🔒BreachForums возродился под контролем ShinyHunters

💻BreachForums, известная платформа для продажи украденных данных, снова оказалась в центре скандала. Несмотря на закрытие доменов ФБР в мае 2024 года, форум вернулся в онлайн и теперь, находится под контролем хакерской группы ShinyHunters.

☠️После ареста доменов сайта и Telegram-канала, ShinyHunters быстро восстановили доступ к платформе и новому домену в даркнете.
ShinyHunters выставили на продажу БД объемом 1.3 ТБ, содержащую данные 560 млн клиентов Ticketmaster, оценивая дамп в $500 000.

📁Последствия:
Персональные данные миллионов юзеров, имена, адреса и последние четыре цифры номеров банковских карт, могут быть использованы для мошенничества.

@pentestland

💻ShinyHunters хакнули Santander Bank

🖥Хакеры из группировки ShinyHunters, объявили о взломе Santander Bank, одного из крупнейших мировых финансовых организаций. В результате атаки они угнали личные данные 30 млн клиентов, которые теперь выставлены на продажу за $2 млн.

📁ShinyHunters не раз уже были замечены в краже данных. Ранее они взломали Ticketmaster, угнав данные 560 млн записей.

🖕ФБР не раз пытались закрыть форум BreachForums, ShinyHunters успешно восстановили его работу.

@pentestland

🧱600K кирпичей-роутеров после атаки хакеров

🎃В октябре прошлого года, накануне Хэллоуина, провайдер Windstream был атакован хакерами, Исследователи из Black Lotus Labs компании Lumen заметили, что в результате атаки было хакнуто более 600,000 маршрутизаторов, это привело к огромному ущербу как для компании, и для её юзеров.

📡Почти половина абонентов пострадала и многие устройства стали «кирпичами».
Главным инструментом атаки стала малварь Chalubo, которая использовала шифрование ChaCha20 для скрытной коммуникации и могла полностью стереть файлы с зараженного устройства.

💻Хакеры отправляли боту команды для загрузки допмодулей, а также управляли данными устройств.
Неизвестно, как был получен первоначальный доступ к роутерам, но есть версия о использовании либо 0-day уязвимости, либо эксплуатация слабых учетных данных.

💸Пострадавшие рассказывают о потерях в размере до $1500, учитывая простой в работе.

✔️Провайдер быстро принял меры для замены поврежденного оборудования и уведомил юзеров о произошедшем.

@pentestland

🌐Google начинает переход на Manifest V3 для расширений Chrome,

🔍Google официально объявил о переходе на Manifest V3 для расширений в браузере Chrome, начиная с 3 июня 2024 года. Все это для улучшения безопасности, производительности и надежности расширений, ну и конечно же для торможения блокировщиков рекламы и других популярных расширений.

💬Юзеры Chrome 127 (Beta, Dev и Canary) уже видят уведомление о прекращении поддержки расширений Manifest V2. Manifest V3 ограничивает доступ расширений к сетевым запросам юзеров, что тормозит работу блокировщиков рекламы.

🍌Разрабы популярных блокировщиков рекламы, включая AdGuard и uBlock Origin поднапряглись и уже начали пилить новые проекты, такие как uBO Lite (uBOL), чтобы адаптироваться к ограничениям Manifest V3.

⏰Google дает время до июня 2025 года для организаций, использующих политику ExtensionManifestV2Availability, но все равно говорит чтобы все обновились как можно быстрее.

@pentestland

🎶Взломы известных аккаунтов в TikTok

💻За последние несколько дней хакеры взломали несколько известных аккаунтов в TikTok, принадлежащих компаниям и знаменитостям: Sony, CNN и Пэрис Хилтон. Хакеры использовали уязвимость нулевого дня в системе отправки личных сообщений.

💬Эксплоит позволял компрометировать учетки без необходимости скачивания полезной нагрузки или перехода по ссылке — достаточно было открыть вредоносное личное сообщение.
После взлома учетные записи Sony, CNN и Пэрис Хилтон были удалены, чтобы предотвратить дальнейшие действия на аккаунтах.

🛡Представитель TikTok Алекс Хаурек сообщил Forbes, что компания приняла меры для остановки атаки и предотвращения подобных инцидентов в будущем. TikTok находится в контакте с владельцами пострадавших аккаунтов, чтобы помочь им восстановить доступ. Пока компания не раскрывает точное количество пострадавших аккаунтов и детали уязвимости, так как она пока не исправлена.

@pentestland

☠️RansomHub: Новый вымогатель RaaS

💻Исследователи Symantec недавно нашли новый проект RaaS (ransomware-as-a-service) под названием RansomHub, который, как полагают, является ответвлением от уже несуществующего проекта Knight. Группировка RansomHub привлекла внимание экспертов после атаки на дочернюю компанию United Healthcare — Change Healthcare, связанной с шифровальщиком BlackCat (ALPHV).

👨‍💻В середине апреля RansomHub слила данные, украденные в результате атаки BlackCat. На прошлой неделе они атаковали аукционный дом Christie's и пригрозили опубликовать украденную инфу.

🥷Вымогатель Knight, ребрендинг малвари Cyclops, появился в июле 2023 года и исчез в феврале 2024 года, когда исходный код был выставлен на продажу. Аналитики обнаружили многочисленные сходства между Knight и RansomHub, включая код, обфускацию и техники шифрования.

🔐Оба семейства малвари написаны на языке Go и используют Gobfuscate для обфускации.
Все важные строки кодируются уникальными ключами.
Сообщения с требованием выкупа почти не отличаются.

✔️Symantec пришли к выводу, что RansomHub, скорее всего, создан на основе исходного кода Knight, приобретенного другими хакерами. Это подтверждается временными совпадениями и техническими сходствами.

@pentestland

🖥Баг в функции Recall от Microsoft

😤Функция Recall от Microsoft, для фиксирования (с помощью скринов) всего происходящего на рабочем столе и упрощения поиска информации по запросу, оказалась с серьезным багом. Чуваки с GitHub смогли хакнуть компьы с включенной функцией Recall и получить доступ ко всей секретной информации владельцев.

🖥Recall скринит всё происходящее на рабочем столе и сохраняет информацию в виде изображений. Для взлома понадобился лишь пароль от Windows. Челы смогли удаленно получить доступ к компам и выгрузить всю конфиденциальную инфу в виде JPEG-картинок. Даже учетка Microsoft не смогла защитить юзеров от этого бага.

💻Все учетки, истории поиска, номера кредиток и даже личные переписки могут быть легко угнаны.

@pentestland

☠️Опасный баг RCE в PHP для Windows

💭Аналитики Devcore нашли критический баг удаленного выполнения кода (RCE) в PHP для Windows, затрачивающий все версии начиная с 5.x. Баг, получил идентификатор CVE-2024-4577, представляет угрозу для серваков по всему миру.

📆CVE-2024-4577 был обнаружен 7 мая 2024 года и сразу же сообщен разрабам PHP.
Вчера был выпущен патч который фиксит баг.

🚫Ошибка возникает при обработке преобразований кодировок символов в функции Best-Fit в Windows, если PHP используется в режиме CGI. Баг позволяет неаутентифицированным хакерам выполнять произвольный код на удаленных PHP-серверах посредством инъекции аргументов. Даже если PHP не работает в режиме CGI, баг все равно может быть использован, если исполняемые файлы PHP находятся в каталогах, доступных веб-серверу. Особенно уязвимы установки XAMPP для Windows.

⚠️Важно обновиться до версий с патчем: PHP 8.3.8, PHP 8.2.20 и PHP 8.1.29.

@pentestland

☠️Опасный баг в Visual Studio Code

🔍Исследователи по безопасности из Израиля заметили серьезный баг в VSCode и его Marketplace. В рамках эксперимента они смогли "заразить" более 100 организаций, создав липовое расширение, имитирующее Dracula Official, и выявили тысячи опасных расширений с миллионами загрузок.

🖥Три чела Амит Ассараф, Итай Крук и Идан Дардикман создали расширение, имитирующее Dracula Official, и назвали его Darcula. Расширение имело дополнительный скрипт, собирающий информацию о системе и передающий её на удаленный сервер. Название Darcula и регистрация домена darculatheme.com позволили получить статус проверенного издателя на VSCode Marketplace.

🗄Это расширение собирало данные, имя хоста, количество установленных расширений, доменное имя устройства и информация об ОС, и передавало их на удаленный сервак.

👁Активность VSCode не была обнаружена обычными средствами защиты конечных точек (EDR), это и позволило злоупотреблять платформой.

0️⃣Когда они заюзали ExtensionTotal, выявилось:
🔴1283 расширения с известным вредоносным кодом (229 млн установок).
🔴8161 расширение, связывающееся с жестко закодированными IP-адресами.
🔴1452 запущенных неизвестных исполняемых файла.
🔴2304 расширения, использующие GitHub-репозитории других издателей.

@pentestland

💻Опасная китайская кибершпионская компания

🇳🇱Голландская служба военной разведки и безопасности (MIVD) сообщила, что последствия китайской кибершпионской кампании оказались гораздо серьезнее, чем предполагалось изначально. В период с 2022 по 2023 год хакеры взломали 20 000 систем Fortinet FortiGate по всему миру, используя критический баг.

☠️В феврале 2024 года MIVD опубликовали отчет о том, что китайские хакеры заюзали баг RCE в FortiOS/FortiProxy (CVE-2022-42475) в течение нескольких месяцев в 2022 и 2023 годах.

🦠Хакеры устанавливали троян удаленного доступа Coathanger на хакнутые системы, что давало им сохранять доступ даже после установки патчей и обновления прошивки. Были слухи, что атака затронула Министерство обороны Нидерландов.

😤Около 14 000 устройств были хакнуты только одной китайской хак-группой, включая системы десятков западных правительств, международных организаций

@pentestland

📺YouTube никак не успокоится

🧑‍💻Разрабы YouTube начали тестить новый метод встраивания рекламы сразу в видеопоток, чтобы усложнить её блокировку. Эту обнову уже заметили авторы расширения SponsorBlock, которое собирает инфу о спонсорском контенте и позволяет пропускать его.

🖥В отличие от текущей системы, где реклама внедряется на стороне клиента с помощью JavaScript, новая система встраивает рекламу в видеопоток еще до его показа зрителю. Такой метод тормозит работу блокировщиков. Встроенная в реклама становится частью самого видоса, это затрудняет её распознавание и блокировку.

🚨Пацаны из SponsorBlock объясняют, что реклама, встроенная в видеопоток, двигает временные метки для спонсорского контента, что создает дополнительные траблы для его распознавания и пропуска.

👨‍💻Разрабы SponsorBlock уже работают над решением этой проблемы, но говорят, что если YouTube дальше начнет прокачивать свою защиту, то текущие методы блокировки будут не актуальны.

🔍Представители Google заявили, что YouTube работает над повышением надежности рекламного видеоконтента. Так же сказали, что блокировщики нарушают условия использования YouTube и предложили юзерам поддерживать авторов, разрешая рекламу, или юзать YouTube Premium для работы без рекламы.

@pentestland

🔒JetBrains устранил серьезный баг в IntelliJ, с токенами GitHub

💬Компания JetBrains сообщила своим клиентам об исправлении бага, который затрагивал юзеров IDE IntelliJ и позволял хакерам получить доступ к токенам GitHub. Баг под идентификатором CVE-2024-37051 затрагивает все IDE на базе IntelliJ с версии 2023.1, в которых включен или настроен плагин JetBrains GitHub.

🪙Дата обнаружения: 29 мая 2024 года. Баг позволяет вредоносному контенту в пулл реквестах для GitHub, обрабатываемому в IDE на базе IntelliJ, передавать токены доступа на сторонний хост.
Затронутые токены могут предоставить хакерам доступ к аккаунтам на GitHub.

✅JetBrains уже выпустили патчи для устранения бага в следующих версиях IDE:
- Aqua: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- DataGrip: 2024.1.4
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

✅Рекомендации для юзеров
1. Установите патчи:
2. Отозвать все токены GitHub.
3. Если использовалась интеграция OAuth или Personal Access Token (PAT), следует отозвать доступ JetBrains IDE Integration и удалить токен плагина интеграции IntelliJ IDEA с GitHub. После этого необходимо заново настроить плагин.

@pentestland

💻Взлом службы поддержки Tile

👨‍💻Компания Life360, стала жертвой хакерской атаки. Хакеры взломали платформу поддержки клиентов Tile и угнали конфиденциальную инфу.

📍Life360 прога для отслеживания местоположения в режиме реального времени, обнаружения ДТП и экстренной помощи на дорогах более чем 66 лямов юзеров по всему миру. В декабре 2021 года компания приобрела производителя Bluetooth-трекеров Tile. Хакеры получили доступ к платформе Tile и угнали такую важную инфу как:
🔵Имена пользователей
🔵Адреса проживания
🔵Адреса электронной почты
🔵Номера телефонов
🔵Идентификационные номера устройств

🗃Украденные данные могут быть использованы хакерами для фишинговых атак, кражи личных данных и многих других видов мошенничества.

@pentestland

☠️Новый Linux-малварь DISGOMOJI, управляется с помощью эмодзи

💻Volexity обнаружили опасную прогу DISGOMOJI, нацеленную на гос учреждения в Индии используя кастомный дистрибутив Linux BOSS. Volexity думают, что малварь связана с пакистанской хакерской группировкой, UTA0137, занимающейся шпионажем. Малварь распространяется через фишинговые письма, содержащие ZIP-архив с упакованным исполняемым файлом ELF.

🐸Этот вредонос юзает Discord в качестве сервака, а команды передаются через эмодзи, это помогает обходить системы безопасности, реагирующие на текстовые команды. При запуске малварь отображает фальшивый PDF-документ, связанный с выплатой пособий, чтобы отвлечь внимание юзера.

💻DISGOMOJI собирает системную инфу, включая IP-адрес, имя юзера, имя хоста и данные об ОС, и передает их хакерам.

@pentestland

🔤У AMD угнали данные и выставлены на продажу

💻На хакерском форуме выставлены на продажу данные, которые, по словам хакеров, принадлежат компании AMD. В дампе содержатся инфа о сотрудниках, финансовые документы и конфиденциальные данные компании.

💻Хакер под ником IntelBroker утверждает, что в июне 2024 года AMD пострадала от утечки данных. Среди угнанных данных были: спецификации будущих продуктов AMD, БД сотрудников и клиентов, важные файлы, исходный код, прошивки и финансовые данные.
IntelBroker поделился скринами учеток, но пока не сказал, за какой кэш он хочет продать инфу и как он ее заполучил.

🔎AMD заявили, что проводят расследование и тесно сотрудничают с правоохранительными органами.

🗃IntelBroker известен тем, что угонял данные у разных правительственных учреждений США, а также из компаний Hewlett Packard Enterprise (HPE) и General Electric.

@pentestland

🔐45% паролей можно хакнуть меньше чем за минуту

📊Лаборатория Касперского проанализировала 193 млн паролей, найденных в даркнете, и пришли к выводу, что 45% из них (87 млн) можно взломать меньше чем за минуту.

0️⃣Умные алгоритмы брутфорса, такие как перебор на основе словаря и распространенных комбинаций символов, могут взломать 14% паролей (27 млн) менее чем за час и 8% (15 млн) менее чем за сутки.

💻Современная видюха RTX 4090 может подобрать восьмизначный пароль из латинских букв одного регистра и цифр, всего за 17 секунд, используя алгоритм хэширования MD5 с солью.

🫢Большинство проанализированных паролей (57%) содержат существующее слово, что делает их более уязвимыми. Популярные пароли включают имена (например, "ahmed"), популярные слова ("forever", "love") и стандартные пароли ( "password", "12345").
Алгоритмы брутфорса могут учитывать замену символов (например, "e" на "3", "1" на "!", "a" на "@") и популярные комбинации (например, "qwerty", "12345").
Только 23% (44 млн) паролей оказались достаточно сложными, чтобы взломать их потребовалось бы больше года.

❗️Важно использовать пароли, которые содержат комбинацию букв разных регистров, цифр и специальных символов.
Не используйте имена, популярные слова или стандартные комбинации в своих паролях.
Включите двухфакторную аутентификацию для доп защиты.

@pentestland

🍏У Apple угнали исходный код

💻И снова Хакер под ником IntelBroker на форуме BreachForums заявил, что угнал у компании Apple исходный код нескольких внутренних инструментов. По его данным, утечка произошла в июне 2024 года на Apple.com.

☠️Он утверждает, что заполучил исходный код следующих внутренних инструментов Apple:
- AppleConnect-SSO: Система аутентификации, позволяющая сотрудникам Apple получать доступ к приложениям в сети компании.
- Apple-HWE-Confluence-Advanced: Инфы об этом инструменте почти нет.
- AppleMacroPlugin: Также неизвестный инструмент.

📋Детали слива:
- AppleConnect-SSO:
- Это система, интегрированная с БД Directory Services, обеспечивающая безопасный доступ к внутренним ресурсам Apple.
- Используется для аутентификации сотрудников для доступа к внутренним системам, включая iOS-приложения, AppleWeb, PeopleWeb и другие сервисы.
- Внутренний эквивалент Apple ID для сотрудников, используемый в различных сервисах: Concierge, EasyPay и MobileGenius.

🤑Издание 9to5Mac отмечает, что слив внутри компании и не затрагивает данные юзеров Apple.
Сам IntelBroker не раскрывает никаких деталей видимо он планирует продать эти данные.

@pentestland

💻Неизвестный чел «обнёс» криптобиржу Kraken на $3 млн

🪙Криптобиржа Kraken объявила что у них угнали $3 мульта, при помощи серьезного бага нулевого дня. Нашел этот баг судя по всему ответственный за безопасность, и сам же заюзал этот баг в свою пользу.

🕖Баг был устранен всего за 47 минут, но к тому моменту деньги уже были спи*жены украдены.

🤑Чел который первым обнаружил баг и использовал его для зачисления $4 на свой счёт. Вместо того чтобы сообщить о баге в рамках программы Bug Bounty, он поделился находкой с двумя другими типами. Они же оказались куда «голоднее» и вывели с биржи почти $3 млн.

🧍Главный директор по безопасности Kraken уточнил:

Сотрудник мог бы получить солидную выплату за сообщение об уязвимости в рамках Bug Bounty, но предпочёл воспользоваться багом для личной выгоды.

@pentestland