Главу департамента F.A.C.C.T. задержали в Казахстане по запросу США и заочно арестовали в РФ
22 июня власти Казахстана по запросу США задержали руководителя департамента разработки решений по комплексному противодействию сложным кибератакам компании F.A.C.C.T. (ранее Group-IB) Никиту Кислицина. Об этом сообщили его коллеги.
Кислицин будет находиться под стражей на период изучения оснований для экстрадиции в США.
Об обвинениях против него стало известно еще в 2020 году. Тогда Минюст США обнародовал заключение от 2014 года о предполагаемой причастности россиянина к сговору с целью продажи учетных данных, похищенных у форума Formspring в 2012 году (еще до начала работы в Group-IB).
Параллельно с этим 28 июня Тверской суд Москвы санкционировал заочный арест Кислицина по делу о неправомерном доступе к охраняемой законом компьютерной информации. Его объявили в федеральный розыск и намерены добиваться экстрадиции на родину.
Представители F.A.C.C.T. заявили, что обвинения против Кислицина не имеют отношения к самой компании и связаны с периодом его работы журналистом и исследователем кибербезопасности. Они уверены, что законных оснований для задержания их коллеги не было.
22 июня власти Казахстана по запросу США задержали руководителя департамента разработки решений по комплексному противодействию сложным кибератакам компании F.A.C.C.T. (ранее Group-IB) Никиту Кислицина. Об этом сообщили его коллеги.
Кислицин будет находиться под стражей на период изучения оснований для экстрадиции в США.
Об обвинениях против него стало известно еще в 2020 году. Тогда Минюст США обнародовал заключение от 2014 года о предполагаемой причастности россиянина к сговору с целью продажи учетных данных, похищенных у форума Formspring в 2012 году (еще до начала работы в Group-IB).
Параллельно с этим 28 июня Тверской суд Москвы санкционировал заочный арест Кислицина по делу о неправомерном доступе к охраняемой законом компьютерной информации. Его объявили в федеральный розыск и намерены добиваться экстрадиции на родину.
Представители F.A.C.C.T. заявили, что обвинения против Кислицина не имеют отношения к самой компании и связаны с периодом его работы журналистом и исследователем кибербезопасности. Они уверены, что законных оснований для задержания их коллеги не было.
Ресерчеры Лаборатории Касперского обнаружили ранее недокументированный троян удаленного доступа под названием EarlyRAT, используемый Andariel, одной из подгрупп северокорейской АРТ Lazarus.
Andariel (он же Stonefly) считается частью АРТ Lazarus, известной своим модульным бэкдором DTrack для сбора информации из скомпрометированных систем, включая историю просмотров, типизированные данные (кейлоггинг), снимки экрана, запущенные процессы и др.
Ранее в своем отчете исследователи WithSecure уже фиксировали, как северокорейская группа, использующая более новый вариант DTrack, возможно, Andariel, в течение двух месяцев нацеливалась на интеллектуальную собственность.
Лаборатория Касперского также связала Andariel с развертыванием ransomware Maui в России, Индии и Юго-Восточной Азии, поэтому группа угроз часто фокусируется на получении прибыли.
EarlyRAT используется АРТ для сбора системной информации со взломанных устройств и отправки ее на C2-сервер злоумышленника.
Лаборатория обнаружила EarlyRAT в ходе расследования кампании Andariel в середине 2022 года, когда злоумышленники использовали Log4Shell для взлома корпоративных сетей.
Воспользовавшись уязвимостью в ПО Log4j, Andariel загрузил готовые инструменты, такие как 3Proxy, Putty, Dumpert и Powerline, для проведения сетевой разведки, кражи учетных данных и бокового перемещения.
Аналитики также заметили в этих атаках фишинговый документ, в котором использовались макросы для получения полезной нагрузки EarlyRAT с сервера, связанного с прошлыми кампаниями вымогателей Maui.
EarlyRAT — это достаточно простой инструмент, который при запуске собирает системную информацию и отправляет ее на C2-сервер через POST-запрос.
Второй основной функцией EarlyRAT является выполнение команд в зараженной системе, возможно, для загрузки дополнительных полезных данных, эксфильтрации ценных данных или прерывания системных операций.
При этом EarlyRAT очень похож на MagicRAT, еще один инструмент, используемый Lazarus, функции которого включают создание запланированных задач и загрузку дополнительных вредоносных программ с C2.
Исследователи заметили, что наблюдаемые действия EarlyRAT выполнялись неопытным оператором, учитывая количество допущенных ошибок и опечаток.
Различные команды, выполняемые на взломанных сетевых устройствах, вводились вручную, а не жестко закодированы, что часто приводило к ошибкам, вызванным опечатками.
Кстати, во многом благодаря аналогичной небрежности, когда оператор группы забыл подрубить прокси и спалил свой IP-адрес, аналитики WithSecure смогли отследить кампанию Lazarus в прошлом году. (Secator)
Andariel (он же Stonefly) считается частью АРТ Lazarus, известной своим модульным бэкдором DTrack для сбора информации из скомпрометированных систем, включая историю просмотров, типизированные данные (кейлоггинг), снимки экрана, запущенные процессы и др.
Ранее в своем отчете исследователи WithSecure уже фиксировали, как северокорейская группа, использующая более новый вариант DTrack, возможно, Andariel, в течение двух месяцев нацеливалась на интеллектуальную собственность.
Лаборатория Касперского также связала Andariel с развертыванием ransomware Maui в России, Индии и Юго-Восточной Азии, поэтому группа угроз часто фокусируется на получении прибыли.
EarlyRAT используется АРТ для сбора системной информации со взломанных устройств и отправки ее на C2-сервер злоумышленника.
Лаборатория обнаружила EarlyRAT в ходе расследования кампании Andariel в середине 2022 года, когда злоумышленники использовали Log4Shell для взлома корпоративных сетей.
Воспользовавшись уязвимостью в ПО Log4j, Andariel загрузил готовые инструменты, такие как 3Proxy, Putty, Dumpert и Powerline, для проведения сетевой разведки, кражи учетных данных и бокового перемещения.
Аналитики также заметили в этих атаках фишинговый документ, в котором использовались макросы для получения полезной нагрузки EarlyRAT с сервера, связанного с прошлыми кампаниями вымогателей Maui.
EarlyRAT — это достаточно простой инструмент, который при запуске собирает системную информацию и отправляет ее на C2-сервер через POST-запрос.
Второй основной функцией EarlyRAT является выполнение команд в зараженной системе, возможно, для загрузки дополнительных полезных данных, эксфильтрации ценных данных или прерывания системных операций.
При этом EarlyRAT очень похож на MagicRAT, еще один инструмент, используемый Lazarus, функции которого включают создание запланированных задач и загрузку дополнительных вредоносных программ с C2.
Исследователи заметили, что наблюдаемые действия EarlyRAT выполнялись неопытным оператором, учитывая количество допущенных ошибок и опечаток.
Различные команды, выполняемые на взломанных сетевых устройствах, вводились вручную, а не жестко закодированы, что часто приводило к ошибкам, вызванным опечатками.
Кстати, во многом благодаря аналогичной небрежности, когда оператор группы забыл подрубить прокси и спалил свой IP-адрес, аналитики WithSecure смогли отследить кампанию Lazarus в прошлом году. (Secator)
Securelist
Kaspersky crimeware report: Andariel’s mistakes and EasyRat malware
In this crimeware report, Kaspersky researchers provide insights into Andariel’s activity targeting organizations: clumsy commands executed manually, off-the-shelf tools and EasyRat malware.
CEO Circle: Гонконг станет центром рынка цифровых активов
Глава Circle Джереми Аллэйр заявил, что Гонконг усилит свои позиции на рынке цифровых активов и стейблкоинов. По его словам, это может послужить примером для континентального Китая.
CEO Circle сообщил, что внимательно следит за изменениями в регулировании Гонконга после вступления в силу новых правил, поскольку регион «представляет огромный интерес».
Глава Circle Джереми Аллэйр заявил, что Гонконг усилит свои позиции на рынке цифровых активов и стейблкоинов. По его словам, это может послужить примером для континентального Китая.
CEO Circle сообщил, что внимательно следит за изменениями в регулировании Гонконга после вступления в силу новых правил, поскольку регион «представляет огромный интерес».
Китай с 1 августа ограничил вывоз из страны галлия и германия — металлов, используемых в производстве полупроводников и электроники.
Как пишет Bloomberg, принятие такого решения может привести к увеличению затрат для производителей и обострению геополитических противоречий в контексте гонки по разработке передовых вычислительных технологий. (banksta)
Как пишет Bloomberg, принятие такого решения может привести к увеличению затрат для производителей и обострению геополитических противоречий в контексте гонки по разработке передовых вычислительных технологий. (banksta)
Часть 1🔸
Как и все уверенные в себе ребята с мака пересел на win, так как удобнее воркать + по 20-30 окон можно одновременно использовать и очень удобно + для коинлиста мощная тачка плюсом.
ПК был собран в январе, поставлена ОС с оффициального сайта Micosoft и минимальный пул софта для работы, так как всегда знал, что win дырявый (воздержался от аналогий).
Пул софта : steam , nzxt, office, ads, chrome, telegram, whats, python, vscode (+стандартные)
Думая, что я же не глупый человек и этого вполне достаточно, но стандартная мантра = не качай ничего и не устанавливай сомнительное дерьмо не сработала.
В один день, прогоняя очередную пачку аккчией л0, при бридже на старгейте (доделывал аккичи руками в АДСе после софта), я заметил, что стейблы падают на какую-то прокладку, но до меня не доходят.
Понимая ситуацию, пытаюсь оперативно вывести с этой пачки акков все стейблы (пачка состояла из 15 аккаунтов), но за пару секунд стейблы, а затем и нативка улетела челику на прокладку 0xf106d10b463f4226998d7c9839febef2b4325df0. Из пачки в 15 аккаунтов, средства успешно были выведены с 10, а с 5 их застилили.
Я предположил, что либо виноват софт, который я использую, либо вдска.
Около 14 часов пытался понять, что именно явилось причиной по который эта ослина завладела моими приватниками, но результатов не было.
Схема прогона осуществлялась следующим образом - создание кошей на win, vscode https://gitfront.io/r/raznorabochiy/NafqmUHPmMiz/node-evm-wallets/, далее на ВДСку macloud, и уже с софта раскидывал и софтом прогонял.
Мои шаги в расследовании:
1 - сразу же отписался владельцу и разрабу софта, реакция последовала, но безусловно основной аргумент был "нам нет смысла стилить"
2 - пытался по логам ВДСки понять, возможно стил был с нее, так как пострадали только новые коши (пачка из 15 штук)
3 - проверял скрипт разнорабочего, погулил библу, вроде все ок (считаю его трастовым, но ситуация того требовала)
4 - прогнал весь диск + софт касперским = чисто
Итого - ни одна из версий не подтвердилась
Иду спать с самым главным опасением того, что этот матрас проперданный мог застилить все коши, но пока просто не добарлся до них
Часть 2🔸
Проспав буквально пару часиков, решил чекнуть старые коши, так как сиды хранились в разных вкладках, но в одном файле excel (offline).
И тут я замечаю, что был затронут кошелек номер 4 (всего 200 кошельков, регались с начала января и соотвественно, чем ближе к 0, тем более олдовый кошелек), с него вывели стейблы и нативку. В этот момент, я осознаю, что на остальных 184 кошах в среднем 150-350$ (оставлял на повторные транзы), понимаю, что на скам такой суммы я не согласен и пытаюсь как можно быстрее все собрать и вывести.
Отдельное спасибо Сане black lives matter aka fackblock, сборщиком rektblock все загнал в матик и уже сторонним софтом начал вывод на биржу.
Эмоции текстом не передать, но уровень стресса в текущей ситуации был достаточно высокий. За 4 часа все средства уже были на бирже.
За эти 4 часа ни один кошелек не был тронут.
Анализируя, делаем вывод:
1 - вариант с софтом отпадает, так как туда загонял только новые коши, пачка старых акков только ручные и софт не использовал
2 - ВДСка тоже отпадает, так как приватники там были только от новых кошей
3 - скрипт разнорабочего офк тоже отпадает, генерил только новые коши
4 - вирусы в том или ином виде = под вопросом, так как мог при том или ином кейсе удалиться самостоятельно
Звоню своему дружику, разрабу из касперского, приезжает и начинает чекать тачку. И как бы это не было странно = все чисто : трояны, логи, все дерьмо проверили и все чисто)))Так же добавили в чатик, где пострадавших 36 челиков и при этом мы так и не смогли найти, где и как утекли данные.
Представьте ситуацию при которых у вас утекли 200 кошей, но вы не можете понять как это произошло и как это предотвратить в будущем. Это жесткое дерьмо. В этот день чувствовал себя бедолагой, как так получилось , что при достаточно аккуратном использовании тачки, меня скаманули, а типов, которые торрентят все, что видят - нет.
Как и все уверенные в себе ребята с мака пересел на win, так как удобнее воркать + по 20-30 окон можно одновременно использовать и очень удобно + для коинлиста мощная тачка плюсом.
ПК был собран в январе, поставлена ОС с оффициального сайта Micosoft и минимальный пул софта для работы, так как всегда знал, что win дырявый (воздержался от аналогий).
Пул софта : steam , nzxt, office, ads, chrome, telegram, whats, python, vscode (+стандартные)
Думая, что я же не глупый человек и этого вполне достаточно, но стандартная мантра = не качай ничего и не устанавливай сомнительное дерьмо не сработала.
В один день, прогоняя очередную пачку аккчией л0, при бридже на старгейте (доделывал аккичи руками в АДСе после софта), я заметил, что стейблы падают на какую-то прокладку, но до меня не доходят.
Понимая ситуацию, пытаюсь оперативно вывести с этой пачки акков все стейблы (пачка состояла из 15 аккаунтов), но за пару секунд стейблы, а затем и нативка улетела челику на прокладку 0xf106d10b463f4226998d7c9839febef2b4325df0. Из пачки в 15 аккаунтов, средства успешно были выведены с 10, а с 5 их застилили.
Я предположил, что либо виноват софт, который я использую, либо вдска.
Около 14 часов пытался понять, что именно явилось причиной по который эта ослина завладела моими приватниками, но результатов не было.
Схема прогона осуществлялась следующим образом - создание кошей на win, vscode https://gitfront.io/r/raznorabochiy/NafqmUHPmMiz/node-evm-wallets/, далее на ВДСку macloud, и уже с софта раскидывал и софтом прогонял.
Мои шаги в расследовании:
1 - сразу же отписался владельцу и разрабу софта, реакция последовала, но безусловно основной аргумент был "нам нет смысла стилить"
2 - пытался по логам ВДСки понять, возможно стил был с нее, так как пострадали только новые коши (пачка из 15 штук)
3 - проверял скрипт разнорабочего, погулил библу, вроде все ок (считаю его трастовым, но ситуация того требовала)
4 - прогнал весь диск + софт касперским = чисто
Итого - ни одна из версий не подтвердилась
Иду спать с самым главным опасением того, что этот матрас проперданный мог застилить все коши, но пока просто не добарлся до них
Часть 2🔸
Проспав буквально пару часиков, решил чекнуть старые коши, так как сиды хранились в разных вкладках, но в одном файле excel (offline).
И тут я замечаю, что был затронут кошелек номер 4 (всего 200 кошельков, регались с начала января и соотвественно, чем ближе к 0, тем более олдовый кошелек), с него вывели стейблы и нативку. В этот момент, я осознаю, что на остальных 184 кошах в среднем 150-350$ (оставлял на повторные транзы), понимаю, что на скам такой суммы я не согласен и пытаюсь как можно быстрее все собрать и вывести.
Отдельное спасибо Сане black lives matter aka fackblock, сборщиком rektblock все загнал в матик и уже сторонним софтом начал вывод на биржу.
Эмоции текстом не передать, но уровень стресса в текущей ситуации был достаточно высокий. За 4 часа все средства уже были на бирже.
За эти 4 часа ни один кошелек не был тронут.
Анализируя, делаем вывод:
1 - вариант с софтом отпадает, так как туда загонял только новые коши, пачка старых акков только ручные и софт не использовал
2 - ВДСка тоже отпадает, так как приватники там были только от новых кошей
3 - скрипт разнорабочего офк тоже отпадает, генерил только новые коши
4 - вирусы в том или ином виде = под вопросом, так как мог при том или ином кейсе удалиться самостоятельно
Звоню своему дружику, разрабу из касперского, приезжает и начинает чекать тачку. И как бы это не было странно = все чисто : трояны, логи, все дерьмо проверили и все чисто)))Так же добавили в чатик, где пострадавших 36 челиков и при этом мы так и не смогли найти, где и как утекли данные.
Представьте ситуацию при которых у вас утекли 200 кошей, но вы не можете понять как это произошло и как это предотвратить в будущем. Это жесткое дерьмо. В этот день чувствовал себя бедолагой, как так получилось , что при достаточно аккуратном использовании тачки, меня скаманули, а типов, которые торрентят все, что видят - нет.
Прошу обратить. внимание общественности, это не первый случай уже, процесс набирает массовые обороты(
МВД России утвердило порядок ограничения права управления транспортным средством тем, кто имеет ограничения в едином реестре воинского учета в связи с неявкой по повестке в военкомат. Об этом говорится в соответствующем приказе ведомства.
Крупное «дело блогеров» готовится в России. По информации Mash, расследования в отношении Блиновской, Лерчек и прочих объединят в одно — из-за некой «атаманши», помогавшей всем инфоцыганам уходить от налогов. Новая статья — «Организация преступного сообщества». Причина — женщина с позывным «атаманша», которая помогала обходить налоги, а сейчас покрывает огромные долги Блиновской и Лерчек. (brief)
Генеральный директор компании Stability AI (Stable Diffusion) Эмад Мостак сделал провокационный прогноз отноcительно развития искусственного интеллекта (ИИ), который в скором времени коренным образом преобразует наш мир: ❌
1️⃣ Данные с GitHub показывают, что "41% всего кода сейчас создается искусственным интеллектом".
2️⃣ "За три месяца мы [Stability AI] обогнали Bitcoin и Ethereum (на Github) и завоевали популярность", что свидетельствует о растущей популярности ИИ по сравнению с криптовалютами.
3️⃣ Технология способна произвести революцию в таких отраслях, как кинематограф и образование. Коснется это и программирования.
👆🤔Больше всего удивляет смелое заявление гендира о том, что "к концу следующего года у вас будет
Ну что же, будем посмотреть.
(Russian OSINT)
Please open Telegram to view this post
VIEW IN TELEGRAM
Евгению Пригожину вернули 10 млрд рублей, найденные при обысках в Петербурге в день мятежа, пишет Фонтанка. По данным издания, в выходные основатель ЧВК «Вагнер» находился в Москве, но забирать миллиарды прибыл не он, а его водитель с официальной доверенностью. (bankrollo)
SEC’s Authority In Question As Bittrex Challenges Crypto Regulation In Court
https://bitcoinist.com/sec-authority-in-question-bittrex-challenges-court/
https://bitcoinist.com/sec-authority-in-question-bittrex-challenges-court/
͏Microsoft отрицает утечку данных 30 миллионов учетных записей клиентов, о которой объявили Anonymous Sudan (ака Storm-1359).
Хотя месяцем ранее Microsoft признала сбои в работе нескольких ее служб, включая Azure, Outlook и OneDrive, за которыми стояли хактивисты, которым за последнее время удалось реализовать серию мощнейших DDoS-атак в отношении ряда западных компаний.
А на днях Anonymous Sudan заявили об успешном взломе корпорации Microsoft, в результате которого ими был получен доступ к объемной базе данных из 30 миллионов учетных записей клиентов, включая адреса электронной почты и пароли.
Теперь же экфильтрованный массив реализуется хактивистами по цене в 50 000 долларов. В качестве пруфов представлен образец с учетными данными 100 пользователей.
В свою очередь, Microsoft сообщает, что пока не располагает какими-либо доказательствами того, что данные клиентов были взломаны или скомпрометированы, категорически отвергая любые заявления Anonymous Sudаn об утечке данных и достоверность образцов.
Вместе с тем, судя по невнятным комментариям Microsoft, пока даже непонятно, проводилось ли расследование возможного инцидента. Но будем посмотреть. (Secator)
Хотя месяцем ранее Microsoft признала сбои в работе нескольких ее служб, включая Azure, Outlook и OneDrive, за которыми стояли хактивисты, которым за последнее время удалось реализовать серию мощнейших DDoS-атак в отношении ряда западных компаний.
А на днях Anonymous Sudan заявили об успешном взломе корпорации Microsoft, в результате которого ими был получен доступ к объемной базе данных из 30 миллионов учетных записей клиентов, включая адреса электронной почты и пароли.
Теперь же экфильтрованный массив реализуется хактивистами по цене в 50 000 долларов. В качестве пруфов представлен образец с учетными данными 100 пользователей.
В свою очередь, Microsoft сообщает, что пока не располагает какими-либо доказательствами того, что данные клиентов были взломаны или скомпрометированы, категорически отвергая любые заявления Anonymous Sudаn об утечке данных и достоверность образцов.
Вместе с тем, судя по невнятным комментариям Microsoft, пока даже непонятно, проводилось ли расследование возможного инцидента. Но будем посмотреть. (Secator)
Так вот зачем открыли Грузию. Грузинский перевозчик Georgian Airways с 5 июля запускает транзитные рейсы через Тбилиси из Москвы в Ниццу. Стыковка в Грузии займет чуть больше часа, пишет Forbes. (banksta)
👁 Генпрокуратура России впервые направила запросы о правовой помощи об аресте криптовалюты в иностранные правоохранительные органы, в том числе в Казахстан.
«Предлагаю в рамках нашего совета обобщить практику использования криптовалюты для совершения коррупционных преступлений, в том числе в части правового регулирования ее оборота, ареста, конфискации, последующего хранения и реализации», — Генпрокурор РФ. (decenter)
«Предлагаю в рамках нашего совета обобщить практику использования криптовалюты для совершения коррупционных преступлений, в том числе в части правового регулирования ее оборота, ареста, конфискации, последующего хранения и реализации», — Генпрокурор РФ. (decenter)
🧬 В сообществе Ethereum предлагают стандарт токенов ERC-7265 для предотвращения взломов DeFi — новый стандарт сможет автоматически останавливать смарт-контракты, когда отток средств превышает установленный порог.
Поводом для разработки стал недавний инцидент с платформой Poly Network.
«ERC 7265 позволяет командам создавать автоматический выключатель, защищающий их протокол, с настраиваемыми параметрами ограничения скорости для каждого актива. Когда происходит взлом, злоумышленник больше не сможет слить весь контракт за секунды. Большую часть средств можно вернуть». (decenter)
Поводом для разработки стал недавний инцидент с платформой Poly Network.
«ERC 7265 позволяет командам создавать автоматический выключатель, защищающий их протокол, с настраиваемыми параметрами ограничения скорости для каждого актива. Когда происходит взлом, злоумышленник больше не сможет слить весь контракт за секунды. Большую часть средств можно вернуть». (decenter)
GitHub
Add EIP: Circuit Breaker by diyahir · Pull Request #7265 · ethereum/EIPs
This standard outlines a smart contract interface for a Circuit Breaker that triggers a temporary halt on protocol-wide token outflows when a threshold is exceeded for a predefined metric. This cir...