Фальшивый Lightning-кабель неотличим от настоящего, но позволит хакнуть устройство на расстоянии

Энтузиаст, разработавший вредоносный Lightning-кабель O.MG Cable, начал продавать свои устройства на DEFCON и планирует наладить серийное производство.

https://xakep.ru/2019/08/12/o-mg-cable/

Кибершпионская группа Cloud Atlas расширила свой арсенал полиморфной малварью

Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception) начала использовать новую малварь VBShower.  

https://xakep.ru/2019/08/13/cloud-atlas-vbshower/

Троян Saefko может распространяться с помощью USB-устройств

Аналитики Zscaler заметили, что в даркнете продают многофункциональную малварь Saefko, которая ворует банковские реквизиты, учетные данные, а также информацию о криптовалютных кошельках.

https://xakep.ru/2019/08/13/saefko/

Полет в стратосферу. Ломаем Struts через Action-приложение и мастерим Forward Shell #htb #apache #rce #подписчикам

В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки Hack The Box. На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции eval() для скрипта на Python.

https://xakep.ru/2019/08/13/struts-forward-shell/

Эксперты Pen Test Partners раскритиковали безопасность 4G-роутеров

Исследователи протестировали несколько 4G-марштуризаторов разных производителей, включая ZTE, Netgear и TP-LINK.

https://xakep.ru/2019/08/13/4g-problems/

В даркнете закрыт очередной ресурс с детским порно, приговоры вынесены четырем администраторам

Министерство юстиции США отчиталось о прекращении работы .onion-сайта The Giftbox Exchange, который на момент закрытия насчитывал 72 000 зарегистрированных пользователей.

https://xakep.ru/2019/08/13/giftbox-exchange/

Мошенники обманом вынуждают жертв установить TeamViewer

Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга.

https://xakep.ru/2019/08/14/fake-bank-calls/

Безопасность в облаках. Изучаем безопасность облачных сервисов на примере инфраструктуры Яндекса

Существует несколько методов построения корпоративной IT-инфраструктуры. Развертывание всех ресурсов и сервисов на базе облачной платформы — лишь один из них. Однако преградой на этом пути часто становятся предрассудки, касающиеся безопасности облачных решений. В этой статье мы разберемся, как устроена система безопасности в облаке одного из самых известных российских провайдеров — Яндекса.

https://xakep.ru/2019/08/14/yandex-cloud/

Исследователь получил штрафы на 12 000 долларов, поменяв номерной знак авто на «NULL»

ИБ-исследователь, известный под псевдонимом Droogie, рассказал на конференции DEFCON, с чем ему пришлось столкнуться после смены номерного знака своего авто на «NULL».

https://xakep.ru/2019/08/14/null-icense-plate/

Второй раунд. Девять новых атак по обходным каналам на основе уязвимостей кеша #процессор #уязвимость #подписчикам

С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — читай об этом в моем новом материале.

https://xakep.ru/2019/08/14/side-channel-attacks-cache/