НеКасперский

Окончательный проект Участники REF7707 совершают нападения на ПК через Paint. Одна из таких атак была нацелена на Министерство иностранных дел неназванной южноамериканской страны. Специалисты выяснили, что группировка загружала файлы с сервера ведомства с использованием утилиты certutil, команды которой выполнялись через Windows Remote Management. Атака активировалась с помощью троянца PATHLOADER, позволяющего загружать зашифрованный шелл-код и запускать FINALDRAFT. Бэкдор мог выполнить 37 команд, в том числе создание прокси и скрытое управление заражёнными системами. Кроме того, малварь использовал компонент набора инструментов PowerPick, чтобы обойти контроль Windows и реализовать команды PowerShell. Так бэкдор превращает безобидный Paint в инструмент для взлома. Подобным образом через popen работает и версия FINALDRAFT для Linux. С помощью этой схемы участники группировки также атаковали госучреждения США, Юго-Восточной Азии и Бразилии. НеКасперский

Доигрались Помойная инди-игра из Steam заставила пользователей переустановить ОС на своих устройствах. На прошлой неделе разработчик Seaworth Interactive залил игру PirateFi. Выглядела она как обычная выживалка по типу Sea of Thieves или Rust. Однако игру быстро удалили, так как выяснилось, что она содержала вредоносное ПО. Valve предупредила юзеров, что их устройства могут быть заражены, а также порекомендовала просканировать системы через антивирус и «рассмотреть возможность переформатирования своей операционной системы». Исследователи полагают, что причиной инцидента стал стилер Vidar. Количество пострадавших не уточняется, однако в магазине на неё был оставлен 51 отзыв. Захватывающая игра на выживание вышла на новый уровень 🤪 НеКасперский

Городскаяканализация Сервер Trimble Cityworks пронизан уязвимостью, которая даёт возможность исполнять произвольный код на IIS, где работает это приложение. Проблема кроется в некорректной десериализации данных, позволяющей загружать вредоносные объекты и тихо проникать внутрь системы. Достаточно обзавестись любой учёткой Cityworks. После входа в систему злоумышленники могут повысить права до админских и через Rust- либо Go-бэкдоры выполнять команды на сервере. Trimble уже выпустила заплатки для версий 15.8.9 и 23.10. Вдобавок, CISA внесла этот баг в известный перечень эксплуатируемых, призвав быстрее обновиться. Однако очевидцы всё ещё фиксируют новые атаки, особенно там, где IIS настроен с чрезмерными привилегиями. Вопрос в том, насколько быстро организации установят патчи и проверят логи на следы Cobalt Strike 🤔 НеКасперский

Это мы импортозамещаем В МВД предупредили, что экстремистский WhatsApp заражает вирусами-шпионами устройства своих пользователей. В Ведомстве выяснили, что израильский вредонос Graphite, которым ещё несколько лет назад заражали чиновников Западной Азии, сегодня может заражать сотни миллионов пользователей мессенджера без какого-либо их участия. Об этом говорят и в самом запрещённой компании. С их слов, около ста журналистов стали жертвами ответвления вируса-шпиона от кашерной Paragon Solutions. Жертвам приходит специальный PDF-файл в любой групповой чат. И всё. Открывать его не нужно, переходить по каким-либо ссылкам тоже. Алгоритмы мессенджера сами помогут вирусу развернуться на вашем телефоне. МВД, кстати, на этом фоне, не постеснялись упомянуть «безопасные и прозрачные» отечественные мессенджеры 🙃 НеКасперский

Денежные отходы Хакерская группа Waste взломала счета Центрального банка Уганды и похитила миллионы долларов, но власти уверяют, что всё под контролем. По данным государственного издания New Vision, злоумышленники из Юго-Восточной Азии проникли в IT-системы…

Они размножаются Борьба с надоедливыми северокорейскими фрилансерами продолжается. На этот раз они додумались сговориться с жительницей Америки для проведения аферы с трудоустройством на должность IT-специалистов. Женщина эксплуатировала украденные ПДн более 70 граждан США для создания поддельных документов и оформления договоров. Эта махинация позволила преступникам заработать более $17 миллионов и перевести средства в КНДР. Компании-жертвы отправляли на адрес американки корпоративные устройства, так в её доме сформировалась целая ферма ноутбуков. Благодаря этой схеме она создала видимость, будто псевдо-сотрудники работали из США, когда на самом деле они находились в Лаосе, Китае и других странах. Следствие показало что доход гениев составлял более $300 тысяч в год, а сами работники, разумеется, являются сотрудниками ВПК КНДР. Похожие схемы были зафиксированы и ранее. Мы уже рассказывали о проделках северокорейских спецов, использующих дипфейки и ворующих конфиденциальные сведения из инфраструктуры американских компаний. Выходит, даже объявления Минюста США о многомиллионных вознаграждениях не помогают 🤔 НеКасперский

«Базис» и ИСП РАН обнаружили уязвимости в открытом коде для виртуализации Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые…

Дезинформация Проукраинские хакеры совершили атаку на отечественную компанию, оказывающую телекоммуникационные услуги N3 Entry. По словам злоумышленников, в результате взлома им удалось получить доступ ко всем хост-машинам виртуальных серверов, центру управления сетью и трём трансляциям. Преступники скомпрометировали более 1 ТБ базы данных Oracle, 5 ТБ документов и 600 ГБ электронной почты. В качестве доказательств были опубликованы скриншоты внутренней инфраструктуры. Кроме того, они оборвали эфир на трёх российских телеканалах. Вместо привычных программ на экранах пользователей отображался провокационный текст с фейковыми новостями. НеКасперский

Подорвали доверие Неделю назад у нас спросили по поводу безопасности Android System Safety Core. Мы тогда ответили, что это официальная программа от Google, предназначенная прежде всего для Google Messages. Она призвана искать чувствительный контент в чатах и защищать пользователей от мошенничества. Всё бы ничего, но многим такое нововведение показалось подозрительным. Приложение установлено компанией на более 1 млрд устройств без какого-либо предупреждения. Оно работает в фоновом режиме, анализирует информацию о состоянии сетевых подключений и имеет доступ к сети. По словам разработчиков, алгоритмы машинного обучения используются локально, и на сервера Google ничего не попадёт. Однако пользователи переживают, что контент может тайно передаваться через интернет. Не исключено, что в списке изображений случайно окажется не запрещёнка, а, к примеру, скриншоты с паролями. Возможно, компания могла избежать такой реакции, если бы приложение не было установлено втихаря 🤷🏻‍♂️ НеКасперский

Уникальные люди Пока РКН готовил курсы почти за 600 тысяч рублей, мошенники успели обработать сына экс-главы ведомства. Вслед за топ-менеджером Лаборатории Касперского на уловку для мамонтов повёлся Жаров-младший, отдавший злоумышленникам 65 миллионов рублей. Под видом сотрудников сотового оператора преступники предложили 20-летнему парню продлить договор на обслуживание SIM-карты. Молодой человек назвал аферистам код из СМС, так они получили доступ к его Госуслугам. Эти «Специалисты» убедили юношу отдать курьерам 49 миллионов рублей, 36 тысяч долларов и 133 тысячи евро. Также по их инструкциям он отнёс в ломбард коллекцию из 16 дорогостоящих часов, однако работники подвальчика быстро сориентировались и вызвали полицию. Перед OSINT-курсами им стоило бы начать обучение с прочтения их собственных памяток от мошенников. НеКасперский

Без пароля Apple закрыла уязвимость, позволявшую доставать даннные из заблокированных iPhone. Режим USB Restricted Mode блокирует передачу данных через порт, если гаджет пролежал в заблокированном состоянии больше часа. По словам Apple, брешь использовалась в «сложных точечных атаках». Эксперты из Citizen Lab же считают, что эксплойт мог серьёзно помочь создателям шпионского ПО вроде GrayKey и Cellebrite, ведь при успехе порт внезапно снова начинал передавать данные без пароля. Логическая ошибка в системе авторизации приводила к тому, что устройство снимало ограничение порта, даже если никто не разблокировал экран. Apple выпустила экстренный патч в iOS 18.3.1 и iPadOS 18.3.1, прикрыв лазейку. Технические подробности компания не обнародовала, однако отметила редкую сложность эксплойта и указала, что его использовали лишь в узком круге целевых взломов. НеКасперский

Ученье след В центре внимания оказалась очередная идея РКН по слежке за россиянами. В этот раз они планируют обучать своих сотрудников OSINT-навыкам. Ведомство выкатило курс, предназначенный для 11 работников Главного радиочастотного центра. За 40 часов специалистам покажут как осуществлять поиск граждан по контактным сведениям, сайтам, блогам, форумам и БД. Кроме того, ученики смогут получить доступ к их адресам, никнеймам, фотографиям и даже геолокации, вероятно взятой из той самой базы данных отечественных IP-адресов. Они научатся составлять «поведенческий портрет», а также рассмотрят такие темы как «признаки и способы влияния на эмоции человека» и «информационные войны и репутационные риски, стратегии и тактика ведения информационных войн». Объявление о тендере разместили в Единой информационной системе госзакупок. Начальная цена этого удовольствия составила почти 600 тысяч рублей. Правда для этих целей есть и бесплатные ресурсы по типу курсов от BeelingCat. НеКасперский