Darknet Methods

2023-11-04 17:33:22 Компания Boeing подтверждает, что стала жертвой кибератаки

Компания Boeing, о взломе которой недавно заявила вымогательская группировка LockBit, подтвердила факт кибератаки. Как стало известно теперь, инцидент затронул бизнес компании по производству и дистрибуции запчастей.

Напомним, что в конце прошлой недели хакеры из группировки LockBit заявили о взломе американской авиакосмической корпорации Boeing, утверждая, что похитили «огромное количество конфиденциальных данных».

Образцы украденной информации не были обнародованы, так как группировка сообщала, что пока хочет «защитить компанию», рассчитывая начать переговоры.

Позже информация о скором «сливе» данных Boeing была удалена с сайта LockBit, и представители группы заявили специалистам VX underground, что начали переговоры с пострадавшей компанией. Открыть/Комментировать

2023-11-02 17:03:39 Хакеры крадут учетные данные AWS с GitHub за считанные минуты

Эксперты Palo Alto Networks предупреждают, что злоумышленники, стоящие за кампанией EleKtra-Leak, успевают похитить учетные данные AWS из публичных репозиториев GitHub в течение 4-5 минут после их случайной утечки.

По подсчетам исследователей, кампания EleKtra-Leak активна не менее двух лет, что позволяет злоумышленниками создавать множество инстансов AWS Elastic Compute (EC2) и использовать их для криптоджекинга.

Злоумышленники используют автоматизированные инструменты для клонирования публичных репозиториев GitHub и сбора из них учетных данных AWS, но при этом блокируют репозитории, регулярно раскрывающие учетные данные, чтобы избегать ханипотов, расставленных ИБ-специалистами.

Фактически операции EleKtra-Leak строятся на сканировании репозиториев GitHub в режиме реального времени в поисках раскрытых секретов, а также на создании инстансов EC2 в любом доступном регионе AWS для добычи криптовалюты Monero. Открыть/Комментировать

2023-10-31 17:04:12 Пользователи теряют данные из-за ошибки в Android 14

В Android 14 обнаружили ошибку, связанную с хранением данных, которая затрагивает пользователей функции multiple profiles. Из-за этой проблемы устройства становятся практически неработоспособны, так как оказываются отрезаны от собственного хранилища. Из-за разрушительности бага некоторые пострадавшие пользователи сравнивают эту проблему с атакой шифровальщика.

В первых сообщениях, появившихся около двух недель назад, предполагалось, что эта ошибка характерна только для устройств Pixel 6. Однако разработчики Google, похоже, проигнорировали эти жалобы пользователей, и теперь, после более широкого распространения выяснилось, что ошибка не зависит от конкретного девайса. Судя по всему, проблема затронула все устройства, уже обновившиеся до Android 14: Pixel 6, 6a, 7, 7a, Pixel Fold и Pixel Tablet.

Issue-трекер Google, посвященный этой проблеме, уже набрал более 500 сообщений, но ответа от представителей Google пока нет. Ошибка имеет лишь средний приоритет «P2» (наивысший приоритет — P0) и статус «unassigned». То есть, похоже, ее решением никто не занимается. Открыть/Комментировать

2023-10-29 17:32:42 Side-channel атака iLeakage позволяет воровать конфиденциальные данные через Apple Safari

Группа ученых разработала спекулятивную side-channel атаку iLeakage, которая работает против устройств Apple и позволяет извлекать конфиденциальную информацию из браузера Safari, включая пароли и содержимое вкладок.

Специалисты из Технологического университета Джорджии, Мичиганского университета и Рурского университета в Бохуме рассказывают, что iLeakage работает против любых современных устройств Apple с процессорами серий A и M. Исследователи говорят, что с помощью этой атаки можно извлечь данные из Safari, а также Firefox, Tor и Edge для iOS практически с «идеальной точностью».

Ученые уверяют, что iLeakage — это не просто концепт, и атака может использоваться в реальности. Для этого достаточно заманить пользователя на вредоносную веб-страницу, а затем восстановить данные из их других вкладок, отрытых в его браузере Safari.

По сути, iLeakage представляет собой timerless-версию нашумевшей проблемы Spectre и обходит защиту от side-channel атак, давно реализованную всеми производителями браузеров. Так, изучая устойчивость Safari к таким атакам, специалисты сумели обойти существующие контрмеры и реализовать не зависящий архитектуры timerless-метод атаки, связанный с состоянием гонки. Открыть/Комментировать

2023-10-23 17:33:29 Тысячи Android-устройств продаются с предустановленным бэкдором

В начале текущего года независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) обнаружил, что на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью. Теперь это исследование продолжили специалисты компании Human Security, и выяснилось, что бэкдоры содержат семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.

Отчет Human Security разделен на две основных части. Раздел Badbox касается зараженных Android-устройств и их участия в различных мошеннических схемах. Вторая часть, получившая название Peachpit, рассказывает о связанном рекламном мошенничестве, в котором задействовано как минимум 39 приложений для Android и iOS.

Все началось с того, что во второй половине 2022 года исследователи обнаружили приложение для Android, которое демонстрировало подозрительный трафик и подключалось к домену flyermobi com. В январе 2023 года Милишич опубликовал свое исследование приставки T95, где тоже упоминался этот домен. После этого команда Human Security приобрела эту приставку, а также несколько других девайсов и приступила к их изучению. Открыть/Комментировать

2023-10-19 18:33:04 Обновленная версия малвари MATA атакует предприятия в Восточной Европе

Исследователи «Лаборатории Касперского» обнаружили (PDF) масштабную вредоносную кампанию, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники проникали в изолированные сети с помощью USB-накопителей, а также использовали Linux-бэкдор MATA.

Еще в сентябре 2022 года, в рамках расследования инцидента, эксперты обнаружили новые образцы малвари семейства MATA, которую ранее связывали с группой Lazarus. Тогда злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года.

В этих письмах жертв обманом вынуждали загрузить вредоносные исполняемые файлы, которые эксплуатировали уязвимость CVE-2021-26411 в Internet Explorer и инициировали цепочку заражения. Открыть/Комментировать

2023-10-17 17:33:08 В Signal отрицают, что в мессенджере существует уязвимость нулевого дня

В последние дни в сети циркулирует слух о 0-day уязвимости в мессенджере Signal, которая якобы связанна с функцией предварительного просмотра ссылок (Generate Link Previews). Разработчики Signal прокомментировали эти сообщения, заявив, что никаких доказательств существования этой уязвимости нет.

Сообщения о проблеме нулевого дня в Signal, которая якобы позволяет полностью захватывать уязвимые устройства, распространились в социальных сетях в минувшие выходные (1, 2, 3). В сообщении утверждалось, что, по данным неких источников в американском правительстве, опасную уязвимость в Signal можно устранить, отключив функцию Generate Link Previews. В итоге эти слухи были вынуждены прокомментировать и опровергнуть разработчики мессенджера.

В серии сообщений в X (бывший Twitter) специалисты заявили, что внимательно изучили информацию о 0-day баге и нашли никаких доказательств того, что он вообще существует. Открыть/Комментировать

2023-10-15 18:04:31 Хак-группа Sticky Werewolf атакует государственные организации в России и Беларуси

Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.

По данным специалистов компании Bi Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.

Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.

Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки. Открыть/Комментировать

2023-10-13 17:02:46 Бэкдор прикидывается обычным плагином для WordPress

Аналитики компании Defiant, стоящей за разработкой защитного плагина Wordfence для WordPress, обнаружили новое вредоносное ПО, которое выдает себя обычный плагин для кеширования. На самом деле малварь представляет собой многофункциональный бэкдор, которые может управлять другими плагинами, скрываться об обнаружения на взломанных сайтах, подменять контент и перенаправлять пользователей на вредоносные ресурсы.

Исследователи пишут, что бэкдор «профессионально» замаскирован под инструмент кеширования, который должен помогать снизить нагрузку на сервер и сократить время загрузки страниц. При этом плагин настроен таким образом, чтобы исключить себя из списка активных плагинов и избегать возможных проверок.

Создание нового пользователя. Создает пользователя с именем «superadmin» с жестко заданным паролем и правами уровня администратора, а вторая функция может удалить этого пользователя, чтобы стереть следы заражения.

Обнаружение ботов. Когда посетители сайта оказываются ботами (например, краулеры поисковых систем), малварь показывает им другой контент, например спам, заставляя их индексировать вредоносный контент на взломанном сайте. Таким образом, администраторы могут заметить внезапное увеличение трафика или жалобы пользователей, которые обнаружат перенаправления на вредоносные ресурсы. Открыть/Комментировать

2023-10-11 18:03:29 Amazon, Google и Cloudflare отразили мощнейшие DDoS-атаки в истории

Специалисты Amazon Web Services (AWS), Cloudflare и Google предупредили о 0-day проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года. Благодаря уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду.

Корень новой проблемы кроется в уязвимости нулевого дня CVE-2023-44487, существование которой специалистам пришлось хранить в секрете более месяца, чтобы дать поставщикам защитных решений и прочим заинтересованным сторонам время отреагировать, прежде чем об уязвимости станет известно злоумышленникам.

Уязвимость была обнаружена в протоколе HTTP/2 и, как уже можно догадаться, ее можно использовать для организации мощных DDoS-атак. Дело в том, что важной особенностью HTTP/2 является мультиплексирование запросов в одном TCP-соединении, что реализовано в виде параллельных потоков.

Хотя для предотвращения атак в протоколе HTTP/2 предусмотрена защита в виде параметра, ограничивающего количество одновременно активных потоков, она не всегда эффективна. Поэтому разработчики протокола придумали более эффективную защитную меру — отмену запроса, которая не приводит к полному разрыву соединения, но, к сожалению, может использоваться не по назначению. Открыть/Комментировать