КиберСек

Новости Кибербезопасности

Автор: kibersec

  • Как приглашение в Zoom может стать капканом

    Как приглашение в Zoom может стать капканом

    На прошлой неделе Apple обновила свою систему защиты от вредоносных программ XProtect. Они добавили новые сигнатуры для блокировки нескольких новых видов вредоносного ПО, связанного с Северной Кореей, таких как FROSTYFERRET_UI, FRIENDLYFERRET_SECD и MULTI_FROSTYFERRET_CMDCODES.

    Исследователи SentinelLabs обнаружили новый тип вредоносного ПО, названный FlexibleFerret, который до этого не был замечен системой XProtect. Это вредоносное ПО распространяется через кампанию Contagious Interview, которая направлена на разработчиков и специалистов по кибербезопасности. Злоумышленники предлагают жертвам фальшивые приложения, убеждая их установить их под видом необходимых для интервью программ.

    FlexibleFerret использует различные трюки, чтобы проникнуть в систему жертвы. Оно маскируется под обновление Google Chrome, устанавливает несколько компонентов в системе и использует Dropbox для передачи украденных данных. Также оно взаимодействует с поддельным сервером Zoom.

    Это вредоносное ПО было обнаружено и признано опасным несколькими антивирусными программами. Киберпреступники продолжают совершенствовать свои методы атаки, переходя от таргетированных атак к массовому распространению через GitHub.

    Специалисты SentinelLabs предупреждают, что кампания Contagious Interview все еще активна, и советуют быть осторожными при скачивании неизвестных файлов и при проверке источников предложений о работе.

  • Скрытые хакеры: XE Group в цепочках поставок

    Скрытые хакеры: XE Group в цепочках поставок

    Эксперты компаний Solis Security и Intezer выявили новую тактику киберпреступной группы XE Group. С 2024 года они начали краденную информацию. Раньше они атаковали веб-приложения, чтобы украсть пароли, но теперь они используют уязвимости Zero-Day, чтобы заразить системы управления заказами и вставить вредоносные программы на веб-сайты.

    Специалисты нашли две серьезные ошибки в программе VeraCore, которую часто используют в логистике и складском хранении. XE Group использовала эти ошибки, чтобы загружать вредоносные программы на сервер, красть данные и получать доступ к учетным записям.

    XE Group оставалась незамеченной на системах жертв в течение многих лет, используя разные хитрости. Они даже активировали вредоносные программы, установленные в 2020 году. Они используют разные методы, например, внедряют вредоносные скрипты через загрузку изображений и скрывают свою активность с помощью PowerShell.

    Исследователи также обнаружили, что XE Group теперь собирает конфигурационные файлы сервера с помощью специального bat-файла. Эта группа известна с 2013 года и стала более сложной в своих атаках, используя уязвимости Progress Telerik, чтобы проникнуть в системы крупных компаний.

    XE Group продолжает развиваться и становиться опасной для бизнеса и государственных организаций. Специалисты рекомендуют обновить программное обеспечение VeraCore, провести аудит безопасности и использовать системы мониторинга для обнаружения аномалий. Важно также ограничить доступ к серверам и усилить политику аутентификации, чтобы защитить системы от атак XE Group.

  • Международный рейд против CVLT: жертвы ели волосы

    Международный рейд против CVLT: жертвы ели волосы

    В США арестованы два важных члена преступной группировки CVLT, которая обманывала и запугивала молодых людей в интернете. Они были администраторами группы, которая действовала в социальных сетях и играх.

    Полиция установила, что преступники выбирали наиболее слабых подростков, которые имели проблемы со здоровьем или сталкивались с насилием. Сначала они заставляли этих молодых людей создавать непристойные материалы, а затем шантажировали, угрожая разгласить их среди друзей и семьи.

    Операция по задержанию проводилась при участии различных полицейских служб из разных стран. Расследование выявило, что группа «The Com» заставляла своих жертв наносить себе увечья и совершать опасные действия, такие как отрезание волос, нанесение символов на теле и даже транслирование самоповреждений в прямом эфире.

    Несколько членов этой группировки уже были арестованы, в том числе те, кто занимал высокие позиции. Полиция продолжает работу по выявлению других участников этой преступной сети.

  • 70% жертв кибератак отказываются уступать вымогателям

    70% жертв кибератак отказываются уступать вымогателям

    В 2024 году сумма, которую компании платят вымогателям, уменьшилась на 35% по сравнению с предыдущим годом и составила $813,55 млн. Только около 30% компаний, которые стали жертвами киберпреступников, согласились заплатить выкуп.

    Хотя количество успешных атак в 2024 году установило новый рекорд – 5263 случая, это самое большое число за всю историю наблюдений. Одной из крупнейших выплат было $75 млн, переведенных группе Dark Angels от компании из списка Fortune 50. Но общее количество платежей снизилось, что говорит о том, что жертвы стали более упорными и не хотят платить вымогателям.

    Снижение суммы выплат объясняется несколькими факторами. Компании стали лучше готовиться к атакам, используя эффективные системы резервного копирования и укрепляя защиту. Доверие к обещаниям вымогателей удалять украденные данные снизилось, а юридическое давление заставляет компании отказываться от переговоров. Все больше организаций предпочитают восстанавливать системы самостоятельно, чтобы минимизировать ущерб от репутационных рисков.

    Проведение операций против кибергруппировок также сыграло свою роль. Одной из самых важных была операция «Кронос» против группировки LockBit. Группировка ALPHV/BlackCat также прекратила свою деятельность, что создало вакуум, который меньше организованные группировки не смогли заполнить.

    В целом, хотя количество атак остается высоким, жертвы становятся более упорными, а государство и бизнес ужесточают контроль над киберпреступниками. Это указывает на необходимость улучшения механизмов защиты от киберугроз.

  • Эйнштейн оценил новый уровень реалистичности OmniHuman-1

    Эйнштейн оценил новый уровень реалистичности OmniHuman-1

    Компания ByteDance, создавшая приложение TikTok, представила новую технологию под названием OmniHuman-1. Она может создавать видео людей на основе фотографий и звуков. Эта технология гораздо лучше существующих методов, потому что она может синхронизировать движения, мимику и голоса.

    OmniHuman-1 может делать видео, где человек говорит, поет или двигается, как будто он на самом деле там. Пример с видео, где Альберт Эйнштейн говорит, вызвал большой интерес. Некоторые эксперты считают это видео удивительно реалистичным и говорят, что технология приближает deepfake-видео к такому уровню, что их трудно отличить от настоящих записей.

    ByteDance пока не сказала, когда OmniHuman-1 будет доступен для всех, но уже видно, что эта технология может использоваться для создания цифровых аватаров и автоматического дубляжа видео. Ученые компании опубликовали техническую статью, где описали новый метод обучения модели, который объединяет текст, звук и изображения. Этот подход помогает улучшить алгоритмы и создавать видео разных форматов — от крупных планов до полноразмерных сцен.

    OmniHuman-1 может передавать выражения лица, движения губ и жесты с точностью, синхронизируя их с аудио. Например, видео с человеком, который дает лекцию, выглядит так, будто это живое выступление.

    Компания ByteDance продолжает развивать генеративные модели, несмотря на ограничения со стороны США. Другие китайские компании, такие как Kuaishou Technology, Zhipu AI, Shengshu Tech и MiniMax, также работают в этой области. Это показывает, что Китай активно участвует в развитии искусственного интеллекта, несмотря на санкции.

  • Apple Lightning-кабель превратился в игровую консоль Doom

    Apple Lightning-кабель превратился в игровую консоль Doom

    Запускать старые игры на необычных устройствах стало популярным хобби. Недавно один разработчик показал, как игра Doom работает на адаптере Apple Lightning – HDMI.

    Этот адаптер обычно используется для вывода изображения с iPhone и iPad на внешний экран. Но разработчик смог установить игру Doom на чипе внутри адаптера. Чтобы это сделать, он взломал защиту устройства и запустил игру.

    Хотя играть в Doom на таком устройстве неудобно, это все равно впечатляющий эксперимент. Запуск старой игры на адаптере Apple показывает, насколько мощными могут быть даже простые устройства. Подобные эксперименты проводились ранее на различных устройствах, таких как стетоскоп, трактор и кишечная палочка.

  • Мошенники из FCC: штрафы за тысячи звонков

    Мошенники из FCC: штрафы за тысячи звонков

    Федеральная комиссия по связи США (FCC) предложила оштрафовать компанию Telnyx на 4,49 миллиона долларов за то, что она не соблюдала правила проверки клиентов и помогала мошенникам делать звонки. Мошенники использовали сеть Telnyx, выдаваясь за «Группу по предотвращению мошенничества» от FCC. Они делали звонки, пугали и пытались обмануть людей, чтобы получить деньги.

    Telnyx не провела достаточную проверку клиентов, не запросив нужные документы для проверки. FCC говорит, что компания не сделала достаточно, чтобы предотвратить мошенничество. Telnyx отрицает все обвинения и считает, что FCC сделала ошибку.

    Теперь Telnyx должна пойти в суд, чтобы оспорить штраф и доказать свою невиновность.

  • AppleScript: от пользы к опасности для macOS

    AppleScript: от пользы к опасности для macOS

    Атаки на пользователей macOS становятся все популярнее. Исследователи заметили, что инфостилеры, способные украсть пароли, финансовые данные и другие личные сведения, стали активнее действовать.

    Самые распространённые вредоносные программы в 2024 году – Atomic Stealer (AMOS), Poseidon Stealer и Cthulhu Stealer. Они собирают информацию из браузеров, криптовалютных кошельков и менеджеров паролей, угрожая как бизнесу, так и обычным пользователям.

    Компания Palo Alto Networks отметила увеличение атак на 101% за последние два квартала. Инфостилеры стали самой большой группой нового вредоносного ПО для macOS в 2024 году. Один из важных факторов – использование AppleScript, встроенного механизма macOS, который позволяет киберпреступникам создавать вредоносные сценарии, маскируя их под системные запросы.

    Atomic Stealer (AMOS) появился в 2023 году и распространяется как вредоносное ПО как услуга. Авторы продают программу на форумах и в Telegram, а атаки чаще всего происходят через малвертайзинг – рекламу вредоносных программ, прикидывающихся под легальные приложения. AMOS украдет данные из браузеров, криптовалютных кошельков и мессенджеров.

    Poseidon Stealer, рекламировавшийся под никнеймом Rodrigo4, также распространяется через троянизированные установщики популярных программ. После запуска приложение просит ввести системный пароль и собирает данные с устройства, включая пароли из менеджеров BitWarden и KeePassXC. Затем Poseidon Stealer отправляет информацию на серверы злоумышленников.

    Cthulhu Stealer работает похожим образом, но его создатели активно продвигают малварь через Telegram. Он маскируется под программы для очистки macOS, но при установке запрашивает пароли от системы и кошельков MetaMask. Вредонос крадет данные из браузеров, криптокошельков, файловых хранилищ и даже из игры Minecraft, отправляя информацию на сервер атакующих.

    Хотя macOS обычно считается более безопасной системой, чем Windows, злоумышленники активно используют AppleScript, который позволяет выполнять команды в системе без дополнительных привилегий. Этот инструмент облегчает запуск вредоносного кода, создавая поддельные системные диалоги, через которые атакующие запрашивают пароль у жертвы или заставляют её отключить защитные механизмы.

    Анализ кода показывает, что все три инфостилера могут не только украсть данные, но и открыть путь для других атак, включая программы-вымогатели. Чтобы снизить риски, пользователям macOS стоит избегать загрузки ПО из ненадежных источников, ограничить выполнение AppleScript и использовать современные системы обнаружения угроз.

  • Противостояние сенаторов расширению полномочий DOGE

    Противостояние сенаторов расширению полномочий DOGE

    Министерство финансов США подтвердило, что приглашенный технический руководитель получил доступ только для чтения к платежной системе ведомства для оценки работы. Это было озвучено в ответном письме сенатору Рону Уайдену, который запросил объяснения.

    Том Крауз, гендиректор Cloud Software Group, который владеет Citrix и Netscaler, временно работает в Минфине в качестве специального государственного служащего. Его участие призвано помочь в поиске неэффективных процессов в системах ведомства. Сотрудники Минфина, работающие с Краузом, имеют доступ только к зашифрованным данным для оценки эффективности.

    Однако сенаторы выразили беспокойство по поводу доступа команды DOGE к системам Минфина. Они утверждают, что сотрудники Маска получили полный доступ к платежной системе, через которую проходят различные финансовые транзакции.

    Минфин подтвердил, что Крауз был приглашен в качестве консультанта для оценки эффективности федеральных платежных систем. Он работает с опытными специалистами министерства, соблюдая все стандарты безопасности и конфиденциальности. Кроме того, бывший инженер SpaceX и X Марко Элез также получил доступ к системе Минфина.

    Сенатор Уайден раскритиковал ответ Минфина, утверждая, что власти пытаются скрыть ситуацию, пока Маск укрепляет свое влияние. Профсоюзы подали иск против Минфина за передачу конфиденциальных данных граждан в распоряжение DOGE. Утверждается, что это нарушает закон о конфиденциальности. Сотрудники DOGE получили доступ к данным без необходимых разъяснений.

  • PDF-документ, который взломал телефоны в 14 странах

    PDF-документ, который взломал телефоны в 14 странах

    Шпионское программное обеспечение было использовано для незаконного наблюдения за журналистами и активистами в Италии и других европейских странах. Итальянское правительство сообщило, что кибератаки затронули граждан не менее чем 14 стран, включая Италию. Это стало известно после того, как компания WhatsApp раскрыла масштабную шпионскую кампанию.

    Национальное агентство кибербезопасности Италии начало расследование по поводу попыток взлома, в которых упоминается израильская компания Paragon Solutions. Итальянские власти утверждают, что правительство не имеет отношения к этой кампании и что ни журналисты, ни активисты не были подвергнуты слежке со стороны спецслужб.

    Среди пострадавших был журналист, писавший о правой партии, защитник прав мигрантов и активист из Ливии, проживающий в Швеции. WhatsApp передала итальянским властям данные о местонахождении жертв кибератаки.

    Злоумышленники направили свои атаки на телефоны с номерами из разных европейских стран. Они использовали вредоносные PDF-файлы для заражения смартфонов жертв. WhatsApp закрыла уязвимость, и компания Paragon Solutions отказалась комментировать инцидент.

    В сентябре 2024 года исследователи проекта Mythical Beasts провели исследование глобального рынка шпионского программного обеспечения. Они сосредоточились на компаниях, которые создают и продают программы для незаконного слежения за гражданами, журналистами и политическими оппонентами. Этот рынок остается недоступным и малоизученным, несмотря на угрозы для прав человека и национальной безопасности.

  • Молодой хакер из Испании взволновал мировые спецслужбы

    Молодой хакер из Испании взволновал мировые спецслужбы

    Полиция в Испании арестовала 18-летнего хакера по прозвищу Natohub, который признался в совершении кибератак на государственные учреждения США и Испании. Он атаковал Министерство обороны Испании, НАТО и даже армию США. В течение 2024 года ему удалось провести более 40 кибератак.
    Хакера арестовали в городе Кальпе (Аликанте), где он жил. Ему предъявили обвинения в несанкционированном доступе к компьютерам, утечке конфиденциальной информации, повреждении информационных систем и отмывании денег. При обыске его дома нашли компьютеры и более 50 криптовалютных кошельков. Хакер использовал анонимные мессенджеры и зашифрованные каналы, но его все равно нашли.
    Хакеру удалось получить доступ к базам данных НАТО и Организации гражданской авиации ООН (ICAO), откуда он украл личные данные сотрудников. Атака на ICAO была подтверждена в декабре, когда Natohub опубликовал украденные данные в даркнете. Он также заявил, что получил доступ к данным 14 000 делегатов ООН.
    Natohub также атаковал испанские организации, включая Службу занятости (SEPE), Генеральную дирекцию транспорта (DGT) и Министерство обороны. Полиция продолжает расследование, чтобы выяснить, действовал ли хакер один или с сообщниками.
    Этот случай стал одним из самых крупных в области киберпреступности в Испании. Он вызвал вопросы о защите от кибератак и показал, что современные методы защиты не всегда эффективны.

  • Microsoft готовит глобальное обновление защиты загрузки Windows UEFI CA 2023

    Microsoft готовит глобальное обновление защиты загрузки Windows UEFI CA 2023

    Компания Microsoft выпустила специальный скрипт для обновления загрузочных носителей Windows. Этот скрипт поможет пользователям и администраторам установить новый сертификат WindowsUEFICA 2023. Это обновление необходимо для защиты от программы BlackLotus, которая может обойти Secure Boot и установить вредоносное ПО на компьютере.
    BlackLotus— это опасный вирус, который может отключить защитные программы Windows, такие как BitLocker, HVCI и Microsoft Defender. Это дает злоумышленникам возможность установить вирусы на компьютер без вашего ведома.
    Microsoft выпустила исправление для уязвимостиCVE-2023-24932ещё в 2023 году. Однако это исправление необходимо активировать вручную, чтобы ваш компьютер был защищен. Microsoft предупреждает, что если не активировать это исправление, компьютер может быть подвергнут опасности.
    Когда вы активируете это обновление, новый сертификат Windows UEFI CA 2023 будет добавлен в базу данных Secure Boot. Это позволит вам устанавливать новые загрузчики, которые будут подписаны этим сертификатом. Также будет добавлен сертификат Windows Production CA 2011 в базу данных DBX, чтобы устаревшие загрузчики не могли быть запущены.
    Чтобы обновить установочные носители и избежать проблем с загрузкой компьютера, вам нужно будет использовать новый сертификат. Microsoft представила специальный скрипт PowerShell, который автоматически обновит ваши установочные носители. Перед использованием скрипта необходимо установить Windows ADK. После запуска скрипта ваши установочные файлы будут обновлены и подписаны новым сертификатом.
    Microsoft рекомендует всем администраторам тестировать обновление носителей до активации защиты. Официальное уведомление о необходимости активации будет отправлено за полгода до вступления в силу обязательных мер.