Упустил на прошлой неделе парочку новостей. Например, вот про вредоносное ПО XcodeSpy, которое нацелено против разработчиков на macOS. Злоумышленники используют функцию Run Script в IDE Xcode для заражения разработчиков через общие проекты. Вирус устанавливается на macOS вместе с механизмом работы после перезагрузки компьютера, и умеет захватывать микрофон, камеру и клавиатуру.

https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/

Подробный отчёт об исследовании, которое привело к написанию 1-кликового RCE в ТикТоке

https://medium.com/@dPhoeniixx/tiktok-for-android-1-click-rce-240266e78105

На прошлой неделе компания F5, разработчик серверов для управления входящим и исходящим трафиком в крупных сетях, сообщила о серьезной уязвимости и выпустила апдейт, её исправляющий

https://support.f5.com/csp/article/K02566623

Однако, этого недостаточно, и вот уже аналитики пишут о том, что в сети началась активная эксплуатация этой уязвимости - которая позволяет без аутентификации исполнять команды на уязвимых устройствах

https://twitter.com/buffaloverflow/status/1372861157317435394?s=21

Мало было Exchange, теперь ещё это

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/

=== Реклама ===

24 марта в 16:00 эксперты «Инфосистемы Джет» в прямом эфире разберут особенности решения Microsoft Defender for Endpoint для продвинутой защиты конечных станций и покажут его работу в боевых условиях.

В программе:
🔹 Особенности и нюансы Microsoft Defender for Endpoint
🔹 Конкурентные преимущества решения
🔹 Кейсы и сценарии использования
🔹 Демонстрация решения в боевых условиях

Вебинар будет интересен тем, кто рассматривает и выбирает решение для продвинутой защиты конечной станции от современных угроз.

Регистрация

Тем временем сообщают, что взлому подверглась корпоративная сеть компании Acer. Взломщики вымогают, по разным данным, от 50 до 100 млн долларов выкупа за расшифровку данных, которые зашифрованы REvil. (50 млн - это если заплатят быстро). Есть версия, что для получения доступа к сети был использован уязвимый сервер Microsoft Exchange Acer, который был замечен как цель.

https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/

https://www.forbes.com/sites/leemathews/2021/03/21/acer-faced-with-ransom-up-to-100-million-after-hackers-breach-network/

Прелестная история из серии «преступление и наказание», а также о том, что недовольные сотрудники или подрядчики - это тоже угроза. Инженер из компании-интегратора помогал клиенту переезжать на Office 365, в процессе что-то пошло не так, клиент остался недоволен, пожаловались на инженера, того уволили. Он улетел домой в Индию, а потом удаленно зашёл в сеть своего бывшего работодателя и удалил 80% учетных записей Microsoft Office 365. Компании 2 месяца боролась с последствиями, не забыв пожаловаться в правоохранительные органы. Злоумышленник почему-то решил, что ему ничего за это не будет, и полгода спустя опять полетел в Штаты, где его и приняли ФБР. Теперь инженер проведёт 2 года в тюрьме, потом ещё 3 года под наблюдением, а также должен будет выплатить штраф более 500 тыс долларов

https://www.zdnet.com/article/it-admin-with-axe-to-grind-lands-two-years-behind-bars-for-wiping-microsoft-user-accounts/

Один из самых популярных сайтов по продаже оружия в США взломали в январе, а теперь весь архив сайта, включая базу данных пользователей и исходники самого сайта, выставлен на продажу. Среди информации о пользователях - физический адрес и данные о покупках, в том числе и данные о финансовых транзакциях.

https://www.hackread.com/hacker-dumps-guns-com-database-customers-admin-data/

Полезная визуализация разных степеней защиты — паролей и комбинаций пароль+2ФА

https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/

Около 10 дней назад я публиковал тут материал про уязвимость в системе пересылки CMC-сообщений, которая позволяла желающим за небольшие деньги начать перехватывать сообщения других номеров

https://t.me/alexmakus/3960

Motherboard, который тогда сообщил об этой проблеме, теперь сообщает, что все крупные американские сотовые операторы изменили процесс перессылки CMC-сообщений, что должно предотвратить возможность их перехвата. В кои-то веки хорошие новости, наверно.
https://www.vice.com/en/article/5dp7ad/tmobile-verizon-att-sms-hijack-change

Как-то пропустил, что в марте взломали Carding Mafia — форум для воровства и обмена информацией об украденных банковских карт. почти 300 тысяч данных, включая имейлы и IP-адреса участников форума. Вроде как данные форума уже появились на площадках для продажи, и, подозреваю, кто-то из участников форума может понервничать

https://haveibeenpwned.com/PwnedWebsites#CardingMafia

Ну и в рамках пятницы - внезапное возрождение истории про мужской «пояс» целомудрия: устройство, которое надевается на соответствующий орган, и управляется удаленно через интернет. Там была длинная история (можно поискать по ключевому слову «целомудрие» в канале) про то, как в таком устройстве была обнаружена уязвимость, и про то, как якобы кто-то такой уязвимостью воспользовался.

Была даже статья на Motherboard с разговором с жертвой, у которой требовали выкуп за разблокировку устройства
https://t.me/alexmakus/3860

Теперь же некий австралийский стендап-комик утверждает, что это он разыграл Motherboard рассказом про эту блокировку, и об этом он рассказывает на видео
https://www.youtube.com/watch?v=vEM6SHbjY7Y

В обновлении к статье Motherboard пишет, что они проводили расследование, и общались с двумя разными жертвами, а Sam Summers — то есть Lewis Spears — был третьим. Но поскольку он сфабриковал дооказательства, то теперь, мол, все, статья более не актуальна
https://www.vice.com/en/article/4ad5xp/we-spoke-to-a-guy-who-got-his-dick-locked-in-a-cage-by-a-hacker

Вот тут я писал про 7 уязвимостей для разных операционных систем, которые обнаружили разработчики из инициативы Project Zero

https://t.me/alexmakus/3970

Там все интересней и интересней, потому что а) самих уязвимостей нулевого дня было 11 штук, и б) пост PZ как-то интересно умалчивал про то, чьи же сайты с этими уязвимостями были, и кто во всем этом виноват.

Оказалось, что владельцами сайтов были правительства некоторых западных стран, а сами сайты были организованы в рамках антитеррористической операции. В итоге опеацию пришлось прекратить. Что по своему представляет очень интересную моральную дилемму. Интересный материал у MIT Trechnology Review об этом:

https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/

iOS and iPadOS 14.4.2 address a vulnerability that Apple says may have been actively exploited

CVE-2021-1879: Clement Lecigne of Google Threat Analysis Group and Billy Leonard of Google Threat Analysis Group

Impact: Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited.

никогда такого не было, и вот опять!

Как сообщают читатели, в репозитории php появились бэкдоры - после коммитов от имени разработчиков. Детали пока не до конца понятны, но разработчики подозревают возможную компрометацию git.php.net.

https://news-web.php.net/php.internals/113838

Вдогонку к новости про PHP — комментарий CEO Zerodium по поводу того, что якобы их компания может быть причастна к взлому

Cheers to the troll who put "Zerodium" in today's PHP git compromised commits. Obviously, we have nothing to do with this.

Likely, the researcher(s) who found this bug/exploit tried to sell it to many entities but none wanted to buy this crap, so they burned it for fun 😃

https://twitter.com/cBekrar/status/1376469666084757506

Хоть и не пятница, но лол же: полиция поймала скрывающегося участника мафиозной организации, потому что он запостил видео с готовкой еды на Ютюбе. Лицо он тщательно скрыл, но идентифицировали его по татуировкам. Чувак 7 лет скрывался, а теперь вот придётся вернуться на родину

https://www.bbc.com/news/world-europe-56563182

ну как вообще так, охренели там совсем уже! (это чувак купил чужой логин-пароль для доступа к сервису Дисней, а после того, как тот перестал работать, пришел к настоящему владельцу со словами «ну я тут уже и так денег заплатил, а оно работать перестало, дай пароль, а?»)

я писал в январе о том, что Ubiquiti разослала невнятное сообщение о попытке взлома и рекомендации смены пароля пользователям
https://t.me/alexmakus/3826

теперь, как обычно это бывает, всплывают подробности, и там все не очень хорошо, а, возможно, даже очень нехорошо. Из слов знакомого с ситуацией человека следует, что Ubiquiti существенно преуменьшила потенциальный ущерб от взлома, и якобы данные, полученные в процессе взлома, могут позволить взломщикам залогиниться в устройства клиентов компании

https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

Вдогонку - свежий пост Ubiquiti по поводу взлома и новой информации об этом. В двух словах: нам особо нечего добавить к тому, что мы уже сказали, информация пользователей не затронута, расследование продолжается, а пароль все равно на всякий случай поменяйте.

https://community.ui.com/questions/Update-to-January-2021-Account-Notification/3813e6f4-b023-4d62-9e10-1035dc51ad2e

Помните странную историю про северокорейских хакеров, которые настроили сайт об кибербезопасности, и потом использовали уязвимости нулевого дня, чтобы взламывать заходящих на этот сайт экспертов? (Да, все настолько безумно, как это может показаться).

https://t.me/alexmakus/3853

Так вот, Google сообщает, что эти мастера клавиатуры и мыши завели новый сайт! Будьте осторожны!

https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/