TV sat club

Как утверждают исследователи, последствия взлома могут оказаться столь же разрушительными и далеко идущими, как атаки в цепочке поставок SolarWinds. Ранее Microsoft сообщила, что атаку произвели китайские хакеры из группировки Storm-0558, а также рассказала о действиях злоумышленников в своей облачной сети и сервисах Azure, в частности о том, что при атаке использовались скомпрометированные ключи шифрования для онлайн-служб электронной почты Microsoft Exchange.



Однако, по мнению экспертов, Microsoft предоставила неполную информацию. «Злоумышленник смог получить новые токены доступа, воспользовавшись ранее выпущенными из-за ошибок в архитектуре», — говорится в отчёте Wiz. Как сообщается, эти недоработки уже были устранены. Токены использовались для доступа к электронной почте служб Outlook Web Access и Outlook.com. Однако позднее выяснилось, что ими можно было воспользоваться для получения доступа к различным службам, использующим Azure Active Directory (AAD) для аутентификации.

Wiz посоветовал клиентам определить все потенциально уязвимые приложения с помощью поиска поддельных ключей, обновить всех экземпляры Azure SDK и убедиться, что они не используют кешированную версию каких-либо сертификатов Microsoft OpenID. Microsoft заявила, что утверждения Wiz не подтверждаются никакими доказательствами. Тем не менее, Wiz считает, что взлом серьёзно подорвал доверие к Microsoft миллионов пользователей, которые использовали службы аутентификации Microsoft и сервис Microsoft OpenID для входа в свои учётные записи.

Киберпреступники из группировки Clop угрожают разглашением данных, принадлежащих ирландскому регулятору связи ComReg, доступ к которым они получили в результате атаки в мае 2023 г. Хакеры утверждают, что похитили 143 ГБ конфиденциальной информации. Об этом сообщил ирландский новостной портал Buzz.ie.

ComReg охватывает большую часть видов связи в Ирландии, включая интернет, телефонию и телевещание. В базе компании хранились сведения о телекоммуникационных компаниях. В связи с атакой ComReg был вынужден информировать многие компании об утечке их данных.

Как украли информацию

Данные были похищены в результате атаки программы-вымогателя. Для кражи использовалась уязвимости платформы передачи файлов MOVEit Transfer — это разработка Ipswitch, дочерней компании американской корпорации Progress Software.

Progress Software на своем сайте 31 мая 2023 г. объявила об обнаружении критической уязвимости MOVEit Transfer и призвала всех клиентов предпринять немедленно все необходимые для защиты действия. Издание Bleeping Computer сообщило 1 июня, что многие организации были взломаны, а данные украдены. Это подтвердил технический директор Mandiant Чарльз Кармакал (Charles Carmakal), который сказал Bleeping Computer, что атаки начались 27 мая, и что Mandiant в настоящее время расследует несколько инцидентов.

По данным CNN, пострадало также несколько федеральных правительственных учреждений США. Одной из жертв Министерства энергетики стал Oak Ridge Associated Universities, некоммерческий исследовательский центр, сообщил CNN представитель министерства. Другая жертва — подрядчик, связанный с пилотным заводом в Нью-Мексико, который утилизирует отходы, связанные с атомной энергией, сообщил его представитель.

Эксперт Фергал Лайонс (Fergal Lyons) из компании по кибербезопасности Centripetal сказал Buzz.ie, что кибератака с использованием MOVEit может иметь серьезные последствия на глобальном уровне. «Атака также вызывает опасения по поводу общей уязвимости критической инфраструктуры и подчеркивает необходимость более строгих мер кибербезопасности во всех отраслях» — отметил он.

Кто такие Clop

Группировку Clop, известную еще как TA505 и FIN11 ассоциируют с Россией. Она действует на киберпреступном рынке как минимум с 2018 г. и регулярно берет на себя ответственность за кибератаки. По оценкам, приведенным Buzz.ie, их жертвами стали почти 2 млн человек и более 350 организаций по всему миру.

В июне 2023 г. CNN сообщал, что Clop потребовала выкуп с жертв взломов, которые затронули сотрудников BBC, British Airways, нефтяного гиганта Shell и правительств штатов Миннесота и Иллинойс. Российский интернет-портал Securitylab.ru писал, что США назначили вознаграждение в $10 млн за сведения, которые помогут раскрыть личности русских хакеров Clop. Представители Министерства юстиции США заявили, что вознаграждение будет выплачено тем, кто предоставит информацию о лидерах или ключевых членах группировки Clop, а также о любых лицах или организациях, которые поддерживают ее деятельность.

Sygnal отмечает, что хотя количество интернет-пользователей, просматривающих пиратский контент, фактически сократилось на 900 000 за последние шесть лет, аудиовизуальный рынок испытывает растущие потери от пиратства. Помимо цифры в 3 миллиарда злотых, государственная казна ежегодно теряет около 1,86 миллиарда злотых.

Частичное сокращение масштабов пиратства в Польше является результатом систематических и дорогостоящих действий со стороны аудиовизуальной индустрии. Однако имеющиеся инструменты и правовые решения не в полной мере эффективны и необходимо адаптировать законодательство к европейским стандартам.

В отчете говорится, что в 2022 году количество посещений пиратских сайтов, предлагающих фильмы и сериалы, увеличилось примерно на 36%, а с нелегальным стримингом телеканалов — на 8,8% по сравнению с 2016 годом.

В нем также говорится, что масштабы потребления пиратского контента в Польше составляют около 7,36 млрд злотых в год. Зрители обычно тратят 30 злотых в месяц на просмотр пиратского контента в прямом эфире и 27 злотых в месяц на пиратский контент по запросу. В среднем пиратский контент просматривается в Польше 129,3 млн раз в месяц по состоянию на этот год.

Комментируя эти цифры, президент Sygnal Тереза ​​Вежбовска сказала: «Годовое потребление незаконно предлагаемого контента, оцениваемое в 7,36 млрд злотых, — это сумма, которая пошла бы на оплату годовой подписки на услугу VOD для всех интернет-пользователей в Польше, просматривающих видеоконтент. Анализируя эти данные, легче представить себе огромные убытки, которые интернет-пиратство приносит польской экономике и всей индустрии развлечений. Также стоит отметить, что пользователи нелегальных источников готовы платить около 30 злотых за доступ к платформам, предлагающим прямые трансляции, и 27 злотых за услуги VOD. Между тем легальные источники предлагают аналогичную стоимость подписки».

Ivanti EPMM открывает авторизованным пользователям и устройствам доступ в корпоративные и правительственные сети. Уязвимость CVE-2023-35078 позволяет обходить процедуру аутентификации и затрагивает все поддерживаемые и неподдерживаемые версии программы, развёрнутые до её обнаружения. При эксплуатации уязвимость позволяет любому желающему осуществлять удалённый доступ к личной информации пользователей мобильных устройств (имена, номера телефонов и другие данные), а также вносить изменения на взломанном сервере. В американском Агентстве по кибербезопасности и защите инфраструктуры (CISA) уточнили также, что уязвимость позволяет злоумышленникам создавать во взломанных системах учётные записи с административными привилегиями и вносить изменения в платформу.

Директор Ivanti по безопасности Дэниел Спайсер (Daniel Spicer) заявил, что компания оперативно выпустила обновления ПО, закрывающие уязвимость, и вышла на связь с клиентами, чтобы помочь им установить обновление. Он также заверил, что компания «подтвердила своё обязательство поставлять и поддерживать безопасные продукты, практикуя протоколы ответственного раскрытия информации». Вместе с тем, Ivanti скрыла подробную информацию об уязвимости, рейтинг которой составил 10 из 10, за «пейволлом» — для доступа к базе знаний требуется клиентская учётная запись, уточнил ресурс TechCrunch.

Истинные масштабы инцидента пока неизвестны: по данным поисковой службы Shodan, через интернет сейчас доступны более 2900 порталов Ivanti MobileIron, большинство из которых принадлежит американским клиентам.

По данным экспертов, злоумышленники использовали весьма продвинутые методы. В частности, они специально работали по конкретным компонентам веб-активов, добавляя к ним вредоносную функциональность. Для этого использовались специализированные пакеты NPM (Node Package Manager, это диспетчер пакетов для среды выполнения JavaScript Node.js). Злоумышленники также формировали специализированные командные серверы под каждый объект атаки и с их помощью эксплуатировали легитимные сервисы для незаконных действий.

Вредоносные компоненты NPM к настоящему времени удалены, их названия не раскрываются.

В ходе первой отмеченной атаки автор вредоноса загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником целевого банка. Модули содержали скрипт предустановки, активировавший последовательность инфекции. Чтобы дополнительно замаскировать атаку, ее оператор создал весьма убедительный профиль в соцсети LinkedIn.

После запуска скрипт определяет операционную систему жертвы и скачивает соответствующий компонент вредоноса второй стадии с удаленного сервера. Тот обозначен субдоменом в облаке Azure с названием атакованного банка.

В Checkmarx отметили, что это крайне умная тактика, поскольку она позволяет обходить традиционные методы блокировки доступа с сомнительных доменов: Azure в большей части случаев рассматривается как доверенный ресурс.

Вредоносом второй стадии оказывается Havoc, опенсорсный фреймворк для удаленного управления, который используется как средство вторжения и создания контрольного сервера. Опять же, это позволяет обойти традиционные механизмы обнаружения угроз, которые реагируют на использование более популярных у хакеров средств — Cobalt Strike, Sliver и Brute Ratel.

В феврале 2023 г. отмечена еще одна атака со стороны уже других злоумышленников, в ходе которой в репозиторий NPM был загружен пакет, «тщательно подготовленный для скрытного внедрения в веб-сайт целевого банка; он должен был оставаться в спящем состоянии до сигнала со стороны атакующих», — указывается в публикации Checkmarx.

Говоря конкретнее, этот компонент должен был перехватывать логины и выводить информацию в инфраструктуру злоумышленников.

«Безопасность цепочек поставок вращается вокруг защиты всего процесса разработки ПО и распространения, с начальных стадий и до внедрения в системы конечного пользователя, — указывается в материале Checkmarx. — Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, против которого любые последующие контрмеры оказываются неэффективными. Иными словами, ущерб уже нанесен».

Передаем вредоносы по цепочке

Атаки на цепочки поставок корпоративного ПО набирают популярность, причем это не зависит от того, используется ли опенсорсное ПО или нет.

Атаки на цепочки поставок, в частности, практикует русскоязычная хакерская группировка RedCurl, деятельность которой отслеживает компания F.A.C.C.T. RedCurl в основном используют собственный инструментарий, нередко обновляя его.

В ноябре 2022 г. эта группировка взломала неназванный российский банк, а в мае 2023 г. — австралийский. В обоих случаях речь шла о краже корпоративных секретов и информации о работниках.

По данным F.A.C.C.T., за последние четыре с половиной года злоумышленники совершили как минимум 34 атаки на организации в России, Великобритании, Германии, Канады, Норвегии, Украины и Австралии, причем 20 из них были нацелены как раз на российские организации.

Жертвами стали не только банки, но и строительные, консалтинговые, страховые, юридические организации, финансовые учреждения и банки.

«Любопытно, что в данном случае злоумышленников интересуют не деньги (что более всего ожидаемо в случае атак на банки), а информация. F.A.C.C.T. прямо указывает, что деятельность этой группировки сводится к корпоративному шпионажу и краже документов, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Русскоязычные кибергруппировки, как правило, воздерживаются от атак на российские организации, но не в данном случае. Все указывает, что это кибернаемники, работающие на тех, кто больше заплатит».

Уже примерно год компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов наши специалисты вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них — инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса Mega, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Список файлов, связанных с трояном: python39.dll — копия библиотеки из пакета Python с внедренным в нее вредоносным кодом; python.exe — оригинальный интерпретатор языка Python для запуска модифицированной библиотеки; idea.cfg — конфигурация с данными о расположении полезной нагрузки; idea.mp3 — зашифрованные модули трояна; fruit.png — зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы. На следующем изображении представлена общая схема алгоритма работы Trojan.Fruity.1.


Общая схема алгоритма работы Trojan.Fruity.1

Первый этап заражения

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

Второй этап заражения

Расшифрованный шелл-код (код №1) запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии (код №2), а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

Третий этап заражения

Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код №2 для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии (код №3).

Четвертый этап заражения

После выполнения предыдущих шагов Trojan.Fruity.1 запускает код №3. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.

Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии (код №4).

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelgänging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

Пятый этап заражения

При помощи внедренных в библиотеку шелл-кода (код №4) и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.

Специалисты «Доктор веб» напоминают, что скачивать программное обеспечение необходимо только из заслуживающих доверия источников — с официальных сайтов разработчиков и из специализированных каталогов. Кроме того, для защиты компьютеров необходимо установить антивирус.

«Сьогодні, на все порции була здійснена кібератака з боку росії. За підтримки Кіберполіції кібератаку відбили — усе працює» , — идеться у повидомленни.

Да, подтверждено доступ к ЄДЕБО, сайту и электроннимкабінетам вступників.


Сьгодні, 28 липня, — останній день проведення вступних випробувань до магістратури, отдак навчальні заклади, які мають відповідні можливости, можно продовжити до 30 липня включно. Подробну інформацию можно узнати на заводе.

Нагадаємо, 12 червня мультипредметного теста тих абітурієнтів, які вдались шахрайства під час його сдадання, будут анульовани .

По данным источника, причиной возникновения CVE-2023-32629 и CVE-2023-2640 стали изменения, добавленные в модуль OverlayFS (объединённая файловая система, которая накладывает одну ФС поверх другой) ещё в 2018 году. Они позволили реализовать функцию установки и удаления некоторых расширенных атрибутов файлов (trusted.overlayfs.* xattr) без проверки прав доступа.

Поначалу это не представляло проблемы — но в 2022-м в ядро Linux был добавлен патч, конфликтующий с исправлениями, характерными только для дистрибутивов Ubuntu. В результате проверка прав доступа перестала проводиться для гораздо большего количества файлов, и практически любой пользователь получил возможность получения root-прав после некоторых манипуляций с пространствами имён идентификаторов.

Эксперты отмечают, что для эксплуатации уязвимостей злоумышленнику требуется возможность локального выполнения кода в целевой системе, что делает удалённую атаку маловероятной. Тем не менее пользователям Ubuntu 14.04 и более свежих версий дистрибутива рекомендуется в любом случае установить обновление безопасности от 26 июля, чтобы сократить риск взлома своего ПК.

Система удалённого доступа VNC (Virtual Network Computer) используется службами техподдержки — она позволяет сотрудникам сервисов контролировать машины пользователей, но пользователи должны предоставить разрешение на работу программы, и они обычно видят, что делает специалист. Есть и скрытая разновидность этой системы HVNC (Hidden VNC), которая предоставляет удалённому оператору те же возможности, но не требует разрешения и не позволяет владельцу машины видеть манипуляций с ней.

Выставленный на теневом ресурсе инструмент продаётся с пожизненной «лицензией» за $60 тыс. Он включает в себя обратный шелл (Reverse Shell) и удалённый файловый менеджер, а протестирован инструмент был на машинах под управлением macOS от 10 до 13.2. В качестве гарантии работоспособности разработчики вредоноса разместили на эскроу-счёте администрации хакерского ресурса депозит в размере $100 тыс.

В качестве меры защиты владельцам компьютеров Apple рекомендовано регулярно обновлять ПО: вредонос работает на машинах под управлением macOS версии до Ventura 13.2, тогда как текущая версия платформы — 13.4.1. Если возможность установить актуальную версию macOS отсутствует, рекомендуется не устанавливать программ из неизвестных источников, ограничившись магазином Mac App Store, не открывать вложений из сомнительных писем электронной почты и не переходить по сомнительным ссылкам.

«Литрес» принёс извинения за произошедшую утечку и заявил, что начал ужесточать контроль за хранением пользовательских данных, усилит уровень защиты и будет следить за доступом к информации. Компания также проинформировала Роскомнадзор о случившемся.

Пользователям сервиса рекомендовано сменить пароли не только на сайте «Литрес», но и на всех других площадках, где использовался похожий пароль. В случае несанкционированных действий с аккаунтом, сервис пообещал по запросу их отменить. Это не первый случай утечки данных в России в последнее время. В начале июня торговая сеть «Ашан» также подтвердила утечку данных клиентов, включая имена, фамилии, номера телефонов и адреса электронной почты.

Утечка данных «Литрес» является частью тревожного тренда, свидетельствующего о росте киберпреступности. Вопрос безопасности персональных данных становится всё более актуальным, особенно в свете недавно предложенного законопроекта о введении штрафов для бизнеса до 500 млн рублей за подобные инциденты. Ситуация с «Литрес» подчёркивает необходимость более строгого регулирования и контроля за хранением и обработкой персональных данных, а также ответственного отношения к вопросам конфиденциальности и безопасности клиентов.