Ещё хорошие детали про взлом Kaseya
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
Medium
Kaseya supply chain attack delivers mass ransomware event to US companies
Kaseya VSA is a commonly used solution by MSPs — Managed Service Providers — in the United States and United Kingdom, which helps them…
А вот сеть супермаркетов Wegmans, в которой я часто покупаю продукты и записан в программу лояльности зачем-то, прислала уведомление о том, что они слегка криво сконфигурировали базу своих клиентов. В результате база торчала голой жопой в интернет, и информация клиентов была доступна кому попало, как попало. В информации - адреса почты, и хешированные и засоленные пароли. С кем не бывает, ага.
Есть такое популярное приложение для записи звука - Audacity, проект в открытом исходном коде - заработал звание шпионского ПО. Оказывается, проект купила компания Muse Group, и в политике конфиденциальности приложения появились неприятные пункты. В частности, речь идёт о сборе различной информации с компьютера пользователя и ее передаче правоохранительным органам по запросу (или непонятным разным третьим сторонам). Причём это сопровождается весьма размытыми формулировками об этих самых данных, плюс сервера хранят IP~адреса пользователей, что может позволять идентификацию в случае необходимости. Ну и главный офис компании в России:
«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»
Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.
https://fosspost.org/audacity-is-now-a-spyware/
https://www.audacityteam.org/about/desktop-privacy-notice/
«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»
Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.
https://fosspost.org/audacity-is-now-a-spyware/
https://www.audacityteam.org/about/desktop-privacy-notice/
FOSS Post
Audacity Is Now A Possible Spyware, Remove It ASAP
The famous open source audio manipulation program was acquired by a company named Muse Group two months ago. The same company owns other projects in its
я недавно постил ссылку на отчет о прозрачности компании NSO - который они сами написали, и рассказывают, какие они молодцы, как противостоят различным угрозам, и вообще ни разу не сотрудничают с кем нельзя сотрудничать. А вот внешнее расследование о компании, как устроена их платформа, какие цели использоваются для заражения инструментами компании, и как при этом нарушаются права граждан, которые становятся целями вредоносного ПО компании NSO
https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror
https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror
Тут вышел апдейт для исправления уязвимости с PrintSpooler
https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646
(Я писал об этом раньше тут https://t.me/alexmakus/4152)
https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646
(Я писал об этом раньше тут https://t.me/alexmakus/4152)
Docs
Windows message center
И, конечно же, недавно запущенную социальную сеть для правых в США -Gettr - тут же поскрейпили через дырявое API, вытащив оттуда всю информацию о тех 90 тысячах пользователей, которые там имели несчастье зарегистрироваться
https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one
https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one
Vice
Hackers Scrape 90,000 GETTR User Emails, Surprising No One
Just days after its launch, hackers have already found a way to take advantage of GETTR's buggy API to get the username, email address, and location of thousands of users.
«Вот это история: хакер изучал уязвимые компьютеры и случайно нашел на одном из таких коллекцию детского порно. Пришлось выбирать: сдать чувака полиции, но тем самым сознаться, что ты взломал чужой компьютер, или никому ничего не говорить.»
Спойлер: удалось и рыбку съесть…
https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn
отсюда: https://twitter.com/sult/status/1413164674942652417
Спойлер: удалось и рыбку съесть…
https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn
отсюда: https://twitter.com/sult/status/1413164674942652417
The Daily Beast
Hacker Risks Jail to Out Middlebury College Employee for Alleged Child Porn
A hacker was scanning the internet for vulnerable machines and stumbled on a trove of child pornography. Now they’re walking away scot-free for turning in the Middlebury worker.
Новое вредоносное ПО для macOS. А говорили, что для Маков нет вирусов (ну ладно, очень давно это говорили, уже не говорят)
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
Securelist
WildPressure targets macOS
We found new malware samples used in WildPressure campaigns: newer version of the C++ Milum Trojan, a corresponding VBScript variant with the same version number, and a Python script working on both Windows and macOS.
А давненько у нас не было SolarWinds в канале. Microsoft обнаружили уязвимость нулевого дня в продукте Serv-U компании SolarWinds, которая к тому находится в активной эксплуатации злоумышленниками. Эта уязвимость не имеет отношения к той истории, благодаря которой были взломаны государственные организации и частные компании в начале года
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
Чем занимаются люди, которых называют профессионалками в сфере информационной безопасности? Ой, да чем только не занимаются. И это, кстати, не шутка, набор задач, который падает на хрупкие плечи специалистов, огромен. И тут мне попалась на глаза интересная карта категоризации позиций и их задач. Наверняка многие из вас могут себя на этой карте найти
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
Rafeeq Rehman | Cyber Security | Board Advisory
CISO MindMap 2021: What do InfoSec professionals really do?
NOTE: A new version of CISO MindMap (2022) is available at this URL. Most people outside the Cybersecurity profession don’t fully realize and appreciate the complexity of security professionals’ job. I have been publishing and updating this MindMap for almost…
очень интересно, вся инфраструктура группировки REvil прилегла. Уж не америкосия ли нанесла ответный ударр?
https://twitter.com/LawrenceAbrams/status/1414929050729074714
https://twitter.com/LawrenceAbrams/status/1414929050729074714
Twitter
Lawrence Abrams
All REvil sites are down, including the payment sites and data leak site. 🤔 The public ransomware gang represenative, Unknown, is strangely quiet.
Опять Microsoft и SolarWinds, просто теперь ещё дополнительный комментарий от Microsoft, с указанием на китайцев как операторов атаки
https://msft.it/6019nwox3
https://msft.it/6019nwox3
Microsoft Security Blog
Microsoft discovers threat actor targeting SolarWinds Serv-U software with 0-day exploit - Microsoft Security Blog
Microsoft has detected a 0-day remote code execution exploit being used to attack SolarWinds Serv-U FTP software in limited and targeted attacks. The Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to DEV-0322, a…
сотрудники Facebook шарились по профилям пользователей, рассказывается в новой книге о ФБ. С 2014 по 2015 год компания уволила 52 человека за злоупотребления доступом к пользовательским данным
https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7
новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki
https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7
новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki
Business Insider
A Facebook engineer abused access to user data to track down a woman who had left their hotel room after they fought on vacation…
Facebook fired 52 employees from January 2014 to August 2015 over abusing company access to user data for personal means, "An Ugly Truth" said.
такие коллекции про «самые крупные <подставьте свой вариант> этого года» обычно пишут ближе к концу года, но Gizmodo уже собрали: самые крупные взломы этого года
https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024
https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024
Gizmodo
The Biggest Hacks of 2021 (So Far)
From Colonia Pipeline to SolarWinds to Twitch, cyberattacks are inflicting historic pain worldwide. Here are the biggest cyberattacks this year.
интересное расследование у Vice по поводу того, как рекламная отрасль умеет привязывать рекламный идентификатор из рекламы в приложении, например, к реальному имени, адресу и тд. Анонимность, говорили они… Эпол со своей блокировкой доступа к рекламному идентификатору должны идти и стегать ФБ распечаткой этой статьи по лицу
https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii
https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii
Vice
Inside the Industry That Unmasks People at Scale
Unique IDs linked to phones are supposed to be anonymous. But there’s an entire industry that links them to real people and their address.
тут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone. Похоже, что хакеры, которые организовали атаку через SW в прошлом году, эксплуатировали iOS 0-day с целью кражи логинов-паролей членов правительств западных стран.
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Wikipedia
Same-origin policy
The idea is to organize content based on the origin from which it arrives at the browser, preventing outside interference.