☠️GitLab исправил XSS-баг: нужно обновиться

💻В GitLab был обнаружен и исправлен серьезный XSS-баг, который мог быть заюзан хакерами для угона учеток юзеров. Проблема CVE-2024-4835, была найдена в редакторе кода VS (Web IDE) и позволяла похищать закрытую информацию с помощью вредоносных страниц.

🎛Для атак не требовалась аутентификация, необходимое взаимодействие с пользователем усложняло эксплуатацию уязвимости.

🔄Разрабы GitLab выкатили версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE), в которых исправлен ряд багов и уязвимостей. Компания рекомендует немедленно обновить GitLab.

✅Кроме XSS-проблемы, GitLab исправил еще шесть уязвимостей, включая CSRF в Kubernetes Agent Server (CVE-2023-7045) и ошибку отказа в обслуживании (CVE-2024-2874), которая могла нарушать загрузку веб-ресурсов GitLab.

🛡Недавно в этом месяце Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупреждало о другой zero-click уязвимости в GitLab, CVE-2023-7028, также позволяющей воровать учетки. Патч для этой уязвимости был выпущен еще в январе 2024 года, и количество уязвимых экземпляров GitLab в интернете сократилось с более чем 5300 до ~2000.

@pentestland

💸Индус украл $37 млн

👮30-летний Чираг Томар был арестован в аэропорту Атланты 20 декабря 2023 года после расследования, проведенного Секретной службой США при содействии ФБР. Его преступная схема заключалась в использование поддельного сайта Coinbase для кражи учеток юзеров, заработав на этом более $37 млн.

🔤В июне 2021 года Томар и его сообщники запилили фальшивый сайт, имитирующий реальный Coinbase Pro, который обманывал юзеров, заставляя их вводить свои учетные данные и коды двухфакторной аутентификации. Платформа Coinbase Pro, прекратила свое существование 9 ноября 2022 года, а ее функции были интегрированы в основную платформу Coinbase.

🖥Жертвам показывали фальшивую ошибку при попытке входа в систему и предлагали позвонить представителю Coinbase. Мошенники, выдавая себя за представителей службы поддержки, обманывали и убеждали предоставить доступ к своим компьютерам через ПО для удаленного доступа, что позволяло получить контроль над аккаунтами жертв.

💻Одну из жертв, из Северной Каролины, обокрали $240 000 из-по этой схеме.

🪙Томар признался в суде, что контролировал несколько криптовалютных кошельков, через которые проходили сотни транзакций с украденной криптовалютой на сумму в десятки миллионов долларов. Он быстро конвертировал украденную криптовалюту в другие цифровые активы или перемещал средства между различными кошельками, а затем конвертировал их в наличные, которые распределялись между ним и его сообщниками.

🌴Похищенные средства Томар тратил на покупку предметов роскоши, часы Rolex, автомобили Lamborghini и Porsche, а также для поездок в Дубай и Таиланд.

🔚Теперь ему грозит до 20 лет тюрьмы и штраф в размере $250 000.

@pentestland

🪙Новая мошенническая криптовалютная схема

🔍Исследователи «Лаборатории Касперского» спалили новую схему, нацеленную на русскоязычных юзеров. Скамеры юзают популярную модель Move-To-Earn (M2E), предлагая заработать на беге.

⚙️Как работает схема:
1. Авторизация через Telegram-бот: юзерам предлагают авторизоваться через Telegram-бот, чтобы получить виртуальные NFT-кроссовки.
2. Фальшивый сервис: в поддельном M2E-проекте, юзеры должны сдавать кроссовки в аренду бегунам, или «раннерам», для получения комиссии.
3. Мошенники активно рекламируют свой проект в соцсетях, заманивая новых жертв.

🆓- Переходя по ссылке, юзеры выбирают бесплатную модель NFT-кроссовок и назначают её одному из «раннеров».
- Обещают доход от пробежек «раннера», 100 рублей в час. Для увеличения дохода предлагают купить более дорогие кроссовки стоимостью от ₽199 до ₽5999.

💸Когда юзер пытается вывести заработанное, его просят ввести номер банковской карты и желаемую сумму. Для завершения транзакции юзеру сообщают, что ему не хватает 199 рубинов (внутренняя валюта), которые нужно купить за реальные деньги.

«Мошенники часто спекулируют на теме криптовалют и NFT, поскольку у людей они могут ассоциироваться с легким заработком. Злоумышленникам даже не пришлось придумывать новую легенду — они взяли за основу существующий проект с продуманными условиями. Однако на моменте, когда предлагалось осуществить перевод физическому лицу, людям стоило задуматься. При этом скамеры активно монетизируют свои усилия — выманивают деньги и за более прибыльные кроссовки, и за рубины. Распространение таких схем еще раз доказывает, что не стоит доверять слишком заманчивым предложениям», — комментирует Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».

@pentestland

🔍Крупная утечка документов Google

💻Google столкнулся с утечкой — 2500 страниц с описанием алгоритмов поисковой системы попали в открытый доступ. Причина — ошибка стажера, который автоматом опубликовал документацию на GitHub. Документы быстро разобрали и теперь анализируются специалистами.

🖕Главные сливы:
- Сортировка по «авторитету»: Хотя Google утверждает обратное, на самом деле сайты ранжируются по критерию «авторитета».
- Использование данных браузера: Google также использует данные браузера при ранжировании результатов, несмотря на отрицания.

➡️Сеошники-могут детальнее разобрать слив здесь

@pentestland

💰Чел нашел свой потерянный криптокошелек с $3 млн спустя 11 лет!

🪙Он купил 43 битка в 2013 году и сделал пароль на криптокошелек через Roboform, и забыл его. После многолетних попыток вспомнить или восстановить доступ, ему помог известный хакер Джо Гранд.

⌨️Пароль был сгенерирован менеджером паролей Roboform на основе текущей даты и времени компьютера.

⏰Хакер смог вернуть системное время компьютера на 11 лет назад, что позволило легко хакнуть кошелек и вернуть доступ к биткоинам.

🤑Криптокошелек, в котором хранились 43 биткоина, сейчас стоит около $3 млн, был восстановлен.

🔫Главное теперь — не забыть новый пароль!

@pentestland

☠️Крупная утечка данных в Cooler Master

💻Сообщили что хакер под ником Ghostr сообщил о том, что он хакнул сайт компании. 18 мая 2024 года он украл около 103 ГБ данных, включая личные данные более 500 000 участников Fanzone.

📁В слив вошли имена, адреса, даты рождения, телефонные номера и электронные почты юзеров. Хакер утверждает, что угнал также незашифрованную инфу о банковских картах, хотя это подтверждение не было найдено в предоставленных образцах данных.
Слив включает в себя данные о поставщиках, продажах, гарантийных обязательствах и инвентаризации.

✔️Компания подтвердила факт утечки и сразу же оповестила власти для проведения расследования.
Сразу усилили меры безопасности для защиты данных клиентов.
Пострадавшим юзерам отправили уведомления о случившемся с инструкцией по дальнейшим действиям.

@pentestland

🔒BreachForums возродился под контролем ShinyHunters

💻BreachForums, известная платформа для продажи украденных данных, снова оказалась в центре скандала. Несмотря на закрытие доменов ФБР в мае 2024 года, форум вернулся в онлайн и теперь, находится под контролем хакерской группы ShinyHunters.

☠️После ареста доменов сайта и Telegram-канала, ShinyHunters быстро восстановили доступ к платформе и новому домену в даркнете.
ShinyHunters выставили на продажу БД объемом 1.3 ТБ, содержащую данные 560 млн клиентов Ticketmaster, оценивая дамп в $500 000.

📁Последствия:
Персональные данные миллионов юзеров, имена, адреса и последние четыре цифры номеров банковских карт, могут быть использованы для мошенничества.

@pentestland

💻ShinyHunters хакнули Santander Bank

🖥Хакеры из группировки ShinyHunters, объявили о взломе Santander Bank, одного из крупнейших мировых финансовых организаций. В результате атаки они угнали личные данные 30 млн клиентов, которые теперь выставлены на продажу за $2 млн.

📁ShinyHunters не раз уже были замечены в краже данных. Ранее они взломали Ticketmaster, угнав данные 560 млн записей.

🖕ФБР не раз пытались закрыть форум BreachForums, ShinyHunters успешно восстановили его работу.

@pentestland

🧱600K кирпичей-роутеров после атаки хакеров

🎃В октябре прошлого года, накануне Хэллоуина, провайдер Windstream был атакован хакерами, Исследователи из Black Lotus Labs компании Lumen заметили, что в результате атаки было хакнуто более 600,000 маршрутизаторов, это привело к огромному ущербу как для компании, и для её юзеров.

📡Почти половина абонентов пострадала и многие устройства стали «кирпичами».
Главным инструментом атаки стала малварь Chalubo, которая использовала шифрование ChaCha20 для скрытной коммуникации и могла полностью стереть файлы с зараженного устройства.

💻Хакеры отправляли боту команды для загрузки допмодулей, а также управляли данными устройств.
Неизвестно, как был получен первоначальный доступ к роутерам, но есть версия о использовании либо 0-day уязвимости, либо эксплуатация слабых учетных данных.

💸Пострадавшие рассказывают о потерях в размере до $1500, учитывая простой в работе.

✔️Провайдер быстро принял меры для замены поврежденного оборудования и уведомил юзеров о произошедшем.

@pentestland

🌐Google начинает переход на Manifest V3 для расширений Chrome,

🔍Google официально объявил о переходе на Manifest V3 для расширений в браузере Chrome, начиная с 3 июня 2024 года. Все это для улучшения безопасности, производительности и надежности расширений, ну и конечно же для торможения блокировщиков рекламы и других популярных расширений.

💬Юзеры Chrome 127 (Beta, Dev и Canary) уже видят уведомление о прекращении поддержки расширений Manifest V2. Manifest V3 ограничивает доступ расширений к сетевым запросам юзеров, что тормозит работу блокировщиков рекламы.

🍌Разрабы популярных блокировщиков рекламы, включая AdGuard и uBlock Origin поднапряглись и уже начали пилить новые проекты, такие как uBO Lite (uBOL), чтобы адаптироваться к ограничениям Manifest V3.

⏰Google дает время до июня 2025 года для организаций, использующих политику ExtensionManifestV2Availability, но все равно говорит чтобы все обновились как можно быстрее.

@pentestland

🎶Взломы известных аккаунтов в TikTok

💻За последние несколько дней хакеры взломали несколько известных аккаунтов в TikTok, принадлежащих компаниям и знаменитостям: Sony, CNN и Пэрис Хилтон. Хакеры использовали уязвимость нулевого дня в системе отправки личных сообщений.

💬Эксплоит позволял компрометировать учетки без необходимости скачивания полезной нагрузки или перехода по ссылке — достаточно было открыть вредоносное личное сообщение.
После взлома учетные записи Sony, CNN и Пэрис Хилтон были удалены, чтобы предотвратить дальнейшие действия на аккаунтах.

🛡Представитель TikTok Алекс Хаурек сообщил Forbes, что компания приняла меры для остановки атаки и предотвращения подобных инцидентов в будущем. TikTok находится в контакте с владельцами пострадавших аккаунтов, чтобы помочь им восстановить доступ. Пока компания не раскрывает точное количество пострадавших аккаунтов и детали уязвимости, так как она пока не исправлена.

@pentestland

☠️RansomHub: Новый вымогатель RaaS

💻Исследователи Symantec недавно нашли новый проект RaaS (ransomware-as-a-service) под названием RansomHub, который, как полагают, является ответвлением от уже несуществующего проекта Knight. Группировка RansomHub привлекла внимание экспертов после атаки на дочернюю компанию United Healthcare — Change Healthcare, связанной с шифровальщиком BlackCat (ALPHV).

👨‍💻В середине апреля RansomHub слила данные, украденные в результате атаки BlackCat. На прошлой неделе они атаковали аукционный дом Christie's и пригрозили опубликовать украденную инфу.

🥷Вымогатель Knight, ребрендинг малвари Cyclops, появился в июле 2023 года и исчез в феврале 2024 года, когда исходный код был выставлен на продажу. Аналитики обнаружили многочисленные сходства между Knight и RansomHub, включая код, обфускацию и техники шифрования.

🔐Оба семейства малвари написаны на языке Go и используют Gobfuscate для обфускации.
Все важные строки кодируются уникальными ключами.
Сообщения с требованием выкупа почти не отличаются.

✔️Symantec пришли к выводу, что RansomHub, скорее всего, создан на основе исходного кода Knight, приобретенного другими хакерами. Это подтверждается временными совпадениями и техническими сходствами.

@pentestland

🖥Баг в функции Recall от Microsoft

😤Функция Recall от Microsoft, для фиксирования (с помощью скринов) всего происходящего на рабочем столе и упрощения поиска информации по запросу, оказалась с серьезным багом. Чуваки с GitHub смогли хакнуть компьы с включенной функцией Recall и получить доступ ко всей секретной информации владельцев.

🖥Recall скринит всё происходящее на рабочем столе и сохраняет информацию в виде изображений. Для взлома понадобился лишь пароль от Windows. Челы смогли удаленно получить доступ к компам и выгрузить всю конфиденциальную инфу в виде JPEG-картинок. Даже учетка Microsoft не смогла защитить юзеров от этого бага.

💻Все учетки, истории поиска, номера кредиток и даже личные переписки могут быть легко угнаны.

@pentestland

☠️Опасный баг RCE в PHP для Windows

💭Аналитики Devcore нашли критический баг удаленного выполнения кода (RCE) в PHP для Windows, затрачивающий все версии начиная с 5.x. Баг, получил идентификатор CVE-2024-4577, представляет угрозу для серваков по всему миру.

📆CVE-2024-4577 был обнаружен 7 мая 2024 года и сразу же сообщен разрабам PHP.
Вчера был выпущен патч который фиксит баг.

🚫Ошибка возникает при обработке преобразований кодировок символов в функции Best-Fit в Windows, если PHP используется в режиме CGI. Баг позволяет неаутентифицированным хакерам выполнять произвольный код на удаленных PHP-серверах посредством инъекции аргументов. Даже если PHP не работает в режиме CGI, баг все равно может быть использован, если исполняемые файлы PHP находятся в каталогах, доступных веб-серверу. Особенно уязвимы установки XAMPP для Windows.

⚠️Важно обновиться до версий с патчем: PHP 8.3.8, PHP 8.2.20 и PHP 8.1.29.

@pentestland

☠️Опасный баг в Visual Studio Code

🔍Исследователи по безопасности из Израиля заметили серьезный баг в VSCode и его Marketplace. В рамках эксперимента они смогли "заразить" более 100 организаций, создав липовое расширение, имитирующее Dracula Official, и выявили тысячи опасных расширений с миллионами загрузок.

🖥Три чела Амит Ассараф, Итай Крук и Идан Дардикман создали расширение, имитирующее Dracula Official, и назвали его Darcula. Расширение имело дополнительный скрипт, собирающий информацию о системе и передающий её на удаленный сервер. Название Darcula и регистрация домена darculatheme.com позволили получить статус проверенного издателя на VSCode Marketplace.

🗄Это расширение собирало данные, имя хоста, количество установленных расширений, доменное имя устройства и информация об ОС, и передавало их на удаленный сервак.

👁Активность VSCode не была обнаружена обычными средствами защиты конечных точек (EDR), это и позволило злоупотреблять платформой.

0️⃣Когда они заюзали ExtensionTotal, выявилось:
🔴1283 расширения с известным вредоносным кодом (229 млн установок).
🔴8161 расширение, связывающееся с жестко закодированными IP-адресами.
🔴1452 запущенных неизвестных исполняемых файла.
🔴2304 расширения, использующие GitHub-репозитории других издателей.

@pentestland

💻Опасная китайская кибершпионская компания

🇳🇱Голландская служба военной разведки и безопасности (MIVD) сообщила, что последствия китайской кибершпионской кампании оказались гораздо серьезнее, чем предполагалось изначально. В период с 2022 по 2023 год хакеры взломали 20 000 систем Fortinet FortiGate по всему миру, используя критический баг.

☠️В феврале 2024 года MIVD опубликовали отчет о том, что китайские хакеры заюзали баг RCE в FortiOS/FortiProxy (CVE-2022-42475) в течение нескольких месяцев в 2022 и 2023 годах.

🦠Хакеры устанавливали троян удаленного доступа Coathanger на хакнутые системы, что давало им сохранять доступ даже после установки патчей и обновления прошивки. Были слухи, что атака затронула Министерство обороны Нидерландов.

😤Около 14 000 устройств были хакнуты только одной китайской хак-группой, включая системы десятков западных правительств, международных организаций

@pentestland

📺YouTube никак не успокоится

🧑‍💻Разрабы YouTube начали тестить новый метод встраивания рекламы сразу в видеопоток, чтобы усложнить её блокировку. Эту обнову уже заметили авторы расширения SponsorBlock, которое собирает инфу о спонсорском контенте и позволяет пропускать его.

🖥В отличие от текущей системы, где реклама внедряется на стороне клиента с помощью JavaScript, новая система встраивает рекламу в видеопоток еще до его показа зрителю. Такой метод тормозит работу блокировщиков. Встроенная в реклама становится частью самого видоса, это затрудняет её распознавание и блокировку.

🚨Пацаны из SponsorBlock объясняют, что реклама, встроенная в видеопоток, двигает временные метки для спонсорского контента, что создает дополнительные траблы для его распознавания и пропуска.

👨‍💻Разрабы SponsorBlock уже работают над решением этой проблемы, но говорят, что если YouTube дальше начнет прокачивать свою защиту, то текущие методы блокировки будут не актуальны.

🔍Представители Google заявили, что YouTube работает над повышением надежности рекламного видеоконтента. Так же сказали, что блокировщики нарушают условия использования YouTube и предложили юзерам поддерживать авторов, разрешая рекламу, или юзать YouTube Premium для работы без рекламы.

@pentestland

🔒JetBrains устранил серьезный баг в IntelliJ, с токенами GitHub

💬Компания JetBrains сообщила своим клиентам об исправлении бага, который затрагивал юзеров IDE IntelliJ и позволял хакерам получить доступ к токенам GitHub. Баг под идентификатором CVE-2024-37051 затрагивает все IDE на базе IntelliJ с версии 2023.1, в которых включен или настроен плагин JetBrains GitHub.

🪙Дата обнаружения: 29 мая 2024 года. Баг позволяет вредоносному контенту в пулл реквестах для GitHub, обрабатываемому в IDE на базе IntelliJ, передавать токены доступа на сторонний хост.
Затронутые токены могут предоставить хакерам доступ к аккаунтам на GitHub.

✅JetBrains уже выпустили патчи для устранения бага в следующих версиях IDE:
- Aqua: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- DataGrip: 2024.1.4
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

✅Рекомендации для юзеров
1. Установите патчи:
2. Отозвать все токены GitHub.
3. Если использовалась интеграция OAuth или Personal Access Token (PAT), следует отозвать доступ JetBrains IDE Integration и удалить токен плагина интеграции IntelliJ IDEA с GitHub. После этого необходимо заново настроить плагин.

@pentestland