Новини, свързани със сигурността (ВАЖНА)

[цър-вул]

https://thehackernews.com/2023/02/critical-rce-vulnerability-discovered.html?_m=3n.009a.2970.ai0ao0ctey.1y08

[B-boy/StyLe/]

преди 10 часа, нушо написа:

https://www.bleepingcomputer.com/news/security/new-whiskerspy-malware-delivered-via-trojanized-codec-installer/

То още навремето се знаеше, че кодеци не се инсталират ей така. Тогава бяха дегизирани като флаш плъгини.

преди 7 минути, цър-вул написа:

https://thehackernews.com/2023/02/critical-rce-vulnerability-discovered.html?_m=3n.009a.2970.ai0ao0ctey.1y08

Да, четох го това, но то кой ли ползва ClamAV и без това. Може би някои проекти като CatchPulse и подобни, но масово тази АВ не се ползва много.

 

Иначе на мен ми хванаха окото следните новини преди няколко дни, но ме домързя да ги публикувам:

Researchers unearth Windows backdoor that’s unusually stealthy

https://arstechnica.com/information-technology/2023/02/new-backdoor-targeting-windows-servers-is-ultra-stealthy/

 

New Mirai malware variant infects Linux devices to build DDoS botnet

[нушо]

Появява се нов зловреден софтуер Stealc с широк набор от възможности за кражба

[нушо]

Microsoft настоява администраторите на Exchange да премахнат някои антивирусни изключения

[нушо]

Ботнетът Mylobod

[нушо]

Зловреден софтуер PureCrypter удря държавните организации с рансъмуер, крадци на информация

[Gangosa]

Да обобщим седмицата----------------> https://www.helpnetsecurity.com/2023/03/05/week-in-review-lastpass-breach-gcp-data-exfiltration-uefi-bootkit/

[B-boy/StyLe/]

Няколко нови статии свързани с измами. Вече вкараха и изкуствения интелект при измамите. Другите не са новост, но просто да бъдете нащрек за ФИШИНГ, защото явно още работи...

https://glasnews.bg/krimi/vnimavaite-izmamnitsi-kradat-bankovi-danni-hitra-shema-504613/

https://glasnews.bg/krimi/nagla-izmama-mnimo-pismo-sdvr-kak-da-se-predpazim-502810/

https://it.dir.bg/tehnologii/telefonni-izmamnitsi-izpolzvat-izkustven-intelekt-za-da-imitirat-blizki

https://www.kaldata.com/it-новини/измамници-използват-изкуствен-интел-411139.html

https://www.vesti.bg/tehnologii/izkustveniiat-intelekt-veche-e-i-v-telefonnite-izmami-6162927

[B-boy/StyLe/]

SYS01stealer: New Threat Using Facebook Ads to Target Critical Infrastructure Firms

Нова заплаха използва рекламните банери във Facebook за да атакува критичната инфраструктура на фирми.

Ето я и така наречената "attack chain" (верижната реакция от нападението):

https://thehackernews.com/2023/03/sys01stealer-new-threat-using-facebook.html

Цитат

The stealer is engineered to harvest Facebook cookies from Chromium-based web browsers (e.g., Google Chrome, Microsoft Edge, Brave, Opera, and Vivaldi), exfiltrate the victim's Facebook information to a remote server, and download and run arbitrary files.

"DLL side-loading is a highly effective technique for tricking Windows systems into loading malicious code," Morphisec said.

"When an application loads in memory and search order is not enforced, the application loads the malicious file instead of the legitimate one, allowing threat actors to hijack legitimate, trusted, and even signed applications to load and execute malicious payloads."

Ето и какво представлява самата DLL side-loading атака:

https://attack.mitre.org/techniques/T1574/002/

 

 

Old Windows ‘Mock Folders’ UAC bypass used to drop malware

Стара уязвимост за Windows заобикаляща UAC (User Account Control) използвана за да доставя зловреден софтуер:

https://www.bleepingcomputer.com/news/security/old-windows-mock-folders-uac-bypass-used-to-drop-malware/

Ето затова е важно ако се ползва и разчита на UAC винаги да се задава максималното ниво на сигурност "Always Notify"!!!

[iptables]

UEFI Malware bypassing Secure Boot -> Windows

В допълнение на горепосоченото :

Възможно решение / предпазване ( това е просто чисто теоретично, и базиращо се на мой личен опит ПРЕДПОЛОЖЕНИЕ. Тъй като аз лично го правя ).

1. Активиране на Custom Mode за Secure Boot ( ако имате такава функция / опция ).

2. Ръчно манипулиране на ключовете описани в Secure Boot*

* -> За съжаление, не препоръчвам това да се прави от неопитен потребител, тъй като възможността да объркате даден ключ ( да го премахнете от раздел "позволени" ) е меко казано огромна.

Забележка :

Ровичкането "на сляпо" е силно не препоръчително... !

Забележка 2 :

Теория -> Тъй като според статията, Лотус-ът засяга Windows 10 и 11 ( включително ъпдейтнат UEFI интерфейс ), това навежда на мисълта, че се "зарежда" в bootloader-а на Windows.   ( Възможно е да греша, както вече уточних - това е просто теория. )

Редактирано 10 март от nikssi (преглед на промените)

[Proshark]

Pwn2Own Vancouver 2023

Цитат

That’s a wrap for Pwn2Own Vancouver! Contestants disclosed 27 unique zero-days and won a combined $1,035,000 (and a car)! Congratulations to the Masters of Pwn, Synacktiv (@Synacktiv), for their huge success and hard work! They earned 53 points, $530,000, and a Tesla Model 3.

Team Synacktiv: Eloi Benoist-Vanderbeken, David Berard, Vincent Dehors, Tanguy Dubroca, Thomas Bouzerar, and Thomas Imbert. They also receive a $25,000 bonus and Platinum status in 2024. SUCCESS / COLLISION - Thomas Imbert (@masthoon) and Thomas Bouzerar (@MajorTomSec) from Synacktiv (@Synacktiv) demonstrated a 3-bug chain against Oracle VirtualBox with a Host EoP. One bug was previously known. They still earn $80,000 and 8 Master of Pwn points.

SUCCESS - @hoangnx99, @rskvp93, and @_q5ca from Team Viettel (@vcslab) used a 2-bug chain in their attempt against Microsoft Teams. They earn $75,000 and 8 Master of Pwn points.

SUCCESS - David Berard (@_p0ly_) and Vincent Dehors (@vdehors) from Synacktiv (@Synacktiv) used a heap overflow and an OOB write to exploit Tesla - Infotainment Unconfined Root. They qualify for a Tier 2 award, earning $250,000 and 25 Master of Pwn points.               SUCCESS - dungdm (@_piers2) of Team Viettel (@vcslab) used an uninitialized variable and a UAF bug to exploit Oracle VirtualBox. They earn $40,000 and 4 Master of Pwn points.                                                                                                                                                                SUCCESS - Tanguy Dubroca (@SidewayRE) from Synacktiv (@Synacktiv) used an incorrect pointer scaling leading to privilege escalation on Ubuntu Desktop. They earn $30,000 and 3 Master of Pwn points.

 

[nikssi]

Microsoft Defender ошибочно помечает безобидные URL вредоносными (anti-malware.ru)

Цитат

 

Microsoft Defender, «родной» антивирус Windows, ошибочно срабатывает на вполне безобидные ссылки, помечая их вредоносными. За последние 5-10 часов ряд пользователей получил десятки алертов от защитной программы.

Microsoft уже подтвердила в Twitter наличие проблемы и заявила, что специалисты изучают причины ложного срабатывания. «Мы пытаемся разобраться в причинах поведения службы Microsoft Defender, которая помечает вредоносными вполне легитимные URL. Кроме того, некоторые алерты не выводят должным образом контент», — пишет корпорация.

 

 

[attj]

преди 11 минути, nikssi написа:

Microsoft Defender ошибочно помечает безобидные URL вредоносными (anti-malware.ru)

 

Нима няма сложни сработвания при всички!?   Аз пак бързо го заместих с безплатното многомодулно корейско чудо  AhnLab V3 Lite.    То не е за слаби системи -със своите си изисквания.

[цър-вул]

https://thehackernews.com/2023/03/new-wi-fi-protocol-security-flaw.html

[icotonev]

Одитът за сигурност на KeePassXC  препоръчва тези настройки за сигурност...

KeePassXC security audit published, recommends this security setting - gHacks Tech News

 

[Proshark]

Сега..не знам дали е точно за тази тема,но все пак..

Цитат

 

Китай публикува доклад за кибератаките на ЦРУ и цветните революции

Централното разузнавателно управление на САЩ (ЦРУ) е подпомагало хакерски атаки срещу други държави и е участвало в цветни революции чрез интернет технологии по целия свят. Това се казва в доклад, публикуван в четвъртък от китайския Национален център за реагиране на компютърни вируси и базираната в Китай компания за киберсигурност "360".

САЩ са разработили софтуер, който не изисква телефонна, кабелна или сателитна връзка и може лесно да се скрие от всякаква форма на правителствено наблюдение. Използвайки тези мрежови технологии, ЦРУ е "планирало и организирало голям брой цветни революции по света", се посочва в документа. "В продължение на дълъг период от време американското ЦРУ тайно е извършвало "мирна еволюция" и "цветни революции" по целия свят, както и е продължавало да се занимава с шпионаж и кражба на данни", се казва в доклада на уебсайта на агенцията.

 

В документа се отбелязва, че ЦРУ стои зад организирането на цветни революции в Грузия, Киргизстан, Украйна, Близкия изток и Тайван. Според доклада САЩ са се опитали да предизвикат подобни политически катаклизми и в Азербайджан, Беларус, Иран, Ливан и Мианмар.

https://glasove.com/novini/kitay-publikuva-doklad-za-kiberatakite-na-tsru-i-tsvetnite-revolyutsii

Цитат

The first is to provide encrypted network communication services. In order to help protesters in some countries in the Middle-East keep in touch and avoid being tracked and arrested, an American company, which is reportedly with a US military background, has developed TOR technology that can access the internet and is untraceable - the Onion Router technology.

The second method of the CIA is to provide offline communication services. For example, in order to ensure that anti-government personnel in Tunisia, Egypt and other countries can still keep in touch with the outside world, Google and Twitter quickly launched a special service called "Speak2Tweet," which allows users to dial and upload voice for free to leave a message.

These messages are automatically converted into tweets and then uploaded to the internet, and publicly released through Twitter and other platforms to complete the "real-time report" of the incident scene, said the report

The third method is to provide on-site command tools for rallies and parades based on the internet and wireless communications. The report released on Thursday noted that the US RAND Corporation has spent several years developing a non-traditional regime change technology called "swarming," which is used to help a large number of young people connected through the internet join the "one shot for another place" mobile protest movement, greatly Improve the efficiency of on-site command of the event.

The fourth is an American developed software, called "Riot." The software supports 100 percent independent broadband network, provides variable WiFi network, does not rely on any traditional physical access method, does not need telephone, cable or satellite connection, and can easily escape any form of government monitoring.

With the help of the above-mentioned powerful network technology and communication technology, the CIA planned, organized and implemented a large number of "color revolution" events around the world.

The last one is the "anti-censorship" information system. The US State Department developed it and regards the research and development of the system as an important task and has injected more than $30 million into the project.

Moreover, the National Virus Emergency Response Center and 360 company have spotted Trojan horse programs or plug-ins that related to the CIA in recent cyberattacks targeting China. The public security authorities have investigated these cases, the Global Times has learned.

Aside from the five methods CIA has used to incite unrest globally, through further technical analysis, the National Virus Emergency Response Center and 360 company also identified another nine methods used by the CIA as "weapons" for cyberattacks, including attack module delivery, remote control, information collection and stealing, and third-party open- source tools.

https://www.globaltimes.cn/page/202305/1290090.shtml

[цър-вул]

ESET пусна доклад за дейността на APT Group:
https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/

[fresh_bones]

 

 

[shishmanovp861]

на 12.05.2023 г. в 22:10, цър-вул написа:

ESET пусна доклад за дейността на APT Group:
https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/

Ако си го прочел що не обясни за какво става на въпрос?Ей сега ще седнеме да превеждаме.

[fresh_bones]

Лошото до ся беше че разбрах късно за MSI . Някой да знае заместник на програмата. 

[саби]

преди 4 часа, fresh_bones написа:

Лошото до ся беше че разбрах късно за MSI . Някой да знае заместник на програмата. 

Просто тегли програмата от Guru3D. Иначе, аз не знам за такава.

[B-boy/StyLe/]

преди 6 часа, fresh_bones написа:

Лошото до ся беше че разбрах късно за MSI . Някой да знае заместник на програмата. 

Това е стара новина като цяло. Не ти трябват заместници на гореспоменатите програми (не че няма добри алтернативи), но нищо им няма на програмите. Просто ги тегли от официалните страници и няма за какво да се тревожиш (макар да не пречи пак да се сканира инсталатора на VirusTotal).

[fresh_bones]

Ок значи намя проблем от официялния сайт . Да все пак ще я пробвам дали и има нещо.