1. „Niewidzialny\u201d skaner z\u0142o\u015bliwego oprogramowania w chmurze – Microsoft przedstawia Projekt Freta<\/strong><\/h2>\n\n\n\u015arodowiska chmurowe z tysi\u0105cami maszyn wirtualnych dzia\u0142aj\u0105cych jednocze\u015bnie\u2026 Uzyskanie gwarancji na to, \u017ce na \u017cadnej z nich nie dzia\u0142a z\u0142o\u015bliwe oprogramowanie, mo\u017ce by\u0107 dla wielu administrator\u00f3w trudnym \u2013 je\u015bli nie karko\u0142omnym – zadaniem. Aby przeskanowa\u0107 maszyny w poszukiwaniu potencjalnego zagro\u017cenia, admin musi najpierw zainstalowa\u0107 na ka\u017cdej z nich odpowiednie oprogramowanie. Jest to czasoch\u0142onne. Jednak g\u0142\u00f3wny problem le\u017cy zupe\u0142nie gdzie indziej. Z\u0142o\u015bliwy program szybko dostrze\u017ce, \u017ce w systemie dzia\u0142a inny program kt\u00f3rego g\u0142\u00f3wnym zadaniem jest jego wykrycie… Malware mo\u017ce te\u017c odkry\u0107, \u017ce tak naprawd\u0119 dzia\u0142a w \u015brodowisku wirtualnym i przerwie wszystkie swoje procesy. Tak czy inaczej \u2013 z\u0142o\u015bliwy program uniknie wykrycia. Co mo\u017cna wi\u0119c zrobi\u0107 w takiej sytuacji?<\/p>\n\n\n\n
Wed\u0142ug Mike’a Walkera, starszego dyrektora New Security Ventures w Microsoft, gdy atakuj\u0105cy i obro\u0144cy dziel\u0105 si\u0119 mikro-architektur\u0105, ka\u017cdy ruch tego drugiego zak\u0142\u00f3ca \u015brodowisko w spos\u00f3b, kt\u00f3ry ten pierwszy jest w stanie szybko wy\u0142apa\u0107. I tak narodzi\u0142 si\u0119 pomys\u0142 na Projekt Freta.<\/p>\n\n\n\n
Badacze ca\u0142kowicie oddzielili p\u0142aszczyzn\u0119 bezpiecze\u0144stwa od p\u0142aszczyzny obliczeniowej. Mechanizm skanowania pozostawia pami\u0119\u0107 maszyny wirtualnej nietkni\u0119t\u0105, wi\u0119c sam proces jest niewidoczny dla z\u0142o\u015bliwego oprogramowania. Projekt Freta sprawdza, jakie obiekty systemowe przechowuje VM w oparciu o migawk\u0119 systemu Linux, wyszukuj\u0105c podejrzane procesy, pliki pami\u0119ci, czy modu\u0142y j\u0105dra i sieci.<\/p>\n\n\n\n
Jest to dopiero pocz\u0105tek, ale ostatecznym celem jest uczynienie z chmury miejsca niemo\u017cliwego do przeprowadzania jakichkolwiek cybertak\u00f3w. Ju\u017c teraz u\u017cytkownik mo\u017ce przesy\u0142a\u0107 obrazy (pliki .vmrs, .lime, .core lub .raw) za po\u015brednictwem interface\u2019u webowego lub API. Nast\u0119pnie zostaje wygenerowany szczeg\u00f3\u0142owy raport \u2013 kt\u00f3ry dla wygody u\u017cytkownik\u00f3w \u2013 mo\u017cna pobra\u0107 w formie pliku JSON.<\/p>\n\n\n\n
Projekt Freta – brzmi znajomo?<\/strong> Nic dziwnego. Nazwa projektu pochodzi od nazwy warszawskiej ulicy Freta. To w\u0142a\u015bnie tam urodzi\u0142a si\u0119 Maria Curie-Sk\u0142odowska \u2013 s\u0142ynna polska fizyk oraz dwukrotna laureatka Nagrody Nobla (w fizyce oraz chemii).<\/p>\n\n\n\nDowiedz si\u0119 wi\u0119cej: The Hacker News<\/a> | Microsoft Research Blog<\/a> | Project Freta documentation<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Robisz zakupy online? Magecart kradnie dane z 570 sklep\u00f3w, w tym polskich<\/strong><\/h2>\n\n\nSzkodliwe oprogramowanie Magecart (pisali\u015bmy o nim np. tutaj<\/a>) do kradzie\u017cy danych kart p\u0142atniczych zosta\u0142o wykryte na 570 stronach internetowych nale\u017c\u0105cych do ma\u0142ych i \u015brednich sklep\u00f3w online w 55 krajach. G\u0142\u00f3wnie w USA, Wielkiej Brytanii, ale te\u017c Holandii, Francji czy Indiach. Atak nie omin\u0105\u0142 r\u00f3wnie\u017c polskich sklep\u00f3w internetowych.<\/p>\n\n\n\nZesp\u00f3\u0142 bezpiecze\u0144stwa Gemini Advisory odkry\u0142, \u017ce cybergang nazywany Keeper zaatakowa\u0142 setki sklep\u00f3w online w ci\u0105gu ostatnich trzech lat. Jak? Osadzaj\u0105c z\u0142o\u015bliwy JavaScript w logo firmy i innych plikach graficznych na stronach za pomoc\u0105 steganografii<\/a>. Umo\u017cliwia\u0142 on przekazywanie oszustom danych kart kredytowych, kt\u00f3re ofiary wpisywa\u0142y w formularzu zakupu.\u00a0<\/p>\n\n\n\nGrupa Keeper obejmuje po\u0142\u0105czon\u0105 sie\u0107 64 domen wykorzystywanych do dostarczania szkodliwych \u0142adunk\u00f3w JS i 73 domen eksfiltracyjnych u\u017cywanych do kradzie\u017cy danych kart p\u0142atniczych z domen ofiar.<\/p>\n\n\n\n
Okazuje si\u0119, \u017ce ponad 85% zaatakowanych stron korzysta\u0142o z Magento CMS, 5% z WordPress i 4% z Shopify. Celem by\u0142y mali i \u015bredni sprzedawcy, poniewa\u017c rzadko kiedy maj\u0105 dedykowany zesp\u00f3\u0142 i \u015brodki na bezpiecze\u0144stwo IT oraz do\u015b\u0107 wolno wdra\u017caj\u0105 aktualizacje CMS i wtyczek.<\/p>\n\n\n\n
Badacze oszacowali, \u017ce od 2017 roku grupa mog\u0142a wygenerowa\u0107 ponad 7 mln USD ze sprzeda\u017cy skradzionych danych kart p\u0142atniczych. <\/p>\n\n\n\n
Jak si\u0119 chroni\u0107?<\/strong> Sprzedawcy, poza inwestycj\u0105 w bezpiecze\u0144stwo IT i pilnowanie aktualizacji, mog\u0105 zrobi\u0107 niewiele. Kupuj\u0105cy natomiast mog\u0105 omija\u0107 mniejsze sklepy i korzysta\u0107 z wtyczek do przegl\u0105darek blokuj\u0105cych \u0142adowanie JavaScript z niezaufanych stron, ale to te\u017c nie daje 100% gwarancji.<\/p>\n\n\n\nPe\u0142na lista zainfekowanych stron znajduje si\u0119 tutaj<\/a>.<\/p>\n\n\n\n\u0179r\u00f3d\u0142a: 1<\/a> |\u00a02<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/580-x-400.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Hakerzy przej\u0119li 240 stron hostowanych na Azure – w tym Warner Bros, Volvo, Siemens<\/strong><\/h2>\n\n\nUNESCO, Czerwony Krzy\u017c, Siemens, Xerox, 3M, Warner Bros, Toshiba, Volvo, Hawaiian Airlines… Te subdomeny znajduj\u0105 si\u0119 na li\u015bcie 240 przej\u0119tych stron internetowych, kt\u00f3re nale\u017c\u0105 do najbardziej znanych organizacji i marek na ca\u0142ym \u015bwiecie. Okazuje si\u0119, \u017ce by\u0142y wykorzystywane przez cyberprzest\u0119pc\u00f3w do dystrybucji z\u0142o\u015bliwego oprogramowania i rozszerze\u0144 Chrome oraz przekierowywania u\u017cytkownik\u00f3w na strony zwi\u0105zane z hazardem i pornografi\u0105. <\/p>\n\n\n\n
Co je \u0142\u0105czy? <\/strong>Wszystkie by\u0142y hostowane przez Microsoft Azure.<\/p>\n\n\n\nO przej\u0119tych nazwach domen poinformowa\u0142 Zach Edwards z Victory Medium. W czerwcu zg\u0142osi\u0142 problem zar\u00f3wno do Microsoftu jak i poszkodowanych firm.<\/p>\n\n\n\n
Wed\u0142ug Edwardsa wi\u0119kszo\u015b\u0107 subdomen zosta\u0142a przej\u0119ta przez jedn\u0105 grup\u0119, kt\u00f3ra jego zdaniem by\u0142a aktywna przez pi\u0119\u0107 lat. Wed\u0142ug analizy ma ona poparcie mi\u0119dzynarodowego gangu przest\u0119pczego. Grupa jest o wiele bardziej zaawansowana i zautomatyzowana, ni\u017c si\u0119 spodziewano – uderzy\u0142a w mn\u00f3stwo organizacji i przes\u0142a\u0142a jeszcze wi\u0119cej z\u0142o\u015bliwego oprogramowania.<\/p>\n\n\n\n
Hakerzy po przej\u0119ciu domeny pr\u00f3bowali ukry\u0107 swoj\u0105 obecno\u015b\u0107 poprzez wy\u015bwietlanie na subdomenach komunikat\u00f3w typu \u201cComing soon\u201d lub b\u0142\u0119d\u00f3w 404. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o zagro\u017cenia. <\/strong>Najwi\u0119kszym problemem jest fakt, \u017ce wpisy DNS witryny s\u0105 przejmowane g\u0142\u00f3wnie w wyniku sposobu ich hostowania, nie tylko przez Azure, ale spor\u0105 cz\u0119\u015b\u0107 dostawc\u00f3w hostingu. Problem ten polega na tym, \u017ce kiedy sko\u0144czy si\u0119 wa\u017cno\u015b\u0107 subdomeny (powsta\u0142ej np. na potrzeby kampanii marketingowej) i firma przestaje za ni\u0105 p\u0142aci\u0107, nazwa ta staje si\u0119 dost\u0119pna dla innej osoby – w tym cyberprzest\u0119pc\u00f3w. Poszukuj\u0105 oni takich wycofanych i zapomnianych nazw serwer\u00f3w w chmurze, kt\u00f3re nigdy nie zosta\u0142y poprawnie usuni\u0119te z DNS.<\/p>\n\n\n\nPe\u0142na lista znajduje si\u0119 tutaj<\/a>. Radzimy jednak NIE odwiedza\u0107 tych domen, poniewa\u017c mog\u0105 one zainfekowa\u0107 urz\u0105dzenie z\u0142o\u015bliwym oprogramowaniem. Oko\u0142o 20% z nich ju\u017c zosta\u0142o usuni\u0119tych.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\n
Dowiedz si\u0119 wi\u0119cej: The Hacker News<\/a> | Microsoft Research Blog<\/a> | Project Freta documentation<\/a><\/p>\n\n\n\n Szkodliwe oprogramowanie Magecart (pisali\u015bmy o nim np. tutaj<\/a>) do kradzie\u017cy danych kart p\u0142atniczych zosta\u0142o wykryte na 570 stronach internetowych nale\u017c\u0105cych do ma\u0142ych i \u015brednich sklep\u00f3w online w 55 krajach. G\u0142\u00f3wnie w USA, Wielkiej Brytanii, ale te\u017c Holandii, Francji czy Indiach. Atak nie omin\u0105\u0142 r\u00f3wnie\u017c polskich sklep\u00f3w internetowych.<\/p>\n\n\n\n Zesp\u00f3\u0142 bezpiecze\u0144stwa Gemini Advisory odkry\u0142, \u017ce cybergang nazywany Keeper zaatakowa\u0142 setki sklep\u00f3w online w ci\u0105gu ostatnich trzech lat. Jak? Osadzaj\u0105c z\u0142o\u015bliwy JavaScript w logo firmy i innych plikach graficznych na stronach za pomoc\u0105 steganografii<\/a>. Umo\u017cliwia\u0142 on przekazywanie oszustom danych kart kredytowych, kt\u00f3re ofiary wpisywa\u0142y w formularzu zakupu.\u00a0<\/p>\n\n\n\n Grupa Keeper obejmuje po\u0142\u0105czon\u0105 sie\u0107 64 domen wykorzystywanych do dostarczania szkodliwych \u0142adunk\u00f3w JS i 73 domen eksfiltracyjnych u\u017cywanych do kradzie\u017cy danych kart p\u0142atniczych z domen ofiar.<\/p>\n\n\n\n Okazuje si\u0119, \u017ce ponad 85% zaatakowanych stron korzysta\u0142o z Magento CMS, 5% z WordPress i 4% z Shopify. Celem by\u0142y mali i \u015bredni sprzedawcy, poniewa\u017c rzadko kiedy maj\u0105 dedykowany zesp\u00f3\u0142 i \u015brodki na bezpiecze\u0144stwo IT oraz do\u015b\u0107 wolno wdra\u017caj\u0105 aktualizacje CMS i wtyczek.<\/p>\n\n\n\n Badacze oszacowali, \u017ce od 2017 roku grupa mog\u0142a wygenerowa\u0107 ponad 7 mln USD ze sprzeda\u017cy skradzionych danych kart p\u0142atniczych. <\/p>\n\n\n\n Jak si\u0119 chroni\u0107?<\/strong> Sprzedawcy, poza inwestycj\u0105 w bezpiecze\u0144stwo IT i pilnowanie aktualizacji, mog\u0105 zrobi\u0107 niewiele. Kupuj\u0105cy natomiast mog\u0105 omija\u0107 mniejsze sklepy i korzysta\u0107 z wtyczek do przegl\u0105darek blokuj\u0105cych \u0142adowanie JavaScript z niezaufanych stron, ale to te\u017c nie daje 100% gwarancji.<\/p>\n\n\n\n Pe\u0142na lista zainfekowanych stron znajduje si\u0119 tutaj<\/a>.<\/p>\n\n\n\n \u0179r\u00f3d\u0142a: 1<\/a> |\u00a02<\/a><\/p>\n\n\n\n UNESCO, Czerwony Krzy\u017c, Siemens, Xerox, 3M, Warner Bros, Toshiba, Volvo, Hawaiian Airlines… Te subdomeny znajduj\u0105 si\u0119 na li\u015bcie 240 przej\u0119tych stron internetowych, kt\u00f3re nale\u017c\u0105 do najbardziej znanych organizacji i marek na ca\u0142ym \u015bwiecie. Okazuje si\u0119, \u017ce by\u0142y wykorzystywane przez cyberprzest\u0119pc\u00f3w do dystrybucji z\u0142o\u015bliwego oprogramowania i rozszerze\u0144 Chrome oraz przekierowywania u\u017cytkownik\u00f3w na strony zwi\u0105zane z hazardem i pornografi\u0105. <\/p>\n\n\n\n Co je \u0142\u0105czy? <\/strong>Wszystkie by\u0142y hostowane przez Microsoft Azure.<\/p>\n\n\n\n O przej\u0119tych nazwach domen poinformowa\u0142 Zach Edwards z Victory Medium. W czerwcu zg\u0142osi\u0142 problem zar\u00f3wno do Microsoftu jak i poszkodowanych firm.<\/p>\n\n\n\n Wed\u0142ug Edwardsa wi\u0119kszo\u015b\u0107 subdomen zosta\u0142a przej\u0119ta przez jedn\u0105 grup\u0119, kt\u00f3ra jego zdaniem by\u0142a aktywna przez pi\u0119\u0107 lat. Wed\u0142ug analizy ma ona poparcie mi\u0119dzynarodowego gangu przest\u0119pczego. Grupa jest o wiele bardziej zaawansowana i zautomatyzowana, ni\u017c si\u0119 spodziewano – uderzy\u0142a w mn\u00f3stwo organizacji i przes\u0142a\u0142a jeszcze wi\u0119cej z\u0142o\u015bliwego oprogramowania.<\/p>\n\n\n\n Hakerzy po przej\u0119ciu domeny pr\u00f3bowali ukry\u0107 swoj\u0105 obecno\u015b\u0107 poprzez wy\u015bwietlanie na subdomenach komunikat\u00f3w typu \u201cComing soon\u201d lub b\u0142\u0119d\u00f3w 404. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o zagro\u017cenia. <\/strong>Najwi\u0119kszym problemem jest fakt, \u017ce wpisy DNS witryny s\u0105 przejmowane g\u0142\u00f3wnie w wyniku sposobu ich hostowania, nie tylko przez Azure, ale spor\u0105 cz\u0119\u015b\u0107 dostawc\u00f3w hostingu. Problem ten polega na tym, \u017ce kiedy sko\u0144czy si\u0119 wa\u017cno\u015b\u0107 subdomeny (powsta\u0142ej np. na potrzeby kampanii marketingowej) i firma przestaje za ni\u0105 p\u0142aci\u0107, nazwa ta staje si\u0119 dost\u0119pna dla innej osoby – w tym cyberprzest\u0119pc\u00f3w. Poszukuj\u0105 oni takich wycofanych i zapomnianych nazw serwer\u00f3w w chmurze, kt\u00f3re nigdy nie zosta\u0142y poprawnie usuni\u0119te z DNS.<\/p>\n\n\n\n Pe\u0142na lista znajduje si\u0119 tutaj<\/a>. Radzimy jednak NIE odwiedza\u0107 tych domen, poniewa\u017c mog\u0105 one zainfekowa\u0107 urz\u0105dzenie z\u0142o\u015bliwym oprogramowaniem. Oko\u0142o 20% z nich ju\u017c zosta\u0142o usuni\u0119tych.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n2. Robisz zakupy online? Magecart kradnie dane z 570 sklep\u00f3w, w tym polskich<\/strong><\/h2>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n3. Hakerzy przej\u0119li 240 stron hostowanych na Azure – w tym Warner Bros, Volvo, Siemens<\/strong><\/h2>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n