Жалоба: Сообщение в теме 'Полезные знания - Обзор событий по кибербезопасности'

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.748
Репутация
53.072
Реакции
52.789
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
209
. Жалобу на содержимое пользователя отправил(а) . Причина жалобы:
дубль - задвоение.. просьба удалить

Содержимое сообщения:
Обзор событий 30.11 - 01.11

Атака Trojan Source базируется на использовании неуловимых различий в стандартах кодирования символов наподобие Юникода.

Специалисты Кембриджского университета Николас Боучер (Nicholas Boucher) и Росс Андерсон (Ross Anderson) обнаружили новый класс уязвимостей, позволяющих злоумышленникам внедрять визуально обманчивое вредоносное ПО способом, который является семантически допустимым, но изменяет определенную исходным кодом логику, что делает код уязвимым к самым разным киберугрозам, в том числе связанными с цепочками поставок.

Описанная специалистами техника под названием "Атака Trojan Source" базируется на использовании "неуловимых различий в стандартах кодирования символов наподобие Юникода для создания исходного кода, чьи токены логически закодированы не в том порядке, в каком они отображаются, что приводит к уязвимостям, которые рецензирующие код люди не могут увидеть".

Уязвимости, получившие идентификаторы CVE-2021-42574 и CVE-2021-42694, затрагивают компиляторы всех популярных языков программирования, такие как C, C++, C#, JavaScript, Java, Rust, Go и Python.

Проблема связана с двунаправленным алгоритмом Юникода (алгоритмом Bidi), обеспечивающим поддержку письма как слева направо (например, русский язык), так и справа налево (например, иврит). Алгоритм Bidia также поддерживает двунаправленное переопределение, позволяющее писать слова слева направо в предложении на языке с письмом справа налево и наоборот. Иначе говоря, алгоритм позволяет тексту, написанному слева направо, восприниматься как написанный справа налево.

Предполагается, что выходные данные компилятора будут корректно реализовывать исходный код, однако несоответствия, возникающие при вставке символов переопределения Юникода Bidi в комментарии и строки, позволяют создавать синтаксически допустимый исходный код, в котором порядок отображения символов представляет логику, которая расходится с реальной логикой.

"То есть, мы анаграммируем программу A в программу Б. Если изменения в логике достаточно неуловимые для того, чтобы обходить обнаружение в последующих тестированиях, злоумышленник может создать целевые уязвимости и не быть обнаруженным", - пояснили исследователи.

Подобное состязательное программирование может оказать серьезное влияние на цепочку поставок, предупреждают исследователи, когда внедренные в ПО с открытым исходным кодом уязвимости передаются конечным продуктам, затрагивая всех пользователей программного обеспечения. Хуже того, "Атака Trojan Source" может стать более серьезной, если злоумышленник использует омоглифы для переопределения ранее существовавших функций в исходном пакете и вызова их из программы-жертвы.

Список включает 12 опасных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании.

Некоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.

Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.

  1. CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);
  2. CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);
  3. CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);
  4. CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);
  5. CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);
  6. CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);
  7. CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);
  8. CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);
  9. CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);
  10. CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);
  11. CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);
  12. CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).
Пять других проблем не вошли в окончательный список, однако специалистам также необходимо обратить на них внимание, сообщили эксперты.
  1. CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);
  2. CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);
  3. CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);
  4. CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);
  5. CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).
Snake способен похищать учетные данные для 50 приложений, в том числе Discord, Pidgin, Outlook, Chrome, Edge, "Яндекс" и пр.

Киберпреступники используют троян Snake для кражи паролей, что делает его одним из самых популярных семейств вредоносных программ, используемых в атаках на компьютеры под управлением Windows.

Snake активный как минимум с ноября 2020 года и не имеет отношения к вымогательскому ПО с таким же названием, использовавшемуся в прошлом.

Как сообщают специалисты ИБ-компании Cybereason, троян написан на языке программирования .NET и использует тот же механизм переноса данных, что и вымогательское ПО FormBook и Agent Tesla.

В настоящее время Snake можно купить на киберпреступных форумах в даркнете всего за $25, чем и объясняется резкое увеличение числа атак с его применением.

Основной способ распространения трояна - фишинг. Как правило, он устанавливается на систему жертвы через вредоносный документ, вложенный в электронное письмо, или фишинговые сайты, ссылки на которых представлены в электронных письмах.

После заражения компьютера Snake способен похищать учетные данные для 50 приложений, в том числе почтовых клиентов, web-браузеров и мессенджеров (Discord, Pidgin, FileZilla, Thunderbird, Outlook, Brave, Chrome, Edge, Firefox, Opera, Vivaldi, "Яндекс" и пр.).

Помимо прочего, Snake способен записывать нажатия клавиш на клавиатуре, похищать данные из буфера обмена и даже делать скриншоты всего экрана целиком.

Для обхода обнаружения троян отключает антивирусные решения путем завершения связанных процессов и даже отключает анализаторы сетевого трафика наподобие Wireshark. Затем Snake добавляет себя в список исключений Защитника Windows, что позволяет ему выполнять вредоносные команды PowerShell в обход обнаружения.

Вредонос добавляет запланированную задачу и редактирует ключ реестра, выполняющийся после авторизации пользователя в Windows и позволяющий Snake сохранять персистентность на компьютере.

Стоит также отметить, что Snake дает своим операторам возможность еще на этапе упаковки выбирать, какие функции они будут активировать для вредоносного ПО. Эта настройка позволяет им оставаться скрытыми за счет уменьшения количества используемых в атаках функций.

Наконец, когда дело доходит до кражи данных, Snake использует подключение к серверу FTP или SMTP или протокол HTTPS POST на конечной точке Telegram.

Группировка TA575 отправляет тысячи электронных писем сотням организаций.

Специалисты компании Proofpoint обнаружили вредоносную кампанию, в ходе которой киберпреступники из группировки TA575 распространяют вредоносное ПО Dridex с помощью писем на тему популярного сериала Netflix «Игра в кальмара».

В письмах содержатся такие сообщения, как «Игра в кальмара возвращается, смотрите новый сезон раньше всех», «Приглашения клиента для доступа к новому сезону», «Предварительный просмотр рекламных роликов нового сезона Игры в кальмара» и пр.

Эксперты выявили тысячи электронных писем с использованием приманок, предназначенных для различных отраслей в США. Некоторые электронные письма пытаются заманить жертв, предлагая роль в сериале, если пользователь загрузит и заполнит прикрепленный документ.

«Вложения представляют собой документы Microsoft Excel с макросами, которые при включении загружают партнерский идентификатор банковского трояна Dridex 22203 из URL-адресов Discord», — пояснили эксперты.

Dridex — банковский троян, используемый для хищения денежных средств непосредственно с банковского счета жертвы. Вредонос также используется для сбора информации или в роли загрузчика вредоносных программ, в том числе вымогателей.

«TA575 отправляет в среднем тысячи электронных писем на каждую кампанию, затрагивающую сотни организаций. TA575 также использует сеть доставки контента Discord (CDN) для размещения и распространения Dridex», — отметили специалисты.

Злоумышленники активно атакуют пользователей через мобильные каналы, такие как SMS, платформы социальных сетей, сторонние приложения для обмена сообщениями, игры и даже приложения для знакомств.

Человечеству необходимо разработать принципы регулирования технологий искусственного интеллекта (ИИ), в противном случае у крупных корпораций появится возможность "взламывать" людей. Об этом предупредил израильский военный историк-медиевист, профессор исторического факультета Еврейского университета в Иерусалиме Юваль Харари.

Как сообщил Харари в эфире телепрограммы "60 минут" на телеканале CBS, стремительное усложнение технологий ИИ может привести к появлению поколения "взломанных людей". Чтобы не допустить этого, профессор призывает лидеров стран мира начать регулировать ИИ и сбор данных крупными корпорациями.

"Взломать человека - это знать его лучше, чем он сам себя знает, и на основании этого все больше манипулировать им", - пояснил Харари.

В основе проблемы лежит быстрое разрастание технологических компаний, дело которых - собирать огромные объемы пользовательских данных. Харари обеспокоен тем, что люди все чаще доверяют свою личную жизнь частным лицам, которые не всегда преследуют благие цели.

"Netflix говорит нам, что смотреть, а Amazon - что покупать. В конце концов, через 10, 20 или 30 лет такие алгоритмы также могут сказать, чему учиться в колледже, где работать, за кого выйти замуж и даже за кого голосовать", - предупредил профессор.

Харари призвал страны серьезно отнестись к угрозе мощных технологий искусственного интеллекта и установить четкие и строгие ограничения, гарантирующие, что данные пользователей не будут использоваться для манипулирования общественностью.

"Безусловно, сейчас мы находимся в точке, когда нам необходимо глобальное сотрудничество. Нельзя регулировать взрывную силу искусственного интеллекта только на национальном уровне", - сказал Харари.

Профессор также добавил, что данные никогда не следует концентрировать в одном месте, поскольку это "прямой путь к диктатуре".

Это пугающая, но правдоподобная перспектива - особенно сейчас, когда некоторые технологические компании пытаются убедить пользователей полностью отказаться от физической реальности и принять виртуальную, созданную ими самими.

Киберпреступники не создавали свои вредоносные сайты, а взламывали легитимные порталы на WordPress.

Исследователи в области кибербезопасности из компании Menlo Security две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil. В ходе атак используется так называемое «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв.

Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Из-за своего высокого рейтинга в поисковых запросах вредоносные сайты выглядят легитимными, привлекая таким образом большое количество жертв.

Операторы вредоносных кампаний ввели на своих сайтах ключевые слова, охватывающие более 2 тыс. уникальных поисковых запросов, в том числе «спортивная психологическая стойкость», «обзор промышленной гигиены», «пять уровней оценки профессионального развития» и пр. Оптимизированные таким образом сайты отображаются в результатах поиска в виде PDF-файлов. Посетителям сайта предлагается загрузить документ, и после перенаправления через серию сайтов на систему пользователя загружается вредонос. Злоумышленники используют перенаправления с целью предотвратить удаление своих сайтов из результатов поиска.

В ходе данных кампаний злоумышленники устанавливали вымогательское ПО REvil через бекдоры Gootloader и SolarMarker. Киберпреступники не создавали собственные вредоносные сайты, а вместо этого взламывали легитимные порталы на WordPress, которые уже имели хороший рейтинг в поисковой системе Google.

Злоумышленники в первую очередь нацелены на сайты в сфере бизнеса, вероятно, потому, что они часто размещают PDF-файлы в форме руководств и отчетов. Сайты были взломаны путем эксплуатации уязвимости в плагине WordPress Formidable Forms, которую хакеры использовали для загрузки специального PDF-файла в папку «/ wp-content / uploads / formidable /».

Пользователям данного плагина рекомендуется обновиться до версии 5.0.10 или более поздней.
 
+
 
Назад
Сверху Снизу