The Legion

Discord выпустил AutoMod – инструмент для автоматической модерации чатов

2022-06-17T12:12:30.891Z

Инструмент снимет часть нагрузки с живых модераторов.

AutoMod сканирует серверы Discord на наличие определенных слов и фраз, после чего может автоматически реагировать: блокировать сообщения, предупреждать администраторов о нарушениях и блокировать пользователей, нарушающих правила. Инструмент был доступен на паре тестовых серверов в течение нескольких месяцев, но теперь AutoMod работает на любом крупном сервере Discord.

AutoMod от Discord предлагает альтернативу сторонним ботам-модераторам, которые использовались для автоматической модерации сообществ на платформе. На момент релиза AutoMod предлагает три готовых списка запрещенных слов, которые модераторы. Также есть возможность добавления до трех пользовательских списков запрещенных слов. Согласно FAQ Discord, в будущем AutoMod будет включать функции обнаружения и блокирования вредоносных ссылок и спама.

Инструмент доступен владельцам крупных Discord-серверов и модераторам с правами управления сервером. На небольших серверах AutoMod будет недоступен.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Хакеры эксплуатировали уязвимость в межсетевых экранах Sophos за 3 недели до исправления

2022-06-17T09:26:44.119Z

Китайская APT-группа DriftingCloud эксплуатирует уязвимость с начала марта 2022 года.

На этой неделе ИБ-компания Volexity выпустила отчет, согласно которому критическая уязвимость нулевого дня в межсетевых экранах Sophos эксплуатировалась китайскими хакерами за несколько недель до выхода исправления.

25 марта 2022 года компания Sophos опубликовала уведомление безопасности об уязвимости обхода аутентификации CVE-2022-1040 в User Portal и Webadmin межсетевых экранов Sophos, позволяющей удаленно выполнить код на уязвимой системе. Спустя три дня компания сообщила, что киберпреступники уже эксплуатируют ее в атаках на организации в странах Южной Азии.

Теперь же исследователи Volexity рассказали об атаках китайской APT-группы DriftingCloud, эксплуатирующей данную уязвимость с начала марта 2022 года. То есть, хакеры вооружились ею как минимум за три недели до выхода исправления.

Как сообщили исследователи, в марте они зафиксировали вредоносную активность с участием межсетевого экрана Sophos в сети одного из клиентов Volexity. Как оказалось, злоумышленники взломали межсетевой экран с целью установить web-оболочки (бэкдоры) и вредоносное ПО, позволяющее скомпрометировать внешние системы за пределами сети, защищенной межсетевым экраном Sophos.

Когда Volexity начала свое расследование, хакеры все еще были активными, и исследователи могли отслеживать каждый их шаг. Злоумышленники пытались скрыть свой трафик, получая доступ к web-оболочкам с помощью запросов к легитимному файлу login.jsp.

Копнув глубже, исследователи обнаружили, что хакеры использовали фреймворк Behinder, использующийся и другими китайскими APT-группами, эксплуатирующими уязвимость CVE-2022-26134 в серверах Confluence.

По словам экспертов, получение доступа к межсетевому экрану Sophos было первым этапом атаки, благодаря которому злоумышленники могли осуществлять атаки «человек посередине» путем модифицирования DNS-ответов для определенных web-сайтов, управляемых атакуемой компанией. Это позволяло им перехватывать пользовательские учетные данные и cookie-файлы для административного доступа к системе управления контентом (CMS).

Получив доступ к страницам администрирования, хакеры установили плагин File Manager для управления файлами сайта (загрузки, выгрузки, удаления, редактирования). Имея доступ к web-серверу, DriftingCloud устанавливала трояны для удаленного доступа PupyRAT, Pantegana и Sliver.

Исследователи из JFrog нашли новую опасную RCE-уязвимость в библиотеке Fastjson

2022-06-17T09:24:03.943Z

Уязвимость затрагивает все Java-приложения на Fastjson 1.2.80 и более ранних версиях.

Уязвимость отслеживается как CVE-2022-25845 (имеет оценку 8.1 по шкале CVSS) и связана с деселеризацией недоверенных данных в функции AutoType. Сопровождающие проекта исправили уязвимость в версии 1.2.83, выпущенной 23 мая 2022 года.

"Эта уязвимость затрагивает все Java-приложения, которые передают данные, контролируемые пользователем, API JSON.parse или JSON.parseObject без указания конкретного класса для десериализации и используют Fastjson 1.2.80 и более ранних версий библиотеки", – сказал Урия Явниели из JFrog в своем письме.

Fastjson – Java-библиотека, которая используется для преобразования Java-объектов в их JSON и наоборот. Уязвимая функция AutoType включена по умолчанию и предназначена для указания пользовательского типа при разборе входных данных JSON, которые затем могут быть десериализованы в объект соответствующего класса.

"Однако, если десериализованный JSON контролируется пользователем, его парсинг с включенным AutoType может привести к небезопасной десериализации, поскольку злоумышленник может создать любой класс, доступный в Classpath, и передать его конструктору произвольные аргументы", – пояснил Явниели.

Хотя сопровождающие проекта ранее ввели режим safeMode, отключающий AutoType, и начали вести блок-лист классов для защиты от уязвимостей десериализации, CVE-2022-25845 обходит ограничения и позволяет злоумышленникам удаленно выполнять код.

Специалисты рекомендуют пользователям Fastjson обновить версию библиотеки до 1.2.83 или включить safeMode, который отключает функцию независимо от используемых allowlist и blocklist.

Уязвимость Demonic позволяет опустошать чужие криптокошельки

2022-06-17T09:21:37.777Z

С помощью уязвимости хакеры могут похитить сид-фразу и импортировать чужой криптокошелек на свое устройство.

MetaMask и Phantom предупредили своих пользователей об уязвимости Demonic, позволяющей злоумышленникам узнавать секретные фразы для восстановления доступа к криптовалютным кошелькам и, соответственно, похищать хранящиеся в них средства и NFT-токены. Специалисты организации Halborn, занимающейся безопасностью блокчейна, обнаружили проблему в сентябре 2021 года и сообщили о ней разработчикам криптовалютных кошельков.

Фразы для восстановления или так называемые сид-фразы представляют собой набор слов, играющих роль понятного для человека ключа от криптовалютного кошелька. Любой, кто получит доступ к сид-фразе, сможет импортировать кошелек на собственное устройство и воспользоваться его содержимым.

Уязвимость, получившая идентификатор CVE-2022-32969, связана с тем, как браузеры сохраняют на диск содержимое полей для ввода данных (не паролей) в рамках стандартного механизма восстановления сеанса.

Google Chrome и Mozilla Firefox кэшируют данные, вводимые пользователем в текстовые поля (кроме паролей), чтобы восстановить их на случай аварийного завершения работы. Поскольку для ввода сид-фразы такие расширения для браузера, как Metamask, Phantom и Brave используют поля, не предназначенные для ввода пароля, она сохраняется на диск в текстовом виде.

Злоумышленник или вредоносное ПО с доступом к компьютеру может похитить сид-фразу и импортировать криптокошелек на другое устройство. Для осуществления атаки необходим физический доступ к компьютеру или удаленный (например, через RAT-троян). Однако, если жесткий диск зашифрован, даже если злоумышленнику удастся похитить его содержимое, без криптографического ключа он не сможет извлечь сид-фразу.

Как пояснили специалисты Halborn, для успешного осуществления атаки нужно, чтобы жертва поставила галочку возле «Показывать фразу для восстановления». Однако это не является проблемой, поскольку многие используют эту функцию с целью убедиться, что они вводят правильные слова, ведь фраза длинная, и сделать опечатку очень легко.

Metamask исправил проблему в версии расширения 10.11.3, xDefi – в версии 13.3.8, а Phantom устранил ее в апреле 2022 года. Brave пока не опубликовал никакого заявления относительно уязвимости.

Отключение Internet Explorer вызвало панику в Японии

2022-06-17T09:19:43.970Z

Прекращение поддержки Internet Explorer привело к срыву работы японских компаний

Корпорация Microsoft официально прекратила работу Internet Explorer с 15 июня. Такое решение вызвало панику у топ-менеджеров в Японии, сообщает издание Nikkei.

По словам источника, многие японские чиновники и топ-менеджеры до последнего откладывали переход на современные интернет-ресурсы. Браузер использовали не только для просмотра сайтов, но и в качестве средства для контроля посещаемости сотрудников. IE также позволял работать с внутрикорпоративными инструментами.

В результате огромному числу фирм и государственных структур Японии теперь необходимо срочно найти замену и перевести все рабочие процессы на новую программу, так как это угрожает срыву деятельности сотрудников.

По данным издания, токийский разработчик программного обеспечения Computer Engineering & Consulting (CEC) с апреля получает невероятное количество заказов по переработке веб-сайтов, оптимизированных только под Internet Explorer. Ожидается, что связанный с отключением программы хаос в Японии продлится минимум несколько месяцев.

Минюст США заявил о ликвидации хакерской сети из России

2022-06-17T09:17:57.775Z

Соединенные Штаты вместе с Великобританией, Германией и Нидерландами пресекли деятельность ботнета RSOCKS

Американский минюст заявил, что ликвидирована инфраструктура российского ботнета, известного как RSOCKS.

Как сообщается, операцию провели совместно США, Великобритания, Германия и Нидерланды. Сеть под названием RSOCKS объединяла миллионы взломанных компьютеров и других электронных устройств по всему миру.

В сообщении министерства говорится, что операцию по борьбе с хакерской сетью начали еще в 2017 году. Тогда выяснилось, что преступники взломали около 325 тыс. электронных устройств, многие из которых находились в округе Сан-Диего.

Ботнет изначально был рассчитан для использования в интернете вещей (IoT), но сеть удалось задействовать и на других типах устройств, в том числе на платформе Android, и на обычных компьютерах.

Расследование проводили американская прокуратура, ФБР, отдел по компьютерным преступлениям Минюста. Ни имен, ни количества задействованных в сети хакеров не раскрывают.

В России должен появиться центр предупреждения и обнаружения кибератак

2022-06-17T09:15:42.923Z

«Газпром-Медиа Холдинг» с партнерами создадут Центр компетенций по кибербезопасности

Руководство «Газпром-Медиа Холдинга», представители IT-компаний и государственных структур выступили с инициативой создания Центра компетенций по кибербезопасности в медиа. В рамках 25 Петербургского международного экономического форума прошла деловая сессия RUTUBE «Информационная борьба: защита национального медийного суверенитета».

«Создание Центра предупреждения и обнаружения кибератак позволило бы в закрытом режиме обмениваться специфической информацией. Это должны обсуждать специалисты, делать общие выводы. Специалисты оценивают, что мы пока находимся в стадии не кибервойны, но <...> киберхулиганства. Но нам к этой войне нужно подготовиться, перчатка брошена. Локальная история с атакой на Rutube должна требовать индустриальной реакции», - заявил генеральный директор «Газпром-Медиа» Александр Жаров.

По словам Жарова, даже в мировом плане всего 77% компаний имеют базовый уровень информационной безопасности, а 23% компаний — почти четверть — вообще не защищены. Это касается в том числе и российских компаний.

«Произошедшие публичные инциденты с нарушением целостности контура компании, утраты сервисов говорят о том, что информирован — значит вооружен, вооружен — значит нужно действовать», - сказал он.

Александр Жаров обратил внимание на то, что важно и образование сотрудников. Около 2% топ-менеджеровв мире применяют примитивные пароли, которые вскрываются даже дилетантом.

Google оштрафован на 15 млн рублей за отказ локализовать данные пользователей в России

2022-06-16T20:33:28.486Z

Суд в Москве оштрафовал Google на 15 млн рублей за отказ локализовать данные россиян

16 июня 2022 года мировой суд Таганского района г. Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении иностранных компаний, не локализовавших базы данных российских пользователей на территории РФ.

По составленному Роскомнадзором протоколу (согласно части 9 статьи 13.11 КоАП РФ) Google LLC продолжает хранить персональные данные российских пользователей на территориях США и Европейского союза. В июле 2021 года Google оштрафовали первый раз на 3 миллиона рублей за отказ локализовать персональные данные россиян.

«Суд признал виновным Google Ltd в административном правонарушении, предусмотренном ч. 9 ст. 13.11 КоАП РФ (повторное невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, или извлечения персональных данных граждан Российской Федерации) и назначил ему наказание в виде штрафа в размере 15 млн рублей», — огласил приговор судья.

Согласно российскому законодательству оператор обязан обеспечить хранение баз данных россиян на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152 «О персональных данных»). Локализация баз данных на территории РФ позволяет обеспечить необходимый уровень защищённости персональных данных российских граждан.

На ТЭЦ Байкальска нашли три подпольных майнинговых фермы

2022-06-16T20:30:11.149Z

Администрация Байкальска незаконно сдавала ТЭЦ под фермы для майнинга

В Байкальске по решению прокуратуры Иркутской области закрыты три майнинговые фермы. Как рассказали в надзорном ведомстве, местные власти запустили криптовалютчиков на один из самых проблемных объектов города – местную ТЭЦ.

Напомним, оборудование для майнинга, размещенное в помещениях ТЭЦ обнаружили в апреле 2022 года. Оно было установлено на основании договора аренды с администрацией города. Кроме того, в действиях двух из «майнеров» выявлены грубые нарушения требований пожарной безопасности.

Прокуратура Иркутской области установила факты незаконного размещения тремя организациями майнингового оборудования на ТЭЦ Байкальска, в том числе с нарушением требований пожарной безопасности, ограничения конкуренции при распоряжении названным муниципальным имуществом.

После вмешательства надзорного ведомства было возбуждено уголовное дело о превышении должностных полномочий, сообщили в пресс-службе облпрокуратуры.

По принятому решению суда объекты ТЭЦ должны быть возвращены администрации Байкальска по окончании отопительного сезона, который заканчивался в середине мая. Но администрация города в разрез решению суда заключила договор аренды с тем же юридическим лицом.

На данный момент муниципальное имущество возвращено городу, а организации-майнеры освободили занимаемые площади.

К административной ответственности с назначением наказания в виде штрафа привлечен глава администрации Байкальского городского поселения.

А за нарушение требований пожарной двум безопасности владельцем майнингового оборудования назначен штраф в 150 тысяч рублей.

Сбербанк: Украина – центр международного кибертерроризма

2022-06-16T20:28:20.201Z

С территории Украины совершаются военные действия в киберпространстве

Украина становится "международным террористическим центром" в киберпространстве. Атаки с ее территории совершаются не только против России, но и против европейских стран. Об этом заявил заместитель председателя правления Сбербанка Станислав Кузнецов, сообщает ТАСС.

Сбербанк зафиксировал, что одновременно в "киберударах" участвует более 100 тысяч человек, при этом всего число участвующих в кибервойне против России достигает 300-330 тысяч человек.

По словам Кузнецова, зарегистрированы, в частности, атаки против Германии и Польши. "И мы зафиксировали, задокументировали, что сегодня телефонные мошенники, или хакеры, или киберпреступники работают уже против европейских стран. Это новая ситуация", - отметил Кузнецов.

Представитель Сбера рассказал об обнаруженном в Бердянске области кол-центре, работу которого обеспечивала инфраструктура в нескольких странах, включая Эстонию, откуда предоставлялись услуги подмены номера и защита от определения места совершения звонка.