Кибербезопасность-обсуждение

[RW011]

Цитата:

Сообщение от ВВ

Доброго вечора.

Можливо хтось використовує, або використовував антивірус "Zillya! Антивірус — український антивірус", буду вдячний за відгук.

Я використовую періодично.Тільки Зілля-сканер.

Ось Тут:https://zillya.ua/index.php?q=zillya-skaner

Там не треба ніякого встановлення та регістрації.

[skaner2222]

Цитата:

Сообщение от RW011

Я використовую періодично.Тільки Зілля-сканер.

Ось Тут:https://zillya.ua/index.php?q=zillya-skaner

Там не треба ніякого встановлення та регістрації.

Уже проверил, диск С сканировал а на диске D будут ещё но тут и там в основном "кряки".

Самый лучший антивирус это голова которая думает, что ставит и что скачивать. Если нет доверия к файлу не качай и не устанавливай.

[ВВ]

Цитата:

Сообщение от skaner2222

Самый лучший антивирус это голова которая думает, что ставит и что скачивать. Если нет доверия к файлу не качай и не устанавливай.

Золоті слова.

Але є але.

[ВВ]

Цитата:

Сообщение от skaner2222

А то после твоих отзывах что он до фига всего наловил захотел опять попробовать.

То це я просканував Віндовс 11.
А ще хочу прогнати Віндовс 10 , тіки вже сканером, що там найде , напевно , теж є сюрпрайз

Далі відпишусь.

[ВВ]

Цитата:

Сообщение от ВВ

То це я просканував Віндовс 11.
А ще хочу прогнати Віндовс 10 , тіки вже сканером, що там найде , напевно , теж є сюрпрайз

Далі відпишусь.

так , як я вказував , що відпишу.

Так ось , просканував 10-ку , політ нормальний , загроз не найдено.

Можливо , що з 11-го видалело у розділі 10-го. Розумієте.

Усім дякую, за перегляд, та за увагу.
Гарного вечора.

По менше троянів, і не тіки

[RW011]

10 самых опасных вирусов и вредоносных программ в 2023

1. Программа-вымогатель Clop

1:

Программа-вымогатель – это вредоносная программа, которая шифрует ваши файлы и требует заплатить выкуп хакерам за разблокировку. “Clop” является одной из новейших и самых опасных вредоносных программ. Он является разновидностью хорошо известной программы-вымогателя CryptoMix, которая часто совершает атаки на пользователей Windows.
Перед началом процесса шифрования, программа-вымогатель Clop блокирует более 600 процессов Windows и отключает несколько приложений Windows 10, в том числе Защитник Windows и Средства обеспечения безопасности Майкрософт, оставляя вас без шансов на защиту ваших данных.
Программа-вымогатель Clop развивается с момента своего появления и уже способна атаковать целые сети вместо отдельных устройств. Жертвой программы-вымогателя Clop стал даже Маастрихтский университет в Нидерландах – практически все устройства сети с операционной системой Windows оказались заблокированными с целью получения выкупа

.


2. Подставные обновления Windows (Скрытые программы-вымогатели)

1:

В последнее время хакеры все чаще отправляют электронные письма с просьбой установить срочные обновления ОС Windows. Письма обманом заставляют пользователей установить “последние” обновления Windows, которые на самом деле являются замаскированными программами-вымогателями в формате ‘.exe’.

Программа-вымогатель из подобных писем известна как Киборг (Cyborg). Она шифрует все ваши файлы и программы и требует выкуп за разблокировку файлов.

К сожалению, многие поставщики служб электронной почты и базовые антивирусы не способны обнаружить и заблокировать подобные электронные письма. Поэтому необходимо использовать антивирус, обеспечивающий надежную защиту и защищающий от опасных электронных писем.

3. Zeus Gameover

1:

Zeus Gameover является одной из разновидностей вирусов и вредоносных программ семейства “Zeus”. Данная вредоносная программа является Трояном – вредоносной программой, которая маскируется под обычную программу и получает доступ к вашим банковским данным и ворует ваши средства.

Хуже всего, что данной разновидности вредоносных программ семейства Zeus для совершения транзакций не требуется доступ к централизованному серверу “командования и управления”, что является слабым местом многих кибератак, отслеживаемых государственными органами. Вместо этого, Zeus Gameover обходит центральные серверы и создает независимые серверы для отправки конфиденциальной информации. Поэтому вы фактически не можете отследить ваши украденные данные.

4. RaaS

1:

“RaaS” или Программы-вымогатели как услуга (Ransomware as a Service) — это растущая индустрия в подпольных хакерских кругах. Люди без опыта разработки и выполнения атак сложными программами-вымогателями могут заплатить профессиональному хакеру или команде хакеров за организацию атаки.

Рост подпольной индустрии RaaS вызывает беспокойство, демонстрируя как просто злоумышленники без опыта создания и разработки вредоносных-программ могут заразить компьютер программой-вымогателем.

5. Атаки новостных вредоносных программ

1:

Киберпреступники часто используют актуальные новости и мировые события для заражения компьютеров вредоносными программами.

Одним из примеров являются атаки хакеров на обычных пользователей при помощи вредоносных программ под прикрытием информации о вспышке COVID-19 (Коронавируса). Хакеры отправляют электронные письма, замаскированные под официальную информацию об эпидемии. Читателей просят перейти по ссылке для получения подробной информации, однако ссылка содержит вредоносную программу, которая копирует файлы на ваше устройство и ворует персональные данные.

В настоящее время исследования нацелены на изучение распространения данной вредоносной программы в Японии. При этом, во время любых событий, привлекающих много внимания, подобные программы могут стать мировой проблемой.

6. Fleeceware

1:

Fleeceware – это вредоносные программы, которые снимают со счетов пользователей приложений крупные суммы даже после удаления данных приложений. Недавние исследования показали, что за последние годы более 600 миллионов пользователей Android загрузили Fleeceware на свои устройства.

Несмотря на то, что Fleeceware не представляет значительной угрозы безопасности устройств и данных пользователя, они очень распространены и являются примером недобросовестной практики разработчиков приложений собрать деньги с ничего не подозревающих пользователей.

7. Атаки на IoT-устройства

1:

Из-за роста в 2023 году популярности IoT-устройств (Internet of Things, интернет вещей), к которым относятся умные колонки и видеозвонки, хакеры ищут новые способы воспользоваться данными устройствами для получения ценной информации.

Хакеры выбирают IoT-устройства по нескольким причинам. Во-первых, у большинства IoT-устройств недостаточный объем хранилища для установки надежных средств обеспечения защиты. Данные устройства зачастую содержат данные со слабо защищенным доступом, например пароли и имена пользователей, которыми могут воспользоваться хакеры для входа в аккаунты и кражи ценной информации, например банковских реквизитов.

Хакеры также могут использовать подключенные к интернету камеры и микрофоны для шпионажа и общения с людьми, в том числе с детьми через устройство “видеоняня”.

Подобные устройства также могут являться слабым звеном корпоративных сетей – это значит, что хакеры могут получить доступ ко всем системам через IoT-устройства и распространять вредоносные программы по всей сети.

8. Социальная инженерия

1:

Люди являются возможно самым слабым звеном в любом протоколе безопасности. Поэтому для получения доступа к персональным данным киберпреступники переходят на психологию и обман.

Хакер связывается с компанией или провайдером и представляется другим человеком. Он задаёт вопросы об аккаунте жертвы и обманывает специалистов службы поддержки для получения отдельных ценных сведений. После этого, они используют данную информацию для получения доступа к аккаунту и данным жертвы, в том числе к платежным реквизитам.

Сама по себе социальная инженерия не является разновидностью вредоносной программы, однако она развивается пугающими темпами, поскольку в данном случае хакерам не требуются знания программирования и разработки вредоносных программ. Вместо этого, для получения требуемых сведений злоумышленникам необходимо убедить человека совершить ошибку и потерять бдительность.

9. Криптоджекинг

1:

Программы для криптоджекинга (или вредоносного майнинга) используют вычислительные мощности для помощи в “майнинге” криптовалют, например Биткоина. Майнинг задействует значительные вычислительные мощности для создания криптовалюты, поэтому хакеры пытаются установить программы для криптоджекинга на ваши компьютеры и мобильные устройства и ускорить процесс майнинга, при этом значительно замедляя устройства пользователей.

Несмотря на значительный спад криптоджекинга в последние годы, в большей степени из-за падения стоимости криптовалют, данная угроза остается актуальной. Из-за роста цен на криптовалюты в 2023 году, криптоджекинг останется прибыльным видом атак для киберпреступников.

10. Атаки с использованием искусственного интеллекта (AI)

1:

В настоящее время появляется все больше инструментов для написания AI скриптов и программ, что дает хакерам возможность использовать данную технологию для проведения мощных атак.

Несмотря на то, что компании из сферы обеспечения кибербезопасности используют искусственный интеллект и алгоритмы машинного обучения для помощи в борьбе с вредоносными программами, данные технологии также могут быть использованы для взлома устройств и сетей в огромных масштабах.

Киберпреступники зачастую тратят на кибератаки много времени и ресурсов. Поэтому с развитием технологий искусственного интеллекта и машинного обучения, в 2023 и последующих годах нам следует ожидать от хакеров разработки высокотехнологичных и разрушительных вредоносных программ, основанных на искусственном интеллекте.

[Sereqa]

Хакеры заразили вредоносными программами серверы российского телеканала

Неизвестные хакеры заразили вредоносными программами серверы телеканала ...... Они попытались ограничить доступ ко всем ресурсам редакции, приостановить работу монтажеров отдела новостей и заблокировать возможность ведения прямого эфира. Заместитель генерального директора телеканала Алексей Коваль сообщил, что все усилия хакеров оказались напрасными.
Все обязательства перед зрителями и партнерами телеканала ..... выполняются в полном объеме. Незначительное ограничение функционала коснулось интерактивных элементов оформления, — пояснил Коваль.
Команда телеканала смогла продолжить вещание и сохранить все программы эфирной сетки. Единственное, что могли заметить зрители из-за хакерской атаки, — отсутствие привычной температурной карты Подмосковья во время прогноза погоды. На данный момент продолжаются работы по устранению неполадок и возвращению эфира к полноформатному оформлению. Отмечается, что это не первая атака на серверы телеканала, но самая массированная.
Хакеры ранее получили доступ к базам данных пассажиров российской компании «Сирена-Трэвел». По имеющимся данным, файлы содержат информацию о пассажирах авиакомпаний и их страховках за период с 2007 по 2023 годы.

[Sereqa]

В Україні розпочався «Місяць кібербезпеки»

читать дальше:

Традиційно у жовтні в США, країнах ЄС та багатьох інших країнах по всьому світу проводять різноманітні заходи, покликані привернути увагу суспільства до питань кіберзахисту
Ураїна вже кілька років поспіль підтримує цю ініціативу. Забезпечення надійного кіберзахисту – одне з ключових завдань для кожного українця та організації будь-якої форми власності. Адже кібервійна триває, а загроза з боку російських хакерів не знижується. У сучасному цифровому світі, кіберзагрози стають все більш серйозними, і важливо приділяти належну увагу захисту своїх персональних даних, комп’ютерних систем та мереж.
За час повномасштабного вторгнення Україна відбила понад 10 000 атак на органи державної влади різного рівня, критичної інфраструктури, приватного сектору та цивільного населення. Атакуючи українські організації та установи, російські хакери намагаються дістати доступ до важливої інформації, яка може бути корисною їхнім кураторам.
Тож щоб посилити цифрові навички, протистояти сучасним кібератакам та покращити загальний рівень захищеності нашого суспільства від кіберзагроз, управління з питань цифрового розвитку облдержадміністрації рекомендує ряд матеріалів, які в час війни мають особливо важливе значення:

Кібербезпека- важлива!
Основи кібергігієни
Кіберняні
Обережно! Кібершахраї
Персональні дані
Про кібербулінг для підлітків
Безпека дітей в інтернеті для батьків
«Кібербезпека під час війни»
Навіщо вам кібергігієна?
Як військовослужбовцям безпечно користуватися смартфоном?
А також протягом кібермісяця Державна служба спеціального зв’язку та захисту інформації України із фахівцями Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, розповідатимуть про різноманітні аспекти кібербезпеки.

[Sereqa]

Великобритания запретит Snapchat использовать данные, которые собирает чат-бот My AI

читать дальше:

Комиссариат по защите информации в Великобритании выдал ответственной за платформу Snapchat компании Snap предварительное уведомление о принудительном исполнении в отношении работающего в приложении чат-бота на базе искусственного интеллекта.
Компания Snap, по версии ведомства, потенциально неспособна должным образом оценить риски для конфиденциальности, связанные с работающим в Snapchat чат-ботом My AI. Если комиссар выпустит окончательную версию документа, платформа может быть вынуждена прекратить обработку данных, связанных с чат-ботом. «Предварительные результаты нашего расследования свидетельствуют о тревожной неспособности Snap адекватно выявить и оценить угрозы конфиденциальности для детей и других пользователей перед запуском My AI», — говорится в заявлении комиссара по защите информации Джона Эдвардса (John Edwards).
В Snap заявили, что подробно изучат решение ведомства. «Мы стремимся защищать конфиденциальность наших пользователей. My AI прошёл тщательную юридическую проверку и проверку конфиденциальности, прежде чем стал общедоступным», — добавил представитель компании. Чат-бот My AI, который позиционируется как «виртуальный друг в Snapchat», помог платформе диверсифицировать поток доходов за счёт платной подписки: в феврале он вышел для премиальных подписчиков в Великобритании, а в апреле стал доступен всем. Чат-бот работает на основе технологии OpenAI ChatGPT.

[RW011]

Система кібербезпеки України
Систему кібербезпеки України формують:

1:

1.Академічна кібербезпека (ВНЗ, дослідницькі інститути і т. д.);
2.Державна кібербезпека (законодавча база, Держспецзв'язку(CERT-UA),
кіберполіція, СБУ, Міністрество оборони, Розвідувальні органи, НБУ.);
3.Комерційна кібербезпека (вендори, програмні та апаратні рішення, методики та методи, досвід, технології і т. д.).
4.Некомерційні волонтерські та громадські організації (ІнформНапалм, Український кіберальянс)

Кіберполіція й інші правоохоронні органи здійснюють розслідування, тоді як Урядова команда реагування на кіберінциденти (CERT-UA), Ситуаційний центр забезпечення кібербезпеки при СБУ (MISP-UA) та Національний координаційний центр кібербезпеки (НКЦК) при РНБО мають нейтралізувати загрозу в її активній фазі. Навіть приватні підприємства можуть звертатися до CERT-UA за оперативною підтримкою. Держателі державних інформаційних ресурсів також інформують про інциденти Державну службу спеціального зв'язку та захисту інформації (ДССЗЗІ).

Попри все, рівень захищеності кіберпростору України залишається незадовільним. На думку експертів, українські системи залишаються вразливими до хакерських атак. Цьому сприяє недостатня компетентність спеціалістів, що працюють на державній службі. Зі сторони бізнесу причина вразливості полягає в необізнаності та неусвідомленості загрози.

Ця спеціальність є новою в Україні і на даний момент її викладають всього в декількох передових ВНЗ нашої країни.

[Sereqa]

В дешёвых китайских ТВ-приставках с Aliexpress обнаружен опасный бэкдор

читать дальше:

В минувшем январе эксперт по кибербезопасности Дэниел Милишич (Daniel Milisic) обнаружил, что приставка T95 под управлением Android TV (продаётся, например, на Aliexpress) пришла заражённой вредоносным ПО прямо из коробки. Но это была лишь верхушка айсберга: компания Human Security выявила (PDF) целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями.
Исследователи из Human Security обнаружили семь приставок под Android TV и один планшетный компьютер, которые продаются с предустановленными бэкдорами, и выявили признаки вредоносной активности ещё у 200 различных моделей Android-устройств. Эти устройства используются в домохозяйствах, образовательных учреждениях и на предприятиях. Эксперты сравнили проект со «швейцарским армейским ножом, совершающим нехорошие поступки в интернете». Схема включает в себя два направления: Badbox — сеть устройств в предустановленными бэкдорами; и Peachpit — сеть приложений, посредством которых реализуются мошеннические рекламные схемы.
Направление Badbox занято преимущественно дешёвыми Android-приставками по цене менее $50, которые продаются в интернете и обычных магазинах. Они поставляются без торговой марки или продаются под разными названиями, что помогает скрыть их происхождение. Эти устройства генерируют вредоносный трафик, обращаясь к домену Flyermobi.com. Подтверждены восемь таких устройств: ТВ-приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшетный компьютер J5-W. Human Security обнаружила не менее 74 тыс. зараженных устройств, в том числе в образовательных учреждениях в США.
Все они производятся в Китае, и на одном из этапов на них устанавливается бэкдор, основанный на трояне Triada, который «Лаборатория Касперского» обнаружила ещё в 2016 году — он подменяет один из компонентов Android, предоставляя себе доступ к приложениям, установленным на устройстве. Бэкдор без ведома пользователя подключается к расположенному в Китае управляющему серверу (C2), загружает набор инструкций и развёртывает вредоносную активность. Human Security установила несколько видов такой активности: рекламные мошеннические схемы; резидентные прокси, то есть продажа доступа к сетевым ресурсам жертв — владельцев заражённых устройств; регистрация учётных записей G.... и WhatsApp; удалённое выполнение кода.
Стоящие за схемой лица предлагали доступ к своим сетям, утверждая, что у них есть выход на более чем 10 млн домашних и 7 млн мобильных IP-адресов. По версии экспертов Trend Micro, у организаторов схемы более 20 млн заражённых устройств по всему миру, причём 2 млн из них активны в любой момент времени. В частности, был обнаружен планшетный компьютер в одном из европейских музеев; есть основания полагать, что затронуто множество Android-устройств, включая даже автомобили.
Источник изображения: Gerd Altmann / pixabay.com
Источник изображения: Gerd Altmann / pixabay.com
Второе направление носит условное название Peachpit, и связано оно с вредоносными приложениями, которые присутствуют не только на ТВ-приставках, но также добровольно устанавливаются пользователями на Android-телефоны и iPhone. В основном это шаблонные приложения не очень высокого качества, например, комплексы упражнений, как накачать мышцы пресса, или ПО для записи объёмов выпиваемой пользователями воды. В общей сложности выявлены 39 таких приложений для Android, iOS и ТВ-приставок. Параллельно с декларируемыми функциями эти приложения также реализуют мошеннические схемы с рекламой и фальсифицируют трафик. Примечательно, что в этих приложениях обнаружены общие черты с вредоносным ПО, поставляемом на устройствах направления Badbox.
Сеть генерировала до 4 млрд рекламных обращений в день — были задействованы 121 тыс. Android-устройств и 159 тыс. iPhone. По подсчётам исследователей, только Android-приложения были скачаны в общей сложности 15 млн раз. Рекламная индустрия имеет достаточно сложную структуру, поэтому полной картины у исследователей нет, но только по имеющимся у них данным операторы схемы могли легко зарабатывать $2 млн в месяц.
Представитель Google Эд Фернандес (Ed Fernandez) сообщил, что компания удалила из Google Play 20 приложений под Android, на которые указали исследователи Human Security. Он также рассказал, что устройства с предустановленными бэкдорами не проходили сертификации Play Protect, а значит, у Google отсутствуют данные о результатах тестов безопасности и совместимости, но на сайте Android есть список партнёров. Представитель Apple Аршель Телемак (Archelle Thelemaque) рассказала, что компания связалась с разработчиками пяти приложений из доклада Human Security — им дали 14 дней на исправление ошибок, и четыре приложения уже не представляют угрозы.
Результатов в пресечении схем Badbox и Peachpit компании Human Security удалось добиться в конце 2022 года и в первой половине текущего. После первых же действий стоящие за схемами злоумышленники разослали на заражённые устройства обновления, направленные на сокрытие активности. После этого были отключены серверы C2, обеспечивающие функционирование бэкдора в прошивке. Активность обеих схем кардинально снизилась, но люди продолжают пользоваться этими устройствами. Без технических навыков удалить это вредоносное ПО очень непросто, и сейчас ТВ-приставки с предустановленными бэкдорами превратились в своего рода спящих агентов. Потребителям рекомендуется приобретать продукцию, производитель которой известен, и которому они доверяют.

[Sereqa]

Схемы взлома WhatsApp выросли в цене до миллионов долларов

читать дальше:

Непрерывное улучшение механизмов безопасности, а также устранение различных уязвимостей и применение других мер делают взлом мобильных устройств на базе iOS и Android, а также крупных приложений для них дорогостоящим занятием. Поэтому методы взлома популярных приложений, таких как WhatsApp, в настоящее время стоят миллионы долларов.
В конце прошлого месяца компания Operation Zero, позиционирующая себя как российская платформа, скупающая у исследователей в сфере информационной безопасности новые схемы взлома, объявила о готовности платить от $200 тыс. до $20 млн за схемы компрометации устройств с iOS и Android. Речь идёт об эксплойтах высшего уровня, эксплуатация которых возможна благодаря тому, что разработчики ещё не устранили связанные с ними уязвимости в своих продуктах.
Источник также отмечает рост стоимости взлома отдельных мобильных приложений. В сообщении сказано, что по состоянию на 2021 год цена свежей схемы взлома Android-версии мессенджера WhatsApp, позволяющей получить доступ к чатам жертвы, колебалась в диапазоне от $1,7 млн до $8 млн. WhatsApp стал популярной мишенью для так называемых правительственных хакеров, которые чаще всего используют для взлома уязвимости нулевого дня.
В 2019 году исследователи обнаружили нескольких клиентов NSO Group, которые использовали программное обеспечение израильской компании для взлома WhatsApp на устройствах жертв. Вскоре после этого WhatsApp подала в суд на NSO Group, обвинив компанию в создании и распространении инструментов, использовавшихся для слежки за сотнями пользователей мессенджера. По данным источника, в 2021 году компания продавала уязвимость для удалённого выполнения кода, о которой не было известно разработчикам, примерно за $1,7 млн.
В случае WhatsApp такая уязвимость позволяет создать эксплойт, использование которого не требует от хакеров взаимодействия с жертвой. Эксплойт NSO Group работал в мобильных клиентах WhatsApp для Android с 9 по 11 версию и использовал уязвимость в библиотеке рендеринга изображений. В период с 2020 по 2021 годы разработчики из WhatsApp исправили три уязвимости, касающиеся обработки изображений мессенджером. Однако неизвестно, была ли исправлена уязвимость, которую использовал эксплойт NSO Group. Официальные представители компании отказались комментировать данный вопрос.

[электрик21]

Цитата:

Сообщение от kotiaj

Та й для чого так з неї знущатись, немає можливості заховати в приміщення? Датчик температури можна ж далі винести.

Чтобы много не расписывать нашел пару старых фоток.
Думаю много объяснять не надо. 12 вольтовая линия.В каждом подогреватель.Хотел бы иметь контроль в каждом.Те же 12в для питания платки,датчик внутри,сама платка под крышкой Это моя идея.
А так мотать еше "кучу" проводов.Просто не вижу смысла.Должно все быть просто и надежно /как паровоз что не кинь в топку все равно поедет/.
В данный момент только контроль линии и нагревателя.
P/s -секретов не держим.Но со стороны всегда видней.

[RW011]

Linux-бэкдор от китайских хакеров
Исследователи обнаружили невиданный ранее бэкдор для Linux, который используется злоумышленниками, связанными с китайским правительством.

1:

Он происходит от бэкдора для Windows под названием Trochilus, который впервые был обнаружен в 2015 году исследователями из Arbor Networks, ныне известной как Netscout, передает ArsTechnica.
Исследователи из британской компании NHS Digital утверждают, что Trochilus был разработан группой APT10, связанной с китайским правительством, также известной под названиями Stone Panda и MenuPass.
Впоследствии его использовали другие группы, а его исходный код уже более шести лет доступен на GitHub. Trochilus был замечен в кампаниях, которые использовали отдельную часть вредоносного программного обеспечения, известную как RedLeaves.

В июне исследователи из компании Trend Micro обнаружили зашифрованный двоичный файл на сервере, что использовался группой, за которой они следили с 2021 года. Проведя поиск в VirusTotal по названию файла libmonitor.so.2, исследователи нашли исполняемый файл Linux под названием mkmon. Он содержал учетные данные, с помощью которых расшифровали файл libmonitor.so.2, что позволило исследователям сделать вывод, что mkmon — это установочный файл libmonitor.so.2.

Вредоносное программное обеспечение для Linux портировало несколько функций, найденных в Trochilus, и объединило их с новой реализацией Socket Secure (SOCKS). Исследователи Trend Micro назвали свое открытие SprySOCKS, где spry означает быстрое поведение.
SprySOCKS реализует обычные возможности бэкдора, включая сбор системной информации, открытие интерактивной удаленной оболочки для управления скомпрометированными системами, создание списка сетевых соединений и создание прокси-сервера на основе протокола SOCKS для загрузки файлов и других данных между скомпрометированной системой и подконтрольным злоумышленнику командным сервером.

Trend Micro связывает SprySOCKS с субъектом угрозы Earth Lusca. Исследователи обнаружили группу в 2021 году. Earth Lusca нацелена на организации по всему миру, в первую очередь на правительства стран Азии. Она использует социальную инженерию, чтобы заманивать жертв на сайты-«водопои», где их заражают вредоносным программным обеспечением. Кроме интереса к шпионской деятельности, Earth Lusca, похоже, имеет финансовую мотивацию, нацелившись на компании, занимающиеся азартными играми и криптовалютами.

[RW011]

Троян в приложении для Linux
Читать:

1:

Сайт freedownloadmanager[.]org предлагал безопасную версию программы для Linux, известной как Free Download Manager. Начиная с 2020 года, тот же домен время от времени перенаправлял пользователей на домен deb.fdmpkg[.]org, который обслуживал уже вредоносную версию программы.
Версия, доступная на вредоносном домене, содержала скрипт, который загружал два исполняемых файла по адресам /var/tmp/crond и /var/tmp/bs, передает ArsTechnica. Затем скрипт использовал планировщик задач cron, чтобы заставить файл в /var/tmp/crond запускаться каждые 10 минут. Таким образом, устройства, на которых была установлена вредоносная версия Free Download Manager, навсегда получали бэкдор.

Получив доступ к IP-адресу вредоносного домена, бэкдор запускал обратную оболочку, которая давала злоумышленникам удаленно управлять зараженным устройством. Вредоносное ПО заметили исследователи из Kaspersky (компания находится под санкциями в Украине), затем они запустили бэкдор на лабораторном устройстве, чтобы наблюдать за его поведением.

Этот троян собирает данные о системной информации, историю просмотров, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).Троян в приложении для Linux 3 года похищал пароли, и его не заметили

По неизвестным причинам троян перестал распространяться в 2022 году. Однако этот инцидент ставит вопрос относительно утверждения, что на Linux вирусов не существует, а если и существуют, то еще надо хорошо постараться, чтобы его запустить.

Механизм (см.скр..)

[RW011]

Хакеры взломали разработчиков Steam и заразили игры вирусами. Valve бьёт тревогу

Valve давным-давно ввела двухфакторную аутентификацию в Steam — уж больно часто пользователи воровали друг у друга учётные записи. Но ладно бы пользователи: на днях кто-то взломал аккаунты разработчиков и залил вирусы в их игры.

1:

Неизвестные хакеры смогли взломать учётные записи нескольких разработчиков и заразили их тайтлы вредоносным ПО. По данным Valve, на момент произошедшего эти игры были установлены примерно у сотни человек — всех их лично предупредили о случившемся по электронной почте. Несмотря на то, что последствия атаки были небольшими и их удалось оперативно устранить, Valve всё равно приняла решительные меры.

Ввиду курьёзной ситуации компания решила срочно поменять процесс аутентификации разработчиков: теперь единственным способом войти в аккаунт будет подтверждение логина через мобильный телефон и SMS. Тем, у кого нет телефона, Valve предлагает им обзавестись: это обязательное правило. Кроме того, компания Гейба Ньюэлла говорит, что зафиксировала целый всплеск изощрённых атак, нацеленных на учётные записи разработчиков, поэтому просит их быть осторожнее.

[VOVA00]

Уязвимость в процессорах Apple позволяет злоумышленникам извлекать данные из браузеров под iOS и macOS
Группа исследователей в сфере информационной безопасности обнаружила уязвимость в продуктах Apple, эксплуатируя которую злоумышленники могут похищать конфиденциальные данные из браузера Safari. Уязвимость, получившая название iLeakage, затрагивает устройства на базе iOS и macOS, оснащённые фирменными процессорами Apple A- и M-серий.

Атака с использованием уязвимости iLeakage основана на функции спекулятивного выполнения команд, которая позволяет процессору выполнять предварительную выборку инструкций для сокращения времени загрузки данных. В процессе работы эта функция может обрабатывать конфиденциальные данные, к которым могут получить доступ злоумышленники, проведя атаку по сторонним каналам.Для эксплуатации уязвимости iLeakage исследователи создали вредоносный веб-сайт. Когда владелец уязвимого устройства посещает этот ресурс с помощью API JavaScript скрытно открывается другой сайт, на котором отображаются данные, выводимые пользователю в основном окне. За счёт этого злоумышленники получают возможность доступа к любой конфиденциальной информации, которую через браузер Safari вводит жертва атаки на своём Mac или iPhone.Исследователи опубликовали несколько видео, в которых продемонстрировали, как уязвимость iLeakage может быть использована для кражи данных. В частности, с помощью этой уязвимости они сумели получить доступ к содержимому почтового ящика Gmail жертвы, а также восстановили историю просмотров на YouTube на целевом устройстве и похитили данные для авторизации в Instagram✴, хранившиеся в Safari и автоматически подставлявшиеся браузером в соответствующие поля при авторизации.
Отмечается, что уязвимость iLeakage затрагивает не только Safari, но и другие браузеры для iOS. Это связано с тем, что Apple требует от разработчиков сторонних браузеров использования движка WebKit в своих продуктах. Хорошая новость в том, что для реализации атаки с использованием уязвимости iLeakage требуется высокий уровень технических знаний, что, возможно, является основной причиной невысокой популярности атак через функцию спекулятивного выполнение команд в сообществе киберпреступников.
Исследователи уведомили Apple о проблеме в сентябре 2022 года. Однако с тех пор компания разработала только «средство устранения уязвимости», которое необходимо активировать вручную. На этом фоне Apple заявила о намерении выпустить патч для исправления этой уязвимости. Согласно имеющимся данным, он будет включён в следующий пакет обновлений для программного обеспечения.

[RW011]

Злоумышленник захватил управление над 4 проектами в репозитории PyPI

Администраторы репозитория Python-пакетов PyPI (Python Package Index) сообщили об инциденте, в результате которого злоумышленник смог захватить управление над проектами arrapi, tmdbapis, nagerapi и pmmutils, насчитывающими около 4.5 тысяч загрузок в месяц.

1:

Все проекты сопровождались одним автором (meisnate12, Nathan Taggart) и были захвачены в результате компрометации его учётной записи. Злоумышленник, получивший управление над проектами, был оперативно заблокирован и не успел внести изменения и сформировать модифицированные выпуски.

Захват произведён через замену владельца проектов. Атакующий создал учётную запись "dvolk", затем от имени основного сопровождающего "meisnate12" сформировано приглашение для включения пользователя "dvolk" в число сопровождающих, после принятия которого и получения управляющего доступа к проекту удалил из проекта изначального автора и остался одним сопровождающим. После выполнения подобных манипуляций для всех проектов был инициирован процесс удаления учётной записи "meisnate12".

Спустя 5 часов после захвата проектов администраторы PyPI получили сообщение от изначального автора о случившимся, заблокировали учётную запись злоумышленника и восстановили права на владение проектами. В качестве причины инцидента названа ненадлежащая защита учётной записи и отсутствие применения двухфакторной аутентификации, что позволило атакующему определить параметры входа под пользователем "meisnate12" и выполнить действия от его имени.

До конца этого года репозиторий PyPI намерен перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие организации, на обязательное применение двухфакторной аутентификации. Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированных сайтах, взломов локальной системы разработчика или применения методов социального инжиниринга.

В качестве предпочтительных методов двухфакторной аутентификации рекомендуется использовать протокол WebAuthn с FIDO U2F токенами или приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator, FreeOTP и oathtool. При загрузке пакетов разработчикам дополнительно рекомендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены.

Что сказать-Умница!

[Sereqa]

Регулятор телебачення пояснив причини блокування піратського сервісу HDRezka в Україні

Цитата:

Як стало відомо, українці втратили доступ до популярного сервісу HDRezka через його блокування. Винятковий піратський ресурс припинив свою роботу через розміщення заборонених в Україні російських фільмів та серіалів, зокрема з участю порєчєнкова, охлобистіна і міхалкова.
Максим Онопрієнко, член Національної ради з питань телебачення й радіомовлення, повідомив, що рішення про блокування було прийняте після внесення HDRezka до переліку сервісів держави-агресора в листопаді. Однією з причин блокування стало використання сервісом мови держави-агресора та розповсюдження на території України фільмів, заборонених законом про кінематографію.
Онопрієнко зауважив, що серед заборонених фільмів були такі, як “Ліквідація” та “Заповідний спецназ”. Також HDRezka надавав доступ до програм з участю осіб, які увійшли до переліку тих, що загрожують національній безпеці, зокрема порєчєнкова, охлобистіна, харак’яна та міхалкова.
Це блокування стало можливим завдяки новому закону про медіа, що набрав чинності в березні 2023 року. Цей закон, за словами Онопрієнка, є важливим кроком на шляху до євроінтеграції та є вимогою Євросоюзу.
HDRezka, який зараз перебуває під блокуванням, вже реагує на ситуацію, обіцяючи виправити проблему. Однак варто зазначити, що деякі українські провайдери почали застосовувати заходи з блокування, зокрема, відеоплеєр на сайті вже припинив свою роботу.
Представники HDRezka звинуватили регулятори у свавіллі та лобіюванні чужих інтересів, а також закликали бойкотувати інший сервіс, мegogo, звинувачуючи його у крадіжці українських перекладів.
Максим Онопрієнко також відповів на звинувачення у вбивстві “патріотичного” дубляжу, наголошуючи на наявності офіційних українських медіасервісів, які захищають українську озвучку та культуру.
Ситуація навколо HDRezka виявляється складною, і подальший розвиток подій залишається під пильною увагою української інтернет-спільноти

[RW011]

SLAM - атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти

Группа исследователей из Амстердамского свободного университета представила новую технику атаки SLAM (Spectre Linear Address Masking), предлагающую новый способ эксплуатации микроархитектурных уязвимостей класса Spectre, в котором утечка данных происходит при трансляции неканонических адресов, а для обхода проверок каноничности привлекаются предоставляемые в новых процессорах расширения для маскировки линейных адресов.

1:

Исследователями опубликован инструментарий с реализацией метода и предложена демонстрация, показывающая как можно извлечь из памяти ядра данные, соответствующие определённой маске (показано как за несколько десятков секунд в Ubuntu выделить из памяти ядра строку с хэшем пароля пользователя root).
Атака может быть совершена на системах с процессорами Intel, поддерживающими расширение LAM (Linear Address Masking), процессорами AMD с расширением UAI (Upper Address Ignore) и процессорами ARM с расширением TBI (Top Byte Ignore). Указанные расширения позволяют использовать часть битов 64-разрядных указателей для хранения не связанных с адресацией метаданных (для обычных программ не требуется столько памяти, что могут адресовать 64-разрядные указатели, поэтому верхние биты могут быть задействованы, например, для проверок, связанных с обеспечением безопасности). Интересно, что процессоры Intel, AMD и ARM с поддержкой LAM, UAI и TBI, и с 5-уровнемы таблицами страниц памяти ещё только анонсированы, но массово не производятся, что делает SLAM первой спекулятивной атакой на будущие CPU. Атака также может быть совершена на старых CPU AMD Zen+ и Zen 2, подверженных уязвимости CVE-2020-12965.

По аналогии с эксплуатацией уязвимостей Spectre для осуществления атаки SLAM требуется наличие в ядре определённых последовательностей инструкций (гаджетов), приводящих к спекулятивному выполнению инструкций. Подобные инструкции приводят к спекулятивному чтению данных из памяти в зависимости от внешних условий, на которые может влиять атакующий. После определения ошибочного прогноза результат спекулятивного выполнения отбрасывается, но обработанные данные остаются в кэше и могут затем быть извлечены при помощи анализа по сторонним каналам. Для извлечения осевших в кэше данных исследователями задействован метод Evict+Reload, основанный на создании условий для вытеснения данных из кэша (например, создаётся активность, равномерно заполняющая кэш типовым содержимым) и выполнения операций, время выполнения которых позволяет судить о наличии данных в процессорном кэше.

Для совершения атаки SLAM используются гаджеты на основе кода, в котором контролируемые атакующим данные (ниже переменная "secret") используются как указатель. Например:


void unmasked_gadget(long **secret) {
**secret;
}
Отмечается, что подобные шаблоны кода часто используются в программах, например, в ядре Linux выявлены десятки тысяч таких гаджетов, из которых как минимум несколько сотен пригодны для использования в эксплоитах. Утечка может быть предотвращена через добавление в подобные гаджеты дополнительных инструкций, блокирующих спекулятивное выполнение. Компания Intel намерена предоставить программный метод защиты от утечки до начала поставки процессоров с поддержкой LAM. Компания AMD рекомендовала использовать существующие методы блокирования атак класса Spectre v2. Разработчики ядра Linux для защиты от атаки решили отключить по умолчанию поддержку LAM до публикации рекомендаций Intel по блокированию уязвимости.