Неизвестные украли почти $9,5 млн в криптовалюте из кошельков пользователей GateHub
Злоумышленники взломали криптовалютный сервис GateHub и вывели из кошельков пользователей 23,2 млн монет Ripple (XRP) на сумму прядка $9,5 млн. Атака началась 1 июня, в общей сложности преступники использовали 12 адресов и взломали 80-90 кошельков пользователей.
В настоящее время ведется расследование инцидента. Предположительно, преступники воспользовались API GateHub для проведения атак, однако пока в компании не могут сказать, как именно им удалось осуществить кражу.
«Мы зафиксировали возросшее число запросов API (с действительными токенами доступа), исходящих с нескольких IP-адресов, что может объяснить, как преступник получил доступ к зашифрованным секретным ключам. Однако это не объясняет, как ему удалось получить информацию, необходимую для расшифровки ключей», — говорится в заявлении GateHub. В компании добавили, что все токены доступа были отозваны в день атаки, 1 июня.
По словам участника команды XRP Forensics, специализирующейся на противодействии мошенничеству, на адрес злоумышленника поступали значительные суммы с нескольких счетов XRP, которые, вероятно, управлялись через Gatehub.net. Он добавил , что примерно 13 млн XRP ($5,3 млн) уже было выведено через биржи или отмыто через сервисы миксеры, которые запутывают транзакции. Команда так же не смогла определить, каким образом была совершена атака.
За последние два дня это уже второй случай хищения средств из криптовалютных кошельков. Как стало известно, разработчик криптовалютного кошелька Agama компания Komodo с целью защиты пользователей от хакеров сама взломала их кошельки и перевела хранящуюся в них криптовалюту (8 млн KMD и 96 биткойнов) на собственный кошелек.
Взломщики скомпрометировали базы данных Flipboard
Представители новостного агрегатора Flipboard объявили о взломе своих баз данных. Злоумышленники могли получить доступ к учетным данным миллионов пользователей и аутентификационным токенам сторонних ресурсов.
Специалисты сайта обнаружили подозрительную активность в конце апреля. Расследование показало, что начиная с июня 2018 года некий взломщик имел доступ к части хранилищ Flipboard и мог скопировать оттуда информацию. Эксперты не уточняют число пострадавших, но исходя из того, что ежемесячная аудитория сервиса составляет 150 млн человек, число жертв может дойти до нескольких миллионов.
Как сообщили представители компании, в скомпрометированных базах содержались ФИО и логины пользователей, хешированные пароли и адреса электронной почты. В некоторых случаях взломщики могли выкрасть и токены доступа, которые нужны для входа в Flipboard с помощью учетной записи стороннего ресурса.
В заявлении об утечке подчеркивается, что преступники добрались лишь до части учетных записей. С 2012 года безопасность паролей на Flipboard обеспечивает алгоритм bcrypt, который применяет адаптивное хеширование с использованием блочного шифрования и других средств защиты. Кодовые фразы хранились в «посоленном» виде, причем для каждой учетной записи система создавала уникальный код.
Тем не менее, пользователям придется придумать новые пароли и в случае необходимости заново связать свой профиль с аккаунтами на сторонних ресурсах. В соответствии с требованиями законодательства администрация Flipboard сообщила об инциденте правоохранительным органам. Компания также привлекла к расследованию сторонних ИБ-консультантов.
Стоит отметить, что буквально две недели назад международная команда экспертов предложила новый метод взлома криптографического алгоритма SHA-1, который применяет Flipboard. Открытие ученых позволяет существенно сократить время и трудоемкость вычислений, необходимых для проведения атаки коллизией хеша с целью расшифровки целевого контента.
Поскольку старые пароли пользователей Flipboard уже недействительны, преступники не смогут добраться до их аккаунтов. Однако расшифрованные коды доступа представляют угрозу при организации атак с подстановкой данных, в ходе которых взломщики пытаются авторизоваться на сайтах с помощью украденных ранее учетных данных.
Кроме того, в последнее время краденые пароли стали использовать и спамеры-шантажисты. Мошенники добавляют в письмо известные им кодовые фразы жертвы в качестве доказательства, что у них есть доступ к ее частным материалам.
Источник: https://threatpost.ru/hackers-compromised-flipboard-data-bases/32856/
В AMD SEV исправлена опасная уязвимость
Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации.
Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные.
Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.
В Firefox исправлена вторая за неделю уязвимость нулевого дня
В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных).
CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», — сообщается в уведомлении безопасности компании Mozilla.
О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase.
Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS.
Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет.
Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.
Спамеры рассылают письма с вредоносными ISO-файлами
Специалисты Netskope обнаружили спам-кампанию, в рамках которой злоумышленники распространяют ISO-образы с троянами LokiBot и NanoCore. Эксперты сообщают о десяти разновидностях рассылки, в которых используются разные файлы и письма.
Сообщения с вредоносными вложениями под видом счетов-фактур мошенники отправляют случайным жертвам. Обнаружить кампанию специалисты смогли благодаря нестандартному размеру вложений — размер ISO-файлов не превышал 1–2 мб, что несвойственно образам дисков. Вероятно, этот формат для распространения троянов злоумышленники выбрали, чтобы обойти фильтры большинства почтовых сервисов. Эксперты отмечают, что жертве достаточно кликнуть по вложению, чтобы ОС монтировала его.
Одним из видов полезной нагрузки выступал LokiBot. Этот штамм трояна умел распознавать запуск внутри отладчика или виртуальной машины, но в остальном мало отличается от прошлых версий. Сразу после запуска программа проверяла наличие в системе распространенных инструментов удаленного администрирования — SSH, VNC и RDP, — а также 25 различных веб-браузеров и 15 почтовых клиентов, из которых троян крал учетные данные.
В других случаях ISO-образы содержали модульный троян NanoCore, позволяющий получить полный контроль над компьютером, чтобы красть информацию и шпионить за жертвой через веб-камеру. В феврале прошлого года разработчик программы Тейлор Хадлстон (Taylor Huddleston) получил 2 года и 9 месяцев тюрьмы за создание вредоносного ПО. Несмотря на то что NanoCore доступен в Интернете с 2013 года, зловред продолжает модифицироваться киберпреступниками. Данная версия трояна может перехватывать нажатия клавиш, собирать информацию о сохраненных документах и данные из буфера обмена, а также использовать протокол FTP для вывода украденных данных.
Ранее мошенники распространяли ISO-файлы с вредоносным ПО и другими способами. В 2016 году киберпреступникам удалось взломать официальный сайт Linux и заменить образ Linux Mint версией, содержащей бэкдор. По словам создателя дистрибутива Клемана Лефебра (Clement Lefebvre), злоумышленники воспользовались эксплойтом уязвимости WordPress.
Источник: https://threatpost.ru/spammers-sending-emails-with-malicious-iso/33286/