Новостной Дайджест #17

Половина января пройдена, господа и дамы! Давайте-ка посмотрим, что приготовлено в новостях, мм?

В ServiceNow (американская компания, разрабатывающая ПО) нашли и закрыли неприятную дыру, которую назвали BodySnatcher. Смысл в том, что уязвимость давала возможность стать КЕМ УГОДНО в системе и делать то, что дают его права. Отсюда и название.

Самое интересное: для атаки не нужно взламывать пароль или обходить двухфакторку. Достаточно знать почту «жертвы» — и доступ тебе гарантирован. Работает даже если у человека админка.

Проблема касалась модулей, связанных с ИИ-агентами и виртуальным ассистентом, то есть там, где система сама может:

— создавать тикеты/задачи;

— запускать действия от имени пользователей;

— ходить в API и «решать вопросы» без ручного подтверждения;

— потенциально влиять на доступы, роли и внутренние процессы (в зависимости от прав жертвы).

Через эту связку и получалось взять такой контроль над целыми процессами компании, и выглядеть это будет максимально реально. ServiceNow уже залатала дыру, выпустив свежие обновления.

🔗 Источник

Обнаружили новую версию ботнета RondoDox — и тот уже сильно отличается от первой итерации. Если раньше он в основном бил по камерам или роутерам и использовал ограниченный набор уязвимостей, то теперь ботнет работает гораздо шире. Он пополнил запасы на более чем 75 эксплойтов и расширяет цели вплоть до корпоративных приложений.

Заражение у RondoDox v2 построено как многоступенчатая цепочка: сначала подтягивается shell-скрипт, затем — бинарник под нужную архитектуру устройства. Дальше ботнет старается закрепиться: отключить защитные механизмы системы, выгрузить некоторые процессы и встать на автозагрузку. Маскируется он с помощью обычного HTTP-трафика, а свои данные шифрует XOR’ом.

Но RondoDox не так уж и прост. Он имеет широкие возможности и для DDoS-атак: как от HTTP-флуда, так и до UDP-флуда. Индикаторы ботнета слиты, как и его сигнатуры. Новая версия ботнета использует открытые данные и почтовый адрес bang2013[@]atomicmail[.]io в коде, в HTTP-заголовках и внутри файлов на жёстком диске Подробности — в источнике.

🔗 Источник

Напоследок есть забавная новость с ещё одним методом угона аккаунта Госуслуг. Специалисты из Angara MTDR предупредили о новой схеме мошенничества. Злоумышленники крадут доступ к аккаунтам на Госуслугах, прикрываясь темой капитального ремонта и «обязательного взаимодействия через цифровые сервисы», этакое новое законодательство.

Как работает:

— человеку кидают приглашение в Telegram-чат якобы «от региона/администрации»;

— дальше предлагают проверить корректность данных или «попасть в список работ по капремонту»;

— для «подтверждения» отправляют в якобы официальный бот Госуслуг;

— в процессе выманивают логин/данные входа и коды двухфакторки, после чего учётку можно быстро перехватить.

Отдельно отмечают, что иногда чат создают под одну конкретную жертву, а остальные «участники» — боты, которые имитируют активность и подталкивают человека действовать быстрее.

Напоминаю! Никакие органы не отправят вам требования или решения вопросов в ваш личный телеграмм/ВК/другой мессенджер (за МАКС не отвечаю).

🔗 Источник

Помните, в этом мире Вы можете стать кем захотите, всё зависит от вас! Хорошей вам недели!