ITsec NEWS

​⚡️Последние дни TikTok? Силы компании в схватке с США на исходе

💬TikTok снова оказался на грани исчезновения в США. Популярное приложение, которое за несколько лет стало частью повседневной жизни миллионов американцев, может быть полностью заблокировано уже в следующем месяце, после очередного судебного удара, поставившего под сомнение его будущее.

Федеральный суд отклонил апелляцию TikTok, заявившую, что правительственный запрет нарушает Конституцию, а именно право на свободу слова. У платформы остается последняя возможность для обжалования этого решения - в Верховном суде. Однако шансы на успех выглядят очень хрупкими. Даже вариант отсрочки запрета, который мог бы подписать президент Джо Байден, остается маловероятным, учитывая его позицию.

Основная причина опасений американских властей — китайская компания ByteDance, владеющая TikTok. По закону все компании в Китае обязаны предоставлять доступ к своим данным и технологиям правительству страны. Это вызывает серьезные опасения о том, что данные миллионов граждан США, включая персонализированные механизмы подбора контента и сведения о предпочтениях, окажутся в распоряжении китайских властей.

ByteDance попыталась снизить напряженность с помощью проекта Project Texas, предложив перенести американские данные на сервера Oracle в Калифорнии и создать отдельное юридическое подразделение для TikTok в Америке. Но Конгресс и президент Байден удовлетворены не были. Новый закон, подписанный президентом, фактически придает запрету законную основу.

Дополнительной точкой конфликта стало отсутствие полной прозрачности в том, как в принципе работает алгоритм TikTok. Законодателей тревожит, что алгоритм, определяющий, какие видео видят пользователи, будет использоваться для влияния на общественное мнение или скрытой пропаганды.

Еще один важный момент: TikTok собирает не только привычные данные, такие как имя и электронная почта, но также информацию о поведении пользователей - как долго они смотрят видео, на что реагируют, какие темы вызывают интерес. Этих данных хватает для составления точных психологических профилей.

Тем временем среди пользователей TikTok царит паника. На платформе появляются многочисленные видеоролики с призывами сохранить доступ. В прошлом TikTok даже привлекал влиятельных блогеров для поддержки своей позиции, однако сейчас это все уже не имеет смысла. Пользователи в основном сосредоточены на своих эмоциях и не уделяют внимания вопросам безопасности.

Некоторые открыто заявляют, что не видят угрозы в передаче своих данных китайским властям. Их личная информация якобы и так давно доступна в сети, особенно после многочисленных утечек. Тем не менее, эксперты указывают на то, что государственные служащие, работающие с конфиденциальной информацией, не должны использовать приложение, учитывая риск разглашения сведений, связанных с критической инфраструктурой.

Что интересно, по словам критиков, американское правительство тратит больше усилий на запрет сервиса, чем на решение других крупных проблем. И вообще многие считают, что приоритеты властей расставлены неверно.

Project Texas тоже подвергся критике за высокую стоимость его реализации. Согласно данным, предоставленным ByteDance, стоимость переноса данных и создания независимой инфраструктуры в США составит миллиарды долларов. Эти расходы компания вряд ли будет способна компенсировать, особенно если популярность приложения начнет падать из-за постоянных угроз запрета.

ByteDance все еще может попытаться продать TikTok, чтобы избежать полного запрета, но такой сценарий кажется еще более нереалистичным. Проблема в том, что окончательное слово будет не за ByteDance, а за китайским правительством, которое вряд ли согласится уступить такой актив крупнейшему геополитическому сопернику.

🔔 ITsec NEWS

​⚡️Роскомнадзор готовит зачистку зарубежных хостингов

💬Роскомнадзор заявил о возможности ограничить работу восьми крупных иностранных хостинг-провайдеров, среди которых Go Daddy, HostGator, Kamatera, Ionos, Network Solutions, DigitalOcean, Amazon Web Services и Hetzner Online. Причиной называют риски, связанные с хранением данных и обеспечением доступности ресурсов, размещенных на их серверах.

По мнению ведомства, иностранные хостинг-платформы могут в любой момент прекратить обслуживание ресурсов, ссылаясь на внутренние корпоративные решения или политические обстоятельства, что делает сайты недоступными. Кроме того, отмечается, что информация на таких серверах может быть уязвима для взломов, а некоторые ресурсы используются для обхода блокировок и распространения запрещенного контента.

Ранее, в апреле 2024 года, Роскомнадзор уже ограничивал доступ к части иностранных провайдеров из-за невыполнения требований закона «о приземлении». Тогда речь шла о блокировке сайтов, сейчас рассматривается возможность ограничения работы самих сервисов. Такие меры объясняются изменениями в законодательстве, ужесточившими требования к хостинг-провайдерам, работающим в России.

С начала 2024 года действует реестр хостинг-провайдеров, куда компании обязаны входить для предоставления услуг на территории страны. Иностранные компании, включая GoDaddy, покинули российский рынок ещё в 2023 году, не подав заявки на включение в реестр. Клиенты этих провайдеров давно перешли на российские платформы, что минимизировало влияние подобных ограничений на рынок.

Ограничения могут повлиять на работу сайтов, мобильных приложений и облачных сервисов, размещённых на этих серверах. В результате блокировки доступ к многим платформам, включая популярные приложения и корпоративные системы, может быть нарушен. Для бизнеса это означает необходимость оперативного переноса данных на российские платформы, что может сопровождаться значительными затратами и рисками.

Сформированный реестр включает компании, предоставляющие услуги по размещению оборудования, данных и сайтов, а его создание стало частью усилий по повышению цифрового суверенитета. Организации, не вошедшие в список, были вынуждены прекратить работу в России с 1 февраля 2024 года.

🔔 ITsec NEWS

​⚡️Война компроматов: представлен крупнейший архив утечек секретных материалов в Мире

💬Организация DDoSecrets, специализирующаяся на публикации утечек и взломанных данных в интересах общества, отметила своё шестилетие запуском нового инструмента для поиска информации. На платформе Library of Leaks, доступной на сайте LibraryOfLeaks.org , уже собрано более 10 миллионов файлов, и их количество продолжает расти. Проект позиционируется как крупнейший в мире публичный архив ранее засекреченных данных.

В коллекции представлены материалы из различных источников, включая Министерство юстиции Израиля, Департамент полиции Вашингтона и ФБР. Также доступны файлы из архивов WikiLeaks, включая письма бывшего государственного секретаря США Хиллари Клинтон.

К юбилею и запуску новой платформы DDoSecrets добавила два новых набора данных. Один из них включает десятки тысяч документов и внутренних материалов Министерства энергетики Казахстана, полученных хакерами в 2022 году. Второй — 75 видеозаписей из закрытого сообщества Эндрю Тейта «The War Room», известного своей ультраправой риторикой.

Новая поисковая система Library of Leaks упрощает доступ к значимым утечкам за последние 20 лет. Представители проекта отмечают, что эта библиотека способствует проведению исследований, направленных на разоблачение действий корпораций и государственных структур. Ранее DDoSecrets сталкивалась с серьезными проблемами, включая изъятие серверов в 2020 году и блокировку ссылок на их сайт в социальных сетях.

Платформа остаётся в процессе разработки, и организаторы продолжают добавлять новые данные, расширяя возможности для исследователей и активистов.

🔔 ITsec NEWS

​⚡️Провал защиты: телекомы США позволили Китаю шпионить в сетях США

💬 Китайская хакерская группа Salt Typhoon больше года вела шпионскую операцию, взломав сети крупнейших телекомов США. Хакеры смогли получить доступ к данным, включая информацию о Дональде Трампе, его штабе и лицах, чьи телефоны прослушивались по запросу Министерства юстиции.

По данным ФБР и CISA, атака также затронула и госучреждения, включая Министерство обороны (DoD). Сейчас компании вместе с правительственными специалистами работают над устранением последствий взлома и усилением защиты.

Сенаторы Рон Уайден и Эрик Шмитт потребовали от Министерства обороны объяснить, почему министерство не смогло защитить свои незасекреченные телефонные коммуникации от шпионажа. В письме сенаторов говорится, что ещё в 2024 году ведомство знало об уязвимостях у своих телекоммуникационных подрядчиков, но до сих пор не решило проблему. Министерство признало, что использует шифрование для защиты, но устранить часть угроз, например, отслеживание мобильных устройств, могут только сами операторы.

Компании проводили проверки безопасности своих систем, но отказываются передавать их результаты Пентагону, ссылаясь на адвокатскую тайну, что вызывает вопросы о готовности операторов справляться с подобными угрозами.

T-Mobile, также упомянутая в связи с атакой Salt Typhoon, утверждает, что не обнаружила признаков компрометации. Компания обнаружила попытки взлома через одного из партнёров, и смогла предотвратить дальнейшее проникновение. T-Mobile объясняет успех крупными инвестициями в безопасность, включая внедрение двухфакторной аутентификации (2FA) с использованием физических ключей и расширенный мониторинг сетей.

Тем не менее, события подчеркивают наличие системных уязвимостей в телекоммуникационной инфраструктуре США. Сенаторы призвали рассмотреть возможность пересмотра договоров с операторами, чтобы обязать внедрить более эффективные меры защиты от киберугроз.

Стоит напомнить, что китайская хакерская группа Storm-0227 5 декабря начала атаки на критическую инфраструктуру и госагентства США. Хакеры действуют с января и сохраняют активность по сей день.

Ранее агентства по кибербезопасности США, Австралии, Канады, Новой Зеландии и Великобритании опубликовали совместное предупреждение о шпионской активности китайских хакеров. Злоумышленники скомпрометировали сети ведущих мировых телекоммуникационных компаний для проведения масштабной кампании по сбору разведывательных данных.

🔔 ITsec NEWS

​⚡️Storm-0227: Китай начал глобальную кибератаку на правительственные сети США

💬 Microsoft сообщает, что китайская хакерская группа Storm-0227 5 декабря начала атаки на критическую инфраструктуру и госагентства США. Хакеры действуют с января и сохраняют активность по сей день.

Деятельность Storm-0227 пересекается с операциями других китайских шпионских группировок, таких как Silk Typhoon (Hafnium) и TAG-100. За последние 12 месяцев основными целями стали американские организации, включая предприятия оборонной промышленности, авиационные компании, телекоммуникационные фирмы, финансовый и юридический сектора, а также государственные агентства и НКО.

Storm-0227 использует известные уязвимости в веб-приложениях и фишинговые письма с вредоносными вложениями или ссылками. С сентября злоумышленники активно распространяют SparkRAT — инструмент удалённого администрирования с открытым исходным кодом, который открывает устойчивый доступ к системам жертв. Примечательно, что группа не разрабатывает собственное вредоносное ПО, а использует доступные на рынке решения.

После взлома киберпреступники крадут учётные данные для облачных сервисов, включая Microsoft 365 и eDiscovery, используемое юристами для анализа документов. Работа с легальными приложениями позволяет скрываться от обнаружения, маскируясь под обычных пользователей. Основная цель атак — получение конфиденциальной информации, включая электронные письма и связанные с ними файлы. Аналитики считают, что такие данные помогают хакерам лучше понять операции жертв.

Жертвы Storm-0227 пересекаются с секторами, подвергавшимися атакам других китайских хакерских групп – Salt Typhoon (специализирующейся на телекоммуникациях) и Volt Typhoon. Эксперты предупреждают, что активность группы продолжится, так как Китай концентрирует усилия на сборе разведывательных данных, представляющих интерес для национальной безопасности.

Microsoft подчеркивает, что кибершпионы продолжают извлекать файлы с целью разведки, включая контекстные данные из коммуникаций. Основной фокус сохраняется на американских интересах и стратегических объектах.

🔔 ITsec NEWS

​⚡️$4 миллиона ущерба и 8,5 млн сообщений: новый эпизод Scattered Spider

💬 Министерство юстиции США предъявило обвинения 19-летнему Ремингтону Оглтри, которого подозревают в причастности к деятельности известной киберпреступной группировки Scattered Spider. Согласно судебным документам, обвиняемый совершил взлом двух телекоммуникационных компаний и одного финансового учреждения в США, причинив ущерб на сумму около 4 миллионов долларов.

Следствие утверждает, что Оглтри получил доступ к системам управления входящими и исходящими звонками, а также текстовыми сообщениями в телекоммуникационных компаниях. Используя полученные привилегии, он разослал миллионы фишинговых сообщений с целью кражи криптовалюты у пользователей. Сообщения выглядели как уведомления от криптовалютных бирж о возмещении средств или как предложения от видеоигровых компаний с обещанием награды.

Один из эпизодов произошёл в октябре 2023 года, когда сотрудник телекоммуникационной компании из Европы, работающий в США, стал жертвой обмана со стороны Оглтри. Получив доступ к клиентским аккаунтам, обвиняемый организовал рассылку 8,5 миллиона фишинговых сообщений. Сообщения от имени криптовалютных бирж использовались для хищения средств.

В дополнение к атакам на телекоммуникационные компании, Оглтри обвиняют во взломе американской финансовой организации. Обвиняемый обманул 12 сотрудников, получив доступ к их учетным записям, что позволило ему украсть конфиденциальную финансовую информацию.

Следствие отмечает, что действия Оглтри и других членов Scattered Spider демонстрируют уязвимости критически важных инфраструктурных объектов. Группа также подозревается в атаках на MGM Resorts International , Caesars Entertainment , Coinbase, Riot Games Inc. и другие компании.

Американские власти уже призвали усилить защиту телекоммуникационных систем, особенно после недавних атак, связанных с государственной кибершпионажем. В последние месяцы китайские хакеры, действующие по поручению государства, нацеливались на телекоммуникационные компании для слежки за политическими деятелями, включая избранного президента Дональда Трампа и вице-президента Джей Ди Вэнса. Согласно данным, злоумышленники всё ещё сохраняют доступ к корпоративным сетям.

Помимо указанных инцидентов, мошенники используют методы подкупа сотрудников телекоммуникационных компаний для проведения операций по подмене SIM-карт. Этот приём позволяет злоумышленникам получать доступ к номерам жертв и их криптовалютным счетам.

В ноябре прошлого года американская прокуратура предъявила обвинения пяти предполагаемым участникам Scattered Spider. По данным обвинения, их действия привели к краже чувствительных данных и более 11 миллионов долларов в криптовалюте. В рамках этого дела в июле полиция Великобритании задержала 17-летнего подозреваемого в Уэст-Мидлендсе.

🔔 ITsec NEWS

​⚡️Аренда на $3,5 млн: мужчина превратил облачные серверы в криптоферму

💬 Чарльз О. Паркс III, также известный как «CP3O», признал вину в организации масштабной схемы криптоджекинга, в которой он использовал облачные вычислительные ресурсы для майнинга криптовалюты на $970 000 без оплаты аренды серверов. Сумма неоплаченных счетов достигла $3,5 миллиона.

В период с января по август 2021 года Паркс создавал фиктивные компании и использовал подставные имена, чтобы регистрировать множество аккаунтов у облачных провайдеров. Такие действия позволили получить доступ к огромным вычислительным мощностям и хранилищам данных без внесения платежей. Дополнительно Паркс добивался повышения уровня услуг, отсрочки платежей и уклонялся от вопросов о подозрительном использовании данных и неоплаченных счетах.

Используя полученные ресурсы, Паркс организовал майнинг Ether (ETH), Litecoin (LTC) и Monero (XMR) с помощью специализированного ПО. Для максимизации производительности применялись инструменты, позволяющие контролировать процесс майнинга и распределять вычислительные мощности между пулами.

Доходы от добычи криптовалюты отмывались через биржи, маркетплейс NFT в Нью-Йорке, платежные сервисы и банковские счета. После конвертации криптовалюты в наличные Паркс тратил их на предметы роскоши, включая авиабилеты первого класса, автомобиль Mercedes-Benz и дорогие украшения. За свои действия Парксу может получить до 20 лет тюремного заключения.

🔔 ITsec NEWS

​⚡️Государственная слежка: Pegasus расширяет границы тотального контроля

💬 Компания iVerify представила данные о заражении коммерческим шпионским ПО Pegasus, обнаруженном в ходе сканирования мобильных устройств. Из 2500 проведённых проверок 7 устройств оказались скомпрометированы данным вредоносным ПО.

Среди жертв Pegasus оказались не только журналисты и активисты, но и представители бизнеса, государственные служащие и другие категории граждан. По словам iVerify, круг жертв Pegasus оказался значительно шире, чем предполагалось ранее, что напоминает характерные черты атак, проводимых APT-группами или вредоносными программами.

Хотя 7 случаев заражения из 2500 сканирований могут показаться незначительной долей, сам факт их обнаружения свидетельствует о глобальном распространении шпионского ПО.

Анализ также показал, что угрозы не ограничиваются только последними версиями операционных систем. Среди выявленных инцидентов – эксплуатация уязвимостей в iOS 16.6, следы заражений 2022 года на iOS 15, а также более старые случаи, датируемые 2021 годом на версиях iOS 14 и 15. Это подтверждает, что шпионское ПО может оставаться незамеченным годами, компрометируя данные владельцев устройств.

Сложности в разработке подобных инструментов связаны с особенностями мобильных операционных систем, которые ограничивают доступ к ядру. В семи случаях заражения Pegasus обнаружение стало возможным благодаря анализу диагностических данных, журналов завершения работы системы и данных о сбоях. Тем не менее задача минимизации ложных срабатываний остаётся актуальной.

iVerify удалось выявить признаки взлома смартфона адвоката и сикхского активиста Гурпатванта Сингха Паннуна, ставшего целью предполагаемого покушения. Кроме того, инструмент зафиксировал активность предполагаемых национальных государств на устройствах членов предвыборного штаба Харрис-Вальца. Pegasus широко известен как инструмент, используемый для подавления правозащитников, и даже упоминался в связи с убийством журналиста Джамаля Хашогги в консульстве Саудовской Аравии в Стамбуле.

По словам специалистов iVerify, эпоха, когда смартфоны считались безопасными «из коробки», подходит к концу. Теперь пользователи имеют доступ к инструментам, позволяющим выявить заражение коммерческим шпионским ПО, а масштабы угрозы оказываются значительно шире, чем считалось ранее.

В марте WhatsApp добился важной победы в суде против израильской компании NSO Group, которая разработала шпионское ПО Pegasus. Федеральный суд США разрешил обнародовать три документа, раскрывающих новые факты о работе Pegasus. Документы включают показания сотрудников NSO, внутренние записи компании и переписку в WhatsApp, полученную через судебные запросы.

🔔 ITsec NEWS

​⚡️TPM 2.0: ключ от Windows 11 или новый барьер для пользователей

💬 В связи с завершением поддержки Windows 10 все больше внимания уделяется переходу на Windows 11, где одним из основных системных требований стал модуль Trusted Platform Module (TPM) версии 2.0. Компонент обеспечивает аппаратный уровень защиты данных и отвечает за выполнение криптографических операций.

TPM представляет собой аппаратный или встроенный модуль, обеспечивающий защиту на уровне устройства. Его основная задача заключается в хранении ключей шифрования, сертификатов и других конфиденциальных данных, а также выполнении криптографических операций, включая шифрование, дешифрование и создание цифровых подписей.

Microsoft подчёркивает, что TPM 2.0 улучшает криптографию и интеграцию с Secure Boot и Windows Hello for Business. Также сообщается, что TPM 2.0 помогает защитить данные на фоне развития ИИ и новых технологий в облачной и серверной архитектуре.

Тем не менее, пользователи Windows создавали инструменты и скрипты для обхода требования. Однако компания предупреждает, что работа системы без модуля TPM в будущем не гарантируется. Представители Microsoft подчёркивают, что отключение проверок TPM на устройствах под управлением Windows 11 недопустимо из-за возрастающих киберугроз.

Несмотря на приближающееся завершение поддержки Windows 10, намеченное на 14 октября 2025 года, операционная система по-прежнему используется на 61% устройств по всему миру. Windows 11, выпущенная в октябре 2021 года, пока установлена менее чем на 35% систем.

Для пользователей Windows 10 Home Microsoft предложит программу продления обновлений безопасности (Extended Security Updates, ESU) за $30, которая станет доступна в 2025 году, предоставив ещё год для перехода на новую систему.

Выпуски Long-Term Servicing Branch (LTSB) и Long-Term Servicing Channel (LTSC), предназначенные для специализированных медицинских или промышленных устройств, продолжат получать обновления после октября 2025 года. Например, Windows 10 2016 LTSB будет поддерживаться до 13 октября 2026 года, а Windows 10 IoT Enterprise LTSC 2021 — до 13 января 2032 года.

Кроме того, Microsoft сообщила о начале распространения Windows 11 24H2 для большего числа совместимых устройств. Проверить доступность можно через раздел «Все параметры» и меню «Центр обновления Windows».

🔔 ITsec NEWS

​⚡️Turla и конкуренты: сети соперников становятся марионетками хакеров

💬 Хакерская группа Turla реализовала новую стратегию, используя инфраструктуру других киберпреступников для скрытных атак. Исследование Lumen показало, что группа проникла в сети пакистанской группировки Storm-0156 и применяла их ресурсы для собственных операций.

С декабря 2022 года Turla использовала серверы управления Storm-0156 для атаки на уже взломанные объекты, включая правительственные учреждения Афганистана и Индии. Хакеры Turla распространили свои вредоносные инструменты – TinyTurla, TwoDash и Statuezy. Программы помогли скрыто проникать в сети, управлять заражёнными устройствами и извлекать данные.

Специалисты Microsoft и Lumen отмечают, что Turla не только захватила серверы Storm-0156, но и проникла в рабочие станции, получив доступ к ключевым данным, включая украденные учётные записи, вредоносные программы CrimsonRAT и Wainscot, а также файлы с конфиденциальной информацией.

Эксперты объясняют, что национальные хакерские группы, как правило, не применяют современные системы защиты, чтобы скрыть свои методы. Это делает их уязвимыми перед атаками конкурентов. Такой подход позволяет Turla избегать прямого раскрытия своих инструментов и перекладывать ответственность за атаки на других.

Примеры использования чужой инфраструктуры не ограничиваются Storm-0156. В 2019 году Turla атаковала международные цели через ресурсы иранской группы OilRig. В 2022 году хакеры использовали уязвимости жертв вредоносного ПО Andromeda для своих операций.

🔔 ITsec NEWS

​⚡️Google делает Android еще круче: что нового в обновлении?

💬 Google представила обновления для экосистемы Android, направленные на улучшение функциональности и доступности устройств. Среди ключевых нововведений — Expressive Captions, Image Q&A, а также интеграция с популярными приложениями и улучшения для пользователей Pixel.

Expressive Captions — функция, которая автоматически создаёт субтитры, передавая не только текст, но и эмоциональные нюансы сказанного. Например, если во время видеозвонка собеседник издаёт недовольный звук после неудачной шутки, субтитры отразят не только слова, но и добавят описание типа «[стонет]». Технология также распознаёт другие особенности речи, такие как шёпот или вздохи. Эта функция работает в приложениях Android, включая социальные сети и стриминговые сервисы. Согласно информации Google, она доступна на устройствах Pixel 6 и более новых моделях, а также на некоторых других совместимых устройствах Android.

Функция Image Q&A , интегрированная в приложение Lookout, получила обновление с использованием модели Gemini 1.5 Pro, что позволяет предоставлять более точные и подробные описания изображений. Инструмент разработан для помощи людям с нарушениями зрения, однако он также может использоваться для создания описаний изображений в естественной форме.

Искусственный интеллект Gemini получил новые расширения для взаимодействия с популярными приложениями Android. Например, плагин для Spotify позволяет воспроизводить любимую музыку и искать плейлисты под настроение. Google обещает дальнейшую интеграцию с Google Maps и устройствами умного дома.

Gemini теперь может запоминать пользовательские предпочтения для предоставления более персонализированных ответов. Например, если пользователь укажет, что является вегетарианцем, при следующем запросе рецепта Gemini учтёт эту информацию. Компания подчёркивает, что пользователи могут легко просматривать, изменять и удалять данные, сохранённые системой.

В Google Drive добавлена функция автоматической обработки загружаемых документов. При загрузке изображения система оптимизирует контраст, баланс белого и устраняет тени или размытость.

Функция Quick Share получила улучшение, позволяющее передавать файлы с помощью QR-кодов. Теперь для отправки фотографий, видео или документов не нужно добавлять получателя в контакты или менять настройки.

Устройства Pixel получают все перечисленные функции, а также обновления для приложения Pixel Screenshots. Теперь снимки экрана можно сохранять в Circle to Search, что упрощает поиск товаров, например, в праздничный сезон. Кроме того, программа автоматически сортирует снимки и предлагает рекомендации, основанные на сохранённой информации, такие как напоминания или маршруты.

Как и в случае с большинством обновлений Android, внедрение новых функций будет происходить постепенно. Некоторым пользователям может потребоваться подождать, прежде чем они появятся на устройствах.

🔔 ITsec NEWS

​⚡️0Day в MiCollab: тысячи компаний рискуют из-за бездействия Mitel

💬 Компания поставила под удар конфиденциальные данные клиентов, превратившись в инструмент хакеров.

Специалисты watchTowr обнаружили уязвимость нулевого дня на платформе Mitel MiCollab, позволяющую читать произвольные файлы. Совместно с ранее исправленной критической уязвимостью ошибка открывает злоумышленникам доступ к конфиденциальным данным на уязвимых системах. Для демонстрации угрозы был опубликован PoC-эксплойт после более чем 100 дней ожидания исправления от разработчиков.

Mitel MiCollab — инструмент корпоративного взаимодействия, используемый для общения сотрудников и клиентов через голосовую связь, видеоконференции, чаты, обмен файлами и другие функции. Свыше 16 000 экземпляров системы находятся в открытом доступе, что делает MiCollab привлекательной целью для хакеров и вымогателей.

В мае исследователи watchTowr обнаружили критическую уязвимость CVE-2024-35286 (оценка CVSS: 9.8) в компоненте NuPoint Unified Messaging (NPM) платформы MiCollab, которая позволяла неавторизованным пользователям получать доступ к чувствительной информации и выполнять операции с базой данных. Недостаток был исправлен в мае.

Позднее команда выявила еще одну уязвимость в компоненте NPM ( CVE-2024-41713 , оценка CVSS: 7.5), вызванную недостаточной проверкой входных данных. Проблема открывала возможность обхода аутентификации и позволяла хакерам просматривать, изменять или удалять данные пользователей и системные конфигурации. Исправление было выпущено в октябре.

В процессе изучения данных ошибок исследователи выявили третью уязвимость, которая пока не получила CVE-идентификатор и остаётся неустранённой. Проблема позволяет аутентифицированным пользователям читать произвольные файлы, включая критически важные системные, например «/etc/passwd». Для обхода аутентификации исследователи объединили эту уязвимость с CVE-2024-41713 в рамках своего PoC.

Исследователи сообщили о проблеме 26 августа. В октябре Mitel обещала выпустить обновление в первую неделю декабря, однако исправление до сих пор не представлено. В watchTowr заявили, что, учитывая отсутствие обновлений спустя более 100 дней с момента уведомления, информация о проблеме была включена в публичный отчет.

🔔 ITsec NEWS

​⚡️Лимит 4 млрд: госкомпании переключаются на локальных разработчиков ПО

💬 Минцифры разрабатывает инициативу, предполагающую обязательство для государственных компаний закупать программное обеспечение (ПО) российских разработчиков, сообщили источники «Коммерсанта». Предлагаемые критерии для разработчиков включают регистрацию в реестре отечественного ПО и годовую выручку в диапазоне от 1-2 до 4 млрд рублей. По данным источника, мера направлена на поддержку российских разработчиков, поскольку госкомпании чаще избегают закупок у малых и средних предприятий и им проще создать дублирующие продукты самостоятельно. Минцифры не предоставило комментариев по запросу издания.

Согласно указу президента РФ №166, с 1 января 2025 года государственным органам и компаниям запрещается использовать иностранные операционные системы и программное обеспечение на объектах критической информационной инфраструктуры (КИИ). Для систем управления базами данных установлена отсрочка до 1 января 2026 года.

По оценкам экспертов, рынок отечественного программного обеспечения в 2023 году достиг объема около 1,3 трлн рублей, что на 15% больше показателей 2022 года. Прогнозируется, что в 2024 году рост продолжится на уровне 10–12%. После ухода западных вендоров многие компании начали использовать собственные IT-службы и разработчиков для автоматизации процессов, так как доверие к отечественным разработчикам оставалось низким.

По словам специалистов, введение порога выручки от 1 млрд рублей отсеет менее зрелых игроков и обеспечит поддержку только опытных и зрелых производителей. Отмечается, что во многих сферах уже существуют конкурентоспособные российские продукты, которые находят применение у крупных федеральных заказчиков. Эксперты указывают, что компании с выручкой 1–4 млрд рублей находятся на этапе активного масштабирования, и стабильный спрос со стороны госкомпаний способен ускорить их развитие.

При этом эксперты подчеркивают важность обеспечения строгого контроля качества закупаемого ПО и независимой оценки эффективности его внедрения. Подчеркивается, что отсутствие строгого контроля может привести к увеличению расходов без достижения значимых технологических результатов.

В АРПП «Отечественный софт» полагают, что «действующие сегодня рекомендации для госкомпаний об ограничении собственной разработки дублирующих решений в объеме 30% от IT-бюджета являются достаточно действенным механизмом для повышения спроса на тиражируемые отечественные продукты».

В РЖД пояснили, что любая информационная система у них допускается к эксплуатации только после тщательной проверки и тестирования из-за специфичности железнодорожной отрасли. В РЖД сообщили, что не все доступные на рынке системы отвечают их требованиям по надежности, безопасности, масштабу работы, производительности, скорости и объему операций. В случаях отсутствия готового подходящего ПО РЖД старается найти решение, которое можно доработать под собственные нужды.

В «Ростехе» поддерживают меры по стимулированию российских разработчиков, однако отмечают, что процесс замещения требует осторожности. В госкорпорации указали на недостаточную зрелость некоторых отечественных IT-продуктов, их функциональность, совместимость и производительность, а также на отсутствие полной номенклатуры аналогов в ряде сегментов.

🔔 ITsec NEWS

​⚡️Telegram разворачивается на 180°: защита детей вместо свободы преступников

💬 Мессенджер Telegram начал сотрудничать с Международным фондом наблюдения за интернетом (Internet Watch Foundation, IWF) для борьбы с распространением материалов о сексуальном насилии над детьми. Ранее платформа отказывалась взаимодействовать с IWF или другими схожими инициативами, несмотря на многократные обращения.

IWF сотрудничает с крупнейшими интернет-компаниями, предоставляя инструменты для выявления и удаления запрещённого контента. Исполняющий обязанности генерального директора IWF Дерек Рэй-Хилл отметил, что присоединение Telegram к фонду позволит начать использовать их передовые инструменты, чтобы обеспечить невозможность распространения подобных материалов на платформе. В фонде охарактеризовали это решение как «трансформационное», подчеркнув, что это лишь начальный этап на пути к изменениям.

Изменение позиции Telegram произошло спустя четыре месяца после задержания его основателя Павла Дурова во Франции. Ему предъявили обвинения в недостаточном сотрудничестве с правоохранительными органами по вопросам борьбы с наркоторговлей, мошенничеством и распространением материалов, связанных с сексуальным насилием над детьми. Судебное постановление запрещает Дурову покидать Францию до завершения расследования. Представители компании назвали обвинения несправедливыми, заявив, что основатель не несёт ответственности за действия пользователей.

На фоне этого Telegram объявил о внедрении новых мер, направленных на улучшение модерации. Компания сообщила , что начнёт передавать IP-адреса и номера телефонов нарушителей закона по официальным запросам правоохранительных органов, отключит функцию «люди рядом», которая использовалась мошенниками, и будет регулярно публиковать отчёты о модерации контента. Павел Дуров заявил о намерении превратить подход к модерации Telegram из предмета критики в пример для подражания.

Мессенджер пользуется популярностью в странах СНГ, Иране и на Ближнем Востоке. Однако расследования журналистов выявили, что Telegram используется для рекламы наркотиков, предоставления услуг по киберпреступлениям и распространения запрещённых материалов. Один из экспертов охарактеризовал платформу как «даркнет в кармане» из-за её востребованности у криминальных элементов.

Telegram сообщил, что до вступления в IWF ежемесячно удалял сотни тысяч единиц запрещённого контента с использованием собственных алгоритмов. Теперь представители компании заявляют, что сотрудничество с фондом укрепит механизмы контроля, направленные на борьбу с распространением запрещённых материалов.

🔔 ITsec NEWS

​⚡️Цифровая манипуляция: когда хакеры диктуют политику

💬В 2024 году компания Orange Cyberdefense, входящая в состав французской телекоммуникационной группы Orange, отметила значительный рост кибератак, направленных на медицинские учреждения, промышленные предприятия, а также малый и средний бизнес. Эти атаки преимущественно преследуют две цели: получение выкупа и кражу конфиденциальной информации, включая персональные данные. Также участились случаи манипуляции общественным сознанием через распространение дезинформации и фейков, а также навязывание определённых политических нарративов через социальные сети на фоне глобальной геополитической нестабильности.

Основные выводы из доклада Security Navigator
Orange Cyberdefense в своем ежегодном докладе Security Navigator представила статистику основных направлений киберугроз. По данным исследования, в 2024 году эксперты зафиксировали около 13 тысяч атак с целью вымогательства. Среди основных объектов атак оказались больницы и медицинские учреждения. В текущем году нападения на них приобрели циничный характер, затрагивая не только административные системы, но и критически важные функции, от которых напрямую зависят здоровье и жизни пациентов.

Одним из наиболее заметных инцидентов стала атака на Национальную службу медицинских исследований ЮАР (South African National Health Laboratory Service). Из-за хакерского вмешательства тысячи пациентов не могли получить результаты анализов в течение нескольких недель, что задерживало лечение и проведение операций.

Уязвимость малого и среднего бизнеса
Малый бизнес стал особенно уязвим для кибератак в 2024 году. По данным компании, число вымогательских атак против таких предприятий выросло на 53%, а в среднем бизнесе — на 52% по сравнению с прошлым годом. Эти атаки впервые были зафиксированы в развивающихся странах, включая Афганистан, Джибути, Узбекистан, Мальдивы и Непал.

Рост политически мотивированных атак
В 2024 году всё чаще фиксируются хакерские атаки, направленные на манипулирование общественным мнением и продвижение определённых политических нарративов. Такие действия реализуются через скоординированные кампании по распространению фейков в социальных сетях и на других онлайн-платформах. Эксперты связывают рост политизированной активности хакеров с усилением геополитической напряжённости, что позволяет предположить, что некоторые группировки могут работать в интересах или по заказу отдельных государств.

Всего Orange Cyberdefense зафиксировала 6,5 тысячи атак, связанных с распространением дезинформации, разжиганием розни и попытками манипуляции общественным сознанием. Особое внимание уделяется атакам на Telegram, где выявлено 3214 уникальных политических сообщений и 6674 цели фишинговых и вредоносных рассылок.

Угрозы для избирательных процессов
Эксперты также зафиксировали рост DDoS-атак, направленных на электронные системы голосования, подсчёта голосов и избирательные штабы кандидатов. Цель таких атак — дискредитация избирательных процессов.

Искусственный интеллект: инструмент угроз и защиты
В отчёте Orange Cyberdefense подчёркивается двойственная роль генеративного искусственного интеллекта в современной киберугрозе. С одной стороны, такие технологии помогают более эффективно обнаруживать угрозы, с другой — активно применяются злоумышленниками для усиления атак, включая фишинг и методы социальной инженерии.

Эксперты компании отмечают необходимость глобальной координации усилий, направленных на противодействие новым угрозам. Особое внимание уделяется укреплению систем защиты и внедрению современных технологий мониторинга и реагирования на кибератаки.

🔔 ITsec NEWS

​⚡️Активаторы с сюрпризом: RedLine превращает экономию на ПО в утечку данных

💬 В отчете «Лаборатории Касперского» сообщается , что пользователи нелицензионных копий корпоративного программного обеспечения для автоматизации бизнес-процессов столкнулись с атакой. Злоумышленники распространяли вредоносные активаторы на бухгалтерских форумах. Распространяемые версии представляли собой модификации активатора HPDxLIB, содержащие стилер RedLine. Библиотека активатора обфусцирована с помощью .NET Reactor, а вредоносный код сжат и зашифрован в несколько слоев. Кампания началась в январе 2024 года и продолжается до сих пор.

Распространение
Атакующие распространяют вредоносные активаторы через форумы, посвященные бизнесу и бухгалтерскому учету. В сообщениях указывается на функционал обхода проверки лицензии, при этом информация о вредоносной составляющей отсутствует.

Новая версия активатора отличается использованием .NET вместо C++ и наличием самоподписанного сертификата с отпечатком 1c964ea8c58e03cb8517917d062d30f9ad134d29. «Чистые» версии подписаны валидными сертификатами.

Некоторые форумы начали предупреждать о наличии стилера RedLine в сборках HPDxLIB. Однако инструкции к активатору по-прежнему предлагают отключать антивирусное ПО для его корректной работы.

Заражение
В инструкции к вредоносной версии предлагается заменить легитимную библиотеку techsys.dll на её модифицированный вариант. Это применяется и в «чистых» версиях активатора, однако вредоносная сборка при запуске корпоративного ПО подгружает библиотеку, запускающую стилер.

Вредоносная библиотека techsys.dll содержит ресурс — loader.hpdx.dll, который в более поздних версиях дополнительно сжат с помощью Deflate. Основная вредоносная нагрузка — зашифрованный стилер RedLine. Для шифрования данных используется комбинация XOR, Base85 и AES-256-CBC.

Для расшифровки данных задействованы строки, зашифрованные с помощью XOR, которые используются для формирования криптографических параметров AES-256-CBC. После завершения всех этапов расшифровки извлекается стилер, сжатый алгоритмом Deflate, который затем распаковывается и загружается с помощью Assembly.Load().

Особенности RedLine
RedLine распространяется по модели Malware-as-a-Service, что позволяет приобретать его как разовую сборку или подписку. Программа ориентирована на кражу данных из браузеров, мессенджеров, а также другой конфиденциальной информации, которая передаётся на командный сервер. В исследованных образцах указанный сервер имел адрес 213.21.220[.]222:8080.

Согласно данным телеметрии, сервер использовался разными группами злоумышленников, что может указывать на аренду инфраструктуры для распространения RedLine.

🔔 ITsec NEWS

​⚡️Забытая инфраструктура спасла BT Group от масштабной кибератаки

💬 Британский телеком-гигант BT Group столкнулся с попыткой кибератаки на одно из подразделений своей старой бизнес-структуры. Ответственность за инцидент взяла на себя хакерская группа Black Basta. На своем сайте группа опубликовала название компании, однако в действительности цель атаки была значительно скромнее — подразделение BT Conferencing, расположенное в штате Массачусетс.

BT Group подтвердила, что атака была направлена на определенные элементы платформы BT Conferencing, которые сразу же отключили и изолировали. По данным компании, затронутые серверы не влияют на работу сервисов BT Conferencing, которые остаются полностью функционирующими. Другие услуги группы и данные клиентов не подверглись угрозе. Расследование инцидента продолжается в сотрудничестве с регулирующими органами и правоохранительными структурами.

Black Basta заявляет о похищении около 500 ГБ данных, включая файлы финансового характера, соглашения о конфиденциальности, пользовательскую информацию и другие документы. Среди образцов на сайте группы представлены сканы удостоверений личности, визовые документы и информация о бонусах сотрудников. Однако большая часть материалов, по-видимому, относится к прошлому десятилетию.

Black Basta, которая начала свою деятельность по модели Ransomware-as-a-Service ( RaaS ) в апреле 2022 года, атаковала множество крупных целей, в том числе немецкую оборонную компанию Rheinmetall, швейцарскую робототехническую компанию ABB, британскую компанию по аутсорсингу технологий Capita.

По данным ФБР и CISA, партнеры группировки Black Basta атаковали более 500 организаций в период с апреля 2022 года по май 2024 года. Группа также зашифровала и похитила данные по меньшей мере 12 из 16 критически важных секторов инфраструктуры.

После того как киберпреступный синдикат Conti прекратил свою деятельность в мае 2022 года, он распался на несколько групп, одной из которых, предположительно, стала Black Basta. Исследования Elliptic и Corvus Insurance показывают, что вымогатели получили по меньшей мере $100 млн. в виде выкупов от более чем 90 жертв (на ноябрь 2023 года). Отмечается, что группировка за первые 2 недели своей работы атаковала минимум 20 жертв.

🔔 ITsec NEWS

​⚡️Миллиарды в руках спецслужб: FTC разоблачила слежку за религиями и армией

💬 Федеральная торговая комиссия США (FTC) приняла меры против компаний, которые собирали данные с мобильных устройств граждан через приложения или рекламные платформы и предоставляли информацию госучреждениям и другим организациям. FTC обязала удалить всю собранную ранее информацию о чувствительных зонах, таких как медучреждения, религиозные организации, школы и военные базы. Под санкции попали Gravy Analytics и её дочерняя компания Venntel.

Venntel оказалась ключевым поставщиком данных для инструментов слежки, используемых правительственными структурами. Например, программа Locate X от Babel Street позволяет отслеживать перемещения людей через смартфоны, вплоть до посещения клиник и мест проживания.

По данным FTC, компании продавали и использовали чувствительные данные без согласия пользователей, что нарушает права на конфиденциальность. Также FTC установила, что компании продавали чувствительные данные даже без получения согласия пользователей.

Сбор данных осуществлялся через популярные приложения, погодные или навигационные сервисы. Программы передавали данные посредникам, а затем информация поступала в Gravy, которая продавала её маркетологам. Venntel передавала данные государственным агентствам, включая Налоговое управление (IRS), управление по борьбе с наркотиками (DEA), ФБР, таможенные и иммиграционные службы. Среди других клиентов значатся компании, продающие аналогичные продукты для местной полиции, такие как Fog Data Science.

По данным FTC, Gravy и Venntel ежедневно обрабатывают свыше 17 млрд. сигналов примерно с миллиарда устройств. FTC заявила, что действия компаний ставят под угрозу гражданские свободы и безопасность многих групп населения, таких как военнослужащие, религиозные меньшинства и профсоюзные активисты.

🔔 ITsec NEWS

​⚡️Хакеры скомпрометировали цепочку поставок Solana-разработки

💬 Специалисты Socket сообщили о крупной атаке на цепочку поставок популярной библиотеки @solana/web3.js, доступной через npm. Вредоносные версии 1.95.6 и 1.95.7, которые содержали код для кражи приватных ключей, использовались для опустошения криптовалютных кошельков разработчиков и пользователей.

@solana/web3.js — это npm-библиотека для работы с JavaScript SDK платформы Solana, используемая при создании приложений на Node.js и веб-сайтов. Проблемные версии уже удалены из реестра npm, однако их популярность вызывает серьёзные опасения — библиотека еженедельно скачивается более 350 000 раз.

В версию 1.95.7 хакеры добавили функцию «addToQueue», которая через поддельные заголовки CloudFlare отправляла приватные ключи на сервер управления («sol-rpc[.]xyz»). Сервер на данный момент недоступен.

Эксперты предполагают, что контроль над аккаунтами разработчиков библиотеки мог быть получен через фишинговую атаку. Хакеры скомпрометировали учётную запись с правами на публикацию, что позволило загрузить вредоносные версии, которые были модифицированы для кражи приватных ключей и вывода средств из приложений, работающих с ключами напрямую.

Атака затронула проекты, обновлённые в период с 15:20 до 20:25 UTC 2 декабря 2024 года, при этом не были затронуты некастодиальные кошельки, так как они не раскрывают приватные ключи во время транзакций. Пользователям рекомендуется срочно обновить библиотеку до версии 1.95.8 и при необходимости заменить скомпрометированные ключи.

Компания Anza подтвердила компрометацию учетной записи для публикации библиотеки, что позволило хакерам украсть средства. Ущерб оценивается от $130 000 до $160 000. Однако большинство крупных кошельков и приложений, включая Phantom, Coinbase, Exodus, не пострадали, так как не использовали уязвимые версии.

Разработчикам рекомендуется сменить ключи программ, серверов и мультиподписей, если есть подозрения на утечку. Инцидент не затрагивает протокол Solana, а касается исключительно JavaScript-библиотеки, использующей приватные ключи.

🔔 ITsec NEWS

​Звонок от «своего банка»? МВД раскрывает новую схему обмана

💬 Мошенники используют новый вид кибератак — спуфинг. В материалах, опубликованных УМВД России по Костромской области, подробно объясняется, как злоумышленники создают поддельные номера, сайты или файлы, маскируясь под известные компании или знакомых жертвы.

Спуфинг представляет собой метод обмана, при котором злоумышленники скрывают свою истинную личность, выдавая себя за надёжный источник. Например, телефонный звонок может казаться исходящим с номера банка или друга. Также возможна рассылка вредоносных файлов, внешне похожих на рабочие документы, которые при открытии устанавливают вирусные программы на устройство. Подмена сайта — ещё одна распространённая схема: мошенники создают копии официальных страниц с похожими адресами, чтобы получить доступ к конфиденциальной информации пользователей.

В качестве защиты эксперты рекомендуют:

проверять адреса отправителей и вложения в электронной почте;
внимательно изучать адресную строку в браузере;
избегать передачи личных данных через интернет;
осмотрительно относиться к незнакомым телефонным звонкам.

Ранее координатор платформы «Мошеловка» Евгения Лазарева рассказала , что мошенники начали чаще применять схемы, которые незаметно вовлекают добропорядочных граждан в незаконные действия. Согласно её словам, за первые месяцы 2024 года количество подобных случаев увеличилось на 20%.

Эксперты связывают это с усилением мер против мошеннических банковских операций. С июля 2024 года банки обязаны приостанавливать подозрительные переводы и направлять данные о сомнительных счетах в Центробанк. Это вынудило мошенников искать новые схемы. Среди них – использование так называемых дропов, через счета которых выводятся похищенные средства. Среди популярных схем:

Ошибочный перевод
Мошенники переводят крупную сумму на счёт жертвы, а затем связываются с просьбой вернуть деньги на указанный счёт. В случае отказа гражданина запугивают обращением в полицию за якобы незаконное обогащение. Многие поддаются давлению и совершают перевод, не подозревая, что становятся невольными участниками мошенничества. Позже с жертвой может связаться настоящий владелец средств — человек, который оплатил покупку дорогого товара, но не получил его. В результате жертва и настоящий владелец средств оказываются в конфликте, который часто заканчивается блокировкой банковского счёта жертвы и включением её данных в базу подозрительных операций Центробанка.

Взлом личного кабинета
Злоумышленники используют вредоносное ПО или методы социальной инженерии для получения доступа к банковскому кабинету жертвы. Пока жертва пытается восстановить доступ (процесс может занять до нескольких суток), мошенники выводят средства, а также проводят через счёт операции с деньгами других пострадавших. Нехарактерная активность вызывает подозрения у банковских служб безопасности, после чего счёт блокируется. Даже если жертва докажет факт взлома, банк может не восстановить доступ, оставив жертву без средств и с ограничениями в дистанционном обслуживании.

Оформление кредитов по поддельным документам
Эта схема включает использование поддельных или похищенных документов для оформления кредитов и карт на имя гражданина. В результате человек узнаёт о проблеме только при возникновении задолженностей или блокировке своих счетов. Последствия аналогичны другим схемам — блокировка и внесение данных в базы подозрительных операций. Жертвы вынуждены тратить время и ресурсы на доказательство своей непричастности.

Сотрудничество с «правоохранительными органами»
Мошенники обращаются к ранее пострадавшим от их действий, предлагая помощь в борьбе с преступниками. Под предлогом совместной операции злоумышленники просят использовать банковские карты жертв для отслеживания движения средств. На деле карты становятся инструментом для перевода похищенных денег. Пострадавшие выполняют инструкции мошенников, не понимая, что помогают обналичивать чужие средства. В результате блокируются счета, а жертвы вынуждены доказывать свою невиновность.

🔔 ITsec NEWS

​⚡️ИТ-мимикрия КНДР: как режим превращает хакеров в легальных разработчиков

💬Американские ведомства выявили и пресекли деятельность ряда подставных компаний, связанных с Северной Кореей, использующих сеть IT-специалистов для обхода санкций и финансирования государственных программ, включая разработку вооружений. Анализ, проведённый SentinelLabs, показал, что эти компании активно создавались в Китае и других странах для маскировки северокорейских работников и управления их доходами.

Северная Корея организует деятельность IT-специалистов по всему миру, используя фальшивые личности и поддельные документы для получения удалённых контрактов в сферах разработки программного обеспечения, блокчейна и криптовалют. Основная цель — обход международных санкций и генерация доходов для режима. Подставные компании помогают скрывать происхождение работников, обеспечивают проведение платежей через криптовалюты, теневые банковские схемы и китайские банки, что в конечном итоге финансирует программы государства.

Примеры таких компаний включают Independent Lab LLC, Shenyang Tonywang Technology LTD, Tony WKJ LLC и HopanaTech, чьи сайты были копиями страниц легальных американских IT-компаний. Эти сайты, зарегистрированные через популярные доменные регистраторы и хостинги, выглядели как обычные платформы для услуг IT-консалтинга. Однако после детального анализа стало ясно, что их контент, включая отзывы и маркетинговые материалы, был заимствован с легальных сайтов без значительных изменений. Все четыре компании были недавно закрыты властями США, а их домены конфискованы.

Кроме того, SentinelLabs обнаружила связи с другими активными подставными компаниями, в том числе зарегистрированными в Китае, например, Shenyang Huguo Technology Ltd. Эта компания использовала те же методы подделки сайтов, копируя контент с сайтов индийских IT-компаний. Также была выявлена связь с физическими лицами, зарегистрировавшими множество других компаний, в том числе в секторе ресторанного бизнеса, что может служить прикрытием для незаконной деятельности.

Тактика Северной Кореи демонстрирует высокую степень адаптивности, позволяя эффективно использовать глобальную цифровую экономику для своих нужд. Эти действия создают значительные риски для компаний, включая утечку интеллектуальной собственности, внедрение вредоносного ПО и нарушения законодательства. Для предотвращения подобных угроз бизнесам рекомендуется тщательно проверять потенциальных подрядчиков и партнеров, усиливая контроль за цепочкой поставок.

Исследование SentinelLabs подчёркивает важность осведомлённости и комплексного подхода к борьбе с такими схемами, чтобы предотвратить их дальнейшее развитие и защитить глобальные рынки.

🔔 ITsec NEWS

​⚡️Архив или троянский конь? критическая уязвимость в 7-ZIP угрожает миллионам устройств.

💬В инструменте для сжатия файлов 7-Zip обнаружена уязвимость , позволяющая злоумышленникам удаленно выполнять вредоносный код через специально подготовленные архивы. Для устранения проблемы разработчики выпустили обновление, которое необходимо установить вручную, так как программа не поддерживает автоматическую установку обновлений.

Уязвимость, зарегистрированная как CVE-2024-11477 с оценкой опасности 7.8 по шкале CVSS, связана с недостаточной проверкой входных данных при обработке файлов, сжатых с использованием алгоритма Zstandard. Это может привести к переполнению памяти и внедрению вредоносного кода. Zstandard активно используется в таких системах, как Btrfs, SquashFS и OpenZFS, а также для HTTP-компрессии, благодаря высокой скорости работы и эффективности сжатия.

Злоумышленники могут использовать уязвимость, отправляя пользователям 7-Zip специально подготовленные архивы, например, через электронную почту или общие сетевые ресурсы. При открытии такого файла возможно внедрение вредоносного кода.

Проблема была выявлена исследователями из Trend Micro's Zero-Day Initiative в июне 2024 года и исправлена в версии 7-Zip 24.07. На данный момент доступна обновленная версия 24.08, которую можно загрузить с официального сайта программы. Пользователям рекомендуется установить последнюю версию или, если использование 7-Zip не является необходимым, удалить программу, так как современные версии Windows File Explorer поддерживают работу с файлами 7-Zip по умолчанию.

🔔 ITsec NEWS

​⚡️Новое поколение Linux-руткитов: технический анализ WolfsBane и FireWood

💬Обнаружен новый бэкдор для Linux под названием WolfsBane, который, по мнению исследователей, представляет собой порт вредоносного ПО для Windows, ранее используемого хакерской группировкой Gelsemium из Китая. Анализ показал , что WolfsBane является комплексным инструментом, включающим дроппер, загрузчик и бэкдор, а также использует модифицированный open-source руткит для обхода обнаружения.

Кроме того, был выявлен ещё один образец вредоносного ПО для Linux под названием FireWood, который связан с аналогичным вредоносным ПО для Windows, известным как Project Wood. FireWood, вероятно, представляет собой общий инструмент, используемый несколькими китайскими APT-группами, а не эксклюзивную разработку Gelsemium.

Эксперты отмечают растущий интерес хакерских группировок к Linux-системам на фоне усиления защиты Windows. Такие изменения связаны с более широким использованием инструментов защиты конечных точек и отключением выполнения VBA-скриптов по умолчанию. Это заставляет злоумышленников искать новые пути атак, включая эксплуатацию уязвимостей в системах, работающих на Linux.

WolfsBane доставляется на целевые системы через дроппер под названием «cron», который маскируется под компонент рабочего стола KDE. В зависимости от уровня привилегий дроппер отключает SELinux, изменяет конфигурационные файлы системы или создаёт файлы службы для обеспечения постоянства. Затем запускается загрузчик, который активирует компонент вредоносного ПО, загружая три зашифрованные библиотеки с основной функциональностью и конфигурацией связи с управляющим сервером.

Для скрытности используется модифицированный руткит BEURK, который внедряется через файл «/etc/ld.so.preload» и обеспечивает сокрытие процессов, файлов и сетевого трафика. Основные задачи WolfsBane включают выполнение команд от управляющего сервера, что позволяет злоумышленникам выполнять операции с файлами, выводить данные и управлять системой.

FireWood, хоть и менее связан с Gelsemium, также представляет собой мощный инструмент для долгосрочных шпионских кампаний. Он предоставляет операторам возможности выполнения команд, операций с файлами, загрузки и выгрузки библиотек, а также скрытия процессов с помощью руткита. Для обеспечения автозапуска FireWood создаёт файл в папке «.config/autostart/» с командами, исполняемыми при старте системы.

Оба образца вредоносного ПО демонстрируют усилия APT-групп по расширению своих операций на Linux-платформах. Подробный перечень индикаторов компрометации, связанных с этими кампаниями, доступен на GitHub.

🔔 ITsec NEWS

​⚡️Windows 11 24H2: 14 изменений в Windows 11, которые стоит попробовать уже сегодня

💬Компания Microsoft выпустила предварительное обновление KB5046740 для Windows 11 24H2, включающее 14 улучшений и исправлений. Обновление исправляет проблемы с проводником, буфером обмена и дополнительными дисплеями, а также улучшает работу с голосовыми функциями и текстовым вводом.

Обновление KB5046740 относится к необязательным ежемесячным предварительным обновлениям, которые выпускаются в четвёртую неделю месяца. Они позволяют администраторам протестировать исправления перед официальным релизом на «вторник исправлений» (Patch Tuesday) следующего месяца.

Одной из новых функций стало добавление возможности отправки контента на устройства Android прямо из контекстного меню рабочего стола и Проводника. Для этого на смартфон необходимо установить приложение Phone Link.

Кроме того, обновление устраняет задержки и разрывы изображения на дополнительных экранах при в полноэкранном режиме, проблемы с отсутствием контента в истории буфера обмена и смещением окон приложений в угол экрана после выхода устройства из спящего режима.

Также были исправлены следующие ошибки: отображение маленьких кругов при поиске указателя мыши с помощью клавиши CTRL и некорректное отображение иконки уведомлений при включённом режиме «Не беспокоить».

Ещё стоит отметить, что KB5046740 повышает текстовую и голосовую доступность Windows, включая улучшения в функции диктора, голосового ввода, живых субтитров и переводов. Более того, обновление добавляет поддержку запуска элементов списков переходов с административными правами при удержании клавиш Shift и CTRL.

Microsoft сообщила, что в декабре 2024 года предварительные обновления не будут выпускаться из-за праздничного сезона. Однако ежемесячное обновление безопасности появится по графику. Нормальная работа с обновлениями возобновится в январе 2025 года.

На данный момент известно лишь об одной проблеме с KB5046740: пользователи устройств Windows на базе ARM не могут загружать и играть в Roblox через Microsoft Store. Также подтверждён баг, приводящий к резкому увеличению громкости звука на некоторых USB DAC.

Установить KB5046740 можно в автоматическом режиме из Центра обновлений Windows или же вручную, скачав апдейт с официального сайта Microsoft.

🔔 ITsec NEWS

​⚡️Needrestart: полезная Linux-утилита или открытая дверь для хакеров?

💬Ubuntu Linux подвергся критике из-за обнаруженных экспертами уязвимостей, существующих с момента создания утилиты needrestart в 2014 году. Эти уязвимости позволяют злоумышленникам получить привилегии root без вмешательства пользователя, если они имеют локальный доступ к системе.

Специалисты из Qualys выявили пять уязвимостей, зарегистрированных как CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003. Все проблемы кроме предпоследней получили оценку 7.8 по шкале CVSS, когда как CVE-2024-10224 оценили в 5.3 балла. Все уязвимости связаны с утилитой needrestart, которая проверяет необходимость перезапуска сервисов после обновлений или изменений в библиотечных файлах системы.

Впервые представленная в 2014 году, утилита является весьма полезной для применения системных обновлений без необходимости полной перезагрузки, что помогает поддерживать безопасность ОС, не жертвуя временем и стабильностью работы. Однако выяснилось, что needrestart была уязвима с версии 0.8, включённой в состав Ubuntu 21.04. Первая версия, лишённая уязвимостей, 3.8, — стала доступна лишь на этой неделе.

Суть уязвимостей заключается в возможности выполнения произвольного кода на атакуемой системе. Для этого злоумышленнику обязательно нужен локальный доступ, который, впрочем, может быть получен через вредоносное ПО или скомпрометированные учётные записи.

Хотя это условие несколько ограничивает поверхность для атак, эксперты отмечают, что в прошлом аналогичные уязвимости Linux успешно использовались для повышения привилегий. Эксперты советуют администраторам Ubuntu немедленно обновить утилиту needrestart до версии 3.8, чтобы устранить угрозу и предотвратить потенциальные атаки.

🔔 ITsec NEWS

​⚡️Прачечная на $1 млрд: как разведка КНДР строит криптоимперию

💬 Полиция Южной Кореи подтвердила причастность хакеров, связанных разведкой Северной Кореи, к крупному хищению криптовалюты Ethereum в 2019 году. Сумма украденных активов на тот момент оценивалась в $41,5 млн.

Более половины похищенных средств были отмыты через 3 криптобиржи, созданные самими хакерами. Остальные средства распределились по 51 платформе. Преступники проникли на криптобиржу, где хранился Ethereum, и вывели 342 000 ETH. Сегодня их стоимость превышает $1 млрд.

Название биржи в заявлении не указано, но в 2019 году южнокорейская биржа Upbit сообщила о несанкционированном переводе 342 000 ETH на неизвестный кошелёк. Связаны ли эти 2 инцидента между собой, не уточняется.

Расследование установило, что атака была организована группами Lazarus и Andariel, связанными с разведкой Северной Кореи. Выводы основаны на анализе IP-адресов и отслеживании движения активов. Это стало первым случаем, когда Северная Корея была официально названа источником кибератаки на южнокорейскую криптобиржу.

Правоохранителям удалось отследить 4,8 BTC, переведённых на швейцарскую криптобиржу. В октябре активы были возвращены на южнокорейскую платформу. Сегодня их стоимость составляет около $427 800. Северная Корея отрицает причастность к кибератакам и хищениям криптовалют.

По данным ООН, с 2017 по 2024 год северокорейские хакеры совершили 97 кибератак на криптовалютные компании, нанеся ущерб на сумму около $3,6 млрд. Среди нападений была атака на криптобиржу HTX – в ноябре 2023 года хакеры украли $147,5 млн, а отмыли награбленное в марте 2024 года.

🔔 ITsec NEWS

​⚡️Охота на Huracan: суперкар разоблачил синдикат угонщиков и хакеров

💬 Lamborghini Huracan бейсболиста Криса Брайанта был похищен во время транспортировки в Лас-Вегас. Злоумышленники смогли изменить маршрут доставки, но автомобиль удалось вернуть менее чем через неделю, что помогло выйти на след нескольких подозреваемых и других украденных машин.

Игрок команды Colorado Rockies поручил транспортной компании перевезти Lamborghini Huracan из штата Колорадо в Лас-Вегас (штат Невада), где спортсмен играл в межсезонье. Однако автомобиль так и не прибыл в место назначения. Полиция зарегистрировала пропажу 2 октября и начала расследование.

Оказалось, что транспортная компания стала жертвой BEC-атаки, которая позволила преступникам организовать несанкционированную перевозку автомобилей по всей стране. Благодаря анализу данных с камер распознавания номерных знаков удалось восстановить маршрут передвижения грузовика и трейлера, которые доставляли Ламборгини.

Lamborghini Huracan 2023 года выпуска имел уникальные модификации, которые помогли идентифицировать машину, когда офицер полиции Лас-Вегаса заметил авто. Автомобиль был обнаружен 7 октября в районе Лас-Вегаса, а причастные к похищению лица задержаны.

Водитель Ламборгини заявил, что владеет автомастерской и получил запрос от незнакомца из Техаса на ремонт электронной системы автомобиля. Еще одного подозреваемого задержали в аэропорту Лас-Вегаса, где он должен был забрать Lamborghini. При обыске автомобиля полиция нашла инструменты для взлома машин.

Обнаружение автомобиля стало ключевым звеном в раскрытии более широкой преступной сети. В ходе дальнейшего расследования полиция получила информацию о других участниках преступной группы, что привело к нахождению ещё двух украденных автомобилей, комплектов поддельных VIN-номеров, фальшивых регистрационных документов, электронных ключей и инструментов для изменения госномеров. Кроме того, в рамках дела удалось вернуть ещё один автомобиль, похищенный ранее в Калифорнии.

Хотя в официальном заявлении полиции имя Брайанта не упоминалось, издание Denver Post связало инцидент именно с ним.

🔔 ITsec NEWS

​⚡️1,5 миллиона медицинских карт оказались в руках злоумышленников

💬 В результате кибератаки на сеть французских больниц были скомпрометированы данные 1,5 миллиона пациентов. Хакер под псевдонимом «nears» заявил, что имеет доступ к медицинским картам всех пострадавших, однако пока лишь половина из имеющегося массива была выставлена на продажу.

Злоумышленник утверждает, что взломал систему MediBoard, разработанную Softway Medical Group. Эта компания предоставляет решения для управления медицинскими данными в Европе. Softway Medical подтвердила факт атаки, подчеркнув, что утечка произошла из-за использования украденных учётных данных, а не из-за уязвимости в их программном обеспечении.

Согласно заявлению компании, похищенные данные пациентов хранились не у Softway Medical, а на серверах самой больницы. В электронном письме Softway Medical отметила: «Наше программное обеспечение не является причиной инцидента. Компрометация произошла через привилегированный аккаунт в инфраструктуре клиента». В качестве клиента, в данном случае, выступает компания Aléo Santé, которой и принадлежат все пострадавшие больницы.

Киберпреступник выставил на продажу доступ к платформе MediBoard для больниц Centre Luxembourg и Clinique Alleray-Labrouste. Предполагается, что покупатели могут получить доступ к конфиденциальным данным пациентов, включая историю здоровья, контактные данные и информацию о назначениях.

Чтобы доказать факт взлома, хакер разместил на продажу записи более 750 тысяч пациентов одной из больниц. Эти данные содержат полные имена, адреса, номера телефонов, электронные адреса, назначения врачей и историю использования медицинских карт.

Пока что покупателей не замечено. Однако, даже если базу данных купят, всегда остаётся риск, что позже эта информация всё равно будет опубликована в открытом доступе, став ценным материалом для тысяч киберпреступников со всего мира. Эксперты предупреждают, что утечка подобной информации существенно увеличивает вероятность фишинга, мошенничества и атак социальной инженерии на пострадавших.

🔔 ITsec NEWS

​⚡️От фишинга к квишингу: QR-коды становятся любимой игрушкой мошенников

💬 До 1994 года большинство технологий сканирования использовали одномерные штрих-коды, способные хранить всего до 80 буквенно-цифровых символов. Компания Denso Wave создала первые QR-коды, увеличив емкость до 7000 цифровых или 4300 буквенно-цифровых символов.

Исследование Cisco Talos показало: спам-фильтры практически бессильны против вредоносных QR-кодов, поскольку не способны распознать их присутствие в изображениях. Статистика показывает: хотя QR-коды встречаются лишь в одном из 500 электронных писем, шокирующие 60% из них содержат спам или вредоносное ПО.

Этот новый вид мошенничества еще очень молодой. Называется он "квишингом" (quishing). Злоумышленники создают поддельные сайты, имитирующие легитимные ресурсы, и размещают QR-коды в общественных местах. Например, было случаи, когда кто-то наклеивал на парковочные счетчики QR-стикеры, перенаправляющие жертв на поддельные платежные системы.

Письма с QR-кодами, маскирующиеся под запросы двухфакторной аутентификации - самая распространенная из уловок. Мошенники используют их для кражи учетных данных. При сканировании QR-кода с мобильного устройства весь последующий трафик между жертвой и злоумышленником проходит через сотовую сеть в обход корпоративных систем безопасности.

Несмотря на относительно небольшую долю таких писем (0,1-0,2% от общего объема), они намного чаще попадают в папку "Входящие", минуя спам-фильтры. Более того, изобретательные мошенники научились создавать QR-коды с помощью Unicode-символов, что еще больше усложняет их обнаружение. Традиционные методы обезвреживания вредоносных ссылок, например замена протокола "http" на "hxxp" или добавление скобок в URL, в этом случае работают значительно хуже.

Существуют способы сделать QR-коды безопасными для просмотра – например, путем маскировки модулей данных или удаления одного или нескольких шаблонов определения позиции (больших квадратов по углам кода). Однако эти уловки не всем понятны и пока не получили широкого распространения.

Отдельную угрозу представляет так называемое "QR-искусство" - изображения, в которых код замаскирован под обычную картинку. Пользователь может случайно отсканировать его камерой и перейти по вредоносной ссылке, даже не осознав этого.

Аналитики Cisco Talos советуют проявлять такую же осторожность при сканировании кодов, как и при переходе по подозрительным ссылкам. Для тех, кто регулярно использует их, существуют специальные онлайн-декодеры, позволяющие предварительно проверить содержимое.

Помните: простота и удобство QR-технологий не должны затмевать необходимость соблюдения базовых правил цифровой безопасности.

🔔 ITsec NEWS

​⚡️8 дней бездны: как один хакер похитил будущее финтех-компании

💬 Финтех-компания Finastra стала жертвой кибератаки, в ходе которой было украдено более 400 ГБ данных. Инцидент произошёл на внутренней платформе для передачи данных. Хакер под ником «abyss0» выставил украденную информацию на продажу на форуме BreachForums.

8 ноября компания уведомила клиентов о взломе, заявив, что подозрительная активность была обнаружена днём ранее. По данным Finastra, злоумышленники не внедряли вредоносные программы и не вносили изменений в файлы клиентов, но успели похитить значительный объём данных.

Компания сообщила, что взлом произошёл в результате компрометации учётных данных. Для обеспечения безопасности была активирована альтернативная платформа для передачи данных. На данный момент ведётся анализ масштаба утечки и точной идентификации затронутых лиц. Также компания исключила вероятность прямого воздействия на операции клиентов.

Хакер «abyss0» разместил объявления о продаже данных 31 октября, не указав имя компании. Первоначальная цена составляла $20 000, но уже к 3 ноября была снижена до $10 000. 7 ноября хакер опубликовал новое сообщение, раскрыв связь данных с клиентами Finastra, среди которых оказались крупнейшие мировые банки. Вскоре аккаунт «abyss0» исчез с форума, а его профиль в Telegram был удалён.

Масштаб инцидента и его последствия для клиентов ещё предстоит оценить. Finastra продолжает расследование и намерена держать клиентов в курсе всех обновлений.

🔔 ITsec NEWS

​⚡️Топ-25 киберугроз по версии MITRE: уязвимости, которые хакеры используют как оружие

💬 Компания MITRE представила обновлённый список из 25 наиболее опасных уязвимостей программного обеспечения, которые были выявлены среди 31 770 идентификаторов CVE с июня 2023 по июнь 2024 года. Эти уязвимости приводят к критическим сбоям, позволяя злоумышленникам получать контроль над системами, воровать данные и запускать атаки типа отказа в обслуживании.

Ключевые слабости в программном обеспечении связаны с ошибками в коде, архитектуре и дизайне. MITRE подчёркивает, что такие проблемы часто легко находить и использовать, что делает их серьёзной угрозой для систем. В этом году рейтинг основывался на анализе уязвимостей, включённых в каталог известных эксплуатируемых уязвимостей CISA (KEV).

CISA добавила, что приоритетное внимание к этим проблемам помогает разработчикам предотвращать уязвимости ещё на этапе создания программного обеспечения. В списке выделены такие опасности, как межсайтовый скриптинг ( CWE-79 ), запись за пределами выделенной памяти ( CWE-787 ) и SQL-инъекции ( CWE-89 ).

Также была подчёркнута важность устранения известных проблем. Например, агентства по кибербезопасности, входящие в альянс Five Eyes, в прошлом месяце выпустили совместный отчёт, в котором указали, что большинство часто эксплуатируемых уязвимостей в 2023 году были связаны с атаками типа zero-day, когда уязвимость была известна, но не устранена.

Особое внимание в отчёте уделено устранению проблем, связанных с использованием стандартных паролей, неправильной аутентификацией и выполнением команд ОС. CISA настоятельно рекомендует внедрять подходы «Secure by Design», чтобы исключать подобные уязвимости ещё на стадии проектирования.

В дополнение к рейтингу, MITRE указала на необходимость пересмотра инвестиций и стратегий в области кибербезопасности. Это позволит не только снизить риски, но и повысить устойчивость IT-систем перед лицом всё более сложных угроз.

🔔 ITsec NEWS

​⚡️Принтер как инструмент: новый метод шантажа BianLian охватил критическую инфраструктуру

💬 ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.

BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.

Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows.

Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.

Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.

Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.

🔔 ITsec NEWS

​⚡️Вирус в коде PyPI: Стилер Jarka ворует данные из Telegram и Discord

💬 Эксперты ЛК обнаружили атаку на цепочку поставок программного обеспечения, продолжавшуюся почти год. Через репозиторий PyPI распространялись вредоносные пакеты, замаскированные под инструменты для создания чат-ботов на основе нейросетей. После установки эти пакеты заражали устройства стилером Jarka, который использовался для кражи данных.

Вредоносные пакеты появились на платформе PyPI в ноябре 2023 года и до момента их выявления были загружены 1,7 тысяч раз пользователями из 30 стран. Наибольший интерес к ним проявили в США, Китае, Франции, Германии и России. Атака, судя по всему, не была нацелена на определённые регионы или организации.

Пакеты маскировались под оболочки для популярных нейросетевых чат-ботов, таких как ChatGPT от OpenAI и Claude AI от Anthropic. Они предоставляли доступ к функциональности чат-ботов, одновременно устанавливая стилер Jarka, написанный на языке Java. Зловред способен похищать данные из браузеров, делать скриншоты, собирать системную информацию, перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, а также манипулировать процессами браузеров, чтобы извлекать сохранённые данные.

Jarka распространялся через Telegram-канал по модели MaaS (вредоносное ПО как услуга), а исходный код был загружен на GitHub, что делает его доступным для скачивания. Лингвистические признаки в коде и рекламных материалах указывают на русскоязычного разработчика.

Вредоносные пакеты были удалены после уведомления платформы, однако атака подчеркнула риски, связанные с интеграцией компонентов с открытым исходным кодом. Специалисты подчёркивают важность проверки целостности кода на всех этапах разработки для предотвращения подобных угроз.

🔔 ITsec NEWS

​⚡️Кибератака на миллионы: новая уязвимость в Yealink Meeting Server угрожает 140 странам

💬 Эксперты из Positive Technologies обнаружили критическую уязвимость CVE-2024-48352 в системе видеоконференц-связи Yealink Meeting Server, которая могла привести к утечке учетных данных, конфиденциальной информации и предоставить злоумышленникам доступ к корпоративной сети. Проблема была устранена вендором после уведомления в рамках политики ответственного раскрытия, и пользователям рекомендовано установить последнее обновление.

По открытым данным, в октябре 2024 года насчитывалось 461 система с данной уязвимостью, большинство из которых располагалось в Китае (64%), России (13%), Польше (5%), а также в Индонезии, Бразилии, Таиланде, Финляндии, Иране и Германии. Продукты Yealink широко используются в корпоративной среде, что делает подобные уязвимости особенно опасными.

Технически уязвимость позволяла неавторизованному злоумышленнику получить учетные данные пользователей системы, что открывало доступ к информации внутри организации. Кроме того, ошибка могла быть использована для атак на корпоративную сеть с выполнением произвольного кода.

В 2024 году это уже второй случай выявления критической уязвимости в Yealink Meeting Server. Ранее в январе была обнаружена ошибка, позволяющая атакующему получить доступ к учетной записи сервера. Совместная эксплуатация обеих уязвимостей позволяет провести атаку типа Pre-Auth RCE, что повышает риски для организаций, не обновивших ПО.

Системы видеоконференций, такие как Yealink Meeting Server, активно используются в бизнесе благодаря широкому функционалу: они обеспечивают проведение онлайн-совещаний, вебинаров и видеозвонков с поддержкой нескольких участников. Однако их безопасность во многом зависит от своевременного обновления и контроля. Помимо базовых мер, таких как установка патчей, рекомендуется изолировать серверы видеоконференций от основной корпоративной сети, применять двухфакторную аутентификацию и регулярно проводить тестирование систем на уязвимости.

Инциденты такого рода подчеркивают важность регулярного аудита и обновления ПО, особенно в условиях, когда онлайн-совещания стали неотъемлемой частью корпоративной работы.

🔔 ITsec NEWS

​⚡️Цукерберг в осаде: мошенники захватили 21 млн пользователей BlueSky

💬 В соцстеи BlueSky, которая недавно преодолела отметку в 21 миллион пользователей, начали появляться криптовалютные мошенники. По данным BleepingComputer, киберпреступники публикуют фейковые посты, используя имя известных брендов для продвижения сомнительных криптоактивов.

Среди обнаруженных постов выделяются публикации с изображениями Марка Цукерберга и рекламой криптоактивов MetaChain и MetaCoin, которые создают ложные ассоциации с корпорацией Meta* и её концепцией метавселенной. Веб-сайт MetaChain[.]cash, указанный в постах, имитирует стиль бренда компании, включая шрифты и дизайн, вводя пользователей в заблуждение.

В других публикациях обещали «$900 000 в биткоинах», перенаправляя пользователей на сайт «cryptos-satoshi.github[.]io», который в настоящее время недоступен. В комментариях пользователи BlueSky выразили разочарование, отмечая, что мошеннические схемы добрались и до этой платформы.

Также в одном из случаев в посте используются фрагменты видео из популярных телешоу, например, Last Week Tonight With John Oliver, и указываются хэштеги #musk #tesla #blockchain для повышения вовлеченности.

BlueSky сообщает о резком росте числа жалоб. За последние сутки платформа получила свыше 42 000 жалоб, что стало рекордным показателем. В среднем поступает около 3 000 жалоб в час. Команда BlueSky подтвердила, что рост аудитории платформы привёл к увеличению активности спамеров и мошенников. В ответ на это была усилена модерация, а пользователям предложено сообщать о сомнительных постах через специальное меню.

BlueSky основана на децентрализованном протоколе AT, что позволяет пользователям создавать собственные серверы и управлять контентом независимо. Это даёт больше свободы и контроля над данными, но создаёт и уникальные проблемы. Например, мошенники могут запускать свои серверы BlueSky для продвижения подозрительных схем, обходя модерацию основного сервера «bsky.app».

Некоторые мошеннические посты были размещены на сторонних серверах BlueSky, например, Subium. Публикации взаимодействуют с основной платформой, что увеличивает их видимость. Кроме того, такие посты могут индексироваться поисковыми системами, повышая рейтинг мошеннических сайтов в результатах поиска.

Децентрализованная структура BlueSky требует новых подходов к модерации и борьбе с мошенничеством. Платформа активно работает над усилением контроля, но особенности архитектуры AT протокола создают дополнительные сложности. По мере роста популярности BlueSky необходимость в эффективных механизмах защиты пользователей становится всё более острой.

🔔 ITsec NEWS

​⚡️Пароли в завещании: японская инициатива для упрощения жизни после смерти

💬 Японский Национальный центр по делам потребителей выступил с рекомендацией о планировании «цифрового наследия», чтобы упростить близким процесс управления аккаунтами и подписками граждан страны после их смерти. Эта инициатива возникла из-за множества случаев, когда родственники сталкивались с трудностями при отмене подписок из-за отсутствия доступа к аккаунтам умерших.

Центр предлагает четыре шага для минимизации таких сложностей:

назначить доверенное лицо для управления цифровыми данными (в сервисах, которые это поддерживают)
обеспечить доступ близких к вашим устройствам, выписав ключевые логины, пароли и пин-коды;
создать список со всем перечнем оформленных подписок;
внести все вышеуказанные данные в завещание.

С ростом популярности смартфонов и онлайн-сервисов необходимость в подобном планировании становится всё более актуальной. Родственники сталкиваются с проблемами закрытия аккаунтов или отмены подписок, что приводит к нежелательным расходам.

Одним из решений могут стать приложения, работающие в режиме «переключатель мертвеца». Эти сервисы отправляют данные выбранным лицам, если пользователь долгое время не входил в аккаунт.

Кроме того, условная Meta* предоставляет возможность назначить так называемого «хранителя» (Legacy Contact) — наследующего полномочия пользователя, который сможет управлять аккаунтом после официального подтверждения смерти владельца.

Подобные функции значительно облегчают многие процессы для родственников, которые и без того испытывают сильный стресс. Эксперты подчёркивают, что заранее подготовленные данные помогают избежать финансовых и эмоциональных трудностей.

Идея цифрового планирования не только помогает упорядочить своё наследство, но и открывает новые возможности для предпринимателей, создающих подобные сервисы. Рано или поздно такую функциональность сможет обеспечить большинство сайтов и сервисов, и вопрос остаётся лишь в том, превратится ли наше цифровое наследие в упорядоченный архив или останется хаотичным отголоском прошлого, лежащим где-то в сети.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

🔔 ITsec NEWS

​⚡️«Аккаунт заблокирован»: как подростки заработали состояние на фейковых СМС

💬 Минюст США предъявил обвинения пяти предполагаемым участникам группировки Scattered Spider, которые с сентября 2021 по апрель 2023 года похитила миллионы долларов из криптокошельков, используя украденные учетные данные. Атакам подверглись как физические лица, так и компании.

Scattered Spider специализируется на атаках социальной инженерии, выдавая себя за специалистов техподдержки, и применяет методы фишинга и смишинга для кражи данных сотрудников целевых организаций.

По данным следствия, обвиняемые организовали серию атак, рассылая фишинговые SMS сотрудникам различных компаний. Сообщения содержали уведомления, например, о блокировке учетной записи или VPN-сети, и ссылки на фальшивые сайты, имитирующие порталы компаний. На таких сайтах пользователи вводили конфиденциальные данные, включая учетные записи и коды двухфакторной аутентификации.

Похищенные учетные данные использовались для извлечения конфиденциальной информации, включая базы данных, интеллектуальную собственность и личные данные. Собранные сведения применялись для захвата почтовых аккаунтов жертв с помощью метода SIM Swapping, что позволило преступникам контролировать телефонные номера и криптокошельки, переводя средства на собственные счета.

Среди обвиняемых – 4 гражданина США и 1 гражданин Великобритании возрастом от 20 до 25 лет. Каждому из обвиняемых грозит до 20 лет тюрьмы за мошенничество с использованием проводных средств связи, 5 лет за сговор и дополнительный обязательный 2-ухлетний срок за кражу личных данных.

Scattered Spider, также известная как 0ktapus, Scatter Swine, Octo Tempest, представляет собой группу англоязычных хакеров с разным уровнем подготовки. Организационная структура группы отличается гибкостью, что затрудняет отслеживание деятельности и привязку атак к конкретным лицам. Атака на MGM Resorts и Caesars Entertainment в прошлом году, которая привела к сбоям в работе казино и отелей в Лас-Вегасе, значительно укрепила статус Scattered Spider в киберпреступном сообществе.

В июне в Испании задержали ключевого члена Scattered Spider — 22-летнего гражданина Великобритании, когда тот пытался сесть на рейс в Италию. А в июле в Великобритании в руки полиции попал 17-летний подросток.

Ранее представители ФБР высказывали предположения, что группировка состоит преимущественно из молодых людей и даже тинейджеров. Вполне возможно, что именно из-за юного возраста и определённой степени максимализма, злоумышленники используют столь жёсткие методы.

🔔 ITsec NEWS

​⚡️Модельное агентство для ИИ: революция заработка в Instagram

💬 В Instagram* растёт число аккаунтов, созданных с помощью ИИ. Аккаунты воруют фото и видео у реальных моделей и контент-мейкеров, заменяя их лица сгенерированными ИИ. Такой контент используют для заработка на сайтах знакомств, OnlyFans, Patreon и различных ИИ-приложений. Платформа пока не справляется с проблемой, что создаёт проблемы для настоящих авторов.

Специалисты 404 Media совместно с WIRED изучили больше 1000 таких аккаунтов и обнаружили, что их создание стало очень простым. В Discord-сообществах и специальных руководствах подробно рассказывают, как с помощью готовых ИИ-приложений генерировать фото, редактировать изображения и делать видео с заменой лиц. Некоторые из приложений доступны в App Store и Google Play. Явление быстро масштабируется, и в будущем такие аккаунты могут захватить соцсети.

Многие аккаунты используют дипфейки, заменяя лица реальных людей в видео. Например, недавно удалённый аккаунт «Chloe Johnson» с 170 000 подписчиков публиковал видео, украденные у известных моделей, а также менее известных пользователей TikTok и Instagram.

Создатели таких аккаунтов зарабатывают большие деньги. Один из авторов руководства для ИИ-моделей утверждает, что за полгода заработал миллион долларов. В инструкциях подробно описывают, как монетизировать контент через платные подписки, продажу фото и видео, а также вести переписку с подписчиками, чтобы увеличить доход. Некоторые из аккаунтов участвовали в конкурсах, а их авторы создавали целые агентства для управления ИИ-моделями.

Реальные контент-мейкеры страдают из-за конкуренции с такими аккаунтами. Некоторые модели отмечают, что их охваты в Instagram сильно упали. Если раньше модели получали до 5 миллионов просмотров в месяц, то теперь этот показатель редко превышает 1 миллион. Жалобы на фейковые аккаунты часто бесполезны: Instagram удаляет их только по запросу правообладателей, а сами авторы рискуют попасть под блокировку в процессе жалобы.

Эксперты отмечают, что Instagram не только не борется с такими аккаунтами, но и получает от них выгоду. Искусственно созданный контент привлекает зрителей, а это позволяет платформе продавать рекламу. Эксперты уверены, что без вмешательства платформ и более строгого контроля использование генеративного ИИ продолжит расти, что создаст ещё больше трудностей для реальных пользователей и авторов.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

🔔 ITsec NEWS

​⚡️Монополии конец: США готовят распад Google

💬 Министерство юстиции США предложило обязать Google продать браузер Chrome, чтобы восстановить конкуренцию на рынке онлайн-поиска. Возможность отделения Android также остается открытой. Такие меры направлены на устранение монополии Google, которую, по мнению суда, компания незаконно удерживает в сфере поисковых систем и рекламы.

Документ с предложениями уточняет возможные шаги по исправлению ситуации. В списке мер — от ограничений на определенные соглашения до более радикальных решений, включая разделение компании. Особое внимание уделено отделению браузера Chrome, который правительство рассматривает как ключевой инструмент для интернет-поиска.

Хотя Android пока не фигурирует среди обязательных к разделению активов, такая возможность рассматривается. Такая угроза может стать стимулом для Google соблюдать предлагаемые правила, включая запрет на использование Android для продвижения собственной поисковой системы. Если предложенные меры окажутся недостаточными для восстановления конкуренции, отделение Android также может быть осуществлено.

Дополнительно Минюст требует запретить Google предоставлять денежные вознаграждения или другие ценности сторонним компаниям, например Apple или производителям смартфонов, за установку своего поисковика по умолчанию или ограничение работы конкурентов. Также предлагается запрет на продвижение собственной поисковой системы на платформах компании, таких как YouTube.

Среди других мер — предоставление конкурентам доступа к индексу поисковой системы Google на основе маржинальной стоимости, обязательство делиться результатами поиска и данными запросов из США в течение 10 лет, а также возможность для веб-сайтов отказаться от включения их контента в ИИ-обзоры Google без ухудшения позиций в результатах поиска.

Google раскритиковала предложения. Юрист Alphabet в своем блоге назвал действия Министерства юстиции «чрезмерными» и заявил, что они угрожают технологическому лидерству США. По мнению Google, предложение раскрывать как инновации компании, так и поисковые запросы пользователей может привести к передаче данных неизвестным компаниям, включая иностранные.

Ещё одним последствием предложений может стать сокращение инвестиций в развитие искусственного интеллекта. Google отметила, что компания занимает лидирующие позиции в этой сфере, и ограничения могут замедлить темпы инноваций, что негативно отразится на глобальной технологической конкурентоспособности США.

Одной из самых обсуждаемых мер стало требование к Google внедрить сразу два экрана выбора поисковой системы на устройствах Pixel. Дизайн экранов должен одобряться специально созданным техническим комитетом, что, как считают в компании, приведёт к излишнему вмешательству в её деятельность.

Google намерена подать свои предложения в следующем месяце и продолжит защищать свою позицию в дальнейшем. Представители компании напомнили, что суд ранее отметил высокое качество поисковой системы Google, которая заслужила доверие сотен миллионов пользователей по всему миру.

Министерство юстиции планирует обновить свои предложения к марту, а в апреле пройдет двухнедельное разбирательство по определению окончательных мер. Суд должен будет решить, как лучше восстановить конкуренцию. Примечательно, что процесс проходит на фоне смены администрации в Министерстве юстиции, что может повлиять на итоговые решения. Однако дело было начато еще при администрации Трампа, поэтому претензии несут долгосрочный характер.

Недавно Microsoft обвинила Google в ведении тайной кампании ради одобрения властей и антимонопольных органов Европы. По мнению Microsoft, Google намеренно скрывает свою роль в новом лоббистском объединении Open Cloud Coalition , чтобы показать инициативу как независимую. По утверждениям Microsoft, Google основала коалицию, но специально вывела на первый план небольшие европейские компании, скрыв свою собственную роль в управлении и финансировании.

🔔 ITsec NEWS

​⚡️Прибыль vs нацбезопасность: США в тисках китайского влияния

💬 Блюменталь отметил, что тесные экономические связи между США и Китаем создают серьёзный риск для страны. Особое внимание сенатор уделил влиянию Илона Маска и зависимости Пентагона от услуг SpaceX. Сенатор подчеркнул, что значительная часть производства и продаж Tesla приходится на Китай. Блюменталь отметил, что Маск публично поддерживает политику Китая, включая позицию по Тайваню, чтобы сохранить свои интересы в стране. По мнению Блюменталя, китайские власти пытаются использовать Маска для влияния на правительство США.

Критике подверглась и компания Apple. Блюменталь подчеркнул, что компания выполняет требования Китая по цензуре и слежке, поскольку значительная часть её поставщиков и объём продаж связаны с этой страной. Сенатор выразил сомнение в том, что SpaceX, Tesla и Apple будут ставить безопасность США выше своих доходов.

На слушаниях также обсуждалась кибершпионская деятельность Китая. Эксперты из CrowdStrike сообщили о новой группе хакеров, названной Liminal Panda. Группировка с 2020 года проникает в телекоммуникационные сети в Южной Азии и Африке. Хакеры используют вредоносные программы, а также публичные инструменты и прокси, чтобы получать доступ к сетям, похищать данные и следить за пользователями. LIMINAL PANDA использует собственные программы и инструменты TinyShell и ProxyChains, чтобы скрывать свои действия и управлять взломанными системами.

Liminal Panda специализируется на эксплуатации устаревших протоколов связи, которые плохо защищены. В одном из недавних инцидентов Liminal Panda установила несколько каналов доступа в целевые сети, эмулировала протоколы GSM для управления атаками и похищала данные о мобильных пользователях, метаданные звонков и текстовые сообщения. Эти действия позволили шпионить за отдельными пользователями, собирая данные об их устройствах.

По словам CrowdStrike, китайские хакеры стали работать более точно и целенаправленно. Они сосредотачиваются на получении политической, военной и научной информации, важной для интересов Китая. Вместо быстрых атак они теперь создают долговременный доступ к сетям, чтобы собирать данные и использовать их для будущих целей.

Особое внимание уделили группе Vanguard Panda ( Volt Typhoon ), которая, по данным специалистов, уже проникла в критически важные системы США. Это может быть подготовкой к возможным атакам в случае обострения конфликта вокруг Тайваня. Эксперты считают, что такие действия могут помешать логистике и военным операциям, что замедлит реакцию США на кризис.

Ранее Китай заявил , что хакерская группа Volt Typhoon — это вымышленная угроза, созданная США и их союзниками. По мнению китайских властей, спецслужбы США и страны альянса «Пять глаз» занимаются кибершпионажем против Китая, Франции, Германии, Японии и других государств, а также осуществляют слежку за пользователями интернета по всему миру. В июле китайские эксперты уже публиковали отчёт, где Volt Typhoon была названа дезинформационной кампанией американских спецслужб.

Volt Typhoon — это условное название китайской кибершпионской группы, которая, по данным западных исследователей, с 2019 года занимается проникновением в критические инфраструктуры. Группа использует роутеры, межсетевые экраны и VPN для скрытия своих действий. В августе 2024 года Volt Typhoon была связана с эксплуатацией zero-day в системе Versa Director, что позволило установить вредоносное ПО для кражи данных.

24 мая 2023 года страны альянса Five Eyes выпустили совместное заявление о деятельности Volt Typhoon, указывая на ее связь с Китаем. Основой для таких выводов послужило обнаружение группы компанией Microsoft, однако китайские специалисты провели собственное расследование и пришли к выводу, что деятельность группы больше соответствует обычным киберпреступлениям, не имеющим государственной поддержки.

🔔 ITsec NEWS

​⚡️Меньше рисков, больше контроля: Windows 11 поднимает планку безопасности

💬 Компания Microsoft на конференции Ignite 2024 представила ряд нововведений в области безопасности Windows, подчёркивая приверженность защите данных пользователей и организаций. Одним из ключевых объявлений стало продолжение инициативы Secure Future Initiative (SFI), направленной на создание безопасной платформы для пользователей и разработчиков.

Microsoft усилила защиту в Windows 11, вводя функции, такие как Quick Machine Recovery. Эта технология позволяет администраторам устранять проблемы на устройствах удалённо, даже если операционная система не загружается. Решение будет доступно участникам программы Windows Insider уже в начале 2025 года.

Компания также сообщила об интеграции новых механизмов защиты от фишинга, улучшенных методов управления привилегиями пользователей и ужесточении контроля над установкой приложений и драйверов. Новая функция Administrator Protection позволяет временно предоставлять права администратора только для выполнения конкретной задачи, минимизируя риски злоупотребления.

В рамках инициативы Windows Resiliency представлено несколько обновлений, включая улучшения в защите идентификационных данных, такие как Windows Hello и Personal Data Encryption. Эти технологии обеспечивают безопасное шифрование данных и защищают от кражи учётных записей.

Кроме того, Microsoft переходит на более безопасные языки программирования, такие как Rust, снижая вероятность уязвимостей. Кроме того, для улучшения безопасности экосистемы компания внедряет политику Safe Deployment Practices, чтобы минимизировать возможные сбои при обновлении продуктов.

Windows 11, по словам Microsoft, стала более защищённой системой по умолчанию благодаря базовым аппаратным требованиям, таким как TPM 2.0 и Credential Guard. Новые устройства также оснащаются процессорами Microsoft Pluton, обеспечивающими надёжную защиту от атак на прошивку.

Нововведения, включая поддержку горячих исправлений (Hotpatch) и обновления политик конфигурации (Config Refresh), позволят предприятиям быстрее реагировать на угрозы и минимизировать простой систем. А новая функция Zero Trust DNS обеспечит строгий контроль за сетевыми соединениями на уровне доменных имён.

Компания заявила, что результаты её усилий снизили количество инцидентов безопасности на 62%, а число атак на прошивку и кражу идентификационных данных сократилось втрое. Эти меры подчёркивают стремление Microsoft сделать Windows не только платформой для инноваций, но и надёжной защитой для пользователей и предприятий в условиях растущих киберугроз.

🔔 ITsec NEWS

​⚡️35 000 ботов ежедневно: как ngioweb стал главным киберпреступным конвейером

💬 Команда Black Lotus Labs при Lumen Technologies раскрыла новую схему работы ботнета ngioweb, который является основой одного из крупнейших криминальных прокси-сервисов NSOCKS. Этот сервис ежедневно использует около 35 000 ботов в 180 странах, 60% которых расположены в США.

Расследование показало, что около 80% ботов NSOCKS связаны с ботнетом ngioweb, атакующим устройства IoT и маршрутизаторы SOHO. Через эту инфраструктуру злоумышленники обфусцируют вредоносный трафик, занимаются фишингом и организуют DDoS-атаки.

Lumen Technologies удалось идентифицировать более 180 серверов командного управления (C2), которые используются для сокрытия личности пользователей. Эти серверы не только обеспечивают работу NSOCKS, но и позволяют различным преступным группировкам, таким как Shopsocks5, использовать инфраструктуру ботнета.

Анализ ngioweb показал, что он использует множество эксплойтов для уязвимых устройств, но не задействует так называемые «нулевые дни». Вместо этого операторы ботнета активно эксплуатируют устаревшие версии прошивок и ПО.

Одной из главных угроз является то, что заражённые устройства часто используются несколькими преступными группами одновременно. Lumen Technologies заблокировала весь трафик, связанный с ботнетом ngioweb, на своей сети и опубликовала индикаторы компрометации (IoC), чтобы помочь другим компаниям в борьбе с этим ботнетом.

NSOCKS, помимо стандартных прокси-функций, позволяет злоумышленникам настраивать фильтры по доменам, включая «.gov» и «.edu», что открывает возможности для целевых атак на госструктуры и образовательные организации. Архитектура ботнета поддерживает долгосрочную активность ботов — до 40% устройств остаются заражёнными более месяца.

Для противодействия угрозе специалисты рекомендуют регулярно обновлять прошивки маршрутизаторов, избегать стандартных паролей и защищать интерфейсы управления. Организациям следует активно блокировать подозрительные IP-адреса и внедрять дополнительные меры защиты для предотвращения атак.

Исследование подтвердило, что прокси-ботнеты становятся всё более популярными среди киберпреступников, что требует активного взаимодействия и совместных действий со стороны индустрии кибербезопасности.

🔔 ITsec NEWS

​⚡️Взлом за $3,75 млн: как один хакер пошатнул доверие к фондовому рынку

💬В Великобритании был задержан 39-летний гражданин Роберт Вестбрук, который обвиняется в хакерских атаках на пять публичных компаний с целью получения конфиденциальной информации о корпоративных прибылях. По версии следствия, эти действия позволили ему заработать около 3,75 миллиона долларов на биржевых операциях.

Согласно данным Министерства юстиции США, Вестбрук взламывал системы компаний с января 2019 года по август 2020 года, получая доступ к информации перед 14 различными публикациями о прибыли компаний. Для взлома использовались сбросы паролей в аккаунтах Office365, которые принадлежали топ-менеджерам. После получения доступа к корпоративной почте, он применял автоматическую переадресацию писем на свои анонимные аккаунты, чтобы следить за корпоративной перепиской.

На основе полученной информации Вестбрук совершал операции на фондовом рынке, покупая и продавая акции до публикации отчетов о прибылях компаний. Власти США требуют его экстрадиции для предъявления обвинений в мошенничестве, торговле ценными бумагами с использованием инсайдерской информации и компьютерных преступлениях.

В случае признания виновным, Вестбруку грозит многолетнее тюремное заключение по каждому из предъявленных обвинений. Американские следственные органы также сообщили, что он пытался скрыть свою личность, используя анонимные почтовые аккаунты, VPN-сервисы и транзакции в биткоинах.

Комиссия по ценным бумагам и биржам США (SEC) требует от Вестбрука возврата полученных 3,75 миллиона долларов и уплаты штрафов, размер которых пока не разглашается.

Этот случай не единственный в подобной категории преступлений. В сентябре прошлого года российский гражданин Владислав Клюшин был приговорен к девяти годам лишения свободы за аналогичную схему с незаконными операциями на сумму около 93 миллионов долларов.

🔔 ITsec NEWS

​⚡️KLogEXE и FPSpy: что стоит знать о новых киберугрозах?

💬 Исследователи из компании Palo Alto Networks зафиксировали свежую активность северокорейской группы хакеров Kimsuky, которая использовала в своих атаках два новых образца вредоносного ПО — KLogEXE и FPSpy. Специалисты заявляют, что данные программы расширяют арсенал группировки, демонстрируя эволюцию и растущие возможности.

Группировка Kimsuky, известная также как APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail и Velvet Chollima, действует с 2012 года и специализируется на целевом фишинге — отправке вредоносных писем под видом сообщений от доверенных источников.

По заявлению Ассафа Дахана, директора отдела исследований угроз Palo Alto Networks, новые вредоносные программы распространяются преимущественно через фишинговые атаки. Хакеры используют тщательно составленные письма с содержанием, побуждающим жертву открыть ZIP-файл, в котором и скрыты вредоносные файлы. После их запуска активируется цепочка заражения, в конечном итоге приводящая к загрузке KLogEXE и FPSpy.

KLogEXE представляет собой версию кейлоггера InfoKey, написанную на C++, который ранее был обнаружен в рамках кампании Kimsuky против японских организаций. FPSpy является вариантом бэкдора, впервые обнаруженного в 2022 году компанией ASEC, с особенностями, схожими с вредоносным ПО KGH_SPY, описанным Cyberseason в 2020 году.

Оба вредоносных ПО оснащены функциями для сбора данных о запущенных приложениях на заражённом устройстве, перехвата нажатий клавиш и кликов мыши, а также сбора системной информации. FPSpy также способен скачивать и выполнять дополнительные загрузки, запускать произвольные команды и проводить анализ дисков, папок и файлов на инфицированном устройстве.

Исследователи Unit 42 установили, что в исходном коде KLogEXE и FPSpy имеются сходства, указывающие на их общую разработку. Основными целями текущей кампании Kimsuky выступают организации из Японии и Южной Кореи, и, по словам Дахана, эта активность носит целевой характер, затрагивая только определённые страны и отрасли.

Постоянное совершенствование хакерских групп подчёркивает необходимость непрерывного обучения и адаптации защитных мер. Как в природе, где хищники и жертвы эволюционируют вместе, так и в цифровом пространстве идёт непрерывная гонка между атакующими и обороняющимися. Только осознавая эту динамику и инвестируя в развитие навыков и технологий защиты, организации смогут обеспечить свою безопасность.

🔔 ITsec NEWS

​⚡️Печать документов в Linux приводит к захвату компьютера

💬 На днях была раскрыта критическая уязвимость в Unix-системе печати CUPS, затрагивающая множество Linux-систем по всему миру. Уязвимость способна привести к захвату компьютера через сеть или интернет при запуске задания на печать документов. Проблему усугубляет то, что обновления для устранения проблемы пока недоступны.

Исследователь безопасности Симоне Маргарителли, обнаруживший и сообщивший об этих уязвимостях, опубликовал их подробное описание. Уязвимости затрагивают большинство дистрибутивов Linux, некоторые версии BSD, а также, возможно, ChromeOS и Solaris. Критическая угроза исходит от компонента cups-browsed, который может быть использован злоумышленниками для захвата системы при старте задания на печать.

Для успешной эксплуатации злоумышленнику необходимо иметь доступ к сервису CUPS на порте 631 и дождаться запуска задания на печать на уязвимой системе. В случае недоступности этого порта, возможен вариант подмены zeroconf, mDNS или DNS-SD для атаки.

Всего исследователем было выявлено четыре уязвимости:

CVE-2024-47176 (cups-browsed до версии 2.0.1): неконтролируемый доступ к UDP-порту 631.

CVE-2024-47076 (libcupsfilters до версии 2.1b1): отсутствие проверки атрибутов при выполнении IPP-запросов.

CVE-2024-47175 (libppd): отсутствие проверки атрибутов при записи в PPD-файл.

CVE-2024-47177 (cups-filters до версии 2.0.1): возможность исполнения команд из данных PPD-файла.

Последовательное использование этих уязвимостей позволяет атакующему направить пакет на порт 631, заставить уязвимую систему обратиться к серверу злоумышленника, передать вредоносные данные, и, при запуске печати, выполнить зловредные команды.

Хотя угроза кажется значительной, для её эксплуатации требуется взаимодействие пользователя, который должен запустить задание на печать. По словам Маргарителли, уязвимость, вероятно, не достигает заявленного показателя в 9.9 из 10 по CVSS, как предполагалось ранее, однако всё ещё представляет угрозу.

По мнению основателя компании watchTowr Бенджамина Харриса, выявленные недостатки безопасности затрагивают лишь небольшой процент Linux-систем, доступных из интернета. Тем не менее, он рекомендует организациям проверить свои системы, чтобы избежать возможных инцидентов кибербезопасности.

Сам Маргарителли предлагает предпринять следующие шаги для защиты:

Отключить или удалить сервис cups-browsed;
Блокировать доступ к UDP-порту 631 и DNS-SD;
Обновить CUPS при выпуске исправлений.

Примечательно, что Маргарителли столкнулся с рядом трудностей при сообщении об уязвимости в CUPS. Несмотря на серьёзность обнаруженной проблемы, которую подтвердили такие компании, как Canonical и Red Hat, разработчики CUPS неохотно принимали информацию о найденных ошибках.

По словам Маргарителли, вместо быстрого устранения уязвимостей они предпочли спорить о том, влияют ли некоторые из них на безопасность, и проявляли снисходительное отношение к замечаниям исследователя. Маргарителли считает эту ситуацию примером того, как не следует обращаться с разглашением уязвимостей, и подчёркивает ответственность разработчиков программного обеспечения, которое работает более 20 лет на множестве устройств по всему миру.

Пока необходимые патчи не выпущены, рекомендуется принять предлагаемые меры для минимизации рисков.

🔔 ITsec NEWS

​⚡️Расплата за господство: Минюст США бросает вызов империи Visa

💬 Министерство юстиции США подало иск против Visa, обвинив компанию в монополизации рынка дебетовых платежей. В иске утверждается, что Visa злоупотребляет своим доминирующим положением, препятствуя развитию конкурентов и новым инновационным решениям. По данным ведомства, более 60% дебетовых транзакций в США проходят через сеть Visa, позволяя компании взимать около $8 млрд в год за обработку операций.

Visa заключает эксклюзивные соглашения с банками и торговыми предприятиями, обязывающие проводить операции преимущественно через Visa, иначе клиентам грозят штрафы. Даже если другие платежные системы предлагают более низкие комиссии, использовать их становится невыгодно. Такие действия укрепляют монополию и подавляют конкуренцию.

Visa также заключает партнерские соглашения с потенциальными конкурентами, чтобы предотвратить их выход на рынок как самостоятельных игроков, предлагая им «денежную мотивацию» и угрожая введением дополнительных штрафов. Прокуратура отмечает, что Visa «незаконно накопила такую силу, что может взимать платы выше цен конкурентов». Такая деятельность приводит к повышению цен для потребителей.

В Минюсте заявили, что Visa предпочитает монополизировать рынок, а не инвестировать в инновации. Доминирующая позиция Visa позволяет корпорации устанавливать высокие комиссии и ограничивать конкуренцию, что приводит к дополнительным расходам для американских потребителей и бизнеса, а также замедляет внедрение инноваций в сфере дебетовых платежей.

Министерство юстиции надеется через суд вернуть конкуренцию на рынок дебетовых платежей, чтобы защитить интересы покупателей и бизнеса.

Visa – мировая корпорация с глобальным доходом в $18,8 млрд и высокой операционной маржой в 64% (по данным 2022 года). Только в Северной Америке операционная прибыль достигает 83%. Visa ежегодно взимает около $8 млрд комиссий за дебетовые транзакции в США, а общий объем платежей по всему миру через сеть Visa составляет $12,3 трлн.

🔔 ITsec NEWS

​⚡️Революция автоугона: любую модель Kia можно взломать со смартфона

💬 Исследователи безопасности обнаружили критические уязвимости в дилерском портале Kia, позволяющие злоумышленникам без шума и пыли похищать припаркованные автомобили этой марки. Выявленные проблемы позволяют взломать любые модели южнокорейского бренда, выпущенные после 2013 года, используя лишь номерной знак машины.

Впервые в 2022 году исследователи безопасности, включая «охотника за уязвимостями» Сэма Карри, выявили критические бреши в цифровых системах более чем десятка автомобильных брендов. Тогда уязвимости позволяли злоумышленникам удалённо обнаруживать, блокировать, разблокировать и даже запускать двигатель свыше 15 миллионов авто премиальных брендов, таких как Ferrari, BMW, Rolls Royce и Porsche.

На этот раз Карри сообщил, что обнаруженные 11 июня этого года бреши в портале Kia Connect открывали доступ к управлению любым автомобилем Kia с удалённым оборудованием, даже если у него не была активирована подписка Kia Connect.

Кроме того, уязвимости раскрывали личные данные владельцев автомобилей, включая имя, телефон, электронную почту и физический адрес. Также злоумышленники могли добавить себя в систему как второго пользователя без ведома владельца.

Чтобы продемонстрировать проблему, команда исследователей создала инструмент, который позволял с помощью одного лишь номерного знака добавлять автомобили в свой «виртуальный гараж», а затем удалённо блокировать, разблокировать, заводить или останавливать двигатель, сигналить или находить машину на карте.

Подключившись к дилерскому порталу Kia («kiaconnect.kdealer.com»), специалисты зарегистрировали привилегированную учётную запись и сгенерировали действующий токен доступа. Этот токен позволял задействовать API дилерского бэкэнда, предоставляя критическую информацию о владельцах автомобилей и полный контроль над удалёнными функциями машин.

Злоумышленники могли воспользоваться этим API для получения следующих возможностей:

Сгенерировать токен дилера и получить его из HTTP-ответа;
Получить доступ к электронной почте и номеру телефона владельца авто;
Изменить права доступа, используя полученные данные;
Добавить собственный адрес электронной почты к учётной записи автомобиля, чтобы управлять машиной удалённо.

Из-за выявленных брешей несанкционированный доступ к автомобилю мог быть осуществлён скрытно, поскольку владельцу не поступало ни уведомлений о взломе, ни оповещений о том, что права доступа были изменены.

Тем не менее, все уязвимости уже были устранены. По словам Карри, инструмент, демонстрирующий взлом, никогда не публиковался в сети, а команда Kia подтвердила, что обнаруженные недостатки не были использованы в злонамеренных целях.

🔔 ITsec NEWS

​⚡️Tor и Tails: новый фронт в борьбе за свободный интернет

💬 Tor Project и Tails объявили о слиянии, которая позволит проектам улучшить взаимодействие и объединить усилия для защиты пользователей от цифровой слежки.

Tor Project – глобальная некоммерческая организация, разрабатывающая решения для конфиденциальности в сети, а Tails – портативная операционная система, защищающая от отслеживания с помощью сети Tor.

Включение Tails в структуру Tor Project позволяет упростить сотрудничество, повысить устойчивость, сократить расходы и улучшить обучение пользователей. Объединение направлено на усиление способности организаций защищать людей по всему миру от наблюдения и цензуры в интернете.

В конце 2023 года Tails обратилась к Tor Project с идеей объединить усилия, так как текущая структура не справлялась с растущими задачами. Вместо самостоятельного расширения, Tails решила присоединиться к Tor Project, чтобы воспользоваться налаженными операционными процессами и сосредоточиться на развитии своего основного продукта — операционной системы Tails.

Объединение стало логичным шагом, учитывая долгую историю сотрудничества Tor и Tails. Tails была впервые анонсирована в 2008 году в почтовой рассылке Tor, и с 2015 года разработчики обоих проектов активно взаимодействовали. Недавно Tails стала субгрантополучателем Tor, что также поспособствовало сближению команд.

Интеграция двух проектов расширит возможности образовательных программ Tor, которые были сосредоточены в основном на браузере Tor. После слияния будет возможен охват более широкого круга потребностей в области приватности и безопасности. Объединение также повысит узнаваемость Tails среди пользователей, которые, возможно, не были знакомы с данной операционной системой.

Слияние, по словам представителей обеих команд, поможет лучше распределить ресурсы, ускорить интеграцию новых функций и повысить способность своевременно реагировать на возникающие цифровые угрозы.

Для подробностей о том, как будут интегрированы инфраструктуры для сбора средств и как будут использованы пожертвования, можно обратиться к обновленному разделу FAQ на сайте Tor Project.

🔔 ITsec NEWS

​⚡️Discord под угрозой: пять новых решений Роскомнадзора

💬 С 20 сентября Роскомнадзор вынес пять новых решений, связанных с работой мессенджера Discord в России, сообщил «Коммерсантъ». Эти данные опубликованы в реестре запрещенных сайтов Роскомнадзора. Указанные решения могут стать основанием для блокировки сервиса в соответствии с законом «об информтехнологиях и защите информации».

По словам источника издания, знакомого с ситуацией, официальная блокировка Discord может произойти уже в ближайшие дни из-за выявленных нарушений российского законодательства. В игровой индустрии обсуждаются возможные риски замедления работы сервиса, но официальный комментарий от Роскомнадзора не поступил.

Уже в середине сентября пользователи мессенджера столкнулись с массовыми перебоями: многие не могли открыть веб- и мобильные версии, хотя через VPN сервисы оставались доступны. По данным Downdetector, 26 сентября о сбоях в работе Discord сообщили более 11 тысяч пользователей из России.

В последние годы Discord стал основной платформой для взаимодействия разработчиков видеоигр и игроков. Также он активно используется администраторами криптопроектов для поддержания интереса к бизнесу и общения с сообществами. Одной из ключевых особенностей мессенджера является возможность настройки различных псевдонимов для разных сообществ, что делает его удобным для разнообразных задач. Разработчики часто используют Discord как более дешевую альтернативу специализированным корпоративным мессенджерам, таким как Slack.

Проблемы с доступом к Discord уже начали беспокоить пользователей, так как мессенджер является важной платформой для общения не только среди геймеров, но и среди других сообществ. В случае блокировки пользователи будут вынуждены искать альтернативные сервисы. Несмотря на отсутствие прямых аналогов на российском рынке, эксперты прогнозируют быстрое появление отечественных клонов и выход на рынок китайских аналогов.

Многие российские разработчики используют Discord для общения с международным сообществом и технической поддержки. На платформе настроены боты и интеграции с различными системами, что может создать дополнительные трудности в случае ограничения доступа к сервису.

🔔 ITsec NEWS

​⚡️Zimperium: 82% всех фишинговых атак теперь нацелены на смартфоны

💬Согласно недавнему отчёту компании Zimperium, 82% от всех фишинговых сайтов в интернете теперь ориентированы на мобильные устройства. Более того, 76% этих сайтов используют протокол HTTPS, чем вводят пользователей в заблуждение, создавая ложную иллюзию безопасности.

Специалисты Zimperium зафиксировали значительное увеличение уникальных образцов вредоносного ПО — на 13% за год. При этом на трояны и Riskware приходится 80% всех угроз. Наибольшую уязвимость демонстрирует сфера здравоохранения, где 39% мобильных угроз связаны с фишинговыми атаками.

Киберпреступники используют стратегии, ориентированные на мобильные устройства, чтобы получить доступ к корпоративным системам. Они эксплуатируют слабые точки таких устройств, используя небольшие экраны и ограниченные индикаторы безопасности для обмана пользователей и кражи конфиденциальных данных.

По словам генерального директора Zimperium Шридхара Миттала, мобильные устройства и приложения стали наиболее важными каналами для защиты в цифровую эпоху. В условиях, когда 71% сотрудников используют смартфоны для работы, компании должны внедрять многоуровневую защиту, включающую мобильную безопасность и проверку приложений.

Отчёт также указывает на стремительное развитие фишинговых сайтов — почти четверть из них начинает свою деятельность в течение 24 часов после запуска, оставаясь незамеченными для традиционных методов обнаружения.

Сторонние приложения, установленные не из официальных магазинов, представляют ещё один риск для компаний. Особенно уязвим финансовый сектор, где с такими приложениями связано 68% угроз. При этом пользователи, которые устанавливают приложения из неофициальных источников, в 200% случаев чаще сталкиваются с вредоносным ПО.

Азиатско-Тихоокеанский регион (APAC) лидирует по sideloading-угрозам: 43% устройств Android в этом регионе используют приложения из неофициальных источников.

Растущее число уязвимостей также усложняет защиту мобильных устройств. Так, в 2023 году на Android-устройствах была зафиксирована 1421 уязвимость — на 58% больше, чем в прошлом году. 16 из них активно использовались в реальных атаках. Тем временем, на iOS-устройствах всего было выявлено 269 уязвимостей, из которых активно эксплуатировались 20. Весьма интересное соотношение.

Эксперты сходятся во мнении, что компаниям необходимо внедрять более совершенные решения для мобильной безопасности. Крис Синнамо, старший вице-президент по продуктам Zimperium, отметил: «Фишинговые атаки и мобильное вредоносное ПО всё чаще обходят системы обнаружения».

Чтобы справиться с растущими мобильными угрозами, службы безопасности компаний должны уделять приоритетное внимание атакам на мобильные устройства сотрудников. Без активных мер защиты такие атаки продолжат поражать компании, эксплуатируя конфиденциальные данные и нарушая их работу.

🔔 ITsec NEWS

​⚡️Паралич интернета: кто стоит за масштабным взломом телеком-провайдеров в США

💬 Хакерская группа, связанная с Коммунистической партией Китая, проникла в сети ряда интернет-провайдеров США в рамках кампании кибершпионажа с целью добычи конфиденциальных данных. Об этом сегодня, 26 сентября, сообщила газета The Wall Street Journal.

Зафиксированная вредоносная деятельность связана с группировкой Salt Typhoon, также известной как FamousSparrow и GhostEmperor. По данным издания, следователи выясняют, получили ли злоумышленники доступ к маршрутизаторам Cisco Systems — ключевым сетевым компонентам, через которые проходит значительная часть интернет-трафика.

Цель атак — получить постоянный доступ к сетям жертв, что позволит хакерам не только собирать конфиденциальную информацию, но и в будущем совершать разрушительные кибератаки.

GhostEmperor стала известна в октябре 2021 года, когда эксперты из «Лаборатории Касперского» обнаружили долгосрочную операцию группы в Юго-Восточной Азии. Хакеры использовали вредоносное ПО Demodex для компрометации целей в Малайзии, Таиланде, Вьетнаме, Индонезии, а также в Египте, Эфиопии и Афганистане.

В июле 2024 года компания Sygnia сообщила, что один из её клиентов пострадал от действий этой группы в 2023 году. Хакерам удалось проникнуть в сети бизнес-партнёра жертвы, где были обнаружены скомпрометированные серверы, рабочие станции и учётные записи, а также инструменты для связи с управляющими серверами. Одним из таких инструментов оказался новый вариант Demodex.

Инцидент произошёл вскоре после того, как правительство США существенно нарушило работу ботнета Raptor Train, состоящего из 260 тысяч устройств. Этим ботнетом управляет другая китайская хакерская группа — Flax Typhoon.

Случай с GhostEmperor, очевидно, является очередной попыткой китайских государственных хакеров атаковать телекоммуникационные компании, интернет-провайдеров и другие ключевые инфраструктурные объекты в США и других странах.

🔔 ITsec NEWS

​⚡️Тёмная сторона хайпа: PDiddySploit атакует фанатов Дидди

💬 Исследователи компании Veriti обнаружили новое вредоносное программное обеспечение под названием PDiddySploit, которое использует общественный интерес к обвинениям против известного рэп-исполнителя Шона «Дидди» Комбса. Злоумышленники пытаются воспользоваться любопытством пользователей к удаленным сообщениям Комбса в социальной сети X* на фоне выдвинутых против него обвинений в рэкете, торговле людьми и других формах насилия.

С 13 сентября киберпреступники начали распространять зараженные файлы, якобы содержащие посты и ответы с удаленного аккаунта Дидди в X*. Основой для создания PDiddySploit послужил RAT-троян PySilon, написанный на Python.

PDiddySploit способен похищать конфиденциальную информацию, записывать нажатия клавиш, фиксировать активность экрана и выполнять удаленные команды. Такой функционал позволяет полностью скомпрометировать систему и получить доступ к данным пользователя. По данным VirusTotal, далеко не все антивирусные программы способны обнаружить новый троян, что значительно повышает его угрозу.

Специалисты Veriti подчеркивают, что рост общественного внимания к этой истории создает благоприятные условия для киберпреступников. Они используют ситуацию, чтобы заманить ничего не подозревающих пользователей на скачивание вредоносных файлов, подвергая их серьезным киберугрозам. Удаление контента в социальных сетях Дидди и других причастных лиц добавляет элемент интриги, что дополнительно мотивирует пользователей открывать подозрительные файлы в надежде увидеть удаленную информацию.

С момента появления PySilon RAT в 2023 году его адаптировали более 300 раз, и PDiddySploit стал одним из наиболее успешных примеров такой модификации. Эксперты прогнозируют, что в ближайшее время появится еще больше подобных атак, связанных с этой вредоносной программой.

Для защиты от подобного ПО рекомендуется воздержаться от загрузки сомнительных файлов, тщательно проверять источники и сканировать документы с помощью нескольких антивирусных решений. Часто такие файлы распространяются через электронные письма или ссылки.

Исследователи подчеркивают важность осторожности при взаимодействии с контентом, связанным с громкими новостями и скандалами. Преступники используют психологические уловки, чтобы заставить пользователей открывать заражённые документы. Если файл кажется слишком заманчивым, например, предлагает эксклюзивные данные с удаленных аккаунтов, скорее всего, это является ловушкой.

Стоит отметить, что это не первый случай использования имени Дидди для проведения кибератак. В 2013 году хакеры распространяли вредоносный файл под видом MP3 с названием «Diddy & Dirty Money – I’m Coming Home (feat. Skylar Grey).mp3.pif». Этот файл содержал Program Information File (PIF) — формат, используемый еще в MS-DOS.

* Социальная сеть запрещена на территории Российской Федерации.

🔔 ITsec NEWS

​⚡️WordPress vs WP Engine: корпоративная битва сделала уязвимыми 40% сайтов в интернете

💬 Скандал вокруг WordPress.org обострился — руководство ресурса заблокировало хостинг-провайдеру WP Engine доступ к своим ресурсам. Такое решение связано с разногласиями между сооснователем WordPress и главе Automattic Мэттом Мулленвегом и WP Engine.

Мулленвег заявил, что WP Engine не будет иметь доступ к ресурсам платформы, включая темы и плагины, до урегулирования юридических вопросов. Он отметил, что WP Engine стремится взять под контроль опыт пользователей WordPress, управляя системами авторизации, обновлениями серверов и каталогами плагинов, тем, блоков и другими ресурсами.

Мулленвег подчеркнул, что WP Engine может предлагать своим клиентам свою переработанную версию кода WordPress под лицензией GPL и предоставлять свои услуги. Но сервера WP Engine больше не смогут бесплатно подключаться к ресурсам WordPress. В результате запрета пользователи WP Engine лишаются возможности устанавливать плагины и обновлять темы через WordPress.org.

Многие разработчики и сторонники WordPress выразили опасения, что такое ограничение может помешать пользователям WP Engine получать обновления безопасности, что потенциально делает сайты уязвимыми. В свою очередь, WP Engine признала проблему и сообщила о работе над ее решением, отметив, что запрет не влияет на производительность, надежность или безопасность сайтов, а также на возможность вносить изменения в код или контент.

Важно понимать, что WordPress поддерживает почти 40% веб-сайтов в Интернете через различных хостинг-провайдеров, включая Automattic и WP Engine. Пользователи также могут взять проект с открытым исходным кодом и запустить веб-сайты самостоятельно, но многие предпочитают использовать решения plug-and-play.

Противостояние между WP Engine и Automattic началось на прошлой неделе, когда Мулленвег публично обвинил WP Engine в наживе и назвал компанию «раковой опухолью WordPress». По словам Мулленвега, компания не вносит достаточного вклада в развитие сообщества WordPress, хотя и она, и Automattic ежегодно зарабатывают около полумиллиарда долларов.

На фоне обвинений WP Engine направила Мулленвегу и Automattic письмо с требованием прекратить распространение подобных заявлений. В письме утверждается, что Automattic угрожала WP Engine «разрушительными мерами» в случае несоблюдения требований, в том числе выплаты процента от валового дохода. В ответ Automattic также отправила WP Engine письмо о прекращении и воздержании, обвинив компанию в нарушении товарных знаков WordPress и WooCommerce.

Отдельно фонд WordPress Foundation сообщил TechCrunch, что WP Engine нарушила политику использования товарных знаков Фонда. «Никто не имеет права использовать товарные знаки WordPress как часть названия продукта, проекта, услуги, доменного имени или компании. WP Engine неоднократно нарушала эту политику, и письмо Automattic приводит примеры таких нарушений», — говорится в сообщении фонда.

Вскоре после блокировки WP Engine на WordPress.org Мулленвег написал в своем блоге, что основным спорным вопросом являются именно товарные знаки. Он отметил, что Automattic долгое время пыталась заключить лицензионное соглашение с WP Engine, предлагая либо выплату лицензионного сбора, либо взнос в развитие проекта с открытым исходным кодом. Однако, что именно подразумевается под взносом, Мулленвег не уточнил.

🔔 ITsec NEWS

​⚡️Дыры в Ghost: самоуверенность создателей погубила «непробиваемую» сеть

💬 Правоохранительные органы недавно получили доступ к зашифрованной платформе связи Ghost, которую связывают с деятельностью организованной преступности. В результате взлома они смогли перехватить сообщения пользователей. Независимо от этого случая, исследователь в области кибербезопасности выявил уязвимости в инфраструктуре Ghost, которые позволили ему получить список имен пользователей и сообщения службы поддержки через открытый сервер.

Инцидент показывает, что даже защищенные сети, созданные криминальными группировками, могут быть уязвимы для атак правоохранительных органов и внешних хакеров. Эксперт по кибербезопасности Джеймисон О'Рейли из компании Dvuln заявил, что проблемы начались, когда Ghost перешли на использование собственного кода, а не на технологии крупных компаний. «Когда Ghost полагались на свой код, а не на код корпоративного уровня, стало ясно, насколько всё это было некачественно сделано», — отметил он.

Во время исследования О'Рейли обнаружил на платформе для работы с исходным кодом (похожей на GitHub) открытые данные для входа — логин и пароль, принадлежавшие разработчику Ghost. Этот разработчик участвовал в создании API и веб-портала Ghost. Обычно зашифрованные платформы связи создают такие порталы, чтобы дистрибьюторы могли добавлять новых пользователей или управлять устройствами клиентов.

Самая серьезная уязвимость заключалась в обнаружении незащищенной точки доступа API. Она позволяла получать конфиденциальные данные более чем 1 000 пользователей Ghost, такие как их имена, электронные адреса, пароли и срок действия подписки. Кроме того, исследователь получил доступ к информации о реселлерах компании — партнерах, распространяющих продукты Ghost.

Зашифрованные компании часто используют сеть дистрибьюторов, которые работают в определенных регионах и передают часть прибыли компании. Такая структура иногда приводит к конфликтам и конкуренции между дилерами, а доступ к данным о реселлерах может создать дополнительные риски для их деятельности.

Также О'Рейли получил доступ к сообщениям, отправленным в службу поддержки Ghost. В них содержались просьбы переустановить или обновить приложения, а также вопросы о работе других мессенджеров, таких как Threema и Signal. Сообщения указывают, что пользователи Ghost не всегда могут сами управлять своими устройствами и часто обращаются за помощью к технической поддержке.

Некоторые обращения явно указывают на обеспокоенность клиентов взломом со стороны властей. В одном из сообщений пользователь спрашивает: «Пожалуйста, подтвердите, что ваше приложение и система безопасности были взломаны властями. Моя юридическая фирма должна срочно оценить ситуацию». Это, предположительно, связано с отдельным инцидентом взлома Ghost правоохранительными органами.

С тех пор как исследователь обнаружил уязвимости, сервер Ghost стал недоступен. Однако утечка данных уже произошла, и это могло затронуть безопасность многих пользователей и партнеров платформы. На момент публикации на сайте Ghost было размещено сообщение об изъятии ресурса ФБР, а пользователям предложено связаться с агентством для получения дальнейших инструкций.

🔔 ITsec NEWS

​⚡️ELKS 0.8: возрождение Linux для 16-разрядных процессоров

💬 Опубликован новый выпуск проекта ELKS 0.8 (Embeddable Linux Kernel Subset), который продолжает развитие операционной системы, предназначенной для 16-разрядных процессоров Intel 8086, 8088, 80188, 80186, 80286 и NEC V20/V30. Эта операционная система может функционировать на старых компьютерах, таких как IBM-PC XT / AT, советском компьютере MK-88, а также на различных системах на кристалле (SBC), встроенных системах и FPGA, имитирующих архитектуру IA16.

История проекта ELKS начинается в 1995 году. Он зародился как ветвь ядра Linux для устройств, не оснащённых блоком управления памятью (MMU). Исходные ntrcns распространяются под лицензией GPLv2, что открывает возможности для свободного использования и модификации. ELKS поставляется в виде образов, которые можно записать на floppy-диск или использовать для эмуляции в QEMU.

Проект включает не только адаптированное ядро Linux, но и целый набор стандартных утилит , таких как «ps», «grep», «find», «tar», «netstat», а также инструменты для работы с сетью и текстом. В системе предусмотрены совместимый с bash командный интерпретатор, оконный менеджер screen и текстовые редакторы Kilo и vi. В дополнение к этому, ELKS поддерживает графическое окружение на основе Nano-X, обеспечивающее работу с X-сервером.

Проект предлагает два варианта сетевого стека: встроенный TCP/IP стек ядра Linux и пользовательский стек ktcp. Для работы с сетью поддерживаются Ethernet-адаптеры, совместимые с NE2K и SMC. Также возможно использование последовательных портов с протоколами SLIP и CSLIP. Система поддерживает несколько файловых систем, включая Minix v1, FAT12, FAT16 и FAT32, а настройка загрузки осуществляется через сценарии.

В свежем выпуске ELKS 0.8 разработчики добавили множество нововведений. Теперь система поддерживает загрузку и запуск файлов в формате OS/2. Также была предоставлена возможность сборки программ при помощи компилятора Open Watcom. Одним из интересных нововведений стал порт игры Doom, что добавляет нотку ностальгии для пользователей.

Новый выпуск также включает оптимизацию для сетевых адаптеров NE2K, WD и 3COM. Исполняемые файлы теперь подвергаются сжатию, что позволяет уместить больше приложений на образе floppy-диска. В ядре реализована поддержка асинхронного ввода/вывода, что повышает эффективность работы с дисковыми устройствами. Новый драйвер дисковода позволяет выполнять другие задачи параллельно с операциями ввода/вывода, что улучшает многозадачность системы.

Дополнительно были улучшены возможности отладки, внедрены дизассемблер и средства трассировки системных вызовов. Также добавлены новые команды, такие как ttyclock, ttypong, ttytetris и md5/md5sum, что расширяет функционал системы.

🔔 ITsec NEWS

​⚡️ВТБ предупреждает: обновление приложения может обернуться кражей

💬 Мошенники в России стали чаще использовать схему обмана, направленную на пользователей банковских приложений, сообщает РБК со ссылкой на старшего вице-президента ВТБ Никиту Чугунова, руководителя департамента цифрового бизнеса. В сентябре 2024 года примерно каждый десятый звонок от злоумышленников через мессенджеры был связан с просьбой обновить банковское приложение.

Как рассказал Чугунов, этот вид мошенничества быстро распространился: за первую половину сентября количество жалоб от клиентов банка на подобные звонки увеличилось в шесть раз. Мошенники представляются сотрудниками банка и убеждают жертву срочно установить «правильную версию» банковского приложения, угрожая блокировкой счетов и карт в случае отказа.

Жертве присылают ссылку на якобы обновленное приложение, после перехода по которой происходит блокировка экрана смартфона. Мошенники получают доступ к кабинету пользователя в приложении, клиенту приходит СМС-код, с помощью которого злоумышленники выводят деньги со счета.

Банк рекомендует гражданам прекратить разговор, если собеседник настаивает на обновлении приложения, и обратиться в банк для временной блокировки личного кабинета, чтобы предотвратить возможное хищение средств.

🔔 ITsec NEWS

​⚡️AppSec Table Top: фреймворк для безопасной разработки

💬
Компания Positive Technologies подготовила фреймворк AppSec Table Top, разработанный для обеспечения безопасности веб-приложений на всех этапах их жизненного цикла. Методология включает меры и принципы, направленные на защиту веб-приложений, и ориентирована на специалистов различных профилей, таких как системные аналитики и DevSecOps-инженеры. Она учитывает требования бизнеса, регуляторов и задачи команд разработки.

В создании фреймворка участвовали специалисты в области ИТ, разработки и информационной безопасности.

Особенности фреймворка:

Привязка к российским регуляторам. Методология учитывает требования и нормативные акты, регулирующие разработку защищенного ПО.
Автоматизация. Методология предусматривает автоматизацию процессов для минимизации рисков, связанных с человеческими ошибками.
Актуальность. Документ будет обновляться ежегодно в соответствии с изменениями в требованиях и тенденциях безопасной разработки.
Фреймворк может быть использован как справочник, основа для построения процессов безопасной разработки и инструмент для оценки зрелости этих процессов в организациях любого размера.

🔔 ITsec NEWS

​⚡️Код Winamp открыт, но не для всех

💬Компания Llama Group опубликовала исходный код мультимедийного проигрывателя Winamp. Этот код написан на языке C++ и использует такие зависимости, как Qt, libvpx, libmpg123, OpenSSL и DirectX 9 SDK. Сборка программы поддерживается исключительно для платформы Windows и требует наличия компилятора Visual Studio 2019, а также библиотек Intel IPP версии 6.1.1.035. Открытый код распространяется только для десктопной версии приложения, тогда как версии для macOS, Android и iOS остаются закрытыми.

Несмотря на заявления о намерении перевести проект на открытую модель разработки, опубликованный код распространяется под проприетарной лицензией WCL (Winamp Collaborative License). Лицензия накладывает ограничения на разработчиков: они обязаны передавать изменения, улучшения и исправления в официальный репозиторий проекта. Внесение изменений без передачи в основной репозиторий разрешается лишь для личного использования. Создание форков и распространение модифицированных версий Winamp запрещено, что ограничивает возможности разработчиков, желающих вносить изменения в код программы.

Основной репозиторий Winamp размещён на GitHub, однако указанные в лицензии WCL ограничения создают проблему, поскольку типичный для этой платформы процесс разработки, при котором создаются форки с последующей передачей изменений через pull-запросы, формально нарушает лицензионные запреты.

Winamp был создан в 1997 году Джастином Франкелем и Дмитрием Болдыревым. Этот медиаплеер по-прежнему популярен и насчитывает около 83 миллионов пользователей. Благодаря своей гибкости и возможности изменять интерфейс с помощью скинов, Winamp вдохновил создание нескольких клонов для Linux, таких как XMMS, XMMS2, Beep Media Player, Audacious и Qmmp.

В прошлом году Llama Group столкнулась с финансовыми трудностями, что вынудило её уволить основную команду разработчиков классической версии Winamp для Windows и сосредоточиться на развитии одноимённого потокового сервиса и мобильных приложений.

Во время публикации исходного кода в репозиторий по ошибке был размещён код сервера SHOUTcast, который уже не принадлежит Llama Group и был продан другой компании. Также в репозитории оказался чужой проприетарный код и просроченный сертификат для формирования цифровых подписей.

🔔 ITsec NEWS

​⚡️ИИ пишет вирусы: Франция стала жертвой новой реальности кибератак

💬 В июне специалисты из HP обнаружили фишинговую кампанию, направленную на пользователей во Франции, в которой использовался ИИ для создания вредоносного кода. Основной целью атаки было распространение AsyncRAT. О своих находках исследователи рассказали в отчете об угрозах за второй квартал 2024 года.

В атаке применялся метод HTML Smuggling — техника, при которой через HTML-документы передавались архивы, защищённые паролем. Злоумышленники внедряли в архивы VBScript и JavaScript, которые выполняли вредоносные действия на заражённой системе. Эксперты взломали пароль и обнаружили код, структурированный так, как это обычно делает генеративный ИИ. Весь код был снабжён комментариями, подробно объясняющими его работу — что является редким случаем для вредоносных программ, написанных вручную.

Специалисты HP подчеркивают, что такие комментарии в коде и использование естественного языка для названий функций и переменных являются индикаторами того, что код мог быть сгенерирован ИИ. В результате анализа выяснилось, что VBScript создавал задачи в планировщике Windows и вносил изменения в реестр системы для сохранения своего присутствия.

На следующем этапе атаки выполнялась загрузка и запуск AsyncRAT — вредоносного ПО с открытым исходным кодом, которое предоставляет хакеру удалённый доступ к заражённой системе, позволяя перехватывать нажатия клавиш и выполнять дополнительные вредоносные команды. В отчёте HP также отмечается, что такой вид архивов стал наиболее популярным способом доставки вредоносного ПО в первой половине 2024 года.

Другой случай стал одним из наиболее заметных примеров использования вредоносного ПО в веб-браузерах стал ChromeLoader. Программа захватывает сессию браузера жертвы и перенаправляет запросы на сайты, контролируемые злоумышленниками. Во втором квартале 2024 года кампании по распространению ChromeLoader стали более масштабными и тщательно спланированными. Вредоносное ПО распространялось через рекламу, ведущую на сайты с PDF-конвертерами. Рабочие приложения скрывали вредоносный код в MSI-файлах, а использование действительных сертификатов цифровой подписи помогало обходить защитные механизмы Windows, что увеличивало шансы на успешную атаку.

В ходе исследований атак во втором квартале специалисты также выявили кампанию, в которой для распространения вредоносного ПО использовались SVG-файлы. Такой формат широко применяется в графическом дизайне и поддерживает множество функций, включая скрипты. Киберпреступники воспользовались возможностью встраивания вредоносных скриптов JavaScript в изображения, что привело к попыткам заразить устройства жертв с помощью различных инфостилеров.

Использование генеративного ИИ существенно упрощает разработку вредоносного кода, позволяя менее опытным злоумышленникам создавать сложные атаки за считанные минуты. Такие технологии помогают не только ускорять процесс создания вредоносного ПО, но и настраивать его под конкретные цели, будь то платформы Linux или macOS, или определённые регионы. Даже если ИИ не используется для создания полноценных вредоносных программ, он играет ключевую роль в разработке продвинутых угроз, которые с каждым днём становятся всё более изощрёнными.

🔔 ITsec NEWS

​⚡️Octo2: новый невидимый Android-троян атакует Европу

💬 В Европе распространяется новый вариант Android-вредоноса под названием Octo2, который является улучшенной версией Octo (ExobotCompact). По словам специалистов ThreatFabric, новая версия может существенно повлиять на ландшафт кибербезопасности.

Octo2 — это обновление популярного среди киберпреступников зловреда, распространяемого по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Эта версия отличается улучшенными возможностями для удалённого управления устройствами жертвы и использованием новых методов маскировки, включая генерацию доменных имён (DGA), что позволяет обходить защитные механизмы и оставаться незамеченной.

Впервые семейство Exobot было замечено в 2016 году как банковский троян, способный выполнять атаки с наложением интерфейсов, перехватывать звонки и сообщения. В 2019 году появилась облегчённая версия ExobotCompact, а уже в 2021-м — её улучшенная вариация под названием Octo. Именно эта версия и стала основой для дальнейших изменений.

В 2022 году на подпольных форумах киберпреступники активно обсуждали Octo. С тех пор активность вредоносной программы только возрастала, и вскоре её стали использовать в различных регионах мира, включая Европу, США и Азию.

Основное изменение в 2024 году связано с утечкой исходного кода Octo, что привело к появлению нескольких форков программы. Однако наибольшую угрозу представляет оригинальная Octo2, разработанная создателем Octo и распространяемая среди тех, кто ранее использовал первую версию.

В Octo2 были внедрены значительные обновления, в том числе улучшение стабильности удалённого управления устройствами и методы обхода систем анализа и обнаружения. Также в Octo2 внедрена система, которая позволяет перехватывать push-уведомления с устройств жертв и скрывать их, тем самым лишая пользователей важных оповещений. Это создаёт угрозу для множества мобильных приложений, так как злоумышленники могут легко перенаправить данные и выполнить мошеннические действия.

Первые кампании с использованием Octo2 уже были зафиксированы в таких странах, как Италия, Польша, Молдавия и Венгрия. Вредоносное ПО маскируется под популярные приложения, такие как Google Chrome и NordVPN, что помогает незаметно проникать на устройства пользователей.

В обнаруженных кампаниях сервис Zombinder выступает в качестве первого этапа установки: после запуска Zombinder запрашивает установку дополнительного «плагина», которым на самом деле является Octo2, тем самым успешно обходя ограничения Android 13+.

Одним из ключевых элементов Octo2 стала интеграция нового метода генерации доменных имён (Domain Generation Algorithm, DGA), что позволяет вредоносной программе динамически изменять серверы управления (C2). Это затрудняет работу исследователей и антивирусных компаний, так как новые домены создаются автоматически, усложняя их блокировку.

Кроме того, в Octo2 использована новая система шифрования данных, передаваемых на серверы управления, с динамическим ключом для каждого запроса, что усиливает защиту от анализа и обнаружения.

С учётом улучшенных возможностей удалённого доступа и скрытности, Octo2 представляет серьёзную угрозу для мобильных пользователей, особенно тех, кто пользуется банковскими приложениями. Программа способна незаметно выполнять мошеннические операции прямо на устройстве жертвы, что делает вредонос одним из самых опасных мобильных троянов.

🔔 ITsec NEWS

​⚡️NOYB бьёт тревогу: о какой особенности своего браузера умолчала Mozilla?

💬 Австрийская правозащитная группа NOYB (None Of Your Business), основанная активистом Максом Шремсом, подала жалобу в австрийское Управление по защите данных на компанию Mozilla. Организация обвиняет разработчиков браузера Firefox в отслеживании поведения пользователей на сайтах без их согласия.

Суть претензий NOYB заключается в том, что Mozilla включила в браузер функцию Privacy Preserving Attribution (PPA), которая, по мнению группы, превращает Firefox в инструмент для отслеживания пользователей, не уведомляя об этом напрямую. Хотя эта технология призвана снизить инвазивность рекламы, она всё же, по мнению NOYB, нарушает права пользователей на конфиденциальность согласно законодательству ЕС.

Представители Mozilla заявили, что ограниченное тестирование PPA является частью усилий по поиску технических альтернатив агрессивной рекламе. Компания утверждает, что новые методы предотвращают идентификацию личности или отслеживание активности как самой Mozilla, так и другими сторонами. Однако в NOYB считают, что включение функции по умолчанию — это нарушение, и пользователи должны иметь возможность самостоятельно выбирать, хотят ли они участвовать в таких экспериментах.

«Печально, что такая организация, как Mozilla, считает, что пользователи не способны самостоятельно принять решение», — отметил адвокат по защите данных из NOYB Феликс Миколаш. Он добавил, что функция должна быть отключена по умолчанию, чтобы пользователи могли сами решать, участвовать ли в её тестировании.

NOYB требует от Mozilla уведомить пользователей об её действиях по обработке данных, перейти на систему с предварительным согласием (opt-in) и удалить все незаконно обработанные данные миллионов пользователей.

Ранее, в июне, NOYB подала жалобу на компанию Alphabet, обвинив её в отслеживании пользователей браузера Chrome. В целом, за время своего существования правозащитная организация подала уже сотни жалоб против крупных технологических компаний, некоторые из которых привели к значительным штрафам последних.

🔔 ITsec NEWS

​⚡️Обновление для Windows 10 решает проблемы с Edge и антивирусом

💬 Microsoft выпустила обновление Windows 10 KB5043131, включающее девять изменений и исправлений, направленных на улучшение работы системы. Обновление доступно для пользователей версии 22H2 и представляет собой предварительный кумулятивный релиз за сентябрь 2024 года.

Среди основных исправлений – устранение проблемы, при которой браузер Edge переставал отвечать в режиме совместимости с IE, а также решение для ошибки, вызывающей сбои в синхронизации Work Folders при активном антивирусе Defender for Endpoint. Кроме того, обновление исправляет баг, из-за которого некоторые медиафайлы переставали воспроизводиться при использовании определённых технологий объёмного звучания.

Помимо этого, KB5043131 улучшает работу меню «Пуск», изменяя положение изображения профиля и добавляя новый цвет фона для повышения контрастности элементов. Обновление также исправляет частые уведомления о входе в систему через Microsoft Entra, возникающие в соответствии с требованиями европейского Закона о цифровых рынках (DMA).

Ещё были обновлены профили операторов мобильной связи, улучшена работа проводника и панели задач, а также устранены проблемы с зависанием системы при использовании этих приложений. Вдобавок, появилось новое уведомление о возможности выбора участия в обновлениях Windows.

Стоит отметить, что данное обновление содержит известную проблему: пользователи могут столкнуться с трудностями при изменении изображения профиля учётной записи. Это единственная проблема, заявленная Microsoft для данного релиза.

Обновление можно установить через «Центр обновлений Windows», выбрав пункт «Проверить наличие обновлений». Для тех, кто предпочитает ручную установку, KB5043131 доступно для загрузки в каталоге обновлений Microsoft.

🔔 ITsec NEWS