Отчет, в котором рассматривается, как пять связанных APT групп, систематически нацеливались на сервера Linux, системы Windows, мобильные устройства Android, оставаясь незамеченными в течение почти десятилетия

Большинство крупных организаций используют Linux для запуска веб-сайтов, проксирования трафика и тп. Linux управляет почти всеми ведущими 1 миллионами веб-сайтов, 75% всех веб-серверов, 98% суперкомпьютеров в мире и 75% крупных поставщиков облачных услуг (Netcraft, 2019, Linux Foundation, 2020)

Кратко - Linux, это на сегодня одна из приоритетных целей. Отчет большой но компактный) содержит информацию по Linux, Windows, Android бэкдорам и прочим малварям

https://blogs.blackberry.com/en/2020/04/decade-of-the-rats

Маршрутизаторы (Dasan Zhone, Dlink, ASUS), видео регистраторы, тепловые камеры в Китае, Южной Корее, Таиланде, Бразилии, России, как части ботнета.

Пейлоады компилируются для 12 различных архитектур ЦП, динамически доставляются на конечное оборудование основываясь на конфигурациях оборудования жертвы.

Dark_nexus схож с Qbot banking malware и Mirai, исследователи Bitdefender заявили, что его основные модули "в основном оригинальные" и что он часто обновляется, причем более 30 версий выпущены в период с декабря 2019 по март 2020 года (версии 4.0-8.6).

Используется для проведения DDoS.

Клонирование отпечатков пальцев - миф или реальность?

Похоже реальность. Детальное исследование, с картинками, пластилином и тп:

https://blog.talosintelligence.com/2020/04/fingerprint-research.html?m=1

Авторский опенгайд по AWS:

https://github.com/nickpoida/og-aws/blob/master/translations/ru.md

Source:
https://t.iss.one/sysadm_in/115027

@mykola7799 Спасибо

Злобный hover в PowerPoint. По наведению курсора мыши на соотв. область, согласившись с запуском контента, можно запустить PowerShell скрипт.

Уязвимость использовалась еще в 2017 году, была исправлена, но как оказалось, бэкдорчик остался. В сочетании с cоциальной инженерией, это почти 100% вариант успешной атаки на тырпрайз (и не только)

Как создать злую презентацию. Шаги для воспроизведения:
https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md

В MSRC - Microsoft Security Response Center сказали, что нет смысла латать эту уязвимость, так как ее эксплуатация требует соц. инженерии

Аваст запустил приватный браузер под Андроид, с шифрованием, безлимитным vpn, защитой по пину...

Но после всех предыдущих фейлов по сбору данных, использование этого браузера может быть под вопросом :)

https://www.avast.com/secure-browser#android

Sohpos сообщил о Sandboxie и предоставлении исходного кода приложения паблику.

https://www.sandboxie.com/

Скачать можно согласившись с лицензионным соглашением (никак не *GPL*, как это написано на на которых ресурсах) об авторских правах (там много чего интересного есть), и заполнив форму (имя, страна и тп)

Мой любимый раздел по сбору данных:
...
Данные собираются автоматически

Когда вы используете наш сайт, продукты или услуги, мы можем автоматически собирать определенные данные с ваших компьютеров или устройств (включая мобильные устройства). Данные, которые мы собираем автоматически, могут включать ваш IP-адрес (объясненный далее ниже), тип устройства, сведения об операционной системе, уникальные идентификационные номера устройств (включая идентификаторы мобильной рекламы), тип браузера, язык браузера, операционную систему, географическое местоположение и другая техническая информация. Мы также можем собирать данные о том, как ваше устройство взаимодействовало с нашим сайтом, продуктами или услугами, включая страницы или функции, к которым был осуществлен доступ и по которым были нажаты ссылки, количество времени, затраченного на определенные страницы, наведение курсора мыши, дату и время взаимодействия, журналы ошибок, ссылающиеся и входящие страницы и URL-адреса и аналогичную информацию.
...
Возможно это не касается именно Sandboxie... Но на всякий случай проверяйте сорсы и читайте положение об авторских правах и возможности и целях использования кода.

Как организована удаленка в вашей компании?

Positive Technologies проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры

Опрос анонимный (семь вопросов): https://bit.ly/homeofficesurvey

P.S. Результаты опроса будут опубликованы в конце апреля

https://twitter.com/Bank_Security/status/1247180539599163393

За ссылку спасибо @ldviolet

VMWare vCenter Server или потенциальный слив чувствительной информации.

https://www.vmware.com/security/advisories/VMSA-2020-0006.html

Интернет в аэропортах… Больная тема с точки зрения возможности и безопасности. Возможности потому, что не всегда в той или иной стране есть возможность воспользоваться инетрнетом (особенно в роуминге) и здесь прихоит на помощь wifi аэропорта, безопасности, потому что данные устройств, логинов и тп оседаают в их системах (про фишинг промолчу), не факт что эти системы когда-либо будут взломаны, а данные будут перехвачены или слиты в неизвестном направлении…

Аэропорт Сан-Франциско занимал десятое место по пассажиропотоку в США и 21-е место в мире (нормально так), так вот их сайт подвергся кибератаке, на сайт был внедрен вредоносный код благодаря которому были украдены данные пользователей сайта. Что они сделали - убрали вредоносный код, сбросили пароли у пользователей, зараженные сайты вывели в оффлайн 🙂

Это конечно не wifi. но про подходы к безопасности в целом, это все же дает некоторое представление. Авиауслугами мы пользоуемся в той или иной мере, поэтому будьте аккуратнее друзья в аэропортах и связанных с ними сервисами.

Официальное заявление от представителей аэропорта:
https://sfoconnect.com/about/news/notice-data-breach-march-2020

WordPress + WooCommerce = цель для кражи данных платежных карт.

WooCommerce - бесплатный WordPress плагин с открытым исходным кодом, 5+ миллионами установок, плагин позволяет запускать сайты электронной коммерции (интернет магазины, каталоги и тп)

На сегодня магазины работающие в этой связке являются целью для деплоя скиммеров:

https://blog.sucuri.net/2020/04/analysis-of-a-wordpress-credit-card-swiper.html

Анонс коллекции критических патчей Oracle, которые покрывают 405 уязвимостей безопасности.

Оракул строго рекомендует обновиться, как только возможно:

https://www.oracle.com/security-alerts/cpuapr2020.html

Пользователи заражаются через почту, фишинговые страницы, вредоносные вложения. После установки на целевом устройстве вредоносная программа начинает работать с жестко закодированному (хардкодинг) списку объектов, в основном местных (Испания, Бразилия) банков. После запуска, малварь устанавливает шифрованный коннект с командным сервером…

В чем “яркое” отличие - малварь ставит в браузер (Chrome) дополнение (заменяя легитимное на фиктивное, имя расширения - EditThisCookie), далее создается новый ярлык для запуска браузера с подгрузкой “обновленного” дополнения (малварное дополнение подгружается только по данному ярлыку)…

Суть - хищение банковских данных пользователей. Почему это еще может быть интересным, потому-что “это” может быть в будущем не только в вышеуказанных странах и превентить это уже надо сейчас 🙂

Четко-таргетированная атака на банки Бразилии, Испании:

https://securityintelligence.com/posts/grandoreiro-malware-now-targeting-banks-in-spain/

Сам Adobe не пользуюсь, но уж много security фиксов для него выходит частенько:

https://blogs.adobe.com/psirt/?p=1859

Набор security патчей от MS, включая заплатки от уязвимостей нулевого дня. Список программных продуктов:

- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based)
- ChakraCore
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- Windows Defender
- Visual Studio
- Microsoft Dynamics
- Microsoft Apps for Android
- Microsoft Apps for Mac

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr

GitHub говорит (ссылка ниже), что теперь количество участников для приватных репозиториев может быть безлимитным, поддержка пайплайнов и тп...

НО, это же Microsoft... Есть доля подозрений, что ограничения могут быть введены снова, позже (после covid или спустя пару лет, когда народ подсядеи), такое уже было в o365 (точно в PowerApps. При помощи PA + MS Flows можно автоматизировать процессы, до сентября или октября прошлого года подписчики могли использовать бесплатно PA с SQL конекторами, в конце года внезапно, бесплатность выпилили)

К чему это все. Пробовать и использовать можно и нужно, но нужно быть готовым к быстрым маневрам, ежели что :)

Ссылки на анонс и прайс (в том числе free):

https://github.com/pricing

https://github.blog/2020-04-14-github-is-now-free-for-teams/

Выглядит стильно, молодежно. Интересно, каков ценник?)

https://developer.ibm.com/blogs/inside-the-new-ibm-z15-t02-and-linuxone-iii-lt2/

Уже который раз пользуюсь. Возможно будет полезным. Как подписать PowerShell скрипт самоподписанным сертификатом (CodeSigning)

На случай если ExecutionPolicy не Unrestricted / Undefined

https://sys-adm.in/shell-menu/powershell-menu/882-powershell-kak-sozdat-sertifikat-i-podpisat-skript.html