SecAtor

@true_secator Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
30.01.2020 12:00
реклама
Продажа рекламы на полном автопилоте!
TAGIO профессиональная рекламная платформа для админов
Админ канала? Добро пожаловать!
TAGIO - Самый желанный инструмент 2021 года стартовал!
Нужна дешевая реклама в ТГ?
От 100Р за 1000 показов в чистых каналах в 2 клика.
14 146
подписчиков
~9.1k
охват 1 публикации
~31.2k
дневной охват
~4
постов / день
64%
ERR %
116.94
индекс цитирования
Репосты и упоминания канала
141 упоминаний канала
623 упоминаний публикаций
1002 репостов
Караульный
Караульный
SecurityLab
Караульный
SERP
Караульный
Эксплойт | Live
Караульный
Караульный
Cybersecurity books
Эксплойт | Live
Эксплойт
CodeCamp
Арсенал хакера
Караульный
Караульный
Теория Элит
Караульный
FSCP
Караульный
T.Hunter
Караульный
ЧВК Медиа
ЧВК Медиа
Караульный
Караульный
global_chan
Караульный
Караульный
Эксплойт | Live
Караульный
Каналы, которые цитирует @true_secator
Эксплойт | Live
RosKomSvoboda
Телекоммуналка
Эксплойт | Live
Emmanuel Macron
Эксплойт | Live
vx-underground
CodeCamp
apple
Эксплойт | Live
Эксплойт | Live
DevSecOps Wine
AppSec & DevSecOps Jobs
cloudsec
Эксплойт | Live
Эксплойт | Live
Эксплойт | Live
Эксплойт | Live
Maddiestone
Эксплойт | Live
Антивирусное ДНО
Утечки информации
Утечки информации
Эксплойт | Live
Утечки информации
Эксплойт | Live
Эксплойт | Live
Эксплойт | Live
Киберпиздец
Телекоммуналка
Антивирусное ДНО
Эксплойт | Live
THE STANDOFF NEWS
Donald Trump
Код Дурова
GIT - полезные IT сервисы
Эксплойт | Live
Social Engineering
Библиотека хакера
Cybersecurity books
Эксплойт | Live
GIT - полезные IT сервисы
Последние публикации
Удалённые
С упоминаниями
Репосты
SecAtor 5 Mar, 15:28
​​Поздравляем всех девушек, работающих в отрасли информационной безопасности, с наступающим 8 марта!

Вы действительно особенные! Ну где еще найдешь таких очаровательных и умных одновременно! Разве что в сказках!

Всех обнимаем, всем привет, за всех выпьем! С праздником, боевые подруги! Ни CVE, ни слабого пароля!!!
Читать полностью
SecAtor 5 Mar, 14:11
Supermicro заявили, что серия их материнских плат X10 UP уязвима для атаки UEFI-биос, осуществляемой модулем TrickBoot вредоноса TrickBot.

Сам TrickBoot был найден исследователями из AdvIntel и Eclypsium еще в декабре прошлого года. Понятно, что такой апгрейд вредоноса значительно усложняет задачу не только лечения, но и обнаружения заражения. К тому же малварь сможет удалённо "окирпичивать" зараженные компьютеры, обходить системы безопасности (включая BitLocker, Windows Virtual Secure Mode, Credential Guard и некоторые антивирусы), получать доступ к SPI-контроллеру для проведения сложных атак против процессоров Intel.

Supermicro обещают в ближайшее время выпустить исправления своих биос, а пока рекомендуют всем включить защиту от записи и проверить целостность прошивки.

А мы тем временем напомним, что прошло почти пять месяцев с тех пор, как коалиция "Microsoft и все, все, все" нанесли "решающий удар" по ботнету TrickBot. У себя в фантазиях.
Читать полностью
SecAtor 5 Mar, 13:08
Уже все про это написали, но мы не можем пройти мимо.

Практически одновременно Microsoft и FireEye выпустили отчеты в отношении новых вредоносов, которые были обнаружены в рамках расследования атаки Sunburst на IT-разработчика SolarWinds.

Microsoft побеждает со счетом 3:1. Что же они нашли.

1. Бэкдор второго уровня, который по версии Microsoft называется GoldMax, а в отчете FireEye именуется Sunshuttle - скорее всего это один и тот же вредонос. Написан на Go после апреля 2020 года, FireEye говорят, что он был в зараженной сети в августе 2020. Они же не подтверждают однозначную связь бэкдора с UNC2542, как называют группу, стоящую за атакой Sunburst.

Microsoft более категоричны и называют автором GoldMax именно группу Nobelium, так теперь они именуют организатора атаки. Они, судя по отчету, обладают большими первичными данными и отловили GoldMax у нескольких жертв сразу. Время размещения вредоносов во взломанных сетях - с июня по сентябрь 2020 года.

Из интересного - механизмы сокрытия канала связи вредоноса с управляющим центром, когда бэкдор связывается сразу с несколькими легальными сайтами, чтобы скрыть С2, а последний шлет команды через cookie.

2. Бэкдор Sibot на основе VBScript предназначенный для обеспечения постоянного присутствия на зараженной машине. Microsost нашли три варианта Sibot.

3. Модуль GoldFinger, также написанный на Go и предназначенный для HTTP-трассировки маршрута до управляющего центра.

Как обычно, про TTPs, которые могут свидетельствовать о принадлежности атаки российской APT - ни слова.
Читать полностью
SecAtor 5 Mar, 11:59
я тут недавно писал о пиксельных трекерах в почте. там еще было обсуждение про варианты их блокировки, начиная от отключения загрузки удаленного контента до использования Pihole для отправки этих запросов в черную дыру. веб-почта тоже хороший вариант, а если вы Мак-юзер, который пользуется родным клиентом, то вам будет интересно узнать о плагине для Mail, который делает эту блокировку прямо на Маке

https://apparition47.github.io/MailTrackerBlocker/
Читать полностью
SecAtor 4 Mar, 19:01
Мы не раз давали посты по материалам Motherboard о том, как американские спецслужбы покупают информацию у сервисов, собирающих данные геолокации мобильных устройств через различные приложения.

Например, летом мы писали про то, что Секретная Служба США (USSS) купила лицензии на использование одного из таких сервисов Locate X от компании Babel Street.

При этом позже оказалось, что хотя передаваемые данные якобы являются анонимными, по словам одного из бывших сотрудников Babel Street, имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.

Среди собиравших данные приложений, правда для другого сервиса, X-Mode, были молитвенные приложения для мусульман. Среди клиентов X-Mode было американское Командование сил специальных операций (USSOCOM), которая также покупало сведения у Locate X.

Согласно новому расследованию Motherboard, в числе организаций, покупавших геолокацию у Locate X, оказалось 132-е крыло Воздушной национальной гвардии в штате Айова. Тонкость в том, что это подразделение выполняет зарубежные разведывательные и ударные миссии с помощью беспилотников Reaper.

Добро пожаловать в светлое кибернетическое будущее.
SecAtor
​​Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят. Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street. Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений. В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года. Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется. Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы…
Читать полностью
SecAtor 4 Mar, 16:08
Компания SITA сообщила об инциденте безопасности, который привел к утечке части данных пассажиров, которые хранились на серверах системы SITA Passenger Service System (SITA PSS). Атака произошла 24 февраля этого года.

Если кто не знает, SITA - ведущий поставщик телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации. SITA PSS - это система обслуживания пассажиров. В частности, этой системой ранее пользовалась авиакомпания S7.

Вероятнее всего, речь идет об атаке ransomware. Компания заявила, что уже связалась с клиентами (по всей видимости, речь идет об авиакомпаниях), чьи данные были затронуты. Так что, как мы понимаем, платить выкуп SITA не собирается. А раз так - скоро украденная информация с большой вероятностью окажется в паблике.

И как обычно - доход компании в 2018 году составил 1,84 млрд. долларов. Видимо на информационную безопасность, как всегда, не хватило. Необходимо было купить мраморные пресс-папье для management team.
Читать полностью
SecAtor 4 Mar, 15:08
Бахнули Мазу.

Один из старейших русскоязычных хакерских форумов, бывший Mazafaka, был взломан неизвестным злоумышленником, как сообщает Flashpoint. Судя по оставленному сообщению, взломщик не является русскоязычным, хотя это может быть просто маскировка.

В результате в сеть утекла часть базы, содержащая таки данные как имя пользователя, хэшированный пароль, электронную почту, Skype, ICQ и пр. Некоторые пользователи утверждают, что база старая и неполная.

Война за кормовую базу.
Читать полностью
SecAtor 4 Mar, 13:29
​​Да!
SecAtor 4 Mar, 12:32
​​Американские инфосек исследователи из компании Qualys - большие затейники. Вроде бы они умеют в хороший инфосек, в частности именно им принадлежит открытие свежей уязвимости Baron Samedit в sudo, которая позволяла получить рутовые права в системе и присутствовала с лета 2011 года.

В то же время, в конце января стало известно, что Qualys получила свою порцию бэкдора Sunburst в ходе атаки на SolarWinds. При этом компания решила прикинуться ветошью и заявила, что это исследователи сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com.

На этот раз калифорнийцы решили именно в плохую свою сторону - оказалось, что Qualys стала жертвой оператора ransomware Clop, который выкинул в сеть часть украденной информации, включая бухгалтерские данные, налоговые документы и др.

Судя по всему, точкой компрометации послужил сервер Accellion FTA, который стоял в сети Qualys и 0-day уязвимость в котором вымогатели Clop эксплуатировали еще в декабре 2020 года. Сервер был размещен по адресу fts-na .qualys .com и мы было подумали, что это новая тестовая среда Qualys (шутка).

Но хорошо, что компания не стала играть в PR им. Грефа и признала, что стала жертвой взлома Accellion FTA в декабре 2020 года. Согласно заявлению Qualys, производственный сегмент сети был изолирован и хакеры в него не попали, получив доступ лишь к второстепенным данным.

И вот с одной стороны вроде как и можно приподзакрыть глаза на этот взлом, все-таки хакеры использовали 0-day. А с другой стороны это все равно зашквар, где же были все их SOCи, SIEMы и прочие DLP (судя по последней дате активности Accellion FTA 18 февраля, злоумышленники сидели в сети Qualys достаточно долго).

Теперь в расследовании инцидента им помогает FireEye Mandiant.
Читать полностью
SecAtor 3 Mar, 21:00
Леденящая душу история - сатанисты поругались и... перенесли спор в суд. Мы-то думали, что там речь пойдет минимум о жертвоприношениях, а то и о призвании Вельзевула.

Американская ООО "Объединенная федерация церквей", выступающая под названием Сатанинский храм, подала в суд на своих бывших членов, которые в марте 2020 года перехватили администрирование официальной страницы Вашингтонского отделения (да, у них там и филиалы еще есть) Сатанинского храма в Facebook, Twitter и Google.

Доступы к аккаунтам Twitter и Google сатанисты вернули, а c Facebook что-то не срослось и ребята подали иск на своих бывших соратников по богонеугодным делам, обвинив их в киберсквоттинге.

Однако UDRP (или что там в Штатах по поводу доменных имен) не предусматривает никаких поблажек для диаволопоклонников, поэтому суд отклонил иск по причине того, что страница в Facebook это не домен.

Вот так вот, Интернет - это вам не козлов жертвенных резать.
Читать полностью
SecAtor 3 Mar, 17:00
—Партнерский пост—

На YouTube-канале The Standoff Russia главный редактор ведущего российского инфосек издания SecurityLab Александр Антипов рассказывает и обсуждает новости кибербезопасности:

- как баги в ПО тюрем мешают досрочному освобождению заключенных;
- как полиция использует песни Beatles;
- как Silver Sparrow успел заразить более 30 тыс. устройств Mac;

а также главные киберинциденты прошедшей недели:
- как увеличилось количество атак вымогателей в 2021;
- как восстанавливается SEPA после взлома в 2020;
- как обманывают своих жертв операторы SunCrypt;
- и многое другое.

Подписывайтесь, смотрите и рекомендуйте своим знакомым - *The Standoff Russia*.
Читать полностью
SecAtor 3 Mar, 15:36
Исследователь Лаксман Муфия рассказал о выявленной уязвимости в механизме сброса пароля от учетной записи Microsoft, за которую он получил 50 тыс. долларов в качестве bug bounty.

При сбросе пароля на электронную почту или телефон пользователя направляется семизначный код, после ввода которого можно заменить пароль. Таким образом общее количество возможных вариантов составляет 10 млн.

Код шифруется перед отправкой на проверку, но Муфия смог разобраться с техникой шифрования. Тем не менее, ограничение на количество неверных вводов кода оказалось на месте и после 122 попыток механизм был заблокирован.

Решение оказалось простым - запросы на проверку следовало отправлять одновременно с точностью до миллисекунды. При одновременном отправлении 1000 зашифрованных кодов, среди которых был и верный, исследователь смог успешно сбросить пароль.

Аналогичным образом он обошел и 2FA, которая требовала дополнительную отправку шестизначного кода. Уязвимость также имела место.

Из-за сложности атаки уязвимость была признана Microsoft важной, а не критичной, но вознаграждение тем не менее Муфия получил. А Microsoft закрыли ошибку в ноябре 2020 года.
Читать полностью
SecAtor 3 Mar, 14:41
Репост из: Эксплойт | Live
Найден способ заменить sudo-пароль на Touch ID

Консультант по JavaScript Дэвид Уолш рассказал, как настроить Touch ID в MacBook так, чтобы больше не вводить пароль при использовании sudo.

Причем, это можно реализовать с помощью буквально пары строк кода.

Теперь пользователям не нужно будет вводить пароль каждый раз из-за использования sudo.

Им будет достаточно просто приложить палец к сканеру отпечатка пальца своего MacBook.
Читать полностью
SecAtor 3 Mar, 13:12
Лаборатория Касперского в кои-то веки решила дать материал на русском языке. А то мы уже замучались их Prompt'ом переводить.

Исследователи обнаружили новую вредоносную компанию за авторством русскоязычной APT RTM, активная фаза которой началась в декабре 2020 года.

RTM - коммерческая хакерская группа, ориентированная на пользователей дистанционного банковского обслуживания (ДБО) из России и стран СНГ, для чего применяет одноименный банковский троян. Впервые их заметили словаки из ESET, по данным которых группа функционирует как минимум с 2015 года.

Как рассказывают Касперские, в середине 2019 года RTM организовали фишинговую рассылку с приманками "Повестка в суд", "Заявка на возврат", "Закрывающие документы" и "Копии документов за прошлый месяц". В приложенном файле - банкер RTM. Далее хакеры закреплялись в сети с помощью легитимных программ удаленного доступа или нескольких авторских вредоносных утилит. Основная цель - компьютеры бухгалтеров с установленным ДБО и последующая подмена банковских реквизитов.

Однако в этот раз RTM изменили привычный сценарий своих атак. В случае неудачи в доступе к ДБО они использовали опять таки авторский вымогатель, который получил название Quoter, шифровали данные и оставляли записку о выкупе. В дальнейшем в ход шел уже стандартный для операторов ransomware шантаж с угрозами о публикации украденных данных в сети.

Касперские говорят о примерно десяти жертвах среди российских компаний из транспорта и финансов. Что дает лишний повод российским компаниям не расслаблять меры инфосека.

А теперь - шарада. Если внимательно изучить скрины по ссылке, то можно заметить цитату из Криминального чтива, которую RTM оставили в зашифрованном файле. Если погуглить, то можно найти аналогично зашифрованные файлы, которые кто-то неаккуратно слил в сеть. А если посмотреть на имя файла, то можно найти название компании-жертвы. Интересно, кто бы это мог быть...
Читать полностью
SecAtor 3 Mar, 11:18
Еще одно внеочередное обновление - патч для Microsoft Exchange, исправляющий четыре 0-day уязвимости, эксплойты которых, судя по всему, являются составляющими боевого эксплойт-кита.

Как заявляет Microsoft, этот эксплойт-кит принадлежит китайской APT Hafnium. Говорят, что обсуждают эту группу впервые, но нас не оставляет ощущение, что где-то мы подобное обозначение слышали.

По данным исследователей, Hafnium нацелены в первую очередь на организации в США. С помощью своего эксплойт-кита хакеры могли осуществить полный цикл проникновения от прохождения аутентификации до RCE. Конечная цель - поиск и эксфильтрация информации.

Соответственно, рекомендуем срочно обновить свои сервера Microsoft Exchange.
Читать полностью
SecAtor 3 Mar, 10:49
Вышло обновление десктопной версии Chrome 89.0.4389.72, в котором исправлена уязвимость CVE-2021-21166, используемая неустановленными злоумышленниками в дикой природе. Как всегда технических подробностей нет (обещают позже, когда большая часть пользователей обновится), известно лишь, что ошибка была найдена в феврале Эллисон Хафман из Microsoft. Предположим, что приводит к RCE.

Кроме CVE-2021-21166 устранены еще 7 критических уязвимостей и куча остальных. Тем, кто использует десктопный Chrome - просто необходимо обновиться.
Читать полностью
SecAtor 2 Mar, 19:38
SecAtor 2 Mar, 18:35
Каталин Чимпану, который убежал из ZDNet в The Record, пишет, что вчера французский исследователь Жюльен Вуазен обнаружил на Virus Total боевой эксплойт знаменитой уязвимости Spectre.

Напомним, что обнаруженная в 2018 году Spectre стала вместе с Meltdown первыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.

Имевшиеся ранее в паблике эксплойты представляли собой достаточно безобидные варианты первоначального PoC, а доказательств использования Spectre в дикой природе не было.

Однако Вуазен обнаружил полностью рабочий эксплойт для Linux, сбрасывающий содержимое /etc/shadow, в котором находятся данные учетных записей, в том числе зашифрованных паролей. Также присутствовал эксплойт для Windows, однако ресерчер его не рассматривал.

В отношении происхождения эксплойта француз лишь заметил, что такое атрибутирование является простой задачей, но не стал называть конкретного виновника. Тем не менее, инфосек эксперты быстро раскусили, что скорее всего эксплойты являются модулями инструмента для пентестинга CANVAS от компании Immunity. По имеющимся данным, взломанные версии CANVAS гуляют по закрытым Telegram-каналам как минимум с октября 2020 года.

Теперь же можно считать дни до попадания эксплойтов Spectre в паблик и массовых атак по всем направлениям.
Читать полностью
SecAtor 2 Mar, 17:26
18 февраля исследователи компании Red Canary сообщили о странном вредоносе для macOS, обнаруженном более чем на 29 тыс. устройствах в 153 странах мира. Они назвали его Silver Sparrow.

Было найдено две версии вредоноса, одна из которых работает и на новом чипе M1, представленном Apple только в ноябре прошлого года. Таким образом, Silver Sparrow - это второй выявленный вредонос после обнаруженного также в середине февраля Pirrit.

Первая особенность Silver Sparrow была в использовании macOS Installer JS API, что отличает его от других вредоносов для macOS.

Вторая странность заключалась в отсутствии полезной нагрузки - раз в час вредонос отстукивался на управляющий центр, но ничего оттуда не получал.

Третья отличительная черта - наличие механизма полного удаления с атакованной машины следов своего присутствия в случае нахождения некоего пустого файла.

И, наконец, четвертая загадочная черта - наличие в обеих версиях Silver Sparrow сторонних двоичных файлов, в одном из которых содержалась фраза "Hello, World!", а в другом - "You did it!". Оба файла могут быть запущены только жертвой вручную.

Источник и каналы распространения Silver Sparrow остались неизвестными.

А сегодня свой голос подали словаки из ESET, которые сообщили, что обнаружили Silver Sparrow еще в сентябре прошлого года. С момент обнаружения исследователи также не заметили каких-либо следов полезной нагрузки, но обнаружили файл конфигурации, который хранится в корзине AWS S3.

Короче говоря, понятнее не стало. С одной стороны - продвинутый вредонос, модифицируемый под M1 и имеющий массовый охват, с другой - отсутствие вредоносной активности в течение полугода.

Загадочный инфосек - все как мы любим.
Читать полностью
SecAtor 2 Mar, 14:32
​​Вчера мы писали пост про атаку китайской APT RedEcho на индийский энергетический сектор, отчет о которой выдала инфосек компания RecordedFuture.

Сегодня продолжение про кибервойну Китая с Индией.

Reuters с подачи другой инфосек компании Cyfirma рассказала о кибероперации китайской APT, направленной на индийских производителей вакцин.

Как известно, в Индии фарма очень сильно развита. Кроме 60% всех вакцин, продаваемых в мире, индусы производят множество дженериков (лекарство, идентичное запатентованному, но производимое без лицензии и из-за этого гораздо более дешевое).

По данным исследователей, целями стали два фармацевтических гиганта - Bharat Biotech и Serum Institute of India. Вторая компания так вообще является крупнейшим в мире производителем вакцин. В настоящее время она, в числе прочего, выпускает по лицензии вакцину AstraZeneca от COVID-19. Правда, к примеру, украинцы, которым эту вакцину привез тов. Голобородько, прививаться не хотят - говорят, что не айс.

Атаковали индусов китайские хакеры из APT 10 aka Stone Panda. Группа старая, считается, что за ней стоит китайское МГБ. Ломали они много и успешно, в том числе и японскую фарму. Периодически использовали атаки на цепочку поставок.

Вот и в этот раз Stone Panda атаковали как IT-инфраструктуру индийских компаний напрямую, так и их цепочку поставок. Технических подробностей, к сожалению, нет, поскольку отчет в исходнике Cyfirma не выложили (ну или мы слепошарые не нашли).

Согласно комментарию Кумара Ритеша, генерального директора Cyfirma, основной целью хакеров была кража интеллектуальной собственности. Так что обвинить китайцев в попытке подрыва процесса производства вакцин от COVID-19 вряд ли получится, даже Reuters не попытались.

Кстати, интересный факт - Кумар Ритеш является бывшим высокопоставленным сотрудником киберподразделения британской разведки МИ-6 (где-то заикал Илья Константинович Сачков, который такое не любит, ну в России точно).

А мы говорили вчера, что продолжение следует. Китайские и индийские товарищи просто так не успокоятся.
Читать полностью