Подкатили горячие новости от киберподполья.

1. Известная в отрасли Zscaler стала жертвой серьёзной утечки данных в результате атаки на цепочку поставок, которая затронула одного из её сторонних поставщиков, Salesloft.

Злоумышленники UNC6395 использовали украденные токены OAuth сервиса Drift для получения несанкционированного доступа к среде Salesforce компании Zscaler, что позволило им похитить конфиденциальную информацию клиентов.

При этом инцидент не затронул основные продукты, сервисы или инфраструктуру компании.

Раскрытая информация включает в себя: наименования, адреса электронной почты, должности, номера телефонов, адреса, сведения по лицензированию решений и данные их техподдержки.

Согласно заявлениям Zscaler, случаев неправомерного использования этой информации не обнаружено, тем не менее компания отменила все интеграции Salesloft Drift с экземпляром Salesforce, провела ротацию других API-токенов и начала расследование инцидента.

2. Анонсирована продажа ZeroClick для Android 11-15, потенциально позволяя осуществить полный удаленный захват миллионов устройств. Уязвимость связана с повреждением памяти в Android MMS Parser и не имеет доступных исправлений безопасности.

Цепочка эксплойтов предположительно обходит средства защиты Android, включая его «песочницу», предоставляя злоумышленнику полный root-доступ.

3. Крупная криптобиржа Nobitex, предположительно, подверглась атаке с использованием критической 0-day, которая теперь доступна к продаже и нацелена на корпоративную почтовую инфраструктуру компании.

Эксплойт позволяет полностью захватить почтовый домен компании и реализуется единственному покупателю по цене в 10 BTC. Уязвимость связана с неправильной настройкой SMTP-сервера и позволяет обойти аутентификацию.

Помимо самого эксплойта, злоумышленник утверждает, что продаёт сопутствующие данные, якобы полученные от компании. Причем хакер неоднократно пытался связаться с Nobitex, но там на него не обратили внимания.

4. Банда вымогателей Anubis утверждает, что ей удалось взломать крупного подрядчика в сфере аэрокосмической и оборонной промышленности TRAF Industrial Products.

Компания является специализированным машиностроительным предприятием, поставляющим компоненты для крупных международных корпораций, включая Boeing, Airbus, Lockheed Martin, Bombardier и Pratt & Whitney.

Злоумышленники утверждают, что смогли похитить внушительный объём конфиденциальных корпоративных и персональных данных, угрожая опубликовать их.

5. По всей видимости, основательно подломили сети AT&T, доступ к инфраструктуре теперь выставлен на продажу.

Продавец утверждает, что закрепился в инфраструктуре первого уровня компании, получив интерактивный доступ для чтения и записи к базе данных, содержащей информацию примерно о 24 миллионах активных абонентов.

Как утверждается, этот доступ позволяет осуществлять атаки с подменой SIM-карт, считывать коды 2FA, отправленные по SMS, а также получать онлайн-доступ к базе данных примерно 24 миллионов клиентов AT&T. 

6. Досталось и китайскому правительству, доступ к системе которого также доступен для покупки в даркнете. Согласно сообщению, доступ предоставляется к системе на базе Linux в .gov. cn домене через SSH-ключ.