НеКасперский

Незримые дыры в стенах корпоративной безопасности? Сейчас почти все бегут к подрядчикам — экономят, ищут уникальную экспертизу, закрывают кадровые дыры. Но мало кто задумывается, что именно здесь бизнес может утонуть при штиле — когда доступ к данным компании получают внешние спецы с непонятными устройствами. Да и к удалёнщикам это, кстати, тоже относится. На эту тему мне попался материал с рассылкой от команды корпоративного Яндекс Браузера. Судя по исследованию ГК «Солар», каждая пятая компания уже словила утечку через внешних спецов. Средний чек такого развлечения — 5,5 миллиона рублей за инцидент, если не считать репутационного ущерба и регуляторных штрафов. Советую посмотреть док целиком, но если вкратце: Основная проблема до безобразия проста. Корпоративные системы сейчас часто живут в вебе — не нужно ставить софт, просто логин-пароль и вперёд. Красота для бизнеса, кошмар для безопасников. Технически проблему решают созданием контролируемой среды для доступа подрядчиков. Проверка устройства на соответствие требованиям безопасности, блокировка утечек через копирование, перетаскивание, скриншоты, интеграция с мониторингом. Ну и форсинг, с ним можно быть уверенным, что к корпоративному ресурсу подключаться будет именно защищенный контролируемый браузер. НеКасперский

Удар ниже merged-а Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions. Популярный процесс tj-actions/changed-files, используемый в более чем 23 тыс. репозиториев, 14 марта был заражён вредоносным кодом. Хакер не только модифицировали кодовую базу, но и обновили все версионные ярлыки. Вредонос маскировался под функцию updateFeatures, которая запускала скрипт для поиска в памяти Runner Worker секретов, например токены AWS, Azure, GCP, GitHub PAT, NPM, учётные данные БД, RSA-ключи. Найденное шифровалось двойным base64 и записывалось в журналы сборки. Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами. Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲 НеКасперский

Морская охота Проиндийская APT обновила инструментарий и активно атакует морскую и ядерную отрасли в Азии и Африке. В конце 2024 года эксперты зафиксировали существенный рост активности группы SideWinder, включая перевооружение и создание новой инфраструктуры. Целевые отрасли те же, однако заметно увеличилось число атак на морские объекты и логистические компании. Новинка года — явный интерес к атомным электростанциям и объектам ядерной энергетики в Южной Азии. География атак расширилась на новые страны Африки, при этом злоумышленники продолжают тщательно отслеживать обнаружение своих инструментов и оперативно создают обновлённые версии вредоносного ПО. Схема заражения остаётся неизменной и основывается на рассылке фишинговых писем с документами, эксплуатация уязвимости MS Office и многоступенчатое внедрение всевозможных карманных стилеров. НеКасперский

Няши Специалисты из Лаборатории Касперского обнаружили очередных хакеров, ненавидящих геймеров и анимешников. Они придумали изощрённый способ распространения своего бэкдора DCRat с помощью YouTube. На платформе публикуются видео с рекламой читов, игровых ботов, кряков и др. Авторы роликов призывают мамкиных геймеров перейти в описание и скачать обозреваемые продукты. Только вместо обещанного к видео, очевидно, прикреплён код и ссылка на легитимный файлообменник, содержащий запароленный архив. Когда недочитер пытается установить игровое ПО, на его устройство скачивается вредонос, дающий возможность удалённо управлять компьютером жертвы, скачивать дополнительные модули и расширять функциональность DCRat. При этом в качестве маскировки атакующие называли домены командных серверов словечками по типу nyashka, nyashkoon, nyashtyan и т. д. Бекдор вымогатель ❌ Няняняняня ✅ НеКасперский

Секретики Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе. По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу. Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации. Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить. А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях. Где-то тихо улыбаются ведрофонеры 🤪 НеКасперский

Сказочке конец Президента США призывают проводить кибератаки против Китая. С этим предложением к Трампу обратилась группа американских сенаторов. Такая инициатива была проявлена на фоне обострения отношений между странами, а также участившихся нападений Salt- и Silk Typhoon на инфраструктуру страны-оппонента. За примером далеко ходить не надо, достаточно вспомнить январскую атаку китайской группировки на Минфин США. Тогда злоумышленникам удалось проникнуть в электронные системы и получить доступ к компьютерам чиновников. Многочисленные нападки со стороны КНР вынудили США пойти на крайние меры и ввести ряд санкций. По всей видимости, этого оказалось недостаточно, теперь в США хотят скорректировать методы борьбы с деятельностью китайских хакеров. Подробности такого решения не разглашаются, однако известно, что в письме сенаторы предлагают Трампу активно использовать наступательные угрозы. Тем временем сказочники из КНР продолжают обеляться убеждениями о своей невинности 🫠 НеКасперский

На счётчик поставили Хакерская группа Medusa, слившая исходный код Microsoft Bing, теперь атаковала компанию Toyota Financial Services и разместила эту новость на своём сайте в даркнете с требованием оплатить выкуп в размере $8 млн. Вдохновлённые американскими…

Сильно въелись Китайская группировка взломала 20 тысяч систем файрволов корпоративного класса FortiGate. Об этом заявили представители службы военной разведки и безопасности Нидерландов. Стало известно, что ранее выявленная кампания работает по сей день.…

Лихорадит Китайские хакеры взломали систему удалённого управления BeyondTrust, откуда стащили ключ, открывающий доступ к рабочим станциям и несекретным документам министерства финансов США. С помощью полученного ключа злоумышленники обошли защитные механизмы…

Парад Медсестёр Кибербезопасник обнаружил открытую базу Американской медицинской платформы ESHYFT с личными данными 86 тысяч её работников. Утечка включала свыше 100 ГБ данных, включая всё от фотографий медсестёр и рабочих графиков до личных медицинских заключений, которые загружались в качестве оправданий пропуска смен. В одной таблице хранилось более 800 тыс. записей с идентификаторами, названиями учреждений, отработанными часами и прочей информацией. Многие документы содержали персональные данные, потенциально подпадающие под регулирование HIPAA. Исследователь уведомил компанию, но база оставалась доступной больше месяца. Платформа, работающая в 29 штатах, не разделяла данные по уровню чувствительности — профили и медицинские документы хранились вперемешку. Выпустили подышать медсестёр на просторы даркнета 😇 НеКасперский

Бойкий дизайн Запрещённый и экстремистский Facebook предупреждает о критической уязвимости в FreeType, позволяющей выполнять произвольный код при обработке шрифтов TrueType GX и переменных шрифтов. Суть проблемы — в некорректном приведении типов при выделении памяти. Знаковое short преобразуется в беззнаковый long с последующим добавлением статического значения. Это приводит к выделению недостаточного буфера и запись за его пределы, что открывает путь к выполнению стороннего кода. Учитывая, что FreeType встроена в миллионы систем, разработчикам стоит срочно обновиться до FreeType 2.13.3. Несмотря на то, что уязвимая версия выпущена два года назад, в проектах часто застревают устаревшие библиотеки. Теперь ещё и шрифтов бояться? 🥹 НеКасперский

Переполненный Уязвимость в движке WebKit от Apple позволяет «разработчикам» негодяям выйти за песочницу и запустить любой код на ваших айфончиках. Эта брешь была связана с некорректной записью в память при обработке веб-контента. Опытные хакеры могли с помощью хитрых DOM-элементов или скриптов переписать нужные участки памяти и захватить управление. Подобная атака даёт им не только возможность проникнуть в процесс Web Content, но и вырваться на волю, обойдя встроенные защиты iOS или macOS. Исследователи уверены, что возникновение RCE тут реально, а злоумышленники уже не упустили шанса воспользоваться ситуацией. Apple закрыла уязвимость в iOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1. Бегом обновляться! НеКасперский