Мать всех утечек: 26 миллиардов записей со всех уголков сети оказались в открытом доступе

Специалисты Cybernews во главе с исследователем кибербезопасности Бобом Дьяченко выявили огромную утечку данных, названную «Матерью всех утечек» (Mother of all Breaches, MOAB) и состоящую из 12 ТБ информации и более 26 млрд. записей. Это рекордный объём, охватывающий данные из тысяч предыдущих утечек, переиндексированных и тщательно собранных. Опасность утечки заключается не только в её масштабах, но и в содержании. Информация включает данные из множества частных баз, что делает невозможным идентификацию владельца данных. Утечка содержит не только стандартные учетные данные, но и крайне чувствительную информацию, делая её особенно ценной для злоумышленников. Среди данных находится огромное количество записей из предыдущих утечек. Например, самый большой объём записей, 1,4 миллиарда, пользователей китайского мессенджера Tencent QQ. Также в утечке присутствуют сотни миллионов записей от таких компаний, как Weibo, MySpace, X*, Deezer, LinkedIn, AdultFriendFinder, Adobe, Canva, VK, Daily Motion, Dropbox, Telegram и других. Кроме того, утечка затронула записи различных госорганизаций США, Бразилии, Германии, Филиппин, Турции и т.д. Исследователи подчеркивают, что последствия для пользователей могут быть беспрецедентными. Многие люди используют одни и те же пароли для разных аккаунтов, что может привести к масштабным атакам на учетные записи. Помимо этого, пользователи, чьи данные попали в MOAB, могут стать жертвами целевых фишинговых атак или спама. Компания DarkBeam, специализирующаяся на защите от цифровых рисков, в прошлом году допустила массивную утечку данных, оставив свои интерфейсы Elasticsearch и Kibana без защиты. В результате были раскрыты 3,8 миллиарда записей с электронными адресами и паролями пользователей из ранее общедоступных и даже неизвестных нарушений безопасности. Для сравнения, эта утечка составляет 14,6% от объема данных MOAB, что свидетельствует о рекордных масштабах текущей утечки.

Источник: https://www.securitylab.ru/news/545441.php

Адаптивный фишинг отключает бдительность жертв: какие приёмы используют злоумышленники

В мире кибербезопасности набирает обороты новая угроза — адаптивные фишинговые кампании. Этот метод представляет собой эволюцию традиционного фишинга: злоумышленники применяют персонализированный подход для преодоления защиты, используя информацию о жертвах, собранную из социальных сетей, публичных сайтов и прошлых утечек данных. Основой таких кампаний является социальная инженерия, направленная на психологическое манипулирование жертвами. Преступники используют личные данные, такие как имена, должности или детали компаний, для создания поддельных сообщений, кажущихся достоверными. Адаптивный фишинг возможен через электронную почту, текстовые сообщения, социальные сети и даже телефонные звонки. Часто для повышения эффективности мошенники используют конкретные события, знакомые жертве, или даже чрезвычайные ситуации. В качестве примера можно привести вредоносную кампанию « My Slice », ориентированную на итальянские организации. Злоумышленники отправляли электронные письма от имени службы поддержки, предупреждая о превышении лимита памяти почтового аккаунта. Для решения проблемы предлагалось проверить статус аккаунта через специальную страницу поддержки. Фишинговая страница была максимально точно скопирована с официального сайта настоящей службы поддержки и персонализирована конкретно под жертву с использованием логотипа и названия целевой организации. После ввода данных жертвы на этой поддельной странице, информация пересылалась на сервер злоумышленников, а сама жертва перенаправлялась на домашнюю страницу своей организации, что окончательно усыпляло её бдительность. Для защиты от адаптивного фишинга необходимо следовать передовым практикам кибербезопасности. Организации и частные лица должны осведомляться о тактиках адаптивного фишинга и проводить обучение для распознавания и избегания онлайн-мошенничества. Использование передовых решений безопасности, таких как антифишинговые фильтры и системы обнаружения угроз на основе ИИ, также может помочь снизить риск стать жертвой этих сложных кампаний. В заключение стоит отметить, что феномен адаптивных фишинговых кампаний подчёркивает необходимость активного подхода к кибербезопасности. Только осведомлённость, обучение и применение передовых мер обороны позволят эффективно защитить личные и корпоративные данные от этой растущей цифровой угрозы.

Источник: https://www.securitylab.ru/news/545461.php

CVE-2023-22527: критическая уязвимость активно используется в атаках на тысячи серверов Atlassian

Сервис Shadowserver фиксирует попытки эксплуатации критической уязвимости CVE-2023-22527, которая позволяет удалённо выполнять код на устаревших версиях серверов Atlassian Confluence. Компания Atlassian сообщила о проблеме на прошлой неделе и отметила, что она затрагивает только версии Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, которые больше не поддерживаются. Уязвимость CVE-2023-22527 (оценка CVSS: 10.0) описывается как ошибка внедрения шаблонов, которая позволяет неавторизованному удалённому злоумышленнику выполнять код (Remote Code Execution, RCE) на уязвимых серверах Confluence Data Center и Confluence Server версий 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0 – 8.5.3. Исправление ошибки доступно для Confluence Data Center 8.6.0 и Server версий 8.5.4 (LTS) и более поздних версий. Служба мониторинга угроз Shadowserver с 19 января зафиксировала более 39 000 попыток эксплуатации CVE-2023-22527, атаки исходили от более чем 600 уникальных IP-адресов. По данным The DFIR Report, атакующие проверяют обратные вызовы, выполняя команду «whoami», чтобы собрать информацию об уровне доступа и привилегиях на системе. Сервис Shadowserver фиксирует попытки эксплуатации критической уязвимости CVE-2023-22527, которая позволяет удалённо выполнять код на устаревших версиях серверов Atlassian Confluence. Компания Atlassian сообщила о проблеме на прошлой неделе и отметила, что она затрагивает только версии Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, которые больше не поддерживаются. Уязвимость CVE-2023-22527 (оценка CVSS: 10.0) описывается как ошибка внедрения шаблонов, которая позволяет неавторизованному удалённому злоумышленнику выполнять код (Remote Code Execution, RCE) на уязвимых серверах Confluence Data Center и Confluence Server версий 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0 – 8.5.3. Исправление ошибки доступно для Confluence Data Center 8.6.0 и Server версий 8.5.4 (LTS) и более поздних версий. Служба мониторинга угроз Shadowserver с 19 января зафиксировала более 39 000 попыток эксплуатации CVE-2023-22527, атаки исходили от более чем 600 уникальных IP-адресов. По данным The DFIR Report, атакующие проверяют обратные вызовы, выполняя команду «whoami», чтобы собрать информацию об уровне доступа и привилегиях на системе.
В настоящее время более 11 200 серверов Atlassian Confluence доступны через интернет. Однако необязательно, что все они работают на уязвимой версии. Atlassian ранее заявила, что не может предоставить конкретных индикаторов компрометации (Indicators of Compromise, IoC), которые помогли бы в обнаружении случаев эксплуатации. Администраторы серверов Confluence должны убедиться, что серверы, которыми они управляют, были обновлены хотя бы до версии, выпущенной после 5 декабря 2023 года. Организации с устаревшими серверами Confluence могут считать их потенциально скомпрометированными, поэтому нужно искать признаки эксплуатации, проводить тщательную очистку и обновляться до безопасной версии.

Источник: https://www.securitylab.ru/news/545458.php

MavenGate: новый метод компрометации цепочки поставок ПО

В ряде популярных библиотек, используемых в приложениях Java и Android, обнаружена уязвимость, которая делает их подверженными новому методу атаки на цепочку поставок ПО под названием MavenGate. Об этом сообщила компания по безопасности мобильных приложений Oversecured. Анализ Oversecured указывает на риск компрометации проектов через покупку доменных имен. Поскольку большинство конфигураций сборки по умолчанию уязвимы, определить факт атаки может быть сложно или даже невозможно. Успешное использование недостатков может позволить злоумышленнику перехватывать артефакты в зависимостях и внедрять вредоносный код в приложение. Что еще хуже, атакующий может скомпрометировать процесс сборки через вредоносный плагин. Oversecured сообщила, что все технологии на основе Maven, включая Gradle, подвержены атаке. Компания отправила отчеты более чем 200 компаниям, в том числе Google, Facebook*, Signal, и Amazon. Киберпреступник может нацелиться на публичные репозитории, чтобы провести атаки с целью «отравления» цепочки поставок, используя заброшенные библиотеки, добавленные в известные репозитории. Это достигается путем покупки просроченного обратного домена (Reverse Domain), контролируемого владельцем зависимости, и получения доступа к groupId (идентификатор разработчика объекта). Если groupId уже зарегистрирован в репозитории, злоумышленник может попытаться получить доступ к нему, обратившись в службу поддержки репозитория. Компания Oversecured для проверки сценария атаки загрузила свою тестовую Android-библиотеку в Maven Central и JitPack. Атака происходит путем добавления Maven Central и JitPack в список репозиториев зависимостей в сценарии сборки Gradle. Порядок объявления определяет, как Gradle будет проверять зависимости во время выполнения. Исследователи обнаружили, что хакер может нацелиться на существующие версии библиотеки, публикуя более новую версию, или на новые версии, выпуская версию ниже, чем у ее легитимного аналога. Из 33 938 проанализированных доменов 6 170 (18,18%) оказались уязвимы к MavenGate, что позволяет злоумышленнику перехватывать зависимости и внедрять свой код. Компания Sonatype, владелец Maven Central, заявила, что описанная стратегия атаки «невозможна из-за существующей автоматизации». Тем не менее, компания отключила все учетные записи, связанные с просроченными доменами и проектами GitHub, в качестве меры безопасности. Oversecured подчеркивает, что разработчики должны нести ответственность не только за прямые зависимости, но и за транзитивные. Создатели библиотек должны отвечать за объявленные ими зависимости и публиковать хэши открытых ключей для своих зависимостей.

Источник: https://www.securitylab.ru/news/545442.php

ScarCruft: группа хакеров, которая атакует не только ваши данные, но и ваших защитников

В декабре 2023 года медиа организации и известные эксперты по вопросам КНДР стали целью новой северокорейской вредоносной кампании, организованной хакерской группой ScarCruft. Исследователи SentinelOne сообщили , что группа экспериментирует с новыми способами заражения, используя в качестве ловушки отчёты о технических угрозах. Из этого можно сделать вывод, что хакеры нацелились на специалистов в области кибербезопасности, регулярно изучающих разведданные. Указывается, что ScarCruft, известная также под кодовыми названиями APT37, InkySquid, RedEyes, Ricochet Chollima и Ruby Sleet, предположительно связана с Министерством государственной безопасности Северной Кореи. Это отличает её от групп Lazarus и Kimsuky, которые, как считается, являются частью Главного разведывательного управления КНДР. Основной целью ScarCruft, по информации исследователей, является сбор разведданных, в том числе через фишинговые атаки, для удовлетворения стратегических интересов КНДР. Недавно северокорейские государственные СМИ сообщили о тестировании «подводной ядерной системы вооружений» в ответ на учения США, Южной Кореи и Японии вблизи Корейского полуострова. Свежая кибератака ScarCruft, зафиксированная экспертами SentinelOne, была нацелена на иностранного эксперта по КНДР, которому по почте был отправлен ZIP-архив, якобы содержащий презентационные материалы. Семь файлов из девяти в этом архиве оказались безвредными, а вот оставшиеся два были вредоносными ярлыками Windows (LNK), используемыми для распространения вредоносного программного обеспечения RokRAT. Похожий многоэтапный процесс заражения таким же вредоносом уже был описан компанией Check Point в мае 2023 года. Тем не менее, ScarCruft регулярно меняет свои методы в попытке обойти обнаружение после публичных раскрытий тактик группировки. По словам исследователей, ScarCruft стремится к сбору стратегических разведданных и, возможно, намерена получить представление о непубличной кибербезопасности и стратегиях обороны других стран.

Источник: https://www.securitylab.ru/news/545440.php