🔑מייקרוסופט מפרסמת עדכון הסוגר את חולשת Yellowkey, תוך שהיא מציינת שהחוקר פרסם POC ציבורי תוך שהוא מפר את הנהלים של דיווח מסודר...

Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices

הדיווח המלא כאן

https://t.me/CyberSecurityIL/8966

🐱🎙🛡️ראיון עם קבוצת TeamPCP - בלעדי לערוץ חדשות סייבר.

➖➖➖➖➖➖

הערת פתיחה מ-TeamPcp:
אני רק אגיד שאתה מדבר עם T, אז אני מדבר בשם עצמי ולא בשם שאר חברי הקבוצה.

ש: חשבון ה-X שלכם (שכבר נחסם), הציג במיקום את ישראל ונפתח באוקטובר 2023.
בנוסף, באחד הקמפיינים שלכם הפעלתם נוזקת wiper בשם “Kamikaze” הפוגעת באופן ספציפי בקורבנות מאיראן.

מצד שני - פרצתם לחברות ישראליות כמו Aqua (Trivy) ו-Checkmarx.

אתה יכול להסביר את הסתירה לכאורה באופי הפעילות, באיזה צד אתם, אם בכלל?

המדינות האלו והאנשים שהן משרתות הם פשוט רעים.
איראן היא משטר שרוצח מפגינים בדם קר ומממן טרוריסטים, בזמן שממשלת ישראל היא ממשלה של מחרחרי מלחמה, וכלי האבטחה שמיוצרים שם משרתים מדינות עם התנהגות דומה, מה שהופך אותן למטרה מרכזית.

ה-wiper נגד איראן היה יותר בשביל הכיף. אנחנו מכניסים אותו כי אנחנו יכולים, ואם על הדרך הוא גורם לנזק משני אז אנחנו נישן טוב יותר בלילה.
אנשים תמיד אומרים לנו לבחור צד. למה?
אני לא מנהל משא ומתן עם רוע. אני כועס על האופן שבו שהאנשים האלו עושים שימוש בכח ואמונה. זה משפיע לרעה על כולם.

ש: יש לכם שיתופי עם LAPSUS$, Breached ועוד.

למה לשתף פעולה עם קבוצות אחרות במקום לנהל את כל שרשרת התקיפה באופן עצמאי?

ת: יש כאן הרבה גישות. עדיף ליצור אקוסיסטם וקשרים, ככה קל יותר למכור את המידע מהר ולהעביר גישות. LAPSUS$ היו טובים לעבודה, הם אמינים מאוד, והם הביאו מה שצריך כדי להניע את הפעילות.

דברים מנוהלים אצלנו פנימית הרבה יותר ממה שאתה חושב, אבל התוצאה הסופית לא תמיד מתפרסמת תחת הקבוצות שלנו, מה שמתפרסם אצלנו זה בדרך כלל רק הפריצות המהירות.

ש: בפריצה האחרונה לסביבות הפנימיות של GitHub אתם מציעים למכירה קוד מקור מ-4,000 רפוסיטורים תמורת 50 אלף דולר.

מה האסטרטגיה מאחורי מכירת המידע בצורה כזו? למה לא לפעול כמו שאר קבוצות התקיפה, לפנות ישירות ל-GitHub ולדרוש כופר?

ת: כל הקודם זוכה. אנחנו לא סוחטים, אנחנו כאן בשביל כסף, וכמה שיותר מהר. אם GitHub היו רוצים שהמאגרים יישארו פרטיים, הם היו מציעים עליהם מחיר גבוה כמו כולם, או מבקשים את מחיר הסופי שלנו.
(ארז: נכון לזמן הראיון, ולפי גרסת הקבוצה, ההצעה הגבוהה ביותר שנים קיבלו היא 95k$)

ש: רוב קבוצות הכופר מתמקדות בהצפנת קבצים של הקורבן, אבל זה נראה שאתם מפוקסים בגניבת נתוני הזדהות, פגיעה בשרשרת אספקה, גניבה ומכירת המידע, ללא הצפנה.

למה בחרתם בגישה הזו?

ת: TeamPCP התחילה במקור כקבוצה שמצפינה וסוחטת, אבל זה פשוט כבר לא נצרך. אנחנו מקבלים את אותו תשלום בכל מקרה, בזמן שזה לוקח הרבה פחות זמן וגורם להרבה פחות הרס לעסקים.

אני גם אוסיף, שאחרי הכישלון עם Vect, איבדנו הרבה עניין בהצפנה אחרי שראינו את התוצאות שאפשר להשיג בלעדיה. זה עצר אותנו מלהמשיך בכיוון הזה.

ש: כמה ארגונים הושפעו מהתקיפות שלכם מאז שהתחלתם לפעול?
והאם לדעתך פרטי הגישה שנגנבו מאבדים ערך עם הזמן, כשארגונים מבינים שנפרצו ומתחילים לבטל אותם?

ת: עשרות אלפי חברות הושפעו. מספר המפתחים מגיע כנראה למיליונים.
ארגונים גדולים ופרטי גישה שעומדים לפוג תוקף בקרוב מקבלים עדיפות.

זה לא מטריד אותנו אם חברות מבטלות פרטי הזדהות בהיקף רחב, כפי שכבר קרה.
אנחנו פשוט נמצא דרך אחרת להיכנס דרך שרשרת האספקה.

ש: מה גרם ל-TeamPCP להתחיל את הפעילות הזאת מלכתחילה? האם מישהו מכם היה בעבר בצד “הלבן” של עולם הסייבר? ואם כן, מה גרם לכם לעבור לצד השני?

ת: ניסיתי למצוא עבודה בתחום של פעילות התקפית חוקית, סוג של עבודות קבלן, והמעסיק הפוטנציאלי שלי עשה משהו מאוד לא אתי.
אז המשכתי לפעול כ-Blackhat בנפרד.

אם משהו היה קורה אחרת, זה היה יכול להתפתח בצורה שונה מאוד. אבל כן, רציתי בעבר, ועדיין הייתי רוצה לעסוק במשהו כזה.
תשומת הלב שמופנית אלינו היא לא טובה, וכבר הרווחתי מספיק כסף כדי לאכול, לשלם על בית ולדאוג לצוות שלי.

חלק מאיתנו אפילו התחילו לתרום את הרווחים שלהם, כי פשוט אין לנו צורך בהם כדי לשרוד יותר, וזה כל מה שחשוב.
אנחנו לא רוצים ולא צריכים להיות עשירים, ואנחנו לא אוהבים לגרום נזק לאנשים, אבל על אבטחה גרועה משלמים.

ש: הקמפיינים שלכם מתמקדים מאוד בשרשרת אספקה.

איזו עצה תכלס היית נותן לארגונים שרוצים להתגונן מפני מתקפות כאלה?

ת: לעשות שימוש רק בספריות עם וותק גיל מינימלי, הצמדה של גרסאות ל-hash, טוקנים עם הרשאות מדויקות, לדעת באילו תוספים המפתחים שלכם משתמשים ב-IDE שלהם או להגביל אותם.

חברת Socket תמצא את הנוזקה לפני שהחבילה תספיק להגיע למכונה שלכם, והם יפרסמו את כל ה-IOCs וצעדי התיקון עבורכם, או עבור צוות ההגנה של החברה שלכם, אם תיפגעו.

(ארז: נשמע כמו תוכן שיווקי חחח
כמובן שאין לראות בנ"ל המלצה כלשהי מצידי).

המשך הראיון בפוסט הבא
חלק 2️⃣ 👇

🐱🎙🛡️ המשך הראיון עם קבוצת TeamPCP - חלק 2️⃣

➖➖➖➖➖➖

ש: תוקפים שמייצרים המון רעש ונזק מתמודדים כל הזמן עם הגנות טובות יותר, לחץ מצד רשויות אכיפה ותגובה מהירה יותר לאירועים.
מה אתם עושים בשביל להיות צעד אחד קדימה מול הארגונים וגופי האכיפה?

אנחנו תמיד נסתדר מול צוותי ההגנה.
לגבי רשויות האכיפה, יחס הסיכון-תגמול שלי אומר לי שבקרוב יגיע הזמן שלי להפסיק לפעול.

ש: האם אתם משתמשים בכלי AI כחלק מהפעילות שלכם?

ת: כן. אנחנו כותבים את הנוזקות שלנו ידנית אבל גם בעזרת AI. הלמידה של המנגנונים השונים בכלים שאנחנו מנצלים נעשית כולה על ידי אדם.

אתה יכול לתת לכל ילד סקריפטים LLM, והוא עדיין לא יוכל לשחזר את המתקפות שלנו, גם אם קוד המקור והדוחות שלאחר האירוע יהיו פומביים לגמרי.
זה מדבר בעד עצמו.

ש: יש עוד משהו שתרצה לומר או לשתף עם העוקבים שלי בערוץ?

ת: התוצאות שלנו מדברות בעד עצמן.

שאלת בונוס 😄

ש: שמתי לב שהכינוי שלך ב-Tox הוא “the jellyfish who jumped up the mountain”, זה רפרנס לטראק של Shpongle, נכון?
לפי הלהקה השם של השיר מתייחס למטאפורה של אבולוציה שאפילו מדוזה יכולה לטפס על הר אם תעשה צעד קטן בכל פעם, לאורך מיליוני שנים.

מה הסיפור מאחורי בחירת הכינוי הזה? האם זה קשור לאבולוציה של הקבוצה?

ת: ובכן, הנסיבות שלי לא היו טובות במיוחד, ואני פשוט המשכתי להתקדם וללמוד כמה שיותר, לנסות למצוא פרצות, לכתוב נוזקות ולהיכשל, לפעמים בלי כסף לאוכל או לשכר דירה, 24/7/365.
אני המדוזה שקפצה במעלה ההר 🪼

https://t.me/CyberSecurityIL/8968

בשביל שיהיה לכם קל לעקוב ולקרוא את כל הראיונות שקיימתי כאן עם קבוצות כופר, העליתי הכל לאתר מסודר:
https://ransomware-interviews.base44.app

חג שבועות שמח 🌾

בוקר טוב!

אני רואה שיש כאלו שמעלים ספקות לגבי האמינות של הראיון שלי עם TeamPCP 🐱

ב"ה המוניטין של הערוץ הולך לפניו, ותהיו בטוחים שהראיונות מתבצעים רק לאחר אימות של התוקפים.

מי שיש לו ספקות מוזמן תמיד לפנות אלי, אתם יודעים שאני זמין ומגיב.

אגב, היה ראיון מוצלח ביותר כשאפילו מנכ"ל חברת Socket התייחס לראיון בלינקדין וב-X.
כמו גם עשרות חוקרי אבט"מ מסביב לעולם.

THANK YOU FOR YOUR ATTENTION TO THIS MATTER 👋

משטרת הולנד השביתה כ-800 שרתים של חברת האחסון Stark Industries לאחר שזו סיפקה תשתיות לקבוצות תקיפה מסביב לעולם.

📹זה הזכיר לי את הסרט הדוקומנטרי Cyberbunker שהמלצתי עליו כאן.

https://t.me/CyberSecurityIL/8974

🤩מתקפת שרשרת אספקה נוספת: תוקפים פרצו לחבילות של Laravel Lang ושתלו נוזקה במאות גרסאות.

לפי הדיווח, התוקפים לא פירסמו גרסה חדשה נגועה אלא שתלו נוזקה במאות גרסאות קיימות של הספריות שהודבקו.

פרטים נוספים ב-Bleeping

https://t.me/CyberSecurityIL/8975

💵 אתר Ransomware.live הטמיע באתר את כל הראיונות שקיימתי עם קבוצות הכופר 🎙

החל מאתמול, קישורים לראיונות מופיעים עבור כל קבוצה שאיתה קיימתי ראיון לאורך השנים.

אתר Ransomware.live הוא מהאתרים המובילים בעולם למעקב אחרי מתקפות כופר, יש לנו לא מעט שיתופי פעולה ואני שמח לראות את החיבור החדש.

יש עוד כמה ראיונות שמתבשלים עם כמה קבוצות. אתם כמובן תהיו הראשונים לדעת 🛡️

https://t.me/CyberSecurityIL/8977

חברת אנת'רופיק מפרסמת עדכון לפרויקט Glasswing ומודל Mythos ☁️

לפי הפרסום של החברה, במודל Mythos התנסו בחודש האחרון כ-50 חברות גדולות כשבמהלך החודש מצא המודל כ-10,000 חולשות בדרגת סיכון גבוהה/קריטית.

בעוד שלמצוא חולשות קריטיות הפך כעת למשימה פשוטה יותר, צוואר הבקבוק נשאר תהליך התעדוף והתיקון, כשחלק מצוותי הפיתוח של חבילות קוד פתוח ביקשו להאט את קצב הדיווחים בכדי שיוכלו לעמוד בקצב.

the bottleneck in fixing bugs like these is the human capacity to triage, report, and design and deploy patches for them

several maintainers have told us they’re currently severely capacity constrained, and some have even asked us to slow down our rate of our disclosures because they need more time to design patches.

הדיווח המלא זמין לקריאה כאן.

https://t.me/CyberSecurityIL/8979