Ostatnie wiadomości
#41
macOS / [News] Nowy atak SysBumps prze...
Last post by ZiBi - 04 Sty 2025, 23:07Naukowcy z Uniwersytetu Korea odkryli nową metodę ataku nazwaną "SysBumps", która skutecznie omija zabezpieczenia KASLR w komputerach Mac z procesorami Apple Silicon. To przełomowe odkrycie ujawnia istotną lukę w autorskich procesorach Apple opartych na architekturze ARM.
Kluczowe ustalenia:
Metoda ataku obejmuje:
Luka dotyczy wszystkich testowanych procesorów z serii M /bez M4/, co stanowi poważne zagrożenie dla bezpieczeństwa architektury sprzętowej Apple. Choć obecnie nie ma dostępnej poprawki, zaleca się regularne aktualizowanie oprogramowania.
Ciekawe, czy nowe procesory z nowej serii M4 też są podatne na tą metodę ataku.
Źródło:
Kluczowe ustalenia:
- Pierwszy skuteczny atak na KASLR w procesorach Apple Silicon
- 96,28% skuteczności w określaniu bazowych adresów jądra
- Czas wykonania około 3 sekund
- Działa na różnych procesorach z serii M
Metoda ataku obejmuje:
- Wykorzystanie spekulatywnego wykonywania w wywołaniach systemowych
- Użycie TLB jako kanału pobocznego
- Konstrukcję mechanizmu weryfikującego poprawność adresów jądra
- Stopniowe mapowanie przestrzeni pamięci jądra
Luka dotyczy wszystkich testowanych procesorów z serii M /bez M4/, co stanowi poważne zagrożenie dla bezpieczeństwa architektury sprzętowej Apple. Choć obecnie nie ma dostępnej poprawki, zaleca się regularne aktualizowanie oprogramowania.
Ciekawe, czy nowe procesory z nowej serii M4 też są podatne na tą metodę ataku.
Źródło:
Kod [Zaznacz]
https://cybersecuritynews.com/sysbumps/ #42
Bezpieczeństwo i Prywatność / [News] Krytyczne luki w router...
Last post by ZiBi - 03 Sty 2025, 22:27ASUS ujawnił krytyczne luki bezpieczeństwa w kilku modelach routerów, które mogą pozwolić uwierzytelnionym atakującym na wykonanie dowolnych poleceń poprzez funkcję AiCloud. Podatności, oznaczone jako CVE-2024-12912 i CVE-2024-13062, dotyczą urządzeń z wersjami oprogramowania 3.0.0.4_386, 3.0.0.4_388 oraz 3.0.0.6_102.
Luki wpływają na mechanizmy wykonywania poleceń w określonych wersjach oprogramowania, potencjalnie narażając całe sieci domowe i firmowe. ASUS zareagował wydaniem natychmiastowych aktualizacji oprogramowania dostępnych na stronie wsparcia technicznego i stronach produktowych.
Dla użytkowników starszych routerów z oprogramowaniem 3.0.0.4_382, ASUS zdecydowanie zaleca wdrożenie wszystkich dostępnych zabezpieczeń i rozważenie wymiany sprzętu.
Źródło:
Luki wpływają na mechanizmy wykonywania poleceń w określonych wersjach oprogramowania, potencjalnie narażając całe sieci domowe i firmowe. ASUS zareagował wydaniem natychmiastowych aktualizacji oprogramowania dostępnych na stronie wsparcia technicznego i stronach produktowych.
Dla użytkowników starszych routerów z oprogramowaniem 3.0.0.4_382, ASUS zdecydowanie zaleca wdrożenie wszystkich dostępnych zabezpieczeń i rozważenie wymiany sprzętu.
Źródło:
Kod [Zaznacz]
https://cybersecuritynews.com/asus-router-vulnerabilities/ #43
Bezpieczeństwo i Prywatność / [News] Nowy ransomware Nitroge...
Last post by ZiBi - 02 Sty 2025, 21:52Nowy wariant ransomware o nazwie Nitrogen pojawił się jako poważne zagrożenie, atakując organizacje z różnych sektorów w ciągu ostatnich czterech miesięcy. Złośliwe oprogramowanie głównie dotyka firmy w USA, Kanadzie i Wielkiej Brytanii, przy czym USA stanowi ponad 50% incydentów.
Główne cechy ataku:
Ransomware zostawia plik 'readme.txt' ostrzegający ofiary przed zgłaszaniem się do organów ścigania lub zewnętrznych firm, grożąc utratą danych lub konsekwencjami związanymi z RODO. Złośliwe oprogramowanie wykorzystuje zaawansowane mechanizmy przeciwdziałające analizie, w tym wykrywanie debugowania, zaciemnianie kodu i rozpoznawanie systemu. Głównym celem są sektory krytyczne, szczególnie produkcja, usługi finansowe i firmy technologiczne.
Źródło:
Główne cechy ataku:
- Początkowe zarażenie przez złośliwe reklamy w Google i Bing
- Fałszywe pobieranie oprogramowania podszywającego się pod legalne aplikacje
- Szyfrowanie plików z rozszerzeniem .NBA
- Strategia podwójnego wymuszenia z groźbą wycieku danych
Ransomware zostawia plik 'readme.txt' ostrzegający ofiary przed zgłaszaniem się do organów ścigania lub zewnętrznych firm, grożąc utratą danych lub konsekwencjami związanymi z RODO. Złośliwe oprogramowanie wykorzystuje zaawansowane mechanizmy przeciwdziałające analizie, w tym wykrywanie debugowania, zaciemnianie kodu i rozpoznawanie systemu. Głównym celem są sektory krytyczne, szczególnie produkcja, usługi finansowe i firmy technologiczne.
Źródło:
Kod [Zaznacz]
https://cybersecuritynews.com/nitrogen-ransomware-attacks-organizations/ #44
Rozmowy o wszystkim i niczym / Telefonia VoIP
Last post by Ymarg - 02 Sty 2025, 09:29Cześć,
od jakiegoś czasu rozważam testowa/zabawowe uruchomienie telefonii VoIP, raczej w formie komunikacji wewnętrznej niż dodawania publicznych numerów do aparatów (choć nie wykluczam). Mam kilka telefonów Cisco, ale te dziady potrzebują zassać z tftp konfigurację i to najlepiej z centralki 'by Cisco', czyli kosztownej jak na zabawkę.
Macie jakieś doświadczenia w tej materii? Jak zmusić telefony Cisco do pracy z niefirmową centralką, z czego w takich zabawach warto a z czego nie warto?
Ostatnio trafiłem na YouTube na film, jak gość taki system telefonii w domu zintegrował z asystentem AI, a że zajmuję się automatyką domową pomyślałem, że to też ciekawy temat do zrobienia. Najważniejszy jednak pierwszy krok ;-)
od jakiegoś czasu rozważam testowa/zabawowe uruchomienie telefonii VoIP, raczej w formie komunikacji wewnętrznej niż dodawania publicznych numerów do aparatów (choć nie wykluczam). Mam kilka telefonów Cisco, ale te dziady potrzebują zassać z tftp konfigurację i to najlepiej z centralki 'by Cisco', czyli kosztownej jak na zabawkę.
Macie jakieś doświadczenia w tej materii? Jak zmusić telefony Cisco do pracy z niefirmową centralką, z czego w takich zabawach warto a z czego nie warto?
Ostatnio trafiłem na YouTube na film, jak gość taki system telefonii w domu zintegrował z asystentem AI, a że zajmuję się automatyką domową pomyślałem, że to też ciekawy temat do zrobienia. Najważniejszy jednak pierwszy krok ;-)
#45
Bezpieczeństwo i Prywatność / [News] 35 rozszerzeń Chrome zh...
Last post by ZiBi - 01 Sty 2025, 21:44W wyniku zaawansowanej kampanii phishingowej przejęto kontrolę nad 35 rozszerzeniami przeglądarki Google Chrome, co zagraża około 2,6 milionom użytkowników. Atakujący uzyskali dostęp wysyłając fałszywe wiadomości podszywające się pod wsparcie techniczne Chrome Web Store, nakłaniając twórców rozszerzeń do przyznania uprawnień OAuth.
Główne aspekty ataku:
Firma Cyberhaven z Kalifornii potwierdziła włamanie do swojego rozszerzenia w Wigilię. Wśród zaatakowanych dodatków znajdują się "AI Assistant", "VPNCity", "Reader Mode" i "Web Mirror". Przestępcy wykorzystali fałszywą aplikację "Privacy Policy Extension" do przejęcia kont deweloperskich.
Źródło:
Główne aspekty ataku:
- Przejęte rozszerzenia obejmują narzędzia VPN, dodatki AI i aplikacje zwiększające produktywność
- Złośliwy kod wykrada tokeny sesji, pliki cookie i dane logowania
- Szczególnie narażone są panele reklamowe Facebook Ads
- Wdrożono serwery sterujące do zdalnej konfiguracji i wykradania danych
- Kampania trwa od marca 2024 roku
Firma Cyberhaven z Kalifornii potwierdziła włamanie do swojego rozszerzenia w Wigilię. Wśród zaatakowanych dodatków znajdują się "AI Assistant", "VPNCity", "Reader Mode" i "Web Mirror". Przestępcy wykorzystali fałszywą aplikację "Privacy Policy Extension" do przejęcia kont deweloperskich.
Źródło:
Kod [Zaznacz]
https://cybersecuritynews.com/35-google-chrome-extensions-hacked/ #46
Sztuczna Inteligencja (AI) / Odp: [News] ChatGPT Pro - nowy...
Last post by chinczyk - 01 Sty 2025, 20:10Jak coś jest mało rentowne, dodaj tekst, zwiększ cenę i sukces gotowy 
#47
Bezpieczeństwo i Prywatność / [News] Twórcy YouTube celem ka...
Last post by ZiBi - 20 Gru 2024, 22:20Cyberprzestępcy prowadzą wyrafinowaną kampanię złośliwego oprogramowania (malware) skierowaną przeciwko twórcom YouTube, wykorzystując fałszywe propozycje współpracy marketingowej. Atakujący wysyłają wiadomości phishingowe podszywające się pod znane marki, a złośliwy kod ukrywają w plikach oznaczonych jako dokumenty biznesowe, przesyłanych przez zabezpieczone hasłem linki OneDrive.
Kluczowe elementy kampanii:
Złośliwe oprogramowanie wykorzystuje zaawansowane techniki maskowania, w tym wielopoziomową kompresję, nazwy legalnych plików oraz wstrzykiwanie procesów. Po zainfekowaniu systemu, malware nawiązuje połączenie z serwerami Command & Control (C2) w celu eksfiltracji skradzionych danych.
Analiza techniczna wiąże kampanię z malware Lumma Stealer. Zgromadzone wskaźniki kompromitacji (IOCs) potwierdzają użycie zautomatyzowanych narzędzi do masowej dystrybucji, pozwalających atakować setki potencjalnych ofiar każdego dnia.
Źródło:
Kluczowe elementy kampanii:
- Początkowy wektor ataku: Automatyczne zbieranie (scraping) adresów email z kanałów YouTube
- Metoda dostarczenia: Wiadomości phishingowe z linkami do chronionych archiwów w OneDrive
- Wdrożenie malware: Wieloetapowy proces wykorzystujący skrypty AutoIt i wstrzykiwanie procesów (process injection)
- Zakres kradzieży danych: Dane uwierzytelniające, pliki cookies, zawartość schowka, dostęp systemowy
- Infrastruktura: Sieć 340+ serwerów SMTP, 46+ punktów dostępowych RDP, 26+ proxy SOCKS5
Złośliwe oprogramowanie wykorzystuje zaawansowane techniki maskowania, w tym wielopoziomową kompresję, nazwy legalnych plików oraz wstrzykiwanie procesów. Po zainfekowaniu systemu, malware nawiązuje połączenie z serwerami Command & Control (C2) w celu eksfiltracji skradzionych danych.
Analiza techniczna wiąże kampanię z malware Lumma Stealer. Zgromadzone wskaźniki kompromitacji (IOCs) potwierdzają użycie zautomatyzowanych narzędzi do masowej dystrybucji, pozwalających atakować setki potencjalnych ofiar każdego dnia.
Źródło:
Kod [Zaznacz]
https://www.cloudsek.com/blog/how-threat-actors-exploit-brand-collaborations-to-target-popular-youtube-channels #48
Bezpieczeństwo i Prywatność / [News] Wykradziono 390 tys. da...
Last post by ZiBi - 19 Gru 2024, 20:56Firma Datadog Security Labs wykryła kampanię cyberprzestępczą, w której skradziono ponad 390 000 danych logowania do WordPressa. Przestępcy wykorzystali obecnie już usunięte repozytorium (github[.]com/hpc20235/yawpp), które podszywało się pod narzędzie do publikacji postów w WordPressie. Za atakiem stoi grupa oznaczona jako MUT-1244 (MUT - mysterious unattributed threat).
Atakujący stosowali dwie główne metody działania:
Szkodliwe oprogramowanie było dostarczane czterema kanałami:
Złośliwy pakiet npm @0xengine/xmlrpc pozostawał aktywny przez ponad rok i został pobrany około 1790 razy. Celem ataków byli głównie testerzy penetracyjni i badacze bezpieczeństwa. Wykradzione dane obejmowały klucze SSH, dane dostępowe do AWS oraz historię poleceń. Wszystkie przechwycone informacje były przesyłane na konto Dropbox kontrolowane przez przestępców.
Źródło:
Atakujący stosowali dwie główne metody działania:
- Złośliwe repozytorium wykorzystujące interfejs XML-RPC WordPressa
- Kampanie phishingowe nakłaniające do uruchomienia fałszywych aktualizacji
Szkodliwe oprogramowanie było dostarczane czterema kanałami:
- Plik konfiguracyjny kompilacji z tylną furtką
- Złośliwy ładunek ukryty w pliku PDF
- Dropper napisany w Pythonie
- Dołączenie złośliwego pakietu npm "0xengine/meow"
Złośliwy pakiet npm @0xengine/xmlrpc pozostawał aktywny przez ponad rok i został pobrany około 1790 razy. Celem ataków byli głównie testerzy penetracyjni i badacze bezpieczeństwa. Wykradzione dane obejmowały klucze SSH, dane dostępowe do AWS oraz historię poleceń. Wszystkie przechwycone informacje były przesyłane na konto Dropbox kontrolowane przez przestępców.
Źródło:
Kod [Zaznacz]
https://thehackernews.com/2024/12/390000-wordpress-credentials-stolen-via.html #49
Bezpieczeństwo i Prywatność / [News] Lotnisko Chopina wymien...
Last post by ZiBi - 19 Gru 2024, 20:29Warszawskie Lotnisko Chopina wymieni cztery chińskie skanery kontroli bezpieczeństwa firmy Nuctech w pierwszym kwartale 2025 roku. Podczas audytu w 2020 roku wykryto, że urządzenia wysyłają metadane w nieznanym kierunku. Zgodnie z chińskim prawem, sprzęt może przekazywać dane tamtejszemu wywiadowi i służbom bezpieczeństwa. Nowe urządzenia dostarczy firma Dimark S.A./Anglosec.
Problem dotyczy również innych lokalizacji - identyczne skanery zakupiono niedawno na lotnisku w Lublinie. Sprzęt Nuctech jest obecnie używany w 170 krajach, mimo że Stany Zjednoczone zakazały jego stosowania już 10 lat temu. Podobne decyzje podjęły również Kanada i Litwa.
Parlament Europejski apeluje o rezygnację z chińskiego i rosyjskiego sprzętu oraz oprogramowania, ostrzegając przed zagrożeniem poufności, integralności i dostępności danych. Producent odpiera zarzuty, zapewniając o zgodności z wymogami UE i deklarując, że dane należą wyłącznie do klientów firmy.
Źródło:
Problem dotyczy również innych lokalizacji - identyczne skanery zakupiono niedawno na lotnisku w Lublinie. Sprzęt Nuctech jest obecnie używany w 170 krajach, mimo że Stany Zjednoczone zakazały jego stosowania już 10 lat temu. Podobne decyzje podjęły również Kanada i Litwa.
Parlament Europejski apeluje o rezygnację z chińskiego i rosyjskiego sprzętu oraz oprogramowania, ostrzegając przed zagrożeniem poufności, integralności i dostępności danych. Producent odpiera zarzuty, zapewniając o zgodności z wymogami UE i deklarując, że dane należą wyłącznie do klientów firmy.
Źródło:
Kod [Zaznacz]
https://www.fly4free.pl/lotnisko-chopina-wymieni-chinskie-skanery/ #50
Bezpieczeństwo i Prywatność / [News] TP-Link zagrożony zakaz...
Last post by ZiBi - 18 Gru 2024, 21:34Amerykańskie władze badają, czy routery TP-Link stanowią zagrożenie dla bezpieczeństwa narodowego i rozważają wprowadzenie zakazu ich sprzedaży. Dochodzenie prowadzone przez Departamenty Handlu, Obrony i Sprawiedliwości dotyczy firmy kontrolującej niemal 65% amerykańskiego rynku routerów domowych i biurowych, której urządzenia są wykorzystywane w instytucjach rządowych i wojskowych.
Microsoft ujawnił, że chińscy hakerzy wykorzystują botnet złożony głównie z routerów TP-Link do ataków na użytkowników usługi Azure. Szczególne zaniepokojenie budzi obecność tych urządzeń w amerykańskich bazach wojskowych, gdzie są sprzedawane przez Army & Air Force Exchange oraz Navy Exchange.
Departament Sprawiedliwości bada również, czy niezwykle niskie ceny produktów TP-Link nie naruszają przepisów antymonopolowych. Równolegle prowadzone są analizy dotyczące podatności zabezpieczeń i braku odpowiedniej reakcji producenta na zgłoszenia badaczy.
Choć nie znaleziono dowodów świadomego udziału TP-Link w chińskich cyberatakach, firma pozostaje pod ścisłą kontrolą władz. TP-Link, która niedawno przeniosła swoją siedzibę do USA, deklaruje pełną współpracę z władzami i zgodność swoich praktyk bezpieczeństwa ze standardami branżowymi.
Źródło:
Microsoft ujawnił, że chińscy hakerzy wykorzystują botnet złożony głównie z routerów TP-Link do ataków na użytkowników usługi Azure. Szczególne zaniepokojenie budzi obecność tych urządzeń w amerykańskich bazach wojskowych, gdzie są sprzedawane przez Army & Air Force Exchange oraz Navy Exchange.
Departament Sprawiedliwości bada również, czy niezwykle niskie ceny produktów TP-Link nie naruszają przepisów antymonopolowych. Równolegle prowadzone są analizy dotyczące podatności zabezpieczeń i braku odpowiedniej reakcji producenta na zgłoszenia badaczy.
Choć nie znaleziono dowodów świadomego udziału TP-Link w chińskich cyberatakach, firma pozostaje pod ścisłą kontrolą władz. TP-Link, która niedawno przeniosła swoją siedzibę do USA, deklaruje pełną współpracę z władzami i zgodność swoich praktyk bezpieczeństwa ze standardami branżowymi.
Źródło:
Kod [Zaznacz]
https://arstechnica.com/tech-policy/2024/12/report-us-considers-banning-tp-link-routers-over-security-flaws-ties-to-china/