Waterbear, раскрытие еще одного подхода. Модульный, использует API, прячется от антивирусов.

Пошаговый разбор полетов:
https://blog.trendmicro.com/trendlabs-security-intelligence/waterbear-is-back-uses-api-hooking-to-evade-security-product-detection/

Собственно комментарий от первого лица:

http://www.sysoev.ru

Даёшь NGINX!

О ситуации в общем:
https://www.ixbt.com/news/2019/12/12/rambler-reshil-prisvoit-vebserver-nginx.html

За ссылку спасибо BORODA(C)

Чтение, создание файлов через уязвимости менеджеров Node пакетов npm, yarn, pnpm.

Стек приложений на Node растёт, равно как растёт и популярность Node среди разработчиков, но о безопасности данного стека кто и когда из пользователей оного задумывался?

PoC с предысторией по сабжу:
https://blog.daniel-ruf.de/critical-design-flaw-npm-pnpm-yarn/

За ссылку спасибо @ldviolet

Можно пощупать предварительную версию MTP (пользователям о365 посвящается).. ясно что он потом станет наверняка платным, как и все остальные вещи в о365.

Здесь интерес скорее к реализации, чем к самому продукту, кому интересно информация о данном анонсе:

https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-threat-protection

Любителям и знатокам Vim :)

https://github.com/vim/killersheep/blob/master/README.md

Уязвимость нулевого дня в TP-Link маршрутизаторах. Позволяет удалённому злоумышленнику взять под полный контроль маршрутизатор в обход механизмов аутентификации. Уровень критический. Владельцам девайсов - проверьте фиксы для своих устройств / наличие уязвимости.

PoC:
https://securityintelligence.com/posts/tp-link-archer-router-vulnerability-voids-admin-password-can-allow-remote-takeover/

30 января стартует 9 поток онлайн-курса по администрированию Linux серверов - "Администратор Linux"
⁠
Можно сдать вступительный тест и успеть поступить в группу со скидкой -30% - https://otus.pw/Tzjz/

Курс не для новичков. На крусе научат развертыванию, настройке и обслуживанию высокодоступных и надежных систем на базе Linux. Для поступления понадобятся базовые знания по сетям и установке Linux на виртуалку.

Детали программы здесь
⁠

Баги WatsApp под конец года набирают обороты) В мессенджере обнаружен баг, который может привести к краху мессенджера у всех участников группы, если в группу отправить сообщение с измененным номером телефона любого из участников.

В статье рассказывается как можно расшифровать соединение, просмотреть переписку и подложить “битый” номер в поле “participant to”

https://research.checkpoint.com/2019/breakingapp-whatsapp-crash-data-loss-bug/

Анонс Windows 10 Insider Preview Build 19536. Какие фичи в свежей сборке Windows:

- Доп драйвера для устройств
- Среда восстановления не требует пароль администратора для восстановления
- Настройки семейной группы
- Множество мелких исправлений

https://blogs.windows.com/windowsexperience/2019/12/16/announcing-windows-10-insider-preview-build-19536/#xogQVtqesTSXajtB.97

В Intel rapid найдена уязвимость позволяющая запускать привилегированные процессы, а также потенциально обходить черные списки антивирусов.

Intel rapid технология обеспечивающая повышенную производительность жёстких дисков SATA. Работает под Windows и поставляется, как правило уже в предустановленном виде с ноутбуками оснащёнными ОС Windows. Так что желательно этот момент проверить и обновить это ПО.

PoC:
https://safebreach.com/Post/Intel-Rapid-Storage-Technology-Service-DLL-Preloading-and-Potential-Abuses-CVE-2019-14568

Новый RAT под названием Dacls от Lazarus нацелен на Linux и Windows системы.

Модульный, кроссплатформенный, пока обнаружен на серверах где установлен продукт Atlassian Confluence, известно точно, что используется уязвимость этого продукта для внедрения Dacls на конечные системы.

Детальный PoC, как и что (правда на китайском) от первого лица:

https://blog.netlab.360.com/dacls-the-dual-platform-rat/

Atlassian CVE:
https://nvd.nist.gov/vuln/detail/CVE-2019-3396

Гангнам индастриал стайл или как промышленный шпионаж формирует новое лицо через почтовый фишинг :)

https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/

Не успел Intel rapid остыть и тут подоспели...

Aser / Asus снабжают ноутбуки уязвимым ПО. Непонятно то ли это ошибки программеров, то ли закладки от вендоров :)

Собственно Acer Quick Access и Asus ATK содержат уязвимости позволяющие поднять привилегии в системе по максимуму... Так то:

https://safebreach.com/Post/Acer-Quick-Access-DLL-Search-Order-Hijacking-and-Potential-Abuses-CVE-2019-18670

Имя, адрес, электронная почта, логин, пароль, дата рождения, номер медицинской карты и результаты лабораторных тестов - доступ к таким данным получили злоумышленники в одной из Канадских компаний занимающейся лабораторными исследованиями.

15 миллионов клиентов! Именно по такому количеству людей были украдены данные.

Компания провела переговоры с преступниками и ВЫКУПИЛА ДАННЫЕ У ПРЕСТУПНИКОВ!

Эпично и честно. Официальное письмо от LifeLabs:

https://customernotice.lifelabs.com/

MS рассказывает что такое фишинг, какова его эволюция, что такое “человек по середине” и тп…

Но между нами говоря, фишинговые письма людям приходят при этом даже как бы от внутренних пользователей компании или как бы от официальный тех поддержки…

Как бы там ни было, от знатоков фишинга из MS статья на тему эволюции фишинга в природе:

https://www.microsoft.com/security/blog/2019/12/11/the-quiet-evolution-of-phishing/

Концепция целенаправленных атак вымогателей проста:

‣ получить доступ к корпоративной сети ‣ получить доступ ко всему, что можно ‣ зашифровать данные (чем больше, тем лучше) ‣ запросить единовременную выплату, для восстановления доступа к зашифрованным данным ‣ получить прибыль

До "сегодняшнего дня", теперь к этой парадигме прибавилось:

‣ удержание в заложниках с угрозами публикации данные жертвы, если оплата за расшифровку не будет получена

Что интересно, теперь злоумышленники или их ПО прежде чем донести до жертвы сей мессадж, проводят какое-то время в инфраструктуре, собирают данные и тп..

Собственно рассказ о нескольких подобных инцидентах (имеющих место) от Cisco ресечеров:

https://blog.talosintelligence.com/2019/12/IR-Lessons-Maze.html

Много кто переходит на Matrix (децентрализованный сервер коммуникаций):

https://matrix.org/

В начале года это был проект KDE, теперь Mozilla:

https://www.opennet.ru/opennews/art.shtml?num=52056

Вебинар "DevOps: инструменты и цифры"
23 декабря в 17:00 по МСК

DevOps = культура + организация + инструменты

‣ Культуру нельзя ни "купить" ни "внедрить", культура рождается внутри компании
‣ Организацию (команды, процессы) можно подобрать путем экспериментов / нанять консультантов
‣ Инструменты можно изучать и внедрять буквально силами пары энтузиастов

При этом без опоры на инструменты ни культура, ни организация не жизнеспособны, а инструменты даже без культуры и организации несут пользу

Вести будет Эдуард Медведев, CTO, DevOps- и SRE-инженер, расскажет про актуальный набор инструментов, смысл и экономическую оценку внедрения, про интенсив Слёрм DevOps, где все эти инструменты разбираются на практике. Регистрация
⁠

Овер 260 миллионов пользователей. Facebook. Снова.

https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/

Минимальная выплата за найденные уязвимости 100к долларов. Apple и их баунти программа:

https://developer.apple.com/security-bounty/