☠️Критический баг в Tinyproxy: 50,000 хостов под угрозой!

🧑‍🎓Исследователи из Cisco Talos спалили серьезную уязвимость в Tinyproxy, прокси-сервере с открытым исходным кодом, широко используемом в UNIX-системах. Баг, получил кодовое имя CVE-2023-49606, может привести к удаленному выполнению кода (RCE) и атакам отказа в обслуживании (DoS).

🖥Проблема затрагивает версии Tinyproxy 1.11.1 и 1.10.0. Хакер может отправить специально сформированный HTTP-запрос, например, с заголовком Connection: Connection, чтобы вызвать ошибку use-after-free.
Работа с этим багом может положить сервак или привести к выполнению произвольного кода на целевом хосте.

📊Согласно данным Censys, около 90,000 хостов с установленным Tinyproxy доступны в инете, причем 57% из них уязвимы перед CVE-2023-49606. Большинство уязвимых систем находятся в США, Южной Корее, Китае, Франции и Германии.

🖥Разрабы Tinyproxy быстро отреагировали на угрозу, выпустив патч через пять дней после публикации отчета Cisco.

@pentestland

⚠️Важное Обновление Безопасности для Google Chrome**

🌐Юзерам Google Chrome на платформах Linux, macOS и Windows, срочно нужно обновить свой браузер. Компания Google выявила критический баг, который уже юзают хакеры для атак на пекарни по всему миру.

☠️Чтобы поймать баг на свой комп достаточно посетить вредоносный сайт. Эта уязвимость получила оценку 8.8 по шкале CVSS, а это высокая степень риска.

🔍Google уже выкатили обновление, которое фиксит этот баг. Юзерам необходимо убедиться, что их браузер обновлен до последней версии.

⚙️Для проверки версии браузера перейдите в Chrome: Настройки → О браузере Google Chrome. Браузер автоматически проверит наличие обновлений и предложит установить их. После обновы убедитесь, что вы перезапустили браузер, чтобы изменения вступили в силу.

@pentestland

💻Хакер увел у компании Dell 49 млн учеток клиентов

💻Компания Dell столкнулась с серьезной утечкой данных, информация о покупках клиентов. Украденые данные были замечены на хакерском форуме Breach Forums.

🖥Хацкеры получили доступ к инфе о 49 лямов клиентов и их покупках у Dell с 2017 по 2024 год. Слив включает имена, физические адреса, информацию об аппаратном обеспечении Dell и данные о сервисной метке, описании товара, дате заказа и информации о гарантии. Хакер под ником Menelik использовал API портала Dell для партнеров, реселлеров и розничных продавцов, генерируя сервисные метки для сбора информации.

🔔Dell начала рассылать уведомления клиентам, предупреждая о возможной угрозе и рекомендуя меры предосторожности.

🛡Компания продолжает исследовать обстоятельства слива и предпринимает шаги для предотвращения подобных инцидентов в будущем.

@pentestland

🚨 В PyPI обнаружен вирус, имитирующий библиотеку requests

🖥Спецы из Phylum нашли новый вредоносный пак в репозитории PyPI, который имитировал библиотеку requests. Этот пакет, получил название `requests-darwin-lite`, был запилен для атак на устройства с macOS с целью получения доступа к корпоративным сетям. В своих атаках он использовал фреймворк Sliver.

💻Sliver — это легальный кроссплатформенный C2-фреймворк на основе Go, разработанный BishopFox для специалистов red team. В последнее время он набирает популярность среди хакеров как открытая альтернатива Cobalt Strike и Metasploit. Sliver позволяет выполнять пост-эксплуатационные задачи, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и инжекты в процессы.

🔍Атака, замеченная пацанами из Phylum, начиналась с установки вредоноса Python-пакетать пост-эксплуатационныетипа безобидный форк библиотеки requests. Вирусоваными версиями были 2.27.1 и 2.27.2, а последующие релизы (2.28.0 и 2.28.1) не содержали вредоносных модификаций.

⚙️- Пакет включал бинарник Sliver, скрытый в файле PNG с логотипом Requests размером 17 МБ.
- Во время установки на macOS декодировалась base64-строка для запуска командыьзовал фр которая получала UUID системы.
- UUID использовался для проверки на установку на реальное устройство через сравнение с заранее заданными UUID.
- При успешной проверке Go-бинарник извлекался из PNG-файла, записывался в локальный файл и запускался в фоновом режиме.

@pentestland

🚨Хакеры юзают баг Foxit PDF Reader для доставки вирусного ПО

💻Хакеры нашли способ атаковать юзеров через популярное приложение Foxit PDF Reader, у которого более 700 миллионов по всему миру. Компания обслуживает клиентов из правительственного и технологического секторов,и поэтому она заинтересовала хакеров.

💻 Исследователи из Check Point обнаружили, что хакеры юзают уязвимости всплывающих предупреждений Foxit PDF Reader для доставки вредоносного ПО через заражённые PDF-файлы. Основные методы включают:

🔧Хакеры применяют различные инструменты, например .NET и Python, для создания PDF-документов с вредоносными макросами. Один из самых популярных инструментов — «PDF Exploit Builder». Эти макросы выполняют команды-скрипты, загружающие и исполняющие вредоносные программы: Agent Tesla, Remcos RAT, Xworm, NanoCore RAT и другие.

🖥При открытии заражённых PDF-файлов показываются два всплывающих окна:

1. Первое предупреждение сообщает об отключении функций для избегания рисков безопасности. Юзеру предлагается либо доверять документу только один раз, либо всегда (по умолчанию выбран первый вариант, который более безопасен).
2. Второе предупреждение: Если пользователь, не читая текст, примет опции по умолчанию, это позволит Foxit выполнить вредоносную команду.

@pentestland

💸Угнать $25 лямов за 12 секунд

🔤Два брата, бывшие студенты Массачусетского технологического института, украли крипты на $25 млн. Атака заняла 12 секунд, что ставит под сомнение целостность блокчейна.

🔎По версии следаков, братья заюзали свои навыки в информатике и математике для взлома протоколов блокчейна Ethereum. Они управляли процессами валидации транзакций, получая доступ к незавершённым приватным транзакциям и внося изменения, это позволило им похитить крипту жертв.

📉Братья создали фальшивые компании и криптоадреса, потратив на это 529,5 ETH (около $880,000). Проводили серии тестовых «транзакций-приманок», чтобы выявить переменные, привлекающие MEV-ботов.
Нашли и заюзали баг в коде ретранслятора MEV-Boost, из-за которого тот раньше времени раскрывал содержимое блока.
Потом изменяли блок в свою пользу и публиковали его в блокчейне Ethereum.

💼После атаки братья начали заметать следы:
- Использовали несколько криптовалютных адресов, зарубежные биржи и липовые компании.
- Перемещали похищенные активы через серию транзакций, чтобы скрыть их источник.

🚓В итоге их арестовали в начале недели в Бостоне и Нью-Йорке. Обвинения за мошенничество с использованием электронных средств связи, сговор с целью мошенничества и отмывание денег. Если их признают виновными, им грозит до 20 лет лишения свободы по каждому пункту обвинения.

@pentestland

🖥Microsoft запускает собственные чипы Cobalt для облачной платформы Azure

📺На будущей конфе Build Microsoft представит свои собственные процессоры Cobalt, разработанные специально для облачной платформы Azure. Эти чипы обещают повышение производительности и эффективности облачных вычислений.

📟🖥️ Что такое Cobalt?

- 64-битный проц на основе ARM.
- 128 ядер.
- Cobalt на 40% быстрее аналогичных ARM-чипов конкурентов, таких как AWS Graviton от Amazon.

🗣По словам вице-президента Microsoft Скотта Гатри, процессоры Cobalt обеспечат большой прирост производительности. Первыми крупными заказчиками стали Adobe и Snowflake.

🔝Microsoft продолжает расширять свои технологии облачных технологий, предлагая клиентам современные решения для повышения эффективности и производительности.

@pentestland

💻Кибератаки на ARRL

🎙Американская радиорелейная лига (ARRL), национальная ассоциация радиолюбителей США, сообщила о кибератаке, нарушившей работу ее IT-систем и онлайн-служб, электронную почту и Logbook of the World.

📡 На прошлой неделе ARRL сообщили, что лига подверглась хакерской атаке, которая повлияла на работу ее сети и систем. Пострадали несколько ключевых сервисов:

🔴Logbook of The World (LoTW)Онлайн БД, позволяющая радиофилам обмениваться электронными журналами успешных сеансов связи (QSO) и подтверждений (QSL).
🔴ARRL Learning Center: Образовательный центр, предлагающий обучение и ресурсы для радиоманов.

🌐LoTW важный ресурс для радиоманов, позволяет им подтверждать сеансы связи и получать дипломы, такие как DXCC, WAS и WPX. Его нарушение оказывает влияние на сообщество радиолюбителей.

⚙️ARRL работает над устранением последствий атаки и восстановлением всех сервисов.

@pentestland

💻Хакнуть стиралку—проще простого

👩‍🎓Двое студентов из Калифорнийского университета в Санта-Крузе, Александр Шербрук и Яков Тараненко, нашли баг в системе прачечных самообслуживания CSC ServiceWorks. Этот баг позволяет любому юзеру заюзать стиралку бесплатно, обманывая систему оплаты через API мобильного приложения.

🛠️Проблема заключается в API, используемом мобильным приложением CSC Go. Юзеры могут обходить проверки безопасности, которые выполняются на устройстве, и отправлять команды непосредственно на серваки CSC ServiceWorks. Пацаны смогли добавить на свои счета миллионы долларов, не внося реальных средств, что отразилось в их мобильном приложении CSC Go. CSC ServiceWorks управляет более миллионом стиральных машин по всему миру.

📞С января 2024 года студенты пытались связаться с CSC ServiceWorks через форму обратной связи и телефонные звонки, но не получили никакого ответа. После безуспешных попыток связаться с CSC, студенты передали инфу о баге в CERT/CC, который помогает раскрывать уязвимости и распространять исправления. Через три месяца после уведомления, пацаны решили обнародовать свои находки в презентации в университетском клубе кибербезопасности.

@pentestland

👮Арест владельца даркнет-маркетплейса Incognito

☠️18 мая в Нью-Йорке был арестован Руй-Сян Лин, предполагаемый владелец и оператор даркнет-маркетплейса Incognito, который продавал запрещенные вещества. Маркетплейс работал с октября 2020 года и был закрыт копами 23 марта 2024 года.

💊Incognito был вовлечен в продажу наркотиков на сумму более $100 млн (там было все - мет, кокс, амфетамин, экстази.)
Платформа насчитывала 1312 продавцов, 255 519 клиентов и 224 791 транзакцию. Лин принимал окончательные решения по любому аспекту операций маркетплейса, включая управление более чем тысячей продавцов и более 200 000 клиентами.

Лин обвиняется в управлении преступным предприятием, сговоре с целью сбыта наркотиков, отмывании денег и продаже фальсифицированных препаратов с искаженной маркировкой.
Ему может грозить пожизненное заключение за управление преступным предприятием, а также дополнительные сроки за другие преступления.

🚔Копы использовали ордеры на обыск для доступа к сервакам, которые обслуживали платформу, это помогло раскрыть масштабы деятельности Incognito и «нарыть» доказательства против Лина.

@pentestland

👊Атаки на Rockwell Automation

🔛Rockwell Automation, производитель автоматизированных систем управления (АСУ или ICS), советует своим клиентам отключить все системы от интернета, не подходящие для работы в онлайн режиме, из-за случаев вирусной активности по всему миру.

💻По всему миру зафиксирован рост кибератак на промышленные системы управления.
Такие системы, подключенные к инету, могут легко хакнуть.

❔Что делать?
1. Отключить от интернета
2. Локальная безопасность
3. Обновлять устройства

@pentestland

🚨Проблемы безопасности в системах геолокации Apple и Starlink

🦠Обнаруженные баги в системах геолокации Apple и Starlink ставят под угрозу данные более миллиарда юзеров. Хакеры могли получить доступ к конфиденциальной информации, что вызывает опасения в личной безопасности и конфиденциальности.

📍Яблочники собирали данные о точном местоположении всех точек доступа Wi-Fi и передавали их обратно, что позволяло отслеживать локации юзеров даже без использования GPS. Таким же способом, можно было отслеживать и спутники Starlink.

✅Обе компании уже предприняли меры для улучшения безопасности, выкатив новые версии ПО. Но факт в том, что данные огромного количества людей были под угрозой.

@pentestland

☠️GitLab исправил XSS-баг: нужно обновиться

💻В GitLab был обнаружен и исправлен серьезный XSS-баг, который мог быть заюзан хакерами для угона учеток юзеров. Проблема CVE-2024-4835, была найдена в редакторе кода VS (Web IDE) и позволяла похищать закрытую информацию с помощью вредоносных страниц.

🎛Для атак не требовалась аутентификация, необходимое взаимодействие с пользователем усложняло эксплуатацию уязвимости.

🔄Разрабы GitLab выкатили версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE), в которых исправлен ряд багов и уязвимостей. Компания рекомендует немедленно обновить GitLab.

✅Кроме XSS-проблемы, GitLab исправил еще шесть уязвимостей, включая CSRF в Kubernetes Agent Server (CVE-2023-7045) и ошибку отказа в обслуживании (CVE-2024-2874), которая могла нарушать загрузку веб-ресурсов GitLab.

🛡Недавно в этом месяце Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупреждало о другой zero-click уязвимости в GitLab, CVE-2023-7028, также позволяющей воровать учетки. Патч для этой уязвимости был выпущен еще в январе 2024 года, и количество уязвимых экземпляров GitLab в интернете сократилось с более чем 5300 до ~2000.

@pentestland

💸Индус украл $37 млн

👮30-летний Чираг Томар был арестован в аэропорту Атланты 20 декабря 2023 года после расследования, проведенного Секретной службой США при содействии ФБР. Его преступная схема заключалась в использование поддельного сайта Coinbase для кражи учеток юзеров, заработав на этом более $37 млн.

🔤В июне 2021 года Томар и его сообщники запилили фальшивый сайт, имитирующий реальный Coinbase Pro, который обманывал юзеров, заставляя их вводить свои учетные данные и коды двухфакторной аутентификации. Платформа Coinbase Pro, прекратила свое существование 9 ноября 2022 года, а ее функции были интегрированы в основную платформу Coinbase.

🖥Жертвам показывали фальшивую ошибку при попытке входа в систему и предлагали позвонить представителю Coinbase. Мошенники, выдавая себя за представителей службы поддержки, обманывали и убеждали предоставить доступ к своим компьютерам через ПО для удаленного доступа, что позволяло получить контроль над аккаунтами жертв.

💻Одну из жертв, из Северной Каролины, обокрали $240 000 из-по этой схеме.

🪙Томар признался в суде, что контролировал несколько криптовалютных кошельков, через которые проходили сотни транзакций с украденной криптовалютой на сумму в десятки миллионов долларов. Он быстро конвертировал украденную криптовалюту в другие цифровые активы или перемещал средства между различными кошельками, а затем конвертировал их в наличные, которые распределялись между ним и его сообщниками.

🌴Похищенные средства Томар тратил на покупку предметов роскоши, часы Rolex, автомобили Lamborghini и Porsche, а также для поездок в Дубай и Таиланд.

🔚Теперь ему грозит до 20 лет тюрьмы и штраф в размере $250 000.

@pentestland

🪙Новая мошенническая криптовалютная схема

🔍Исследователи «Лаборатории Касперского» спалили новую схему, нацеленную на русскоязычных юзеров. Скамеры юзают популярную модель Move-To-Earn (M2E), предлагая заработать на беге.

⚙️Как работает схема:
1. Авторизация через Telegram-бот: юзерам предлагают авторизоваться через Telegram-бот, чтобы получить виртуальные NFT-кроссовки.
2. Фальшивый сервис: в поддельном M2E-проекте, юзеры должны сдавать кроссовки в аренду бегунам, или «раннерам», для получения комиссии.
3. Мошенники активно рекламируют свой проект в соцсетях, заманивая новых жертв.

🆓- Переходя по ссылке, юзеры выбирают бесплатную модель NFT-кроссовок и назначают её одному из «раннеров».
- Обещают доход от пробежек «раннера», 100 рублей в час. Для увеличения дохода предлагают купить более дорогие кроссовки стоимостью от ₽199 до ₽5999.

💸Когда юзер пытается вывести заработанное, его просят ввести номер банковской карты и желаемую сумму. Для завершения транзакции юзеру сообщают, что ему не хватает 199 рубинов (внутренняя валюта), которые нужно купить за реальные деньги.

«Мошенники часто спекулируют на теме криптовалют и NFT, поскольку у людей они могут ассоциироваться с легким заработком. Злоумышленникам даже не пришлось придумывать новую легенду — они взяли за основу существующий проект с продуманными условиями. Однако на моменте, когда предлагалось осуществить перевод физическому лицу, людям стоило задуматься. При этом скамеры активно монетизируют свои усилия — выманивают деньги и за более прибыльные кроссовки, и за рубины. Распространение таких схем еще раз доказывает, что не стоит доверять слишком заманчивым предложениям», — комментирует Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».

@pentestland

🔍Крупная утечка документов Google

💻Google столкнулся с утечкой — 2500 страниц с описанием алгоритмов поисковой системы попали в открытый доступ. Причина — ошибка стажера, который автоматом опубликовал документацию на GitHub. Документы быстро разобрали и теперь анализируются специалистами.

🖕Главные сливы:
- Сортировка по «авторитету»: Хотя Google утверждает обратное, на самом деле сайты ранжируются по критерию «авторитета».
- Использование данных браузера: Google также использует данные браузера при ранжировании результатов, несмотря на отрицания.

➡️Сеошники-могут детальнее разобрать слив здесь

@pentestland

💰Чел нашел свой потерянный криптокошелек с $3 млн спустя 11 лет!

🪙Он купил 43 битка в 2013 году и сделал пароль на криптокошелек через Roboform, и забыл его. После многолетних попыток вспомнить или восстановить доступ, ему помог известный хакер Джо Гранд.

⌨️Пароль был сгенерирован менеджером паролей Roboform на основе текущей даты и времени компьютера.

⏰Хакер смог вернуть системное время компьютера на 11 лет назад, что позволило легко хакнуть кошелек и вернуть доступ к биткоинам.

🤑Криптокошелек, в котором хранились 43 биткоина, сейчас стоит около $3 млн, был восстановлен.

🔫Главное теперь — не забыть новый пароль!

@pentestland