|
Раскрыты подробности расследования метода обхода 2-х факторной аутентификации Исследователи Varonis Threat Labs рассказали о способе обхода многофакторной аутентификации для учетных записей ресурса облачного управления файлами Box.com. Для прохождения второго фактора аутентификации, злоумышленник, имея действительный cookie файл после успешного ввода логина и пароля, изменял ввод второго фактора с SMS-сообщения на TOTP и получал доступ к учетной записи с помощью приложения-аутентификатора по ранее описанной схеме. Уязвимость вызвана отсутствием проверки принадлежности приложения-аутентификатора непосредственному владельцу учетной записи, что позволяет злоумышленнику скомпрометировать учетные, не имея доступа к телефону целевого пользователя и не уведомляя его о входе в систему. |
|
Опубликованы детали атаки White Rabbit По данным исследования специалистов Trend Micro, вымогатели White Rabbit могут быть связаны с ранее известными группировками Egregor и FIN8. Хакеры используют утилиту Cobalt Strike для разведки, проникновения и закрепления вредоносного ПО в системе жертвы. Для незаметной установки вредоносного скрипта используется эксплоит, завершающий работу некоторых процессов, в том числе связанных с антивирусом. К каждому целевому файлу добавляется расширение .scrypt.txt, отмечая тем самым файлы, шифрование которых не приведет к сбою работы самого скрипта. Группировка White Rabbit использует тактику двойного вымогательства: на экране целевого пользователя появляется сообщение о требовании выкупа с рисунком кролика в формате ASCII и угрозами публикации информации в общедоступную сеть. |
|
Опубликовано исследование атаки с использованием VirusTotal Использование онлайн-сервиса для анализа подозрительных файлов, ссылок и IP-адресов VirusTotal во время проведения исследования привело к сбору ранее скомпрометированных учетных данных. Специалисты из SafeBreach нашли взаимосвязь между работой браузера Google и VirusTotal в работе API и набора инструментов (VT Graph, Retrohunt и т.п.), которые можно использовать для поиска украденных данных в файлах. В статье указан алгоритм поиска, который привел к ранее скомпрометированным учётным данным от электронных ящиков, аккаунтов социальных сетей, криптовалютных кошельков и банковских аккаунтов. Исследователи предупреждают об опасности использования данного метода, так как злоумышленник минимизирует усилия для компрометации данных, в то время как скорость его действий и количество оставленных следов уменьшается. SafeBreach дала рекомендации по смягчению данной атаки для организации, однако основные решения для снижения риска должны приниматься на стороне поставщиков репозиториев. |