КиберСек

Автор: kibersec

  • Амстердамская полиция уничтожила киберпреступную базу ZServers

    Амстердамская полиция уничтожила киберпреступную базу ZServers

    Полиция в Амстердаме закрыла хостинг-провайдера ZServers/XHost, который использовали киберпреступники. Операция прошла 12 февраля и закончилась изъятием 127 серверов, которые использовались для распространения вирусов, управления ботнетами и проведения кибератак.
    Полиция провела расследование более года и выяснила, что ZServers/XHost предлагала пуленепробиваемый хостинг — это означает, что клиенты могли оставаться анонимными и использовать криптовалюты для оплаты, чтобы не оставать следов.
    На серверах были найдены инструменты группировок Conti и Lockbit. Установлено, что ZServers/XHost не только предоставляли техническую поддержку группам, но и защищали их от блокировки.
    В отличие от предыдущих случаев, когда против подобных сервисов принимались юридические меры, на этот раз полиция решила отключить серверы физически. Это помогло сделать все ресурсы на платформе недоступными.
    Расследование продолжается, и следователи надеются выяснить личности владельцев и пользователей нелегального хостинга. Арестов пока не было, но планируется.
    Этот случай показывает, что правоохранительные органы готовы использовать более строгие меры в борьбе с киберпреступностью. Проблема пуленепробиваемого хостинга остается актуальной, и власти Нидерландов уже говорят о необходимости ужесточения законов в этой области.
    Хотя операция была успешной, борьба с киберпреступностью продолжается. Преступники постоянно находят новые способы обхода блокировок, но закрытие ZServers/XHost послужило важным сигналом для индустрии хостинга — больше нельзя рассчитывать на полную безнаказанность.

  • Valve удалила игру из Steam из-за вредоноса

    Valve удалила игру из Steam из-за вредоноса

    Компания Valve удалила игру из магазина Steam, так как в ней был вредоносный код. Если вы скачали эту игру, лучше проверьте компьютер на наличие вирусов или переустановите операционную систему.

    Эта игра называется PirateFi и является игрой в жанре выживания с возможностью игры как в одиночном, так и в мультиплеерном режиме. На странице игры на Steam говорится, что есть 51 отзыв и общая оценка 9 из 10.

    Valve удалила эту проблемную игру на этой неделе, и на Reddit можно найти скриншот официального сообщения, которое компания отправила игрокам, которые скачали игру.

    Компания рекомендует пользователям провести сканирование компьютера антивирусом и, возможно, переустановить операционную систему, чтобы убедиться, что вредоносный код удален.

    Valve пока не назвала, какого именно типа вредоносный код был в игре.

  • Анализ сетевого трафика для обнаружения C2-сервера через QUIC

    Анализ сетевого трафика для обнаружения C2-сервера через QUIC

    Новые технологии предоставляют новые возможности, но также несут риски для безопасности. Протокол QUIC является ярким примером этой тенденции. Он используется злоумышленниками для достижения своих целей, так как новые протоколы, в отличие от устоявшихся, меньше изучены.

    Набор данных, используемый в исследовании, доступен для скачивания в конце статьи. Перед погружением в технические детали QUIC, важно помнить, что RFC – это спецификации, а не законы. Разработчики могут отклоняться от рекомендаций, чтобы удовлетворить свои потребности.

    QUIC объединил два отдельных рукопожатия TCP и TLS в одно. Рукопожатие QUIC начинается с пакета от клиента, содержащего важные параметры и сообщение Client Hello. Сервер отвечает серией пакетов, содержащих информацию для завершения рукопожатия.

    После завершения рукопожатия обе стороны могут обмениваться зашифрованными данными. QUIC также поддерживает миграцию соединения с помощью Connection ID. Пакеты 0-RTT позволяют клиенту отправлять данные до завершения рукопожатия.

    Длительные QUIC-соединения могут быть использованы для C2. Рукопожатие Merlin имеет уникальный шаблон, который можно использовать для обнаружения. Анализ продолжительности и шаблонов истории соединений могут помочь выявить подозрительную активность.

    Исследование показывает, что эффективное обнаружение C2 через QUIC может основываться на анализе продолжительности, отпечатка рукопожатия и других шаблонов соединений. Современные злоумышленники используют новые возможности, поэтому защитники должны развивать новые стратегии обнаружения.

  • Безопасность CI/CD и защита облачной разработки: опыт MWS

    Безопасность CI/CD и защита облачной разработки: опыт MWS

    Обеспечение безопасности в процессах CI/CD очень важно для компаний, которые используют облачные технологии. Когда у разработчиков много кода и команда большая, нужно использовать надежные методы защиты.
    Инженеры MTS Web Services (MWS) рассказывают о том, как они обеспечивают безопасность в GitLab CI/CD. Они контролируют доступ к репозиториям, настраивают правила безопасности и автоматически проверяют код на уязвимости. Это помогает предотвращать утечки данных и атаки.
    Тестирование безопасности на каждом этапе разработки позволяет быстро обнаруживать и устранять угрозы. Анализ кода (SAST и DAST), мониторинг контейнеров и использование защищенных артефактов помогают создать надежную защиту.
    Чтобы узнать больше о методах безопасности в облаке MWS, можно почитать статью на Хабре: Как защитить процессы разработки облачной платформы. Также можно изучить другие материалы на тему разработки облачных платформ.

  • Уязвимость в WinZip позволяет удалённое выполнение кода

    Уязвимость в WinZip позволяет удалённое выполнение кода

    В архиваторе WinZip нашли опасную ошибку, которая может позволить злоумышленнику управлять вашим устройством удаленно. Хорошо, что разработчики уже выпустили исправление для этой проблемы.
    Ошибку с номером CVE-2025-1240 вызывает неправильная обработка файлов в формате 7Z. По шкале CVSS уязвимость оценили в 7,8 баллов.
    Хакер может использовать эту ошибку, отправив вредоносный файл или ссылку на вредоносный сайт. Проблема заключается в том, что программа не проверяет данные, которые вводит пользователь при обработке файлов 7Z.
    Эксперты из Zero Day Initiative объясняют, что из-за отсутствия проверки данных пользователь может записать данные за пределы выделенной области памяти. Это позволяет злоумышленнику выполнить свой код в программе WinZip.
    Однако для использования уязвимости нужно убедить пользователя открыть специальный файл 7Z или посетить вредоносный сайт.
    Разработчики исправили ошибку CVE-2025-1240 в версии WinZip 29.0. Рекомендуется установить эту версию как можно скорее.

  • Хакеры Salt Typhoon игнорируют санкции и атакуют

    Хакеры Salt Typhoon игнорируют санкции и атакуют

    Китайская хакерская группа Salt Typhoon продолжает атаковать компании и университеты по всему миру, несмотря на санкции и внимание со стороны правительств. Они использовали уязвимости в сетевых устройствах Cisco, чтобы получить доступ к конфиденциальной информации. Хакеры также использовали перенастроенные маршрутизаторы для передачи данных на свои серверы, оставаясь незамеченными.
    Хакеры продолжают действовать с высокой интенсивностью, несмотря на санкции и другие меры. Эксперты считают, что атаки могут быть ещё более масштабными, чем уже известно. Власти США рекомендуют гражданам использовать защищенные приложения для общения, чтобы предотвратить утечку информации.

  • Palo Alto Networks представляет экстренный патч для PAN-OS

    Palo Alto Networks представляет экстренный патч для PAN-OS

    Компания Palo Alto Networks выпустила обновление для своей операционной системы PAN-OS, которая используется в их межсетевых экранах. Это обновление исправляет серьезную проблему безопасности (CVE-2025-0108), которая позволяет злоумышленнику обойти аутентификацию в веб-интерфейсе управления. Эта проблема оценена на 7.8 по шкале CVSS, но ее риск снижается до 5.1, если доступ к интерфейсу ограничен.
    Проблема заключается в том, что злоумышленник с доступом к управлению сетью может обойти аутентификацию и выполнить определенные PHP-скрипты. Хотя удаленное выполнение кода невозможно, это может негативно повлиять на безопасность и конфиденциальность системы.
    Уязвимыми оказались следующие версии PAN-OS:
    Исследователь безопасности Адам Кьюс из Searchlight Cyber, который обнаружил эту проблему, пояснил, что она связана с различиями в обработке запросов между компонентами Nginx и Apache, что позволяет провести атаку обхода каталога.
    Кроме того, Palo Alto Networks исправила еще две уязвимости:
    Для уменьшения риска, связанного с этой уязвимостью, рекомендуется отключить доступ к интерфейсу управления из Интернета или ненадежных сетей. Клиенты, которые не используют OpenConfig, могут отключить или удалить плагин из своих устройств.

  • Буферное переполнение в 2025: угроза и позор

    Буферное переполнение в 2025: угроза и позор

    ФБР и CISA сказали, что ошибки в программах, которые называются переполнением буфера, очень плохие. Они сказали, что разработчики должны перестать использовать старые и небезопасные способы написания программ. Эти ошибки делают продукты Microsoft, VMware и других компаний уязвимыми для кибератак.

    Переполнение буфера случается, когда программа пишет слишком много данных в память, и это позволяет злоумышленникам принимать контроль над системой. Хотя способы исправления этих ошибок известны, они всё равно появляются в новых продуктах.

    Недавно были обнаружены критические уязвимости, которые злоумышленники уже использовали для атак. Например, в Microsoft Hyper-V была уязвимость, позволяющая злоумышленникам повысить свои права, а в Ivanti Connect Secure можно было удаленно выполнять код. Также была уязвимость в VMware vCenter, где первая попытка исправить ошибку не сработала, и было еще несколько критических ошибок в Citrix и Linux.

    ФБР и CISA сказали, что чтобы избежать таких проблем, нужно использовать безопасные языки программирования, такие как Rust, Go и Swift. Они также рекомендовали производителям постепенно модернизировать свои продукты.

    Они также посоветовали использовать защитные механизмы в коде, такие как компиляторные флаги и инструменты, которые помогают выявлять ошибки управления памятью. И им также предложили тщательно тестировать код перед выпуском.

    ФБР и CISA сказали, что безопасность должна быть важной частью разработки программного обеспечения, и что игнорирование этого правила может быть опасно для компаний и для национальной безопасности США.

  • Троян в маске инди-хита проник в Steam

    Троян в маске инди-хита проник в Steam

    Компания Valve удалила игру PirateFi с платформы Steam из-за вредоносного программного обеспечения. Пользователи, которые скачали эту игру, получили предупреждение от компании, в котором рекомендовалось переустановить Windows, чтобы убрать угрозу.
    Игра PirateFi была выпущена 6 февраля и получила хорошие отзывы от игроков. Однако в коде игры было обнаружено вредоносное ПО, поэтому Valve удалила её из магазина. Компания советует пользователям просканировать свои компьютеры антивирусом и проверить установленные программы. Полная переустановка операционной системы считается наиболее надежным способом избавиться от угрозы.
    Нападения хакеров на игровую индустрию через вредоносное ПО уже неоднократно случались. Пользователям следует быть осторожными при скачивании контента, особенно с площадок как Steam. Valve пока не дала подробных комментариев по поводу этого инцидента. Пользователям, у которых есть PirateFi, советуется удалить игру и обеспечить безопасность своих данных.

  • CAPTCHA и PDF: Webflow стал орудием фишинга

    CAPTCHA и PDF: Webflow стал орудием фишинга

    Хакеры используют сеть Webflow для распространения поддельных PDF-документов, чтобы украсть данные о банковских картах. Они привлекают пользователей, ищущих книги и документы в интернете, и отправляют им фальшивые ссылки.
    На самом деле, за этими ссылками скрывается мошенническая схема. Жертвы переходят на страницу с CAPTCHA, думая, что это проверка на роботов. После успешного прохождения проверки, им предлагают скачать документ, но для этого им нужно ввести свои личные данные и данные о карте. После нескольких попыток пользователи видят сообщение об ошибке.
    Эта атака началась в 2024 году и направлена на пользователей, ищущих документы через поисковики. Эксперты советуют быть осторожными, проверять URL-адреса перед вводом данных и не доверять подозрительным файлам. Для безопасности рекомендуется использовать двухфакторную аутентификацию и антифишинговые решения.

  • Скрытые возможности нового бэкдора FINALDRAFT: 37 команд для атаки

    Скрытые возможности нового бэкдора FINALDRAFT: 37 команд для атаки

    Исследователи Elastic Security Labs обнаружили новую кибератаку, в ходе которой хакеры использовали мощный вредоносный инструмент FINALDRAFT. Целью атакующих стали внешнеполитическое ведомство одной из стран Южной Америки, телекоммуникационная компания и университет в Юго-Восточной Азии.
    FINALDRAFT написан на языке программирования C++ и позволяет хакерам удалённо управлять заражёнными системами. Он использует Microsoft Graph API для скрытого управления через черновики почтового сервиса Outlook.
    Атакующие использовали утилиту certutil для загрузки файлов с сервера, связанного с внешнеполитическим ведомством. Злоумышленники имели доступ к внутренней сети и украденные учётные данные.
    Атака начиналась с троянца PATHLOADER, который загружал зашифрованный код и внедрял его в память процесса «mspaint.exe». Этот код активировал FINALDRAFT, позволяя хакерам управлять системами.
    FINALDRAFT поддерживает 37 команд, включая управление файлами, внедрение в процессы и создание сетевых прокси. Он также может запускать процессы с украденными NTLM-хешами и выполнять PowerShell-команды.
    Атака была тщательно подготовлена, что свидетельствует о высоком профессионализме разработчиков. Однако ошибки в управлении кампанией и слабые меры сокрытия указывают на спешку или недостаточный контроль со стороны операторов.
    Группировка REF7707 продолжает активно действовать, что указывает на разведывательную направленность операции. Эксперты подчеркивают важность усиления кибербезопасности и постоянного мониторинга угроз для предотвращения подобных инцидентов в будущем.

  • Секрет креативности: открытия крупнейшего исследования мозга

    Секрет креативности: открытия крупнейшего исследования мозга

    Ученые из Mass General Brigham обнаружили, что разные части мозга, которые работают при творческих задачах, связаны между собой. Они изучили данные 857 людей из 36 исследований, чтобы понять, как работает мозг при креативности. Результаты исследования опубликованы в JAMA Network Open.

    Команда ученых из разных институтов под руководством Джулиана Кутше изучила активность мозга при творческих процессах, например, при рисовании, музыке и письме. Они также изучили данные пациентов с повреждениями мозга и болезнями, которые влияют на креативность.

    Исследование показало, что повреждения в разных частях мозга могут как уменьшать, так и увеличивать способность к творчеству. Например, повреждения в лобной доле могут ухудшить креативность, а повреждения в других областях могут наоборот улучшить ее.

    Интересно, что все части мозга, активные при творческих задачах, были связаны с правой лобной долей, которая отвечает за соблюдение правил. Это может означать, что для творчества нужно временно отключить свой «внутренний критик», чтобы мысли текли свободно.

    Исследование помогает понять, почему некоторые болезни могут влиять на креативность. Полученные данные также могут помочь разработать способы стимулирования мозга для улучшения творческого потенциала.

    Ученые продолжают исследовать, как изменения в мозге могут влиять на когнитивные функции.