Darknet Methods

2023-05-02 16:01:52 Группировка DumpForums заявила о взломе BI ZONE

Хакеры утверждают, что им удалось скомпрометировать инфраструктуру дочерней компании Сбербанка, BI ZONE, специализирующейся на управлении цифровыми рисками. Представители компании уверяют, что пострадала лишь виртуальная машина на внешнем хостинге, и данным клиентов ничто не угрожает.

По информации специалистов Data Leakage & Breach Intelligence (DLBI), судя по опубликованной хакерами информации, им удалось заполучить SQL-дамп базы данных сайта bi zone, работающего под управлением CMS Bitrix. В дампе содержатся, как данные зарегистрированных пользователей (имена, хешированные пароли, email-адреса), так и лиды (имена, телефоны, email-адреса, места работы).

В пресс-службе BI ZONE сообщили, что опубликованные хакерами скриншоты — «это виртуальная машина на внешнем хостинге, на которой размещаются веб-страницы сайтов наших конференций». Подчеркивается, что эта виртуальная машина никак не связана с инфраструктурой компании, и ее клиентам ничто не угрожает. Открыть/Комментировать

2023-04-28 16:02:23 VMware исправила критическую уязвимость, обнаруженную на Pwn2Own

Компания VMware выпустила обновления для устранения ряда уязвимостей в Workstation и Fusion. В числе прочих багов, была исправлена 0-day проблема, обнаруженная экспертами во время хакерского соревнования Pwn2Own Vancouver 2023 и позволявшая локальному злоумышленнику выполнить произвольный код.

Наиболее серьезной из всех стала проблема CVE-2023-20869 (9,3 балла по шкале CVSS), впервые продемонстрированная на Pwn2Own. Она описывается как уязвимость переполнения буфера стека, найденная в функции совместного использования хост-устройств Bluetooth с виртуальной машиной.

Также VMware исправила уязвимость out-of-bounds чтения, влияющую на ту же функцию (CVE-2023-20870, 7,1 балла по шкале оценка CVSS), которая могла использоваться локальным злоумышленником с правами администратора для чтения конфиденциальной информации, содержащейся в памяти гипервизора.

Обе уязвимости были продемонстрированы исследователями из команды STAR Labs на третий день хакерского состязания Pwn2Own, прошедшего в Ванкувере в прошлом месяце. Эти баги принесли исследователям вознаграждение в размере 80 000 долларов. Открыть/Комментировать

2023-04-26 16:02:48 Количество DDoS-атак возросло на 22%

Аналитики компании Qrator Labs представили статистику DDoS-атак в первом квартале 2023 года. Оказалось, что общее число атак выросло на 22%, но их продолжительность заметно сократилась, и злоумышленники стали более тщательно выбирать жертв.

Наиболее атакуемыми индустриями в первом квартале стали электронные доски объявлений (26,7%), системы онлайн-обучения (13,3%), платежные системы (11,5%), банки (9,3%) и игровые серверы (5,2%).

Наряду с традиционными целями атак (такими как банки, платежные системы, онлайн-обучение), наблюдается активизация атак на инфраструктурные сервисы, обеспечивающие функционирование систем в реальном мире: логистические системы (1,4%), промышленность (1,4%), программные сервисы (4,1%), хостинги (2,9%), нефтегазовая индустрия (1,6%). Открыть/Комментировать

2023-04-24 16:02:47 Появился новый дешифровщик для вымогателя Conti

Специалисты «Лаборатории Касперского» обновили бесплатный инструмент для расшифровки файлов, пострадавших во время атак шифровальщика Conti. Новая версия подойдет для машин, которые были зашифрованы в ходе атак на коммерческие компании и государственные учреждения.

Исследователи напоминают, что шифровальщик Conti известен с конца 2019 года, и в 2020 году на его долю пришлось более 13% всех вымогательских атак. В 2022 году произошла утечка исходного кода малвари, после чего злоумышленники начали создавать модификации на его основе и использовать их в своих атаках.

Версия Conti, для которой компания выпустила дешифровщик, использовалась для атак на коммерческие компании и государственные учреждения. Приватные ключи были обнаружены зимой 2022 года в результате анализа утекших данных. Утечка содержала 258 закрытых ключей, исходный код и несколько предварительно скомпилированных декрипторов. На основе этих приватных ключей эксперты и обновили свою утилиту.

При анализе данных обнаружилось, что утекшие ключи располагаются в 257 папках, только одна из которых содержит два ключа, а остальные — по одному. Некоторые папки содержали декрипторы и несколько обычных файлов, в том числе документы и фотографии. Открыть/Комментировать

2023-04-22 16:01:26 Атака на цепочку поставок привела к взлому 3CX и другим атакам на цепочку поставок

Расследование атаки на цепочку поставок, от которой в прошлом месяце пострадала компания 3CX, показало, что инцидент был вызван другой компрометацией цепочки поставок. Сначала злоумышленники атаковали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее ПО.

Напомню, что атака на 3CX произошла в конце марта 2023 года. Десктопный клиент на основе Electron, 3CXDesktopApp, оказался скомпрометирован и использовался для распространения вредоносного ПО среди клиентов компании.

К сожалению, представителям 3CX потребовалось больше недели, чтобы отреагировать на многочисленные сообщения клиентов о том, что ее ПО вдруг стало вредоносным, хотя об этом сообщали эксперты сразу нескольких крупных ИБ-компаний, включая CrowdStrike, ESET, Palo Alto Networks, SentinelOne и SonicWall.

Когда факт компрометации уже стал очевиден, глава компании 3CX заявил, что исходным вектором проникновения мог служить бинарный файл ffmpeg, используемый настольным клиентом 3CX. Однако в FFmpeg опровергли эти обвинения. Открыть/Комментировать

2023-04-20 16:02:47 Google исправляет вторую 0-day уязвимость в Chrome за неделю

Компания Google выпустила еще одно обновление для браузера Chrome, устранив у нем уже вторую уязвимость нулевого дня за последние семь дней. Сообщается, что для свежей проблемы уже существует эксплоит, и ее использовали хакеры.

Новая 0-day проблема получила идентификатор CVE-2023-2136 и была исправлена в версии 112.0.5615.137, которая в общей сложности устранила восемь уязвимостей. Пока стабильный релиз доступен только для пользователей Windows и Mac, а версия для Linux будет выпущена «скоро» (точных сроков в Google не называют).

Известно, что CVE-2023-2136 обнаружили эксперты Google Threat Analysis Group (TAG) в начале текущего месяца. Проблема связана с целочисленным переполнением в Skia, принадлежащей Google мультиплатформенной библиотеке 2D-графики с открытым исходным кодом, написанной на C++. Skia предоставляет Chrome набор API-интерфейсов для рендеринга графики, текста, фигур, изображений и анимации и считается ключевым компонентом для рендеринга.

Уязвимость в контексте Skia может привести к неправильному рендерингу, повреждению информации в памяти и выполнению произвольного кода, что в итоге предоставит злоумышленнику доступу к системе. Открыть/Комментировать

2023-04-18 16:01:44 Legion используется для кражи данных с плохо защищенных сайтов

Эксперты обнаружили хакерский инструмент Legion, основанный на Python. Вредонос продается через Telegram и используется как способ взлома различных онлайн-сервисов для дальнейшей эксплуатации.

По данным исследователей Cado Labs, вредонос имеет модули для перечисления уязвимых SMTP-серверов, проведения атак на удаленное выполнение кода (RCE), эксплуатации непропатченных версий Apache, брутфорса аккаунтов cPanel и WebHost Manager (WHM), а также взаимодействия с API Shodan и злоупотребления сервисами AWS.

Исследователи говорят, что малварь имеет сходство с другим семейством вредоносных программ, AndroxGh0st, которое впервые обнаружено поставщиком услуг облачной безопасности Lacework в декабре 2022 года.

В прошлом месяце компания SentinelOne опубликовала анализ AndroxGh0st, который показал, что вредонос является частью набора инструментов AlienFox, который предлагается преступникам для кражи API-ключей и секретов из облачных сервисов. Открыть/Комментировать

2023-04-16 16:02:04 WhatsApp защитит аккаунты пользователей от захвата

Разработчики мессенджера WhatsApp объявили о введении ряда новых защитных функций, однако из которых, «Подтверждение устройства» (Device Verification), должна обеспечить лучшую защиту от атак на захват учетной записи.

Как рассказывают в компании, Device Verification предотвращает использование малварью ключей аутентификации, украденных с зараженных мобильных устройств или полученных через неофициальные клиенты. Обычно злоумышленники используют такие ключи, чтобы выдать себя за другого пользователя (чужую учетную запись) и рассылают мошеннические и фишинговые сообщения списку контактов жертвы.

Новая функция будет автоматически блокировать попытки захвата аккаунта с помощью ряда фоновых проверок с использованием трех новых параметров: токена безопасности, хранящегося на устройстве; nonce, используемого для идентификации подключения клиента для получения сообщений с серверов WhatsApp; запросов аутентификации, которые будут асинхронно пинговать устройство пользователя.

Так, клиент должен отправлять токен безопасности каждый раз, когда подключается к серверу. При этом токен обновляется каждый раз, когда получает клиент получает офлайн-сообщение с сервера. Открыть/Комментировать

2023-04-14 16:02:46 Роскомнадзор запустил российский аналог Downdetector

Роскомнадзор сообщает, что заработал сервис «Мониторинг сбоев», созданный Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) при подведомственном Роскомнадзору ФГУП «Главный радиочастотный центр» (ГРЧЦ). Сервис был создан на замену Downdetector, из которого в прошлом году исчезли все российские компании и сервисы.

«Если вы столкнулись с проблемой в работе интернет-сервиса, банковского приложения или оператора связи, можете сообщить об этом на портале. На основе всех обращений пользователей формируется тепловая карта. Если сбой массовый, специалисты Центра подключатся к решению проблемы совместно с операторами связи и владельцами сервисов», — сообщает РКН.

Как пишет ЦМУ ССОП, сервис даст пользователям возможность оставлять сообщения о неработоспособности интернет-сервисов, банковских приложений и операторов связи, отслеживать стабильность их функционирования и изучать географию зафиксированных проблем.

Кроме того, на портале Центра был запущен специальный сервис для профильных специалистов — Looking Glass, который дает возможность получить информацию об IP-адресах, автономных системах и оптимальных маршрутах трафика. Открыть/Комментировать

2023-04-12 16:03:17 Экспериментальный проект «Росомаха» использует ИИ, чтобы чинить код на лету

Разработчик под ником BioBootloader представил проект Wolverine, который дает программам на Python «способность к регенерации», прямо как у одноименного супергероя Marvel. Для починки кода «Росомаха» использует языковую модель GPT-4.

На выходе GPT-4 возвращает объяснение обнаруженных ошибок, показывает изменения, которые пытается внести, а затем перезапускает программу. Обнаружив новые ошибки, ИИ снова исправляет код, а который в итоге работает правильно, и в итоге исходный файл содержит изменения, внесенные «Росомахой».

Код проекта уже доступен на GitHub , и разработчик говорит, что эту технику можно применить и к другим языкам программирования.

Для использования Wolverine требуется API-ключ OpenAI для GPT-3.5 или GPT-4, который доступен лишь по подписке. В настоящее время API GPT 3.5 открыт для всех, у кого есть учетная запись OpenAI, однако доступ к GPT-4 по-прежнему ограничен списком ожидания. Открыть/Комментировать