Алекс / Блог RSS

Forescout обнаружила новую хакерская кампанию, использующую уязвимость в устройствах Fortinet FortiClient EMS для распространения вредоносных программ. Уязвимость SQL-инъекции CVE-2023-48788 позволяет неавторизованному злоумышленнику выполнять код с помощью специально сформированных запросов. Для осуществления атаки не требуется взаимодействия с пользователем, и она довольно проста в реализации.Подробнее

Крупный российский агрокомплекс им. Н.И. Ткачева стал жертвой успешной хакерской атаки, сообщает «Коммерсантъ». По словам одного из собеседников, злоумышленники провели масштабное нападение на все IT-системы компании. В результате инцидента данные на серверах агрокомплекса были похищены и зашифрованы вредоносным ПО. Сайт холдинга не работал 8 и 9 апреля. В Агрокомплексе подтвердили технический сбой, вызванный хакерской атакой. Сейчас ведутся работы по устранению последствий взлома.Подробнее

Исследователи из Trend Micro сообщают, что китайская группа хакеров Winnti освоили новый способ незаметного проникновения – с помощью вредоносного ПО под названием UNAPIMON. Этот метод позволяет им собирать данные, оставаясь невидимыми для систем обнаружения и антивирусов. Хакеры внедряют зловредный код в безобидно выглядящий процесс программного обеспечения VMware Tools, инициируя серию событий, которая в итоге приводит к сбору важной информации о системе.Подробнее

Группировка Agenda наращивает количество атак по всему миру благодаря новому варианту своей программы-вымогателя, ориентированной на виртуальные машины. Программа-вымогатель группировки Agenda последние пару лет использовалась против широкого круга целей в здравоохранении, производстве и образовании. Сегодня финансовая сфера, IT-компании и юридические фирмы являются самыми актуальными целями их атак, говорится в отчете компании Trend Micro.Подробнее

Исследователи выявили новый вектор атаки «GhostRace» на современные процессоры, поддерживающие спекулятивное выполнение. Эксперты в исследование пишут, что GhostRace (CVE-2024-2193) – это новая атака, сочетающая спекулятивное выполнение и условия гонки, два очень сложных класса атак. Условия гонки возникают, когда несколько потоков пытаются получить доступ к общему ресурсу без надлежащей синхронизации, что часто приводит к уязвимостям, таким как одновременное использование после освобождения.Подробнее

Хакеры отправляют на корпоративные адреса машиностроительных предприятий письма от имени Следственного комитета Российской Федерации с трояном. При открытии письма в систему с помощью WhiteSnake внедряется JavaScript-бэкдор. Цель атаки – сбор информации о сотрудниках компаний, инфраструктуре и внутренней сети. Поддельные письма рассылаются с аккаунта @mail.Подробнее

Новая вредоносная программа WogRAT атакует Windows и Linux. Исследователи из AhnLab Security Intelligence Center (ASEC) пишут, что злоумышленники используют WogRAT в атаках с конца прошлого года. Особенностью вредоноса является использование онлайн-блокнота aNotepad для хранения и получения вредоносного кода. Метод распространения исследователи пока не указывают, но судя по всему, операторы задействуют рекламные механизмы.Подробнее

ИБ-компания Proofpoint выявила, что хакерская группировка TA577 теперь использует фишинговые электронные письма для кражи хэшей аутентификации NT LAN Manager (NTLM), это позволяет осуществлять захват учетных записей. Новая волна хакерских атак началась 26 февраля – киберпреступники разослали тысячи писем сотням организаций по всему миру с целью кражи NTLM хэшей сотрудников. Вредоносные письма маскировались под ответы на предыдущие сообщения жертвы. Эта техника называется «перехват переписки».Подробнее

Хакеры выложили на GitHub троян Xeno, который может открыть удаленный доступ к компьютерам россиян. Xeno может работать в системах Windows 10 и Windows 11,пишет Anti-malware.ru. «Троян написан полностью с нуля, что гарантирует уникальный подход к реализации удаленного доступа», – указано в описание Xeno. Специалисты компании, специализирующейся на кибербезопасности и разведке в интернете (Cyfirma) отметили, что Xeno попадет на устройства жертв через сеть доставки контента Discord.Подробнее

Хакерская группировка Mysterious Werewolf атакует военно-промышленный комплекс России, используя в атаках бэкдор собственной разработки. В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны. Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR. Фейковые сообщения распространяются от имени профильного регулятора.Подробнее

За последние 1,5 года только одна из преступных группировок LockBit получила более $125 млн. в виде выкупов. Согласно пресс-релизу Национального агентства по борьбе с преступностью Великобритании (NCA) было выявлено более 500 активных криптокошельков, на которые с июля 2022 по февраль 2024 года было перечислено более $125 млн.Подробнее

В открытом доступе обнаружен новый вредонос под названием SSH-Snake, который используется для незаметного перемещения по инфраструктуре жертвы, отмечают специалисты ИБ-компании Sysdig. SSH-Snake – это «самомодифицирующийся червь», отличающийся от обычных SSH-червей тем, что он избегает распространенных паттернов поведения, ассоциируемых с атаками по сценарию, обеспечивая этим большую скрытность.Подробнее

Исходный код третьей версии программы-вымогателя Knight продаётся на одном из форумов для киберпреступников. Шифровальщик нацелен на системы Windows, macOS, Linux/ESXi. Специалисты компании KELA, занимающейся мониторингом и анализом киберпреступности, обнаружили информацию, размещенную на форуме RAMP – «Продаю исходный код шифровальщика Knight 3.0, включая панель и сам локер». Эксперты отмечают, что эта версия отличается ускоренным на 40% шифрованием.Подробнее

Операторы программы-вымогателя Cactus в конце января 2024 года украли 1,5 ТБ внутренних данных техногиганта Schneider Electric и теперь требуют выкуп, пишет издание BleepingComputer. На сайте группировки в дарквебе злоумышленники выложили 25 МБ информации в качестве подтверждения утечки. Операторы Cactus грозятся опубликовать все данные, если корпорация не заплатит выкуп.Подробнее

Зловред распространяется в фишинговых письмах и эксплуатирует уязвимость в Windows SmartScreen. Эксперты компании Palo Alto Networks впервые зафиксировали Mispadu еще 5 лет назад и на этот раз зловред был обнаружен их специалистами. Новая волна хакерских атак сопровождается использованием опасных файлов-ярлыков, запакованных в ZIP-архив. Mispadu* эксплуатирует уязвимость под идентификатором CVE-2023-36025.Подробнее

Исследователь команды Snyk Security Labs сообщает об обнаружении четырех уязвимостей runC в инструменте CLI для создания и запуска контейнеров в Linux. Речь идет о проблемах безопасности CVE-2024-23652, CVE-2024-23653, CVE-2024-23651 и CVE-2024-21626. Все четыре уязвимости позволяют потенциальному злоумышленнику получить несанкционированный доступ к базовой ОС хоста, а, следовательно, конфиденциальным данным.Подробнее

Обнаружен новый вариант семейства вымогательских программ Phobos – Faust, информация была опубликована исследователями компании Fortinet. Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие используют сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Вместе с тем извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.Подробнее

Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2* при открытии специально созданного файла. Главная задача атакующего – убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить пользователя открыть определенный файл.Подробнее

«В ближайшие годы таргетированные фишинговые атаки достигнут определенного совершенства и будут максимально автоматизированы, поэтому рядовые пользователи сети Интернет скоро столкнутся с этими атаками в своей ежедневной деятельности», – заявил главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.Подробнее

Программа-вымогатель Kasseika использует технику «приноси свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD) для отключения антивирусных программ перед шифрованием файлов жертвы. В частности, авторы Kasseika выбрали драйвер Martini (Martini.sys/viragt64.sys), являющийся частью TG Soft VirtIT Agent System. Ранее вектор BYOVD использовался, например, для установки тулкита Sliver, пишет Anti-malware.ru.Подробнее

Киберпреступники из банды LockBit пишут, что «увели» чувствительные данные у сети американских заведений быстрого питания Subway. На днях злоумышленники добавили Subway в список жертв на своем сайте в сети Tor, пишет Anti-malware.ru. По словам операторов шифровальщика, они похитили сотни гигабайт конфиденциальных данных, включая информацию о доходе сотрудников, оборотах ресторанов, выплатах за франшизу и пр.Подробнее

В недавнем отчете компании Huntress было выявлено, что операторы программ-вымогателей вернулись к использованию софта для удаленного доступа TeamViewer в атаках на организации. О методах выявления вредоносной активности через анализ поведения пользователей рассказал киберэксперт Дмитрий Овчинников. Киберпреступники снова используют TeamViewer, легитимный инструмент удаленного доступа, для первоначального проникновения на корпоративные устройства и попыток развертывания шифровальщиков.Подробнее

Хакеры, используя вирус Phemedrone Stealer, атакуют пользователей ПК, пишет TechRadar. Эксперты говорят, что вирус использует уязвимости во встроенной защите операционной системы от Microsoft. Программа обходит алгоритмы Windows Defender SmartScreen и связанные с ним запросы. Для того, чтобы провести атаку на пользователей, хакеры создают отдельный сайт в интернете и взаимодействуют с вирусной программой через него.Подробнее

Среди функциональных возможностей NoaBot – самораспространение по типу сетевого червя, а также скачивание и выполнение на сервере дополнительных бинарников». Атаки ботнета проходят по всему миру. NoaBot – новый ботнет, основанный на известном Mirai. Он уже был замечен в компаниях криптомайнинга. Его особенность – самораспространяющийся компонент и SSH-бэкдор, пишут на сайте ИБ-компании Akamai.com.Подробнее

На прошлой неделе хакерская группировка Sticky Werewolf предприняла очередную попытку атаковать российскую фармацевтическую компанию. На этот раз злоумышленники отправили целевой компании фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий, пишет Securitylab.ru.Подробнее

Вирусная программа, названная Chameleon («Хамелеон»), распространяется через сервис Zombinder – набор приложений, выдающих себя за популярный браузер Google Chrome. Создали «Хамелеона» научили программу отключать некоторые функции смартфона, а затем воровать личные данные, об этом сообщает издание BleepingComputer. Одна из особенностей вирусного ПО – возможность отключения биометрического сенсора на Android-смартфоне.Подробнее

По данным исследования «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69%) пострадали как минимум от одного инцидента кибербезопасности. Больше половины из них – 58% оцениваются как критические. Среди основных причин подобных случаев опрошенные отметили недостаток инструментов для обнаружения угроз (15%) и нехватку внутренних профильных специалистов (10%).Подробнее

Хакеры нашли способ слежки за владельцами смартфонов Apple через сторонние клавиатуры. Об этом сообщает издание PhoneArena. Киберэксперт Полунин напомнил, что и в официальных магазинах периодически встречаются вредоносные приложения. Эксперты британской компании Certo Software выяснили, что киберперступники продавали пользователям, которые хотели следить за своими друзьями, знакомыми или другими людьми, вредоносные приложения.Подробнее

В технологии беспроводного обмена данными Bluetooth обнаружены две уязвимости. Их обнаружили исследователи французской Высшей инженерной школы EUROCOM. Используя данные проблемы безопасности, потенциальные злоумышленники могут перехватывать и расшифровывать передаваемую по Bluetooth информацию через так называемые атаки BLUFFS. Используя обнаруженные проблемы безопасности, злоумышленник может при генерации ключа шифрования сделать его недостаточно надежным.Подробнее

ИБ-компания Arctic Wolf обнаружила серию атак хакерской группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense и проникающую в корпоративные системы. В этих атаках, после успешной эксплуатации недостатков следует использование сервиса Qlik Sense Scheduler для установки дополнительных инструментов с целью получения удаленного управления.Подробнее

Хакеры атаковали пользователей компьютеров Apple, прислав им поддельное обновление браузера. Об этом сообщает издание BleepingComputer. Киберэксперт Дмитрий Овчинников предупредил, что в зоне риска находятся все пользователи, не только Apple. По словам специалистов, новый вирус распространяется через фейковые уведомления, которые предлагают обновить браузер Google Chrome или Apple Safari. Вирусные программы можно обнаружить на взломанных сайтах.Подробнее

Целенаправленные кибератаки на объекты транспортной инфраструктуры зафиксировал Минтранс. Статистику по кибератакам на отрасль озвучил директор департамента цифрового развития ведомства Дмитрий Скачков в ходе тематического круглого стола. С начала года в РЖД выявлено более 600 тысяч попыток атак на критическую инфраструктуру. По сравнению с 2021 годом эта цифра выросла в 20 раз. В 2023 году в РЖД зафиксировали 30 крупных инцидентов кибербезопасности.Подробнее

В недавних атаках Gamaredon был обнаружен новый USB-червь, облегчающий сбор информации и шпионаж. Юлия Парфенова, менеджер направления «контроль целостности» Efros DefOps, рассказала, как обнаружить USB-червя. Эксперты по кибербезопасности нарекли зловреда – LitterDrifter, он способен обеспечить максимальный охват целей в выбранном регионе, пишет Anti-malware.ru.Подробнее

Сети телеком-операторов России стали наиболее предпочтительной целью хакерских DDoS-атак по итогам третьего квартала 2023 года, сообщает «Коммерсантъ» со ссылкой на исследование ГК «Гарда». По словам экспертов, злоумышленники выбирают операторов потому, что они защищают не только свою ИТ-инфраструктуру, но и ресурсы потребителей.Подробнее