IPB

Здравствуйте, гость ( Авторизация | Регистрация )


44 страниц V  « < 30 31 32 33 34 > »   
Reply to this topicStart new topicGo to the end of the page
> Хакеры и кибермошенники, Новости
hook
сообщение 17.07.2019 - 10:31
Сообщение #311


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Злоумышленники могут манипулировать медиафайлами WhatsApp и Telegram



Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище Преступники могут манипулировать медиафайлами, передаваемыми пользователями через мессенджеры WhatsApp и Telegram. Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище, предупреждают эксперты Symantec. Исследователи описали атаку, которую они назвали Media File Jacking. С помощью данного метода вредоносные Android-приложения, имеющие разрешения на запись во внешнем хранилище, могут модифицировать файлы, отправленные или полученные через WhatsApp и Telegram, в тот момент, когда они записываются на диск или загружаются в интерфейсе приложения. Атака работает в менеджере WhatsApp с установленными по умолчанию настройками и в Telegram, если включена опция «Сохранить в галерею». Эксперты продемонстрировали, как с помощью атаки можно манипулировать изображениями, счетами и аудиофайлами. По их словам, манипуляция со счетами чревата довольно серьезными последствиями для жертв, поскольку злоумышленник может подменить номер счета в документе, в итоге пользователь отправит деньги совсем на другой счет. Подмена аудиосообщений также может иметь неприятные последствия для организаций. В частности, злоумышленник может заменить аудиосообщение, например, с просьбой об отправке слайдов для презентации, сообщением о переводе денежных средств на подконтрольный ему счет. В случае Telegram метод Media File Jacking может использоваться для распространения фейков на авторитетных новостных каналах, отмечают исследователи. Специалисты уже проинформировали администрацию WhatsApp и Telegram о проблеме. По словам представителей WhatsApp, данный недочет должна исправить Google, в Telegram пока никак не прокомментировали ситуацию. В версии Android Q компания Google представит новую функцию под названием Scoped Storage, меняющую механизм доступа приложений к файлам во внешнем хранилище устройства. Как отметили в Symantec, новый функционал позволит предотвратить атаки Media File Jacking, однако в зоне риска по-прежнему останется большое число пользователей, учитывая, что широкое распространение версия Android Q получит нескоро, и к тому же, далеко не все устройства будут обновлены до свежего релиза ОС. В этой связи специалисты предлагают разработчикам приложений реализовать механизмы проверки целостности файлов перед их загрузкой в приложение, шифровать файлы, а также по возможности сохранять их во внутреннем хранилище.








securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 17.07.2019 - 10:46
Сообщение #312


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Бразильские пользователи становятся жертвами необычных кибератак



Злоумышленники взламывают маршрутизаторы и меняют настройки DNS. Уже почти год бразильские пользователи страдают от кибератак, нигде больше в мире не встречающихся. Атаки проходят почти незаметно и могут привести к прямым финансовым потерям. То, что происходит сейчас в Бразилии, должно стать предупреждающим сигналом для интернет-провайдеров и пользователей по всему миру, уверены эксперты. По их мнению, провайдеры и пользователи должны успеть принять соответствующие меры предосторожности, пока атаки не вышли за пределы Бразилии. Вышеупомянутые атаки впервые были зафиксированы летом прошлого года специалистами компании Radware. По словам ИБ-экспертов, на то время неизвестные киберпреступники взломали порядка 100 тыс. домашних маршрутизаторов и модифицировали настройки DNS таким образом, чтобы при попытке воспользоваться сервисом online-банкинга жертва перенаправлялась на точную копию настоящего сайта. По данным исследователей из Ixia, злоумышленники использовали не только копии сайтов бразильских банков, но также подделывали такие ресурсы, как Netflix, Google и PayPal, с целью похищения учетных данных пользователей. Прошел год, но атаки не прекратились, отмечают эксперты Avast. Напротив, в первой половине 2019 года злоумышленники взломали около 18 тыс. маршрутизаторов в Бразилии и изменили их настройки DNS. Более того, методы атаки усложнились, а количество причастных к ним киберпреступников увеличилось. По данным Avast, чаще всего пользователи становятся жертвами злоумышленников при посещении, спортивных сайтов, стриминговых видеосервисов и порталов «для взрослых». Размещенная на таких ресурсов реклама содержит вредоносный код, способный определять IP-адрес и модель маршрутизатора и подбирать к ним учетные данные по умолчанию из прилагающегося списка. Этот процесс занимает некоторое время, но пользователи обычно ничего не замечают, поскольку заняты просмотром видео. Если взлом прошел успешно, вредоносная реклама внедряет дополнительный код, меняющий IP-адреса легитимных DNS-серверов на IP-адреса серверов, подконтрольных киберпреступникам. Когда в следующий раз устройство пользователя подключится к маршрутизатору, вместо полученных от провайдера IP-адресов нужных DNS-серверов оно получит IP-адреса серверов киберпреступников.

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 18.07.2019 - 14:53
Сообщение #313


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Испанская полиция задержала киберпреступников, промышлявших кардингом и фишингом



В общей сложности группировки включали 25 уроженцев разных стран, 12 из них были несовершеннолетними. Национальная полиция Испании (Policía Nacional) задержала в ходе операций в Барселоне две киберпреступные группировки. В общей сложности в интернет-мошенничестве подозреваются 25 злоумышленников, 12 из которых оказались несовершеннолетними, сообщается в пресс-релизе полиции. Преступники получали доступ к банковским счетам, используя такие методы мошенничества как фишинг и кардинг, чтобы потом заказывать и перепродавать электронную технику. Число пострадавших от их деятельности насчитывает 69 человек. Первая группа киберпреступников орудовала в провинции Барселоны Матаро с помощью интернет-рассылок. Они отправляли письма от имени банков, в которых сообщали о проблемах со счетами. Для их решения злоумышленники предлагали перейти на поддельную web-страницу и ввести пароль доступа. По словам полиции, преступникам удалось похитить с банковских счетов жертв 48 тыс. евро. В группировку входили 10 человек, в том числе граждане Испании и Марокко. Вторая группировка, состоявшая из 15 человек (12 несовершеннолетних), вела преступную деятельность в Маресме и Вальес-Орьенталь (провинция Барселона). Каждый член группировки выполнял отдельную задачу. Одни отвечали за нумерацию кредитных карт путем фишинга и кардинга для последующей перепродажи сообщникам. Другие покупали электронную технику с помощью украденных карт, а затем перепродавали ее. Третьи отправляли интернет-покупки в автоматизированные пункты приема курьерских компаний. Среди задержанных были уроженцы разных стран, однако полиция не уточнила национальности. Злоумышленники использовали украденные удостоверения личности для создания профилей и идентификации получателей мошеннических покупок, системы защиты против отслеживания IP-адресов используемых ими терминалов, а также сеть Tor для сохранения анонимности.



securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 18.07.2019 - 15:02
Сообщение #314


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Новый вредонос EvilGnome шпионит за пользователями Linux



Антивирусные программы пока не детектируют EvilGnome. Эксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. В настоящее время вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности. По сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой "популярностью". Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов. Тем не менее, исследователи из Intezer Labs недавно обнаружили новый встраиваемый бэкдор для Linux, который, вероятнее всего, в настоящее время находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux. Вредонос EvilGnome способен делать скриншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули. Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью "makeself" - небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки. EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает новые команды с C&C-сервера злоумышленника, такие как загрузка и выполнение новых файлов, установка новых фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки. Исследователи также обнаружили связь между EvilGnome и хакерской группировкой Gamaredon Group, предположительно связанной с РФ. Группа активна с 2013 года и известна атаками на связанных с правительством Украины лиц. Поскольку антивирусные программы и системы безопасности пока не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настояльных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs.

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 19.07.2019 - 9:22
Сообщение #315


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Вредоносные версии WinRAR, Winbox и IDM распространяют шпионское ПО



Злоумышленники используют нацеленный на кибершпионаж вредонос StrongPity. Хакерская APT-группировка StrongPity использует вредоносные версии WinRAR и Winbox в целях установки шпионского ПО. Вредоносная кампания предположительно началась во второй половине 2018 года и продолжается по сей день. Об этом сообщают исследователи из подразделения Alien Labs компании AT&T. С помощью вышупомянутых вредоносных версий программ злоумышленники распространяют сложное шпионское ПО StrongPity. Вредонос StrongPity привлек к себе внимание экспертов по безопасности еще в 2016 году в кампании по распространению поддельных версий WinRAR и TrueCrypt. В начале июля 2019 года специалисты из Alien Labs обнаружили новую вредоносную версию Winbox, которая незаметно для пользователя устанавливала вредонос StrongPity на Windows-системы. Кроме прочего, эксперты выявили новые вредоносные версии утилиты WinRAR и менеджера закачек Internet Download Manager (IDM). Оказавшись на системе StrongPity ищет сохраненные на устройстве документы и поддерживает связь с управляющим сервером через SSL. Вредоносное ПО также обеспечивает удаленный доступ к устройству жертвы, сообщают исследователи. В предыдущих кампаниях злоумышленники из StrongPity использовали вредоносные версии CCleaner, Driver Booster, Opera Browser, Skype и VLC Media Player. Хотя эксперты не смогли определить, как именно в данной кампании группировка распространяет вредоносные версии утилит, они полагают, что StrongPity используют старую инфраструктуру и привычные методы доставки вредоносного ПО.

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 19.07.2019 - 17:36
Сообщение #316


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Группировка Ke3chang использует бэкдор Okrum для атак на дипломатов



Бэкдор использовался в 2017 году против дипломатических миссий в Словакии, Бельгии, Чили, Гватемале и Бразилии. Исследователи из компании ESET опубликовали отчет, посвященный деятельности киберпреступной группировки Ke3chang (она же Vixen Panda, Royal APT, Playful Dragon и APT15). Группировка известна кампаниями по кибершпионажу против организаций в нефтедобывающей и военной сфере, правительственных подрядчиков и дипломатических представительств и организаций. По данным специалистов, первая активность преступников датируется по меньшей мере 2010 годом. Впервые бэкдор Okrum был обнаружен в декабре 2016 года в атаках на организации в Словакии. Наряду с Okrum группировка использовала бэкдоры BS2005 и Ketrican, а также вредоносные программы RoyalDNS. Okrum представляет собой динамическую библиотеку, для загрузки и установки которой используются два компонента первого этапа. Данные компоненты постоянно дорабатываются злоумышленниками в целях избежать обнаружения. Okrum поддерживает только базовые команды для скачивания и загрузки данных, выполнения двоичных файлов или запуска shell-команд. Бэкдор также может обновляться до более свежей версии и регулировать время, в течение которого он спит после каждой команды. Имплант Okrum получает права администратора с помощью API ImpersonateLoggedOnUser и собирает такие данные, как имя компьютера, имя пользователя, IP-адрес хоста, значение основного DNS-суффикса, версия ОС, номер сборки и архитектура. В основном для достижения своих целей злоумышленники вводят команды вручную или могут использовать различные инструменты и программное обеспечение, например, программы для извлечения паролей или кейлоггеры. В частности, в атаках с использованием бэкдора Ketrican в 2017 году злоумышленники применили утилиты NetSess, NetE, ProcDump, PsExec и Get-PassHashes.

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 20.07.2019 - 14:03
Сообщение #317


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Красноярский преступник сядет в тюрьму за совершение более 80 кибератак



Преступник взламывал сайты интернет-магазинов на протяжении трех лет. Октябрьский райсуд Красноярска приговорил к четырем с половиной годам колонии общего режима 38-летнего преступника, совершившего более 80 кибератак. Целями злоумышленника были интернет-магазины автомобильных запчастей, сообщается в пресс-релизе прокуратуры Красноярского края. Суд установил, что обвиняемый в период с октября 2015 по январь 2018 года незаконно получал доступ к сайтам интернет-магазинов автомобильных запчастей и от их имени договаривался о продаже товара, не намереваясь в дальнейшем выполнять обещанное. Преступнику удалось совершить более 80 мошеннических операций против жителей различных регионов России. Против него было возбуждено уголовное дело по ст. 272 (неправомерный доступ к компьютерной информации), ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и ст. 159 (мошенничество). Несмотря на отсутствие судимостей и наличие малолетнего ребенка на иждивении, суд приговорил мошенника к четырем с половиной годам лишения свободы. Суд также удовлетворил гражданские иски потерпевших на сумму свыше 1,5 млн руб.

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 23.07.2019 - 7:37
Сообщение #318


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Хакеры рассказали о проектах крупного подрядчика ФСБ. Среди них — деанонимизация пользователей Tor и мониторинг чужой почты



Хакеры взломали сервер московской компании «Сайтэк», которая считается крупным подрядчиком российских спецслужб и ведомств, и передали журналистам украденные сведения о ее проектах. Как предполагает «Русская служба Би-би-си», возможно, это крупнейшая утечка данных о работе российских спецслужб в интернете. Сервер компании 13 июля взломали хакеры, опубликовавшие в тот же день в твиттере 0v1ru$ скриншоты папки «Компьютер», предположительно принадлежавшей компании «Сайтэк». На одном снимке видно, что общий объем данных составляет 7,5 терабайта. На другом показано, что большая часть информации удалена. В тот же день на главной странице сайта компании появился улыбающийся ПеКа-фейс — скриншот опубликовали в твиттере 0v1ru$. Затем хакеры передали украденные данные проекту Digital Revolution, представители которого в декабре 2018 года заявили о взломе серверов московского НИИ «Квант», подконтрольного ФСБ России. Согласно данным хакеров, компания «Сайтэк» работала как минимум над двадцатью непубличными IT-проектами по заказу российских спецслужб и ведомств. Многие заказы выполняли для войсковой части № 71330, которую связывают с ФСБ. Один из проектов компании — «Наутилус-С» — предназначен для деанонимизации пользователей сети Tor. «Сайтэк» разработала его в 2012 году по заказу НИИ «Квант». В проекте использовали выходной узел Tor, через который отправляются запросы на сайты. Созданная программа, пишет «Би-би-си», «при определенном везении» позволяла сопоставить запросы через Tor, которые отправлял конкретный пользователь, со временем заходов на сайты через подконтрольный узел. Также «Сайтэк» собиралась подменять трафик пользователей, попавшим в этот узел. Хакеры Digital Revolution сказали «Би-би-си», что «Кремль пытается деанонимизировать Tor чисто в своих, корыстных целях». Более ранняя версия проекта «Наутилус», разработанная в 2009-2010 годах, позволяет собирать персональные данные пользователей фейсбука, MySpace и LinkedIn. Программу оценили в 18,5 миллиона рублей, нашелся ли на нее заказчик, неизвестно. В рамках проекта «Награда» в 2013-2014 годах компания искала уязвимость в сетевом протоколе BitTorrent, который используют, чтобы скачивать файлы через торренты. «Би-би-си» отмечает, что заказчик исследований не указан, но обычно непубличные тендеры проводят армия и спецслужбы. Также сотрудники «Сайтэк» изучали различные сетевые протоколы, например, Jabber, который популярен у хакеров и торговцев в даркнете. Для войсковой части № 71330, предположительно связанной с ФСБ, в 2013-2014 годах компания создала программу «Наставник». В материалах хакеров сказано, что она позволяет проверять электронную почту нужных респондентов в определенное время или собирать «интеллектуальную группу добычи» по заданным словам. В те же годы в рамках проекта «Надежда» для войсковой части создали программу, которая накапливает и визуализирует сведения о том, как рунет связан с мировым интернетом. В 2015 году «Сайтэк» работал над созданием для войсковой части «программно-аппаратного комплекса», способного анонимно искать и собирать материалы в интернете, скрывая «информационный интерес». Этот проект назвали «Москитом». Один из последних проектов компании датирован 2018 годом. Это программа «Налог-3», с помощью которой можно убрать из информационной системы налоговой службы сведения о людях, находящихся под государственной охраной или защитой. Проект разработан для структуры Федеральной налоговой службы. «Би-би-си» добавляет, что «Сайтэк» руководит Денис Вячеславович Краюшкин. Человек с такой же фамилией — Вячеслав Владиленович Краюшкин — работает в НИИ «Квант», подконтрольном ФСБ. В НИИ отказались говорить, какое отношение Краюшкины имеют к институту. В «Сайтэке» данные хакеров не комментировали. Сайт компании недоступен. Журналистам не удалось поговорить с участниками проекта 0v1ru$.

meduza.io


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 23.07.2019 - 8:48
Сообщение #319


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Группировка OilRig использует соцсеть LinkedIn для распространения вредоносов



APT34 начала использовать три новых семейства вредоносных программ в недавних кампаниях. Киберпреступная группировка OilRig (также известная как Crambus, APT34, HelixKitten) за последний месяц начала использовать три новых семейства вредоносных программ в кампаниях, говорится в отчете FireEye. OilRig — киберпреступная хакерская группировка, предположительно связанная с правительством Ирана. В основном сосредоточена на организациях в финансовой, правительственной, энергетической, телекоммуникационной и химической сферах на Ближнем Востоке. По словам исследователей, в последней кампании использовалось как новое вредоносное ПО, так и дополнительная инфраструктура. В рамках кампании злоумышленники использовали деловую социальную сеть LinkedIn для доставки вредоносных документов под видом сотрудника Кембриджского университета. Их целью было завоевать доверие жертв, чтобы те открыли зараженные вредоносами документы. Перечень новых вредоносов включает бэкдор TONEDEAF, способный собирать системную информацию, скачивать и загружать файлы и выполнять произвольные shell-команды. Вредонос обменивается данными с C&C-сервером с помощью запросов HTTP GET и POST. Вредоносный код содержался в файле .xls, который распространялся через сообщение на LinkedIn якобы от работника Кембриджского университета. Специалистам также обнаружили два других вредоносных семейства — VALUEVAULT и LONGWATCH. Кроме того в рамках кампании преступники использовали новую версию инструмента PICKPOCKET для кражи учетных данных из браузера. LONGWATCH представляет собой кейлоггер, который сохраняет информацию о всех нажатиях клавиш в файле log.txt в папке temp в Windows. VALUEVAULT представляет собой скомпилированную Golang-версию инструмента Windows Vault Password Dumper, предназначенного для кражи учетных данных из браузера. По аналогии с оригинальной версией, VALUEVAULT может извлекать учетные данные из хранилища Windows Vault. Далее инструмент извлекает историю браузера для последующего сравнения сохраненных в браузере паролей с учетными данными на посещаемых жертвами сайтов. «Мы подозреваем, что это не последний раз, когда APT34 продемонстрировала свои новые инструменты. Преступники часто меняют TTPs (тактики, техники и процедуры), чтобы избежать обнаружения, особенно если цель крайне важна. По этим причинам мы рекомендуем организациям сохранять бдительность касательно своей защиты», — подытожили специалисты FireEye.


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 23.07.2019 - 12:20
Сообщение #320


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 337

Пол: М


Репутация:   3270  



Киберпреступники эксплуатируют серверы Jira и Exim ради «безопасности интернета»



Злоумышленники используют скомпрометированные серверы для майнинга Monero. Киберпреступники атакуют уязвимые серверы Jira и Exim с целью заражения их новой версией Linux-трояна Watchbog и майнинга криптовалюты Monero. Watchbog представляет собой вредоносное ПО для заражения серверов на базе Linux путем эксплуатации уязвимого программного обеспечения, например, Jenkins, Nexus Repository Manager 3, ThinkPHP или Linux Supervisord. По словам исследователя из Intezer Labs, новейшая версия вредоноса эксплуатирует недавно обнаруженную уязвимость внедрения шаблона (template injection) в Jira (CVE-2019-11581), которая позволяет выполнять удаленный код. Также вредонос задействует RCE-уязвимость в Exim (CVE-2019-10149), позволяющую злоумышленникам выполнять команды с правами суперпользователя. Согласно поиску Shodan, на данный момент в сети насчитывается более 1 610 000 уязвимых серверов Exim, а также более 54 000 уязвимых серверов Atlassian JIRA. Проэксплуатировав уязвимости, Watchbog загружает на серверы криптомайнер для добычи валюты Monero, а также предпринимает меры для сохранения присутствия на системе, в частности добавляет себя в несколько файлов crontab для повторного инфицирования системы в случае, если пользователь удалит один из этих файлов. Добытая валюта отправлялась на адрес 47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLm
ijau3VZ8D2zsyL7. За время кампании злоумышленникам удалось добыть 53 XMR (примерно $4503). Одна из отличительных особенностей данной кампании заключается в том, что вредонос оставляет сообщение своим жертвам, согласно которому, мотивом злоумышленников является «безопасность интернета». По словам операторов Watchbog, вредонос предназначен только для майнинга криптовалюты, и у них нет намерений модифицировать хранящиеся на серверах данные или требовать выкуп

securitylab.ru


--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 337 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): льдинка
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post

44 страниц V  « < 30 31 32 33 34 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 




> Статистика
Board Stats

Подарок форуму

10 евро

100 евро

10000 евро

1000000eur

  


Текстовая версия Сейчас: 28.03.2024 - 18:35