Роскомнадзор разблокировал 8,2 тыс. IP-адресов Alibaba

Роскомнадзор разблокировал 8,2 тыс. IP-адресов Alibaba

IP-адреса компании Alibaba, которые ранее угодили под блокировку Роскомнадзором, теперь разблокированы, о чем сообщается на официальном сайте ведомства. Оказалось, что изначально пострадало в общей сложности 8,2 тысяч адресов. Причиной для блокировки послужило наличие в данной подсети IP-адресов Telegram.

«В рамках комплекса мер по исполнению решения суда в отношении Telegram Роскомнадзор снял с блокировки подсеть компании Alibaba (около 8,2 тыс. IP-адресов),— цитирует kommersant.ru сообщение ведомства.— При этом IP-адреса Telegram, находящиеся в составе данной подсети, полностью установлены и блокируются».

Китайская компания Alibaba представляет собой крупнейшую сеть для связи между покупателями, продавцами и производителями потребительских товаров. Один из популярнейших в России сервисов онлайн-покупок Aliexpress — дочерняя компания Alibaba.

Видимо, Роскомнадзор докучает многим своими блокировками, так как в четверг группа хакеров взломала сайта Россотрудничества, разместив на странице ресурса фотографию, на которой явно отражено негативное отношение к блокировкам Роскомнадзора. Также хакеры обратились к ведомству на английском языке.

В этом сообщении злоумышленники оставляли ведомству «последнее предупреждение».

Но представители Роскомнадзора тоже не лишены юмора. Например, глава ведомства Александр Жаров заявил, что продолжает использовать Telegram для связи. Жаров просто предложил журналистам писать ему туда.

А во вторник тало известно, что ведомство разблокировало шесть подсетей компании Google, включающих свыше 3,7 млн IP-адресов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Разбор атак watering hole выявил новый бэкдор для macOS

Минувшей осенью эксперты ESET выявили кампанию кибершпионажа, направленную против участников демократического движения в Гонконге. Авторы атак использовали метод watering hole для раздачи через эксплойт незадокументированного macOS-зловреда — бэкдор, которому было присвоено кодовое имя DazzleSpy.

С этой целью злоумышленники взломали сайт гонконгской радиостанции D100 и внедрили на его страницы фреймы, загружающие эксплойт CVE-2021-1789. Соответствующая уязвимость в движке WebKit была закрыта в феврале 2021 года.

В результате отработки вредоносного кода на машине жертвы запускался промежуточный бинарник Mach-O — исполняемый в памяти простейший загрузчик. Этот зловред скачивает с указанного адреса целевую полезную нагрузку и запускает ее с правами root, используя эксплойт CVE-2021-30869 (устранена в сентябре).

Анализ DazzleSpy показал, что бэкдор обладает богатым набором функций и способен совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выполнять произвольные шелл-команды;
  • составлять списки содержимого папок, проводить поиск файлов, переименовывать их, переносить и сливать на сторону;
  • открывать и завершать сессию screen (удаленного админа);
  • выводить данные из памяти iCloud Keychain с помощью эксплойта CVE-2019-8526 (актуален для macOS версий ниже 10.14.4);
  • удалять себя с компьютера.

Координаты C2-сервера DazzleSpy (IP-адрес и порт) жестко прописаны в коде. При установке связи вредонос использует TLS-хэндшейк, а затем кастомный протокол для обмена данными.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru