DarkNetNews

Телеграм Канал " DarkNetNews "

@ hackerlucker

Телеграм каналы про новости и СМИ

51 589   92   0   0   14.01.21
Оценить:
Самые горячие, интересные, актуальные новости из мира Darknet и не только.
Вопросы рекламы решаются здесь: @apollosave
Открыть в Telegram
Поделиться в социальных сетях:
Последние записи канала @hackerlucker:
​​📌Группа киберпреступников использовала мобильные эмуляторы для имитации тысяч мобильных устройств, что позволило им украсть миллионы долларов в течение нескольких дней.

По словам специалистов из IBM Security Trusteer, в рамках мошенничества с мобильным банкингом, нацеленного на финансовые учреждения в Европе и США, преступники использовали около 20 эмуляторов для имитации более 16 тыс. мобильных устройств и доступа к взломанным учетным записям. Идентификаторы мобильных устройств использовались для имитации телефонов владельцев учетных записей, но в некоторых случаях злоумышленники устанавливали новые идентификаторы, чтобы создать впечатление, будто пользователь получает доступ к учетной записи с нового устройства. Также использовались учетные данные, украденные из зараженных систем или с помощью фишинговых атак.

Злоумышленники, предположительно, автоматизировали оценку счетов и инициирование мошеннических денежных транзакций, и старались переводить небольшие суммы, чтобы их действия не повлекли за собой дальнейшую проверку банком.

«После осуществления атаки злоумышленники прекращают операцию, стирают следы и готовятся к следующей атаке», — объясняют исследователи.

Преступники могли атаковать любые финансовые приложения, даже те, которые используют для подтверждения транзакций коды, отправляемые в SMS-сообщениях или по электронной почте.

Злоумышленники также создали специализированные приложения, имитирующие легитимные версии целей, и проводили анализ того, как программы реагируют на соединения от их поддельных устройств.

«Вероятно, что за этой операцией стоит организованная группировка, имеющая доступ к квалифицированным техническим разработчикам вредоносных программ для мобильных устройств и специалистам в области мошенничества и отмывания денег. Подобные характеристики типичны для таких преступников, как операторы TrickBot или группировка Evil Corp», — отметили эксперты.
Бизнес кейс: заработок на продаже копий вещей люксовых брендов

Разберем следующие пункты:

• Распространённые мифы
• Необходимые ресурсы
• Плюсы и минусы ниши
• Советы для тех, кто хочет заработать в “Black Resell”.
​​📌Компания Microsoft неоднократно высказывалась против применения паролей и теперь, похоже, намерена сделать решительный шаг и полностью отказаться от них в своих продуктах.

Как пояснил техногигант в сообщении на своем сайте, использовать пароли не только хлопотно, но и рискованно: по статистике, примерно 80% кибератак направлены на пароли, а в случае корпоративных аккаунтов ежемесячно компрометации подвергается 1 из 250 корпоративных учетных записей.

Компания уже представила ряд технологий для авторизации без пароля, такие как Windows Hello, Microsoft Authenticator или ключи безопасности FIDO2, которые, по ее данным, использует более 150 млн человек. В 2021 году Microsoft планирует запустить конвергентный регистрационный портал, позволяющий управлять паролями через приложение My Apps.

Идея использовать сервисы без ввода пароля, сохраняя при этом конфиденциальность и безопасность, безусловно привлекательна, однако у многих пользователей могут возникнуть опасения о том, стоит ли доверять единственной компании или сервису, а это может оказаться существенной проблемой для Microsoft.
​​📌Анализируя артефакты, полученные в ходе расследования начавшейся с SolarWinds атаки на цепочку поставок, специалисты выявили еще один бэкдор, судя по всему, использующийся другой киберпреступной группировкой.

Получивший название SUPERNOVA вредонос представляет собой web-оболочку, внедренную в платформу для мониторинга и управления IT-ресурсами SolarWinds Orion и ее сеть. С его помощью злоумышленники могут запускать произвольный код на системах с вредоносными версиями Orion.

Web-оболочка является троянизированной версией легитимной библиотеки .NET (appweblogoimagehandler.ashx.b6031896.dll), присутствующей в платформе Orion. Злоумышленники модифицировали ее таким образом, чтобы она могла обходить автоматизированные механизмы защиты.

Orion использует DLL для открытия HTTP API, позволяя хосту отвечать другим подсистемам при запросе определенного GIF-изображения. Как пояснил в своем отчете старший исследователь Palo Alto Networks Мэт Теннис (Palo Alto Networks), вредоносное ПО потенциально может ускользать даже от ручного анализа, поскольку встроенный в DLL код сам по себе безобиден и «сравнительно высокого качества».

Как показал анализ, злоумышленники добавили в легитимный файл SolarWinds четыре новых параметра для получения сигналов от C&C-инфраструктуры. Вредоносный код содержит только один метод – DynamicRun, на лету компилирующий параметры в ассемблированную программу на .NET в памяти, благодаря чему на жестком диске скомпрометированного устройства не остается никаких артефактов. Таким образом, злоумышленник может отправлять на скомпрометированное устройство произвольный код и запускать его в контексте пользователя, у которого почти всегда есть высокие привилегии и хорошая видимость сети.

Как долго бэкдор SUPERNOVA присутствовал в Orion, неизвестно, но по данным системы для анализа вредоносного ПО Intezer, временные метки указывают на дату компиляции 24 марта 2020 года. Напомним, ранее также сообщалось , что злоумышленники получили доступ к сетям компании SolarWinds намного раньше, чем предполагалось, и еще в октябре 2019 года делали пробную рассылку файлов из ее взломанной сети. Однако, по мнению специалистов Microsoft, SUPERNOVA – дело рук другой киберпреступной группировки. На это указывает тот факт, что в отличие от бэкдора SunBurst/Solarigate, внедренного в SolarWinds.Orion.Core.BusinessLayer.Dll, у SUPERNOVA нет цифровой подписи.

В настоящее время образец SUPERNOVA доступен на VirusTotal и детектируется 55 из 69 антивирусных движков. ИБ-эксперты пока не могут определить, кто стоит за SunBurst/Solarigate и SUPERNOVA, но сходятся в одном – атаки являются делом рук APT-групп.
​​📌Распространение военного противоборства на киберпространство и космос повышает риски вмешательства в системы управления и применения ядерного оружия, заявил начальник Генерального штаба Вооруженных сил - первый заместитель министра обороны РФ генерал армии Валерий Герасимов на брифинге для иностранных атташе.
"Военное противоборство распространяется на киберпространство и космос, в результате повышаются риски возникновения инцидентов из-за вмешательства в функционирование систем управления и обеспечения применения ядерного оружия", - сказал Герасимов.
Он напомнил, что официальные взгляды на сущность ядерного сдерживания изложены в "Основах государственной политики РФ в области ядерного сдерживания", которая является "сугубо оборонительной и направлена на поддержание потенциала ядерных сил на достаточном для сдерживания уровне"..

"Ядерное оружие рассматривается как средство принуждения потенциального противника к отказу от развязывания агрессии в отношении нашей страны", - добавил глава генштаба. Заявления о якобы принятой Вооруженными силами концепции "эскалации для деэскалации" являются домыслами. Ничего подобного в российских документах нет", - подчеркнул генерал.
Яндекс накручивает оценки своим приложениям в App Store.

Вместо того, чтобы прислушиваться к критике и улучшать продукты в интересах пользователей, Яндекс накручивает положительные оценки.

Например, рассмотрим "инновационный" Браузер от Яндекса на iOS, который от Google Chrome не сильно отличается, так как сделан на его же основе. Конечно, Яндекс.браузер выделяется встроенными сервисами для заказа еды или определения номеров, но к сёрфингу интернета это не имеет никакого отношения.

Если верить аналитике Яндекса, то 9% устройств выходят в сеть через Яндекс.Браузер, а Google Chrome используют лишь 4% пользователей. Разница составляет в 2.5 раза. Данная информация никак не укладывается в текущую картину оценок в App Store. Яндекс.Браузер имеет в 63 раза (!!!) больше оценок, чем google Chrome, 509 тысяч против 8 тысяч. Данные касаются только iOS по России.

Глядя на эти оценки, может показаться, что Google является стартапом, а Яндекс успешная IT-компания с капитализацией в триллион долларов.

@Gendargenoevsky
​​📌Период перед зимними праздниками – излюбленная пора для фишеров.

В связи с этим компания GoDaddy решила проверить, могут ли попасться на удочку мошенников ее собственные сотрудники, и провела тайное тестирование, вызвавшее неоднозначную реакцию общественности.

Как сообщает аризонское новостное издание Copper Courier, ранее в этом месяце GoDaddy разослала своим сотрудникам электронные письма с обещанием выплатить рождественскую премию в размере $650 в качестве благодарности за «рекордный для GoDaddy год». Для того чтобы получить премию, сотрудники должны были прислать ответное письмо с указанием своего адреса и другой персональной информации. На письмо ответили порядка 500 сотрудников, но никаких денег они не получили. Более того, через два дня компания прислала им еще одно письмо, в котором сообщила, что они провалили тест на безопасность и обязаны провести на работе дополнительное время для прохождения обучения.

Новость о тестировании вызвала бурю негодования у пользователей Twitter – некоторые даже заявили о намерении сменить хостинг-провайдера. Хотя компании то и дело тестируют своих сотрудников на уязвимость к фишингу, ложное обещание выплатить премию в разгар пандемии, когда миллионы людей рискуют остаться без крова и еды, выглядит особенно жестоким. Тем более, что за время карантина GoDaddy уволила и переназначила на другие должности сотни работников, хотя этот год оказался для компании действительно рекордным по количеству новых клиентов.

После публикации статьи в Copper Courier, GoDaddy сообщила, что извинилась перед сотрудниками. «GoDaddy очень серьезно относится к безопасности своей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и сочли ее бестактной, за что мы приносим свои извинения. Хотя тест имитировал предпринимаемые в настоящее время реальные попытки фишинга, нам нужно больше стараться и быть внимательнее к своим сотрудникам», – сообщили в компании.
​​📌Специалисты IBM X-Force обнаружили вредоносную кампанию, нацеленную на организации, связанные с хранением и транспортировкой вакцин против COVID-19.

Эксперты не смогли связать кампанию с какой-то конкретной киберпреступной группировкой, но выявили отличительные признаки, характерные для хакеров, финансируемых правительствами.

В ходе атак злоумышленники рассылают своим жертвам фишинговые письма с целью похищения их учетных данных для авторизации в электронной почте и других приложениях. Киберпреступники атаковали широкий круг компаний, секторов и государственных организаций, в том числе Генеральный директорат Европейской комиссии по налогообложению и Таможенному союзу, осуществляющий надзор за перемещением товаров через границы, в том числе медицинского назначения.

Злоумышленники также атаковали производителя солнечных панелей для транспортных холодильников, в которых перевозятся вакцины, и нефтехимическую компанию, производящую сухой лед, используемый для транспортировки вакцин.

Еще одна жертва группировки – IT-компания в Германии, создающая сайты для производителей фармацевтической продукции, перевозчиков, биотехнологических компаний и производителей электрических компонентов для морской, наземной и воздушной навигации и связи.

Злоумышленники атакуют избранных руководителей каждой компании. Обычно это лица, работающие в отделах продаж, закупок, IT и финансов, причастных к так называемой холодовой цепи поставок – транспортировке вакцин с соблюдением необходимого температурного режима.

Как правило, киберпреступники отправляют жертве электронное письмо якобы от имени китайской компании Haier Biomedical, являющейся официальным участником программы ООН «Платформа оптимизации оборудования холодовой цепи поставок» (Cold Chain Equipment Optimization Platform, CCEOP). Фишинговые письма замаскированы под связанные с CCEOP запросы коммерческого предложения.

В письма вложены вредоносные HTML-файлы, которые пользователь должен загрузить и открыть локально на своем компьютере. После открытия файл запрашивает у жертвы учетные данные, якобы для того, чтобы она могла просмотреть его содержимое. Такой подход освобождает злоумышленников от необходимости создавать фишинговые online-страницы, которые могут быть обнаружены исследователями безопасности или правоохранительными органами.

Жертвами киберпреступников стали организации не только в Германии, но также в Италии, Чехии и других странах Европы, Южной Корее и на Тайване.
​​📌Немецкая компания-оператор круизных судов AIDA Cruises столкнулась с таинственными «IT-ограничениями», из-за которых на прошлых выходных ей пришлось отменить новогодний круиз.

AIDA Cruises является дочерней компанией многонационального круизного гиганта Carnival Corporation и обслуживает преимущественно немецкоязычных клиентов. Согласно электронным письмам, разосланным компанией пассажирам судна AIDAperla, их круиз был отменен из-за «IT-ограничений», затронувших телефонные системы и электронную почту AIDA Cruises.

«Безусловно, полная стоимость путешествия будет возмещена. Вдобавок вы получите ваучер на будущее путешествие в размере круизной части отмененного путешествия. Как только появится техническая возможность, мы свяжемся с вами», - говорится в письме.

По данным немецкого издания NDR, пассажиры судов AIDA Cruises также жаловались на проблемы с IT-системами на борту. В настоящее время прокуратура выясняет, стала ли компания жертвой кибератаки.

Еще одна дочерняя компания Carnival Corporation, Costa Crociere, в то же самое время столкнулась со сбоем своих IT-систем. Клиенты оператора не могли воспользоваться его системой online-резервирования.

Стали ли обе компании жертвами вымогательского ПО, пока неизвестно.
​​📌Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило инструмент на основе PowerShell, который поможет ИБ-специалистам обнаруживать необычную и потенциально вредоносную активность в приложениях и учетных записях в средах Azure и Microsoft 365.

Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.

Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».

Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.

Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.
​​📌В среду, 30 декабря, президент РФ Владимир Путин подписал ряд законов, касающихся борьбы с цензурой со стороны зарубежных интернет-платформ, распространением клеветы в интернете, порядке признания интернет-ресурсов социальными сетями и борьбы с «серыми» SIM-картами.

Согласно закону , направленному на борьбу с цензурой со стороны зарубежных интернет-платформ по отношению к материалам российских СМИ, Роскомнадзор получит возможность частично или полностью блокировать интернет-ресурсы, ограничивающие значимую информацию на территории РФ по признакам национальности, языка, происхождения, имущественного и должностного положения, профессии, места жительства и работы, отношения к религии и/или в связи с введением иностранными государствами политических или экономических санкций в отношении России или россиян.

Блокировку будет инициировать Генпрокуратура по согласованию с МИД. Ресурсы, нарушающие новый закон, попадут в специальный список нарушителей прав и свобод граждан РФ.

Также президент РФ подписал закон о лишении свободы за клевету в интернете. Закон предусматривает уголовное наказание в виде лишения свободы на срок до двух лет, а также расширяет виды наказаний, предусмотренных всеми частями статьи 128.1 УК РФ за публичную клевету.

Еще один подписанный закон обязывает операторов связи идентифицировать пользователей корпоративных мобильных сетей для борьбы с «серыми» SIM-картами, с которых могут совершаться анонимные звонки. Контролировать соблюдение операторами этой обязанности Роскомнадзор должен с помощью специальной информационной сети мониторинга.

Кроме того, был подписан закон о порядке признания интернет-ресурсов социальными сетями и об обязанности владельцев соцсетей блокировать запрещенную в России информацию. Документ впервые вводит в российское законодательство понятие «социальная сеть».

Закон обязывает владельца социальной сети модерировать и блокировать запрещенную информацию, целью которой является опорочить гражданина или отдельные категории граждан по признакам пола, возраста, расовой или национальной принадлежности, языка, отношения к религии, профессии, места жительства и работы, а также в связи с их политическими убеждениями.

Примечательно, что закон не предусматривает каких-либо санкций или репрессий за неисполнение требования о блокировке.
​​📌Кибератака «российских хакеров» на ресурсы правительства США, о которой впервые сообщили в середине декабря, затронула по меньшей мере 250 федеральных агентов и предприятий, сообщает NYT со ссылкой на источники в американской разведке.

По информации издания, недавняя серия взломов оказалась более масштабной, чем предполагали.

По последним оценкам эта серия взломов длилась с октября 2019 года, а её цели американцам до сих пор не понятны. Опрошенные изданием эксперты предположили, что Москва таким образом хочет продемонстрировать имеющиеся у неё возможности и поколебать уверенность Вашингтона в безопасности коммуникаций, которые используют его федеральные ведомства.

Источники NYT отметили, что киберкомандование и Агентство национальной безопасности внедрили в иностранные сети датчики «раннего предупреждения» для обнаружения назревающих атак, но они, очевидно, вышли из строя.

Атакам хакеров через программное обеспечение фирмы SolarWinds подверглись Пентагон, Минфин, Госдепартамент США, а также министерства внутренней безопасности, торговли, энергетики и Национальное агентство по ядерной безопасности.
​​📌Компания Microsoft обвинила российских хакеров в завладении исходным кодом своих программ. Об этом американская компания сообщила в своем блоге в четверг, 31 декабря.
Компания входит в число клиентов фирмы SolarWinds, системы которой в конце 2020 года взломали хакеры. 17 декабря представители Microsoft признали , что в ее экосистеме был выявлен вредоносный код SolarWinds, который после изолировали и удалили.

31 декабря в Microsoft уточнили, что в ходе продолжающегося расследования была обнаружена необычная активность, связанная с небольшим числом внутренних аккаунтов. Эксперты компании сообщили, что один аккаунт использовался для просмотра программного кода в ряде репозиториев.

«Данный аккаунт не имел разрешения на изменение какого-либо кода или технических систем, в ходе расследования мы выяснили, что изменений не было», - пояснили в Microsoft. Кроме того, нет свидетельств о неправомерном доступе к персональным данным клиентов.
​​📌ИБ-специалисты из ИБ-фирм Profero и Security Joes в ходе расследования серии инцидентов с программами-вымогателями обнаружили вредоносное ПО, которое указывает на китайскую APT-группировку.

Эксперты обнаружили связь между вымогательским ПО BitLocker и группировкой APT27 (также известной как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger и LuckyMouse), обычно участвующей в кампаниях по кибершпионажу. В 2020 году группировка атаковала как минимум пять компаний в сфере online-казино по всему миру и успешно зашифровала несколько основных серверов.

Специалисты из Profero и Security Joes провели расследование данных инцидентов и обнаружили, что хакеры достигли своих целей через стороннего поставщика услуг, зараженного через другого стороннего поставщика. Анализ атак выявил образцы вредоносного ПО Clambling, связанного с DRBControl, — кампанией, организованной китайскими киберпреступными группировками APT27 и Winnti. Если APT27 ориентирована на кибершпионаж, то Winnti известна своей финансовой мотивацией.

В ходе последних атак также использовалась web-оболочка ASPXSpy, модифицированная версия которой ранее использовалась в атаках APT27. Другое вредоносное ПО, обнаруженное на зараженных компьютерах, представляет собой троян для удаленного доступа PlugX, который регулярно упоминается в отчетах ИБ-исследователей о вредоносных кампаниях, связанных с Китаем.

Атаки против пяти компаний в секторе азартных игр не были особенно изощренными и основывались на известных методах уклонения от обнаружения и перемещения по сети жертв. Злоумышленники развернули вредоносное ПО PlugX и Clambling в системной памяти, используя старый исполняемый файл Google Updater, уязвимый к «боковой загрузке DLL» (DLL side-loading).

Кроме того, злоумышленники воспользовались уязвимостью 2017 года (CVE-2017-0213) для повышения привилегий на системе.
​​📌В результате взлома компании SolarWinds произошла утечка засекреченных судебных документов США, что может оказать огромное влияние на санкции, вводимые США в отношении так называемых «государственных» хакеров.

Атака на производителя ПО SolarWinds повлияла не только на компании FireEye и Microsoft , но и на федеральную судебную систему США. Помимо ущерба репутации инцидент также мог привести к утечке засекреченных документов, связанных с уголовными делами против финансируемых иностранными государствами хакеров. В частности, в документах содержится информация о предстоящих уголовных обвинениях против российских киберпреступников, проливающая свет на то, каким образом были установлены личности обвиняемых.

Согласно заявлению Администрации судов США (US Courts Administrative Office), в результате взлома SolarWinds появился «риск компрометации хранящихся в CM/ECF высокочувствительных непубличных документов, в частности засекреченных». «Явная компрометация конфиденциальности системы CM/ECF из-за этих обнаруженных уязвимостей в настоящее время расследуется», - говорится в сообщении Администрации судов США.

Система Case Management/Electronic Case Files (CM/ECF) - федеральная судебная система, позволяющая подавать в суд документы, такие как иски, ходатайства и петиции, в режиме online. CM/ECF чаще всего используют адвокаты, участники программы United States Trustee Program и управляющими имуществом банкрота.

Компрометация CM/ECF может иметь серьезные последствия, так как федеральные прокуроры и службы безопасности США, преследующие финансируемых государствами хакеров, выстраивают свои дела вне поля зрения общественности под прикрытием судебных засекреченных документов. В обычных уголовных делах это позволяет гарантировать, что преступники не будут заранее предупреждены о намечающемся аресте или обыске.
​​📌Представители международной компании Mimecast, специализирующейся на облачном управлении электронной почтой для Microsoft Exchange и Microsoft Office 365, сообщили , что киберпреступники скомпрометировали цифровой сертификат, предоставляемый клиентам для безопасного подключения учетных записей Microsoft 365 Exchange к сервисам Mimecast.

Взлом был обнаружен лишь после того, как специалисты Microsoft уведомили компанию об инциденте. Компания не уточнила, какой из семи типов сертификата был скомпрометирован, основанных на географическом расположении.

Сертификат используется для проверки и аутентификации продуктов Mimecast Sync and Recover, Continuity Monitor и Internal Email Protect (IEP) для web-служб Microsoft 365 Exchange. Последствие такой компрометации может привести к MitM-атаке, в ходе которой злоумышленник потенциально способен перехватить контроль над соединением и почтовым трафиком или даже украсть конфиденциальную информацию.

В качестве меры предосторожности для предотвращения возможных злоупотреблений пользователям рекомендуется немедленно удалить существующее соединение в своем клиенте Microsoft 365 и повторно установить новое соединение, используя новый предоставленный сертификат.

Расследование инцидента продолжается, и компания отмечает, что при необходимости будет тесно сотрудничать с Microsoft и правоохранительными органами.

Кроме того, по данным источников информагентства Reuters, взломавшие Mimecast хакеры являются той же группировкой, которая взломала системы американского производителя программного обеспечения SolarWinds и ряд государственных ведомств США.
​​📌Следственный отдел СК России по городу Красногорску в Подмосковье требовал от местной полиции «обеспечить явку» 43 386 посетителей YouTube, которые посмотрели трансляцию отставного полковника Михаила Шендакова. Его обвиняют по делу об экстремизме, поскольку во время стрима он призывал зрителей нападать на сотрудников ФСБ.

Согласно документам, которые оказались в распоряжении журналистов, старший следователь Преображенская Л. О. направила просьбу начальнику УМВД по Красногорску «обеспечить явку» в следственный отдел зрителей ролика Шендакова. В запросе указано, что ролик посмотрело более 43 тысяч посетителей YouTube.


В ответе на письмо Преображенской начальник местного отдела уголовного розыска Н. А. Крутицкий заявил, что провел все необходимые оперативно-розыскные мероприятия. Но установить, где находятся 43 тысячи зрителей оперативникам не удалось, поэтому поручение не выполнено.

Уголовное дело против Михаила Шендакова завели в феврале 2020 года по статье о возбуждении ненависти либо вражды (ч. 1 ст. 282 УК) и назначили подписку о невыезде. В октябре суд изменил меру пресечения на заключение под стражу из-за того, что Шендаков два раза не явился на судебные заседания.
​​📌Сотрудники следственного отдела полиции УМВД России по городу Тамбову завершили расследование уголовного дела по хищению денег из банкоматов в Тамбове.

В августе 2020 года преступная группировка, приехавшая из Московского региона, с помощью специальных манипуляций и банковских карточек жителей Тамбова похищала денежные средства из банкоматов.

Преступникам удалось совершить 59 преступлений, в ходе которых они якобы зачисляли средства на карту, обманывая технику. У банкомата происходил сбой в работе системы и он выдавал сообщение, что средства якобы не удалось зачислить, а затем устройство возвращало деньги в виде реальной наличности купюрой в 5 тыс. рублей.

Сотрудники правоохранительных органов задержали двух злоумышленников. Общая сумма ущерба банку составила около 300 тыс. рублей, похищенные средства воры успели потратить на свои нужды. Проверяется причастность задержанных лиц к аналогичным фактам в других регионах.
​​📌Компания Microsoft предупредила системных администраторов о том, что принудительная установка обновлений безопасности, исправляющих уязвимость в Windows под названием Zerologon, начнется в уже следующем месяце.

Zerologon представляет собой критическую уязвимость ( CVE-2020-1472 ), получившую максимальные 10 баллов по шкале оценивания опасности уязвимостей CVSS. С ее помощью злоумышленники могут повысить привилегии до администратора домена и захватить контроль над доменом.

Исправление для уязвимости было выпущено в рамках августовского «вторника исправлений». Патч активирует безопасное соединение с использованием удаленного вызова процедур (Remote Procedure Call, RPC). Кроме того, он регистрирует все несовместимые устройства в среде, чтобы системные администраторы смогли заменить их до начала принудительного применения.

С выходом очередных плановых обновлений в феврале 2021 года Microsoft начнет автоматически включать безопасное соединение с использованием RPC для всех устройств в сети и больше не будет регистрировать несовместимые устройства.

Компания также представила план обновлений, предусматривающий выполнение следующих процедур:

Обновление контроллеров домена с помощью обновлений, выпущенных 11 августа 2020 года;

Выявление устройств, устанавливающих уязвимое соединение, путем мониторинга журнала событий;

Выполнение адресации несовместимых устройств, устанавливающих уязвимые соединения;

Включение режима принудительного исправления уязвимости Zerologon.
​​📌Компания Microsoft выпустила очередную версию своей утилиты Sysmon 13 , получившую новую функцию безопасности, которая выявляет вмешательства в процессы Windows с использованием методов process hollowing и process herpaderping.

Для обхода обнаружения решениями безопасности киберпреступники часто внедряют свой вредоносный код в легитимные процессы Windows. Благодаря этому вредоносное ПО сможет выполняться, но при этом в менеджере задач будут отображаться только легитимные процессы Windows, работающие в фоновом режиме.

Для вмешательства в процессы Windows вредоносное ПО использует методы process hollowing и process herpaderping. Техника process hollowing заключается в следующем: вредоносное ПО запускает легитимный процесс в приостановленном состоянии и подменяет легитимный код в процессе вредоносным. Вредонос затем выполняется процессом с теми привилегиями, которые есть у данного процесса.

Техника process herpaderping несколько сложнее по сравнению с process hollowing. Вредоносное ПО модифицирует свой образ на диске, чтобы выдать себя за легитимную программу. Когда антивирусное решение просканирует этот файл на диске, оно не обнаружит ничего опасного, но при этом в памяти будет запускаться вредоносное ПО.

Многие вредоносные программы используют техники вмешательства в процесс для обхода обнаружения решениями безопасности. К таковым в частности относятся вымогательское ПО Mailto/defray777, TrickBot и BazarBackdoor.

Sysmon (System Monitor) представляет собой инструмент Sysinternals для мониторинга систем на предмет вредоносной активности и записи ее в журнал событий Windows. В новой версии утилиты появилась функция обнаружения вмешательств в процессы Windows.
Похожие каналы:

 
Telegram – наиболее востребованный, удобный, безопасный и многофункциональный мессенджер.
В нашем каталоге представлены самые актуальные каналы Telegram
 
Администрация сайта не несёт ответственности за содержание тех или иных ресурсов и в случае необходимости оставляет за собой право удаления каналов из каталога.