RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

W biegu

Krok od totalnego chaosu i masowych hacków aplikacji w Internecie. W NPM można było bez autoryzacji publikować nowe wersje dowolnego pakietu!

17 listopada 2021, 12:18 | W biegu | 0 komentarzy
Krok od totalnego chaosu i masowych hacków aplikacji w Internecie. W NPM można było bez autoryzacji publikować nowe wersje dowolnego pakietu!

Do tej pory opisywaliśmy scenariusze, gdy ktoś hackował konto developera jakiegoś popularnego pakietu (np. NPM), a następnie wypuszczał nową wersję (w której był malware). W ten sposób złośliwy kod dostawał się do projektów, które wykonywały aktualizacje pakietów. Tutaj jednak NPM poinformował o znacznie gorszym problemie, który został zgłoszony do ich…

Czytaj dalej »

Operacja Laska Mojżesza – hackują izraelskie firmy. Szyfrują, leakują, zostawiają zgliszcza.

17 listopada 2021, 09:33 | W biegu | komentarze 2
Operacja Laska Mojżesza – hackują izraelskie firmy. Szyfrują, leakują, zostawiają zgliszcza.

Podsumowanie od Check Pointa tutaj (sporo smaczków technicznych!), a chodzi o operację czy grupę hackerską o kryptonimie MosesStaff. Napastnicy mają przede wszystkim motywację polityczną i chcą po prostu wyrządzić jak najwięcej szkód: MosesStaff behaves differently. The group openly states that their motivation in attacking Israeli companies is to cause damage…

Czytaj dalej »

Operacja zhackowania konta Michała Dworczyka ma źródło na Białorusi. Tak twierdzi firma Mandiant.

16 listopada 2021, 18:31 | W biegu | komentarze 3
Operacja zhackowania konta Michała Dworczyka ma źródło na Białorusi. Tak twierdzi firma Mandiant.

Najnowsze informacje opublikowane przez Mandiant, dość jednoznacznie oskarżają grupę APT łączoną m.in. ze zhackowaniem skrzynki Michała Dworczyka, o powiązania z rządem białoruskim: Mandiant Threat Intelligence assesses with high confidence that UNC1151 is linked to the Belarusian government. Z naszego punktu widzenia warto podkreślić kilka elementów – znaczna liczba celów grupy…

Czytaj dalej »

Szpital w Izraelu twierdzi, że jest przygotowany na atak ransomware. Ale coś poszło nie tak…

16 listopada 2021, 10:12 | W biegu | 0 komentarzy
Szpital w Izraelu twierdzi, że jest przygotowany na atak ransomware. Ale coś poszło nie tak…

Oryginalny tweet możecie zobaczyć tutaj: מביה״ח ברזילי מוסרים שהקטע צולם *לפני* המתקפה על הלל יפה. היום הם כבר יותר רגישים לפריימים שמצולמים אצלם. — Ben Mittelman (@BenMittelman) October 14, 2021 Więc relacja do telewizji, jesteśmy w razie czego przygotowani, a w tle dość intrygująca kartka. @lirantal przetłumaczył nam to tak:…

Czytaj dalej »

Ransomware. Przejęli sieć Windows i zaszyfrowali ją… Bitlockerem. Zobacz cały scenariusz ataku.

16 listopada 2021, 09:40 | W biegu | 0 komentarzy

Jeśli ktoś jest spragniony technicznych szczegółów – od razu odsyłam tutaj (w szczególności dostępne są tam wskazane użyte przez atakujących narzędzia często wraz z konkretnymi ich wywołaniami). A w skrócie: akcja rozpoczęła się od wykorzystania podatności w Exchange (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207 – znane zbiorczo jako ProxyShell). Odpalenie exploita na…

Czytaj dalej »

Zhackowali serwer FBI i wysłali > 100 000 maili ostrzegających o „cyberataku”

13 listopada 2021, 21:02 | W biegu | komentarze 2

O problemie donosi Spamhaus: Sam z kolei e-mail wygląda tak: Czy zaledwie podszyto się pod serwery FBI? Okazuje się, że nie – wiadomości zostały wysłane wprost z jednego z serwerów FBI (IP: 153.31.119.142 mx-east-ic.fbi.gov). Jeśli chcecie poanalizować trochę nagłówki tego maila, przykład podaje Bleepingcomputer: Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov) envelope-from…

Czytaj dalej »

Zainfekowali exploitami serwisy newsowe. Odwiedzasz – mają pełen dostęp (admina) na Twoim komputerze [Hong Kong]

12 listopada 2021, 12:03 | W biegu | komentarze 3
Zainfekowali exploitami serwisy newsowe. Odwiedzasz – mają pełen dostęp (admina) na Twoim komputerze [Hong Kong]

Wiele osób myśli – mamy kolejne zabezpieczenia w przeglądarkach, frameworkach, systemach operacyjnych. Jest też większa świadomość zagrożeń. Zatem Internet zmierza ku bardziej bezpiecznemu Internetowi! Naszym zdaniem jest jednak inaczej – niestety obrońcy przegrywają z napastnikami. Grupy APT z kolei uruchamiają coraz to bardziej śmiałe i skuteczne akcje. Zobaczcie na wpis…

Czytaj dalej »

„Niewidzialny” backdoor w JavaScript – zobacz Proof of Concept

12 listopada 2021, 09:35 | W biegu | komentarze 4

Kilka dni temu opisywaliśmy wykorzystanie algorytmu Bidi do ukrywania złośliwej zawartości w kodach źródłowych. Dziś natomiast zapoznamy się z tym opisem, który bardzo dobrze tłumaczy sposób dodania niewidocznego backdooru do kodu JavaScript. Wykorzystywany jest rzeczywisty niewidzialny znak (taki jak tutaj) w kodowaniu Unicode. Kod wygląda następująco: To typowy health check,…

Czytaj dalej »

Jak przełamać praktycznie dowolne 2FA? Zhackować konto korporacyjnego admina…

11 listopada 2021, 14:12 | W biegu | komentarzy 5
Jak przełamać praktycznie dowolne 2FA? Zhackować konto korporacyjnego admina…

Ten krótki news to małe postscriptum do ataku na platformę Robinhood, który opisywaliśmy niedawno. Jak donosi Vice, napastnik uzyskał za pomocą phishingu dostęp do konta pracownika mającego bardzo szerokie uprawnienia. W szczególności w panelu admina można było wykonywać rozmaite operacje na kontach użytkowników, w szczególności łatwo dostrzeżecie poniżej przycisk „Disable…

Czytaj dalej »

0-day w VPN od Palo Alto (GlobalProtect VPN RCE – CVE-2021-3064)

11 listopada 2021, 13:49 | W biegu | 0 komentarzy
0-day w VPN od Palo Alto (GlobalProtect VPN RCE – CVE-2021-3064)

VPNy to łakomy kąsek dla przestępców. Wyobraźcie sobie, że mamy podatność umożliwiającą przejęcie kontroli nad urządzeniem odpowiadającym za VPN w firmie (czyli de facto mamy możliwość dostania się do LAN danej firmy – bez żadnego uwierzytelnienia). No dobrze, nie musimy sobie wyobrażać, bo oto mamy taką podatność: Podatność została właśnie…

Czytaj dalej »

Ransomware w Mediamarkt – żądanie aż ~miliarda PLN w ramach okupu

10 listopada 2021, 12:16 | W biegu | komentarze 2
Ransomware w Mediamarkt – żądanie aż ~miliarda PLN w ramach okupu

O samym ataku sygnalizowaliśmy niedawno. Żądana kwota okupu wyniosła początkowo około miliarda PLN (przeliczenie z BTC), jednak ponoć po przystąpieniu MediaMarkt do negocjacji spadła do ~1/5 oryginalnego żądania. Podejrzewamy, że przestępcy zadowoliliby się nawet i paroma milionami… Co w Polsce? Sklepy na szczęście działają, choć można spodziewać się różnych perturbacji,…

Czytaj dalej »