрд руб., писал CNews. Показатели рынка за 2023 г. пока никто из аналитических компаний не оценивал. Лидер рынка – Ngenix (входит в группу «Ростелеком ЦОД»). В сентябре 2023 г. «Вымпелком» стал владельцем 95% доли в компании CDNvideo, второго по выручке игрока на российском рынке CDN.
Третью позицию на рынке занимает «Мегафон». На четвертом месте находился «EdgeЦентр», созданный бывшими сотрудниками ушедшей из России G-Core Labs. Среди крупных игроков на российском рынке в исследовании «Рустелекома» перечисляются Selectel, VK, МТС и «Яндекс», а также иностранные игроки Akamai, CloudFlare, CDN77, в 2022 г. покинувшие Россию. Еще одним серьезным игроком на рынке был Google. В мае 2022 г. компания уведомляла своих партнеров о расторжении договоров на обслуживание серверов Google Global Cache (GGC), которые использовались для ускорения загрузки сервисов Google, в том числе контента YouTube, писал РБК.
По мнению экспертов, новые требования касаются именно коммерческих CDN, но не затронут компании вроде «Яндекса» и VK, развивающие CDN для собственных нужд. Такие компании уже являются организаторами распространения информации и выполняют обязательства по СОРМ.
Ожидается, что для крупных CDN-провайдеров затраты на установку СОРМ могут составить десятки миллионов рублей, а для малых игроков станут нерентабельными. СМИ сообщали, что российские операторы ведут работы по расширению пропускных способностей своих CDN для замещения сетей Google.
🔔 ITsec NEWS
⚡️Китайские марки с QR-кодами привели к экономической войне с Великобританией
💬 В прошлом году британская почтовая служба Royal Mail начала внедрение марок с QR-кодами на замену бумажным. Такое изменение было частью модернизации и предназначалось для улучшения безопасности, предотвращения повторного использования марок и борьбы с подделками.
Проблема образовалась после того, как многие отправители получали обратно свои письма с постановлением о штрафе в размере £5 (около $6,2) за использование поддельных марок.
Расследование The Telegraph показало, что крупные китайские производители способны печатать до миллиона поддельных марок каждую неделю по цене всего 4 пенни ($0,04) за штуку. Такие марки могут быть доставлены в Великобританию всего за несколько дней. Эксперты в области безопасности и британские парламентарии сравнили это с «актом экономической войны», похожим на печать фальшивых денег.
Royal Mail обвинила пограничную службу Великобритании в неспособности остановить контрафактную продукцию на границе. Отмечается, что из-за способа отправки (марки поставляются листами, как бумага) марки трудно отличить от обычной корреспонденции.
Исполнительный директор Royal Mail признал, что иногда компьютер ошибочно маркирует настоящие марки как поддельные, после чего требуется тщательная проверка экспертами.
Более того, клиенты, получившие штрафы, заявляют, что покупали марки в отделениях Почты, а не у Royal Mail. Почта, в свою очередь, утверждает, что получает марки непосредственно от официальных печатных мастерских Royal Mail.
Организации по защите конфиденциальности не высказались против внедрения марок с QR-кодами, хотя они позволяют прикреплять к отправлениям видео с помощью смартфона, что может нарушать анонимность переписки. Royal Mail ранее отметила, что марки с QR-кодом не подвержены публичному отслеживанию, например, через веб-сайт, но не исключила возможность внутреннего отслеживания в правоохранительных целях.
Кроме того, почтовая служба объяснила, что каждая марка уникальна и не содержит каких-либо личных данных. Однако это не означает, что уникальный идентификатор, содержащийся в QR-коде, не может быть связан с личностью отправителя другими способами, например, когда он покупает марку с помощью цифровых методов оплаты или использует свой смартфон для прикрепления видео к QR-коду.
🔔 ITsec NEWS
💬 В прошлом году британская почтовая служба Royal Mail начала внедрение марок с QR-кодами на замену бумажным. Такое изменение было частью модернизации и предназначалось для улучшения безопасности, предотвращения повторного использования марок и борьбы с подделками.
Проблема образовалась после того, как многие отправители получали обратно свои письма с постановлением о штрафе в размере £5 (около $6,2) за использование поддельных марок.
Расследование The Telegraph показало, что крупные китайские производители способны печатать до миллиона поддельных марок каждую неделю по цене всего 4 пенни ($0,04) за штуку. Такие марки могут быть доставлены в Великобританию всего за несколько дней. Эксперты в области безопасности и британские парламентарии сравнили это с «актом экономической войны», похожим на печать фальшивых денег.
Royal Mail обвинила пограничную службу Великобритании в неспособности остановить контрафактную продукцию на границе. Отмечается, что из-за способа отправки (марки поставляются листами, как бумага) марки трудно отличить от обычной корреспонденции.
Исполнительный директор Royal Mail признал, что иногда компьютер ошибочно маркирует настоящие марки как поддельные, после чего требуется тщательная проверка экспертами.
Более того, клиенты, получившие штрафы, заявляют, что покупали марки в отделениях Почты, а не у Royal Mail. Почта, в свою очередь, утверждает, что получает марки непосредственно от официальных печатных мастерских Royal Mail.
Организации по защите конфиденциальности не высказались против внедрения марок с QR-кодами, хотя они позволяют прикреплять к отправлениям видео с помощью смартфона, что может нарушать анонимность переписки. Royal Mail ранее отметила, что марки с QR-кодом не подвержены публичному отслеживанию, например, через веб-сайт, но не исключила возможность внутреннего отслеживания в правоохранительных целях.
Кроме того, почтовая служба объяснила, что каждая марка уникальна и не содержит каких-либо личных данных. Однако это не означает, что уникальный идентификатор, содержащийся в QR-коде, не может быть связан с личностью отправителя другими способами, например, когда он покупает марку с помощью цифровых методов оплаты или использует свой смартфон для прикрепления видео к QR-коду.
🔔 ITsec NEWS
⚡️Tiantong vs. Starlink: китайские смартфоны теперь могут звонить напрямую из космоса
💬Китайские инженеры разработали первый в мире спутник, позволяющий смартфонам напрямую совершать вызовы, минуя наземные базовые станции. Инновационное решение предназначено для использования в чрезвычайных ситуациях, когда из-за природных катастроф или других бедствий мобильная связь может быть нарушена.
Концепция такого спутника возникла после землетрясения в провинции Сычуан в 2008 году, где произошла трагедия с потерей более 80 000 жизней. Основная проблема тогда заключалась в сбоях связи, которые значительно усложнили спасательные операции.
Поэтому китайское правительство запустило проект Тяньтун (Tiantong) — систему спутниковой связи, цель которой — обеспечить всеобщий доступ к коммуникационным услугам независимо от социального статуса.
С момента запуска проекта Тяньтун прошло 16 лет, и за это время были достигнуты значительные успехи в технологии спутниковой связи. Первый спутник серии Tiantong-1 был запущен в 2016 году, а следующие два — в 2020 и 2021 годах. Они образовали сеть на геосинхронной орбите на высоте 36 000 км, покрывая весь Азиатско-Тихоокеанский регион.
В прошлом году компания Huawei Technologies представила первый в мире смартфон, способный осуществлять спутниковые вызовы, совместимый со спутниками Tiantong. Другие китайские производители смартфонов, в том числе Xiaomi, Honor и Oppo, также представили аналогичные модели.
Продукты были положительно восприняты китайскими потребителями, и, по отраслевым оценкам, одна только Huawei продала десятки миллионов единиц, затмив систему Starlink, у которой более 2 млн. клиентов по всему миру.
Основные технические проблемы, связанные с прямой связью через спутник для мобильных телефонов, включали пассивную интермодуляцию ( Passive Intermodulation, PIM ), которая мешала развитию технологий. Китайские ученые провели переломные исследования для уменьшения эффектов PIM, что привело к разработке новых методов подавления и современных технологий обнаружения.
Проект Тяньтун подчеркивает лидерство Китая в области технологий спутниковой связи и его готовность решать ключевые задачи в аэрокосмической отрасли. Кроме того, обширный патентный портфель Китая в этой сфере гарантирует свободный доступ к передовым технологиям для местных высокотехнологичных компаний, защищая их от возможных патентных ограничений или санкций со стороны Запада.
Ранее в этом году SpaceX запустила первый из нескольких спутников Starlink, которые могут подключаться к смартфонам, и планирует начать коммерческое обслуживание в следующем году. Спутники Starlink, работающие на низкой околоземной орбите высотой всего в несколько сотен километров, имеют небольшую площадь антенны, что снижает помехи PIM. Однако, поскольку спутник может находиться над определенной территорией только в течение короткого периода времени, для достижения широкого и постоянного покрытия необходимо развертывание большого количества спутников.
В настоящее время большинство из более чем 5 000 спутников Starlink, запущенных SpaceX, не имеют возможности подключения к мобильным телефонам. Тем не менее, у новых спутников Starlink есть существенное преимущество: они могут подключаться к старым телефонам по 4G.
Таким образом, продолжающееся соперничество между проектом Тяньтун и спутниковой системой Starlink от SpaceX обещает определить будущее технологий спутниковой связи, имея глубокие последствия для глобальной коммуникации.
🔔 ITsec NEWS
💬Китайские инженеры разработали первый в мире спутник, позволяющий смартфонам напрямую совершать вызовы, минуя наземные базовые станции. Инновационное решение предназначено для использования в чрезвычайных ситуациях, когда из-за природных катастроф или других бедствий мобильная связь может быть нарушена.
Концепция такого спутника возникла после землетрясения в провинции Сычуан в 2008 году, где произошла трагедия с потерей более 80 000 жизней. Основная проблема тогда заключалась в сбоях связи, которые значительно усложнили спасательные операции.
Поэтому китайское правительство запустило проект Тяньтун (Tiantong) — систему спутниковой связи, цель которой — обеспечить всеобщий доступ к коммуникационным услугам независимо от социального статуса.
С момента запуска проекта Тяньтун прошло 16 лет, и за это время были достигнуты значительные успехи в технологии спутниковой связи. Первый спутник серии Tiantong-1 был запущен в 2016 году, а следующие два — в 2020 и 2021 годах. Они образовали сеть на геосинхронной орбите на высоте 36 000 км, покрывая весь Азиатско-Тихоокеанский регион.
В прошлом году компания Huawei Technologies представила первый в мире смартфон, способный осуществлять спутниковые вызовы, совместимый со спутниками Tiantong. Другие китайские производители смартфонов, в том числе Xiaomi, Honor и Oppo, также представили аналогичные модели.
Продукты были положительно восприняты китайскими потребителями, и, по отраслевым оценкам, одна только Huawei продала десятки миллионов единиц, затмив систему Starlink, у которой более 2 млн. клиентов по всему миру.
Основные технические проблемы, связанные с прямой связью через спутник для мобильных телефонов, включали пассивную интермодуляцию ( Passive Intermodulation, PIM ), которая мешала развитию технологий. Китайские ученые провели переломные исследования для уменьшения эффектов PIM, что привело к разработке новых методов подавления и современных технологий обнаружения.
Проект Тяньтун подчеркивает лидерство Китая в области технологий спутниковой связи и его готовность решать ключевые задачи в аэрокосмической отрасли. Кроме того, обширный патентный портфель Китая в этой сфере гарантирует свободный доступ к передовым технологиям для местных высокотехнологичных компаний, защищая их от возможных патентных ограничений или санкций со стороны Запада.
Ранее в этом году SpaceX запустила первый из нескольких спутников Starlink, которые могут подключаться к смартфонам, и планирует начать коммерческое обслуживание в следующем году. Спутники Starlink, работающие на низкой околоземной орбите высотой всего в несколько сотен километров, имеют небольшую площадь антенны, что снижает помехи PIM. Однако, поскольку спутник может находиться над определенной территорией только в течение короткого периода времени, для достижения широкого и постоянного покрытия необходимо развертывание большого количества спутников.
В настоящее время большинство из более чем 5 000 спутников Starlink, запущенных SpaceX, не имеют возможности подключения к мобильным телефонам. Тем не менее, у новых спутников Starlink есть существенное преимущество: они могут подключаться к старым телефонам по 4G.
Таким образом, продолжающееся соперничество между проектом Тяньтун и спутниковой системой Starlink от SpaceX обещает определить будущее технологий спутниковой связи, имея глубокие последствия для глобальной коммуникации.
🔔 ITsec NEWS
⚡️SteganoAmor: свыше 300 компаний едва не стали жертвой изощрённой «любовной ловушки»
💬 Киберпреступная группировка TA558 в последнее время значительно усилила свою вредоносную активность, атакуя организации по всему миру с использованием различных видов зловредного ПО. Специалисты из Центра безопасности Positive Technologies обнаружили более 320 атак, осуществлённых этой группой.
Группировка TA558 использует сложные цепочки заражения, включающие такие инструменты, как AgentTesla, FormBook, Remcos и другие. Отличительной чертой атак этих хакеров является применение стеганографии — сокрытия вредоносного кода в изображениях и текстовых файлах.
Атаки начинаются с фишинговых электронных писем, содержащих документы Microsoft Office, которые используют уязвимость CVE-2017-11882. Данный недостаток безопасности был устранён ещё в 2017 году, однако до сих пор остаётся популярной целью для хакеров из-за наличия огромного множества необновлённых экземпляров Microsoft Office.
Если на компьютере установлена устаревшая версия Microsoft Office, эксплойт скачивает скрипт на Visual Basic, который, в свою очередь, загружает изображение с внедрённым вредоносным кодом. Далее, с помощью PowerShell, из этого изображения извлекается и выполняется финальная вредоносная нагрузка.
Примечательно, что документы и скрипты, использованные в атаках, часто имели названия, связанные с любовной тематикой, такие как «greatloverstory.vbs», «easytolove.vbs» и даже «iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_
howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc». Именно поэтому исследователи дали кампании назание «SteganoAmor».
Для хранения вредоносных файлов злоумышленники часто используют легитимные облачные сервисы, такие как Google Drive, что помогает им избежать обнаружения антивирусными инструментами. Передача украденной информации осуществляется через скомпрометированные законные FTP- и SMTP-серверы, что делает трафик менее подозрительным.
Анализ показал, что основными целями киберпреступников стали организации из Латинской Америки, хотя атаки также зафиксированы в Северной Америке и Западной Европе. Среди пострадавших — представители различных экономических секторов, включая государственные учреждения и частные компании.
В одном из рассмотренных случаев злоумышленники отправили электронное письмо с вредоносным вложением, маскируя его под документ Excel. Открыв файл, пользователь невольно запускает макрос, который скачивает и выполняет вредоносное ПО AgentTesla. Эта программа способна красть данные из браузеров, почтовых клиентов и систем удалённого доступа.
Учитывая использование легитимных серверов для распространения фишинга и работы C2-серверов, специалисты настоятельно рекомендуют организациям внимательно проверять электронные письма с вложениями, даже если они приходят от известных или правительственных организаций.
Кампания SteganoAmor демонстрирует, что киберугрозы становятся всё более изощренными и труднообнаружимыми. Важно регулярно обновлять антивирусные программы и проводить аудиты безопасности для своевременного выявления и нейтрализации потенциальных угроз.
🔔 ITsec NEWS
💬 Киберпреступная группировка TA558 в последнее время значительно усилила свою вредоносную активность, атакуя организации по всему миру с использованием различных видов зловредного ПО. Специалисты из Центра безопасности Positive Technologies обнаружили более 320 атак, осуществлённых этой группой.
Группировка TA558 использует сложные цепочки заражения, включающие такие инструменты, как AgentTesla, FormBook, Remcos и другие. Отличительной чертой атак этих хакеров является применение стеганографии — сокрытия вредоносного кода в изображениях и текстовых файлах.
Атаки начинаются с фишинговых электронных писем, содержащих документы Microsoft Office, которые используют уязвимость CVE-2017-11882. Данный недостаток безопасности был устранён ещё в 2017 году, однако до сих пор остаётся популярной целью для хакеров из-за наличия огромного множества необновлённых экземпляров Microsoft Office.
Если на компьютере установлена устаревшая версия Microsoft Office, эксплойт скачивает скрипт на Visual Basic, который, в свою очередь, загружает изображение с внедрённым вредоносным кодом. Далее, с помощью PowerShell, из этого изображения извлекается и выполняется финальная вредоносная нагрузка.
Примечательно, что документы и скрипты, использованные в атаках, часто имели названия, связанные с любовной тематикой, такие как «greatloverstory.vbs», «easytolove.vbs» и даже «iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_
howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc». Именно поэтому исследователи дали кампании назание «SteganoAmor».
Для хранения вредоносных файлов злоумышленники часто используют легитимные облачные сервисы, такие как Google Drive, что помогает им избежать обнаружения антивирусными инструментами. Передача украденной информации осуществляется через скомпрометированные законные FTP- и SMTP-серверы, что делает трафик менее подозрительным.
Анализ показал, что основными целями киберпреступников стали организации из Латинской Америки, хотя атаки также зафиксированы в Северной Америке и Западной Европе. Среди пострадавших — представители различных экономических секторов, включая государственные учреждения и частные компании.
В одном из рассмотренных случаев злоумышленники отправили электронное письмо с вредоносным вложением, маскируя его под документ Excel. Открыв файл, пользователь невольно запускает макрос, который скачивает и выполняет вредоносное ПО AgentTesla. Эта программа способна красть данные из браузеров, почтовых клиентов и систем удалённого доступа.
Учитывая использование легитимных серверов для распространения фишинга и работы C2-серверов, специалисты настоятельно рекомендуют организациям внимательно проверять электронные письма с вложениями, даже если они приходят от известных или правительственных организаций.
Кампания SteganoAmor демонстрирует, что киберугрозы становятся всё более изощренными и труднообнаружимыми. Важно регулярно обновлять антивирусные программы и проводить аудиты безопасности для своевременного выявления и нейтрализации потенциальных угроз.
🔔 ITsec NEWS
⚡️Кража приватных ключей и взлом сервера: в PuTTY обнаружена критическая уязвимость
💬 Разработчики PuTTY предупреждают о критической уязвимости, затрагивающей версии от 0.68 до 0.80. Недостаток может позволить злоумышленнику полностью восстановить приватные ключи NIST-P521.
Уязвимость CVE-2024-31497 возникает из-за сбоев в генерации криптографических одноразовых номеров ECDSA ( Cryptographic nonce ), что и позволяет восстановить приватные ключи. Открытие ошибки приписывают исследователям Фабиану Боймеру и Маркусу Бринкманну из Рурского университета в Бохуме
Первые 9 бит каждого одноразового номера ECDSA равны нулю, что позволяет полностью восстановить секретный ключ примерно по 60 подписям с использованием самых современных методов.
Атакующему, владеющему несколькими десятками подписанных сообщений и публичным ключом, хватит данных для восстановления приватного ключа и подделки подписей, что может привести к несанкционированному доступу к серверам и сервисам, использующим данный ключ.
Проблема также коснулась других продуктов, интегрированных с уязвимыми версиями PuTTY:
FileZilla (3.24.1 - 3.66.5);
WinSCP (5.9.5 - 6.3.2);
TortoiseGit (2.4.0.2 - 2.15.0);
TortoiseSVN (1.10.0 - 1.14.6).
После ответственного раскрытия информации, в новых версиях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1 проблема была устранена. Разработчики продуктов использовали технику RFC 6979 для генерации всех типов ключей DSA и ECDSA, отказавшись от предыдущего метода.
Пользователям TortoiseSVN рекомендуется использовать Plink из последнего релиза PuTTY 0.81 при доступе к SVN-репозиториям через SSH до выпуска обновления.
Ключи ECDSA NIST-P521, использовавшиеся в любом из уязвимых компонентов, следует считать скомпрометированными и немедленно отозвать, удалив их из файлов «~/.ssh/authorized_keys» и аналогичных на других SSH-серверах.
🔔 ITsec NEWS
💬 Разработчики PuTTY предупреждают о критической уязвимости, затрагивающей версии от 0.68 до 0.80. Недостаток может позволить злоумышленнику полностью восстановить приватные ключи NIST-P521.
Уязвимость CVE-2024-31497 возникает из-за сбоев в генерации криптографических одноразовых номеров ECDSA ( Cryptographic nonce ), что и позволяет восстановить приватные ключи. Открытие ошибки приписывают исследователям Фабиану Боймеру и Маркусу Бринкманну из Рурского университета в Бохуме
Первые 9 бит каждого одноразового номера ECDSA равны нулю, что позволяет полностью восстановить секретный ключ примерно по 60 подписям с использованием самых современных методов.
Атакующему, владеющему несколькими десятками подписанных сообщений и публичным ключом, хватит данных для восстановления приватного ключа и подделки подписей, что может привести к несанкционированному доступу к серверам и сервисам, использующим данный ключ.
Проблема также коснулась других продуктов, интегрированных с уязвимыми версиями PuTTY:
FileZilla (3.24.1 - 3.66.5);
WinSCP (5.9.5 - 6.3.2);
TortoiseGit (2.4.0.2 - 2.15.0);
TortoiseSVN (1.10.0 - 1.14.6).
После ответственного раскрытия информации, в новых версиях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1 проблема была устранена. Разработчики продуктов использовали технику RFC 6979 для генерации всех типов ключей DSA и ECDSA, отказавшись от предыдущего метода.
Пользователям TortoiseSVN рекомендуется использовать Plink из последнего релиза PuTTY 0.81 при доступе к SVN-репозиториям через SSH до выпуска обновления.
Ключи ECDSA NIST-P521, использовавшиеся в любом из уязвимых компонентов, следует считать скомпрометированными и немедленно отозвать, удалив их из файлов «~/.ssh/authorized_keys» и аналогичных на других SSH-серверах.
🔔 ITsec NEWS
⚡️Взлом ценой в $6,8 млрд: здравоохранение США платит за халатность Change Healthcare
💬 UnitedHealth, материнская компания Change Healthcare, пострадавшей от атаки программ-вымогателей, сообщила, что общие затраты на устранение последствий кибератаки на первый квартал 2024 года составили $872 млн.
Помимо указанной суммы UnitedHealth предоставила авансовое финансирование и беспроцентные займы в размере более $6 млрд., выделенные для поддержки медучреждений, пострадавших от инцидента.
В квартальном отчёте UnitedHealth уточнила, что общее воздействие атаки на финансовые результаты компании в первом квартале оценивается в $0,74 на акцию. Ожидается, что к концу года цифра увеличится до $1,15-$1,35 на акцию.
Компания продолжает траты на устранение последствий атаки, и предполагается, что общая сумма расходов, связанных с нарушениями в работе и восстановлением, превысит $1 млрд. В эту сумму входит и уплата выкупа в размере $22 млн. вымогателям.
Для сравнения, сеть казино MGM Resorts, также пострадавшее от кибератаки в прошлом году, не выплатило выкуп, но затраты на восстановление систем и устранение последствий атаки составили $100 млн., включая убытки от простоев и операционных нарушений, а также утечку данных.
По итогам первого квартала UnitedHealth сообщила о доходах в размере $7,9 млрд. и чистом убытке в $1,221 млрд. (15,46%) Компания также предоставила скорректированный показатель прибыли на акцию за квартал в размере $6,91, который включает в себя $0,25 на «воздействие сбоя на бизнес», но исключает продажу подразделений в Бразилии и прямые расходы на борьбу с кибератакой, равные $0,49 на акцию.
Предварительные торги акциями UnitedHealth показали рост на 7,5% после публикации финансовых результатов, что стало положительным моментом после значительного падения с момента атаки.
По словам гендиректора UnitedHealth Group Эндрю Уитти, основной приоритет для компании остаётся улучшение услуг для наших клиентов и обеспечение устойчивого роста, несмотря на быстрое и эффективное реагирование на атаку против Change Healthcare.
Change Healthcare до сих пор ощущает последствия инцидента. Сложность ситуации усугубляется тем, что вымогатели ALPHV обманули компанию, исчезнув вскоре после получения выкупа. По слухам, партнеры группы, осуществившие атаку, так и не получили свою долю от выручки, из-за чего они стали сотрудничать с группировкой RansomHub и продолжают шантажировать Change Healthcare, используя те же украденные данные.
🔔 ITsec NEWS
💬 UnitedHealth, материнская компания Change Healthcare, пострадавшей от атаки программ-вымогателей, сообщила, что общие затраты на устранение последствий кибератаки на первый квартал 2024 года составили $872 млн.
Помимо указанной суммы UnitedHealth предоставила авансовое финансирование и беспроцентные займы в размере более $6 млрд., выделенные для поддержки медучреждений, пострадавших от инцидента.
В квартальном отчёте UnitedHealth уточнила, что общее воздействие атаки на финансовые результаты компании в первом квартале оценивается в $0,74 на акцию. Ожидается, что к концу года цифра увеличится до $1,15-$1,35 на акцию.
Компания продолжает траты на устранение последствий атаки, и предполагается, что общая сумма расходов, связанных с нарушениями в работе и восстановлением, превысит $1 млрд. В эту сумму входит и уплата выкупа в размере $22 млн. вымогателям.
Для сравнения, сеть казино MGM Resorts, также пострадавшее от кибератаки в прошлом году, не выплатило выкуп, но затраты на восстановление систем и устранение последствий атаки составили $100 млн., включая убытки от простоев и операционных нарушений, а также утечку данных.
По итогам первого квартала UnitedHealth сообщила о доходах в размере $7,9 млрд. и чистом убытке в $1,221 млрд. (15,46%) Компания также предоставила скорректированный показатель прибыли на акцию за квартал в размере $6,91, который включает в себя $0,25 на «воздействие сбоя на бизнес», но исключает продажу подразделений в Бразилии и прямые расходы на борьбу с кибератакой, равные $0,49 на акцию.
Предварительные торги акциями UnitedHealth показали рост на 7,5% после публикации финансовых результатов, что стало положительным моментом после значительного падения с момента атаки.
По словам гендиректора UnitedHealth Group Эндрю Уитти, основной приоритет для компании остаётся улучшение услуг для наших клиентов и обеспечение устойчивого роста, несмотря на быстрое и эффективное реагирование на атаку против Change Healthcare.
Change Healthcare до сих пор ощущает последствия инцидента. Сложность ситуации усугубляется тем, что вымогатели ALPHV обманули компанию, исчезнув вскоре после получения выкупа. По слухам, партнеры группы, осуществившие атаку, так и не получили свою долю от выручки, из-за чего они стали сотрудничать с группировкой RansomHub и продолжают шантажировать Change Healthcare, используя те же украденные данные.
🔔 ITsec NEWS
⚡️800 Гбит/с на старых кабелях: Nokia и SURF готовятся к взрывному росту данных БАК
💬 Телекоммуникационный гигант Nokia и голландская организация SURF, объединяющая ИТ-компании в области образования и научных исследований, сообщили о значительном достижении в области оптической передачи данных, успешно реализовав передачу на скорости 800 Гбит/с на уже существующем оптоволоконном кабеле, который пролегает через несколько стран Европы. Этот технологический прорыв произошел в рамках подготовки к обновлению Большого адронного коллайдера (БАК) в ЦЕРНе, который является самым крупным и мощным ускорителем частиц в мире.
Обновление ускорителя стало необходимым из-за огромного объема данных, которые были сгенерированы за время его работы — более 1000 петабайт. Данные используются тысячами ученых по всему миру для исследований, которые могут пролить свет на некоторые из самых больших тайн Вселенной.
В ходе недавних испытаний Nokia и SURF достигли скорости передачи данных в 800 Гбит/с на сети, протяженностью 1648 км, соединяющей Амстердам с Женевой через Бельгию и Францию. Особенно отмечается, что достижение такой скорости передачи данных на существующих кабельных системах показывает, что инфраструктура, несмотря на свой возраст, все еще способна обеспечивать высокие технологические стандарты, необходимые для современной научной деятельности.
Благодаря этому успеху, CERN сможет ускорить процесс обмена массивными данными между БАК и крупнейшими исследовательскими центрами в Нидерландах, что критически важно для поддержания темпа научных открытий, особенно учитывая, что предстоящее обновление HL-LHC предполагает работу с данными, объем которых в пять раз превышает текущий.
Планируется, что обновленный БАК, получивший название HL-LHC, начнет функционировать в 2029 году. Ожидается, что он откроет новые горизонты в изучении элементарных частиц и фундаментальных сил, а также поможет глубже понять природу темной материи и темной энергии, которые, по оценкам ученых, составляют до 95% Вселенной.
Рон Августус, директор по инновациям SURF, подчеркнул: «Испытательный запуск является важным этапом в подготовке нашей сети к будущим требованиям научных исследований и образования, включая модернизацию ускорителя частиц CERN».
Успешные испытания на существующей инфраструктуре демонстрируют, что сеть готова к предстоящим высоким требованиям. Тем не менее, для полноценного функционирования HL-LHC потребуются дальнейшие усовершенствования.
🔔 ITsec NEWS
💬 Телекоммуникационный гигант Nokia и голландская организация SURF, объединяющая ИТ-компании в области образования и научных исследований, сообщили о значительном достижении в области оптической передачи данных, успешно реализовав передачу на скорости 800 Гбит/с на уже существующем оптоволоконном кабеле, который пролегает через несколько стран Европы. Этот технологический прорыв произошел в рамках подготовки к обновлению Большого адронного коллайдера (БАК) в ЦЕРНе, который является самым крупным и мощным ускорителем частиц в мире.
Обновление ускорителя стало необходимым из-за огромного объема данных, которые были сгенерированы за время его работы — более 1000 петабайт. Данные используются тысячами ученых по всему миру для исследований, которые могут пролить свет на некоторые из самых больших тайн Вселенной.
В ходе недавних испытаний Nokia и SURF достигли скорости передачи данных в 800 Гбит/с на сети, протяженностью 1648 км, соединяющей Амстердам с Женевой через Бельгию и Францию. Особенно отмечается, что достижение такой скорости передачи данных на существующих кабельных системах показывает, что инфраструктура, несмотря на свой возраст, все еще способна обеспечивать высокие технологические стандарты, необходимые для современной научной деятельности.
Благодаря этому успеху, CERN сможет ускорить процесс обмена массивными данными между БАК и крупнейшими исследовательскими центрами в Нидерландах, что критически важно для поддержания темпа научных открытий, особенно учитывая, что предстоящее обновление HL-LHC предполагает работу с данными, объем которых в пять раз превышает текущий.
Планируется, что обновленный БАК, получивший название HL-LHC, начнет функционировать в 2029 году. Ожидается, что он откроет новые горизонты в изучении элементарных частиц и фундаментальных сил, а также поможет глубже понять природу темной материи и темной энергии, которые, по оценкам ученых, составляют до 95% Вселенной.
Рон Августус, директор по инновациям SURF, подчеркнул: «Испытательный запуск является важным этапом в подготовке нашей сети к будущим требованиям научных исследований и образования, включая модернизацию ускорителя частиц CERN».
Успешные испытания на существующей инфраструктуре демонстрируют, что сеть готова к предстоящим высоким требованиям. Тем не менее, для полноценного функционирования HL-LHC потребуются дальнейшие усовершенствования.
🔔 ITsec NEWS
⚡️Мощь за гроши: Китай использует бюджетный чип Nvidia для создания гиперзвукового оружия
💬 Исследовательская группа из Китая разработала пошаговое руководство, которое позволяет значительно повысить эффективность гиперзвукового оружия с помощью недорогого процессора.
Как сообщается, для этого использовался компьютерный модуль чипа Nvidia Jetson TX2i, который можно свободно приобрести через интернет по цене $1000 - $1300. Устройство было установлено в воздушное гиперзвуковое судно, способное развивать скорость свыше 7 Махов (8 575 км/ч)
По результатам тестов, данный модуль обрабатывает модели вычислительной динамики жидкости с невиданной ранее эффективностью, сокращая время расчётов с нескольких секунд до 25 миллисекунд — в 4 раза быстрее, чем моргание человеческого глаза.
Ученые отметили, что скорость реакции модуля делает его идеальным для «оптимизации системы подачи топлива в реальном времени, диагностики неисправностей и управления неисправностями в двигателях scramjet».
Хотя чип TX2i стоит намного дешевле современных графических процессоров и доступен онлайн без экспортных ограничений, его производительность достигает 1.26 TFLOPS (терафлопс), что составляет примерно 2% от мощности самого продвинутого чипа компании Nvidia — H100.
Специалисты указали, что использование модуля TX2i в системе управления двигателями scramjet не только увеличило дальность и стабильность гиперзвуковых аппаратов, но и значительно сократило затраты на исследования и разработку.
В статье отмечается, что это не первый случай использования американских чипов в китайских исследованиях гиперзвукового оружия. Ранее применялись процессоры Intel и высокопроизводительные видеокарты Nvidia для моделирования сложных высокоскоростных потоков.
Несмотря на возможные успехи в использовании TX2i для гиперзвуковых ракет, вероятность его применения в китайской военной технике остаётся низкой, поскольку местные производители чипов могут предложить альтернативы, не уступающие по качеству и надёжности.
🔔 ITsec NEWS
💬 Исследовательская группа из Китая разработала пошаговое руководство, которое позволяет значительно повысить эффективность гиперзвукового оружия с помощью недорогого процессора.
Как сообщается, для этого использовался компьютерный модуль чипа Nvidia Jetson TX2i, который можно свободно приобрести через интернет по цене $1000 - $1300. Устройство было установлено в воздушное гиперзвуковое судно, способное развивать скорость свыше 7 Махов (8 575 км/ч)
По результатам тестов, данный модуль обрабатывает модели вычислительной динамики жидкости с невиданной ранее эффективностью, сокращая время расчётов с нескольких секунд до 25 миллисекунд — в 4 раза быстрее, чем моргание человеческого глаза.
Ученые отметили, что скорость реакции модуля делает его идеальным для «оптимизации системы подачи топлива в реальном времени, диагностики неисправностей и управления неисправностями в двигателях scramjet».
Хотя чип TX2i стоит намного дешевле современных графических процессоров и доступен онлайн без экспортных ограничений, его производительность достигает 1.26 TFLOPS (терафлопс), что составляет примерно 2% от мощности самого продвинутого чипа компании Nvidia — H100.
Специалисты указали, что использование модуля TX2i в системе управления двигателями scramjet не только увеличило дальность и стабильность гиперзвуковых аппаратов, но и значительно сократило затраты на исследования и разработку.
В статье отмечается, что это не первый случай использования американских чипов в китайских исследованиях гиперзвукового оружия. Ранее применялись процессоры Intel и высокопроизводительные видеокарты Nvidia для моделирования сложных высокоскоростных потоков.
Несмотря на возможные успехи в использовании TX2i для гиперзвуковых ракет, вероятность его применения в китайской военной технике остаётся низкой, поскольку местные производители чипов могут предложить альтернативы, не уступающие по качеству и надёжности.
🔔 ITsec NEWS
⚡️Pegasus на службе у Польши: более 500 граждан под прицелом шпионского ПО
💬 В Польше с 2017 по 2022 год коммерческое шпионское ПО Pegasus было использовано для слежки за почти 578 гражданами, сообщил генпрокурор Адам Боднар. По его словам, пик инцидентов пришелся на 2021 год, когда было зарегистрировано 162 случая заражения.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира. Программа предназначена для использования в уголовных преследованиях и разведке, но часто применяется против активистов, политиков и журналистов.
Официальный представитель польских спецслужб Томаш Семоняк подтвердил, что число пострадавших от Pegasus превышает 500 человек. Он уточнил, что некоторые случаи шпионажа были оправданы, поскольку касались лиц, подозреваемых в терроризме, или входили в рамки контрразведывательных мероприятий, но признал, что было «слишком много случаев», когда использование Pegasus было необоснованным.
На прошлой неделе прокуроры Польши объявили о начале расследования против действующих и бывших государственных чиновников, которые, как предполагается, использовали Pegasus против членов оппозиционных партий и их союзников, в том числе оппозиционного политика Кшиштофа Брейзы. Ранее сообщалось о гораздо меньшем числе жертв — всего 31 человек были вызваны в прокуратуру для дачи показаний.
Ранее Польский суд подтвердил, что государственная телекомпания TVP незаконно использовала скомпрометированные личные SMS оппозиционного политика Кшиштофа Брейзы. Переписка была похищена с помощью шпионского ПО Pegasus, а затем опубликована TVP в 2019 году.
Кроме того, 10 апреля Apple направила предупреждения пользователям iPhone в 92 странах о возможной угрозе заражения шпионским ПО. Apple ранее упоминала, что атаки могут проводить правительственные хакеры, однако в последних сообщениях использует термин «шпионская атака наёмников» (mercenary spyware attack). Подчеркивается, что такие атаки являются чрезвычайно редкими и значительно более сложными, чем действия обычных киберпреступников или вредоносного ПО.
🔔 ITsec NEWS
💬 В Польше с 2017 по 2022 год коммерческое шпионское ПО Pegasus было использовано для слежки за почти 578 гражданами, сообщил генпрокурор Адам Боднар. По его словам, пик инцидентов пришелся на 2021 год, когда было зарегистрировано 162 случая заражения.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира. Программа предназначена для использования в уголовных преследованиях и разведке, но часто применяется против активистов, политиков и журналистов.
Официальный представитель польских спецслужб Томаш Семоняк подтвердил, что число пострадавших от Pegasus превышает 500 человек. Он уточнил, что некоторые случаи шпионажа были оправданы, поскольку касались лиц, подозреваемых в терроризме, или входили в рамки контрразведывательных мероприятий, но признал, что было «слишком много случаев», когда использование Pegasus было необоснованным.
На прошлой неделе прокуроры Польши объявили о начале расследования против действующих и бывших государственных чиновников, которые, как предполагается, использовали Pegasus против членов оппозиционных партий и их союзников, в том числе оппозиционного политика Кшиштофа Брейзы. Ранее сообщалось о гораздо меньшем числе жертв — всего 31 человек были вызваны в прокуратуру для дачи показаний.
Ранее Польский суд подтвердил, что государственная телекомпания TVP незаконно использовала скомпрометированные личные SMS оппозиционного политика Кшиштофа Брейзы. Переписка была похищена с помощью шпионского ПО Pegasus, а затем опубликована TVP в 2019 году.
Кроме того, 10 апреля Apple направила предупреждения пользователям iPhone в 92 странах о возможной угрозе заражения шпионским ПО. Apple ранее упоминала, что атаки могут проводить правительственные хакеры, однако в последних сообщениях использует термин «шпионская атака наёмников» (mercenary spyware attack). Подчеркивается, что такие атаки являются чрезвычайно редкими и значительно более сложными, чем действия обычных киберпреступников или вредоносного ПО.
🔔 ITsec NEWS
⚡️Gentoo возвращается к истокам: дистрибутив Linux отказывается от сгенерированного кода
💬 В новом решении совета дистрибутива Gentoo Linux было объявлено о запрете на использование кода, созданного с помощью искусственного интеллекта.
Такое решение было принято после предложения члена совета Михала Гурного, который указал на несколько веских причин для такого шага, включая риски нарушения авторских прав, проблемы контроля качества и этические соображения, связанные с высоким энергопотреблением ИИ и влиянием крупных корпораций на развитие технологий.
В частности, Гурный подчеркнул, что авторские права становятся серьезной проблемой для моделей ИИ, которые могут быть обучены на защищенных материалах. Он также отметил, что ИИ способен генерировать бессмысленный текст и код, а иногда и «видеть» несуществующие программные пакеты. Вдобавок, Гурный выразил мнение, что такой шаг будет положительно воспринят в сообществе Gentoo, которое ценит традиционный подход к программной инженерии, где приоритет отдается человеку, а не «продуктивности».
Обсуждение возможного запрета велось в электронной почте и IRC-чатах, где, по словам Гурного, сложилось мнение о необходимости некоторых ограничений. Запрет был официально принят на заседании совета 14 апреля, где был одобрен единогласно шестью голосами при отсутствии одного члена совета.
Однако реализация запрета может столкнуться с трудностями, ведь не всегда можно однозначно определить, написан ли код человеком или машиной. Гурный подчеркнул, что основная цель — ясно донести до участников, что приемлемо, а что нет, и вежливо попросить их соблюдать установленные правила.
Тем не менее, в политике запрета предусмотрена возможность пересмотра в будущем – то есть изменения в технологиях могут повлиять на дальнейшее принятие решений. Совет уже рассматривает возможность исключений для ИИ, обученного специально на материалах Gentoo, что теоретически устраняет проблемы с нарушением авторских прав и может улучшить качество кода.
🔔 ITsec NEWS
💬 В новом решении совета дистрибутива Gentoo Linux было объявлено о запрете на использование кода, созданного с помощью искусственного интеллекта.
Такое решение было принято после предложения члена совета Михала Гурного, который указал на несколько веских причин для такого шага, включая риски нарушения авторских прав, проблемы контроля качества и этические соображения, связанные с высоким энергопотреблением ИИ и влиянием крупных корпораций на развитие технологий.
В частности, Гурный подчеркнул, что авторские права становятся серьезной проблемой для моделей ИИ, которые могут быть обучены на защищенных материалах. Он также отметил, что ИИ способен генерировать бессмысленный текст и код, а иногда и «видеть» несуществующие программные пакеты. Вдобавок, Гурный выразил мнение, что такой шаг будет положительно воспринят в сообществе Gentoo, которое ценит традиционный подход к программной инженерии, где приоритет отдается человеку, а не «продуктивности».
Обсуждение возможного запрета велось в электронной почте и IRC-чатах, где, по словам Гурного, сложилось мнение о необходимости некоторых ограничений. Запрет был официально принят на заседании совета 14 апреля, где был одобрен единогласно шестью голосами при отсутствии одного члена совета.
Однако реализация запрета может столкнуться с трудностями, ведь не всегда можно однозначно определить, написан ли код человеком или машиной. Гурный подчеркнул, что основная цель — ясно донести до участников, что приемлемо, а что нет, и вежливо попросить их соблюдать установленные правила.
Тем не менее, в политике запрета предусмотрена возможность пересмотра в будущем – то есть изменения в технологиях могут повлиять на дальнейшее принятие решений. Совет уже рассматривает возможность исключений для ИИ, обученного специально на материалах Gentoo, что теоретически устраняет проблемы с нарушением авторских прав и может улучшить качество кода.
🔔 ITsec NEWS
⚡️Угнать за 300 долларов: как хакеры пытаются подкупить сотрудников T-Mobile и Verizon
💬 Американские провайдеры мобильной связи T-Mobile и Verizon столкнулись с массовыми нападками киберпреступников, которые направляют на личные и рабочие телефоны сотрудников компаний сообщения, предлагая деньги за выполнение незаконных операций с SIM-картами, включая широко известный в сфере кибербезопасности SIM Swapping.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
В ноябре прошлого года Федеральная комиссия по связи США представила новые правила для защиты от таких атак, требуя от операторов ужесточения процедур аутентификации перед переносом номеров на другие устройства или в другие сети, а также оповещения клиентов о любых запросах на смену SIM-карты или перенос номера.
🔔 ITsec NEWS
💬 Американские провайдеры мобильной связи T-Mobile и Verizon столкнулись с массовыми нападками киберпреступников, которые направляют на личные и рабочие телефоны сотрудников компаний сообщения, предлагая деньги за выполнение незаконных операций с SIM-картами, включая широко известный в сфере кибербезопасности SIM Swapping.
Согласно рассылаемым сообщениям, преступники предлагают по $300 за каждую выполненную Swapping-операцию. В числе целей — как действующие, так и бывшие работники вышеупомянутых компаний. Сами сообщения направляются массово, с немного разными формулировками, чтобы избежать блокировки антиспам-системой.
В сообщениях хакеры утверждают, что контактные данные сотрудников, которым они пишут, были взяты из служебного каталога T-Mobile. В целом, до какого-то момента это было похоже на правду, так как по началу сообщения приходили только сотрудникам T-Mobile, однако позже выяснилось, что и сотрудники Verizon также массово получают подобные тексты. Возможно, имела место быть масштабная утечка данных.
Представители T-Mobile отметили, что компания уже инициировала расследование, но пока нет никаких оснований полагать, что её системы столкнулись со взломом. Тем временем, представители Verizon пока никак не комментировали ситуацию и не выходили на связь с журналистами.
Атаки типа SIM Swapping, при которых злоумышленники получают контроль над номером телефона жертвы, могут привести к несанкционированному доступу к личным и финансовым данным, краже личности и значительному эмоциональному стрессу жертвы.
В феврале 2022 года ФБР предупредило об увеличении числа атак с целью кражи миллионов долларов путём «угона» номеров телефонов. В прошлом году было зарегистрировано свыше 2000 жалоб на такие атаки, а суммарные убытки от них составили 72,6 миллиона долларов.
В ноябре прошлого года Федеральная комиссия по связи США представила новые правила для защиты от таких атак, требуя от операторов ужесточения процедур аутентификации перед переносом номеров на другие устройства или в другие сети, а также оповещения клиентов о любых запросах на смену SIM-карты или перенос номера.
🔔 ITsec NEWS
⚡️SoumniBot: банковский троян, обернувший особенности Android против его же пользователей
💬 Новый вид банковского вредоносного ПО для Android, получивший название «SoumniBot», применяет необычный метод обфускации, используя уязвимости в процессе извлечения и анализа манифеста Android. Это позволяет ему обходить стандартные меры безопасности и проводить операции по краже информации.
Метод был выявлен и проанализирован специалистами «Лаборатории Касперского», которые раскрыли технические детали того, как вредоносное ПО использует особенности Android для анализа и извлечения манифестов APK.
«Любой APK-файл — это ZIP-архив, в корневом каталоге которого находится файл AndroidManifest.xml. Этот файл содержит информацию о декларируемых компонентах, разрешениях и других данных приложения, а также помогает операционной системе извлекать сведения о различных точках входа в программу», — объясняет исследователь Дмитрий Калинин.
«Как и операционная система, аналитик в первую очередь знакомится с манифестом, откуда он узнает о точках входа, с которых следует начинать анализ кода приложения. Скорее всего, именно это побудило разработчиков SoumniBot исследовать особенности обработки манифестов в Android, что позволило им найти несколько интересных возможностей для обфускации APK», — продолжает специалист.
Особенностью «SoumniBot» является использование трёх различных методов манипуляции с файлом манифеста — изменение его размера и компрессии, чтобы избежать проверок парсера.
Первый метод заключается в использовании недопустимого значения компрессии при распаковке манифеста APK, что позволяет обходить стандартные проверки безопасности.
Второй метод — это неправильное указание размера файла манифеста, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.
Третий метод заключается в использовании чрезвычайно длинных строк для имён XML-пространств в манифесте, что затрудняет автоматический анализ.
«Лаборатория Касперского» сообщила Google о недостатках официальной утилиты анализа APK Analyzer при работе с файлами, использующими вышеописанные методы обхода.
По полученным данным, «SoumniBot» после установки запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.
Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд. Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, сообщения SMS, фотографии, видео и цифровые сертификаты для онлайн-банкинга.
Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к следующим действиям:
удалению или добавлению контактов;
отправке SMS-сообщений;
регулировке громкости мелодии звонка;
включению/выключению бесшумного режима;
включению/выключению режима отладки на устройстве.
«SoumniBot» ориентирован в первую очередь на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку. Это существенно усложняет обнаружение и удаление вредоноса, особенно для неопытного пользователя.
«Лаборатория Касперского» в своём отчёте предоставила необходимый список признаков компрометации, включая хеши для вредоносного ПО и два домена, используемых операторами вредоносного ПО для работы C2-серверов.
🔔 ITsec NEWS
💬 Новый вид банковского вредоносного ПО для Android, получивший название «SoumniBot», применяет необычный метод обфускации, используя уязвимости в процессе извлечения и анализа манифеста Android. Это позволяет ему обходить стандартные меры безопасности и проводить операции по краже информации.
Метод был выявлен и проанализирован специалистами «Лаборатории Касперского», которые раскрыли технические детали того, как вредоносное ПО использует особенности Android для анализа и извлечения манифестов APK.
«Любой APK-файл — это ZIP-архив, в корневом каталоге которого находится файл AndroidManifest.xml. Этот файл содержит информацию о декларируемых компонентах, разрешениях и других данных приложения, а также помогает операционной системе извлекать сведения о различных точках входа в программу», — объясняет исследователь Дмитрий Калинин.
«Как и операционная система, аналитик в первую очередь знакомится с манифестом, откуда он узнает о точках входа, с которых следует начинать анализ кода приложения. Скорее всего, именно это побудило разработчиков SoumniBot исследовать особенности обработки манифестов в Android, что позволило им найти несколько интересных возможностей для обфускации APK», — продолжает специалист.
Особенностью «SoumniBot» является использование трёх различных методов манипуляции с файлом манифеста — изменение его размера и компрессии, чтобы избежать проверок парсера.
Первый метод заключается в использовании недопустимого значения компрессии при распаковке манифеста APK, что позволяет обходить стандартные проверки безопасности.
Второй метод — это неправильное указание размера файла манифеста, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.
Третий метод заключается в использовании чрезвычайно длинных строк для имён XML-пространств в манифесте, что затрудняет автоматический анализ.
«Лаборатория Касперского» сообщила Google о недостатках официальной утилиты анализа APK Analyzer при работе с файлами, использующими вышеописанные методы обхода.
По полученным данным, «SoumniBot» после установки запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.
Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд. Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, сообщения SMS, фотографии, видео и цифровые сертификаты для онлайн-банкинга.
Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к следующим действиям:
удалению или добавлению контактов;
отправке SMS-сообщений;
регулировке громкости мелодии звонка;
включению/выключению бесшумного режима;
включению/выключению режима отладки на устройстве.
«SoumniBot» ориентирован в первую очередь на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку. Это существенно усложняет обнаружение и удаление вредоноса, особенно для неопытного пользователя.
«Лаборатория Касперского» в своём отчёте предоставила необходимый список признаков компрометации, включая хеши для вредоносного ПО и два домена, используемых операторами вредоносного ПО для работы C2-серверов.
🔔 ITsec NEWS
⚡️Майнинг и вымогательство: OpenMetadata стала площадкой для инвестиций в недвижимость Китая
💬 Microsoft выявила новые критические уязвимости на платформе OpenMetadata, которые используются для получения доступа к рабочим нагрузкам в среде Kubernetes и последующего криптомайнинга.
OpenMetadata — это открытая платформа для управления метаданными, которая помогает инженерам и учёным в области данных каталогизировать и искать данные внутри организации, включая базы данных, таблицы, файлы и сервисы.
15 марта были опубликованы сведения о нескольких уязвимостях ( CVE-2024-28255 , CVE-2024-28847 , CVE-2024-28253 , CVE-2024-28848 , CVE-2024-28254 ), затрагивающих версии до 1.3.1. Недостатки позволяют обходить аутентификацию и осуществлять удалённое выполнение кода. С начала апреля зафиксировано использование уязвимостей в средах Kubernetes.
Microsoft настоятельно рекомендует проверить кластеры, использующие рабочие нагрузки OpenMetadata, и обновить версию до 1.3.1 или новее. В рамках блога компания делится анализом атаки, предоставляет рекомендации по идентификации уязвимых кластеров и использованию решений безопасности для обнаружения вредоносной активности, а также предоставляет индикаторы компрометации (Indicators of compromise, IoC) для поиска и исследования.
Атака начинается с идентификации и целенаправленного обращения к рабочим нагрузкам OpenMetadata, подключенным к интернету. Затем злоумышленники эксплуатируют упомянутые уязвимости для выполнения кода на контейнере с уязвимой версией OpenMetadata. Они отправляют ping-запросы на домены, заканчивающиеся на oast[.]me и oast[.]pro, что связано с использованием инструмента Interactsh для обнаружения взаимодействий.
После получения первичного доступа хакеры выполняют серию команд для сбора информации о среде жертвы, считывают переменные окружения рабочей нагрузки, что может содержать строки подключения и учетные данные. Далее атакующие загружают вредоносное ПО для криптомайнинга с удаленного сервера, расположенного в Китае, устанавливают соединение с этим сервером с помощью инструмента Netcat и используют cronjobs для планирования задач.
Примечательно, что хакеры также оставляют записки в скомпрометированных системах, в которых просят жертв пожертвовать криптовалюту Monero, чтобы помочь им купить автомобиль или жилье в Китае
🔔 ITsec NEWS
💬 Microsoft выявила новые критические уязвимости на платформе OpenMetadata, которые используются для получения доступа к рабочим нагрузкам в среде Kubernetes и последующего криптомайнинга.
OpenMetadata — это открытая платформа для управления метаданными, которая помогает инженерам и учёным в области данных каталогизировать и искать данные внутри организации, включая базы данных, таблицы, файлы и сервисы.
15 марта были опубликованы сведения о нескольких уязвимостях ( CVE-2024-28255 , CVE-2024-28847 , CVE-2024-28253 , CVE-2024-28848 , CVE-2024-28254 ), затрагивающих версии до 1.3.1. Недостатки позволяют обходить аутентификацию и осуществлять удалённое выполнение кода. С начала апреля зафиксировано использование уязвимостей в средах Kubernetes.
Microsoft настоятельно рекомендует проверить кластеры, использующие рабочие нагрузки OpenMetadata, и обновить версию до 1.3.1 или новее. В рамках блога компания делится анализом атаки, предоставляет рекомендации по идентификации уязвимых кластеров и использованию решений безопасности для обнаружения вредоносной активности, а также предоставляет индикаторы компрометации (Indicators of compromise, IoC) для поиска и исследования.
Атака начинается с идентификации и целенаправленного обращения к рабочим нагрузкам OpenMetadata, подключенным к интернету. Затем злоумышленники эксплуатируют упомянутые уязвимости для выполнения кода на контейнере с уязвимой версией OpenMetadata. Они отправляют ping-запросы на домены, заканчивающиеся на oast[.]me и oast[.]pro, что связано с использованием инструмента Interactsh для обнаружения взаимодействий.
После получения первичного доступа хакеры выполняют серию команд для сбора информации о среде жертвы, считывают переменные окружения рабочей нагрузки, что может содержать строки подключения и учетные данные. Далее атакующие загружают вредоносное ПО для криптомайнинга с удаленного сервера, расположенного в Китае, устанавливают соединение с этим сервером с помощью инструмента Netcat и используют cronjobs для планирования задач.
Примечательно, что хакеры также оставляют записки в скомпрометированных системах, в которых просят жертв пожертвовать криптовалюту Monero, чтобы помочь им купить автомобиль или жилье в Китае
🔔 ITsec NEWS
⚡️Скайнет близко? GPT-4 научился самостоятельно взламывать системы, эксплуатируя актуальные уязвимости
💬 Учёные из Иллинойсского университета в Урбане-Шампейне недавно опубликовали исследование, в котором доказали, что модель искусственного интеллекта GPT-4 от OpenAI способна самостоятельно эксплуатировать уязвимости в реальных системах после того, как получит их подробное описание.
В рамках исследования было отобрано 15 уязвимостей, описанных как критические. Результаты показали, что языковая модель GPT-4 смогла использовать 87% этих уязвимостей, в то время как другие модели с задачей справиться не смогли.
Даниэль Канг, один из авторов работы, утверждает, что использование LLM может значительно упростить процесс эксплуатации уязвимостей для злоумышленников. По его словам, системы, основанные на искусственном интеллекте, будут куда более эффективными, чем доступные сегодня инструменты для начинающих хакеров.
Учёные также обсуждают стоимость атак, использующих LLM. Они утверждают, что затраты на успешную эксплуатацию уязвимости с помощью агента на базе LLM обойдутся в разы дешевле, чем услуги профессионального пентестера.
В исследовании отмечается, что модель GPT-4 не смогла эксплуатировать только 2 из 15 уязвимостей, и то, лишь потому, что в одном случае модель испытала трудности в навигации по веб-приложению, а в другом сама уязвимость была описана на китайском языке, что и сбило LLM с толку.
Канг подчёркивает, что даже гипотетическое ограничение доступа модели к информации о безопасности будет неэффективным средством защиты от атак на базе LLM. Исследователь призывает компании к активным мерам обеспечения своей защиты, таким как регулярное обновление программного обеспечения.
Представители OpenAI пока никак не прокомментировали результаты данного исследования.
Работа исследователей основана на их предыдущих выводах о том, что LLM вполне могут использоваться для автоматизации атак на веб-сайты в изолированной среде.
🔔 ITsec NEWS
💬 Учёные из Иллинойсского университета в Урбане-Шампейне недавно опубликовали исследование, в котором доказали, что модель искусственного интеллекта GPT-4 от OpenAI способна самостоятельно эксплуатировать уязвимости в реальных системах после того, как получит их подробное описание.
В рамках исследования было отобрано 15 уязвимостей, описанных как критические. Результаты показали, что языковая модель GPT-4 смогла использовать 87% этих уязвимостей, в то время как другие модели с задачей справиться не смогли.
Даниэль Канг, один из авторов работы, утверждает, что использование LLM может значительно упростить процесс эксплуатации уязвимостей для злоумышленников. По его словам, системы, основанные на искусственном интеллекте, будут куда более эффективными, чем доступные сегодня инструменты для начинающих хакеров.
Учёные также обсуждают стоимость атак, использующих LLM. Они утверждают, что затраты на успешную эксплуатацию уязвимости с помощью агента на базе LLM обойдутся в разы дешевле, чем услуги профессионального пентестера.
В исследовании отмечается, что модель GPT-4 не смогла эксплуатировать только 2 из 15 уязвимостей, и то, лишь потому, что в одном случае модель испытала трудности в навигации по веб-приложению, а в другом сама уязвимость была описана на китайском языке, что и сбило LLM с толку.
Канг подчёркивает, что даже гипотетическое ограничение доступа модели к информации о безопасности будет неэффективным средством защиты от атак на базе LLM. Исследователь призывает компании к активным мерам обеспечения своей защиты, таким как регулярное обновление программного обеспечения.
Представители OpenAI пока никак не прокомментировали результаты данного исследования.
Работа исследователей основана на их предыдущих выводах о том, что LLM вполне могут использоваться для автоматизации атак на веб-сайты в изолированной среде.
🔔 ITsec NEWS
⚡️$42 млн и 250 жертв: CISA поделилась неутешительной статистикой по вымогательской группе Akira
💬 За последний год хакерская группа «Akira», занимающаяся распространением вымогательского программного обеспечения, атаковала свыше 250 организаций и нанесла ущерб критической инфраструктуре в Северной Америке, Европе и Австралии, о чём недавно сообщили представители CISA, ФБР и европейские правоохранительные органы. С марта 2023 года группа заработала на вымогательстве примерно 42 миллиона долларов.
Изначально группировка атаковала только Windows-системы, но теперь также активно использует Linux-версии вредоносов для атаки на виртуальные машины VMware ESXi, широко распространённые в крупных компаниях.
Для получения доступа к корпоративным сетям «Akira» обычно использует известные уязвимости, такие как CVE-2020-3259 и CVE-2023-20269, а также методы фишинга и другие инструменты. После проникновения в сеть злоумышленники обычно отключают программное обеспечение безопасности жертвы, чтобы незаметно перемещаться по её сети.
По информации правоохранительных органов, хакеры используют различные инструменты, включая легитимные программы FileZilla, WinRAR и AnyDesk. Злоумышленники из «Akira» обычно не оставляют первоначальных требований о выкупе или инструкций по оплате, начиная переговоры только после непосредственного контакта с жертвой.
Выкупы всегда выплачиваются в биткойнах на адреса криптокошельков, предоставленные злоумышленниками. Для усиления давления группа также угрожает опубликовать украденные данные в открытом доступе, а в некоторых случаях и вовсе звонит в офис атакованных компаний и запугивает своих жертв по телефону.
За короткое время с начала своей деятельности группа совершила большое количество атак. Например, в этом году они взяли на себя ответственность за атаки на крупных поставщиков облачных услуг, университеты, правительственные и банковские учреждения. Всё это позволяет экспертам предположить, что группировка состоит из опытных специалистов в сфере кибервымогательства.
Исследователи из компании Arctic Wolf проанализировали некоторые транзакции с криптовалютами, связанные с деятельностью «Akira», и выяснили, что используемые злоумышленниками адреса кошельков определённым образом связаны с ныне несуществующей группировкой «Conti».
Несмотря на выпуск дешифровщика для затронутых программой-вымогателем «Akira» файлов в июне прошлого года, группировка смогла быстро устранить уязвимости шифрования в своём ПО и вскоре продолжила атаки с новой силой.
🔔 ITsec NEWS
💬 За последний год хакерская группа «Akira», занимающаяся распространением вымогательского программного обеспечения, атаковала свыше 250 организаций и нанесла ущерб критической инфраструктуре в Северной Америке, Европе и Австралии, о чём недавно сообщили представители CISA, ФБР и европейские правоохранительные органы. С марта 2023 года группа заработала на вымогательстве примерно 42 миллиона долларов.
Изначально группировка атаковала только Windows-системы, но теперь также активно использует Linux-версии вредоносов для атаки на виртуальные машины VMware ESXi, широко распространённые в крупных компаниях.
Для получения доступа к корпоративным сетям «Akira» обычно использует известные уязвимости, такие как CVE-2020-3259 и CVE-2023-20269, а также методы фишинга и другие инструменты. После проникновения в сеть злоумышленники обычно отключают программное обеспечение безопасности жертвы, чтобы незаметно перемещаться по её сети.
По информации правоохранительных органов, хакеры используют различные инструменты, включая легитимные программы FileZilla, WinRAR и AnyDesk. Злоумышленники из «Akira» обычно не оставляют первоначальных требований о выкупе или инструкций по оплате, начиная переговоры только после непосредственного контакта с жертвой.
Выкупы всегда выплачиваются в биткойнах на адреса криптокошельков, предоставленные злоумышленниками. Для усиления давления группа также угрожает опубликовать украденные данные в открытом доступе, а в некоторых случаях и вовсе звонит в офис атакованных компаний и запугивает своих жертв по телефону.
За короткое время с начала своей деятельности группа совершила большое количество атак. Например, в этом году они взяли на себя ответственность за атаки на крупных поставщиков облачных услуг, университеты, правительственные и банковские учреждения. Всё это позволяет экспертам предположить, что группировка состоит из опытных специалистов в сфере кибервымогательства.
Исследователи из компании Arctic Wolf проанализировали некоторые транзакции с криптовалютами, связанные с деятельностью «Akira», и выяснили, что используемые злоумышленниками адреса кошельков определённым образом связаны с ныне несуществующей группировкой «Conti».
Несмотря на выпуск дешифровщика для затронутых программой-вымогателем «Akira» файлов в июне прошлого года, группировка смогла быстро устранить уязвимости шифрования в своём ПО и вскоре продолжила атаки с новой силой.
🔔 ITsec NEWS
⚡️DuneQuixote: поэзию для обхода антивирусов используют хакеры на Ближнем Востоке
💬 Лаборатория Касперского обнаружила ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов (COM Hijacking) и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
🔔 ITsec NEWS
💬 Лаборатория Касперского обнаружила ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов (COM Hijacking) и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.
🔔 ITsec NEWS
⚡️Проверьте видеокарту: Salad превратила ПК геймеров в фабрику порнографии
💬 Компания Salad, которая платит геймерам за аренду простаивающих видеокарт для нужд компаний генеративного ИИ, призналась в использовании ресурсов видеокарт для создания ИИ-порно. Несмотря на отсутствие подтверждения создания порнографии, техническая возможность для этого существует, учитывая предыдущий опыт одного из клиентов Salad.
Salad проинформировала пользователей о возможности участия их оборудования в производстве контента для взрослых, предоставляя возможность отказа. При регистрации в сервисе компьютеры пользователей по умолчанию настраиваются на выполнение заданий, включая генерацию порно, но можно выбрать настройку типов работ вручную и исключить такие задания.
На сайте компании указывается, что некоторые задачи могут включать создание материалов для взрослых, но все данные после выполнения работы удаляются с машины пользователя, при этом содержимое полностью изолировано от Windows.
В компании Salad объяснили, что опция контента для взрослых не активирована по умолчанию и не доступна в странах с запретом порнографии. Также отмечается, что отказ от участия в создании такого контента может снизить потенциальный доход, однако компания не планирует делать такие задачи основой своей бизнес-модели.
Salad не выплачивает заработанные средства наличными, предлагая вместо этого широкий ассортимент подарочных карт, преимущественно для видеоигр, а также цифровые карты Visa и промокоды на доставку еды.
Клиент Salad, платформа Civitai, позволяющая пользователям создавать ИИ-изображения, ранее оказалась в центре скандала из-за простоты доступа к генерации неприемлемого контента. После сообщения о возможном создании изображений, которые можно было бы классифицировать как детскую порнографию, компания OctoML, предоставлявшая Civitai услуги облачных вычислений, разорвала отношения с фирмой.
В ответ на расследования журналистов и критику, Civitai ввела меры против создания нежелательного контента, однако было выявлено, что их можно было легко обойти до недавнего времени.
Salad и Civitai не раскрывают, сколько изображений было сгенерировано с использованием арендованных GPU, но подтверждают, что принимают меры для предотвращения злоупотреблений в использовании их сервисов.
🔔 ITsec NEWS
💬 Компания Salad, которая платит геймерам за аренду простаивающих видеокарт для нужд компаний генеративного ИИ, призналась в использовании ресурсов видеокарт для создания ИИ-порно. Несмотря на отсутствие подтверждения создания порнографии, техническая возможность для этого существует, учитывая предыдущий опыт одного из клиентов Salad.
Salad проинформировала пользователей о возможности участия их оборудования в производстве контента для взрослых, предоставляя возможность отказа. При регистрации в сервисе компьютеры пользователей по умолчанию настраиваются на выполнение заданий, включая генерацию порно, но можно выбрать настройку типов работ вручную и исключить такие задания.
На сайте компании указывается, что некоторые задачи могут включать создание материалов для взрослых, но все данные после выполнения работы удаляются с машины пользователя, при этом содержимое полностью изолировано от Windows.
В компании Salad объяснили, что опция контента для взрослых не активирована по умолчанию и не доступна в странах с запретом порнографии. Также отмечается, что отказ от участия в создании такого контента может снизить потенциальный доход, однако компания не планирует делать такие задачи основой своей бизнес-модели.
Salad не выплачивает заработанные средства наличными, предлагая вместо этого широкий ассортимент подарочных карт, преимущественно для видеоигр, а также цифровые карты Visa и промокоды на доставку еды.
Клиент Salad, платформа Civitai, позволяющая пользователям создавать ИИ-изображения, ранее оказалась в центре скандала из-за простоты доступа к генерации неприемлемого контента. После сообщения о возможном создании изображений, которые можно было бы классифицировать как детскую порнографию, компания OctoML, предоставлявшая Civitai услуги облачных вычислений, разорвала отношения с фирмой.
В ответ на расследования журналистов и критику, Civitai ввела меры против создания нежелательного контента, однако было выявлено, что их можно было легко обойти до недавнего времени.
Salad и Civitai не раскрывают, сколько изображений было сгенерировано с использованием арендованных GPU, но подтверждают, что принимают меры для предотвращения злоупотреблений в использовании их сервисов.
🔔 ITsec NEWS
⚡️Llama 3 – достойный конкурент для LLM от OpenAI, Google и Anthropic
💬Компания Meta официально анонсировала выпуск своей новейшей модели искусственного интеллекта, Llama 3, которая по заявлениям разработчиков способна составить конкуренцию более крупным моделям от Google, Mistral и Anthropic.
Llama 3 представлена в версиях с разным количеством параметров: от 8 до более чем 400 миллиардов. На данный момент доступны варианты с 8 и 70 миллиардами параметров. Тем временем, компания продолжает работу над обучением более крупных и сложных языковых моделей.
Одно из ключевых улучшений Llama 3 заключается в использовании нового токенизатора с лексиконом из 128 тысяч токенов, что существенно повысило эффективность кодирования естественного языка. Дополнительное повышение производительности достигнуто за счёт использования качественных наборов данных и дополнительных шагов донастройки после обучения.
Обучение Llama 3 проходило на базе более 15 триллионов токенов, собранных из общедоступных источников. Это в 7 раз больше, чем у предыдущей модели Llama 2. Meta также разработала специальную систему фильтрации входных данных для минимизации обучения на некачественной информации.
Кроме того, компания внедрила новые инструменты безопасности, включая Llama Guard 2 и Cybersec Eval 2, предназначенные для защиты модели от злоупотреблений и атак.
В ближайшие месяцы Meta планирует представить дополнительные модели, включая вышеупомянутую на 400 миллиардов параметров. Эти модели будут поддерживать расширенные функции и иметь куда большие контекстные окна, позволяющие обрабатывать более сложные запросы.
Модели Llama3-8B и Llama3-70B уже доступны для скачивания на сайте Meta. Также их будет возможно развернуть в облачных платформах, таких как Amazon Web Services, Microsoft Azure и Google Cloud.
🔔 ITsec NEWS
💬Компания Meta официально анонсировала выпуск своей новейшей модели искусственного интеллекта, Llama 3, которая по заявлениям разработчиков способна составить конкуренцию более крупным моделям от Google, Mistral и Anthropic.
Llama 3 представлена в версиях с разным количеством параметров: от 8 до более чем 400 миллиардов. На данный момент доступны варианты с 8 и 70 миллиардами параметров. Тем временем, компания продолжает работу над обучением более крупных и сложных языковых моделей.
Одно из ключевых улучшений Llama 3 заключается в использовании нового токенизатора с лексиконом из 128 тысяч токенов, что существенно повысило эффективность кодирования естественного языка. Дополнительное повышение производительности достигнуто за счёт использования качественных наборов данных и дополнительных шагов донастройки после обучения.
Обучение Llama 3 проходило на базе более 15 триллионов токенов, собранных из общедоступных источников. Это в 7 раз больше, чем у предыдущей модели Llama 2. Meta также разработала специальную систему фильтрации входных данных для минимизации обучения на некачественной информации.
Кроме того, компания внедрила новые инструменты безопасности, включая Llama Guard 2 и Cybersec Eval 2, предназначенные для защиты модели от злоупотреблений и атак.
В ближайшие месяцы Meta планирует представить дополнительные модели, включая вышеупомянутую на 400 миллиардов параметров. Эти модели будут поддерживать расширенные функции и иметь куда большие контекстные окна, позволяющие обрабатывать более сложные запросы.
Модели Llama3-8B и Llama3-70B уже доступны для скачивания на сайте Meta. Также их будет возможно развернуть в облачных платформах, таких как Amazon Web Services, Microsoft Azure и Google Cloud.
🔔 ITsec NEWS
⚡️Хакеры используют картинки для взлома Telegram: не попадитесь на крючок
💬
Киберпреступники начали взламывать телеграм-аккаунты при помощи тематических сайтов с изображениями, выяснили аналитики группы компаний «Солар».
Эксперты центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится», отмечают в компании. Присоединиться к «сообществу» предлагается путем сканирования QR-кода или ввода логина/пароля от своего телеграм-аккаунта. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним. Картинки на каждом ресурсе объединены по тематике - эксперты обнаружили сайты про аниме, дорамы, фанфики, мемы и даже пиццу. Все обнаруженные ресурсы были заблокированы, однако риск остается высоким.
🔔 ITsec NEWS
💬
Киберпреступники начали взламывать телеграм-аккаунты при помощи тематических сайтов с изображениями, выяснили аналитики группы компаний «Солар».
Эксперты центра мониторинга внешних цифровых угроз Solar AURA обнаружили более 300 ресурсов, созданных для кражи профилей в Telegram. На таких сайтах злоумышленники размещают привлекательные изображения, которые пользователи могут найти в поисковой выдаче.
При переходе по ссылке на картинку пользователя перенаправляют на фишинговый ресурс, имитирующий страницу Telegram. Большинство из них носят название вроде «Тебе понравится», отмечают в компании. Присоединиться к «сообществу» предлагается путем сканирования QR-кода или ввода логина/пароля от своего телеграм-аккаунта. Если данные будут введены, они автоматически попадут к мошенникам. Включенная двухфакторная аутентификация не является преградой для злоумышленников.
По данным Солар, эта массированная кампания стартовала в декабре 2023 года. Хакеры создали сеть однотипных сайтов «с сотнями тысяч изображений» и описаний к ним. Картинки на каждом ресурсе объединены по тематике - эксперты обнаружили сайты про аниме, дорамы, фанфики, мемы и даже пиццу. Все обнаруженные ресурсы были заблокированы, однако риск остается высоким.
🔔 ITsec NEWS
HTML Embed Code: