DarkNetNews

DDoS-атак на отрасль энергетики стало больше почти в 10 раз

🖥 Специалисты ГК «Солар» подсчитали, что в первом квартале 2024 года произошло более 2500 DDoS-атак сферу энергетики. Это в три раза превышает показатель предыдущего квартала и почти в 10 раз – показатель аналогичного периода 2023 года. Исследователи связывают этот рост, например, с увеличением бюджетов на атаки и арендой мощностей дата-центров для усиления DDoS.

🚀 Сообщается, что постепенный рост атак на энергетический сектор начался еще в 2023 году. Так, в первом квартале было совершено более 280 DDoS-атак на предприятия отрасли, а к четвертому кварталу их уже было 755. В компании полагают, что DDoS может служить «дымовой завесой», отвлекающей ИБ-специалистов организаций от более серьезных атак (взлома сервера, кражи конфиденциальных данных и так далее).

🖥 В общей сложности в первом квартале 2024 года эксперты зафиксировали около 119 000 DDoS-атак на российские организации. Это почти в два раза превышает показатель 2023 года за аналогичный период (64 000 атак) и самый высокий квартальный показатель за последний год.

Группа TA558 использует стеганографию и атаковала 320 организаций по всему миру

🎤 Новая кампания хак-группы TA558 получила название SteganoAmor, так как хакеры используют стеганографию и скрывают вредоносный код внутри изображений. Специалисты Positive Technologies сообщают, что группировка использует длинные цепочки атаки, которые включают различные инструменты и малварь, в том числе: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT.

🔒 Эксперты Positive Technologies обнаружили атаки по всему миру, которые связывают с группировкой TA558. По изначальному описанию исследователей из ProofPoint, TA558 — небольшая финансово-ориентированная группировка, которая с 2018 года атаковала гостиничные и туристические организации в основном в Латинской Америке, но также была замечена за атаками на североамериканский регион и Западную Европу.

🎙 В исследованных теперь атаках группа активно использовала стеганографию: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплоитом) передавались внутри картинок и текстовых файлов.

Intel и Lenovo затронуты уязвимостью в BMC шестилетней давности

⚡️ Уязвимость шестилетней давности в веб-сервере Lighttpd, используемом в BMC (Baseboard Management Controller), ускользнула от внимания многих производителей устройств, включая Intel и Lenovo. Проблема может привести к утечке адресов памяти процесса, что позволяет обойти такие защитные механизмы, как ASLR (Address Space Layout Randomization).

📣 Во время недавнего сканирования контроллеров BMC исследователи из компании Binarly обратили внимание на удаленно эксплуатируемую уязвимость out-of-bounds чтения в веб-сервере Lighttpd. Хотя эта проблема была устранена еще в августе 2018 года, разработчики Lighthttpd тихо исправили ее в версии 1.4.51, не присвоив ей идентификатора CVE.

⚠️ Это привело к тому, что разработчики AMI MegaRAC BMC упустили патч из виду и не интегрировали его в свои продукты. В итоге уязвимость распространилась дальше по цепочке поставок и дошла до поставщиков систем и их клиентов.

Роскомнадзор будет использовать ИИ для формирования реестра запрещенной информации

🇷🇺 По данным СМИ, в этом году Роскомнадзор (РКН) планирует начать применять ИИ для ведения реестра запрещенной информации. Ожидается, что технология будет работать на базе системы, через которую уже анализируются и классифицируются тексты в интернете.

🎤 «Коммерсант» ознакомился с новой версией паспорта программы цифровой трансформации Роскомнадзора и сообщает, что интеграция ИИ-технологий призвана сократить издержки и устанавливать «неочевидные связи». Через два года ведомство рассчитывает применять аналогичные технологии и для ведения реестра операторов персональных данных.

🛡 Так, документ гласит, что с 2024 года РКН будет формировать и вести реестр заблокированных сайтов с применением искусственного интеллекта. Об этом говорится в описании работ, касающихся единой информационной системы Роскомнадзора (ЕИС, также объединяет реестры лицензий, СМИ, разрешений) и информационной системы мониторинга интернет-ресурсов (ИС МИР). В 2023 году, исходя из данных паспорта, реестр запрещенных сайтов велся без применения ИИ.

Через репозитории на GitHub распространяется малварь Keyzetsu

👺 Эксперты компании Checkmarx обнаружили, что злоумышленники злоупотребляют функциями поиска на GitHub, чтобы обманом заставлять пользователей, которые ищут популярные репозитории, загружать подделки, содержащие вредоносное ПО. Распространяемая так малварь Keyzetsu перехватывает содержимое буфера обмена и ворует криптовалюту.

⚫️ По данным исследователей, хакеры создают на GitHub репозитории с именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используют различные методы для искусственного повышения их популярности и видимости на платформе.

⚫️ Пользователи, которые не замечают подмены и загружают файлы из таких репозиториев, становятся жертвами малвари Keyzetsu, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта.

💣 Для автоматизации обновления своих репозиториев злоумышленники использовали GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает вредоносным репозиториям занимать высокие позиции в результатах поиска, если результаты отсортированы по последнему обновлению.

Разработчики Notepad++ попросили помощи в борьбе с сайтом-подражателем

🎧 Разработчики проекта Notepad++ пытаются добиться закрытия популярного сайта, который выдает себя за Notepad++, и теперь попросят помощи у сообщества.

🖥 Хотя пока сайт-подражатель направляет посетителей на официальную страницу загрузки Notepad++, существуют опасения, что в будущем он может представлять угрозу. Например, если начнет распространять вредоносные версии ПО или спам (намеренно, либо в результате взлома).

🖥 Авторы Notepad++ пытаются добиться закрытия notepad[.]plus, который использует брендинг проекта и умудряется занимать высокие позиции поисковиках, наряду с настоящим официальным сайтом проекта

Критическая уязвимость в WordPress-плагине LayerSlider затрагивает миллион сайтов

❓ Критическая уязвимость (SQL-инъекция) в популярном плагине LayerSlider для WordPress могла использоваться для извлечения конфиденциальной информации из баз данных, например, хешей паролей.

⚠️ LayerSlider представляет собой инструмент для создания слайдеров, галерей изображений и анимации на сайтах под управлением WordPress. Плагин используется примерно на миллионе сайтов.

⁉️ Проблема, получившая идентификатор CVE-2024-2879 и оценку 9,8 балла по шкале CVSS, описывается SQL-инъекция, затрагивающая все версии плагина с 7.9.11 по 7.10.0. Уязвимость была обнаружена ИБ-исследователем AmrAwad и устранена в версии 7.10.1, выпущенной 27 марта 2024 года. За ответственное раскрытие и обнаружение уязвимости специалист получил вознаграждение в размере 5500 долларов.

В протоколе HTTP/2 нашли ряд уязвимостей, получивших общее название Continuation Flood

👏 Специалист обнаружил серию уязвимостей в протоколе HTTP/2, получивших общее название Continuation Flood. Эти проблемы могут привести к атакам на отказ в обслуживании (DoS) и способны вывести из строя веб-серверы в некоторых имплементациях при помощи одного TCP-соединения. По словам эксперта, Continuation Flood гораздо опаснее похожей проблемы Rapid Reset, обнаруженной прошлой осенью.

💵 Напомним, что HTTP/2 представляет собой обновленную версию протокола HTTP, стандартизированную в 2015 году и призванную повысить производительность веб-серверов за счет внедрения бинарного фрейминга (binary framing) для более эффективной передачи данных, мультиплексирования для передачи нескольких запросов и ответов через одно соединение, а также сжатия заголовков.

📝 Проблемы Continuation Flood были обнаружены исследователем Баркетом Новотарски (Barket Nowotarski). Он утверждает, что уязвимости связаны с использованием фреймов HTTP/2 CONTINUATION, которые во многих имплементациях протокола не ограничиваются и не проверяются должным образом.

Хакер заявляет, что взломал Государственный департамент, Министерство обороны и АНБ США

🇺🇸 Государственный департамент США сообщил, что расследует сообщения о возможной кибератаке. Дело в том, что хакер под ником IntelBroker опубликовал документы, предположительно украденные у государственного подрядчика, компании Acuity. Эти данные якобы принадлежат сразу нескольким государственным органам, включая Государственный департамент, Министерство обороны и Агентство национальной безопасности США.

📲 Якобы взломанная Acuity – это консалтинговая компания со штатом около 400 сотрудников и годовым доходом более 100 млн долларов. Она предоставляет услуги в областях DevSecOps, ИТ-операций и модернизации, кибербезопасности, анализа данных и операционной поддержки, и активно работает с государственными органами.

⚡️ IntelBroker заявляет, что опубликованные им документы содержат секретную информацию, принадлежащую разведывательному альянсу Five Eyes, который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании.

У OWASP произошла утечка данных

🛡 Специалисты The OWASP Foundation сообщили об утечке данных, после того как резюме некоторых членов организации попали в открытый доступ из-за неправильной настройки старого веб-сервера Wiki.

🔜 OWASP (Open Worldwide Application Security Project) — некоммерческая организация, основанная в декабре 2001 года и занимающаяся вопросами безопасности программного обеспечения. В настоящее время OWASP насчитывает десятки тысяч участников и более 250 отделений, которые регулярно организовывают образовательные и обучающие конференции по всему миру.

🥸 В OWASP сообщили, что выявили неправильную настройку Media Wiki в конце февраля 2024 года, после нескольких обращений в службу поддержки. Известно, что инцидент затронул только тех членов OWASP, которые присоединились к организации в период с 2006 по 2014 год и предоставили резюме во время процесса вступления.

7️⃣🤑Introducing Sirwin Slot Casino – Your Ultimate Destination for Thrilling Slot Games! 7️⃣🤑

🔝🤑Looking for non-stop excitement and big wins? 🔝🤑
Look no further than Sirwin Slot Casino!

🌟Why Choose Sirwin ? 🌟

7️⃣ Diverse Selection: Explore hundreds of captivating slot games, ranging from classic favorites to the latest releases. There's something for every type of player!7️⃣

🪙Big Wins Await: Get ready to win big with our generous bonuses, thrilling jackpots, and rewarding promotions. The next jackpot could be yours!🪙

🔒Safe and Secure: Rest assured that your privacy and security are our top priorities. We employ state-of-the-art encryption technology to keep your information safe at all times.🔒

🎁 Exclusive Rewards: Join our VIP program and unlock exclusive rewards, personalized offers, and VIP treatment fit for royalty.🎁

📱Play Anywhere, Anytime: Enjoy the excitement of Sirwin on your desktop, laptop, or mobile device. Experience the thrill of winning anytime, anywhere!📱

💎Join the Fun Today at Sirwin! 💎

For more info
🌐Website

🕊Twitter

✉️Telegram

🌐Instagram

Сэма Бэнкмана-Фрида приговорили к 25 годам тюрьмы

🥸 Судья федерального окружного суда Южного округа Нью-Йорка Льюис Каплан (Lewis Kaplan) приговорил бывшего главу криптовалютной биржи FTX и фонда Alameda Research Сэма Бэнкмана-Фрида (Sam Bankman-Fried) к 25 годам лишения свободы, а также принял решение о конфискации 11 млрд долларов США.

🟣 Напоминаем, что в 2022 году, когда FTX только потерпела крах, мы посвятили истокам происходящего большую статью. Также отметим, что в ноябре 2023 года Сэм Бэнкман-Фрид признал себя виновным по всем пунктам обвинения, которых было немало.

🟣 Ранее Бэнкман‑Фрид и его адвокаты просили суд приговорить его к тюремному заключению сроком от 63 до 78 месяцев (от 5,25 до 6,5 лет тюрьмы), утверждая, что он заслуживает снисхождения из-за своей «благотворительной деятельности и продемонстрированной преданности другим людям», а также концепции «эффективного альтруизма».

🔒 В свою очередь, сторона обвинения просила судью отправить Бэнкмана-Фрида за решетку на срок от 40 до 50 лет, хотя максимальное наказание составляло до 110 лет тюрьмы. Заявление прокуроров гласило, что бывшему главе FTX нужно «назначить наказание, которое подчеркнет необычайно тяжелый характер ущерба, нанесенного тысячам пострадавших, не позволит обвиняемому впредь совершать мошенничество и послужит мощным сигналом для других людей, которые могут поддаться искушению совершить финансовые преступления».

Павел Дуров: пользователи смогут ограничивать круг лиц, которые могут присылать им личные сообщения

✉️ Вскоре после того как пресс-секретарь президента России Дмитрий Песков заявил, что власти «ожидали бы от Павла Дурова большего внимания», Дуров сообщил, что теперь пользователи из России, Украины и Беларуси смогут ограничивать круг людей, которые могут отправлять им личные сообщения.

🔘 Вчера, в беседе с представителями Telegram-канала SHOT пресс-секретарь президента России Дмитрий Песков заявил, что основателю Telegram Павлу Дурову следовало бы уделять больше внимания тому, что его платформа используется в террористических целях.

🔘 Ранее на этой неделе СМИ сообщали о том, что силовики обнаружили группу в Telegram, где были завербованы лица, совершившие теракт в «Крокус Сити Холл» 22 марта 2024 года.

😊 Вечером 28 марта 2024 года Павел Дуров сообщил в своем Telegram-канале, что четыре дня назад русскоязычные пользователи мессенджера начали жаловаться на сообщения от незнакомцев с призывами к терактам.

Бесплатные VPN-приложения из Google Play превращают смартфоны пользователей в прокси

🙂 Специалисты компании HUMAN Security обнаружили в официальном магазине Google Play более 15 бесплатных VPN-приложений, которые использовали вредоносный SDK. В итоге Android-устройства пользователей превращались резидентные прокси, которые, скорее всего, продавались киберпреступникам и торговым ботам.

🔔 В общей сложности исследователи нашли 28 вредоносных приложений, которые тайно превращали устройства в прокси. 17 из них маскировались под бесплатные VPN. Все эти приложения объединяет SDK от LumiApps, который содержит Proxylib, написанную на Go библиотеку для осуществления проксирования.

👑 Первое приложение-носитель Proxylib было обнаружено еще мае 2023 года, это было бесплатное VPN-приложение для Android под названием Oko VPN. Позже исследователи обнаружили, что эта же библиотека используется в сервисе монетизации Android-приложений от LumiApps.

🍬Introducing "Sugar Rush" – the ultimate thrill ride at Sirwin! 🍬

🍬🏆Dive into a world of sugary spins and tantalizing treats here!
With every spin, satisfy your cravings for excitement and big wins!🍬🏆

⭐️ Indulge in mouth-watering bonuses and delicious surprises around every corner. Will you conquer the sugar rush and emerge victorious?⭐️

🤑🍬 Play now and sweeten your day with irresistible rewards, only at Sirwin – where the stakes are high and the fun never stops!🤑🍬

Join the sugar rush frenzy today! 🍫💎


🌐Website

🕊Twitter

✈️Telegram

🌐Instagram

Немецкие правоохранители закрыли даркнет-маркетплейс Nemesis

🇩🇪 Немецкая полиция заявила о захвате инфраструктуры даркнет-маркетплейса Nemesis и закрытии его сайта. Сообщается, что расследование длилось более полутора лет, и проходило при поддержке правоохранительных органов США и Литвы.

❌ Nemesis появился в 2021 году и с тех пор быстро развивался. Особенно бурный рост произошел после закрытия «Гидры» в 2022 году. Тогда теневые площадки в общей сложности привлекли более 795 000 новых пользователей, и аналитики компании Resecurity включали Nemesis в десятку крупнейших маркетплейсов в даркнете.

❌ На Nemesis продавались все виды нелегальных товаров: наркотики, личные данные и хакерские услуги, включая программы-вымогатели, а также инструменты для проведения фишинговых и DDoS-атак.

❓ Как сообщается теперь, на момент ликвидации инфраструктуры платформы, располагавшейся в Германии и Литве, на Nemesis было зарегистрировано более 150 000 пользователей и 1100 продавцов. По оценкам полиции, около 20% этих продавцов находились в Германии.

Рег ру сообщил, что подвергся хакерской атаке

💎 Представители российского регистратора доменов и хостинг-провайдера Рег.ру (обслуживает 44% доменов в рунете) сообщают, что компания подверглась атаке хакеров. По данным СМИ, группировка UHG попытались проникнуть на один из серверов виртуального хостинга.

🟣 ТАСС сообщает, что недавно хакеры из проукраинской группы UHG заявили об получении доступа к клиентам Рег.ру. На сервере, о котором идет речь, размещаются сайты клиентов провайдера.

🟣 Как сообщили в пресс-службе компании, атака произошла еще 18 марта, и злоумышленники использовали некую уязвимость программного обеспечения на сайте одного из клиентов Рег.ру, благодаря которой смогли дойти до подключения к серверу баз данных. «В этот момент злоумышленники были обнаружены и остановлены», — уверяют в Рег ру.

🚨 После атаки группировка опубликовала в своем Telegram-канале ссылку, якобы ведущую на часть выгруженной БД клиентов Рег ру. Однако представители компании заявляют, что нельзя говорить ни о каком хоть сколько-нибудь значительном повреждении баз Рег ру или об угрозе для корпоративных клиентов.

Новая атака Loop DoS представляет угрозу для 300 000 систем

Исследователи описали новый вектор application-layer атак, основанный на протоколе User Datagram Protocol (UDP) и получивший название Loop DoS. Такой DoS представляет угрозу для систем Broadcom, Honeywell, Microsoft и MikroTik, и может «замкнуть» сетевые сервисы в бесконечной петле, создающей большие объемы трафика.

Атака была разработана специалистами Центра информационной безопасности имени Гельмгольца в Германии (CISPA) и в целом затрагивает около 300 000 хостов и связанных с ними сетей.

Loop DoS основывается на уязвимости в имплементации протокола UPD, который подвержен IP-спуфингу и не обеспечивает надлежащую проверку пакетов. Проблема получила основной идентификатор CVE-2024-2169 (а также CVE-2009-3563 и CVE-2024-1309). Злоумышленник, эксплуатирующий эту уязвимость, способен создать самовоспроизводящуюся проблему, приводящую к генерации избыточного трафика, который невозможно остановить, что, в свою очередь, повлечет отказ в обслуживании (DoS) целевой системы или даже всей сети.