1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Новости информационной безопасности

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 1 сен 2012.

  1. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    Последнее редактирование: 4 май 2019
    #1
  2. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 15 мар 2020
    Киберпреступники в ходе атак рассылают жертвам письма на тему COVID-19
    Киберпреступные группировки из Китая, Северной Кореи и России активно эксплуатируют тему пандемии коронавируса.

    [​IMG]
    Киберпреступные группировки из Китая, Северной Кореи и России активно эксплуатируют тему пандемии коронавируса (COVID-19) и используют фишинговые письма для заражения жертв вредоносным ПО и получения доступа к их системам.

    Первой группировкой, использовавшей тему коронавируса в качестве приманки, была группа Hades. Предположительно, преступники действуют из России и связаны с APT28 (Fancy Bear). По словам специалистов из компании QiAnXin, Hades провела upload_2020-3-15_20-44-2.png вредоносную кампанию в середине февраля, в ходе которой размещала троянский бэкдор в документах, замаскированных под электронные письма от Центра общественного здравоохранения Министерства здравоохранения Украины.

    Следующая группировка, использовавшая COVID-19 для обмана своих жертв, действовала upload_2020-3-15_20-44-2.png из Северной Кореи. Как отметили эксперты из южнокорейской компании IssueMakersLab, группа северокорейских преступников также разместила вредоносное ПО внутри документов, в которых подробно описывается реакция Южной Кореи на эпидемию COVID-19. Предполагается, что документы были отправлены южнокорейским чиновникам и заражены вредоносом BabyShark , который ранее использовался в ходе атак группировки Kimsuky.

    Больше всего вредоносных кампаний с использованием тем коронавируса пришло из Китая. Первая из двух атак произошла в начале марта. Вьетнамская фирма по кибербезопасности VinCSS обнаружила upload_2020-3-15_20-44-2.png , что преступная группа Mustang Panda распространяет электронные письма с вредоносным файлом RAR, якобы предназначенным для передачи сообщения о вспышке коронавируса от премьер-министра Вьетнама.

    Компания CheckPoint зафиксировала upload_2020-3-15_20-44-2.png преступную деятельность другой китайской группы под названием Vicious Panda. Злоумышленники нацелились на правительственные организации Монголии, отправляя документы с информацией о распространенности новых коронавирусных инфекций.
    Киберпреступники в ходе атак рассылают жертвам письма на тему COVID-19
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 5 апр 2020
    krolik: 2.147.483.646 Очки 5 май 2020
    МиРоТВоРеЦ нравится это.
  3. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 5 апр 2020
    Обзор уязвимостей за неделю: 3 апреля 2020 г.
    За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Chrome, браузер To и пр.

    [​IMG]
    На этой неделе были обнаружены уязвимости в Google Chrome, антивирусном ПО Avast, HTTP-сервере Apache, браузере Tor и пр.

    Компания Google выпустила исправления для устранения нескольких опасных уязвимостей ( CVE-2020-6450, CVE-2020-6451, CVE-2020-6452 ) в браузере Chrome (версии для Windows, macOS и Linux), наиболее серьезные из которых позволяли удаленному злоумышленнику выполнить произвольный код и перехватить контроль над целевой системой. CVE-2020-6450 и CVE-2020-6451 представляют собой уязвимости использования после освобождения в WebAudio, а последняя связана с переполнением буфера динамической памяти в компоненте Media.

    Производитель антивирусного ПО Avast устранил многочисленные уязвимости в своем программном обеспечении Avast Antivirus, в том числе четыре проблемы, позволявшие удаленно получить несанкционированный доступ к ограниченным функциям. Использование других исправленных компанией проблем позволяло вызвать состояние отказа в обслуживании или повысить привилегии в системе.

    В менеджере репозитеориев Sonatype Nexus было обнаружено три уязвимости, две из которых ( CVE-2020-10199, CVE-2020-10204 ) могут быть использованы для удаленного выполнения произвольного кода на целевой системе путем отправки специально сформированного запроса, третья (CVE-2020-10203) позволяет осуществлять межсайтовое выполнение сценариев (XSS).

    Apache HTTP Server содержит две проблемы ( CVE-2020-1927 и CVE-2020-1934 ), с помощью которых злоумышленник может получить доступ к конфиденциальным данным или перенаправить жертву по произвольному URL-адресу.

    Версии устройств Dell EMC iDRAC7, iDRAC8 и iDRAC9, предшествующие 2.65.65.65, 2.70.70.70, 4.00.00.00, содержат опасную уязвимость переполнения буфера в стеке ( CVE-2020-5344 ). Эксплуатация данной уязвимости позволяет удаленному неавторизованному злоумышленнику вызвать сбой в работе уязвимого процесса или выполнить произвольный код на системе путем отправки специально сформированных входных данных.

    Разработчики браузера Tor выпустили новые корректирующие версии (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), исправляющие две уязвимости . Первая уязвимость (CVE-2020-10592) затрагивала все версии браузера, начиная с выпуска 0.2.1.5-alpha, и могла быть проэксплуатирована любым злоумышленником для вызова отказа в обслуживании узлов, а вторая проблема (CVE-2020-10593) представляет собой удаленно эксплуатируемую утечку памяти, возникающую при двойном согласовании добавочных ячеек для одной и той же цепочки.

    Кроме того, на этой неделе была обнаружена уязвимость в клиенте Zoom для Windows, эксплуатация которой позволяла внедрять UNC-пути в функцию чата с целью похищения учетных данных пользователей Windows. В дополнение к краже учетных данных Windows, инъекции UNC также можно использовать для запуска программ на локальном компьютере при нажатии на ссылку. Злоумышленник может использовать путь устройства дисковой операционной системы для запуска приложения без запроса пользователя.
    Обзор уязвимостей за неделю: 3 апреля 2020 г.
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 5 апр 2020
    krolik: 2.147.483.646 Очки 5 май 2020
    МиРоТВоРеЦ нравится это.
  4. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 1 май 2020
    Новые ИБ-решения недели: 30 апреля 2020 года
    Краткий обзор новых предложений в сфере информационной безопасности.
    Компания Trustwave расширила охват своей уникальной платформы Security Colony , предназначенной для совместной работы в области кибербезопасности. Отныне с помощью данных, полученных от организаций по всему миру, платформа помогает решать актуальные проблемы в области кибербезопасности предприятиям за пределами Австралии, где была изначально создана.

    Trustwave Security Colony предоставляет организациям доступ к большому количеству ресурсов, в том числе к лучшим практикам консалтинговых инициатив, инструментам оценки рисков и рекомендациям квалифицированных ИБ-экспертов для укрепления своих позиций в области кибербезопасности.

    Amazon AppFlow – решение для автоматизации двунаправленных потоков данных между приложениями AWS и SaaS. Amazon AppFlow позволяет клиентам с различными техническими навыками, включая администраторов CRM и специалистов по бизнес-аналитике, легко настраивать частные двунаправленные потоки данных между сервисами AWS и приложениями SaaS без необходимости написания кода или выполнения преобразования данных.

    Amazon AppFlow также работает с AWS PrivateLink для маршрутизации потоков данных через сеть AWS, а не через общедоступный интернет, чтобы обеспечить еще большую конфиденциальность и безопасность данных.

    В настоящее время решение доступно для ограниченного ряда регионов: США (Вирджиния, Огайо, Орегон, Калифорния), Канады, Азии (Сингапур, Токио, Сеул, Мумбаи), Австралии (Сидней) и Европы (Ирландия, Париж, Лондон, Франкфурт) и Южной Америки (Бразилия). В будущем ожидается расширение охвата Amazon AppFlow.

    Компания DefenseCode добавила в свое решение для статического тестирования защищенности приложений (SAST) поддержку двух дополнительных языков программирования Go и ABAP, и теперь ThunderScan 2.1.0 поддерживает анализ безопасности 27 языков. Поддержка ABAP была добавлена в связи с возросшим числом запросов к DefenseCode по созданию современного синтаксического анализатора, так как многие критически важные для бизнеса системы основаны именно на ABAP.

    Компания Claroty улучшила свою одноименную платформу для защиты сред операционных технологий (OT) на предприятиях и в критически важной инфраструктуре. Claroty предоставляет широчайший в отрасли набор средств управления безопасностью OT в одном решении, что позволяет предприятиям легче и эффективнее снижать риски, связанные с расширением связи между OT и IT-сетями.
    Новые ИБ-решения недели: 30 апреля 2020 года
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 2 май 2020
  5. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 2 май 2020
    В связи с пандемией COVID-19 резко возросло число брутфорс-атак на RDP
    В связи с переходом компаний на удаленную работу возросло число плохо настроенных RDP-серверов.

    [​IMG]
    Специалисты «Лаборатории Касперского» сообщили о стремительном росте брутфорс-атак на протокол RDP, связанном с переходом многих компаний на удаленную работу из-за пандемии COVID-19.

    Резкий скачок числа брутфорс-атак на RDP (Bruteforce.Generic.RDP в терминологии ЛК) произошел ближе к середине марта, причем картина примерно одинакова по всему миру, отмечают в ЛК. Атаки осуществляются не точечно, а по площадям. Похоже, киберпреступники логично заключили, что в связи с экстренным переходом сотрудников по всему миру на удаленную работу возрастет число плохо настроенных RDP-серверов, поэтому увеличили количество атак.

    По мнению специалистов ЛК, в ближайшем времени прекращения атак на инфраструктуру, связанную с удаленным доступом (а также на различные сервисы, используемые для совместной работы) ожидать не стоит.

    Для защиты от атак на RDP компаниям рекомендуется использовать сложные пароли, сделать RDP доступным только через корпоративный VPN, использовать аутентификацию на уровне сети (Network Level Authentication, NLA) и включить двухфакторную аутентификацию. Если RDP не используется, рекомендуется выключить его и закрыть порт 3389.
    В связи с пандемией COVID-19 резко возросло число брутфорс-атак на RDP
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 2 май 2020
  6. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 5 май 2020
    Белорусские госструктуры атакует троян Pteranodon
    Заражение происходит через фишинговые письма с вредоносными документами, содержащими макросы.

    [​IMG]
    Национальный центр реагирования на компьютерные инциденты Республики Беларусь (CERT.BY) обнаружил в национальном сегменте интернета активность бэкдор-трояна семейства Pteranodon. В основном вредонос используется для атак на государственные структуры, но иногда также встречается на домашних компьютерах. К настоящему времени признаки заражения были обнаружены более чем на 400 устройствах.

    Инфицирование трояном происходит через фишинговые письма с вредоносными документами, содержащими макросы. После активации макросов и установки на взломанной системе Pteranodon позволяет своим операторам похищать конфиденциальные данные жертвы и устанавливает дополнительные вредоносные модули.

    Для выявления Pteranodon на компьютере рекомендуется проверить наличие его промежуточных файлов в str_AppDataPath + «\Microsoft\Windows\Start Menu\Programs\Startup\security.vbs». Ключ реестра: «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run» /v «OfficePlugin».
    Белорусские госструктуры атакует троян Pteranodon
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки (:-)) 5 май 2020
    krolik: 2.147.483.646 Очки 5 май 2020
  7. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 14 май 2020
    Злоумышленники атаковали суперкомпьютер ARCHER
    В результате кибератаки могли быть скомпрометированы SSH-ключи пользователей.

    [​IMG]
    Неизвестные злоумышленники атаковали узел авторизации одного из мощнейших суперкомпьютеров Великобритании ARCHER. Согласно уведомлению системных администраторов, SSH-ключи пользователей могли быть скомпрометированы в результате кибератаки, поэтому рекомендуется сменить пароли и SSH-ключи для ARCHER, если они также используются для авторизации на других ресурсах.

    По словам системных администраторов, помимо ARCHER злоумышленники атаковали целый ряд высокопроизводительных научных компьютеров по всей Европе. В настоящее время проводится расследование инцидента при участии Национального центра кибербезопасности Великобритании (National Cyber Security Centre, NCSC) при Центре правительственной связи.

    Как сообщил источник издания The Register, сервисом ARCHER пользуются специалисты в области вычислительной биологии, в том числе для моделирования дальнейшего распространения коронавируса, и вражеские государства могли осуществить атаку с целью похитить результаты исследований или вовсе сорвать их.

    ARCHER представляет собой суперкомпьютер Cray XC30, оснащенный 118 080 процессорами Intel Xeon E5. В этом месяце он должен был быть списан и заменен новым компьютером ARCHER2, но в связи с пандемией COVID-19 списание пришлось отложить. ARCHER расположен в Эдинбургском университете и занимает 334-е место в топ-500 мощнейших суперкомпьютеров в мире.

    Вычислительная биология – междисциплинарный подход, использующий достижения информатики (и вычислительной техники), прикладной математики и статистики для решения проблем, поставляемых биологией.

    Злоумышленники атаковали суперкомпьютер ARCHER
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 14 май 2020
  8. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 14 май 2020
    Как дети: мошенники создают фальшивые сайты на волне новых пособий

    Недавнее введение новых выплат для семей с детьми вызвало волну регистраций фейковых сайтов госуслуг и ресурсов «для проверки» на выдачу пособий, пишет «Коммерсантъ». С помощью поддельных сайтов мошенники собирают персданные пользователей, вынуждают их платить несуществующие штрафы и комиссии. Ситуацию прокомментировал начальник отдела безопасности «СёрчИнформ» Алексей Дрозд.


    – Действительно, число фальшивых сайтов увеличилось за последние три дня – с момента озвучивания Владимиром Путиным информации о мерах поддержки семьям. Среди названий есть домены с вариациями слов gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie – тематические сочетания, которые должны вводить в заблуждение. Мы насчитали около 30 новых доменов, которые явно эксплуатируют тему выплат детям.

    Пока сайты не заполнены – вероятно зарегистрированы на всякий случай и мошенники готовятся отзеркалировать дизайн оригинального сайта, когда будет ясность с его наполнением (по состоянию на 14 мая он выглядит, как на скриншоте ниже).

    [​IMG]

    Это очень предсказуемое поведение мошенников, и интернет-пользователям всегда нужно быть готовым к тому, что вслед за громким обещанием меры поддержки в сети появятся фальшивые страницы. Проверить сайт на фейк очень просто – прогнать название домена в любом сервисе whois, например, на портале регистратора reg.ru. В результате проверки сервис дает информацию о том, когда и кем был зарегистрирован домен. Подозрительно, когда сайт появился недавно и регистрировала его не компания, а частное лицо.

    Например, ниже сравнение данных об оригинальном сайте (первый скрин) и подделке (второй скрин).

    [​IMG]

    [​IMG]


    Источник: Как дети: мошенники создают фальшивые сайты на волне новых пособий - SearchInform
     
  9. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 24 май 2020
    Обзор уязвимостей за неделю: 22 мая 2020 года
    Были обнаружены уязвимости в Google Chrome, Apache Camel и Apache Tomcat, решении Cisco Unified CCX и пр.

    [​IMG]
    За последнюю неделю был обнаружен ряд уязвимостей в Google Chrome, Apache Camel и Apache Tomcat, решении Cisco Unified CCX, решении Schneider Electric EcoStruxure Operator Terminal Expert, плагине WordPress Infinite Scroll - Ajax Load More и пр.

    В интегрированной среде с открытым исходным кодом Apache Camel были устранены множественные уязвимости, две из которых были критические ( CVE-2020-11973 и CVE-2020-11972 ). Обе проблемы могут быть использованы для выполнения удаленного кода.

    Apache Software Foundation сообщил об опасной уязвимости ( CVE-2020-9484 ) в контейнере сервлетов Java с открытым исходным кодом Apache Tomcat, эксплуатация которой позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Проблема связана с некорректной проверкой десериализованных данных. Проблема затрагивает версии Apache Tomcat с 10.0.0-M1 по 10.0.0-M4, Apache Tomcat с 9.0.0.M1 по 9.0.34, Apache Tomcat с 8.5.0 по 8.5.54, Apache Tomcat с 7.0.0 по 7.0.103

    Компания Google исправила в своем браузере Chrome более 30 уязвимостей , в том числе несколько опасных: использование после освобождения в режиме чтения (CVE-2020-6465), использование после освобождения в медиа (CVE-2020-6466), использование после освобождения в WebRTC (CVE-2020-6467), несоответствие используемых типов данных в движке V8 (CVE-2020-6468) и некорректное применение политик в инструментах разработчика (CVE-2020-6469).

    Cisco исправила критическую уязвимость ( CVE-2020-3280 ) в решении Cisco Unified Contact Center Express. Уязвимость содержится в интерфейсе удаленного управления Java решения UCCX и связана с небезопасной десериализацией предоставленного пользователем содержимого уязвимым программным обеспечением. Злоумышленник может воспользоваться данной уязвимостью путем отправки вредоносного сериализованного Java-объекта уязвимой системе. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код с правами суперпользователя на уязвимом устройстве.

    В решении Schneider Electric EcoStruxure Operator Terminal Expert обнаружено множество уязвимостей, наиболее опасная из которых ( CVE-2020-7493 ) могла позволить удаленным злоумышленникам выполнить произвольный код.

    В бесплатном клиенте протокола удаленного рабочего стола FreeRDP содержатся более десятка уязвимостей , шесть из которых являются критическими и могут быть использованы для удаленного выполнения кода или осуществления DoS-атак.

    В плагине WordPress Infinite Scroll – Ajax Load More обнаружена уязвимость SQL-инъекций, эксплуатация которой позволяет удаленному злоумышленнику выполнять произвольные SQL-запросы в базе данных и читать, удалять и изменять информацию в базе данных.

    Компания Adobe выпустила внеплановое исправление для критической уязвимости ( CVE-2020-9586 ) в приложении для создания живых анимационных видеороликов с захватом движения Adobe Character Animator. Эксплуатация уязвимости позволяет злоумышленнику удаленно выполнить код на уязвимой системе. Проблема переполнения буфера в стеке затрагивает версии Adobe Character Animator 3.2 и старше и связана с синтаксическим анализом элемента BoundingBox в PostScript.

    Компания также выпустила исправления для Adobe Premiere Pro и Adobe Premiere Rush , устраняющие две проблемы, которые могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации.

    Обзор уязвимостей за неделю: 22 мая 2020 года
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 7 июн 2020
    krolik: 2.147.483.646 Очки 7 июн 2020
  10. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 7 июн 2020
    Обзор уязвимостей за неделю: 5 июня 2020 года
    Были обнаружены уязвимости в Google Chrome, Mozilla Firefox, FreeRDP и пр.

    [​IMG]
    Google исправила многочисленные уязвимости в браузере Google Chrome, четыре из которых являются опасными (CVE-2020-6493, CVE-2020-6494, CVE-2020-6495, CVE-2020-6496). Их эксплуатация позволяет удаленному злоумышленнику скомпрометировать целевую систему, выполнить спуфинг или обойти меры безопасности.

    Mozilla выпустила обновления, исправляющие многочисленные проблемы в Mozilla Firefox , Firefox ESR и почтовом клиенте Thunderbird . Эксплуатация ряда критических уязвимостей позволяет удаленному злоумышленнику выполнить произвольный код или скомпрометировать уязвимую систему.

    Apple выпустила обновления, исправляющие уязвимость ( CVE-2020-9859 ), которая использовалась для джейлбрейка iPhone с версией iOS 13.5. Уязвимость затрагивает ядро iOS и может позволить приложению выполнять произвольный код с привилегиями ядра.

    Выпущенные за последние 7 лет смартфоны LG оказались уязвимы к атаке «холодной перезагрузки». Проблема ( CVE-2020-12753 ) связана с некорректной проверкой ввода загрузчиком операционной системы Android в мобильных устройствах. Ее эксплуатация позволяет злоумышленнику выполнить произвольный код на системе, а для осуществления атаки необходим физический доступ к устройству. Проблема была исправлена производителем в мае 2020 года.

    Решение ABB Central Licensing System содержит опасную уязвимость ( CVE-2020-8475 ), которая может привести к утечке данных. Используя данную проблему, удаленный злоумышленник может получить доступ к конфиденциальной информации путем отправки специально сформированного XML-кода.

    В программном обеспечении для видеоконференций Zoom исправлены две критические уязвимости, которые могут позволить удаленному злоумышленнику записывать произвольные файлы на системах с установленными уязвимыми версиями Zoom. Уязвимости обхода каталога ( CVE-2020-6109 и CVE-2020-6110 ) могут быть использованы для выполнения произвольного кода. Одна проблема затрагивает версии 4.6.10 и 4.6.11, а другая — только версии 4.6.10 и старше.

    Fortinet FortiClient для Windows содержит уязвимость , позволяющую раскрыть информацию. Проблема связана с наличием встроенного криптографического ключа в файле конфигурации, с помощью которого злоумышленник может расшифровать конфиденциальные данные на целевой системе.

    В свободном клиентском протоколе удаленного рабочего стола FreeRDP и среде выполнения с открытым исходным кодом Node.js были исправлены многочисленные уязвимости, включая несколько критических (CVE-2020-11039, CVE-2020-11038, CVE-2020-11019 и CVE- 2020-8174), которые могут быть использованы для удаленного выполнения кода или осуществления DoS-атак.

    Обзор уязвимостей за неделю: 5 июня 2020 года
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 7 июн 2020
    krolik: 2.147.483.646 Очки 7 июн 2020
  11. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 13 июн 2020
    Новые ИБ-решения недели: 11 июня 2020 года
    Краткий обзор новых предложений в сфере информационной безопасности.

    [​IMG]
    Компания «Лаборатория Касперского» создала online-тренинг Kaspersky Automated Security Awareness Platform , который поможет сотрудникам организаций действовать кибербезопасно. Участники тренинга не только узнают правила кибербезопасности, но и отточат навыки с помощью интерактивных упражнений. Материал курса построен так, чтобы теоретические знания превращались в применимые на практике действия. В результате сотрудники смогут сами отличить поддельную ссылку, будут правильно хранить данные и использовать надежные пароли.

    Российский разработчик систем информационной безопасности, компания «СёрчИнформ» вывела на рынок новый продукт под названием СёрчИнформ Database Monitor . Решение относится к классу DAM (Database Activity Monitoring) и предназначено для автоматического мониторинга и аудита операций с базами данных и бизнес-приложениями. Система позволяет отслеживать все обращения пользователей к базам с чувствительной информацией, получать сведения о характере запросов, объеме и содержании выгрузок данных, чтобы вовремя выявлять скачивание конфиденциальных сведений и предотвращать их утечку.

    Компания «Оксиджен Софтвер» усовершенствовала функционал приложения-агента для извлечения информации из Android-устройств «Мобильный Криминалист». Теперь, если на устройстве поврежден USB-порт и отсутствует слот для карты памяти, установить агент и извлечь данные напрямую на компьютер исследователя можно через Wi-Fi. Кроме того, в версии «Мобильный Криминалист Детектив 12.0» и «Мобильный Криминалист Эксперт 1.6» появилась возможность создания скриншотов любого приложения на устройстве (мессенджера, социальной сети, почтового агента и других) за считанные секунды. Также был обновлен и интерфейс агента.

    Компания «Ростелеком-Солар» выпустила новую версию шлюза web-безопасности Solar webProxy 3.3, в которой реализована полностью преднастроенная политика контентной фильтрации интернет-трафика для банков. Политика обеспечивает защиту организаций в соответствии с требованиями ФинЦЕРТ Банка России и ряда руководящих ФЗ, стандартов и регламентов в сфере информационной безопасности для финансово-кредитных учреждений.

    В составе готовой политики фильтрации для банков реализовано автоматическое получение индикаторов компрометации – атрибутов файлов вредоносного ПО – из бюллетеней ФинЦЕРТ. С заданной периодичностью Solar web Proxy обращается к платформе Банка России по обработке инцидентов для поиска вновь поступивших данных о вредоносных ресурсах и файлах. Новые атрибуты выгружаются в систему для использования в политике и автоматически обновляются в уже существующих правилах.

    Компания IObit выпустила новую версию своего антивирусного продукта для Windows. IObit Malware Fighter 8 получил антивредоносное ядро IObit нового поколения, поддержку эвристического сканирования, функцию защиты электронной почты от фишинга/спама/других угроз, многоуровневую защиту конфиденциальных данных разных типов, включая файлы/картинки/видео/контакты и т.п.

    Компания Checkmarx анонсировала выпуск нового SaaS-решения Checkmarx SCA (CxSCA) для анализа компонентов программного обеспечения. Решение позволяет разработчикам быстро выпускать безопасное ПО, обеспечивая командам AppSec понимание и контроль, необходимые им для улучшения состояния безопасности ПО.

    Компания Zyxel Networks представила новую серию межсетевых экранов USG FLEX для SMB. Платформа USG FLEX продолжает традиции применения в продуктах Zyxel передовых технологий и предлагает весь пакет подписок на сервисы безопасности с «бесшовным» масштабируемым подключением к Сети через шлюз.

    Компания BitSight анонсировала новые возможности своего решения для управления киберрисками BitSight for Third-Party Risk Management . Усовершенствованная платформа помогает организациям повысить операционную эффективность и значительно снизить риски в рамках расширенной бизнес-экосистемы.

    Компания Nyxeia анонсировала новые выпуски инструментов, входящих в набор Information Governance Suite . В частности, крупные обновления получили продукты .discover и .policy, предназначенные для поиска информации в корпоративных сетях и управления ее полным жизненным циклом. Кроме того, в набор инструментов был добавлен продукт .preserve для сохранения цифровых активов.

    Компания Lumu представила новое решение Compromise Context , обеспечивающее надежный контекстуальный анализ подтвержденных скомпрометированных установок и тем самым позволяющее группам безопасности быстро и точно реагировать на инциденты безопасности. Новая контекстная функциональность была включена в облачную платформу Lumu Insights, которая собирает и стандартизирует сетевые метаданные из разных сетевых ресурсов и проводит их через запатентованный процесс Illumination Process для измерения технического расстояния между известными индикаторами компрометации.

    Новые ИБ-решения недели: 11 июня 2020 года
     
  12. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 15 июн 2020
    Антивирусное ПО улучшило показатели обнаружения stalkerware-приложений
    Многие антивирусные компании улучшили показатели обнаружения stalkware-приложений с ноября 2019 года по май 2020 года.

    [​IMG]
    Специалисты из независимой лаборатории антивирусного тестирования AV-Comparatives и организации Фонд Электронных Рубежей (Electronic Frontier Foundation) сообщили об улучшении показателей обнаружения шпионского ПО (stalkerware) на устройствах под управлением Android и Windows.

    Исследование проходило в два этапа: первый в ноябре 2019 года и второй — в мае 2020 года. Эксперты выяснили, как 10 мобильных антивирусных приложений для Android и 10 антивирусных решений для Windows справлялись с обнаружением одного из наиболее распространенных на сегодняшний день видов вредоносного ПО.

    Как показали результаты исследования, многие антивирусные компании улучшили показатели обнаружения в период с ноября 2019 года по май 2020 года. В случае Android уровень обнаружения stalkerware-приложений составлял 30% - 95%, а в случае Windows данный показатель и вовсе был низким — только две программы достигли 70%. Шесть месяцев спустя показатели обнаружения шпионского ПО у приложений для Android 9 и 10 значительно выросли и варьировались в пределах от 75% до 95%, тогда как решения для Windows выявляли вредонос как минимум в 70% случаев, а четыре программы — в 100% случаев.

    Stalkerware — вид шпионского ПО, используемого для слежки. Различие между stalkerware и шпионским программным обеспечением заключается в том, что stalkerware часто рекламируется в интернете как легитимное ПО и легкодоступно для обычного пользователя. Stalkerware часто маскируется под программное обеспечение для родительского контроля, отслеживания сотрудников и даже инструменты удаленного доступа, предназначенные для корпоративного сектора.

    Антивирусное ПО улучшило показатели обнаружения stalkerware-приложений
     
  13. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 16 июн 2020
    Сбой в работе систем оператора T-Mobile ошибочно приняли за DDoS-атаку
    Сбой в работе затронул не только пользователей, но и других операторов связи, включая Verizon, AT&T и пр.

    [​IMG]
    В компьютерных системах оператора беспроводной связи T-Mobile, размещенных в США, произошел серьезный сбой в работе. В результате инцидента миллионы пользователей остались без голосового и текстового обслуживания. Сбой в работе также затронул и других операторов связи, однако, по словам представителей крупнейшего по количеству абонентов оператора сотовой связи в США Verizon, именно T-Mobile виновата в возникновении технических проблем.

    Как сообщил генеральный директор T-Mobile US Майк Сиверт (Mike Sievert), связанный с IP-трафиком сбой в течение дня создавал серьезные проблемы с пропускной способностью ядра сети и затронул клиентов по всей стране. Службы передачи данных оставались работоспособными в течение всего времени простоя, но многие пользователи жаловались на невозможность доступа к online-сервисам.

    Некоторые пользователи социальных сетей быстро объяснили отключение систем DDoS-атакой, нацеленной на основные сервисы в США. Подобные выводы основывались на данных сервиса по отслеживанию DDoS-атак Digital Attack Map и сервиса Downdetector, отслеживающего работу популярных интернет-ресурсов.

    По словам соучредителя и генерального директора Cloudflare Мэтью Принса (Matthew Prince), заявления о сбое, вызванном DDoS-атакой, необоснованны, а цитируемые источники не являются надежными. Такой же точки зрения придерживается известный специалист по кибербезопасности Маркус Хатчинс (Marcus Hutchins), в 2017 году приостановивший эпидемию WannaCry.

    Сбой в работе систем оператора T-Mobile ошибочно приняли за DDoS-атаку
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 16 июн 2020
    krolik: 2.147.483.646 Очки 23 июн 2020
  14. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 17 июн 2020
    Производитель микросхем MaxLinear стал жертвой вымогателя Maze
    Операторы Maze опубликовали 10,3 ГБ бухгалтерской и финансовой информации компании.

    [​IMG]
    Американский производитель систем на кристале (SoC) MaxLinear сообщил о кибератаке со стороны операторов вымогательского ПО Maze, в ходе которой были зашифрованы данные некоторых компьютерных систем компании. Атака была обнаружена 24 мая.

    «Мы немедленно отключили все системы, привлекли сторонних экспертов по кибербезопасности для участия в нашем расследовании, связались с правоохранительными органами и работали над безопасным восстановлением систем таким образом, чтобы обеспечить защиту информации в наших системах», — сообщил производитель.

    По результатам расследования, преступники осуществили атаку в период с 15 апреля 2020 года по 24 мая 2020 года. Кибератака затронула лишь некоторые системы компании.

    15 июня операторы Maze опубликовали 10,3 ГБ бухгалтерской и финансовой информации из более чем 1 ТБ данных, предположительно украденных у MaxLinear. Как отметили представители компании, утечка данных может включать личную и финансовую информацию сотрудников, такую как имя, домашний адрес, корпоративный и персональный почтовый адрес, идентификационный номер, номер водительского удостоверения, номер финансового счета, номер социального страхования, а также информацию о дате рождения, месте работы, компенсациях и пособиях.

    После инцидента компания осуществила сброс паролей сотрудников предприятия и уведомила правоохранительные органы. Как сообщается в официальном заявлении, компания не намерена платить выкуп вымогателям, а утечка данных не окажет существенное или отрицательное влияние на операционные расходы.

    Производитель микросхем MaxLinear стал жертвой вымогателя Maze
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки 17 июн 2020
    krolik: 2.147.483.646 Очки 23 июн 2020
  15. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 18 июн 2020
    Услуги хакеров по найму набирают популярность в даркнете
    Одной из самых популярных услуг является взлом учетных записей в социальных сетях.

    [​IMG]
    Специалисты из компании Binary Defense исследовали ряд известных подпольных площадок в даркнете и сообщили, что услуга «хакеры по найму» (Hackers for Hire, HfH) вновь начинает набирать популярность

    Наиболее известными HfH-группировками в настоящее время являются:

    • Hack Group;

    • Rent-A-Hacker;

    • Hacker Group;

    • Black Hat Journal;

    • Hacker for Hire;

    • Stroller;

    • Hackse;

    • Xhacker;

    • Digital Hackers.
    Одной из самых популярных услуг, предлагаемых подобными сайтами, является взлом учетных записей в социальных сетях, таких как Facebook и Twitter. Когда злоумышленник перехватывает контроль над целевым аккаунтом, он публикует указанный покупателем контент от имени жертвы.

    Также хакеры по найму предлагают изменить оценки в школах и университетах, похитить пароль электронной почты учителя и изменить определенные данные, например, количество пропущенных уроков. Многие группировки предлагают курсы по обучению хакерству.

    Страницы злоумышленников не содержат сведений о том, как они взламывают учетные записи или как они получают пароли. Скорее всего, они делают это с помощью инфостиллеров, фишинга или узнают пароли из баз данных утекших ранее паролей.

    Цены за подобные услуги варьируются. Например, осуществление DDoS-атак обойдется от $99, разрушительное вмешательство в чью-либо жизнь — от $699, а подрыв репутации компании — от $899. Последнее включает в себя плохие отзывы, негативные рекламные кампании, дефейс сайта или его удаление и пр.

    Услуги хакеров по найму набирают популярность в даркнете
     
  16. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 19 июн 2020
    Обзор уязвимостей за неделю: 19 июня 2020 года
    Были обнаружены уязвимости в TCP/IP-стеке Treck, Drupal, продуктах Adobe, медиапроигрывателе VLC Media Player и пр.

    [​IMG]
    На этой неделе исследователи безопасности сообщили об опасных уязвимостях в проприетарном TCP/IP-стеке Treck, предназначенном для встраиваемых систем, которые подвергают сотни миллионов IoT-устройств угрозе удаленного взлома.

    Treck TCP/IP содержит в общей сложности 19 уязвимостей , объединенных под общим названием Ripple20. Их эксплуатация позволяет удаленно выполнить код, осуществить DoS-атаку и похитить конфиденциальные данные. Эксплуатация осуществляется путем отправки жертвам специально сформированных IP-пакетов или DNS-запросов, а в некоторых случаях атаки могут быть проведены непосредственно из интернета.

    Компания Adobe выпустила внеплановые обновления безопасности, устраняющие 18 критических уязвимостей. Эксплуатация проблем позволяет злоумышленникам выполнить произвольный код на системах с уязвимыми версиями Adobe After Effects , Illustrator , Premiere Pro , Premiere Rush и Audition под управлением Windows или macOS.

    В сервере приложений Apache TomEE была исправлена опасная уязвимость ( CVE-2020-11969 ), эксплуатация которой позволяет удаленному злоумышленнику получить несанкционированный доступ к приложению. Уязвимость связана с тем, что интерфейс JMX доступен неавторизованным пользователям через 1099/TCP-порт, если Apache TomEE настроен на использование встроенного брокера ActiveMQ, а унифицированный идентификатор ресурса (URI) брокера включает параметр useJMX=true.

    В продукте Oracle Human Resources интегрированной группы приложений Oracle E-Business Suite были обнаружены две опасные уязвимости ( CVE-2020-2587, CVE-2020-2586 ). Эксплуатация проблем позволяет удаленному авторизованному пользователю повышать привилегии в приложении. Успешная эксплуатация уязвимостей может привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или может быть использована для осуществления частичной DoS-атаки.

    Разработчики Drupal выпустили обновления, исправляющие ряд уязвимостей в ядре Drupal, в том числе одну RCE-уязвимость. Проблема (CVE-2020-13664) затрагивает версии Drupal 8 и 9. Злоумышленник может путем обмана заставить администратора посетить вредоносный сайт, что приведет к созданию в файловой системе специально именованного каталога. С помощью данного каталога злоумышленник может попытаться путем брутфорса проэксплуатировать уязвимость удаленного выполнения кода.

    Разработчики из некоммерческой организации VideoLan выпустили версию медиапроигрывателя VLC Media Player 3.0.11, исправляющую опасные уязвимости , две из которых (CVE-2020-9308, CVE-2020-13428) позволяют удаленно выполнить код. Третья проблема (CVE-2019-19221) — уязвимость чтения за пределами поля, позволяющая удаленному злоумышленнику похитить конфиденциальную информацию.

    Решение Rockwell Automation FactoryTalk View SE содержит критическую уязвимость ( CVE-2020-12029 ), эксплуатация которой позволяет удаленно выполнить код. Уязвимость связана с некорректной проверкой введенных пользователем данных в именах файлов в каталоге проекта.

    Обзор уязвимостей за неделю: 19 июня 2020 года
     
  17. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 22 июн 2020
    Adobe призвала пользователей удалить Flash Player
    Adobe Flash Player достигнет конца своего срока службы 31 декабря 2020 года.

    [​IMG]
    Компания Adobe призвала пользователей удалить Adobe Flash Player со своих компьютеров к 31 декабря 2020 года — сроку окончания поддержки программы (End of Life, EOL).

    По словам представителей Adobe, как только Flash Player достигнет статуса EOL, компания не только прекратит предоставлять обновления, но также намерена удалить все ссылки для загрузки Flash Player со своего web-сайта. Таким образом пользователи не смогут устанавливать программное обеспечение и продолжать использовать неподдерживаемую версию.

    Adobe также заявила, что «Flash-контент будет заблокирован для запуска в Adobe Flash Player после 31 декабря 2020 года. Предположительно, компания уже добавила или планирует добавить так называемую «бомбу замедленного действия» в коде Flash Player с целью предотвратить использование программы после достижения EOL.

    Причина подобных действий заключается в том, что Flash Player часто оказывалась целью киберпреступников и разработчиков вредоносных программ. Как только Flash Player достигнет EOL в конце года, Adobe не будет выпускать обновления безопасности, подвергая пользователей Flash риску атак.

    Adobe призвала пользователей удалить Flash Player
     
    Последние данные очков репутации:
    krolik: 2.147.483.646 Очки 23 июн 2020
    Stirik: 2.147.483.646 Очки 23 июн 2020
    Agasfar: 2.147.483.646 Очки 23 июн 2020
  18. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 23 июн 2020
    В AMD APU обнаружены три опасные уязвимости
    Уязвимости позволяют получить контроль над прошивкой UEFI и выполнить код на уровне SMM.

    [​IMG]
    В клиенте и встроенных процессорах AMD, выпущенных в 2016-2019 годах, обнаружены три высоко опасные уязвимости, получившие общее название SMM Callout Privilege Escalation. С их помощью злоумышленник с привилегированным или физическим доступом к устройству может выполнить произвольный код или получить контроль над прошивкой. Одна из трех уязвимостей (CVE-2020-14032) была исправлена производителем 8 июня, а патчи для двух других (одной присвоен идентификатор CVE-2020-12890 , а другая пока без CVE) появятся позднее в этом месяце.

    Как сообщает AMD, уязвимости затрагивают технологию программного обеспечения, поставляемую производителям материнских плат для использования в инфраструктуре Unified Extensible Firmware Interface (UEFI). Проблемы были обнаружены 2 апреля исследователем безопасности Дэнни Одлером (Danny Odler). Эксперт уведомил о них производителя и опубликовал подробности о CVE-2020-14032 13 июня после выхода исправления. Подробности о двух других уязвимостях не раскрываются до выхода патчей.

    По словам Одлера, проблемы существуют в гибридных процессорах AMD (Accelerated Processing Unit, APU), предназначенных для работы в качестве центрального и графического процессоров на одном кристалле. Исследователь протестировал уязвимости в UEFI (Unified Extensible Firmware Interface) продукта AMD Mini PC, выпущенного в декабре 2019 года в качестве альтернативы таким малогабаритным компьютерам, как Intel NUC и Gigabyte Brix.

    Все три уязвимости затрагивают технологию System Management Mode (SMM) – режим, ответственный за конфигурации процессора и чипсета, код производителя материнской платы и защищенные операции, такие как настройка безопасных загрузочных хэшей, конфигурации TPM (Trusted Platform Module) и управление питанием.

    Основной причиной возникновения уязвимости является отсутствие проверки адреса буфера назначения при вызове SmmGetVariable () в обработчике SMI 0xEF. Обработчик SMI 0xEF реализует логику-оболочку для получения данных в переменные UEFI и из них, что обеспечивает способ хранения данных, совместно используемых встроенным ПО платформы и ОС или приложениями UEFI. Функция SmmGetVariable использует значения ArgsStruct для поиска правильной переменной, считывает ее данные и сохраняет их в буфере. Однако эти значения ArgsStruct используются непосредственно «как есть» без какой-либо проверки.

    Из-за отсутствия проверки злоумышленник может записывать данные в наиболее защищенную память SMRAM, и, соответственно, выполнять код. Это дает ему возможность манипулировать микрокодом AMD в прошивке UEFI материнской платы (AMD AGESA).


    В AMD APU обнаружены три опасные уязвимости
     
    Последние данные очков репутации:
    Agasfar: 2.147.483.646 Очки 23 июн 2020
  19. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 24 июн 2020
    Разработчики Tails теряются в догадках, как Facebook и ФБР удалось взломать ОС
    За три года Facebook и ФБР так и не сообщили разработчикам Tails и GNOME Videos об уязвимости в их продукте.

    [​IMG]
    Разработчики анонимной операционной системы Tails пытаются выяснить подробности взлома, к которому прибегли Facebook и ФБР для поимки преступника, преследовавшего девушек в социальной сети.

    Как ранее сообщал SecurityLab, в 2017 году компания Facebook привлекла фирму, специализирующуюся на кибербезопасности, к разработке хакерского инструмента, позволившего взломать учетную запись Бастера Эрнандеса (Buster Hernandez) и собрать доказательства для его ареста. Этот инструмент затем был передан ФБР.

    Инструмент эксплуатировал так называемую уязвимость нулевого дня в видеоплеере GNOME Videos в составе ОС Tails, что позволило ФБР выяснить настоящий IP-адрес преступника.

    Хотя Facebook преследовала благую цель, проблема заключается в том, что ни компания, ни ФБР так и не сообщили разработчикам Tails и GNOME Videos об уязвимости в их продукте. По словам разработчиков ПО, они узнали о проблеме только после того, как история всплыла в СМИ, пишет Motherboard.

    «Facebook не проинформировала Tails об эксплоите и решила, что это нормально, поскольку разработчики Tails случайно исправили уязвимость в рамках не связанного [с эксплоитом] обновления», - указывается в публикации.

    По словам представителей Facebook, в середине июня нынешнего года компания предприняла попытку связаться с разработчиками Tails, а также получила подтверждение от ФБР, что хакерский инструмент использовался только в случае Бастера Эрнандеса. В ФБР отказались давать комментарии на вопросы журналиста Motherboard о том, применялся ли эксплоит в других расследованиях, находится ли инструмент во владении ФБР и намеревается ли ведомство предоставить информацию об уязвимости в рамках регламента сокрытия уязвимостей (VEP).

    Tails (The Amnesic Incognito Live System) - дистрибутив LiveCD Linux на базе ОС Debian, созданный для обеспечения конфиденциальности и анонимности. В Tails все исходящие соединения «заворачиваются» в анонимную сеть Tor, а все неанонимные - блокируются.

    «Процесс документирования уязвимостей» (Vulnerabilities Equities Process, VEP) - правила раскрытия уязвимостей федерального правительства США. Документ содержит список критериев, по которым в правительстве определяют, публиковать данные о важных уязвимостях или сохранить их в тайне для дальнейшего использования в наступательных кибероперациях.

    Разработчики Tails теряются в догадках, как Facebook и ФБР удалось взломать ОС
     
  20. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 28 июн 2020
    Обзор уязвимостей за неделю: 26 июня 2020 года
    Были обнаружены уязвимости в браузере Google Chrome, пакете Elliptic, браузере SafePay и пр.

    [​IMG]
    Компания Google выпустила обновление для своего браузера Chrome для Windows, macOS и Linux, исправляющее несколько уязвимостей, в том числе одну опасную ( CVE-2020-6509 ), которая позволяет удаленному злоумышленнику скомпрометировать уязвимую систему.

    В пакете Elliptic 6.5.2 для программной платформы Node.js обнаружена уязвимость, которая может быть использована удаленным злоумышленником для взлома целевой системы. Проблема ( CVE-2020-13822 ) позволяет вызвать изменчивость сигнатуры ECDSA из-за различий в кодировке, начальных байтов «\0» или целочисленных переполнений.

    В фармацевтическом оборудовании Baxter ExactaMix, широко используемом в секторе здравоохранения, обнаружен ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию или удаленно выполнить код. Одна из уязвимостей ( CVE-2017-0143 ) связана с ошибкой при разборе запросов на сервере Microsoft Server Message Block 1.0 (SMBv1). Удаленный неавторизованный злоумышленник может путем отправки специально сформированных SMB-пакетов выполнить произвольный код на целевой системе и полностью ее скомпрометировать. Пользователям рекомендуется обновиться до версии ExactaMix 1.4 (EM1200) и версии ExactaMix 1.13 (EM2400).

    Компания Bitdefender исправила уязвимость в защищенном браузере SafePay, предназначенном для защиты конфиденциальных online-транзакций, таких как online-банкинг и электронные покупки. Эксплуатация уязвимости ( CVE-2020-8102 ) позволяет злоумышленнику удаленно выполнять команды в контексте пользователя на системе и, в зависимости от привилегий пользователя, устанавливать программное обеспечение, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

    Adobe выпустила исправления для трех опасных уязвимостей в программном обеспечении Adobe Framemaker. Эксплуатация проблем ( CVE-2020-9636, CVE-2020-9634 и CVE-2020-9635 ) позволяет удаленно выполнить код.

    В версии плагина для WordPress gVectors wpDiscuz 5.3.5 и старше выявлена уязвимость ( CVE-2020-13640 ), позволяющая удаленному злоумышленнику внедрить SQL-код. Эксплуатация уязвимости может позволить удаленному злоумышленнику читать, удалять, изменять информацию в базе данных и получить полный контроль над уязвимым приложением.

    Обзор уязвимостей за неделю: 26 июня 2020 года
     
  21. unbreakable

    unbreakable Модератор

    Репутация:
    83.521.134.684
    unbreakable, 28 июн 2020
    Бэкдор GoldenSpy распространяется через ПО для уплаты налогов
    Вредонос распространяется через обязательные к установке приложения для уплаты налогов.

    [​IMG]
    Киберпреступники распространяют недавно обнаруженное вредоносное ПО GoldenSpy через зараженные приложения для уплаты налогов, обязательные к установке для некоторых компаний в Китае. Вредоносная операция началась в апреле нынешнего года, однако специалисты компании Trustwave обнаружили образцы GoldenSpy, датированные декабрем 2016 года.

    Одной из жертв новой вредоносной операции стала некая международная технологическая компания, сотрудничающая с правительствами Австралии, Великобритании и США. GoldenSpy проник в ее сети после того, как компания открыла представительство в Китае и по требованию местных банков установила приложение для уплаты налогов, разработанное Golden Tax Department of Aisino Corporation.

    Хотя приложение работало как положено, оно также установило на систему скрытый бэкдор, позволяющий злоумышленникам удаленно выполнять команды Windows, а таже загружать и запускать файлы.

    «По сути, это была широко открытая дверь в сети с привилегиями на уровне SYSTEM, подключенная к командно-контрольному серверу, отдельному от инфраструктуры ПО для уплаты налогов», - сообщил вице-президент Trustwave Cyber Threat Detection & Response Брайан Хасси (Brian Hussey).

    Вредонос подписан компанией Chenkuo Network Technology и работает совершенно отдельно от ПО для уплаты налогов, поэтому даже после удаления приложения остается на системе. Вредонос устанавливается на атакуемую систему через два часа после установки ПО для уплаты налогов, причем сразу в двух идентичных вариантах в виде постоянных сервисов автозапуска. Персистентность на системе обеспечивается за счет модуля exeprotector.

    «GoldenSpy работает с привилегиями системного уровня, что делает его очень опасным и способным выполнять любой код в системе, в том числе дополнительные вредоносные программы или средства администрирования Windows для сбора данных, создания новых учетных записей пользователей, повышения привилегий и т.д.», - отмечают специалисты Trustwave.

    Определить масштаб вредоносной кампании GoldenSpy специалисты не смогли. Также не установлено, являлось ли целью кибератаки хищение данных и сколько еще компаний, ведущих бизнес в Китае, стали жертвами GoldenSpy.
    Бэкдор GoldenSpy распространяется через ПО для уплаты налогов
     
Загрузка...