TheHackestEver

2022-04-30 11:12:01 Національне управління кібербезпеки (DNSC) Румунії повідомляє, що веб-сайти уряду Румунії, міністерства оборони, прикордонної поліції, національної залізничної компанії та OTP банку були атаковані російським угрупуванням під назвою Killnet.

Угрупування Killnet приписало інцидент собі у Телеграмі і заявило, що розпочало атаку, оскільки Румунія підтримує Україну після російського вторгнення.

У румунській розвідувальній службі пояснили, що сайти не працювали протягом кількох годин після того, як атаки почалися близько 4 ранку за місцевим часом. Відкрити / Коментувати

2022-04-28 08:33:01 Пов'язане з китайським урядом угрупування атакує російські системи за допомогою оновленої версії трояна віддаленого доступу під назвою PlugX.

Secureworks приписує спробу вторгнення угрупуванню, яку вона відстежує як Bronze President. Відкрити / Коментувати

2022-04-27 18:01:38 Microsoft 365 Defender Research Team розкрила дві вразливості з ескалації привілеїв в операційній системі Linux.

Під загальною назвою «Nimbuspwn» вразливості можуть бути пов’язані разом, щоб отримати root-права в системах Linux, дозволяючи зловмисникам розгортати корисне навантаження, типу бекдорів, і виконувати інші шкідливі дії за допомогою довільного виконання коду. Відкрити / Коментувати

2022-04-27 09:02:01 Колекція гайдів із посилення безпеки, best practices, checklists, корисних інструментів та інших ресурсів (Linux, Windows, MacOs, network devices, virtualization, containers, services, NSA security best-practices). Відкрити / Коментувати

2022-04-25 18:38:01 Дослідники Check Point виявили RCE вразливість в чіпах Qualcomm/MediaTek, що дозволяє зловмиснику отримати контроль над мультимедійними даними користувача, включаючи потокове передавання зображення з камери зламаної машини (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351).

Зловмисник може надіслати пісню (медіа-файл) і виконати код у привілейованому медіа-сервісі під час відтворення файлу. Відкрити / Коментувати

2022-04-25 08:48:01 Дослідники Immunity Inc. пролили світло на віддалену експлуатацію ядра через призму нещодавнього переповнення віддаленого стека (CVE-2022-0435).

CVE-2022-0435 — це віддалене переповнення стека в мережевому модулі Transparent Inter-Process Communication (TIPC) ядра Linux. Відкрити / Коментувати

2022-04-24 13:02:01 В рамках нової кампанії, кросплатформний майнинговий ботнет LemonDuck націлений на Docker для майнінгу криптовалюти в системах Linux.

«Він здійснює анонімний майнінг за допомогою пулів проксі, які приховують адреси гаманців», — йдеться в новому звіті CrowdStrike. «Також, він може уникати виявлення, націлюючись на службу моніторингу Alibaba Cloud та вимикаючи її».

Остання кампанія використовує відкриті Docker API як вектор початкового доступу, для запуску зловмисного контейнера для отримання Bash shell script, який замаскований під нешкідливий файл зображення PNG з віддаленого сервера. Відкрити / Коментувати

2022-04-23 20:01:34 Вийшов PoC для недавньої криптографічної вразливості Java. Проблема полягає в реалізації Java алгоритму цифрового підпису еліптичної кривої (ECDSA), криптографічного механізму для цифрового підпису повідомлень і даних для перевірки автентичності та цілісності вмісту. PoC включає вразливий клієнт і зловмисний TLS сервер, перший з яких приймає недійсний підпис від сервера, фактично дозволяючи безперешкодно продовжувати рукостискання TLS.

CVE-2022-21449 (CVSS score: 7.5), впливає на наступні версії (Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2). Відкрити / Коментувати

2022-04-23 09:13:01 Цього тижня ФБР випустило повідомлення, у якому сповіщає про те, що правоохоронна організація відстежила щонайменше 60 ransomware атак групою BlackCat (ALPHV) станом на березень. У повідомлені також сказано, що BlackCat є першою ransomware групою, яка успішно атакувала таку кількість жертв, використовуючи RUST, мову програмування, яку багато хто вважає безпечнішою за інші. А більшість розробників і відмивачів грошей BlackCat/ALPHV пов'язані з Darkside/Blackmatter, що вказує на те, що вони мають обширні мережі та досвід роботи з ransomware. Відкрити / Коментувати

2022-04-22 20:17:01 Дослідники з Nozomi Networks Lab нещодавно виявили новий варіант ботнету BotenaGo, спеціально призначений для цифрових відеорегістраторів Lilin. Через ім'я, яке розробники використовували у вихідному коді (/root/lillin.go), експерти так і назвали його "сканером Lillin".

Вперше про ботнет BotenaGo світові стало відомо від дослідників AT&T в листопаді 2021 року, шкідливий код якого використовував 33 експлоїти для атаки на мільйони маршрутизаторів та пристроїв IoT. А ось вихідний код BotenaGo вжу був доступний в мережі з жовтня 2021 року, що дозволило багатьом зловмисникам створювати власні версії, додаючи нові експлойти для зараження найбільшої кількості пристроїв. BotenaGo був написаний на Golang (Go) і на момент публікації звіту мав досить низький рівень виявлення – всього 6/62. Відкрити / Коментувати