Госдепартамент США проводит СМС-рассылку за рубежом, в том числе в России, в рамках своей программы по поиску лиц, которые вмешиваются в американские выборы, cообщает РИА Новости.
Ранее на этой неделе США госсекретарь Майк Помпео объявил, что американские власти объявляют награду в 10 миллионов долларов «за идентификацию или обнаружение любого лица, которое, действуя по распоряжению или под контролем иностранных правительств, вмешивается в выборы в США путем определенных преступных действий». Позднее в госдепартаменте уточнили, что речь идет о киберпреступниках. После этого ряд пользователей в России стали выборочно получать СМС с соответствующим содержанием.
«Программа государственного департамента США Rewards for Justice (RFJ) («Награда за правосудие») рекламирует предложение о вознаграждении с помощью СМС-сообщений и различных других коммуникационных инструментов и методов… Это всемирная кампания на нескольких языках», — сказал представитель госдепартамента.
Он отметил, что СМС ведомства отсылают получателей к официальным аккаунтам программы Rewards for Justice в соцсетях, которые доступны на нескольких языках. По его словам, если получатели обеспокоены тем, является ли конкретное СМС настоящим сообщением от программы RFJ, они должны обратиться непосредственно к официальному сайту этой программы.
Ранее, 6 августа, россияне стали рассказывать о получении СМС-сообщения с текстом « Госдеп США предлагает $10 млн за информацию о вмешательстве в выборы США. Если у вас есть информация, обращайтесь». СМС сопровождалась ссылкой на Twitter-аккаунт программы RFJ на русском языке.

Источник: https://www.securitylab.ru/news/510924.php

Компания Canon подверглась кибератаке с использованием вымогательского ПО, которая затронула несколько ее сервисов, в том числе электронную почту, Microsoft Teams, официальный сайт Canon в США и ряд внутренних приложений. 30 июля специалисты портала BleepingComputer зафиксировали сбой в работе принадлежащего Canon сервиса для хранения фото и видео image.canon. В течение шести дней сервис оставался недоступным и возобновил работу только 4 августа. Согласно последнему обновлению статуса, на сайте произошла утечка данных, однако в BleepingComputer заподозрили, что это не просто утечка на сайте, и на самом деле компания Canon подверглась кибератаке. Подозрения подтвердились 5 августа, когда анонимный источник предоставил порталу внутреннее уведомление компании од названием «Сообщение от сервисного IT-центра», разосланное в тот же день. «Внимание: Canon USA столкнулась с массовым сбоем в работе систем, затронувшими множество приложения, поэтому Teams, электронная почта и другие системы могут быть недоступны. Приносим свои извинения за неудобства. Мы предоставим обновление статуса как можно скорее», — сообщается в уведомлении. Судя по полученному BleepingComputer скриншоту, на котором изображена записка с требованием выкупа, Canon стала жертвой вымогательского ПО Maze. Специалисты связались с операторами Maze, и те подтвердили, что утром 5 августа атаковали Canon и похитили 10 ТБ информации, в том числе конфиденциальные базы данных. Если в течение семи дней выкуп не будет заплачен, вымогатели грозятся опубликовать данные в открытом доступе. По словам операторов Maze, они не имеют никакого отношения к сбою в работе image.canon 30 июля. Представители компании не комментируют инцидент. Сумма требуемого выкупа и целостность данных остаются под вопросом.

Источник: https://www.securitylab.ru/news/510892.php

Северокорейские киберпреступники атаковали оборонные и аэрокосмические предприятия в США. Злоумышленники отправляли сотрудникам военной промышленности поддельные предложения о работе с целью взлома компьютерных сетей. Как сообщили специалисты из компании McAfee, кибератаки начались в конце марта 2020 года и продолжались до мая. Вредоносная кампания, получившая название «Operation North Star», связана с северокорейской киберпреступной группировкой Lazarus (она же Hidden Cobra). В ходе атак преступники отправляли фишинговые электронные письма, побуждавшие получателей открывать поддельные документы с предложениями о работе. Как отметили эксперты, злоумышленники использовали технику внедрения шаблона (template injection). Файл .docx представляет собой ZIP-файл, содержащий несколько частей. Используя технику внедрения шаблона, злоумышленник помещает ссылку в файл шаблона в одном из файлов .XML. По ссылке загружался файл шаблона (DOTM) с удаленного сервера. Некоторые из этих файлов шаблонов переименовываются в файлы JPEG на удаленном сервере, чтобы избежать любых подозрений. Файлы шаблонов содержат код макроса, написанный на языке Visual Basic, который загружает DLL-имплант в систему жертвы. Вредоносные DLL-файлы, доставленные через поддельные документы, хакеры использовали для осуществления кибершпионажа. Злоумышленники всегда пытаются остаться незамеченными в ходе атак, поэтому часто наблюдается такая техника, как имитация User-Agent, присутствующего в системе. Например, использование одной и той же строки User-Agent из конфигураций web-браузера жертвы позволяет избежать обнаружения и замаскировать трафик. В данном случае преступники с помощью Windows API ObtainUserAgentString получили User-Agent и использовали это значение для соединения с C&C-сервером. По словам экспертов, хакеры обеспечивали себе персистентность на системе путем доставления файла LNK в папку автозагрузки.

Источник: https://www.securitylab.ru/news/510650.php

В инструменте архивации Ark среды рабочего стола KDE содержится уязвимость, эксплуатация которой позволяет злоумышленникам перезаписывать файлы или выполнять удаленный код на системе путем распространения вредоносных архивов. Уязвимость была обнаружена исследователем безопасности Домиником Пеннером (Dominik Penner) из компании Hackers for Change. Как только пользователь открывает вредоносный архив, злоумышленник может осуществить автозапуск вредоносных программ-шифровальщиков и установить криптомайнеры или бэкдоры. Среда рабочего стола KDE позволяет пользователям автоматически запускать приложения во время авторизации в операционной системе. Автозапуск настраивается путем создания специальных файлов .desktop в папке ~ /.config/autostart, в которых указывается, какую программу следует выполнять при входе в систему. Пеннер обнаружил, что утилита архивирования ARK не способна удалить символы обхода каталога при распаковке архива. Данная уязвимость позволила эксперту создать архивы, извлекающие файлы в любом месте, доступном пользователю. Пеннер разработал PoC-код для эксплуатации уязвимости, который автоматически создает файлы конфигурации автозапуска KDE, извлекая специально созданный архив в текущей папке. Как только автозапуск задан, при следующей перезагрузке компьютера и входе пользователя в учетную запись будет выполнена указанная программа, что приведет к удаленному выполнению кода. Пеннер сообщил об этой уязвимости группе безопасности KDE, и проблема была исправлена ​​в версии Ark 20.08.0. Пользователям настоятельно рекомендуется обновиться до последней версии инструмента как можно скорее.

Источник: https://www.securitylab.ru/news/510686.php

Отсутствие ограничений на количество попыток ввода пароля в web-клиенте Zoom позволяло злоумышленникам быстро подбирать коды доступа, используемые для защиты встреч. По словам специалиста компании SearchPilot Тома Энтони (Tom Anthony), встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций. На перебор такого количества кодов в поисках нужного у злоумышленника уйдет всего несколько минут. Более того, повторяющиеся встречи имеют один и тот же код, поэтому его достаточно взломать лишь один раз. На взлом кода у самого Энтони ушло 25 минут. Для этого ему потребовалась машина AWS и 91 тыс. попыток. «С помощью улучшенной организации потоков и распределения между 4-5 облачными серверами можно проверить все пространство паролей за несколько минут», — отметил исследователь. Энтони уведомил производителя о проблеме 1 апреля 2020 года и предоставил PoC-эксплоит на базе Python. 2 апреля web-клиент Zoom был отключен для исправления уязвимости. Спустя неделю компания решила проблему, введя обязательную авторизацию для пользователей перед подключением к встрече в web-клиенте и обновив пароли по умолчанию, чтобы они не были числовыми и были длиннее.

Источник: https://www.securitylab.ru/news/510649.php