Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.


0-6njeudr5xi8879ostcfuaau6u.pngЧитать дальше →

Дата: 2018-01-19 08:46:05

Источник: https://habrahabr.ru/post/347016/



Хакеры используют уязвимости в MS Office для распространения бэкдора Zyklon

Zyklon способен извлекать пароли и устанавливать дополнительные плагины для майнинга криптовалют.

Злоумышленники эксплуатируют три сравнительно свежие уязвимости в пакете MS Office в спам-кампаниях, направленных на телекоммуникационные фирмы, а также предприятия в страховом и финансовом секторе. В рамках атак злоумышленники распространяют вредоносное ПО Zyklon – полноценный бэкдор, способный записывать нажатия клавиш, собирать пароли, а также загружать и устанавливать дополнительные плагины для майнинга криптовалют и извлечения паролей.

Речь идет о трех уязвимостях: CVE-2017-8759 в .NET Framework, CVE-2017-11882 в редакторе формул Microsoft Equation, а также функции Dynamic Data Exchange (DDE). Первые две уязвимости были исправлены в сентябре и ноябре 2017 года. Хотя Microsoft не рассматривает Dynamic Data Exchange как уязвимость и настаивает на том, что DDE - это функция, в минувшем декабре компания все же выпустила обновление пакета MS Office, отключающее функционал в приложении Word, для предотвращения кибератак.

В рамках атак злоумышленники используют один и тот же домен для загрузки закодированного в Base64 скрипта PowerShell (Pause.ps1), отвечающего за резолвинг API, нужных для выполнения произвольного кода. Скрипт также загружает конечный вредоносный модуль, отмечают специалисты FireEye.

Помимо загрузки дополнительных плагинов, Zyklon может осуществлять DDoS-атаки и извлекать пароли из браузеров и ПО электронной почты. Вредонос использует сеть Tor для маскировки коммуникаций со своим управляющим сервером. Как пояснили эксперты, Zyklon содержит зашифрованный файл под названием tor. После расшифровки данный файл внедряется в InstallUtiil.exe и работает как анонимайзер Tor.

 

 

 

Дата: 2018-01-19 08:34:08

Источник: http://www.securitylab.ru/news/490907.php



МИД обвинил Вашингтон в незаконном раскрытии данных посольства РФ в США

МИД призвал правительство США незамедлительно пресечь неправомерное распространение конфиденциальной информации.

Министерство иностранных дел РФ официально прокомментировало публикацию на сайте BuzzFeed под названием «Investigators Are Scrutinizing Newly Uncovered Payments By The Russian Embassy» («Ведется расследование новых раскрытых платежей российского посольства»).

Согласно заявлению МИДа, издание незаконно обнародовало данные о финансовых операциях посольства РФ в США, в очередной раз нарушив положения Венской конвенции о дипломатических сношениях 1961 года.

В статье, датированной 17 января 2018 года, рассказывается о переводах на счета российских дипломатов и посольства РФ в США, показавшихся «подозрительными» проводившему их банку. Расследованием «подозрений» занялось ФБР с целью выяснить, имеют ли эти транзакции отношение к возможным связям окружения американского президента Дональда Трампа с Россией.

«Сотрудники указанного ресурса сами признались, что при попытке запросить комментарии от наших дипломатов они использовали контактную информацию из их банковских анкет. Однако получить подобные данные без санкции соответствующих государственных органов США просто невозможно. Иначе говоря, посягательство на неприкосновенность счетов Посольства России и его работников, обладающих дипломатическим иммунитетом, – дело рук официального Вашингтона», – заявил МИД.

Министерство призвало американское правительство «незамедлительно пресечь неправомерное распространение конфиденциальной информации […] и привлечь к ответственности виновных.

Дата: 2018-01-19 08:28:25

Источник: http://www.securitylab.ru/news/490906.php



Ливанские хакеры похитили сотни гигабайт данных с помощью фишинга

Похищенные хакерами данные, включают в себя переписку, резервные копии файлов, снимки экрана компьютеров, фотографии, журналы вызовов и пр.

Хакеры, предположительно связанные с правительством Ливана, похитили сотни гигабайт информации у тысяч жертв по всему миру, используя только фишинговые письма и относительно простое вредоносное ПО, следует из совместного отчета правозащитной организации Electronic Frontier Foundation и компании по кибербезопасности Lookout.

По словам исследователей, им удалось получить доступ к серверу злоумышленников и в течение 3 месяцев собирать доказательства шпионской деятельности хакеров в более чем 21 стране. Данные с серверов указали исследователям на конкретное здание в Бейруте, в котором находится офис Главного управления общей безопасности Ливана.

Жертвами хакерской группировки, получившей название Dark Caracal, стали чиновники, военные, сотрудники коммунальных компаний, финансовых учреждений, промышленных компаний, а также оборонные подрядчики. Группировка действует по меньшей мере с 2012 года.

Dark Caracal полагается на проверенные методы, в основном используя легитимные на первый взгляд приложения, инфицированные вредоносным ПО, или поддельные страницы входа в Facebook и Twitter. Как выяснили исследователи, похищенные хакерами данные, включают в себя переписку, резервные копии файлов, снимки экрана компьютеров, фотографии, журналы вызовов и пр.

Группировка использовала как хорошо известные вредоносные программы для ОС Windows, так и специальное шпионское ПО FinFisher. Хакеры также разработали собственный вредонос для Android, получивший название Pallas.

Одной из особенностей Dark Caracal является использование чужой инфраструктуры для проведения операций. В частности, группировка использовала те же серверы и некоторые вредоносные программы, что и хакеры, предположительно связанные с правительством Казахстана.

«Есть кто-то, кто управляет этой инфраструктурой, и он сдает ее в аренду различным хакерским группировкам», - отметили эксперты.

Исследователи смогли точно определить фактическое местоположение хакеров благодаря данным тестовых устройств, которые хакеры использовали для проверки своих вредоносных программ и хакерских инструментов. Все данные находились на сервере хакеров, в том числе названия нескольких сетей Wi-Fi, находящихся в офисе Главного управления общей безопасности в Бейруте.

Дата: 2018-01-19 08:13:00

Источник: http://www.securitylab.ru/news/490905.php



«Баг хантеры» зарабатывают в разы больше по сравнению с программистами

Поиск уязвимостей приобретает большую популярность в качестве постоянной профессии.

Занимающиеся поиском уязвимостей топовые исследователи зарабатывают в среднем в 2,7 раза больше, чем рядовые программисты. Такие данные приводятся в 40-страничном отчете «2018 Hacker Report» компании HackerOne.

Свои выводы компания сделала на основе опроса, проведенного среди 1700 исследователей безопасности, зарегистрированных на платформе HackerOne. Разница в размерах зарплаты и вознаграждений за обнаруженные уязвимости отличаются в зависимости от страны. Тем не менее, как показывает исследование, поиск уязвимостей приобретает большую популярность в качестве постоянной профессии. Особенно это касается менее развитых стран, где bug bounty помогает талантливым программистам обрести финансовую независимость.

Лучше всего «баг хантеры» живут в Индии, где топовые исследователи безопасности могут зарабатывать в 16 раз больше по сравнению с рядовыми программистами. На втором месте находится Аргентина, где размер вознаграждений в рамках bug bounty превышает среднюю зарплату инженера в 15,6 раза. Далее следуют Египет (в 8,1 раза), Гонконг (в 7,6 раза), Филиппины (в 5,4 раза) и Латвия (в 5,2 раза).

Поиск уязвимостей приобретает популярность в качестве постоянной профессии также в развитых странах. Тем не менее, здесь разница в размерах вознаграждений и среднестатистических зарплат не столь ощутима. К примеру, в США топовые исследователи зарабатывают в 2,4 раза больше по сравнению с рядовыми программистами. В Канаде этот показатель составляет 2,5 раза, в Германии – 1,8 раза, а в Израиле – 1,6 раза.

Согласно отчету, 58% исследователей, участвующих в программе выплаты вознаграждений за поиск уязвимостей, являются самоучками. 37% «белых» хакеров занимаются тестированием безопасности в качестве хобби в свободное от основной работы время. Около 12% зарегистрированных на HackerOne исследователей за год зарабатывают на поиске уязвимостей $20 тыс. и больше. 3% удается заработать за год более $100 тыс., а 1,1% - более $350 тыс.

По словам 13,7% опрошенных, вознаграждение за выявленные уязвимости составляет 90-100% от их годового дохода. 23% зарегистрированных на HackerOne исследователей проживают в Индии, 20% - в США и 6% - в России.

Каждый четвертый хакер не сообщает производителю об уязвимостях в его продукте из-за отсутствия соответствующих каналов. Интересно, что финансовая выгода не является главной мотивацией исследователей (в списке мотиваций заработок занимает лишь 4-е место).

HackerOne – компания, занимающаяся раскрытием уязвимостей и одноименная bug bounty платформа, соединяющая бизнес и исследователей безопасности. HackerOne базируется в Сан-Франциско (Калифорния, США) и обслуживает такие компании, как Twitter, Slack, Adobe Systems, Yahoo!, LinkedIn, Airbnb и пр.

Дата: 2018-01-19 06:57:02

Источник: http://www.securitylab.ru/news/490902.php



Сервис MailChimp допустил утечку адресов электронной почты

Проблема могла быть проэксплуатирована для рассылки фишинговых сообщений или взлома учетной записи пользователя.  

Исследователь безопасности Теренс Иден (Terence Eden) обнаружил в сервисе для массовой отправки электронных писем MailChimp проблему, которая могла привести к утечке адресов электронной почты и раскрытию конфиденциальной информации получателей.

Проблема заключалась в следующем: когда пользователь переходил по ссылке из электронного письма от MailChimp - браузер открывал ссылку и отправлял на новую web-страницу информацию о том, с какого сайта был осуществлен переход. Таким образом администратор открытого сайта мог видеть какую страницу пользователь посетил ранее.

MailChimp также генерировал уникальную ссылку на web-версию копии письма конкретного пользователя, в котором содержались ссылки для изменения адреса электронной почты, а также отмены подписки. При этом, при переходе по ссылке для отмены подписки можно было увидеть полный адрес электронной почты получателя. Таким образом данная проблема могла быть проэксплуатирована для рассылки фишинговых сообщений или взлома учетной записи пользователя.  

«Если вы перейдете по ссылке из письма от MailChimp, ваш адрес электронной почты и информация о том, что вы читаете могут быть переданы владельцу сайта», - пояснил исследователь.

Исследователь уведомил MailChimp о своей находке и в настоящее время компания уже исправила данную проблему. 

MailChimp - американская компания и одноименный интернет-сервис. Компания является одним из лидеров в сфере маркетинга по электронной почте и занимается массовой рассылкой рекламных, новостных и других электронных писем.

Дата: 2018-01-19 06:23:00

Источник: http://www.securitylab.ru/news/490901.php



Российских клиентов банков атакуют мошенники

Используя виртуальные АТС, мошенники звонят клиентам банков и выманивают данные их карт.

Тысячи клиентов банков в России стали жертвами мошенников, вооружившихся новой схемой. Как сообщает издание «Известия» со ссылкой на ИБ-компанию Zecurion, с помощью виртуальных АТС злоумышленники звонят с телефонных номеров финорганизаций их клиентам и выманивают данные банковских карт.

Как сообщают эксперты, преступники используют уже существующую сеть и могут осуществлять свою деятельность из любой точки мира. Мошенническая схема выглядит следующим образом. Сначала злоумышленники оформляют облачную АТС на одноразовую SIM-карту, а затем через web-интерфейс меняют номер своей станции на номер банка. Все, что остается сделать – позвонить ничего не подозревающему клиенту финорганизации и «уточнить» данные его банковской карты.

Завладев платежной информацией, преступники похищают деньги со счетов жертв. В среднем с одного счета списывается от 5 тыс. до 10 тыс. руб. По подсчетам экспертов, к настоящему времени преступники уже успели причинить ущерб более чем на 30 млн руб. Стоимость самой мошеннической операции составляет около 3 тыс. руб. в месяц.

Дата: 2018-01-19 05:24:08

Источник: http://www.securitylab.ru/news/490900.php



В России объем рынка перепродажи доменов может достигать 45 млрд рублей

В 75% случаев владелец домена и правообладатель товарного знака являются разными людьми.  

В России потенциальный объем рынка перепродажи доменных имен может достигать 45 млрд рублей. При этом, лишь 1,2% доменов в зонах .ru и .рф охраняются как товарные знаки, сообщает издание «КоммерсантЪ» со ссылкой на совместный отчет компании «Онлайн Патент» и Координационного центра национального домена сети интернет (КЦ).

Как следует из доклада, в зонах .ru и .рф существует порядка 6,3 млн доменных имен, из которых только 76 тыс. (1,2%) охраняются как зарегистрированные товарные знаки. При этом, в 75% случаев владелец домена и правообладатель товарного знака являются разными людьми.  

Согласно отчету, физическим лицам принадлежат 84% доменных имен в зонах .ru и .рф, что может говорить о большом количестве сайтов, зарегистрированных на подрядчиков-фрилансеров и внутренних IT-специалистов. Однако 225 тыс. действующих на территории РФ товарных знаков не имеют совпадений среди зарегистрированных доменных имен, из чего можно сделать вывод, что верхняя оценка объема потенциального рынка перепродажи доменных имен исходя из цен на домены составляет порядка 45 млрд рублей, считают эксперты.

«Вопрос о соотношении доменного имени и защищаемых законом объектов интеллектуальной собственности, как правило, законами в достаточной степени не регулируется. Из-за этого большое значение имеют обстоятельства конкретного дела, цель использования домена и позиция суда, рассматривающего спор», - отметила исполнительный директор портала Reg.ru Светлана Лиенко.

Дата: 2018-01-19 05:10:00

Источник: http://www.securitylab.ru/news/490899.php



Обнаружена масштабная кампания по распространению инфостилера для Android

Вредоносное ПО GhostTeam похищает учетные данные пользователей Facebook.  

Исследователи из Trend Micro обнаружили новую кампанию по распространению вредоносного ПО для Android-устройств, похищающего учетные данные пользователей Facebook и агрессивно отображающего рекламу. Вредонос, названный GhostTeam по одной из обнаруженных в коде строк, распространялся через Google Play Store и мог быть загружен сотнями тысяч ничего не подозревавших пользователей.

GhostTeam впервые был опубликован в Google Play Store в апреле 2017 года под видом легитимных утилит, улучшителей производительности и загрузчиков видео из соцсетей. В общей сложности исследователи насчитали 53 приложения, распространявших вредонос и загруженных от 100 тыс. до 500 тыс. раз.

В настоящее время точно неизвестно, зачем злоумышленникам понадобились учетные данные пользователей Facebook. Однако сфера их применения довольно большая, начиная от распространения дополнительного вредоносного ПО и майнинга криптовалюты и заканчивая распространением ложных новостей.

После загрузки на атакуемое устройство GhostTeam проверяет, не оказался ли он на эмуляторе или виртуальной машине. Такая проверка предназначена для того, чтобы усложнить исследователям безопасности изучение кода. Установив, что находится на обычном Android-устройстве, вредонос загружает полезную нагрузку под видом сервисов Google Play Services, запрашивающих проверку приложений.

Затем, когда пользователь открывал Google Play Store или Facebook, появлялось уведомление о необходимости установить поддельную версию Google Play Services. Эта версия запрашивала привилегии администратора, и GhostTeam получал контроль над устройством. Когда пользователь в следующий раз открывал Facebook, отображалось уведомление с требованием верифицировать учетную запись. Введенные жертвой пароль и электронный адрес отправлялись прямиком на сервер злоумышленников.

Исследователи сообщили Google о вредоносной кампании, и распространяющие GhostTeam приложения были удалены из Google Play Store.

Дата: 2018-01-19 04:37:14

Источник: http://www.securitylab.ru/news/490898.php



Vegile - Tool for Post exploitation Techniques in Linux

Vegile_4_34869598-fd7cf00e-f7b9-11e7-950e-a4cb61364c03.png

Vegile is a tool for Post exploitation Techniques in linux. Post Exploitation techniques will ensure that we maintain some level of access and can potentially lead to deeper footholds into our targets trusted network.

How it works

This tool will setting up your backdoor/rootkits when backdoor already setup it will be hidden your spesisifc process,unlimited your session in metasploit and transparent. Even when it killed, it will re-run again. There always be a procces which while run another process,So we can assume that this procces is unstopable like a Ghost in The Shell

READ THIS


Getting Started
git clone https://github.com/Screetsec/Vegile.git
cd Vegile
chmod +x Vegile

Using Vegile
Running Vegile without any parameters will give a helpful list of the most common options. you can use command :

Demo Video

Дата: 2018-01-18 21:25:46

Источник: https://www.kitploit.com/2018/01/vegile-tool-for-post-exploitation.html