Vikii

Пользователи
  • Публикаций

    113
  • Зарегистрирован

    9 декабря
  • Посещение

  1. Исследователи безопасности из компании Cisco Talos предупредили о резком росте активности ботнета Lemon Duck для майнинга криптовалюты Monero. «Мы выявили активность в телеметрии конечных точек, связанную с вредоносным ПО для майнинга криптовалюты Lemon Duck, которая затрагивает три разные компании в государственном, розничном и технологическом секторах. Мы наблюдали активность злоумышленников в период с конца марта 2020 года по настоящее время», — сообщили эксперты. Lemon Duck имеет как минимум 12 независимых векторов заражения, что намного больше, чем у большинства вредоносных программ. Возможности варьируются от брутфорса паролей протоколов Server Message Block (SMB) и Remote Desktop Protocol (RDP) и отправки электронных писем с эксплоитами до эксплуатации уязвимости BlueKeep (CVE-2019-0708) в RDP на компьютерах под управлением Windows, уязвимостей в Redis и YARN Hadoop на системах под управлением Linux. После заражения системы загружается PowerShell-скрипт, использующий функцию «bpu» для отключения обнаружения Защитником Windows в реальном времени и включения powershell.exe в список процессов, исключенных из сканирования. «Bpu» также проверяет, запущен ли скрипт с правами администратора. Если да, то полезная нагрузка загружается и запускается с помощью командлета Invoke-Ex * pression (функция вызова кода в скрипте или построения команд для дальнейшего выполнения). Если нет, он использует существующие системные исполняемые файлы для запуска следующего этапа. Исполняемые модули загружаются и управляются основным модулем, а связываются с сервером C&C-сервером через HTTP. «Почти все модули PowerShell замаскированы четырьмя или пятью уровнями обфускации, вероятно, созданными модулем Invoke-Obfuscation. Хотя их относительно легко удалить, они все же замедляют процесс анализа и затрудняют обнаружение с помощью обычных сигнатур», — отметили эксперты. Модули включают в себя основной загрузчик, проверяющий уровень прав пользователя и компоненты, необходимые для майнинга, такие как тип доступной графической карты (включая GTX, Nvidia, GeForce, AMD и Radeon). Если эти графические процессоры не обнаружены, загрузчик загружает и запускает стандартный сценарий майнинга XMRig на базе процессора. Другие компоненты включают основной модуль распространения (с фрагментом кода, содержащим более 10 тыс. строк кода), модуль на базе Python (упакованный с использованием Pyinstaller) и модуль-убийца, предназначенный для отключения известных конкурирующих ботнетов для майнинга. Lemon Duck также включает в себя модуль рассылки электронной почты. Они распространяют электронные письма с использованием сочетания строк темы и текста, связанных с COVID-19, а также других эмоциональных приманок. Электронные письма содержат вредоносные вложения, отправленные с помощью автоматизации Outlook каждому контакту в адресной книге зараженного пользователя. Исследователи также пролили свет на ветвь вредоносной программы Lemon Duck для Linux. Bash-скрипты Lemon Duck выполняются после того, как злоумышленник успешно скомпрометирует устройство Linux с помощью уязвимостей в Redis, YARN или SSH. Существует два основных bash-сценария: первый собирает данные о зараженном хосте и пытается загрузить Linux-версию майнера XMRig, прежде чем пытаться удалить различные системные журналы. Второй пытается завершить работу и удалить конкурирующие майнеры криптовалюты, присутствующие на системе. Как отметили специалисты, скрипт также пытается завершить и удалить процессы, связанные с облачными агентами безопасности Alibaba и Tencent.
  2. Компании по всему миру получают электронные письма с требованием выкупа и угрозами обрушить на их компьютерные сети DDoS-атаки, если деньги не будут уплачены. В частности, такое письмо также получила британская валютная компания Travelex. По словам специалистов ИБ-компании Radware, в середине августа такие письма с угрозами получили несколько компаний. Вымогатели требовали 20 биткойнов (порядка $230 тыс.), которые должны быть выплачены в течение недели, в противном случае они угрожали обрушить на компьютерные сети DDoS-атаку. Кроме того, они обещали увеличивать сумму выкупа на 10 биткойнов за каждый день неуплаты. Пик рассылки вымогательских писем пришелся на август, однако в первой половине сентября их количество стало уменьшаться. Тем не менее, в конце сентября – начале октября число вымогательских писем снова стало расти. Злоумышленники выдают себя за известные APT-группы, такие как Fancy Bear, Armada Collective и Lazarus. За какую APT себя выдавать, злоумышленники решают в зависимости от того, какую организацию они атакуют. Если мишенью является финансовая организация, вымогатели называю себя Lazarus (так было в случае с Travelex), а если атака нацелена на технологическое или промышленное предприятие, - то Fancy Bear. Как сообщают специалисты Intel471, вымогательское письмо получила компания Travelex. Злоумышленники потребовали от нее 20 биткойнов. Судя по биткойн-кошельку, на который жертва должна была перевести деньги, Travelex не заплатила выкуп. По словам исследователей, через некоторое время после получения компанией электронного письма на ее сети обрушилась мощная атака на настраиваемый порт из четырех IP-адресов, обслуживающих ее поддомены. Спустя два дня злоумышленники осуществили на Travelex еще одну атаку с применением техник усиления DNS, используя DNS-серверы Google.
  3. В ходе конференции Virus Bulletin Conference на прошлой неделе исследователи безопасности Адитья Суд (Aditya Sood) из F5 Networks и Рохит Бансал (Rohit Bansal) из SecNiche Security Labs рассказали, как им удалось взломать C&C-панели десяти IoT-ботнетов: Mana, Vivid, Kawaii, Verizon, Goon, 911-Net, Purge Net, Direct, 0xSec и Dark. Как пояснили исследователи, для начала они создали топологию серверов, распространяющих вредоносное ПО, и извлекли из скомпрометированных IoT-устройств вредоносные двоичные файлы. Из этих файлов они получили вшитые IP-адреса с целью определить местоположение C&C-панелей. Кроме того, исследователи извлекли из сетевого трафика такие данные, как IP-адреса, а из запущенных на взломанных устройствах вредоносных процессов – информацию о C&C-панелях (этот способ эффективен в случае, если IP-адреса генерируются «на лету»). Помимо прочего, исследователи провели массовое сканирование интернета в поисках потенциально подозрительных IoT-устройств и незащищенных панелей администрирования и пытались взломать их с целью извлечь информацию о C&C-серверах. После выявления подконтрольного злоумышленникам сервера исследователи получили доступ к C&C-панели через конечный интерфейс администрирования или с помощью брутфорса. Доступ также можно получить путем компрометации конечной базы данных с целью похитить учетные данные администратора, путем эксплуатации уязвимостей в C&C-панели или с помощью взломанных учетных данных. Если взломать C&C-панель не представлялось возможным, исследователи пытались вызвать отказ в обслуживании сервера или отключить его. Проанализировав исходный код вредоносного ПО, они могли идентифицировать распределение буфера для различных функций, найти в них уязвимости, позволяющие вызвать переполнение, переделать буфер и отправить его жертве с целью посмотреть, получится ли вызвать отказ в обслуживании. Исследователи получили информацию о поддерживаемых ботнетом командах, доступных администраторам опциях, в том числе для осуществления DDoS-атак, а также выявить разницу между разными панелями. По словам исследователей, компрометация C&C-панелей очень важна для сбора данных о ботнетах и обеспечения защиты от них. В противном случае, было бы очень трудно понять, как именно функционируют ботнеты.
  4. Компания Microsoft предупредила пользователей о том, что российская киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость Zerologon. В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления способны обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon. Группировка TA505, также известная как Evil Corp, активна уже почти десять лет и известна в основном своими атаками с использованием банковских троянов и вымогательского ПО. Недавно ИБ-эксперты представили свидетельства сотрудничества TA505 с северокорейской киберпреступной группировкой Lazarus. Zerologon ( CVE-2020-1472 ) представляет собой уязвимость повышения привилегий в Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификации на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена. Недавно Microsoft настоятельно рекомендовала пользователям установить выпущенные ею августовские обновления безопасности, частично исправляющие уязвимость, так как Zerologon уже активно эксплуатируется хакерами, в том числе иранскими . Августовский патч является лишь первым этапом исправления уязвимости – второго следует ожидать в феврале 2021 года.
  5. Ученые создали методику, при помощи которой компьютер может отслеживать сигналы мозга человека, а также моделировать визуальное восприятие. Благодаря этому искусственный интеллект научился демонстрировать неизвестную прежде информацию, опубликовал журнал Scientific Reports. Метод основан на ранее созданном интерфейсе «мозг – компьютер», однако ученым удалось обеспечить двухстороннюю связь. Во время взаимодействия компьютера и мыслительного органа человека первый считывает сигналы, которые подаются мозгом, и преобразует их в визуальную модель. Благодаря этому появляется возможность представить во вполне понятном для восприятия виде информацию, которая возникает в сознании. Также отмечается, что отправляемые мозгом сигналы и создание их визуальной модели осуществлялось компьютером в одно и то же время. Эксперты, которые внимательно изучили выводы специалистов Хельсинского университета, подчеркнули, что до сих пор ничего подобного не создавалось. Все дело в том, что и отправляемые мозгом сигналы, и создание визуальной их модели осуществлялось компьютером в одно и то же время. Ранее Илон Маск заявил о готовности внедрять чипы в мозг человека. Компания Neuralink обновила нейроинтерфейс, представленный год назад. Разработчики уменьшили размеры устройства и сократили количество используемых электродов: теперь их не 3072, как в предыдущей версии, а 1024. Работу нейроинтерфейса показали на свинье: с помощью вживленных электродов удалось считать активность его мозга со всех каналов.
  6. Почти половина всех мошеннических колл-центров находится в тюрьмах. Суммарный доход злоумышленников достигает более 75 млн рублей в месяц. «Звонят клиентам не отдельные злоумышленники, а работники профессиональных "контакт-центров". 40-50% из них находится в тюрьмах. Мы фиксируем, что мошенники есть почти в каждом третьем учреждении службы исполнения наказаний в России», — сообщил в интервью газете «Известия» зампред правления Сбербанка Станислав Кузнецов. Как сообщил Кузнецов, один колл-центр, состоящий из 50 «сотрудников», может совершать около 20 тыс. звонков в неделю. Потенциальная жертва снимает трубку в половине случаев. 70% людей отказываются разговаривать с мошенниками. Что касается борьбы с колл-центрами в тюрьмах, то, по словам Кузнецова, Госдума в первом чтении приняла законопроект, вводящий процедуру блокировки сотовой связи в тюрьмах. Предполагается, что отключать связь будет сотовый оператор по запросу начальника территориального органа ФСИН. Зампред правления банка также отметил, что в нынешнем году количество обращений клиентов Сбербанка касательно телефонного мошенничества выросло вдвое в сравнении с 2019 годом. Сотрудники банка зафиксировали около 2,9 млн обращений клиентов о попытках обмана.
  7. МВД Украины в соцсетях распространило информацию, что около полудня неизвестные взломали главный сайт Национальной полиции и страницы региональных управлений, в результате чего они не загружаются или на них размещена фейковая информация. Сейчас официальные сайты МВД Украины не работают из-за "несанкционированного вмешательства". Проблемы с доступом к сайтам правоохранительных органов начались примерно в 12:00. На некоторых региональных порталах полиции появились фейковые новости, в том числе о выбросах радиоактивных веществ на Ровненской АЭС. В связи с этим на некоторых интернет-страницах областных управлений полиции была распространена недостоверная информация. Ведомство уточнило, что специалисты работают над решением возникших после взлома проблем. Пользователям рекомендовано следить за новостями на официальных страницах Национальной полиции в Facebook и YouTube.
  8. Компания Mozilla исправила три опасные уязвимости в версиях браузеров Firefox 81 и Firefox Extended Support Release (ESR) 78.3 Mozilla. Эксплуатация некоторых из проблем позволяет удаленно запускать произвольный код. Две опасные уязвимости (CVE-2020-15674 и CVE-2020-15673) были исправлены в средствах защиты памяти браузера, предотвращающих такие проблемы с доступом к памяти, как переполнение буфера. Первая проблема (CVE-2020-15674) затрагивает версию Firefox 80, а вторая (CVE-2020-15673) — версии Firefox 80 и Firefox ESR 78.2. «Некоторые из проблем свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточных усилиях злоумышленники могли использовать их для запуска произвольного кода», — говорится в сообщении Mozilla Foundation. Как сообщили специалисты Mozilla, данные проблемы можно использовать для сбора конфиденциальных данных с сайтов в других окнах или для внедрения данных или кода на эти сайты без каких-либо дополнительных действий со стороны пользователя. С выпуском Firefox 81 также была исправлена опасная уязвимость в реализации библиотеки web-графики (WebGL) — JavaScript API для визуализации интерактивной 2D- и 3D-графики в любом совместимом web-браузере. Проблема (CVE-2020-15675) представляет собой уязвимость использования памяти после освобождения. Если после освобождения области памяти программа не очищает указатель на эту память, злоумышленник может воспользоваться этим для взлома программы.
  9. В первые шесть месяцев 2020 года, когда большая часть мира ввела карантинные меры из-за пандемии коронавирусной инфекции (COVID-19), а сотрудники компаний и фирм перешли на удаленный режим работы, киберпреступники и хакеры стали чаще взламывать компьютерные сети производственных, технологических и телекоммуникационных предприятий. По данным специалистов компаний CrowdStrike, жертвами злоумышленников стали компании в 27 различных отраслях, что почти вдвое превышает данный показатель за весь 2019 год. Как отметили эксперты количество атак и взломов сетей производственных компаний увеличилось на 11% по сравнению с 2019 годом. Атаки на производственные компании в основном затрагивали бизнес-системы или сети фронт-офиса, а не компьютеры, задействованные в системах управления производством. Как предполагают специалисты, преступники выбрали своей целью отрасли, которые уже были уязвимы из-за крупномасштабных сбоев в их глобальной цепочке поставок материалов. Компании, испытывающие проблемы с получением материалов, в глазах преступников были «более склонны платить выкуп, чтобы предотвратить дальнейшие нарушения». Увеличение числа атак, вероятно, также было вызвано внезапным переходом к удаленной работе и «ускоренным созданием новой инфраструктуры многими компаниями», что, возможно, привело к эксплуатации большего количества уязвимостей. Хакерские группировки, действующие в интересах иностранных правительств, чаще всего атаковали компании в сферах сельского хозяйства, здравоохранения, СМИ, технологий и телекоммуникаций. Например, в одном случае поддерживаемая правительством Северной Кореи группировка Labyrinth Chollima атаковала неназванную сельскохозяйственную компанию, отправив одному из ее сотрудников поддельное предложение о работе. Документ Microsoft Word, прикрепленный к письму, содержал вредоносный код, который позволял хакерам копировать файлы в сети клиента. Иранская хакерская группировка Tracer Kitten использовала специально разработанный бэкдор для взлома телекоммуникационной компании, работающей на территории Европы, на Ближнего Востока и Африки. Наиболее распространенными инструментами тестирования на проникновение, которые преступники использовали в течение первых шести месяцев 2020 года, были: Mimikatz; Cobalt Strike; PowerShell Empire; PowerSploit; Meterpreter; LaZagne; SharpHound; Powerkatz; PowerCat; Rubeus.
  10. Комитет по образованию Петербурга разослал учителям школ города инструкцию по мониторингу социальных сетей учащихся и оповещению правоохранительных органов о постах, содержащих материалы экстремистской направленности. Инструкция разработана специалистами Центра по противодействию экстремизму — она прописывает алгоритм действий, как педагоги должны уведомлять правоохранительные органы о «причастности» школьников к «неформальным молодежным объединениям и течениям экстремистского толка». Согласно документу, учителя должны «в рамках мониторинга сети Интернет» следить за публикуемом школьниками контенте. Речь идет о: Призывах к насильственному изменению основ конституции или нарушению территориальной целостности РФ Призывах к экстремистской или террористической деятельности Публичном оправдании терроризма Возбуждении социальной, рассовой, национальной или религиозной розни, а также унижении достоинства одного человека или группы лиц Пропаганде и реабилитации нацизма Участии в группах (сообществах) экстремистской и террористической направленности Пропаганде исключительности, превосходства либо неполноценности человека Травле сверстников Если учителя во время мониторинга социальных сетей школьников выявят признаки проявления экстремизма или терроризма, они должны сделать скриншоты и «незамедлительно» составить служебную записку на имя директора школы. Он же в свою очередь в течение суток должен передать информацию в полицию или районный отдел образования. Отдельное внимание советуют уделять призывам к изменению строя или террористической деятельности, оправданию терроризма, возбуждению социальной, расовой, национальной или религиозной розни, пропаганду или реабилитацию нацизма, травлю сверстников или причисление к автора публикации к разным движениям. «Учитель, конечно, заметит, если на странице его ученика будет появляться сомнительная, провокационная или противозаконная информация. Учитель, в первую очередь, постарается решить проблему педагогическими методами… Но может сложиться ситуация, когда педагогические методы не дают результата. Или, например, распространением информации занимается не сам ребенок, а третьи лица. В этой ситуации у педагогов возникают вопросы о том, как следует поступить. Направленный в образовательные учреждения документ отвечает именно на эти вопросы», — пояснили в комитете.
  11. Пензенские полицейские задержали в Саратовской области 39-летнего местного жителя, причастного к крупной краже. В начале апреля из двух банкоматов, установленных в торговых центрах Пензы, похитили более 20 млн рублей. Оперативники просмотрели записи с камер видеонаблюдения и заметили седого пожилого человека в форме инкассатора. Он подошел к банкомату, с помощью специального ключа вытащил кассеты с деньгами и спокойно ушел. Полицейские установили личность подозреваемого и задержали его, но злоумышленником оказался совсем не старик. «Это несоответствие прояснилось после проведения обыска по месту жительства фигуранта. В квартире обнаружена латексная маска с внешностью пожилого мужчины. В том же помещении находилась форменная одежда и аксессуары сотрудника инкассаторской службы, а также специальное оборудование для вскрытия банкоматов. Похищенные денежные средства полицейские обнаружили в тайнике», - сообщила официальный представитель МВД России Ирина Волк. Как выяснилось, раньше мужчина занимался техническим обслуживанием терминалов и банкоматов и хорошо изучил их. Перед тем как совершить преступление, он купил маску в интернет-магазине, сшил сумку под размер кассет банкомата, на свою машину установил подложные номера. «В настоящее время устанавливается причастность обвиняемого к совершению аналогичных противоправных деяний», - добавила Ирина Волк. • Video: https://www.penzainform.ru/news/cri....ee_20_mln.html В Пензе вынесен приговор жителю Саратовской области, признанному виновным в краже из двух банкоматов на территории Пензы денежных средств в сумме более 20 млн рублей. Преступление было совершено в апреле 2020 года. Три дня спустя злоумышленника задержали сотрудники отдела по борьбе с организованной преступностью Управления уголовного розыска УМВД России по Пензенской области. Установлено, что данный граждан ранее осуществлял трудовую деятельность, связанную с техническим обслуживанием платёжных терминалов, в том числе банкоматов, и хорошо знал их устройство. Злоумышленник заранее подготовился к совершению преступления. Для изменения внешнего вида он использовал реалистичную латексную маску с внешностью пожилого мужчины, которую приобрёл через Интернет, а также форменную одежду и аксессуары сотрудника инкассаторской службы. Кроме того, обвиняемый сшил специальную сумку под размер кассет банкомата с денежной наличностью. Для конспирации при передвижении на личном автомобиле он использовал подложные государственные регистрационные знаки, установленные на машине аналогичной модели и цвета, которая принадлежала жителю Тамбова, ничего не знавшему о преступной деятельности злоумышленника. За месяц до преступления житель Саратова приехал в Пензу для выбора банкоматов, из которых впоследствии осуществил кражу. Он остановился на устройствах для приёма и выдачи денежных средств, находящихся в торговых центрах на улице Аустрина и проспекте Строителей. 7 апреля 2020 года обвиняемый, изменив свою внешность и одевшись как инкассатор, в дневное время проследовал к банкоматам. При помощи специального ключа он открыл устройства и под видом технического обслуживания извлёк кассеты с денежными средствами, сложил их в сумку и ушёл. В ходе оперативно-розыскных мероприятий полицейские установили личность злоумышленника и задержали его в ночь с 10 на 11 апреля. Полицейские обнаружили и изъяли похищенные денежные средства в тайнике, который обвиняемый оборудовал на техническом этаже многоквартирного дома по месту жительства. Октябрьский районный суд Пензы приговорил обвиняемого к 4 годам лишения свободы в колонии общего режима с ограничением свободы сроком на 6 месяцев. На автомобиль, который злоумышленник использовал для совершения преступления, обращено взыскание в доход государства.
  12. Суд признал виновным в мошенничестве жителя Владикавказа, присвоившего 1,8 млн рублей под предлогом инвестиций в криптовалюты. Как сообщает «Регион онлайн», мужчина убедил свою знакомую приобрести криптовалюту с его помощью, однако цифровые активы пострадавшая так и не получила. Правоохранители выяснили, что обвиняемый уже совершал ранее аналогичные преступления. Согласно постановлению суда, мошенник получил пять лет колонии строгого режима. Ранее стало известно, что житель РФ перечислил злоумышленникам свыше 1,5 млн рублей в попытке инвестировать в криптовалюты.