Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В Юго-Восточной Азии обнаружена масштабная шпионская киберкампания LuminousMoth, жертвами которой стали около ста организаций в Мьянме и 1400 на Филиппинах.

Схема кампании:

1. Жертва получает фишинговые письма со ссылкой на архив RAR в Dropbox.

2. Имена архивов могут быть различными. Среди них можно встретить и уже привычный COVID-брендинг и сообщения, адресованные органам государственной власти: COVID-19 Case 12-11-2020(MOTC).rar, DACU Projects.r01

3. Архив RAR маскируется под документ Word путем установки параметра «file_subpath» на имя файла с расширением .DOCX.

4. В архиве содержатся две вредоносных DLL-библиотеки и два легитимных исполняемых файла, которые при запуске загружают эти библиотеки:

5. После внедрения в систему малварь пытается распространиться на другие устройства в сети через съемные USB-носители. Если он находит такой носитель, то создает на нем скрытые директории и переносит туда все файлы с устройства жертвы, в том числе вредоносные.

6. В арсенале LuminousMoth есть еще два инструмента, которые используются на следующем этапе атаки. Один представляет собой фальшивую версию Zoom, а другой похищает cookie из браузера Chrome.

7. После закрепления в системе вредонос продолжает передавать данные на свой управляющий сервер. В атаках, проводимых в Мьянме, эти серверы часто выдавали себя за известные новостные ресурсы.

Мобильная безопасность

В Google Play Store обнаружена новая версия вредоносной программы Joker. Её авторы использовали множество новых приёмов, чтобы обойти сканеры официального магазина приложений.

Схема работы Joker.

Joker маскируют под легитимные приложения вроде игр, мессенджеров, редакторов фото, программ-переводчиков и обоев для рабочего стола.

Попав в систему, он начинает незаметно для пользователя имитировать клики, перехватывать СМС-сообщения и подписывать жертву на платные сервисы. Такие мобильные вредоносы относятся к категории fleeceware.

Как правило, жертва не подозревает о наличии вредоносного приложения, пока не получит счёт на крупную сумму. Кроме того fleeceware может передавать своим операторам сообщения, контакты и сведения об устройстве.

Атаки и уязвимости

В компьютерной системе управления кондиционерами компании Schneider Electric обнаружена уязвимость ModiPwn (CVE-2021-22779), которая позволяет полностью перехватить контроль над системой.

Обнаруженная проблема относится к классу уязвимостей удаленного выполнения кода и затрагивает программируемые логические контроллеры (ПЛК) Modicon, использующиеся на производственных предприятиях и электростанциях. С ее помощью злоумышленники могут осуществлять целый ряд различных атак, начиная от развертывания вымогательского ПО и заканчивая вмешательством в отправляемые промышленному оборудованию команды.

Атака требует доступа к Сети, что усложняет её проведение, но не делает ее невозможной даже для ПЛК, изолированных от других систем.

Инциденты

Американский ритейлер Guess предупредил, что в результате февральской атаки шифровальщика произошла утечка личных данных 1300 клиентов компании.

Скомпрометированная в ходе инцидента информация включала личные и финансовые данные: номера социального страхования, водительских удостоверений, паспортов, банковских счетов. Кроме того были раскрыты номера кредитных/дебетовых карт в сочетании с кодом безопасности, кодом доступа, паролем или PIN-кодом для учетной записи. Однако компания заявляет, что «по данным расследования информация о платежных картах клиентов не использовалась».

Виновником инцидента стала хакерская группировка DarkSide, известная по атаке на Colonial Pipeline. На сайте преступников сообщалось,, что в ходе атаки на Guess были похищены и зашифрованы более 200 Гб данных.

В свободном доступе обнаружен файл с персональными данными сотен тысяч пользователей телеграм-бота «Глаз Бога». По данным телеграм-канала Readovka сведения в базе настоящие.

Однако канал «Утечки информации» сообщает, что эта информация не входит ни в одну из известных баз Telegram и, скорее всего, была собрана парсингом мессенджера.

База содержит 774 871 запись с данными российских, украинских, белорусских пользователей Telegram и уже распространяется на тематических форумах. Записи содержат персональный идентификатор, номер телефона, псевдоним, имя и фамилию, указанные в мессенджере.

На хакерском форуме выставлен на продажу архив данных, содержащий сведения 632 699 профилей пользователей LinkedIn.

Архив включают полные имена пользователей, адреса электронной почты, телефонные номера, сведения о дате рождения и поле, ссылки на учетные записи в социальных сетях и другие данные, которые пользователи публично указали в своих профилях LinkedIn. Хотя строго говоря, подобная информация не является конфиденциальной, злоумышленники могут использовать ее для быстрого поиска новых целей на основе предпочитаемых преступниками методов социальной инженерии.

Эксперты предполагают, что данные в архиве получены путём скрапинга — автоматического сбора информации с сайта социальной сети.

Несмотря на то, что четыре месяца LinkedIn уже трижды становилась жертвой подобных инцидентов, в компании считают, что никакой проблемы нет.

«Наши команды исследовали набор предполагаемых данных LinkedIn, которые были выставлены на продажу. Мы хотим прояснить, что это не хищение данных и не было раскрыто никаких личных данных участников LinkedIn» — заявили представители соцсети.

Инвестиционная банковская компания Morgan Stanley сообщила , что личная информация некоторых её клиентов была скомпрометирована через стороннего поставщика, который использовал решение Accellion FTA.

Источником компрометации стала компания Guidehouse, предоставляющая банкирам услуги по обслуживанию счетов для программы StockPlan Connect.

В мае 2021 года Guidehouse проинформировала Morgan Stanley, что c помощью уязвимости в Accellion FTA злоумышленники получили доступ к документам Morgan Stanley, содержащим личную информацию участников StockPlan Connect. Украденные файлы были зашифрованы, но злоумышленник «смог получить ключ дешифрования в ходе взлома Accellion FTA». Похищенные данные включали имена, адреса, даты рождения, номера социального страхования и названия компаний.

Власти района Анхальт-Биттерфельд в Германии ввели чрезвычайное положение после хакерской атаки, которуе Федеральное ведомство по безопасности в сфере информационных технологий (BSI) назвало первой в истории страны киберкатастрофой.

Атака напрямую затронула «весь спектр оказываемых в регионе услуг», полностью парализовав инфраструктуру района с населением более 170 тыс. человек. Остановлена выплата социальных пособий, прекращено финансирование молодёжных программ, не работают компании.

Об объёме и характере украденных данных, а также о том, кто стоит за нападением, не сообщается.

На сайте электронного правительства Казахстана (egov.kz) более пяти месяцев размещаются документы, зараженные вредоносным ПО Razy.

Злоумышленники часто распространяют Razy в рамках watering hole атаки. Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. Аналогичным образом злоумышленники размещают малварь на ресурсе, который посещают намеченные жертвы и ждут, пока те проглотят наживку.

Образцы семейства Razy, изученные специалистами, представляют собой обычный троян-загрузчик, который маскируется под офисные документы.

Основная активность Razy направлена на получение финансовой выгоды. Для этого вредонос ворует учетные данные из браузеров жертв и захватывает контроль над буфером обмена, чтобы подменять попадающие в него адресов криптовалютных кошельков.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Операторы вымогателя REvil (Sodinokibi) получили доступ к инфраструктуре поставщика MSP-решений Kaseya и внедрили вредоносное обновление в программу VSA, в результате чего пострадали множество компаний-клиентов Kaseya.

Для взлома Kaseya атакующие проэксплуатировали ранее неизвестную уязвимость нулевого дня в сервере Kaseya VSA. Этот инцидент может стать крупнейшей вымогательской атакой в истории.

Благодаря вредоносному обновлению шифровальщик REvil был развернут в инфраструктуре более 1000 компаний, использовавших программу VSA. Пострадавшие получили записки с требованием выкупа в размере 50 тыс долларов США, если зараженные машины не присоединены к домену, или 5 млн долларов США, если компьютер входит в домен, то есть является частью большой корпоративной сети.

Аналитики компании ESET сообщают, что фиксируют всплеск заражений REvil, который связывают с компрометаций с Kaseya. Согласно телеметрии компании, большинство заражений касаются систем, расположенных в Великобритании, Южной Африке, Германии и США.

#ESETresearch responded to ransomware deployed as supply-chain attack against #Kaseya VSA users attributed to #REvil beginning Friday afternoon EDT (US)/evening CEST (Europe). Detection was added for Win32/Filecoder.Sodinokibi.N on Friday shortly after.https://t.co/O6ESZMUMmQ 1/3 pic.twitter.com/ipCNz0FDpO

— ESET research (@ESETresearch) July 4, 2021

От атаки шифровальщика REvil пострадала Coop, одна из крупнейших сетей супермаркетов Швеции.: ей пришлось закрыть почти 800 магазинов по всей стране. И хотя Coop обвинила в случившемся одного из своих поставщиков, инцидент произошел в то же время, когда хакеры проникли в сеть Kaseya., а поставщик, очевидно, был клиентом MSP.

Хакеры опубликовали сообщение в своем блоге, где официально взяли на себя ответственность за эту атаку и заявили, что заблокировали более миллиона систем.

Универсальный дешифратор, который может разблокировать все компьютеры, пострадавшие после взлома Kaseya, хакеры предлагают приобрести за 70 млн долларов США.

На хакерских форумах появились базы с информацией о пользователях социальной сети Gettr, созданной сторонниками Дональда Трампа.

Два дампа были собраны 1 и 5 июля, причем первая партия данных собрана путем обычного скрапинга сайта, а вторая более объемная утечка на 90 тыс. записей — появилась благодаря злоупотреблению незащищенными программными интерфейсами Gettr.

Базы содержат настоящие имена пользователей, описания из их профилей, никнеймы, а также адрес электронной почты, год рождения и данные о местоположении. Журналисты подтверждают, что информация подлинная.

Санитарная комиссия пригородов Вашингтона WSSC Water стала жертвой вымогательского ПО.

Во время инцидента 24 мая 2021 года злоумышленникам удалось получить доступ к внутренним файлам WSSC Water, но никаких манипуляций с водопроводной водой зафиксировано не было.. Регулятор удалил вредоносное ПО из своей сети в течение нескольких часов после заражения.

Как уверили в WSSC Water, системы фильтрации и очистки воды не подключены к интернету, поэтому не пострадали от атаки. Все зашифрованные вымогательским ПО файлы были восстановлены из резервных копий, и инцидент не оказал существенного влияния на работу.

Компания уведомила об инциденте клиентов, к чьим данным получили доступ киберпреступники. В качестве компенсации им было предложено пять лет бесплатного кредитного мониторинга и страхование от кражи личности на сумму 1 млн долларов США.

Киберкампании

Новая фишинговая кампания нацелена на кандидатов на должности инженеров в США и Европе.

Схема кампании:

1. Хакеры распространяют вредоносные документы в письмах, замаскированных под письма от оборонных подрядчиков и инженерных компаний, таких как Airbus, General Motors (GM) и Rheinmetall.
2. Документы содержат макросы с зашифрованным исполняемым файлом.
3. Все файлы, создаваемые этим макросом, сохраняются в новой папке C:/Drivers. Расшифровка полезной нагрузки осуществляется системной утилиты Windows Certutil, которую вредонос копирует в ту же папку под другим именем. После извлечения содержимого все исходники удаляются из системы.
4. Полезная нагрузка (загрузчик) внедряется в память запущенного процесса explorer.exe посредством использования Mavinject, еще одного легитимного инструмента Windows.
5. Адрес командного сервера, с которого на зараженную машину отдается неустановленная вредоносная программа, жестко прописан в коде загрузчика. Домен был зарегистрирован несколько лет назад.
6. В ходе email-кампании злоумышленники слегка корректируют и совершенствуют свой код для большей скрытности. В течение мая слегка изменился порядок обмена вредоноса с управляющим сервером, в июне — внедрена новая техника инъекции и исполнения кода и произведен отказ от использования Mavinject.

Киберпреступники используют массовые атаки вымогательского ПО REvil через MSP-провайдера Kaseya как инфоповод для спам-кампании, в рамках которой рассылают агент Cobalt Strike под видом обновлений безопасности для Kaseya VSA.

A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike.
It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability! pic.twitter.com/0nIAOX786i

— Malwarebytes Threat Intelligence (@MBThreatIntel) July 6, 2021

Cobalt Strike — профессиональный инструмент для тестирования безопасности и симуляции угроз, который киберпреступники используют для выполнения различных задач после первоначального взлома сети, в частности, для получения удаленного доступа к скомпрометированным системам. Целью таких атак обычно является похищение данных и/или развертывание вредоносного ПО.

В обнаруженной спам-кампании используются два способа развертывания Cobalt Strike:

• через письма с вредоносным вложением
• через письма со встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil.

Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч от Microsoft, злоумышленники получают постоянный удаленный доступ к ее компьютеру.

Мобильная безопасность

Около 93 тыс. пользователей платили за 172 Android-приложения для облачного майнинга криптовалют, которые не работали.

Исследователи разделили приложения на два семейства:

• BitScam с 83 800 установок;
• CloudScam с 9600 установок.

25 фальшивых приложений были доступны в официальном Google Play Store, а остальные распространялись через сторонние магазины приложений.

Вопреки рекламе, в приложениях попросту не было функций облачного майнинга. Вместо этого мошенники продавали пустышки без каких-либо функций. Всего им удалось «заработать» более 350 тыс. долларов США. 300 тыс из них — от продажи приложений и еще 50 тыс. — за фальшивые обновления.

Девять Android-приложений, загруженные почти 6 млн раз, были пойманы на краже учетных данных от Facebook.

Трояны-стилеры распространялись под видом безобидных программ:

• фоторедактор Processing Photo,
• App Lock Keep от разработчика Sheralaw Rence,
• App Lock Manager от разработчика Implummet col,
• Lockit Master от разработчика Enali mchicolo,
• утилита для оптимизации работы Android-устройств Rubbish Cleaner от разработчика SNT.rbcl,
• Horoscope Daily от разработчика HscopeDaily momo,
• Horoscope Pi от разработчика Talleyr Shauna,
• фитнес-программа Inwell Fitness,
• редактор изображений PIP Photo, который распространял разработчик Lillians.

Все приложения были полностью работоспособными, что ослабляло бдительность потенциальных жертв. Для доступа ко всем функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. Реклама внутри некоторых приложений действительно присутствовала, и этот должно было побудить владельцев Android-устройств выполнить нужное злоумышленникам действие.

Примечательно, что форма входа в Facebook была настоящей. Для обмана жертв трояны применяли специальный механизм:

• Получив после запуска необходимые настройки с одного из управляющих серверов, они загружали легитимную страницу социальной сети (https://www.facebook.com/login.php) в WebView.
• В этот же самый WebView загружался полученный с сервера злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации.
• Этот JavaScript, при помощи методов, предоставленных через аннотацию JavascriptInterface, передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников.
• После того как жертва входила в свою учетную запись, трояны дополнительно похищали куки текущей сессии авторизации и отправляли их преступникам.

Атаки и уязвимости

Обнаружено ещё одно имя беспроводной сети, «убивающее» Wi-Fi в iPhone.

You can permanently disable any iOS device's WiFI by hosting a public WiFi named %secretclub%power
Resetting network settings is not guaranteed to restore functionality.#infosec #0day

— Carl Schou (@vm_call) July 4, 2021

Оказалось, что Wi-Fi на iPhone (и других iOS-устройствах) также отказывает при подключении к сети с именем «%secretclub%power». После подключения к такой сети устройство больше не сможет использовать Wi-Fi и любые связанные с ним функции.

Seriously, I still don’t have WiFi pic.twitter.com/AaF9IQBvCp

— Carl Schou (@vm_call) July 4, 2021

Обнаруживший проблему исследователь предупреждает, что ему не помог ни сброс настроек, ни принудительная перезагрузка девайса. Он уже сообщил о проблеме Apple, однако до сих пор не получил от компании никакого ответа.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники научились имитировать страницы оплаты, защищенные 3-D Secure, одной из наиболее эффективных технологий для обеспечения защиты платежных данных пользователей при онлайн-оплате покупок.

Схема кампании:

1. Создав фишинговую страницу интернет-магазина («мерчанта»), мошенники привлекали на неё посетителей мошеннической рекламой, спам-рассылкой, продажей товара или услуги на досках объявлений.

2. Чтобы оплатить выбранный товар или услугу (билет на поезд, бытовую технику, доставку), жертва вводил на мошенническом ресурсе реквизиты своей банковской карты в форму приема платежа, по аналогии с тем, как это обычно делается на привычных легитимных ресурсах

3. Введённые данные попадали на сервер мошенника, откуда происходило обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника.

4. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.

5. Чтобы скрыть от «жертвы» факт использования P2P-сервиса банка на сервере мошенника производится подмена реальной информации на подложные данные об онлайн-магазине.

6. Мошенники перенаправляют покупателя на легитимную 3-D Secure страницу банка, но уже с подмененными данными, которые он и видит на этой странице.

7. Таким образом, для жертвы всё выглядит вполне законно: после ввода платежных данных для оплаты выбранного товара на телефон приходит SMS-код для подтверждения транзакции, а на экране отображается легитимная 3-D Secure страница банка. Фактически же, после подтверждения «оплаты товара» деньги уходят на карту мошенника

«Используя эту схему, злоумышленники обходят фактически все проверки, реализованные сегодня на стороне банков для борьбы с такого рода мошенничеством. Большинство банков даже не подозревают о том, как именно мошенники обкрадывают их клиентов, поскольку классические системы анти-фрода расценивают данные транзакции, как легитимные. Как результат банк отказывает клиентам в возврате потерянных денежных средств, поскольку это „добровольный“ платеж, подтвержденный SMS-кодом».

Павел Крылов, Руководитель направления по противодействию онлайн-мошенничеству Group-IB

Обнаружена мошенническая схема для обхода ограничений на посещение ресторанов и развлекательных заведений Москвы.

Обойти требования мэрии можно с помощью генератора QR-кодов и привязки кода к сайту, имитирующему страницу на «Госуслугах». На сайте придется ввести свои персональные данные, в том числе паспортные. В случае проверки такого кода сотрудник ресторана может не заметить подмены домена.

Эксперты считают, что даже самый бдительный официант не может быть внимательным 100% времени и гарантировать, что гиперссылка с QR-кода ведет на реальную базу настоящего портала «Госуслуги».

Атаки и уязвимости

На GitHub случайно был опубликован код для эксплуатации уязвимости CVE-2021-1675 в Windows Print Spooler (spoolsv.exe), получившей название PrintNightmare.

Изначально проблема была классифицирована как уязвимость повышения привилегий, позволяющая злоумышленникам получить права администратора. Позже Microsoft обновила описание и отнесла CVE-2021-1675 к семейству уязвимостей удаленного выполнения кода.

На прошлой неделе китайская ИБ-компания QiAnXin показала файл GIFс демонстрацией эксплуатации CVE-2021-1675. Публикация не содержала никаких технических подробностей, чтобы дать пользователям больше времени на установку исправлений.

Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw

— RedDrip Team (@RedDrip7) June 28, 2021

Вскоре после публикации ИБ-специалисты из компании Sangfor опубликовали на GitHub полностью рабочий код эксплуатации уязвимости. Они обнаружили проблему независимо от команды, которая сообщила об уязвимости Microsoft, и увидев, что другая компания обнародовала проблему, поделились своей работой.

Вскоре эксперты Sangrof сообразили, что раскрыли полный доклад, который планировали представить на конференции по кибербезопасности Black Hat USA 2021. Они удалили репозиторий с GitHub, но к тому времени информация об уязвимости уже была растиражирована и теперь распространяется на закрытых форумах.

Злоумышленники могут захватить контроль над виртуальными машинами Google Compute Engine из-за уязвимой реализации протокола DHCP (ISC DHCP), в которой используется ненадежный генератор случайных чисел.

Атака предполагает перегрузку атакуемой виртуальной машины DHCP-трафиком, в результате чего она начинает использовать сервер метаданных, подконтрольный злоумышленникам, находящимся в той же сети, или на другом конце интернета. Источником мусорного DHCP-трафика может быть соседняя подконтрольная злоумышленникам система в Google Cloud.

Если атакуемая виртуальная машина вместо сервера Google использует для настройки конфигурации вредоносный сервер метаданных, злоумышленники могут авторизоваться на ней через SSH в качестве суперпользователя. Поскольку Google распространяет SSH-ключи через сервера метаданных, внедрив свой сервер, атакующий может получить доступ к виртуальным машинам через SSH.

В браузере Microsoft Edge обнаружены две уязвимости. Эксплуатация одной из них позволяет внедрить и выполнить произвольный код в контексте любого сайта.

CVE-2021-34506 — уязвимость универсального межсайтового выполнения сценариев (UXSS) и проявляется при автоматическом переводе страниц с использованием встроенной функции браузера через Microsoft Translator.

Функция перевода содержит фрагмент уязвимого кода, который не может очистить вводимые данные, что позволяет злоумышленнику добавить вредоносный JavaScript-код в любое место web-страницы. Код будет выполнен, когда пользователь щелкнет на уведомление, предлагающее перевести страницу на другой язык.

Эксперты продемонстрировали, что атаку можно провести с помощью простого добавления комментария с полезной нагрузкой XSS к видео на YouTube, написанного на языке, отличном от английского:

Аналогичным образом запрос на добавление в друзья из профиля Facebook, содержащий контент на другом языке и полезную нагрузку XSS, выполняет код, когда получатель запроса перейдёт в профиль пользователя:

В технологии NFC обнаружен набор уязвимостей, позволяющих взломать банкоматы и платежные терминалы, просто помахав смартфоном перед бесконтактным кард-ридером.

В процессе изучения NFC и платежных терминалов выяснилось, что все они не проверяют размер пакета данных, отправленного через NFC с кредитной карты на ридер. Это позволило разработать приложение, которое отправляет специально сформированный пакет данных со смартфона на ридер и вызывает переполнение буфера.

«Вы можете модифицировать прошивку и изменить цену, например, на один доллар, даже если экран показывает, что вы платите пятьдесят долларов. Вы можете сделать устройство бесполезным или установить какое-то вымогательское ПО. Существует множество возможностей. Если вы проведете атаку и отправите специальную полезную нагрузку на компьютер банкомата, то сможете получить наличные, просто коснувшись экрана смартфона»

Жузеп Родригез, эксперт, обнаруживший уязвимость

В числе уязвимых — устройства ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS и Nexgo.

Компания Adversa AI разработала новый метод обмана систем распознавания лиц на базе искусственного интеллекта путем добавления на фотографии так называемого шума.

Шум представляет собой крошечные частички данных, которые невозможно увидеть невооруженным глазом, однако их достаточно, чтобы заставить систему распознавания лиц поверить, будто на фото изображен другой человек. В одном из экспериментов удалось заставить систему распознавания лиц PimEyes распознать руководителя Adversa AI Алекса Полякова за Илона Маска.

Атака получила название «Состязательный осьминог» («Adversarial Octopus») и отличается от аналогичных атак состязательного типа следующими особенностями:

• Adversarial Octopus только маскирует изображенного на фото человека, а не превращает его в кого-то другого;
• вместо добавления шума к данным изображения, на котором обучаются модели ИИ (так называемая атака отравления), новый метод предполагает внесение изменений в изображение, которое будет вводиться в систему распознавания лиц, и не требует внутренних знаний о том, как обучалась эта система.

Инциденты

В результате массовой кибератаки содержимое тысяч сетевых накопителей WD MyBook Live и WD MyBook Live Duo по всему миру оказалось уничтожено.

Источником проблем стала незакрытая уязвимость CVE-2018-18472 , обнаруженная. Данная уязвимость позволяет злоумышленникам удаленно обходить аутентификацию на устройствах Western Digital My Book и запускать команды с привилегиями суперпользователя.

Однако самая свежая версия прошивки для накопителей WD MyBook Live и WD MyBook Live Duo датирована 2015 годом,

Это позволило неустановленному злоумышленнику воспользоваться этой уязвимостью для сброса настроек, в результате чего с NAS были стерты все данные.

На одном из популярных хакерских форумов RaidForums предлагают к продаже данные 700 млн пользователей социальной сети LinkedIn.

БД содержит адрес электронной почты, полное имя, номер телефона, домашний адрес, геолокация, имя пользователя и URL профиля, история работы и учетные записи в других соцсетях.

Пока неизвестно, каким образом была получена эта информация, однако эксперты допускают, что это агрегированные сведения, полученные из разных источников. Автор, разместивший публикацию на форуме, заявляет, что данные были получены с помощью API LinkedIn.

Американское подразделение Mercedes-Benz сообщило об утечке данных 1,6 млн клиентов.

Скомпрометированные сведения включали имена клиентов, адреса, электронную почту, номера телефонов и некоторую информацию о приобретенных автомобилях.

Инцидент произошел 11 июня 2021 года из-за незащищенного облачного хранилища. Утечка затрагивает некоторых клиентов и потенциальных покупателей автомобилей, которые в период с 1 января 2014 года по 19 июня 2017 года вводили конфиденциальную информацию на сайтах компании и дилеров Mercedez-Benz.

Расследование случившегося продолжается, но уже сейчас известно, что среди утекших данных также встречались:

• кредитные рейтинги клиентов;
• номера водительских удостоверений;
• номера социального страхования;
• номера кредитных карт;
• даты рождения.

В открытом доступе обнаружена незащищенная база данных клиентов Wordpress-хостинга DreamPress.

База имеет размер более 86 ГБ и содержит более 814 млн записей с информацией об именах пользователей, отображаемых именах, адресах электронной почты и прочими сведениями, относящимися к аккаунтам DreamPress.

Утекшая база данных включала информацию о WordPress-аккаунтах, размещавшихся или установленных на серверах DreamHost, за период с марта 2018 года по апрель 2021 года. В частности, записи содержали администраторскую и пользовательскую информацию (URL-адрес входа администратора, имена и фамилии, адреса электронной почты внутренних и внешних пользователей, логины, роли), IP-адрес хоста и временные метки, сведения о сборке и версии, подробности о плагинах и темах, включая конфигурацию и для чего они использовались.

Сервис проверки учетных данных компании Bi.zone, показал, что информация о логинах и паролях более 1,2 млн россиян находится в свободном доступе в результате утечек данных.

Данная информация доступна не только в даркнете, но и в обычном интернете, и поскольку она находится в свободном доступе, злоумышленникам даже нет необходимости ее покупать.