Грядущее обновление iOS 15.2 станет самым радикальным обновлением для iPhone за последние несколько лет. Самым радикальным не только из-за новых функций и сервисов, но также из-за нового подхода к конфиденциальности пользователей iMessage.
Компания ESET сообщает об обнаружении ранее незафиксированного бэкдора под названием Vyveva, который использовался для атаки на логистическую компанию. Вредоносная программа может перехватывать файлы и собирать информацию о конкретном компьютере и его дисках.
Неизвестные злоумышленники смогли взломать официальный Git-репозиторий открытого языка программирования PHP для написания web-приложений, исполняющихся на веб-сервере. В исходный код ПО были внедрены бэкдоры.
Исследователи безопасности из компаний Microsoft и FireEye опубликовали отдельные отчеты с подробным описанием новых вариантов вредоносных программ, которые были использованы злоумышленниками в рамках атаки на цепочку поставок SolarWinds и ее клиентов в 2020 году. Для описания киберпреступной группировки, ответственной за данную атаку, специалисты Microsoft дали ей кодовое название Nobelium.
Сама SolarWinds в настоящее время проверяет, не проникли ли злоумышленники в ее сети через облачный сервис Microsoft.
Атаковавшая компанию SolarWinds хакерская группировка нашла другие способы атаковать американские компании, помимо взлома ПО SolarWinds. По сути, почти треть (30%) пострадавших вообще не использовали продукцию SolarWinds.
Скрытые сообщения, функции или шутки в приложениях и на веб-сайтах обычно называют на хакерском жаргоне пасхальными яйцами. Главная задумка – их нужно находить и получать от них удовольствие, но они не должны быть очевидными сразу.
По мнению специалистов Microsoft, конечной целью взломавших SolarWinds хакеров было получение доступа к облачным активам жертв через установленный в их сетях бэкдор Sunburst/Solorigate.
Компания SolarWinds опубликовала обновленное уведомление безопасности о дополнительном вредоносном ПО SUPERNOVA, распространяющемся через ее платформу для управления IT-ресурсами Orion.
Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center, PT ESC) выявил новую атаку группировки Winnti, а также изучил ее новый инструментарий и инфраструктуру. К сегодняшнему дню уже заражены несколько десятков ПК по всему миру, включая Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию т.д. Некоторые скомпрометированные организации специалистам PT Expert Security Center удалось идентифицировать, все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT.
Исследователи Cisco Talos обнаружили атаку российских кибершпионов с помощью фишинга, содержащего документы, ссылающиеся на конференцию НАТО по кибербезопасности.
Устройства IoT (Internet of Things) с жестко запрограммированными по умолчанию данными для входа все чаще становятся мишенью для недавно обнаруженной вредоносной программы под Linux. Новая угроза для Linux NyaDrop была замечена полгода назад в некоторых атаках. На тот момент этот вредонос не мог успешно заразить устройства, так как не был хорошо реализован, об этом говорится в посте на Malware Must Die. Однако в последнее время вредоносная программа получила ряд усовершенствований. По словам экспертов, основная причина этих атак кроется в давно известной уязвимости, связанной с тем, что производитель использует в устройствах по умолчанию известные данные для входа. Данный бэкдор ориентирован на уязвимые маршрутизаторы и аналогичные сетевые устройства, основанные на архитектуре процессора MIPS.
Сергей Скоробогатов, специалист из Кембриджского университета, опубликовал результаты своих исследований на тему взлома заблокированных iOS-устройств. В начале 2016 года многие исследователи предлагали сотрудникам ФБР, которые никак не могли взломать iPhone, принадлежавший террористу, воспользоваться техникой NAND mirroring. Тогда представители ФБР заявили, что данный метод не работает, а вскоре агентство заплатило неназванной компании миллион долларов за разблокировку устройства. Теперь Скоробогатов решил доказать, что эта техника отлично работает и представил доказательства.
Напомню, что скандал, едва не перешедший в затяжной судебный процесс между ФБР и компанией Apple, разразился в начале 2016 года. Тогда в руках правоохранительных органов оказался iPhone, принадлежавший Саейду Фаруку, одному из организаторов теракта в Сан-Бернардино. Так как сам Фарук на тот момент был мертв, перед ФБР встал вопрос о разблокировке устройства. Вначале правоохранители попытались оказать давление на компанию Apple и вынудить специалистов «оказать содействие в расследовании». По сути, ФБР попросило разработчиков Apple не просто вскрыть iPhone террориста, но создать бэкдор. Тогда компания отказалась исполнить предписание суда.
Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security.
Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security.
Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
В прошлом посте мы более подробно остановились на содержимом утекшего в сеть архива с данными кибергруппировки Equation Group. Мы также указали, что названия эксплойтов и имплантов (компонентов) вредоносных программ соответствуют названиям из архива NSA ANT. В ряде упоминавшихся вендоров, на устройства которых были нацелены эксплойты, указывались Cisco и Fortinet (Fortigate Firewall). В случае с Cisco речь идет о двух эксплойтах для устройств Cisco ASA, PIX и Firewall Services Module с названиями ANT EXTRABACON (EXBA) и EPICBANANA (EPBA). Первый эксплойт относится к типу 0day и использует ранее неизвестную уязвимость с идентификатором CVE-2016-6366 (Cisco ASA RCE vulnerability). Второй использует исправленную 1day уязвимость с идентификатором CVE-2016-6367 (Cisco ASA CLI RCE).
Ниже указана информация из блога Cisco, в которой приводятся соответствия эксплойтов Equation Group и названий уязвимостей. Там также упоминается имплант JETPLOW, который используется как бэкдор для firmware сетевого устройства. Далее указано описание JETPLOW из слайда ANT.
Антивирусная компания ESET предупреждает пользователей о росте активности троянской программы Nemucod, которая распространяет бэкдор Kovter, кликающий по рекламным ссылкам.
Nemucod использовался в 2016 году в нескольких крупных киберкампаниях. Как отмечается в отчёте, его доля достигала 24 % в общемировом объёме вредоносных программ, а уровень распространённости в отдельных странах превышал 50 %. Ранее злоумышленники использовали загрузчик для распространения шифраторы, таких как Locky и TeslaCrypt.
В новой кампании Nemucod используется преимущественно для загрузки бэкдора Kovter, предназначенного для накрутки кликов по рекламным объявлениям. Сам загрузчик распространяется посредством спам-рассылки: к письмам прикладывается ZIP-архив, где под видом счёта-фактуры скрывается исполняемый файл. Если жертва запустит заражённый фал, Nemucod загрузит на её компьютер Kovter.
Сотрудники американской компании Digital Defense Inc сообщили, что продукция Dell SonicWall небезопасна. Исследователи обнаружили в составе Dell SonicWALL Global Management System (GMS) скрытый дефолтный аккаунт с очень простым паролем и еще пять критических уязвимостей, две из которых могут привести к удаленному выполнению произвольного кода в системе. Компания Dell приобрела компанию SonicWALL еще в 2014 году. Продукция SonicWALL — это комплексные решения в области сетевой безопасности, безопасности электронной почты, безопасного удаленного доступа, защиты данных, анализа отчетности, централизованного управления и так далее. Специалисты Digital Defense Inc сообщают, что им удалось обнаружить в продуктах Dell SonicWALL GMS спрятанный аккаунт «с паролем, который очень легко подобрать». Данный бэкдор может использоваться для добавления в систему новых пользователей, так как через консоль GMS можно скачать CLI-клиент. Фактически, непривилегированный пользователь способен получить доступ к веб-интерфейсам и изменить пароль администратора, повысить собственные привилегии до максимальных и стать новым админом. Это даст злоумышленнику полный контроль над GMS и сопряженных устройствах SonicWALL
Подпишись на нас в соцсетях