Руководитель FIN7 будет экстрадирован в США

Гражданин Украины Андрей Колпаков, обвиняемый в участии в похищении данных 15 млн банковских карт, будет экстрадирован в США.
По данным Министерства юстиции США, Колпаков является одним из руководителей киберпреступной группировки FIN7, занимающейся похищением банковских данных. Украинец был арестован в прошлом году в Испании по запросу американских властей. В 2018 году были арестованы еще два человека, вместе с Колпаковым составлявших «верхушку» FIN7. Власти США выдвинули против них обвинения по 26 пунктам, в том числе в краже личности с отягчающими обстоятельствами, умышленном нанесении ущерба защищенным компьютерам и мошенничестве с использованием средств связи.
Согласно обвинительному акту, в FIN7 Колпаков был пентестером наивысшего уровня и руководил другими взломщиками, в чьи обязанности входила компрометация компьютеров без ведома жертв.
По словам адвоката Вадима Глозмана, представ перед судом в Вашингтоне, его подзащитный намерен отрицать вину. «Я готовлю его к скорой экстрадиции. Я ненадолго связывался с ним и его семьей… Но очень сложно общаться, когда он находится в испанской тюрьме», — сообщил Глозман изданию CyberScoop.
Как недавно сообщили специалисты «Лаборатории Касперского», несмотря на арест ключевых участников FIN7, группировка по-прежнему активна. Будут ли экстрадированы в США двое подельников Колпакова, пока неизвестно.

Источник: https://www.securitylab.ru/news/499074.php

Криптобиржа Binance потеряла $41 млн из-за кибератаки

Одна из пяти крупнейших криптовалютных бирж мира Binance сообщила о «масштабном взломе», в результате которого неизвестные злоумышленники похитили более 7 тыс. биткойнов (порядка $41 млн) из «горячего» кошелька сервиса, используемого для нескольких аккаунтов. Ущерб может оказаться выше, поскольку в руки преступников попал большой массив персональной информации трейдеров, секретные ключи, пароли двухфакторной аутентификации и прочие данные.
Инцидент произошел 7 мая нынешнего года. По словам представителей биржи, для доступа к аккаунтам пользователей злоумышленники использовали различные техники, включая «фишинг, вредоносное ПО и прочие атаки». Затем преступники организовали массированный вывод средств, украв в общей сложности 7 074 биткойна.
Binance заметила транзакцию, однако сотрудникам биржи не удалось вовремя остановить ее. Компания заморозила все депозиты и транзакции, а также приостановила работу своего сайта. В настоящее время биржа выясняет причины произошедшего.
В Binance также заверили, что инцидент не затронет криптовалюту пользователей, весь ущерб компания компенсирует сама за счет специального фонда, созданного для подобных ситуаций. В ближайшую неделю Binance намерена провести аудит с целью выявить аккаунты, подконтрольные хакерам.

Источник: https://www.securitylab.ru/news/499036.php

Разработчики NVIDIA исправили баги в драйверах видеокарт

Компания NVIDIA выпустила обновления безопасности для программного обеспечения своих графических систем. Апдейты закрывают уязвимости, которые могли стать причиной отказа в обслуживании, эскалации привилегий, выполнения стороннего кода, а также раскрытия персональных данных. Баги были найдены в Windows-версии продукта GPU Display Driver и затрагивают различные его релизы, начиная со сборки R390.
Наибольшую угрозу безопасности представляет брешь CVE‑2019‑5675, получившая рейтинг 7,7 балла по шкале CVSS. Уязвимость присутствует в модуле nvlddmkm.sys, отвечающем за обработку данных на уровне ядра системы. Как заявляет производитель, компонент некорректно синхронизирует статические переменные в потоках, что может привести к непредсказуемому поведению программы, вызвать сбой в работе и стать причиной утечки конфиденциальной информации.
Еще один баг в этой же подсистеме получил идентификатор CVE‑2019‑5677. Разработчики выяснили, что оператор DeviceIoControl неправильно работает с буфером памяти — в частности, получает данные из стека, используя индексы и указатели, которые ссылаются на ячейки за пределами целевой области. Брешь, оцененная в 5,6 балла CVSS, может вызвать отказ в обслуживании.
Последняя уязвимость была найдена несколькими независимыми ИБ-специалистами и относится к программе установки драйверов, которая загружает системные библиотеки Windows, без проверки сертификатов безопасности и пути. Это может дать злоумышленникам возможность внедрить сторонний DLL, выполнить вредоносный код и повысить свои привилегии на устройстве. Баг получил рейтинг опасности 7,2 и зарегистрирован как CVE‑2019‑5676.
Все бреши затрагивают ключевые продукты NVIDIA — системы линейки Tesla, видеокарты GeForce, Quadro и NVS. Производитель рекомендует пользователям незамедлительно скачать свежие версии GPU Display Driver. В зависимости от используемого оборудования это могут быть релизы: R64, R25, R51.
Другие сборки, запланированные к выпуску в течение недели после 13 и 20 мая 2019 года.
В прошлом году хакерам удалось взломать процессор NVIDIA Tegra игровой консоли Nintendo Switch. Как сообщили члены группы ReSwitched, они сумели добиться выполнения стороннего кода в рамках режима Tegra Recovery Mode. Специалисты опубликовали описание эксплойта и его исходный код в своем репозитории на GitHub.

Источник: https://threatpost.ru/nvidia-patched-drivers-vulnerabilities/32590/

Свежий эксплойт Oracle WebLogic набирает популярность

Эксперты Unit 42 предупредили о растущем количестве атак на серверы Oracle WebLogic. Преступники эксплуатируют уязвимость CVE-2019-2725 и перехватывают контроль над атакованными системами.
Впервые об этой бреши заговорили в конце апреля, когда вирусные аналитики зафиксировали многочисленные случаи сканирования серверов Oracle WebLogic. Как выяснилось, один из программных пакетов в составе этого решения неправильно обрабатывает SOAP-запросы с определенными XML- и -тегами. Это приводит к некорректной десериализации данных, что угрожает выполнением стороннего кода.
Проблема присутствует в Oracle WebLogic 10.3.6.0.0 и 12.1.3.0.0. По оценкам специалистов, эти версии установлены на десятках тысяч хостов. Разработчики Oracle оперативно выпустили экстренный патч, однако, как показывают исследования, угроза не теряет актуальность.
Так, вскоре после публикации PoC эксплойт применили операторы нового вымогателя Sodinokibi и ботнета Muhstik, который используется для криптоджекинга и DDoS-атак. Позже уязвимость легла в основу кампаний GandCrab и PowerShell-загрузчика, который устанавливает жертвам майнер XMRig. В последнем случае злоумышленники также отключают на пораженных машинах службу обновления Oracle, чтобы пользователь не смог установить безопасную версию ПО.
Аналитики ожидают, что число нападений будет только увеличиваться. Поскольку эксплойт не требует ручных операций, киберпреступники могут автоматизировать поиск и атаки новых жертв. Это также дает возможность участвовать во вредоносных кампаниях злоумышленникам без продвинутых технических навыков.
По словам экспертов, сейчас в зоне особого риска находятся корпоративные сети. Если преступники найдут точку входа в IT-инфраструктуру компании, последствия атаки могут быть катастрофическими. Специалисты призывают ИТ-службы не откладывать установку патча или хотя бы принять меры предосторожности — удалить пакет wls9_async_response.war, запретить доступ к интернет-адресам, содержащим /_async/* и /wls-wsat/*.

Источник: https://threatpost.ru/cybercriminals-exploit-new-oracleweblogic-vulnerability/32560/

Группировка Hidden Cobra вооружилась новым зловредом

Эксперты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) обнаружили новый зловред в арсенале APT-группировки Hidden Cobra. Программа под названием Electricfish представляет собой продвинутый сетевой шлюз, позволяя злоумышленникам выгружать данные из закрытых инфраструктур.
На счету группировки Hidden Cobra, также известной как Lazarus, множество кампаний, включая взлом азиатских финансовых организаций и запуск эпидемии шифровальщика WannaCry. В 2019 году преступников заподозрили в атаках на российские предприятия.
Специалисты NCCIC не раскрывают, как они получили доступ к зловреду. Известно лишь, что ПО обнаружино при расследовании ФБР и Министерством внутренней безопасности США неких атак Hidden Cobra, что позволило однозначно установить связь программы с группировкой. Позже на VirusTotal обнаружились еще три версии программы, которые загрузили на сайт в августе — октябре 2018 года.
Как рассказали эксперты, Electricfish создает канал для передачи данных между жертвой и атакующими. Операторы зловреда выставляют необходимые настройки через командную строку: указывают IP-адреса и порты для передачи информации от зараженной машины на управляющий сервер, прописывают данные прокси. После этого Electricfish открывает TCP-подключение, по которому и направляет трафик.
Зловред использует специально разработанный протокол, что позволяет действовать незаметно для стандартных систем мониторинга. Использование собственного прокси-сервера обеспечивает злоумышленникам возможность обойти системы аутентификации.
По данным центра кибербезопасности Вьетнама (Vietnam Computer Emergency Response Center, VNCERT), несколько месяцев назад зловред использовали в атаках на банки и критическую инфраструктуру этой страны. На момент публикации в открытых источниках нет подробностей об этих инцидентах.
Специалисты NCCIC опубликовали индикаторы, по которым можно отследить заражение Electricfish (XML-файл). Эксперты также призывают администраторов проверить актуальность ПО и настройки сетевого доступа на подконтрольных им компьютерах, включить брандмауэры и ограничить пользователям возможность установки стороннего ПО.
Ранее аналитики сообщили о появлении у Lazarus многофункционального трояна HOPLIGHT, который позволяет преступникам загружать на компьютеры стороннее ПО и вмешиваться в системные процессы.

Источник: https://threatpost.ru/hidden-cobra-arms-up-with-electricfish/32597/