На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
Google
Analyzing a watering hole campaign using macOS exploits
To protect our users, TAG routinely hunts for 0\u002Dday vulnerabilities exploited in\u002Dthe\u002Dwild. In late August 2021, TAG discovered watering hole attacks targeting visitors t…
Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
Robinhood Newsroom
Robinhood Announces Data Security Incident (Update) - Robinhood Newsroom
Update on November 16, 2021 at 9:55 AM PT: We’re providing the following update to keep our customers and other
Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).
https://www.bbc.com/news/technology-59297187
https://www.bbc.com/news/technology-59297187
BBC News
Evil Corp: 'My hunt for the world's most wanted hackers'
The BBC’s Joe Tidy goes to Russia in search of men on the FBI’s cyber most wanted list.
Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству. Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
Intel
INTEL-SA-00562
=== РЕКЛАМА ====
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
YouTube
#SecuritySmallTalk О Deception
Зачем смотреть?
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
И не забываем про то, что на этой неделе у Microsoft был ноябрьский patch tuesday! Количество исправленных CVE — 55 штук! ну, допустим, не 71, как в октябре, но тем не менее. 6 из них критичные, 49 — так, ерунда, не стоит даже и упоминаний 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
Zero Day Initiative
Zero Day Initiative — The November 2021 Security Update Review
The second Tuesday of the month is upon us, and with it comes the latest security patches from Adobe and Microsoft. Take a break from your regularly scheduled activities and join us as we review the details for their latest security offerings. Adobe Patches…
Берегите свои печеньки!
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
The Register
Thousands of Firefox users accidentally commit login cookies on GitHub
GitHub: 'Credentials exposed by our users are not in scope'
хакеры у хакеров украли кораллы. ой, в смысле не украли, а пытались, и не кораллы, а инструменты для взлома: серверные корейцы против китайцев
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
The Daily Beast
North Korean Hackers Caught Snooping on China’s Cyber Squad
North Korean hackers are under fierce pressure to raise revenue to fund regime goals. Now they’re trying to spy on Chinese security researchers to get better hacking tools.
Meta (которая владеет Facebook, Instagram и WhatsApp), планировала ввести сквозное шифрование в коммуникационных продуктах уже в следующем году, но теперь обещает закончить это "гдето в 2023 году".
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
The Telegraph
We'll protect privacy and prevent harm, writes Facebook safety boss
The head of safety at Meta, which owns Facebook and WhatsApp, says the company is working hard to get the balance right
интересный тред на твиттере о том, как в ФБ просрали полимеры с внедрением сквозного шифрования в своих продуктах в рамках инициативы объединения ФБ, ИГ и ВА. TL;DR: это непросто, плюс "менеджмент" — любители бросаться из крайности в крайность, не думая о деталях имплементации
https://twitter.com/elegant_wallaby/status/1462845336288825344
https://twitter.com/elegant_wallaby/status/1462845336288825344
Twitter
David Thiel
Please stop with this. Child safety is not FUD, nor disingenuous. Here is what happened with Facebook's haphazard E2EE plan, from someone who was there and familiar with the underlying systems. 1/ twitter.com/evan_greer/sta…
Никогда такого не было, и вот опять - новый zero-day для Windows 10/11. Позволяет стать администратором обычным пользователям.
https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
BleepingComputer
New Windows zero-day with public exploit lets you become an admin
A security researcher has publicly disclosed an exploit for a new Windows zero-day local privilege elevation vulnerability that gives admin privileges in Windows 10, Windows 11, and Windows Server.
Компания GoDaddy подала в Комиссию по ценным бумагам США уведомление о том, что компания обнаружила неавторизованный доступ к своим системам, где хостятся и управляются сервера WordPress клиентов компании. В уведомлении говорится, что злоумышленник использовал скомпрометированный пароль и получил доступ в районе 6 сентября. GoDaddy обнаружили факт взлома 17 ноября.
В результате взлома был получен доступ к данным на 1,2 млн активных и неактивных пользователей WordPress — что привело к утечке адресов электронной почты и номерам клиентов. Ущерб: увеличение рисков фишинговых атак. В том числе утек и пароль по умолчанию для WordPress, когда он создается. Кроме этого, утекли данные аккаунтов sFTP и логин-пароли к базам данных WordPress, а в некоторых случаях — и приватные ключи SSL. Всем все сбросили, новые ключи SSL выдают. Правда, все равно непонятно, что там делает их служба безопасности, которая два месяца не могла обнаружить взлом.
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
В результате взлома был получен доступ к данным на 1,2 млн активных и неактивных пользователей WordPress — что привело к утечке адресов электронной почты и номерам клиентов. Ущерб: увеличение рисков фишинговых атак. В том числе утек и пароль по умолчанию для WordPress, когда он создается. Кроме этого, утекли данные аккаунтов sFTP и логин-пароли к базам данных WordPress, а в некоторых случаях — и приватные ключи SSL. Всем все сбросили, новые ключи SSL выдают. Правда, все равно непонятно, что там делает их служба безопасности, которая два месяца не могла обнаружить взлом.
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
о! красивое!
It appears that GoDaddy was storing sFTP credentials either as plaintext, or in a format that could be reversed into plaintext. They did this rather than using a salted hash, or a public key, both of which are considered industry best practices for sFTP. This allowed an attacker direct access to password credentials without the need to crack them.
According to their SEC filing: “For active customers, sFTP and database usernames and passwords were exposed.”
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
It appears that GoDaddy was storing sFTP credentials either as plaintext, or in a format that could be reversed into plaintext. They did this rather than using a salted hash, or a public key, both of which are considered industry best practices for sFTP. This allowed an attacker direct access to password credentials without the need to crack them.
According to their SEC filing: “For active customers, sFTP and database usernames and passwords were exposed.”
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Wordfence
GoDaddy Breached - Plaintext Passwords - 1.2M Affected
There is an update available here: GoDaddy Breach Widens to tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, and Host Europe This morning, GoDaddy disclosed that an unknown attacker had gained unauthorized access to the system used to provision…
https://www.apple.com/ru/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
Ну что тут добавить, кроме как «что ж так тянули?»
Ну что тут добавить, кроме как «что ж так тянули?»
Apple
Официальная служба поддержки Apple
Служба поддержки Apple всегда готова прийти на помощь. Узнайте больше о популярных темах и найдите ресурсы, посвященные любым продуктам Apple.
Да, новость про иск Apple к NSO забавная. У меня вчера уже была открыта одна ссылка про NSO — о достаточно плачевной ситуации в компании. Серьезные долги (около 500 млн), отваливающиеся контракты, растущие риски того, что компания прекратит свою деятельность, тут еще санкции со стороны США подкатили.
https://www.technologyreview.com/2021/11/23/1040509/france-macron-nso-in-crisis-sanctions/
Ну и иск Apple, ссылку на новость о котором я давал вчера. Вот ссылка еще на полный документ иска (PDF):
https://www.apple.com/newsroom/pdfs/Apple_v_NSO_Complaint_112321.pdf
Забавно, как Apple, обычно избегающая в официальных анонсах упоминания конкурентов, пишет:
"Атаки с использованием этой технологии направлены на очень небольшое количество пользователей, но охватывают разные платформы, в том числе iOS и Android." Конечно, "мы тут все страдаем", если надо нарисовать картину общего бедствия. Ну и вообще фокус на вполне конкретном эксплойте FORCEDENTRY, который использовала NSO для взлома телефонов журналистов и других активистов. Более того, речь о том, что именно инженеры компании разработали этот эксплойт.
А вообще забавно другое: в частности, юрисдикция иска. NSO, как известно, компания израильская, но Apple подает в суд в северной Калифорнии. Почему? Все просто: инженерам NSO для разработки, тестирования и проведения атак нужен был доступ к iCloud, поэтому они создали более сотни фиктивных Apple ID. Но при создании Apple ID. они должны были принять пользовательское соглашение iCloud, в котором говорится, что все действия будут регулироваться законами штата Калифорния. Подозреваю, что снисхождения в Калифорнии NSO не получит.
Со своей стороны NSO утверждает, что продает свои решения только правительствам и правоохранительным органам, имеет инструменты предотвращения неправильного использования (но при этом в каком-то очередном скандале утверждали, что не видят, кто и как использует инструменты), а также что благодаря их инструментам были спасены "тысячи жизней".
А еще хорошие новости — то, что организации, которые ищут и находят подобные атаки — в частности, Citizen Lab — получат 10 миллионов долларов от Apple, а также любые выплаты NSO, которые будут присуждены Apple. Финансирование этих организаций — точно благое дело.
PS Важный момент, за которым нужно будет следить: чтобы подобные иски не привели к мерам против легитимных исследователей безопасности, которые могут взламывать системы и устройства в поисках уязвимостей.
https://www.technologyreview.com/2021/11/23/1040509/france-macron-nso-in-crisis-sanctions/
Ну и иск Apple, ссылку на новость о котором я давал вчера. Вот ссылка еще на полный документ иска (PDF):
https://www.apple.com/newsroom/pdfs/Apple_v_NSO_Complaint_112321.pdf
Забавно, как Apple, обычно избегающая в официальных анонсах упоминания конкурентов, пишет:
"Атаки с использованием этой технологии направлены на очень небольшое количество пользователей, но охватывают разные платформы, в том числе iOS и Android." Конечно, "мы тут все страдаем", если надо нарисовать картину общего бедствия. Ну и вообще фокус на вполне конкретном эксплойте FORCEDENTRY, который использовала NSO для взлома телефонов журналистов и других активистов. Более того, речь о том, что именно инженеры компании разработали этот эксплойт.
А вообще забавно другое: в частности, юрисдикция иска. NSO, как известно, компания израильская, но Apple подает в суд в северной Калифорнии. Почему? Все просто: инженерам NSO для разработки, тестирования и проведения атак нужен был доступ к iCloud, поэтому они создали более сотни фиктивных Apple ID. Но при создании Apple ID. они должны были принять пользовательское соглашение iCloud, в котором говорится, что все действия будут регулироваться законами штата Калифорния. Подозреваю, что снисхождения в Калифорнии NSO не получит.
Со своей стороны NSO утверждает, что продает свои решения только правительствам и правоохранительным органам, имеет инструменты предотвращения неправильного использования (но при этом в каком-то очередном скандале утверждали, что не видят, кто и как использует инструменты), а также что благодаря их инструментам были спасены "тысячи жизней".
А еще хорошие новости — то, что организации, которые ищут и находят подобные атаки — в частности, Citizen Lab — получат 10 миллионов долларов от Apple, а также любые выплаты NSO, которые будут присуждены Apple. Финансирование этих организаций — точно благое дело.
PS Важный момент, за которым нужно будет следить: чтобы подобные иски не привели к мерам против легитимных исследователей безопасности, которые могут взламывать системы и устройства в поисках уязвимостей.
MIT Technology Review
NSO was about to sell hacking tools to France. Now it’s in crisis.
French officials were close to buying controversial surveillance tool Pegasus from NSO earlier this year. Now the US has sanctioned the Israeli company, and insiders say it’s on the ropes.
Не знаю, почему Мозилла решила сфокусироваться именно на приложениях с рецептами (ну, кроме притянутого за уши праздника дня благодарения, который в сша отмечается сегодня и все готовят праздничный ужин). Отчёт организации о том, как такие приложения следят за пользователями и их информацией с помощью различных аналитических сервисов.
https://foundation.mozilla.org/en/campaigns/uninvited-guests/
Самое смешное в ремарке, где Мозилла сообщает, что её продукты тоже используют один из таких сервисов:
(Full disclosure: Mozilla Corporation products use Adjust for analytics and advertising conversation measurement.)
https://foundation.mozilla.org/en/campaigns/uninvited-guests/
Самое смешное в ремарке, где Мозилла сообщает, что её продукты тоже используют один из таких сервисов:
(Full disclosure: Mozilla Corporation products use Adjust for analytics and advertising conversation measurement.)
Уязвимости бывают с разными эффектами. Например, уязвимость в системе подачи инсулина позволяет злоумышленнику, находясь поблизости, управлять устройством: запланировать новую дозу или же ввести дозу инсулина немедленно. Цифровизация медицинских устройств без должного контроля их безопасности ни к чему хорошему не приведёт :(
https://omnipod.lyrebirds.dk/
https://omnipod.lyrebirds.dk/
А тем временем США банит очередной набор китайских компаний. В этот раз целями стали компании, которые занимаются разработкой квантовых компьютеров и технологий - американским компаниям запрещается с ними работать. Смысл такой, что есть опасения, что квантовые технологии могут быть использованы для взлома американских систем шифрования, в числе других целей. Опасносте вообще все.
https://www.techradar.com/news/us-blacklists-chinese-quantum-computing-firms-over-security-fears
https://www.techradar.com/news/us-blacklists-chinese-quantum-computing-firms-over-security-fears
TechRadar
US blacklists Chinese quantum computing firms over security fears
US accuses banned firms of using quantum technology to enrich China’s military programmes.