Данные пользователей сразу трех разных VPN сервисов — SuperVPN, GeckoVPN и ChatVPN - продаются в сети, общим количеством более 21 млн записей, с большим количеством персональной информации, от имейла и имени до серийных номеров устройств.
https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
В 2020 году этот сервис SuperVPN с более чем 100 млн установок в Google Play уже был из этого самого GP выпилен. В нем тогда были обнаружены существенные уязвимости, позволяющие организовать MiTM атаку, а также перенаправить трафик с серверов компании на другие сервера.
https://www.techradar.com/news/delete-this-vpn-now-millions-of-users-warned
Ох уж эти популярные бесплатные VPN-сервисы…
https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
В 2020 году этот сервис SuperVPN с более чем 100 млн установок в Google Play уже был из этого самого GP выпилен. В нем тогда были обнаружены существенные уязвимости, позволяющие организовать MiTM атаку, а также перенаправить трафик с серверов компании на другие сервера.
https://www.techradar.com/news/delete-this-vpn-now-millions-of-users-warned
Ох уж эти популярные бесплатные VPN-сервисы…
Cybernews
Best VPN services for 2024
Read this article to learn what’s the best VPN service for your specific needs. We tested numerous providers to uncover the top-quality VPNs in 2024.
На прошлой неделе бывший директор компании SolarWinds, после взлома систем которой произошли взломы большого количества компаний и государственных организаций, выступал в Конгрессе США. Там конгрессмены, собственно, пытались понять «WTF?» и «Кто виноват?».
Конечно же, лучшей защитой для себя бывший директор компании выбрал свалить всю вину на практиканта, который установил себе пароль для FTP-сервера «solarwindws123», который после этого еще и оказался на Github. Интересно, что на самом деле вина именно этого утекшего пароля пока что не доказана, но, как видите, это не мешает назначить виноватым какого-то мелкого козла отпущения, и сделать вид, что все остальное было хорошо.
https://gizmodo.com/solarwinds-officials-throw-intern-under-the-bus-for-so-1846373445
Конечно же, лучшей защитой для себя бывший директор компании выбрал свалить всю вину на практиканта, который установил себе пароль для FTP-сервера «solarwindws123», который после этого еще и оказался на Github. Интересно, что на самом деле вина именно этого утекшего пароля пока что не доказана, но, как видите, это не мешает назначить виноватым какого-то мелкого козла отпущения, и сделать вид, что все остальное было хорошо.
https://gizmodo.com/solarwinds-officials-throw-intern-under-the-bus-for-so-1846373445
Gizmodo
SolarWinds Officials Throw Intern Under the Bus for ‘solarwinds123’ Password Fail
The SolarWinds drama just won’t stop. It’s a tale of Russian hackers’—and potentially Chinese hackers’—alleged email spying, and a gaping hole of security vulnerabilities that seems to get worse as more details come to light. Now, we can add yet another twist…
Небольшая алярма для админов онпрем серверов Exchange: там Microsoft починила сразу 4 уязвимости нулевого дня, которые эксплуатировались предположительно китайскими группировками, поэтому надо срочно обновиться
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Microsoft On the Issues
New nation-state cyberattacks
Today, we’re sharing information about a state-sponsored threat actor identified by the Microsoft Threat Intelligence Center (MSTIC) that we are calling Hafnium. Hafnium operates from China, and this is the first time we’re discussing its activity. It is…
А печально известная авиакомпания Malaysia Airlines рассказывает о том, что её инфраструктура была взломана и подвергалась несанкционированному доступу на протяжении 9 лет. В частности, речь идёт о системе для часто летающих пассажиров Enrich, а утечка случилась для разного рода персональной информации, и данных о полетах
https://www.zdnet.com/article/malaysia-airlines-suffers-data-security-incident-spanning-nine-years/
https://www.zdnet.com/article/malaysia-airlines-suffers-data-security-incident-spanning-nine-years/
ZDNet
Malaysia Airlines suffers data security 'incident' affecting frequent flyer members
Security breach compromises personal data of the airline's frequent flyer programme Enrich, including members' contact details and date of birth registered between March 2010 and June 2019, and reportedly involved a third-party IT service provider.
=== РЕКЛАМА ===
Хотите использовать реверс-инжиниринг в работе?
9 марта на демо-занятии «Эксплуатация уязвимостей в драйвере. Часть 1» вы разберете уязвимости переполнения в драйверах. Преподаватель Артур Пакулов разберет пример классической уязвимости переполнения буфера, уязвимости переполнения целочисленного типа и особенности разработки эксплойтов в режиме ядра.
Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с экспертом. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/jYeb/
23 марта вас ждет продолжение демо-занятия «Эксплуатация уязвимостей в драйвере. Часть 2»: https://otus.pw/FwLE/
=== РЕКЛАМА ===
Хотите использовать реверс-инжиниринг в работе?
9 марта на демо-занятии «Эксплуатация уязвимостей в драйвере. Часть 1» вы разберете уязвимости переполнения в драйверах. Преподаватель Артур Пакулов разберет пример классической уязвимости переполнения буфера, уязвимости переполнения целочисленного типа и особенности разработки эксплойтов в режиме ядра.
Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с экспертом. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/jYeb/
23 марта вас ждет продолжение демо-занятия «Эксплуатация уязвимостей в драйвере. Часть 2»: https://otus.pw/FwLE/
=== РЕКЛАМА ===
большие отчеты Microsoft и FireEye о дополнительных вредоносных приложениях, которые были применены после взлома SolarWinds (все время хочется написать SolarWindows).
GoldMax - бэкдор, который использования для выполнения различных команд на взломанных системах (он же SUNSHUTTLE в отчете FireEye)
Sibot — VBScript, который обеспечивал сохранение заражения после перезагрузки хостов
GoldFinger - как я понял, коммуникационный модуль для передачи данных с зараженного хоста на сервер
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
Это все — в дополнение к уже ранее озвученным:
• Sunspot https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
• Solorigate (Sunburst) https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
• Teardrop https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
• Raindrop https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
GoldMax - бэкдор, который использования для выполнения различных команд на взломанных системах (он же SUNSHUTTLE в отчете FireEye)
Sibot — VBScript, который обеспечивал сохранение заражения после перезагрузки хостов
GoldFinger - как я понял, коммуникационный модуль для передачи данных с зараженного хоста на сервер
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
Это все — в дополнение к уже ранее озвученным:
• Sunspot https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
• Solorigate (Sunburst) https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
• Teardrop https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
• Raindrop https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
Microsoft News
GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence
Microsoft has identified three new pieces of malware being used in late-stage activity by NOBELIUM – the actor behind the SolarWinds attacks, SUNBURST, and TEARDROP.
я тут недавно писал о пиксельных трекерах в почте. там еще было обсуждение про варианты их блокировки, начиная от отключения загрузки удаленного контента до использования Pihole для отправки этих запросов в черную дыру. веб-почта тоже хороший вариант, а если вы Мак-юзер, который пользуется родным клиентом, то вам будет интересно узнать о плагине для Mail, который делает эту блокировку прямо на Маке
https://apparition47.github.io/MailTrackerBlocker/
https://apparition47.github.io/MailTrackerBlocker/
MailTrackerBlocker
MailTrackerBlocker for Mail on macOS
Email tracker, read receipt and spy pixel blocker extension/plugin for macOS Apple Mail
LOL, практикант, работавший в тюрьме, опубликовал в онлайне фото мастер-ключа, открывающего все замки в тюрьме. Теперь надо заменить 600 замков, поскольку по фото можно сделать копию ключа.
https://www.thelocal.de/20210305/intern-at-german-prison-faces-hefty-bill-after-sending-photo-of-master-key-to-friends/
https://www.thelocal.de/20210305/intern-at-german-prison-faces-hefty-bill-after-sending-photo-of-master-key-to-friends/
Я тут несколько дней назад писал про несколько уязвимостей в сервере Microsoft Exchange, которые исправила Microsoft. И даже сопроводил все комментарием про «небольшую алярму», но, похоже, алярма как раз большая
https://t.me/alexmakus/3927
Там, по сути, если у организации был сервер Exchange, с OWA, торчащей в интернет, в период с конца февраля до первых чисел марта, то, считай, все пропало. Первые сигналы о взломах появились ещё 6 января. Сейчас оценки - о 30 тысячах организаций, часто это небольшие компании и локальные госорганизации, которые, вероятней всего, уже стали жертвами взлома серверов.
В этот раз отличились китайские хакеры, и, по некоторым комментариям, «owned the world”. При этом они как раз сильно активизировались после выхода патча, находя и взламывая ещё непропатченные серверы.
https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/
https://www.wired.com/story/china-microsoft-exchange-server-hack-victims/
Кроме информация об апдейтах, которые уже опубликовала Microsoft и они есть в предыдущем посте, компания также опубликовала рекомендации для тех, кто по какой-то причине не может пока что поставить апдейт. Это включает в себя кое-какие изменения конфигураций и отключение функциональности, и снижает риски взлома, но не настолько, как в случае с патчем
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
https://t.me/alexmakus/3927
Там, по сути, если у организации был сервер Exchange, с OWA, торчащей в интернет, в период с конца февраля до первых чисел марта, то, считай, все пропало. Первые сигналы о взломах появились ещё 6 января. Сейчас оценки - о 30 тысячах организаций, часто это небольшие компании и локальные госорганизации, которые, вероятней всего, уже стали жертвами взлома серверов.
В этот раз отличились китайские хакеры, и, по некоторым комментариям, «owned the world”. При этом они как раз сильно активизировались после выхода патча, находя и взламывая ещё непропатченные серверы.
https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/
https://www.wired.com/story/china-microsoft-exchange-server-hack-victims/
Кроме информация об апдейтах, которые уже опубликовала Microsoft и они есть в предыдущем посте, компания также опубликовала рекомендации для тех, кто по какой-то причине не может пока что поставить апдейт. Это включает в себя кое-какие изменения конфигураций и отключение функциональности, и снижает риски взлома, но не настолько, как в случае с патчем
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Telegram
Информация опасносте
Небольшая алярма для админов онпрем серверов Exchange: там Microsoft починила сразу 4 уязвимости нулевого дня, которые эксплуатировались предположительно китайскими группировками, поэтому надо срочно обновиться
https://blogs.microsoft.com/on-the-issues/2021/03/02/new…
https://blogs.microsoft.com/on-the-issues/2021/03/02/new…
👍1
ох лол, социальная сеть Gab опять…
https://twitter.com/th3j35t3r/status/1369058137152585730
https://twitter.com/th3j35t3r/status/1369058137152585730
Twitter
JΞSŦΞR ✪ ΔCŦUΔL³³°¹
#FLASHLOL - Oh dear. Gab is currently down again, but before it went down or more likely was taken down by Gab 'CEO' Andrew Torba - this was posted from Torbas account by the same hacker that whacked them last month.
Там вчера Apple внезапно для всех своих операционных систем (iOS/iPadOS/watchOS/macOS 11/macOS 10.14-10.15) выпустила обновление, которое исправляет одну уязвимость (CVE-2021-1844) в WebKit — движке браузера Safari. Скорость и массовость этого апдейта как бы намекает, что есть смысл не задерживаться с обновлением своих устройств.
Подробный анализ того, что еще есть в этом апдейте, кроме официальных релизнот
https://eclecticlight.co/2021/03/08/apple-has-released-big-sur-11-2-3/
Подробный анализ того, что еще есть в этом апдейте, кроме официальных релизнот
https://eclecticlight.co/2021/03/08/apple-has-released-big-sur-11-2-3/
The Eclectic Light Company
Apple has released Big Sur 11.2.3 (updated)
Apple has this evening released yet another ‘patch’ update to Big Sur, bringing it to version 11.2.3. This contains “important security updates” which Apple recommends for a…
Раз уж мы про Apple, очень интересная статья в MIT Technology Review с обзором подхода Apple к безопасности своих устройств. Статья хороша тем, что там озвучиваются не только преимущества, но и недостатки такого подхода — то, как излишняя закрытость осложняет жизнь исследователям безопасности, в том числе и в случае, когда надо обнаружить вредоносное проникновение. То есть вирусам прорваться сложнее, но если уж прорвался, то остаться необнаруженным закрытость системы тоже помогает
https://www.technologyreview.com/2021/03/01/1020089/apple-walled-garden-hackers-protected/
Там в статье для подтверждения этой теории приводится пример с Citizen Lab и журналистом Al Jazeera, вредоносное ПО на iPhone которого смогли обнаружить только по второстепенным признакам.
https://t.me/alexmakus/3253
https://www.technologyreview.com/2021/03/01/1020089/apple-walled-garden-hackers-protected/
Там в статье для подтверждения этой теории приводится пример с Citizen Lab и журналистом Al Jazeera, вредоносное ПО на iPhone которого смогли обнаружить только по второстепенным признакам.
https://t.me/alexmakus/3253
MIT Technology Review
Hackers are finding ways to hide inside Apple’s walled garden
The iPhone’s locked-down approach to security is spreading, but advanced hackers have found that higher barriers are great for avoiding capture.
ну и чтобы не только про Apple, по ссылке от читателя информация о пяти уязвимостях в Linux, которые нашел и исправил Александр Попов из компании Positive Technologies. Молодец какой Александр!
https://www.zdnet.com/google-amp/article/linux-network-security-holes-found-fixed/
PS Пытаюсь придумать, могла ли бы зайти на рынке компания с названием Negative Technologies?
https://www.zdnet.com/google-amp/article/linux-network-security-holes-found-fixed/
PS Пытаюсь придумать, могла ли бы зайти на рынке компания с названием Negative Technologies?
ZDNET
High severity Linux network security holes found, fixed
This nasty set of bugs can lead to an attacker gaining root access, but the patch is already available.
=== РЕКЛАМА ===
Не знаете, как работают базы данных в облачной среде?
На тренинге 22 и 23 марта «Основы работы с данными в Azure» вы познакомитесь с основными концепциями работы в облачной среде Azure. На курсе среди прочего будут рассмотрены реляционные и нереляционные подходы к работе с данными, а главное — вы сможете сдать экзамен DP-900 и получить сертификат.
Отмечайте в календаре
=== РЕКЛАМА ===
Не знаете, как работают базы данных в облачной среде?
На тренинге 22 и 23 марта «Основы работы с данными в Azure» вы познакомитесь с основными концепциями работы в облачной среде Azure. На курсе среди прочего будут рассмотрены реляционные и нереляционные подходы к работе с данными, а главное — вы сможете сдать экзамен DP-900 и получить сертификат.
Отмечайте в календаре
=== РЕКЛАМА ===