я недавно постил ссылку на отчет о прозрачности компании NSO - который они сами написали, и рассказывают, какие они молодцы, как противостоят различным угрозам, и вообще ни разу не сотрудничают с кем нельзя сотрудничать. А вот внешнее расследование о компании, как устроена их платформа, какие цели использоваются для заражения инструментами компании, и как при этом нарушаются права граждан, которые становятся целями вредоносного ПО компании NSO

https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror

Про менеджер паролей ЛК веселое

https://donjon.ledger.com/kaspersky-password-manager/

Тут вышел апдейт для исправления уязвимости с PrintSpooler

https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646

(Я писал об этом раньше тут https://t.me/alexmakus/4152)

И, конечно же, недавно запущенную социальную сеть для правых в США -Gettr - тут же поскрейпили через дырявое API, вытащив оттуда всю информацию о тех 90 тысячах пользователей, которые там имели несчастье зарегистрироваться

https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one

This is fine

«Вот это история: хакер изучал уязвимые компьютеры и случайно нашел на одном из таких коллекцию детского порно. Пришлось выбирать: сдать чувака полиции, но тем самым сознаться, что ты взломал чужой компьютер, или никому ничего не говорить.»

Спойлер: удалось и рыбку съесть…

https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn

отсюда: https://twitter.com/sult/status/1413164674942652417

Новое вредоносное ПО для macOS. А говорили, что для Маков нет вирусов (ну ладно, очень давно это говорили, уже не говорят)

https://securelist.com/wildpressure-targets-macos/103072/

https://www.patreon.com/posts/53462690

https://twitter.com/objective_see/status/1413235778625302530

Утечка данных

А давненько у нас не было SolarWinds в канале. Microsoft обнаружили уязвимость нулевого дня в продукте Serv-U компании SolarWinds, которая к тому находится в активной эксплуатации злоумышленниками. Эта уязвимость не имеет отношения к той истории, благодаря которой были взломаны государственные организации и частные компании в начале года

https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

Чем занимаются люди, которых называют профессионалками в сфере информационной безопасности? Ой, да чем только не занимаются. И это, кстати, не шутка, набор задач, который падает на хрупкие плечи специалистов, огромен. И тут мне попалась на глаза интересная карта категоризации позиций и их задач. Наверняка многие из вас могут себя на этой карте найти

https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/

очень интересно, вся инфраструктура группировки REvil прилегла. Уж не америкосия ли нанесла ответный ударр?

https://twitter.com/LawrenceAbrams/status/1414929050729074714

Опять Microsoft и SolarWinds, просто теперь ещё дополнительный комментарий от Microsoft, с указанием на китайцев как операторов атаки

https://msft.it/6019nwox3

сотрудники Facebook шарились по профилям пользователей, рассказывается в новой книге о ФБ. С 2014 по 2015 год компания уволила 52 человека за злоупотребления доступом к пользовательским данным

https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7

новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki

такие коллекции про «самые крупные <подставьте свой вариант> этого года» обычно пишут ближе к концу года, но Gizmodo уже собрали: самые крупные взломы этого года

https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024

интересное расследование у Vice по поводу того, как рекламная отрасль умеет привязывать рекламный идентификатор из рекламы в приложении, например, к реальному имени, адресу и тд. Анонимность, говорили они… Эпол со своей блокировкой доступа к рекламному идентификатору должны идти и стегать ФБ распечаткой этой статьи по лицу

https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii

тут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone. Похоже, что хакеры, которые организовали атаку через SW в прошлом году, эксплуатировали iOS 0-day с целью кражи логинов-паролей членов правительств западных стран.

Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.

After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.

Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/

как взломали Kaseya (там внутри ужасы)

https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/

Citizen Lab опять обнаружили какие-то адские уязвимости нулевого дня, которые использовала израильская компания Candiru для разработки шпионского ПО, которое она затем продавала правительствам для слежки. В прошлый раз это были уязвимости для iPhone, в этот раз - для Windows, хотя продукты компании могут заражать практически все современные платформы. Жертвы продуктов компании были обнаружены в Палестине, Израиле, Иране, Испании, Великобритании, Турции, Армении и Сингапуре. Среди жертв - активисты за права человека, диссиденты, журналисты, политики. По ссылке - статья о компании, её продукте и функциональности вирусного ПО:

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

компания NSO в этом канале постоянный гость — в новостях, понятное дело. надеюсь, тут сотрудников NSO нет. поиск по каналу быстро покажет и про саму компанию, и про её вредоносно-шпионское ПО Pegasus, которое различные правительства и другие организации используют для слежки за неугодными. Amnesty International опубликовали огромный отчет изучения этого самого Pegasus, который изобилует техническими деталями о том, кто как куда и зачем. Например, интересный нюанс про то, что исследователи в июле наблюдали эксплуатацию нескольких 0-day против iPhone 12 с последним релизом iOS 14.6. при этом механизм без кликов пользователем. А столько было разговоров о новой схеме защиты в Messages в iOS 14 BlastDoor— видимо, не помогло. Также используются для векторов атаки парсеры JPG и GIF.

Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.

https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt