Новое вредоносное ПО для macOS. А говорили, что для Маков нет вирусов (ну ладно, очень давно это говорили, уже не говорят)
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
Securelist
WildPressure targets macOS
We found new malware samples used in WildPressure campaigns: newer version of the C++ Milum Trojan, a corresponding VBScript variant with the same version number, and a Python script working on both Windows and macOS.
А давненько у нас не было SolarWinds в канале. Microsoft обнаружили уязвимость нулевого дня в продукте Serv-U компании SolarWinds, которая к тому находится в активной эксплуатации злоумышленниками. Эта уязвимость не имеет отношения к той истории, благодаря которой были взломаны государственные организации и частные компании в начале года
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
Чем занимаются люди, которых называют профессионалками в сфере информационной безопасности? Ой, да чем только не занимаются. И это, кстати, не шутка, набор задач, который падает на хрупкие плечи специалистов, огромен. И тут мне попалась на глаза интересная карта категоризации позиций и их задач. Наверняка многие из вас могут себя на этой карте найти
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
Rafeeq Rehman | Cyber Security | Board Advisory
CISO MindMap 2021: What do InfoSec professionals really do?
NOTE: A new version of CISO MindMap (2022) is available at this URL. Most people outside the Cybersecurity profession don’t fully realize and appreciate the complexity of security professionals’ job. I have been publishing and updating this MindMap for almost…
очень интересно, вся инфраструктура группировки REvil прилегла. Уж не америкосия ли нанесла ответный ударр?
https://twitter.com/LawrenceAbrams/status/1414929050729074714
https://twitter.com/LawrenceAbrams/status/1414929050729074714
Twitter
Lawrence Abrams
All REvil sites are down, including the payment sites and data leak site. 🤔 The public ransomware gang represenative, Unknown, is strangely quiet.
Опять Microsoft и SolarWinds, просто теперь ещё дополнительный комментарий от Microsoft, с указанием на китайцев как операторов атаки
https://msft.it/6019nwox3
https://msft.it/6019nwox3
Microsoft Security Blog
Microsoft discovers threat actor targeting SolarWinds Serv-U software with 0-day exploit - Microsoft Security Blog
Microsoft has detected a 0-day remote code execution exploit being used to attack SolarWinds Serv-U FTP software in limited and targeted attacks. The Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to DEV-0322, a…
сотрудники Facebook шарились по профилям пользователей, рассказывается в новой книге о ФБ. С 2014 по 2015 год компания уволила 52 человека за злоупотребления доступом к пользовательским данным
https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7
новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki
https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7
новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki
Business Insider
A Facebook engineer abused access to user data to track down a woman who had left their hotel room after they fought on vacation…
Facebook fired 52 employees from January 2014 to August 2015 over abusing company access to user data for personal means, "An Ugly Truth" said.
такие коллекции про «самые крупные <подставьте свой вариант> этого года» обычно пишут ближе к концу года, но Gizmodo уже собрали: самые крупные взломы этого года
https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024
https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024
Gizmodo
The Biggest Hacks of 2021 (So Far)
From Colonia Pipeline to SolarWinds to Twitch, cyberattacks are inflicting historic pain worldwide. Here are the biggest cyberattacks this year.
интересное расследование у Vice по поводу того, как рекламная отрасль умеет привязывать рекламный идентификатор из рекламы в приложении, например, к реальному имени, адресу и тд. Анонимность, говорили они… Эпол со своей блокировкой доступа к рекламному идентификатору должны идти и стегать ФБ распечаткой этой статьи по лицу
https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii
https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii
Vice
Inside the Industry That Unmasks People at Scale
Unique IDs linked to phones are supposed to be anonymous. But there’s an entire industry that links them to real people and their address.
тут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone. Похоже, что хакеры, которые организовали атаку через SW в прошлом году, эксплуатировали iOS 0-day с целью кражи логинов-паролей членов правительств западных стран.
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
как взломали Kaseya (там внутри ужасы)
https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/
https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/
Truesec
How the Kaseya VSA Zero Day Exploit Worked - Trulysuper
Learn about the pre-auth remote code execution exploit against Kaseya VSA Server that was used in the mass Revil ransomware attack on July 2, 2021.
Citizen Lab опять обнаружили какие-то адские уязвимости нулевого дня, которые использовала израильская компания Candiru для разработки шпионского ПО, которое она затем продавала правительствам для слежки. В прошлый раз это были уязвимости для iPhone, в этот раз - для Windows, хотя продукты компании могут заражать практически все современные платформы. Жертвы продуктов компании были обнаружены в Палестине, Израиле, Иране, Испании, Великобритании, Турции, Армении и Сингапуре. Среди жертв - активисты за права человека, диссиденты, журналисты, политики. По ссылке - статья о компании, её продукте и функциональности вирусного ПО:
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
The Citizen Lab
Hooking Candiru
Candiru is a secretive Israel-based company that sells spyware exclusively to governments. Using Internet scanning, we identified more than 750 websites linked to Candiru’s spyware infrastructure. We found many domains masquerading as advocacy organizations…
компания NSO в этом канале постоянный гость — в новостях, понятное дело. надеюсь, тут сотрудников NSO нет. поиск по каналу быстро покажет и про саму компанию, и про её вредоносно-шпионское ПО Pegasus, которое различные правительства и другие организации используют для слежки за неугодными. Amnesty International опубликовали огромный отчет изучения этого самого Pegasus, который изобилует техническими деталями о том, кто как куда и зачем. Например, интересный нюанс про то, что исследователи в июле наблюдали эксплуатацию нескольких 0-day против iPhone 12 с последним релизом iOS 14.6. при этом механизм без кликов пользователем. А столько было разговоров о новой схеме защиты в Messages в iOS 14 BlastDoor— видимо, не помогло. Также используются для векторов атаки парсеры JPG и GIF.
Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt
Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt
Amnesty International
Forensic Methodology Report: How to catch NSO Group’s Pegasus
NSO Group claims that its Pegasus spyware is only used to “investigate terrorism and crime” and “leaves no traces whatsoever”. This Forensic Methodology Report shows that neither of these statements are true. This report accompanies the release of the Pegasus…
Деньги опасносте (мутная история, чтото много деталей както не совпадают с рассказом и реальностью)
https://www.fontanka.ru/2021/07/18/70030715/
https://www.fontanka.ru/2021/07/18/70030715/
ФОНТАНКА.ру
Утечка личности. Как петербуржец заглянул в «черное зеркало» и попал на миллион рублей
Петербуржец потерял контроль над своим аккаунтом в «Госуслугах», а спустя неделю увидел в своем паспорте чужое фото и подпись.
Ладно, а тут танки опасносте! Юзер был недоволен тем, как в игре War Thunder была реализована физика и детали танка британского Challenger. Для того, чтобы разработчики улучшили танк, пользователь запостил куски из Army Equipment Support Publication - такой документ типа руководства пользователя. Правда, документ вроде как пока что ещё секретный и постить его не стоило, но все ради реалистичности игры, да?
https://ukdefencejournal.org.uk/classified-challenger-tank-specs-leaked-online-for-videogame/
https://ukdefencejournal.org.uk/classified-challenger-tank-specs-leaked-online-for-videogame/
UK Defence Journal
Classified Challenger tank specs leaked online for videogame
A gamer identifying as Challenger 2 commander has posted a classified document online in order to improve the accuracy of the design of the tank in the game 'War Thunder'.
Продолжая тему NSO, как мне тут уже несколько раз прислали ссылку читатели - Амазон отключил инфраструктуру и заблокировал учетные записи, которые принадлежат NSO Group
https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure
https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure
VICE
Amazon Shuts Down NSO Group Infrastructure
The move comes as activist and media organizations publish new findings on the Israeli surveillance vendor.
надеюсь, последнее на сегодня про NSO Group, Pegasus, взломы телефонов политиков, журналистов и активистов.
1. Ответ компании NSO Group:
https://www.nsogroup.com/Newses/following-the-publication-of-the-recent-article-by-forbidden-stories-we-wanted-to-directly-address-the-false-accusations-and-misleading-allegations-presented-there/
если в двух словах, то «мы-то что, мы продаем решение, и понятия не имеем, кто и как его использует. Также мы точно знаем, что наше решение не было использовано при организации убийства журналиста Джамаля Хашогги!»
а, главное, не понятно определение некорректного использования продукта, о котором пишет компания.
2. Комментарий компании Apple по поводу информации об эксплуатации уязвимостей нулевого дня в iOS, от Ивана Крстича, руководителя разработки и архитектуры безопасности (Apple Security Engineering and Architecture):
“Apple unequivocally condemns cyberattacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.”
тоже в двух словах: «они редиски, мы их осуждаем. мы стараемся делать безопасные iPhone, насколько это возможно, потому что есть всякие редиски. эти атаки — направленные на конкретные цели, массовым юзерам не грозят. осуждаем и продолжаем улучшать!»
1. Ответ компании NSO Group:
https://www.nsogroup.com/Newses/following-the-publication-of-the-recent-article-by-forbidden-stories-we-wanted-to-directly-address-the-false-accusations-and-misleading-allegations-presented-there/
если в двух словах, то «мы-то что, мы продаем решение, и понятия не имеем, кто и как его использует. Также мы точно знаем, что наше решение не было использовано при организации убийства журналиста Джамаля Хашогги!»
а, главное, не понятно определение некорректного использования продукта, о котором пишет компания.
2. Комментарий компании Apple по поводу информации об эксплуатации уязвимостей нулевого дня в iOS, от Ивана Крстича, руководителя разработки и архитектуры безопасности (Apple Security Engineering and Architecture):
“Apple unequivocally condemns cyberattacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.”
тоже в двух словах: «они редиски, мы их осуждаем. мы стараемся делать безопасные iPhone, насколько это возможно, потому что есть всякие редиски. эти атаки — направленные на конкретные цели, массовым юзерам не грозят. осуждаем и продолжаем улучшать!»
NSO Group
Following the publication of the recent article by Forbidden Stories, we wanted to directly address the false accusations and misleading…
The report by Forbidden Stories is full of wrong assumptions and uncorroborated theories that raise serious doubts about the reliability and interests of the sources. It seems like the “unidentified sources” have supplied information that has no factual basis…
Ну и да, есть инструмент для проверки заражения Pegasus, который разработала Amnesty International. Инструмент сканирует iPhone и Android смартфоны на предмет свидетельств присутствия Pegasus, хотя, конечно, вероятность, что у кого-то в этом канале будут такие свидетельства, достаточно низкая
https://github.com/mvt-project/mvt
https://github.com/mvt-project/mvt
GitHub
GitHub - mvt-project/mvt: MVT (Mobile Verification Toolkit) helps with conducting forensics of mobile devices in order to find…
MVT (Mobile Verification Toolkit) helps with conducting forensics of mobile devices in order to find signs of a potential compromise. - mvt-project/mvt