В ‎связи‏ ‎с ‎невозможностью ‎организовать ‎адекватный ‎долговременный‏ ‎доступ ‎к‏ ‎лекциям‏ ‎с ‎разделениям ‎по‏ ‎разделам, ‎осуществлён‏ ‎перенос ‎лекций:

• Часть ‎1:  ‎Человек‏ ‎и‏ ‎общество ‎(13‏ ‎лекций);
• Часть ‎2:‏  ‎Культура ‎(3 ‎лекции); 
• Часть ‎3: ‎Экономика‏ ‎(15‏ ‎лекций);
• Часть ‎4:‏ ‎Социальные ‎отношения‏ ‎(7 ‎лекций); 
• Часть ‎5: ‎Политика ‎(13‏ ‎лекций); 
• Часть‏ ‎6:‏ ‎Право ‎(13‏ ‎лекций)

Тем ‎кто‏ ‎подписывался ‎через‏ ‎уровень‏ ‎"Всё ‎и‏ ‎сразу" ‎для ‎продления ‎доступа ‎пишите‏ ‎на ‎ryabov@f3con.ru

В‏ ‎каком‏ ‎формате ‎доступа ‎оставить‏ ‎лекции ‎здесь‏ ‎- ‎пока ‎обдумываем, ‎но‏ ‎с‏ ‎учётом ‎изменения‏ ‎их ‎стоимости‏ ‎- ‎это ‎будет ‎новый ‎уровень‏ ‎подписки‏ ‎которую ‎будет‏ ‎необходимо ‎осуществлять‏ ‎с ‎годовой ‎оплатой ‎(не ‎эквивалентной‏ ‎суммой,‏ ‎а‏ ‎именно ‎подпиской‏ ‎за ‎год)

Помимо‏ ‎переноса ‎идёт‏ ‎разработка‏ ‎программы ‎под‏ ‎LMS ‎с ‎возможностью ‎самотестирования. ‎Запуск‏ ‎не ‎ранее‏ ‎января‏ ‎2024 ‎года.

• Для ‎подписчиков‏ ‎уровня ‎«Обществознание+» ‎проведена ‎рассылка ‎персональных‏ ‎приглашений ‎в‏ ‎ТГ‏ ‎канал, ‎для ‎согласования‏ ‎дат ‎и‏ ‎получения ‎вопросов ‎к ‎закрытым‏ ‎стримам.‏ ‎Ближайший ‎стрим‏ ‎планируется ‎в‏ ‎9 ‎октября ‎в ‎воскресенье.
• Весь ‎проект‏ ‎переведён‏ ‎в ‎режим‏ ‎"Все ‎прошлые‏ ‎публикации ‎новым ‎подписчикам ‎станут ‎доступны‏ ‎через‏ ‎указанный‏ ‎срок ‎непрерывной‏ ‎подписки...". ‎Необходимый‏ ‎срок ‎непрерывной‏ ‎подписки‏ ‎- ‎270‏ ‎дней.

Чтобы ‎не ‎ждать ‎270 ‎дней,‏ ‎можно ‎проплатить‏ ‎прошлые‏ ‎публикации ‎раньше, ‎работает‏ ‎только ‎у‏ ‎пользователей. ‎оформивших ‎подписку ‎не‏ ‎с‏ ‎начала ‎запуска‏ ‎проекта. ‎

📌Предложения ‎о‏ ‎подкупе ‎сотрудников ‎телекоммуникационных ‎компаний: Сотрудники ‎T-Mobile‏ ‎и ‎Verizon,‏ ‎включая‏ ‎бывших ‎сотрудников, ‎сообщили‏ ‎о ‎получении‏ ‎нежелательных ‎сообщений ‎с ‎предложением‏ ‎300‏ ‎долларов ‎за‏ ‎каждую ‎замену‏ ‎SIM-карты, ‎которую ‎они ‎совершат. ‎Этими‏ ‎сообщениями‏ ‎поделились ‎на‏ ‎Reddit, ‎продемонстрировав‏ ‎скриншоты ‎текстов.

📌Способ ‎связи: ‎Злоумышленники ‎использовали‏ ‎различные‏ ‎способы‏ ‎связи, ‎включая‏ ‎текстовые ‎сообщения‏ ‎и ‎зашифрованные‏ ‎платформы,‏ ‎такие ‎как‏ ‎Telegram, ‎чтобы ‎связаться ‎с ‎сотрудниками.‏ ‎В ‎сообщениях‏ ‎часто‏ ‎утверждалось, ‎что ‎они‏ ‎получили ‎контактную‏ ‎информацию ‎сотрудников ‎из ‎каталогов‏ ‎компаний.

📌Потенциальные‏ ‎инсайдерские ‎угрозы:‏ ‎Ситуация ‎вызывает‏ ‎опасения ‎по ‎поводу ‎инсайдерских ‎угроз‏ ‎внутри‏ ‎телекоммуникационных ‎компаний,‏ ‎поскольку ‎сообщения‏ ‎были ‎адресованы ‎нынешним ‎и ‎бывшим‏ ‎сотрудникам,‏ ‎которые‏ ‎могли ‎иметь‏ ‎доступ ‎к‏ ‎системам, ‎необходимым‏ ‎для‏ ‎обмена ‎SIM-картами.

📌Ответы‏ ‎компаний: ‎И ‎T-Mobile, ‎и ‎Verizon‏ ‎знают ‎об‏ ‎этих‏ ‎инцидентах. ‎В ‎T-Mobile‏ ‎заявили, ‎что‏ ‎никаких ‎системных ‎нарушений ‎не‏ ‎было,‏ ‎и ‎что‏ ‎они ‎расследуют‏ ‎сообщения. ‎Реакция ‎Verizon ‎в ‎настоящее‏ ‎время‏ ‎не ‎приводится‏ ‎подробно ‎в‏ ‎отчетах.

📌Последствия ‎замены ‎SIM-карты: Замена ‎SIM-карты ‎может‏ ‎привести‏ ‎к‏ ‎серьезным ‎нарушениям‏ ‎безопасности, ‎позволяя‏ ‎злоумышленникам ‎обойти‏ ‎двухфакторную‏ ‎аутентификацию, ‎получить‏ ‎доступ ‎к ‎личной ‎и ‎финансовой‏ ‎информации ‎и‏ ‎потенциально‏ ‎привести ‎к ‎финансовому‏ ‎мошенничеству ‎и‏ ‎краже ‎личных ‎данных.

📌Профилактические ‎меры‏ ‎и‏ ‎рекомендации: Телекоммуникационным ‎компаниям‏ ‎рекомендуется ‎усилить‏ ‎свои ‎внутренние ‎меры ‎безопасности ‎и‏ ‎процессы‏ ‎проверки ‎сотрудников‏ ‎для ‎предотвращения‏ ‎подобных ‎инцидентов. ‎Сотрудникам ‎рекомендуется ‎сообщать‏ ‎о‏ ‎любых‏ ‎подозрительных ‎действиях‏ ‎и ‎не‏ ‎соглашаться ‎на‏ ‎подобные‏ ‎предложения.

Эта ‎статья служит‏ ‎техническим ‎руководством ‎о ‎том, ‎как‏ ‎сочетание ‎сетевого‏ ‎перехвата,‏ ‎MITM-атак ‎и ‎использования‏ ‎ADC-систем ‎может‏ ‎привести ‎к ‎значительным ‎нарушениям‏ ‎безопасности,‏ ‎подчеркивая ‎необходимость‏ ‎принятия ‎надежных‏ ‎мер ‎безопасности ‎в ‎сетевых ‎конфигурациях‏ ‎и‏ ‎процессах ‎обработки‏ ‎сертификатов.

📌Конфигурация ‎и‏ ‎уязвимости ‎WSUS: В ‎статье ‎подробно ‎описывается,‏ ‎как‏ ‎можно‏ ‎использовать ‎сервер‏ ‎служб ‎обновления‏ ‎Windows ‎Server‏ ‎(WSUS),‏ ‎настроенный ‎для‏ ‎работы ‎по ‎протоколу ‎HTTP. ‎Доступ‏ ‎к ‎конфигурации‏ ‎протокола‏ ‎WSUS-сервера ‎можно ‎получить,‏ ‎запросив ‎определенный‏ ‎раздел ‎реестра. ‎Эта ‎настройка‏ ‎позволяет‏ ‎потенциально ‎перехватывать‏ ‎трафик ‎с‏ ‎помощью ‎таких ‎инструментов, ‎как ‎Wireshark,‏ ‎которые‏ ‎могут ‎перехватывать‏ ‎связь ‎между‏ ‎клиентами ‎и ‎сервером ‎WSUS.

📌Выполнение ‎MITM-атаки: В‏ ‎основе‏ ‎атаки‏ ‎лежит ‎подход‏ ‎«Человек ‎посередине»‏ ‎(MITM), ‎при‏ ‎котором‏ ‎злоумышленник ‎перехватывает‏ ‎и ‎ретранслирует ‎запросы ‎с ‎клиентского‏ ‎компьютера ‎на‏ ‎сервер‏ ‎WSUS. ‎Во ‎время‏ ‎этого ‎процесса‏ ‎злоумышленник ‎может ‎манипулировать ‎сообщениями,‏ ‎перенаправляя‏ ‎запросы ‎на‏ ‎сторонний ‎сервер‏ ‎или ‎манипулируя ‎ответами.

📌Эксплойт ‎ADCS ‎ESC8:‏ ‎Перехваченное‏ ‎сообщение ‎затем‏ ‎используется ‎для‏ ‎проведения ‎атаки ‎на ‎службы ‎сертификации‏ ‎Active‏ ‎Directory‏ ‎(ADCS) ‎ESC8.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎передачу‏ ‎перехваченных ‎запросов‏ ‎на ‎веб-страницу ‎регистрации ‎Центра ‎сертификации‏ ‎для ‎запроса‏ ‎сертификата‏ ‎с ‎использованием ‎учетных‏ ‎данных ‎скомпрометированного‏ ‎компьютера. ‎Успешное ‎выполнение ‎этой‏ ‎атаки‏ ‎может ‎позволить‏ ‎злоумышленнику ‎получить‏ ‎несанкционированные ‎сертификаты, ‎которые ‎могут ‎быть‏ ‎использованы‏ ‎для ‎дальнейших‏ ‎атак ‎в‏ ‎сети.

📌Набор ‎инструментов: PKINITtools ‎и ‎скрипты ‎для‏ ‎управления‏ ‎запросами‏ ‎Kerberos ‎и‏ ‎их ‎экспорта‏ ‎помогают ‎извлекать‏ ‎и‏ ‎использовать ‎учетные‏ ‎данные ‎из ‎перехваченного ‎трафика ‎для‏ ‎проверки ‎подлинности‏ ‎с‏ ‎помощью ‎ADC ‎и‏ ‎запроса ‎сертификатов.

📌Рекомендации‏ ‎по ‎обеспечению ‎безопасности: ‎Атака‏ ‎демонстрирует‏ ‎значительный ‎риск‏ ‎для ‎безопасности,‏ ‎связанный ‎с ‎использованием ‎незащищенных ‎протоколов‏ ‎(HTTP)‏ ‎для ‎критически‏ ‎важной ‎инфраструктуры,‏ ‎такой ‎как ‎WSUS ‎и ‎ADCS.‏ ‎В‏ ‎статье‏ ‎предполагается, ‎что‏ ‎защита ‎этих‏ ‎коммуникаций ‎с‏ ‎помощью‏ ‎HTTPS ‎и‏ ‎внедрение ‎строгого ‎контроля ‎доступа ‎и‏ ‎мониторинга ‎могут‏ ‎снизить‏ ‎вероятность ‎таких ‎атак.

TeleTracker предлагает ‎набор‏ ‎инструментов ‎для ‎анализа ‎данных ‎об‏ ‎угрозах, ‎ориентированных‏ ‎на‏ ‎каналы ‎Telegram, ‎используемые‏ ‎в ‎вредоносных‏ ‎целях. ‎Его ‎функции ‎облегчают‏ ‎мониторинг‏ ‎и ‎пресечение‏ ‎активных ‎вредоносных‏ ‎кампаний, ‎что ‎делает ‎его ‎ценным‏ ‎ресурсом‏ ‎для ‎специалистов‏ ‎в ‎области‏ ‎кибербезопасности. ‎Эти ‎скрипты ‎особенно ‎полезны‏ ‎для‏ ‎аналитиков‏ ‎по ‎анализу‏ ‎угроз ‎или‏ ‎исследователей, ‎стремящихся‏ ‎отслеживать,‏ ‎собирать ‎и‏ ‎выслеживать ‎злоумышленников, ‎используя ‎Telegram ‎для‏ ‎C2-целей.

Особенности

📌Просмотр ‎сообщений‏ ‎канала‏ ‎и ‎загрузка ‎содержимого: Позволяет‏ ‎пользователям ‎просматривать‏ ‎сообщения ‎в ‎канале ‎и‏ ‎загружать‏ ‎содержимое ‎непосредственно‏ ‎во ‎вновь‏ ‎созданную ‎папку ‎«загрузки» ‎в ‎текущем‏ ‎рабочем‏ ‎каталоге. ‎Программа‏ ‎поддерживает ‎загрузку‏ ‎различных ‎типов ‎файлов, ‎включая ‎документы,‏ ‎фотографии‏ ‎и‏ ‎видео.

📌Отправка ‎документов‏ ‎через ‎Telegram: Пользователи‏ ‎могут ‎дополнительно‏ ‎отправлять‏ ‎сообщения ‎и‏ ‎документы ‎через ‎Telegram, ‎поддерживая ‎все‏ ‎типы ‎файлов‏ ‎Telegram‏ ‎с ‎автоматическим ‎определением‏ ‎типа ‎MIME.

📌Выбор‏ ‎сообщения: ‎Предоставляет ‎возможность ‎выбрать‏ ‎указанное‏ ‎количество ‎сообщений‏ ‎или ‎определенный‏ ‎идентификатор ‎сообщения ‎для ‎загрузки, ‎при‏ ‎этом‏ ‎загрузка ‎всегда‏ ‎происходит ‎от‏ ‎самого ‎нового ‎к ‎самому ‎старому‏ ‎сообщению.

📌Сохранение‏ ‎логов:‏ ‎Сохраняет ‎логи‏ ‎в ‎удобном‏ ‎текстовом ‎формате‏ ‎с‏ ‎основной ‎информацией‏ ‎в ‎файле ‎с ‎именем ‎<имя_бота>.txt.

Использование

📌Чтобы‏ ‎отправить ‎сообщение‏ ‎в‏ ‎Telegram-канал: ‎python ‎http://TeleTexter.py -t‏ ‎YOUR_BOT_TOKEN ‎-c‏ ‎YOUR_CHAT_ID ‎-m ‎«сообщение»

📌Для ‎непрерывной‏ ‎отправки‏ ‎сообщений ‎(рассылки‏ ‎спама) ‎флаг‏ ‎--spam.

http://📌TeleViewer.py это ‎новейший ‎инструмент, ‎позволяющий ‎пользователям‏ ‎просматривать‏ ‎и ‎загружать‏ ‎все ‎сообщения‏ ‎и ‎медиафайлы ‎из ‎контролируемого ‎Telegram-канала,‏ ‎контролируемого‏ ‎threat‏ ‎actor. ‎Доступ‏ ‎к ‎этой‏ ‎функции ‎можно‏ ‎получить,‏ ‎выбрав ‎цифру‏ ‎6 ‎в ‎начальном ‎меню ‎после‏ ‎запуска ‎http://TeleGatherer.py.

В ‎статье рассматривается‏ ‎важная ‎проблема, ‎связанная ‎с ‎тем,‏ ‎что ‎пустое‏ ‎хранилище‏ ‎AWS ‎S3 ‎может‏ ‎привести ‎к‏ ‎неожиданно ‎высоким ‎расходам ‎на‏ ‎AWS‏ ‎из-за ‎несанкционированных‏ ‎входящих ‎запросов.

Это‏ ‎практическое ‎исследование ‎служит ‎предостережением ‎о‏ ‎потенциальных‏ ‎финансовых ‎рисках,‏ ‎связанных ‎с‏ ‎сервисами ‎AWS, ‎в ‎частности ‎с‏ ‎S3,‏ ‎и‏ ‎подчеркивает ‎важность‏ ‎понимания ‎практики‏ ‎выставления ‎счетов‏ ‎AWS‏ ‎и ‎безопасной‏ ‎настройки ‎сервисов ‎AWS ‎во ‎избежание‏ ‎непредвиденных ‎расходов.

📌 Неожиданно‏ ‎высокие‏ ‎затраты: У ‎автора ‎неожиданно‏ ‎резко ‎вырос‏ ‎счет ‎за ‎AWS, ‎составив‏ ‎более‏ ‎1300 ‎долларов,‏ ‎из-за ‎того,‏ ‎что ‎почти ‎100 ‎000 ‎000‏ ‎запросов‏ ‎S3 ‎PUT‏ ‎были ‎выполнены‏ ‎в ‎течение ‎одного ‎дня ‎в‏ ‎пустой‏ ‎корзине‏ ‎S3, ‎которую‏ ‎он ‎настроил‏ ‎для ‎тестирования.

📌Источник‏ ‎запросов: Изначально‏ ‎AWS ‎по‏ ‎умолчанию ‎не ‎регистрирует ‎запросы, ‎выполняемые‏ ‎в ‎корзинах‏ ‎S3.‏ ‎Автору ‎пришлось ‎включить‏ ‎журналы ‎AWS‏ ‎CloudTrail, ‎чтобы ‎идентифицировать ‎источник‏ ‎запросов.‏ ‎Было ‎обнаружено,‏ ‎что ‎неправильно‏ ‎настроенные ‎системы ‎пытались ‎сохранить ‎данные‏ ‎в‏ ‎его ‎личном‏ ‎хранилище ‎S3.

📌Выставление‏ ‎счетов ‎за ‎несанкционированные ‎запросы: ‎AWS‏ ‎взимает‏ ‎плату‏ ‎за ‎несанкционированные‏ ‎входящие ‎запросы‏ ‎в ‎корзины‏ ‎S3.‏ ‎Это ‎было‏ ‎подтверждено ‎во ‎время ‎общения ‎автора‏ ‎со ‎службой‏ ‎поддержки‏ ‎AWS, ‎в ‎котором‏ ‎подчеркивалась ‎важная‏ ‎политика ‎выставления ‎счетов, ‎согласно‏ ‎которой‏ ‎владелец ‎корзины‏ ‎оплачивает ‎входящие‏ ‎запросы ‎независимо ‎от ‎их ‎статуса‏ ‎авторизации.

📌Предотвращение‏ ‎и ‎защита: В‏ ‎статье ‎отмечается,‏ ‎что ‎не ‎существует ‎простого ‎способа‏ ‎предотвратить‏ ‎подобные‏ ‎инциденты, ‎кроме‏ ‎удаления ‎корзины.‏ ‎AWS ‎не‏ ‎позволяет‏ ‎защитить ‎корзину‏ ‎с ‎помощью ‎таких ‎сервисов, ‎как‏ ‎CloudFront ‎или‏ ‎WAF,‏ ‎при ‎прямом ‎доступе‏ ‎к ‎ней‏ ‎через ‎S3 ‎API.

📌Расследование ‎AWS:‏ ‎После‏ ‎инцидента ‎AWS‏ ‎начала ‎расследование‏ ‎проблемы, ‎о ‎чем ‎свидетельствует ‎твит‏ ‎Джеффа‏ ‎Барра, ‎известного‏ ‎евангелиста ‎AWS.‏ ‎Это ‎говорит ‎о ‎том, ‎что‏ ‎AWS‏ ‎осведомлена‏ ‎о ‎потенциальных‏ ‎проблемах ‎и,‏ ‎возможно, ‎рассматривает‏ ‎способы‏ ‎их ‎устранения.

Злоумышленники ‎используют различные‏ ‎методы, ‎включая ‎фишинговые ‎электронные ‎письма‏ ‎с ‎вредоносными‏ ‎вложениями,‏ ‎обфусцированные ‎файлы ‎сценариев‏ ‎и ‎Guloader‏ ‎PowerShell, ‎для ‎проникновения ‎в‏ ‎системы‏ ‎жертв ‎и‏ ‎их ‎компрометации.‏ ‎Мошенничество ‎с ‎выставлением ‎счетов, ‎форма‏ ‎взлома‏ ‎деловой ‎электронной‏ ‎почты ‎(BEC),‏ ‎является ‎одним ‎из ‎популярных ‎методов,‏ ‎используемых‏ ‎злоумышленниками‏ ‎для ‎обмана‏ ‎жертв. ‎В‏ ‎этом ‎типе‏ ‎мошенничества‏ ‎третья ‎сторона‏ ‎запрашивает ‎оплату ‎обманным ‎путем, ‎часто‏ ‎выдавая ‎себя‏ ‎за‏ ‎законного ‎поставщика

Мошенничество ‎со‏ ‎счетами-фактурами ‎представляет‏ ‎серьезную ‎угрозу ‎для ‎бизнеса,‏ ‎поскольку‏ ‎может ‎привести‏ ‎к ‎значительным‏ ‎финансовым ‎потерям ‎и ‎непоправимому ‎ущербу.‏ ‎Согласно‏ ‎отчету ‎ФБР‏ ‎IC3, ‎в‏ ‎2022 ‎году ‎атаки ‎BEC ‎нанесли‏ ‎ущерб‏ ‎жертвам‏ ‎в ‎США‏ ‎на ‎сумму‏ ‎2,7 ‎миллиарда‏ ‎долларов,‏ ‎что ‎сделало‏ ‎их ‎наиболее ‎распространенной ‎формой ‎компрометации‏ ‎деловой ‎электронной‏ ‎почты

Некоторые‏ ‎признаки ‎мошеннических ‎электронных‏ ‎счетов-фактур ‎включают‏ ‎запросы ‎на ‎предоставление ‎личной‏ ‎информации‏ ‎(PII), ‎запросы‏ ‎на ‎изменение‏ ‎банковской ‎или ‎платежной ‎информации, ‎и‏ ‎счета-фактуры‏ ‎с ‎необычными‏ ‎суммами. ‎Кроме‏ ‎того, ‎злоумышленники ‎часто ‎используют ‎методы‏ ‎обфускации,‏ ‎чтобы‏ ‎обойти ‎защиту‏ ‎и ‎затруднить‏ ‎обнаружение ‎своих‏ ‎вредоносных‏ ‎действий.

APT29, ‎также‏ ‎известный ‎как ‎Midnight ‎Blizzard, ‎BlueBravo‏ ‎или ‎Cozy‏ ‎Bear,‏ ‎был ‎обнаружен ‎с‏ ‎помощью ‎нового‏ ‎бэкдора ‎WINELOADER, ‎предназначенного ‎для‏ ‎политических‏ ‎партий ‎Германии.‏ ‎Эта ‎кампания‏ ‎знаменует ‎собой ‎значительное ‎смещение ‎акцента‏ ‎группы‏ ‎с ‎ее‏ ‎традиционных ‎целей‏ ‎— ‎дипломатических ‎миссий ‎— ‎на‏ ‎политические‏ ‎структуры,‏ ‎что ‎указывает‏ ‎на ‎более‏ ‎цели ‎по‏ ‎сбору‏ ‎политической ‎информации.

Цель‏ ‎и ‎сроки:

📌Кампания ‎была ‎направлена ‎против‏ ‎политических ‎партий‏ ‎Германии,‏ ‎и ‎фишинговые ‎электронные‏ ‎письма ‎были‏ ‎отправлены ‎примерно ‎26 ‎февраля‏ ‎2024‏ ‎года. ‎В‏ ‎этих ‎электронных‏ ‎письмах ‎был ‎логотип ‎Христианско-демократического ‎союза‏ ‎(ХДС)‏ ‎и ‎вредоносные‏ ‎ссылки.

Технические ‎подробности:

📌Считается,‏ ‎что ‎WINELOADER ‎является ‎вариантом ‎семейств‏ ‎кодов‏ ‎BURNTBATTER‏ ‎и ‎MUSKYBEAT,‏ ‎которые ‎были‏ ‎связаны ‎с‏ ‎APT29‏ ‎компанией ‎Mandiant.

📌Вредоносная‏ ‎программа ‎использует ‎сложные ‎методы, ‎такие‏ ‎как ‎дополнительная‏ ‎загрузка‏ ‎библиотеки ‎DLL, ‎шифрование‏ ‎RC4 ‎для‏ ‎расшифровки ‎полезной ‎нагрузки ‎и‏ ‎тактику‏ ‎предотвращения ‎обнаружения,‏ ‎такую ‎как‏ ‎проверка ‎имен ‎процессов/библиотек ‎DLL ‎и‏ ‎обход‏ ‎пользовательского ‎режима‏ ‎Ntdll.

Первоначальный ‎доступ:

📌Первоначальный‏ ‎доступ ‎был ‎получен ‎с ‎помощью‏ ‎фишинговых‏ ‎вложений,‏ ‎ведущих ‎к‏ ‎взломанному ‎веб-сайту‏ ‎«waterforvoiceless[.]org», ‎на‏ ‎котором‏ ‎размещался ‎РУТСАВ-дроппер.‏ ‎Затем ‎этот ‎дроппер ‎облегчил ‎загрузку‏ ‎и ‎выполнение‏ ‎полезной‏ ‎нагрузки ‎WINELOADER.

Значимость:

📌Этот ‎переход‏ ‎к ‎преследованию‏ ‎политических ‎партий ‎отражает ‎растущий‏ ‎интерес‏ ‎к ‎влиянию‏ ‎или ‎пониманию‏ ‎политической ‎динамики ‎на ‎Западе, ‎особенно‏ ‎в‏ ‎контексте ‎сохраняющейся‏ ‎геополитической ‎напряженности.

📌 Преследование‏ ‎политических ‎партий ‎рассматривается ‎как ‎стратегический‏ ‎шаг‏ ‎по‏ ‎сбору ‎оперативной‏ ‎информации, ‎которая‏ ‎потенциально ‎может‏ ‎повлиять‏ ‎на ‎политические‏ ‎результаты ‎или ‎стратегии ‎в ‎Европе‏ ‎и ‎за‏ ‎ее‏ ‎пределами.

Последствия:

📌 Кампания ‎против ‎немецких‏ ‎политпартий ‎рассматривается‏ ‎не ‎как ‎изолированный ‎инцидент,‏ ‎а‏ ‎скорее ‎как‏ ‎часть ‎более‏ ‎широкой ‎стратегии, ‎которая ‎может ‎быть‏ ‎направлена‏ ‎против ‎других‏ ‎западных ‎политических‏ ‎образований.

Дорогие ‎спонсоры,‏ ‎активно ‎работаю ‎над ‎второй ‎серией‏ ‎о ‎Монте.‏ ‎Многократно‏ ‎ускорил ‎рабочий ‎процесс‏ ‎и ‎уже‏ ‎скоро ‎виднеется ‎релиз. ‎Как‏ ‎я‏ ‎писал ‎ранее,‏ ‎это ‎будет‏ ‎самый ‎большой ‎мультфильм ‎проекта, ‎хронометраж‏ ‎серии‏ ‎— ‎более‏ ‎20 ‎минут.‏ ‎Очень ‎надеюсь ‎как ‎можно ‎скорее‏ ‎порадовать‏ ‎вас‏ ‎качественным ‎контентом,‏ ‎спасибо ‎за‏ ‎поддержку!

В ‎кампании‏ ‎по ‎кибершпионажу ‎ArcaneDoor, ‎которая ‎началась‏ ‎в ‎ноябре‏ ‎2023‏ ‎года, ‎участвовали ‎хакеры,‏ ‎спонсируемые ‎государством,‏ ‎которые ‎использовали ‎две ‎0day‏ ‎уязвимости‏ ‎в ‎продуктах‏ ‎Cisco ‎Adaptive‏ ‎Security ‎Appliance ‎(ASA) ‎и ‎Firepower‏ ‎Threat‏ ‎Defense ‎(FTD).

📌0-day: Хакеры‏ ‎использовали ‎две‏ ‎уязвимости ‎нулевого ‎дня, ‎CVE-2024-20353 ‎и‏ ‎CVE-2024-20359,‏ ‎которые‏ ‎позволяли ‎проводить‏ ‎DoS-атаки ‎типа‏ ‎«отказ ‎в‏ ‎обслуживании»‏ ‎и ‎выполнение‏ ‎кода.

📌Сложное ‎внедрение ‎вредоносных ‎программ: ‎Злоумышленники‏ ‎внедрили ‎два‏ ‎типа‏ ‎вредоносных ‎программ ‎—‏ ‎Line ‎Dancer‏ ‎и ‎Line ‎Runner. ‎Line‏ ‎Dancer‏ ‎— ‎это‏ ‎загрузчик ‎шеллкода‏ ‎в ‎памяти, ‎который ‎облегчает ‎выполнение‏ ‎произвольных‏ ‎полезных ‎нагрузок‏ ‎шеллкода, ‎в‏ ‎то ‎время ‎как ‎Line ‎Runner‏ ‎—‏ ‎это‏ ‎бэкдор, ‎который‏ ‎позволяет ‎злоумышленникам‏ ‎запускать ‎произвольный‏ ‎Lua-код‏ ‎на ‎скомпрометированных‏ ‎системах.

📌Глобальное ‎воздействие: ‎Кампания ‎была ‎нацелена‏ ‎на ‎госсектор,‏ ‎используя‏ ‎уязвимости ‎для ‎получения‏ ‎доступа ‎к‏ ‎конфиденциальной ‎информации ‎и ‎потенциального‏ ‎осуществления‏ ‎дальнейших ‎вредоносных‏ ‎действий, ‎таких‏ ‎как ‎утечка ‎данных ‎и ‎горизонтальное‏ ‎перемещение‏ ‎внутри ‎сетей.

📌Реакция‏ ‎и ‎меры‏ ‎по ‎устранению: Cisco ‎отреагировала ‎на ‎это‏ ‎выпуском‏ ‎обновлений‏ ‎для ‎системы‏ ‎безопасности, ‎исправляющих‏ ‎уязвимости, ‎и‏ ‎выпустила‏ ‎рекомендации, ‎призывающие‏ ‎клиентов ‎обновить ‎свои ‎устройства. ‎Они‏ ‎также ‎рекомендовали‏ ‎отслеживать‏ ‎системные ‎журналы ‎на‏ ‎наличие ‎признаков‏ ‎компрометации, ‎таких ‎как ‎незапланированные‏ ‎перезагрузки‏ ‎или ‎несанкционированные‏ ‎изменения ‎конфигурации.

📌Внимание‏ ‎к ‎атрибуции ‎и ‎шпионажу: Хакерская ‎группа,‏ ‎идентифицированная‏ ‎Cisco ‎Talos‏ ‎как ‎UAT4356,‏ ‎а ‎Microsoft ‎— ‎как ‎STORM-1849,‏ ‎продемонстрировала‏ ‎явную‏ ‎направленность ‎на‏ ‎шпионаж. ‎Считается,‏ ‎что ‎кампания‏ ‎спонсировалась‏ ‎государством, ‎и‏ ‎некоторые ‎источники ‎предполагают, ‎что ‎за‏ ‎атаками ‎может‏ ‎стоять‏ ‎Китай.

📌Тенденция ‎нацеливания ‎на‏ ‎устройства ‎периметра‏ ‎сети: ‎инцидент ‎является ‎частью‏ ‎тенденции,‏ ‎когда ‎спонсируемые‏ ‎государством ‎субъекты‏ ‎нацеливаются ‎на ‎устройства ‎периметра ‎сети,‏ ‎такие‏ ‎как ‎брандмауэры‏ ‎и ‎VPN,‏ ‎чтобы ‎получить ‎первоначальный ‎доступ ‎к‏ ‎целевым‏ ‎сетям‏ ‎в ‎целях‏ ‎шпионажа

Фишинговая ‎кампания‏ ‎TA547 ‎с ‎использованием ‎Rhadamanthys ‎stealer‏ ‎представляет ‎собой‏ ‎значительную‏ ‎эволюцию ‎в ‎тактике‏ ‎киберпреступников, ‎в‏ ‎частности, ‎благодаря ‎интеграции ‎сценариев,‏ ‎созданных‏ ‎с ‎помощью‏ ‎ИИ.

Детали

📌Имитация ‎и‏ ‎содержимое ‎электронной ‎почты: ‎Фишинговые ‎электронные‏ ‎письма‏ ‎были ‎созданы‏ ‎для ‎того,‏ ‎чтобы ‎выдавать ‎себя ‎за ‎немецкую‏ ‎компанию‏ ‎Metro‏ ‎AG, ‎и‏ ‎сообщения, ‎связанные‏ ‎со ‎счетами.‏ ‎Эти‏ ‎электронные ‎письма‏ ‎содержали ‎защищенный ‎паролем ‎ZIP-файл, ‎который‏ ‎при ‎открытии‏ ‎запускал‏ ‎удаленный ‎сценарий ‎PowerShell

📌Способ‏ ‎выполнения: Скрипт ‎PowerShell‏ ‎выполняется ‎непосредственно ‎в ‎памяти,‏ ‎развертывая‏ ‎Rhadamanthys ‎stealer‏ ‎без ‎записи‏ ‎на ‎диск. ‎Этот ‎метод ‎помогает‏ ‎избежать‏ ‎обнаружения ‎традиционным‏ ‎антивирусным ‎программным‏ ‎обеспечением

📌Использование ‎ИИ ‎при ‎создании ‎вредоносных‏ ‎программ:‏ ‎Есть‏ ‎явные ‎признаки‏ ‎того, ‎что‏ ‎скрипт ‎PowerShell‏ ‎был‏ ‎создан ‎или,‏ ‎по ‎крайней ‎мере, ‎доработан ‎с‏ ‎использованием ‎большой‏ ‎языковой‏ ‎модели ‎(LLM). ‎Скрипт‏ ‎содержал ‎грамматически‏ ‎правильные ‎и ‎очень ‎специфичные‏ ‎комментарии,‏ ‎что ‎нетипично‏ ‎для ‎скриптов‏ ‎вредоносных ‎программ, ‎созданных ‎человеком

Эволюционирующие ‎TTPs

📌 Инновационные‏ ‎приманки‏ ‎и ‎методы‏ ‎доставки: ‎В‏ ‎рамках ‎кампании ‎также ‎были ‎опробованы‏ ‎новые‏ ‎тактики‏ ‎фишинга, ‎такие‏ ‎как ‎уведомления‏ ‎о ‎голосовых‏ ‎сообщениях‏ ‎и ‎встраивание‏ ‎изображений ‎в ‎формате ‎SVG, ‎для‏ ‎повышения ‎эффективности‏ ‎атак‏ ‎по ‎сбору ‎учетных‏ ‎данных

📌ИИ: ‎Использование‏ ‎технологий ‎ИИ, ‎таких ‎как‏ ‎ChatGPT‏ ‎или ‎CoPilot,‏ ‎при ‎написании‏ ‎сценариев ‎вредоносного ‎ПО ‎указывает ‎на‏ ‎значительный‏ ‎сдвиг ‎в‏ ‎тактике ‎киберпреступности,‏ ‎предполагая, ‎что ‎киберпреступники ‎все ‎чаще‏ ‎используют‏ ‎ИИ‏ ‎для ‎совершенствования‏ ‎своих ‎методов‏ ‎атаки

📌Последствия: ‎кампания‏ ‎не‏ ‎только ‎подчеркивает‏ ‎адаптивность ‎и ‎техническую ‎сложность ‎TA547,‏ ‎но ‎и‏ ‎подчеркивает‏ ‎тенденцию ‎к ‎внедрению‏ ‎инструментов ‎ИИ‏ ‎в ‎свою ‎деятельность. ‎Эта‏ ‎интеграция‏ ‎потенциально ‎может‏ ‎привести ‎к‏ ‎повышению ‎эффективности ‎и ‎сложности ‎обнаружения‏ ‎киберугроз

Рекомендации‏ ‎по ‎защите

📌Обучение‏ ‎сотрудников: ‎Организациям‏ ‎следует ‎повысить ‎уровень ‎кибербезопасности, ‎обучив‏ ‎сотрудников‏ ‎распознавать‏ ‎попытки ‎фишинга‏ ‎и ‎подозрительный‏ ‎контент ‎электронной‏ ‎почты

📌Технические‏ ‎меры ‎предосторожности:‏ ‎Внедрение ‎строгих ‎групповых ‎политик ‎для‏ ‎ограничения ‎трафика‏ ‎из‏ ‎неизвестных ‎источников ‎и‏ ‎рекламных ‎сетей‏ ‎может ‎помочь ‎защитить ‎конечные‏ ‎точки‏ ‎от ‎таких‏ ‎атак.

📌Обнаружение, ‎основанное‏ ‎на ‎поведении: Несмотря ‎на ‎использование ‎искусственного‏ ‎интеллекта‏ ‎при ‎разработке‏ ‎атак, ‎механизмы‏ ‎обнаружения, ‎основанные ‎на ‎поведении, ‎остаются‏ ‎эффективными‏ ‎при‏ ‎выявлении ‎и‏ ‎смягчении ‎таких‏ ‎угроз

Исследователи ‎из‏ ‎Bitdefender ‎выявили ‎множество ‎уязвимостей ‎в‏ ‎WebOS ‎от‏ ‎LG,‏ ‎влияющих ‎на ‎различные‏ ‎модели ‎смарт-телевизоров‏ ‎компании. ‎Использование ‎этих ‎уязвимостей‏ ‎может‏ ‎позволить ‎злоумышленникам‏ ‎получить ‎несанкционированный‏ ‎root-доступ ‎к ‎устройствам.

Уязвимые ‎версии ‎и‏ ‎модели:

📌Уязвимости‏ ‎затрагивают ‎телевизоры‏ ‎LG, ‎работающие‏ ‎под ‎управлением ‎WebOS ‎версий ‎с‏ ‎4.9.7‏ ‎по‏ ‎7.3.1, ‎в‏ ‎таких ‎моделях,‏ ‎как ‎LG43UM7000PLA,‏ ‎OLED55CXPUA,‏ ‎OLED48C1PUB ‎и‏ ‎OLED55A23LA

Конкретные ‎уязвимости:

📌CVE-2023-6317: Позволяет ‎обойти ‎проверку ‎PIN-кода‏ ‎и ‎добавить‏ ‎профиль‏ ‎привилегированного ‎пользователя ‎без‏ ‎участия ‎пользователя

📌CVE-2023-6318:‏ ‎Позволяет ‎повысить ‎свои ‎привилегии‏ ‎и‏ ‎получить ‎root-доступ

📌CVE-2023-6319:‏ ‎Позволяет ‎внедрять‏ ‎команды ‎операционной ‎системы, ‎манипулируя ‎библиотекой‏ ‎для‏ ‎отображения ‎музыкальных‏ ‎текстов

📌CVE-2023-6320: ‎Позволяет‏ ‎вводить ‎команды, ‎прошедшие ‎проверку ‎подлинности,‏ ‎используя‏ ‎com.webos.конечная‏ ‎точка ‎API‏ ‎service.connectionmanager/tv/setVlanStaticAddress

Масштабы ‎воздействия:

📌Более‏ ‎91 ‎000‏ ‎устройств‏ ‎были ‎идентифицированы‏ ‎как ‎потенциально ‎уязвимые. ‎В ‎основном‏ ‎эти ‎устройства‏ ‎расположены‏ ‎в ‎Южной ‎Корее,‏ ‎Гонконге, ‎США,‏ ‎Швеции ‎и ‎Финляндии

Меры ‎по‏ ‎устранению‏ ‎уязвимостей ‎и‏ ‎действия ‎пользователей:

📌Компания‏ ‎LG ‎выпустила ‎исправления ‎для ‎этих‏ ‎уязвимостей,‏ ‎которые ‎доступны‏ ‎в ‎меню‏ ‎настроек ‎телевизора ‎в ‎разделе ‎«Обновление‏ ‎программного‏ ‎обеспечения»

📌Пользователям‏ ‎рекомендуется ‎включить‏ ‎автоматическое ‎обновление‏ ‎ПО, ‎чтобы‏ ‎обеспечить‏ ‎получение ‎на‏ ‎свои ‎устройства ‎последних ‎исправлений ‎безопасности

Потенциальные‏ ‎риски:

📌В ‎случае‏ ‎использования‏ ‎эти ‎уязвимости ‎позволяют‏ ‎получить ‎контроль‏ ‎над ‎телевизором, ‎получить ‎доступ‏ ‎к‏ ‎конфиденциальным ‎пользовательским‏ ‎данным ‎и‏ ‎потенциально ‎использовать ‎скомпрометированное ‎устройство ‎как‏ ‎часть‏ ‎ботнета ‎или‏ ‎для ‎других‏ ‎вредоносных ‎действий

Рекомендации ‎по ‎безопасности:

📌 Помимо ‎применения‏ ‎последних‏ ‎обновлений‏ ‎встроенного ‎ПО,‏ ‎пользователи ‎должны‏ ‎использовать ‎надежные‏ ‎уникальные‏ ‎пароли ‎для‏ ‎своих ‎устройств ‎и ‎защищать ‎свои‏ ‎сети ‎Wi-Fi,‏ ‎чтобы‏ ‎еще ‎больше ‎снизить‏ ‎риск ‎их‏ ‎использования

Change ‎Healthcare,‏ ‎крупный ‎игрок ‎в ‎секторе ‎медицинских‏ ‎технологий ‎США,‏ ‎столкнулся‏ ‎со ‎значительными ‎проблемами‏ ‎в ‎области‏ ‎кибербезопасности ‎после ‎атаки ‎программ-вымогателей,‏ ‎приписываемой‏ ‎BlackCat/ALPHV ‎group:

📌Первоначальная‏ ‎атака ‎и‏ ‎выплата ‎выкупа: ‎21 февраля ‎2024 ‎года‏ ‎компания‏ ‎Change ‎Healthcare‏ ‎подверглась ‎разрушительной‏ ‎кибератаке, ‎которая ‎привела ‎к ‎широкомасштабным‏ ‎операционным‏ ‎проблемам‏ ‎в ‎системе‏ ‎здравоохранения ‎США.‏ ‎Компания, ‎дочерняя‏ ‎компания‏ ‎UnitedHealth ‎Group,‏ ‎в ‎конечном ‎счете ‎заплатила ‎выкуп‏ ‎в ‎размере‏ ‎$22M‏ ‎в ‎пользу ‎BlackCat/ALPHV‏ ‎в ‎надежде‏ ‎восстановить ‎свои ‎услуги ‎и‏ ‎защитить‏ ‎данные ‎пациентов

📌Последующие‏ ‎попытки ‎вымогательства: Несмотря‏ ‎на ‎первоначальную ‎выплату ‎выкупа, ‎Change‏ ‎Healthcare‏ ‎столкнулась ‎с‏ ‎дальнейшим ‎вымогательством‏ ‎со ‎стороны ‎новой ‎группы ‎программ-вымогателей‏ ‎под‏ ‎названием‏ ‎RansomHub. ‎Эта‏ ‎группа ‎утверждала,‏ ‎что ‎обладает‏ ‎четырьмя‏ ‎терабайтами ‎данных,‏ ‎украденных ‎во ‎время ‎первоначальной ‎атаки‏ ‎BlackCat/ALPHV, ‎и‏ ‎потребовала‏ ‎свой ‎собственный ‎выкуп,‏ ‎угрожая ‎продать‏ ‎информацию ‎в ‎даркнете, ‎если‏ ‎их‏ ‎требования ‎не‏ ‎будут ‎выполнены

📌Влияние‏ ‎на ‎медицинские ‎услуги: ‎Кибератака ‎серьезно‏ ‎повлияла‏ ‎на ‎деятельность‏ ‎Change ‎Healthcare,‏ ‎повлияв ‎на ‎способность ‎больниц ‎проверять‏ ‎страховые‏ ‎выплаты,‏ ‎обрабатывать ‎процедуры‏ ‎для ‎пациентов‏ ‎и ‎выставлять‏ ‎счета.‏ ‎Аптеки ‎также‏ ‎столкнулись ‎с ‎трудностями ‎в ‎оплате‏ ‎отпускаемых ‎по‏ ‎рецепту‏ ‎лекарств ‎из-за ‎недоступности‏ ‎информации ‎о‏ ‎страховке, ‎что ‎значительно ‎нарушило‏ ‎обслуживание‏ ‎пациентов ‎и‏ ‎финансовые ‎операции‏ ‎поставщиков ‎медицинских ‎услуг

📌Проблемы ‎с ‎утечкой‏ ‎данных:‏ ‎В ‎Change‏ ‎Healthcare ‎сохраняются‏ ‎опасения ‎по ‎поводу ‎безопасности ‎данных‏ ‎пациентов.‏ ‎Компания‏ ‎не ‎смогла‏ ‎подтвердить, ‎действительно‏ ‎ли ‎данные‏ ‎пациентов‏ ‎были ‎украдены.

📌Реакция: Учитывая‏ ‎серьезность ‎атаки ‎и ‎ее ‎последствия,‏ ‎Госдеп ‎США‏ ‎предложил‏ ‎вознаграждение ‎в ‎размере‏ ‎$10M ‎за‏ ‎информацию ‎о ‎личности ‎или‏ ‎местонахождении‏ ‎членов ‎ALPHV/BlackCat.

📌Последствия:‏ ‎Атака ‎на‏ ‎Change ‎Healthcare ‎выявила ‎уязвимость ‎сектора‏ ‎здравоохранения‏ ‎к ‎атакам‏ ‎программ-вымогателей

📌Идентификация ‎уязвимости: Критическая‏ ‎уязвимость ‎идентифицируется ‎как ‎«BatBadBut» ‎CVE-2024-24576

📌Уязвимое‏ ‎ПО: Уязвимость ‎существует‏ ‎в‏ ‎стандартной ‎библиотеке ‎Rust‏ ‎и, ‎в‏ ‎частности, ‎затрагивает ‎системы ‎Windows

📌Степень‏ ‎критичности: присвоена‏ ‎наивысшая ‎оценка‏ ‎по ‎шкале‏ ‎CVSS, ‎равная ‎10,0, ‎что ‎указывает‏ ‎на‏ ‎максимальную ‎степень‏ ‎тяжести

📌 Подробная ‎информация:‏ ‎Уязвимость ‎возникает ‎из-за ‎того, ‎что‏ ‎стандартная‏ ‎библиотека‏ ‎Rust ‎неправильно‏ ‎экранирует ‎аргументы‏ ‎при ‎вызове‏ ‎пакетных‏ ‎файлов ‎в‏ ‎Windows ‎с ‎использованием ‎командного ‎API.‏ ‎Это ‎может‏ ‎позволить‏ ‎злоумышленнику ‎выполнять ‎произвольные‏ ‎команды ‎оболочки,‏ ‎обходя ‎экранирующий ‎интерфейс.

📌Условия: ‎выполнение‏ ‎команды‏ ‎в ‎Windows,‏ ‎команда ‎не‏ ‎указывает ‎расширение ‎файла ‎или ‎использует‏ ‎.bat‏ ‎или ‎.cmd,‏ ‎команда ‎содержит‏ ‎управляемый ‎пользователем ‎ввод ‎в ‎качестве‏ ‎части‏ ‎аргументов‏ ‎команды, ‎а‏ ‎среда ‎выполнения‏ ‎не ‎может‏ ‎должным‏ ‎образом ‎обработать‏ ‎аргументы ‎команды ‎для ‎cmd.exe

📌Уязвимые ‎версии: Все‏ ‎версии ‎Rust‏ ‎для‏ ‎Windows ‎до ‎версии‏ ‎1.77.2 ‎подвержены‏ ‎этой ‎уязвимости

📌Воздействие: ‎Уязвимость ‎также‏ ‎затрагивает‏ ‎другие ‎языки‏ ‎программирования, ‎включая‏ ‎Erlang, ‎Go, ‎Haskell, ‎Java, ‎Node.js,‏ ‎PHP,‏ ‎Python ‎и‏ ‎Ruby, ‎хотя‏ ‎исправления ‎выпущены ‎не ‎для ‎всех‏ ‎из‏ ‎них

📌Рекомендации‏ ‎по ‎устранению:‏ ‎Пользователям ‎рекомендуется‏ ‎перемещать ‎пакетные‏ ‎файлы‏ ‎в ‎каталог,‏ ‎не ‎указанный ‎в ‎переменной ‎среды‏ ‎PATH, ‎чтобы‏ ‎предотвратить‏ ‎непредвиденное ‎выполнение. ‎Разработчикам‏ ‎следует ‎перейти‏ ‎на ‎версию ‎Rust ‎1.77.2,‏ ‎чтобы‏ ‎устранить ‎уязвимость

📌Обнаружение‏ ‎и ‎отчетность: Уязвимость‏ ‎была ‎обнаружена ‎инженером ‎по ‎безопасности‏ ‎из‏ ‎Flatt ‎Security,‏ ‎известным ‎как‏ ‎RyotaK, ‎и ‎передана ‎в ‎Координационный‏ ‎центр‏ ‎сертификации‏ ‎(CERT/CC).

📌Ответ ‎от‏ ‎Rust: Rust ‎признала‏ ‎проблему ‎и‏ ‎с‏ ‎тех ‎пор‏ ‎улучшила ‎надежность ‎экранирующего ‎кода ‎и‏ ‎модифицировала ‎командный‏ ‎API,‏ ‎чтобы ‎возвращать ‎ошибку‏ ‎InvalidInput, ‎если‏ ‎аргумент ‎не ‎может ‎быть‏ ‎безопасно‏ ‎экранирован

📌Реакция ‎разработчиков‏ ‎других ‎языков:‏ ‎Разработчики ‎Haskell, ‎Node.js, ‎PHP ‎и‏ ‎yt-dlp‏ ‎выпустили ‎исправления‏ ‎для ‎устранения‏ ‎ошибки, ‎связанной ‎с ‎внедрением ‎команд

Недавние ‎достижения‏ ‎в ‎области ‎ИИ ‎привели ‎к‏ ‎значительным ‎достижениям‏ ‎в‏ ‎секторе ‎военной ‎авиации,‏ ‎особенно ‎интеграции‏ ‎ИИ ‎с ‎реактивными ‎истребителями.

📌Достижения‏ ‎ИИ‏ ‎в ‎военной‏ ‎авиации: DARPA ‎и‏ ‎ВВС ‎США ‎находятся ‎активно ‎внедряют‏ ‎ИИ‏ ‎в ‎реактивные‏ ‎истребители. ‎Эта‏ ‎интеграция ‎достигла ‎стадии, ‎когда ‎самолеты,‏ ‎управляемые‏ ‎искусственным‏ ‎интеллектом, ‎такие‏ ‎как ‎X-62A‏ ‎VISTA, ‎теперь‏ ‎способны‏ ‎вступать ‎в‏ ‎воздушные ‎бои ‎с ‎самолетами, ‎пилотируемыми‏ ‎человеком

📌Первый ‎успешный‏ ‎воздушный‏ ‎бой ‎ИИ ‎против‏ ‎человека: ‎В‏ ‎сентябре ‎2023 ‎года ‎произошло‏ ‎знаменательное‏ ‎событие: ‎управляемый‏ ‎ИИ ‎X-62A‏ ‎VISTA ‎провел ‎тренировочный ‎воздушный ‎бой‏ ‎против‏ ‎F-16, ‎пилотируемого‏ ‎человеком. ‎Это‏ ‎испытание, ‎проведенное ‎на ‎базе ‎ВВС‏ ‎Эдвардс‏ ‎в‏ ‎Калифорнии, ‎стало‏ ‎первым ‎успешным‏ ‎воздушным ‎боем‏ ‎между‏ ‎реактивным ‎самолетом,‏ ‎управляемым ‎ИИ, ‎и ‎пилотом-человеком. ‎ИИ‏ ‎продемонстрировал ‎способность‏ ‎выполнять‏ ‎сложные ‎боевые ‎маневры‏ ‎безопасно ‎и‏ ‎эффективно

📌Безопасность ‎и ‎контроль: ‎Несмотря‏ ‎на‏ ‎автономные ‎возможности‏ ‎искусственного ‎интеллекта,‏ ‎на ‎борту ‎X-62A ‎находились ‎пилоты-люди,‏ ‎которые‏ ‎при ‎необходимости‏ ‎могли ‎отключить‏ ‎систему ‎искусственного ‎интеллекта. ‎Однако ‎во‏ ‎время‏ ‎испытаний‏ ‎не ‎было‏ ‎необходимости ‎во‏ ‎вмешательстве ‎человека,‏ ‎что‏ ‎свидетельствует ‎о‏ ‎высоком ‎уровне ‎надежности ‎и ‎безопасности‏ ‎работы ‎ИИ

📌Последствия‏ ‎для‏ ‎боевых ‎действий ‎в‏ ‎будущем: Успешная ‎интеграция‏ ‎ИИ ‎в ‎истребители ‎рассматривается‏ ‎как‏ ‎трансформационный ‎момент‏ ‎в ‎военной‏ ‎авиации. ‎Это ‎говорит ‎о ‎будущем,‏ ‎в‏ ‎котором ‎ИИ‏ ‎потенциально ‎может‏ ‎справляться ‎с ‎динамичными ‎боевыми ‎сценариями,‏ ‎позволяя‏ ‎пилотам-людям‏ ‎сосредоточиться ‎на‏ ‎стратегии ‎и‏ ‎контроле, ‎а‏ ‎не‏ ‎на ‎непосредственном‏ ‎участии

📌Продолжение ‎разработки ‎и ‎тестирования: Продолжающееся ‎развитие‏ ‎ИИ ‎в‏ ‎военной‏ ‎авиации ‎направлено ‎на‏ ‎расширение ‎возможностей‏ ‎ИИ-пилотов, ‎включая ‎их ‎способность‏ ‎принимать‏ ‎автономные ‎решения‏ ‎в ‎сложных‏ ‎и ‎быстро ‎меняющихся ‎боевых ‎условиях.‏ ‎В‏ ‎будущих ‎тестах,‏ ‎вероятно, ‎будут‏ ‎рассмотрены ‎более ‎сложные ‎сценарии ‎и‏ ‎усовершенствованы‏ ‎процессы‏ ‎принятия ‎решений‏ ‎ИИ

В ‎статье подробно‏ ‎описываются ‎технические ‎аспекты ‎борьбы ‎с‏ ‎конкретным ‎банковским‏ ‎трояном‏ ‎для ‎Android, ‎а‏ ‎также ‎более‏ ‎широкие ‎темы ‎анализа ‎вредоносных‏ ‎программ,‏ ‎такие ‎как‏ ‎использование ‎методов‏ ‎обфускации ‎и ‎доступных ‎инструментов ‎для‏ ‎противодействия‏ ‎этим ‎методам

📌Механизм‏ ‎обфускации: банковский ‎троян‏ ‎Nexus ‎использует ‎механизм ‎обфускации ‎строк‏ ‎в‏ ‎коде‏ ‎своего ‎приложения.‏ ‎Это ‎усложняет‏ ‎анализ ‎и‏ ‎понимание‏ ‎функциональности ‎приложения.

📌Инструменты‏ ‎анализа: ‎упоминается ‎использование ‎как ‎ручного‏ ‎декодирования, ‎так‏ ‎и‏ ‎платных ‎инструментов, ‎таких‏ ‎как ‎JEB‏ ‎Decompiler, ‎для ‎идентификации ‎и‏ ‎исправления‏ ‎запутанного ‎кода.

📌Проверка‏ ‎байт-кода ‎Dalvik: в‏ ‎данном ‎примере ‎рассматривается ‎модификация ‎методов‏ ‎обфускации‏ ‎путем ‎проверки‏ ‎байт-кода ‎Dalvik,‏ ‎который ‎является ‎частью ‎файлов ‎DEX‏ ‎в‏ ‎приложениях‏ ‎Android.

📌 dexmod: ‎инструмент‏ ‎под ‎названием‏ ‎dexmod, ‎разработанный‏ ‎для‏ ‎помощи ‎в‏ ‎исправлении ‎байт-кода ‎Dalvik, ‎который ‎иллюстрирует,‏ ‎как ‎файлы‏ ‎DEX‏ ‎могут ‎быть ‎изменены‏ ‎для ‎упрощения‏ ‎анализа ‎приложений ‎Android.

📌Права ‎доступа:‏ ‎Анализ‏ ‎файла ‎AndroidManifest.xml‏ ‎показывает, ‎что‏ ‎троян ‎запрашивает ‎доступ ‎к ‎конфиденциальной‏ ‎информации,‏ ‎такой ‎как‏ ‎SMS-сообщения, ‎контакты‏ ‎и ‎телефонные ‎звонки.

📌Методы ‎обфускации ‎и‏ ‎патч:‏ ‎Специальные‏ ‎методы, ‎такие‏ ‎как ‎bleakperfect‏ ‎() ‎содержат‏ ‎мертвый‏ ‎код ‎и‏ ‎обсуждается ‎исправление ‎этих ‎методов ‎для‏ ‎удаления ‎избыточного‏ ‎кода‏ ‎и ‎упрощения ‎анализа.

📌Структура‏ ‎файла ‎DEX: представлена‏ ‎информация ‎о ‎структуре ‎файлов‏ ‎DEX,‏ ‎включая ‎такие‏ ‎разделы, ‎как‏ ‎заголовки, ‎таблицы ‎строк, ‎определения ‎классов‏ ‎и‏ ‎код ‎метода;‏ ‎объясняется, ‎как‏ ‎классы ‎и ‎методы ‎определяются ‎и‏ ‎на‏ ‎которые‏ ‎ссылаются ‎в‏ ‎этих ‎файлах.

📌Обновление‏ ‎контрольной ‎суммы‏ ‎и‏ ‎подписи: подчеркивается ‎необходимость‏ ‎обновления ‎значений ‎контрольной ‎суммы ‎и‏ ‎подписи ‎SHA-1‏ ‎в‏ ‎заголовке ‎файла ‎DEX‏ ‎для ‎обеспечения‏ ‎проверки ‎содержимого.

📌 Судебный ‎иск‏ ‎FTC ‎против ‎Ring: ‎Федеральная ‎торговая‏ ‎комиссия ‎(FTC)‏ ‎подала‏ ‎в ‎суд ‎на‏ ‎Ring, ‎компанию‏ ‎по ‎производству ‎камер ‎домашней‏ ‎безопасности,‏ ‎принадлежащую ‎Amazon,‏ ‎за ‎неспособность‏ ‎защитить ‎конфиденциальность ‎потребителей. ‎В ‎жалобе‏ ‎FTC,‏ ‎поданной ‎в‏ ‎мае ‎2023‏ ‎года, ‎Ring ‎обвинялась ‎в ‎том,‏ ‎что‏ ‎она‏ ‎позволяла ‎сотрудникам‏ ‎и ‎подрядчикам‏ ‎получать ‎доступ‏ ‎к‏ ‎личным ‎видеозаписям‏ ‎клиентов ‎без ‎их ‎согласия ‎и‏ ‎не ‎принимала‏ ‎надлежащих‏ ‎мер ‎безопасности. ‎Эта‏ ‎халатность ‎привела‏ ‎к ‎несанкционированному ‎доступу ‎хакеров‏ ‎и‏ ‎сотрудников, ‎что‏ ‎поставило ‎под‏ ‎угрозу ‎конфиденциальность ‎и ‎безопасность ‎видеоматериалов‏ ‎потребителей.

📌Урегулирование‏ ‎и ‎возврат‏ ‎средств: В ‎результате‏ ‎судебного ‎процесса ‎Ring ‎согласилась ‎на‏ ‎урегулирование,‏ ‎которое‏ ‎включало ‎финансовый‏ ‎штраф ‎и‏ ‎создание ‎более‏ ‎надежной‏ ‎программы ‎обеспечения‏ ‎конфиденциальности ‎и ‎безопасности. ‎FTC ‎выплачивает‏ ‎возмещение ‎на‏ ‎сумму‏ ‎более ‎5,6 ‎миллионов‏ ‎долларов ‎примерно‏ ‎117 ‎044 ‎пострадавшим ‎клиентам‏ ‎Ring.‏ ‎Эти ‎возмещения‏ ‎осуществляются ‎через‏ ‎PayPal, ‎и ‎клиентам ‎рекомендуется ‎потребовать‏ ‎свои‏ ‎платежи ‎в‏ ‎течение ‎30‏ ‎дней.

📌Подробности ‎урегулирования: По ‎условиям ‎соглашения ‎Ring‏ ‎должна‏ ‎была‏ ‎выплатить ‎5,8‏ ‎миллиона ‎долларов,‏ ‎удалить ‎незаконно‏ ‎полученные‏ ‎видеозаписи ‎и‏ ‎принять ‎новые ‎строгие ‎меры ‎по‏ ‎обеспечению ‎конфиденциальности‏ ‎и‏ ‎безопасности. ‎Эти ‎меры‏ ‎включают ‎многофакторную‏ ‎аутентификацию ‎и ‎ограничения ‎доступа‏ ‎сотрудников‏ ‎к ‎видео‏ ‎для ‎пользователей.‏ ‎FTC ‎подчеркнула, ‎что ‎эти ‎шаги‏ ‎были‏ ‎необходимы ‎для‏ ‎предотвращения ‎будущих‏ ‎нарушений ‎конфиденциальности ‎и ‎восстановления ‎доверия‏ ‎потребителей‏ ‎к‏ ‎продукции ‎Ring.

📌Ответ‏ ‎Ring: Компания ‎Ring‏ ‎заявила, ‎что‏ ‎она‏ ‎рассмотрела ‎многие‏ ‎вопросы, ‎вызывавшие ‎обеспокоенность ‎FTC, ‎до‏ ‎начала ‎расследования‏ ‎и‏ ‎не ‎согласилась ‎с‏ ‎некоторыми ‎утверждениями.‏ ‎Однако ‎компания ‎решила ‎пойти‏ ‎на‏ ‎мировую, ‎чтобы‏ ‎избежать ‎длительных‏ ‎судебных ‎разбирательств ‎и ‎сосредоточиться ‎на‏ ‎улучшении‏ ‎своих ‎продуктов‏ ‎и ‎услуг‏ ‎для ‎клиентов.

📌Информация ‎для ‎потребителей ‎и‏ ‎поддержка: FTC‏ ‎четко‏ ‎дала ‎понять,‏ ‎что ‎никогда‏ ‎не ‎требует‏ ‎от‏ ‎потребителей ‎информацию‏ ‎о ‎платежах ‎или ‎учетной ‎записи‏ ‎для ‎получения‏ ‎возмещения

Иранский ‎UNC1549 нацелен‏ ‎на ‎израильский ‎и ‎ближневосточный ‎аэрокосмический‏ ‎и ‎оборонный‏ ‎секторы:

📌Идентификация‏ ‎участника ‎угрозы: рассматривается ‎деятельность‏ ‎UNC1549, ‎предполагаемого‏ ‎иранского ‎агента ‎угрозы. ‎Эта‏ ‎группировка‏ ‎также ‎известна‏ ‎под ‎другими‏ ‎названиями, ‎такими ‎как ‎«Черепаховый ‎панцирь»‏ ‎и‏ ‎«Дымчатая ‎песчаная‏ ‎буря», ‎и‏ ‎связана ‎с ‎Корпусом ‎стражей ‎исламской‏ ‎революции‏ ‎Ирана‏ ‎(КСИР).

📌Целевые ‎секторы‏ ‎и ‎регионы: UNC1549‏ ‎нацелен ‎на‏ ‎аэрокосмическую,‏ ‎авиационную ‎и‏ ‎оборонную ‎промышленность ‎Ближнем ‎Востоке, ‎затрагивая‏ ‎такие ‎страны,‏ ‎как‏ ‎Израиль, ‎ОАЭ ‎и,‏ ‎возможно, ‎Турцию,‏ ‎Индию ‎и ‎Албанию.

📌Продолжительность ‎кампании‏ ‎и‏ ‎методы ‎ее‏ ‎проведения: Кампания ‎проводится‏ ‎как ‎минимум ‎с ‎июня ‎2022‏ ‎года.‏ ‎Группа ‎использует‏ ‎сложные ‎методы‏ ‎кибершпионажа, ‎включая ‎скрытый ‎фишинг, ‎социальную‏ ‎инженерию‏ ‎и‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎Microsoft‏ ‎Azure ‎для‏ ‎C2.‏ ‎Они ‎используют‏ ‎различные ‎«приманки» ‎на ‎тему ‎предложения‏ ‎работ ‎и‏ ‎поддельные‏ ‎веб-сайты ‎для ‎внедрения‏ ‎вредоносного ‎ПО.

📌Вредоносные‏ ‎программы ‎и ‎инструменты: Два ‎основных‏ ‎бэкдора,‏ ‎MINIBIKE ‎и‏ ‎MINIBUSUS, ‎используются‏ ‎для ‎проникновения ‎в ‎целевые ‎сети‏ ‎и‏ ‎закрепления. ‎Эти‏ ‎инструменты ‎позволяют‏ ‎собирать ‎информацию ‎и ‎осуществлять ‎дальнейшее‏ ‎проникновение‏ ‎в‏ ‎сеть.

📌Стратегические ‎последствия:‏ ‎Разведданные, ‎собранные‏ ‎в ‎результате‏ ‎этой‏ ‎шпионской ‎деятельности,‏ ‎считаются ‎имеющими ‎стратегическое ‎значение ‎для‏ ‎иранских ‎интересов‏ ‎и‏ ‎потенциально ‎влияющими ‎как‏ ‎на ‎шпионаж,‏ ‎и ‎другие ‎операции.

📌Методы ‎предотвращения‏ ‎обнаружения: UNC1549‏ ‎использует ‎различные‏ ‎методы, ‎чтобы‏ ‎избежать ‎обнаружения ‎и ‎анализа. ‎К‏ ‎ним‏ ‎относятся ‎широкое‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎для ‎маскировки ‎своей ‎деятельности‏ ‎и‏ ‎создание‏ ‎поддельных ‎веб-сайтов‏ ‎о ‎вакансиях‏ ‎и ‎профилей‏ ‎в‏ ‎социальных ‎сетях‏ ‎для ‎распространения ‎вредоносного ‎ПО.

📌Текущее ‎состояние: Согласно‏ ‎последним ‎отчетам‏ ‎за‏ ‎февраль ‎2024 ‎года,‏ ‎кампания ‎остается‏ ‎активной, ‎и ‎компании, ‎занимающиеся‏ ‎кибербезопасностью,‏ ‎такие ‎как‏ ‎Mandiant ‎и‏ ‎Crowdstrike, ‎продолжают ‎предпринимать ‎усилия ‎по‏ ‎мониторингу‏ ‎и ‎противодействию‏ ‎этой ‎деятельности