Task No Face – Telegram

Task No Face

32.9K subscribers

755 photos

63 videos

3 files

767 links

🫆Task No Face — anonymous freelance powered by AI. Anonymity by default, and only AI runs the system. A step into a world where machines make the decisions

🫆Task No Face — анонимная фриланс-биржа, управляемая AI. Это шаг в мир, где решают не люди, а ИИ.

Download Telegram

About

Blog

Apps

Platform

32.9K subscribers

🔍 ИБ-специалисты нашли баг в Windows Smart App Control и SmartScreen

☠️Они нашли дефект в защитных функциях Windows Smart App Control и SmartScreen, который хакеры юзают как минимум с 2018 года. Этот дефект позволяет хакерам запускать ПО в обход системы безопасности.

☝️Основные факты:
- Smart App Control: Защитная функция на основе репутации, использующая службы приложений Microsoft для прогнозирования безопасности и проверки целостности кода. В Windows 11 она заменяет SmartScreen.
- SmartScreen: Функция, защищающая от потенциально вредоносного содержимого, работающая в Windows 8 и выше. Активируется, если Smart App Control не работает.

☢️Баг:
Специалисты Elastic Security Labs обнаружили, что ошибка в работе с LNK-файлами, получившая название LNK stomping, позволяет обойти средства безопасности Smart App Control.

⚙️Как работает LNK stomping:
- Создание LNK-файлов с нестандартными целевыми путями или внутренней структурой.
- При открытии таких файлов explorer.exe автоматически изменяет их форматирование, удаляя отметку MotW (Mark of the Web), которая запускает проверки безопасности. Для эксплуатации проблемы достаточно добавить точку или пробел к пути (например, после расширения бинарника, такого как powershell.exe) или создать LNK-файл с относительным путем (например, .\target.exe).

🫢Последствия:
- Хакеры уже юзают этот баг на протяжении многих лет. В VirusTotal найдено множество образцов, предназначенных для его эксплуатации, самый старый из которых датируется 2018 годом.

🖥Компания Microsoft уже знают о проблеме, и разрабы обещают, что баг будет устранен в одном из будущих обновлений Windows.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🆒6👍3💋2❤1

10.3K views17:55

☠️

Баг 0.0.0.0 на Linux и macOS

🧑‍🎓Исследователи из компании Oligo Security обнаружили серьезный баг, 0.0.0.0 Day, который позволяет вредоносным сайтам обходить защиту браузеров Google Chrome, Mozilla Firefox и Apple Safari и взаимодействовать с сервисами в локальной сети. Эта уязвимость, обнаруженная еще 18 лет назад, затрагивает только устройства на базе Linux и macOS, оставляя юзеров Windows в безопасности.

⚙️Основные факты:
- Уязвимость 0.0.0.0 Day: Позволяет хакерам отправлять HTTP-запросы на IP-адрес 0.0.0.0, что позволяет им взаимодействовать с локальными сервисами и обходить защиту, такую как Cross-Origin Resource Sharing (CORS) и Private Network Access (PNA).
- Влияние: Проблема затрагивает браузеры Google Chrome, Mozilla Firefox и Apple Safari на устройствах с Linux и macOS.
- Хакеры активно юзают эту уязвимость с 2018 года, применяя ее для выполнения кода и изменения настроек локальных устройств, таких как Ray или Selenium Grid.

🔧Меры противодействия:
- Google Chrome: Планируется блокировка доступа к 0.0.0.0, начиная с версии 128 и заканчивая версией 133.
- Mozilla Firefox: Работает над внедрением PNA и временным исправлением, дата выпуска пока неизвестна.
- Apple Safari: В версии 18 будет внедрена блокировка доступа к 0.0.0.0.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

😱33👍4🤡1🎅1

11K views18:43

🖥Даунгрейд атака юзает старые баги в Windows

🧑‍🧑‍🧒‍🧒 На конфе Black Hat 2024 специалист SafeBreach Алон Левин представил доклад о двух 0-day уязвимостях, которые могут использоваться в даунгрейд атаках, угрожающих системам под управлением Windows 10, Windows 11 и Windows Server. Эти уязвимости, обозначенные как CVE-2024-38202 и CVE-2024-21302, позволяют хакерам откатывать полностью обновленные системы до более старых и уязвимых версий, что делает их снова подверженными давно исправленным багам.

⚙️

Основные моменты:
- Даунгрейд-атаки: Позволяют заставить систему откатиться к более старым версиям критических компонентов, таких как библиотеки DLL и NT Kernel. При этом Windows Update продолжает сообщать, что система полностью обновлена.
- Баг CVE-2024-38202: Связана с повышением привилегий в Windows Backup и позволяет хацкерам отменить патчи для ранее исправленных ошибок или обойти функции безопасности, такие как Virtualization Based Security (VBS).
- Баг CVE-2024-21302: хакеры могут юзать его для подмены системных файлов Windows на устаревшие и уязвимые версии, что может привести к повышению привилегий.
- Эти атаки практически невозможно выявить, так как они не блокируются EDR-решениями, а Windows Update считает, что устройство полностью обновлено.

☝️

Левиев отметил, что ему удалось понизить уровень защиты Credential Guard Secure Kernel, Isolated User Mode Process и Hyper-V, что открывает возможность для эксплуатации старых уязвимостей. Он также подчеркнул, что это первый случай, когда блокировки UEFI в VBS удалось обойти без физического доступа к устройству.

🎫Microsoft выпустила бюллетени безопасности с рекомендациями по снижению рисков, которые можно использовать до выхода патчей. Компания признала наличие проблемы и сообщила, что работает над её устранением, однако на данный момент патчей еще нет. По заверению компании, пока неизвестно о случаях использования этих уязвимостей хакерами.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

😁11❤2👍2🤓1

10.8K views16:02

🥷Новая технология шпионажа

⌨️ Эта технология позволяет считывать нажатия клавиш на ноутбуке с помощью инфракрасного лазера

🔴

Этот метод улавливает тонкие вибрации, возникающие при наборе текста, даже без прямого обзора клавиатуры. Лазер может быть направлен, через окно на отражающие поверхности ноутбука, такие как логотип, что позволяет считывать информацию на расстоянии.

⏺

Установка включает лазер, который мигает 400 000 раз в секунду, что позволяет уменьшить шум и захватить четкие сигналы. Эти сигналы затем можно преобразовать в текст или звук.

🛡Чтобы защититься от такого шпионажа, разраб рекомендует использовать отражающие стекла, которые снижают риски.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🤡29👍2🤯2🌭1

10.4K views17:27

🔤Ботнет от $99 до $10К

📊Аналитики «Лаборатории Касперского» изучили рынок услуг, связанных с ботнетами, в даркнете в специализированных Telegram-каналах. Выяснилось, что цены на использование ботнетов варьируются от $99 до $10 000.

⚙️Основные факты:
🟡Цены на ботнеты: Стоимость использования ботнета начинается от 99 долларов и может достигать 10 000 долларов в зависимости от мощности и функций.
🟡Аренда и разработка: Ботнеты сдаются в аренду за $30–$4800 в месяц, а создание на заказ может обойтись в сумму от $3000.
🟡Ботнеты, исходный код которых попал в сеть, можно приобрести практически за бесценок — от $10 до $50, но эффективность таких ботнетов часто оставляет желать лучшего.
🟡В качестве основы для создания ботнетов хакеры юзают уязвимые устройства, такие как умные камеры, корпоративные гаджеты и промышленные устройства с слабыми паролями.

☠️Отмечается, что количество заражённых IoT-устройств в России в первой половине 2024 года удвоилось по сравнению с аналогичным периодом прошлого года, что увеличивает угрозу со стороны ботнетов.

💻Рынок ботнетов разнообразен и включает как дешевые решения с низкой эффективностью, так и мощные, дорогостоящие инструменты для кибератак.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍13😁3🤡1

9.69K views15:31

☢️

Вредоносы в расширениях Chrome и Edge

🖥

Пацаны из ReasonLabs обнаружили масштабную кампанию, в рамках которой более 300 000 раз были установлены вредоносные расширения для браузеров Google Chrome и Microsoft Edge. Эти расширения изменяли исполняемые файлы, подменяли домашние страницы и крали историю браузера. Кампания активна с 2021 года и юзает различные способы распространения, включая загрузку софта с мошеннических сайтов, которые продвигаются через вредоносную рекламу в Google.

✅Основные моменты:
- Заражение через установщики: Юзеры скачивают установщики с поддельных сайтов, в целях загрузить популярный софт (например, Roblox FPS Unlocker, TikTok Video Downloader и другие). Эти установщики, подписанные цифровой подписью Tommy Tech LTD, успешно обходят антивирусы на платформе VirusTotal.
- Вместо загрузки ожидаемого софта установщики запускают PowerShell-скрипт, который загружает и устанавливает вредоносные расширения в браузеры Chrome и Edge. Эти расширения перехватывают поисковые запросы, подменяют домашнюю страницу и крадут историю браузера.
- Малварь скрывает себя в браузере, даже если включен режим разраба, и изменяет DLL-библиотеки Chrome и Edge, чтобы изменить настройки поиска. Она также препятствует автоматическому обновлению браузеров, оставляя их уязвимыми для новых угроз.

☠️

Вредоносные расширения:
Для Google Chrome:
- Custom Search Bar — более 40 000 юзеров
- yglSearch — более 40 000 юзеров
- Qcom search bar — более 40 юзеров
- Qtr Search — более 600 юзеров
- Micro Search Chrome Extension — более 180 000 юзеров (удалено из Chrome Web Store)
- Active Search Bar — более 20 000 юзеров (удалено из Chrome Web Store)
- Your Search Bar — более 40 000 юзеров (удалено из Chrome Web Store)
- Safe Search Eng — более 35 000 юзеров (удалено из Chrome Web Store)
- Lax Search — более 600 юзеров (удалено из Chrome Web Store)

Для Microsoft Edge:
- Simple New Tab — более 100 000 юзеров (удалено из магазина Edge)
- Cleaner New Tab — более 2000 юзеров (удалено из магазина Edge)
- NewTab Wonders — более 7000 юзеров (удалено из магазина Edge)
- SearchNukes — более 1000 юзеров (удалено из магазина Edge)
- EXYZ Search — более 1000 юзеров (удалено из магазина Edge)
- Wonders Tab — более 6000 юзеров (удалено из магазина Edge)

🔧Рекомендации по удалению малвари:
1. Удалите запланированную задачу из Windows Task Scheduler, проверив записи, указывающие на подозрительные скрипты, такие как NvWinSearchOptimizer.ps1.
2. Удалите вредоносные записи из реестра:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist

3. Удалите файлы малвари из системы вручную или с помощью антивируса.
4. Рекомендуется переустановить браузер, чтобы избавиться от всех изменений, внесённых малварью.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍12❤2❤‍🔥2🔥2

10.2K views19:15

💻Почти 2,7 миллиарда записей с личной информацией граждан США— слито в даркнете. 🇺🇸

☠️Слив содержит такие данные, как имена, номера социального страхования, почтовые адреса и возможные псевдонимы пострадавших. Предполагается, что эта информация была собрана компанией National Public Data, которая занимается сбором и продажей персональных данных для проведения биографических проверок, изучения криминального прошлого и услуг частных детективов.

💰История слива берет начало еще весной 2024 года, когда хакер под ником USDoD заявил о продаже 2,9 миллиарда записей, содержащих персональные данные жителей США, Великобритании и Канады. Он оценил данные в $3,5 млн, утверждая, что в его руках оказалась информация о каждом жителе этих стран. Тем не менее, журналисты так и не смогли получить комментарии от представителей National Public Data, а впоследствии в сети появлялись частичные копии этих данных.

📆6 августа 2024 года хакер под ником Fenice выложил наиболее полную версию утечки на хакерском форуме Breached, заявив, что информация была похищена другим хакером под псевдонимом SXUL, а не USDoD. В опубликованном дампе содержится почти 2,7 миллиарда записей, распределенных в двух текстовых файлах общим объемом 277 ГБ. Хотя исследователи не могут с уверенностью сказать, что утечка охватывает каждого жителя США, многие подтвердили, что в дампе действительно есть реальные данные, включая информацию о них самих и их близких.

✅

Каждая запись содержит имя, почтовый адрес и номер социального страхования. Некоторые записи включают дополнительные данные, такие как другие имена, связанные с конкретным человеком. Однако в этой утечке отсутствуют телефонные номера и адреса электронной почты, которые были в предыдущих версиях. Информация не зашифрована и представлена в открытом виде.

🖥Стоит отметить, что одна и та же персона может быть представлена в нескольких записях, что означает, что утечка не затронула почти три миллиарда человек, как сообщалось ранее. Также известно, что утекшая информация может быть устаревшей, поскольку в некоторых случаях текущие адреса проживания отсутствуют.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🫡13👍4

10.7K views18:31

🖥

0-day для обхода защиты SmartScreen в Windows.

☠️

На этой неделе Microsoft устранила опасный баг, связанный с обходом предупреждений Mark of the Web (MotW), который использовался хакерами как 0-day для обхода защиты SmartScreen. Напомним, что SmartScreen — это защитная функция, введенная еще в Windows 8, которая активируется при открытии файлов, полученных из интернета и помеченных MotW, предупреждая пользователя о потенциальной угрозе.

✅

В рамках августовского «вторника обновлений» Microsoft исправила уязвимость, получившую идентификатор CVE-2024-38213. Эта проблема могла быть заюзана удаленно неаутентифицированными хакерами, хотя и требовала взаимодействия с жертвой. Уязвимость позволяла создавать файлы, которые обходили предупреждения MotW, что позволяло атакующим обмануть систему защиты SmartScreen и заставить пользователя открыть вредоносный файл.

☝️

Специалист из Trend Micro, Питер Гирнус, обнаруживший эту проблему, рассказал

что баг активно использовался хакерами еще в марте 2024 года. Несмотря на то, что Microsoft была уведомлена о проблеме и исправила ее в июне 2024 года, соответствующее уведомление не было выпущено до августа.

💻

В марте 2024 года хакеры, известные как операторы DarkGate, использовали этот баг для распространения вредоносного ПО, замаскированного под легитимные установщики программ, такие как Apple iTunes, Notion, NVIDIA и другие. Специалисты Trend Micro, анализируя деятельность DarkGate, выявили проблему CVE-2024-38213 и уведомили об этом Microsoft, что и привело к исправлению.

🛡

Интересно, что эта уязвимость связана с обходом патча для другой проблемы в Defender SmartScreen (CVE-2023-36025), которая также использовалась как 0-day и была исправлена в ноябре 2023 года.

🔄Недавно специалисты Elastic Security Labs обнаружили еще один похожий дефект в Windows Smart App Control и SmartScreen, который использовался хакерами с 2018 года и также позволял обходить систему безопасности Windows. Microsoft планирует устранить эту уязвимость в одном из будущих обновлений.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

😁8👍3

10K views18:23

☢️Баг IPv6 в Windows

🖥На этой неделе Microsoft предупредила юзеров об устранении критической уязвимости в TCP/IP, которая позволяла хакерам удаленно выполнять произвольный код на устройствах с включенным IPv6, что по умолчанию касается всех современных Windows-систем. Баг, получил идентификатор CVE-2024-38063, был обнаружен специалистами Kunlun Lab и связан с целочисленным антипереполнением (integer underflow), которое позволяет переполнять буфер и запускать вредоносный код на системах под управлением Windows 10, Windows 11 и Windows Server.

🧩Исследователи из Kunlun Lab сообщили, что пока не будут раскрывать детали уязвимости, чтобы дать юзерам время на установку патчей, поскольку проблема представляет серьезную опасность. Более того, они подчеркнули, что отключение IPv6 на уровне локального брандмауэра Windows не остановит возможные атаки, так как уязвимость может быть использована еще до его срабатывания.

💻

Microsoft предупреждает, что эта уязвимость может быть использована удаленно неавторизованными хакерами, просто путем отправки специально подготовленных пакетов IPv6. В компании отметили, что эксплуатация этой уязвимости весьма вероятна, учитывая прошлые случаи использования подобных багов. Это делает проблему особенно привлекательной для создания эксплоитов.

🔘Тем юзерам, которые не могут немедленно установить исправления, Microsoft рекомендует временно отключить IPv6, чтобы снизить риск атак. Однако компания также напоминает, что стек сетевых протоколов IPv6 является важной частью современных версий Windows, начиная с Windows Vista, и его отключение может вызвать некорректную работу некоторых функций системы.

❗️По словам главы Trend Micro Zero Day Initiative

эта уязвимость является одной из самых серьезных, исправленных Microsoft в этом месяце, и она обладает потенциалом для использования в атаках типа "червь", что делает ее особенно опасной.

Please open Telegram to view this post

VIEW IN TELEGRAM

👍15😱4😁1🤯1

10.1K views19:32

🔒40 лет тюрьмы за торговлю аккаунтами

👨‍⚖️27-летний гражданин России Георгий Кавжарадзе был приговорен в США к 40 месяцам (3,3 года) тюремного заключения за продажу учетных данных более 300 000 аккаунтов на хакерском маркетплейсе Slilpp, который был закрыт в июне 2021 года. Как сообщает Министерство юстиции США, Кавжарадзе, известный под псевдонимами TeRorPP, Torqovec и PlutuSS, продал на Slilpp огромное количество украденной финансовой информации и персональных данных.

📇Согласно судебным документам, в период с июля 2016 года по май 2021 года Кавжарадзе выставил на продажу более 626 100 украденных учетных данных. Те данные, которые были приобретены юзерами Slilpp, использовались для мошенничества и попыток совершения транзакций на сумму около 1,2 миллиона долларов США, так как покупатели использовали их для кражи денег со счетов жертв.

🏦Изначально обвинение включало учетные данные пяти разных банков и мошеннические транзакции на сумму свыше 5 миллионов долларов. Однако позже сумма была уменьшена до $1,2 млн, и теперь Кавжарадзе обязан вернуть эту сумму в качестве реституции.

💰

27 мая 2021 года аккаунт Кавжарадзе на Slilpp выставил на продажу 240 495 учетных данных, которые могли использоваться для кражи денежных средств с платежных и банковских счетов жертв. Учетные данные включали информацию для доступа к банковским счетам в таких штатах, как Нью-Йорк, Калифорния, Невада и Джорджия. В качестве оплаты Кавжарадзе принимал только биткоины.

💸

Следователи ФБР смогли связать Кавжарадзе с выводом более $200 000 США с биткоин-счета, который был связан с платежами за украденные логины и данные на Slilpp.

🔨

В августе 2021 года Министерство юстиции США предъявило Кавжарадзе обвинения в сговоре с целью совершения банковского и электронного мошенничества, а также в краже личных данных при отягчающих обстоятельствах. После экстрадиции в США, в мае 2022 года, он предстал перед судом, где почти два года спустя признал себя виновным.

🛍Маркетплейс Slilpp, функционировавший с 2012 по 2021 год, был крупнейшим рынком взломанных учетных записей в криминальном подполье. На платформе было продано более 80 миллионов учетных данных, принадлежавших более чем 1400 компаниям, включая PayPal, Wells Fargo, Amazon и другие.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🗿18🫡7👍5😁4❤1🤔1🤯1🙈1

10.3K views07:26

💻TP-Link замешан в атаках на США?

🌐Два члена Палаты представителей Конгресса США обратились к Министерству торговли с просьбой начать расследование в отношении китайского производителя сетевого оборудования TP-Link. Причиной стали опасения, что продукция компании может представлять угрозу национальной безопасности. В письме, датированном 13 августа и попавшем в распоряжение агентства «Рейтер», конгрессмены Джон Муленар (Республиканская партия) и Раджа Кришнамоорти (Демократическая партия) указали на то, что уязвимости в прошивках точек доступа Wi-Fi от TP-Link активно эксплуатируются хакерами при атаках на госучреждения в разных странах. Они назвали эту угрозу "вопиющим вопросом национальной безопасности".

🌐Запрос был направлен Министерству торговли, так как именно это ведомство обладает полномочиями ограничивать или запрещать продажу товаров, произведенных в странах, которые США объявляют противниками. Журналистка «Рейтер» Александра Альпер отметила, что данное письмо является признаком растущей обеспокоенности тем, что китайское оборудование может быть использовано в кибератаках на американские правительства и предприятия.

☠️Однако, по данным «Рейтер», кампания Volt Typhoon, направленная на американские госучреждения и критическую инфраструктуру, эксплуатировала уязвимости в сетевом оборудовании Cisco и NetGear, а не TP-Link. Тем не менее, в атаке использовались устройства не только внутри периметра атакуемых организаций, но и частных юзеров.

🙅В официальном заявлении TP-Link ответили, что не продают свои маршрутизаторы в США по официальным каналам и что их продукция не имеет незакрытых уязвимостей.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🙈15😁6🤔2❤1

10.8K views16:30

🌐

Скрытые пароли в Chrome

🤖

Разрабы Google работают над новой функцией для браузера Chrome на Android, которая будет скрывать конфиденциальную информацию (данные банковских карт и пароли) если юзер делится своим экраном или записывает его. Эта мера направлена на предотвращение утечки личных данных при записи или трансляции экрана.

🔘

По данным Bleeping Computer, Google уже тестирует эту функцию которая называется «Редактирование конфиденциального содержимого при совместном использовании экрана, записи экрана и других подобных действиях» (Redact sensitive content during screen sharing, screen recording and similar actions). Если эта функция активна, конфиденциальные поля на страницах, такие как пароли и данные банковских карт, будут автоматически скрыты.

⚙️Функция будет работать на устройствах с Android V (Android 15) и выше. Хотя она еще не активирована для широкой аудитории, ожидается, что в ближайшие недели её можно будет протестировать в версии Chrome Canary.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍17😁3🤡2❤1🤔1

10.3K views15:58

🤖

Google прикрывает программу по поиску багов в приложениях Google Play

🤖

В 2017 году Google запустила инициативу «Google Play Security Reward Program (GPSRP)», которая позволяла исследователям получать вознаграждения за обнаружение уязвимостей в популярных приложениях для Android. Однако теперь компания объявила, что в конце августа программа будет закрыта.

🖥

Изначально GPSRP охватывала только небольшую группу разрабов Android, которые могли получать до $5000 за обнаружение уязвимостей удаленного выполнения кода и до 1000 долларов за проблемы, связанные с кражей конфиденциальных данных. В 2019 году Google значительно увеличила вознаграждения: до $20 000 и $3 000 соответственно, и расширила программу на все приложения из Google Play, которые имели не менее 100 лямов установок.

📱

За годы работы программа оказала значительное влияние на безопасность приложений. По данным Google, автоматизированные проверки, созданные на основе информации, собранной в рамках GPSRP, помогли более чем 300 000 разрабов исправить свыше миллиона приложений. Однако в письме, разосланном разработчикам, Google сообщила, что GPSRP завершится 31 августа 2024 года, почти семь лет спустя после запуска. Отчеты, отправленные до этого срока, будут рассмотрены до 15 сентября, а оставшиеся вознаграждения выплачены до конца месяца.

🔐Google объяснила закрытие программы уменьшением количества обнаруживаемых уязвимостей, общим повышением уровня безопасности ОС Android и усилением защиты функций. Несмотря на это, закрытие GPSRP может негативно сказаться на безопасности Play Store, так как исследователи лишатся стимулов для поиска и раскрытия уязвимостей, особенно в приложениях без собственных программ bug bounty.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🤡31👍6😁3❤1👻1

9.56K views16:03

✈️

FlightAware сливал личные данные юзеров в течение трёх лет из-за ошибки в конфигурации

☠️

Популярный сервис для отслеживания полётов FlightAware сообщил о серьёзной утечке данных, которая длилась на протяжении трёх лет. Компания, базирующаяся в Хьюстоне, предоставляющая данные о полётах в режиме реального времени, по неосторожности раскрывала личные данные своих юзеров с 1 января 2021 года по 25 июля 2024 года. Причиной инцидента стала ошибка в конфигурации системы.

✈️

FlightAware, крупнейшая платформа для отслеживания полётов с сетью из 32 000 наземных ADS-B станций в 200 странах, допустила утечку следующей информации:

- ID пользователя;
- Пароль;
- Адрес электронной почты;
- Полное имя;
- Адрес для выставления счетов и доставки;
- IP-адрес;
- Аккаунты в социальных сетях;
- Номера телефонов;
- Год рождения;
- Последние четыре цифры номера банковской карты;
- Информация о принадлежащих пользователю воздушных судах;
- Отрасль и должность;
- Статус пилота;
- Активность аккаунта;
- Номер социального страхования.

🖥Хотя точное количество пострадавших юзеров пока неизвестно, стоит отметить, что у FlightAware более 12 миллионов зарегистрированных юзеров. Компания уже исправила ошибку и попросила всех потенциально пострадавших сбросить пароли при следующем входе в систему. Кроме того, пострадавшим пользователям предоставлен бесплатный 24-месячный пакет защиты от кражи личности от Equifax, а также рекомендуется сообщать о подозрительной активности в местные правоохранительные органы.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍8🔥6😈3❤1😱1

9.95K views17:09

🛡GitHub устранил три бага в GitHub Enterprise Server: админам рекомендовано немедленно обновиться

🖥Разрабы GitHub устранили сразу три опасные уязвимости в GitHub Enterprise Server (GHES), настоятельно рекомендуя корпоративным юзерам как можно скорее установить соответствующие патчи. Одна из уязвимостей, идентифицированная как CVE-2024-6800, получила критическую оценку в 9,5 баллов по шкале CVSS 4.0 и затрагивает несколько версий GHES. Эта проблема позволяет хакерам обходить аутентификацию и получать права админа.

☠️Уязвимость CVE-2024-6800 связана с обёрткой XML-подписи и возникает при использовании стандарта аутентификации Security Assertion Markup Language (SAML) с определёнными identity-провайдерами. Проблема была устранена в последних версиях GHES: 3.13.3, 3.12.8, 3.11.14 и 3.10.16.

«В экземплярах GitHub Enterprise Server, использующих аутентификацию SAML SSO с определенными identity-провайдерами, которые применяют публично доступные подписанные федеративные метаданные XML, злоумышленник может подделать ответ SAML для предоставления или получения доступа к учетной записи пользователя с привилегиями администратора», — сообщает GitHub.

☢️Помимо критического бага, были устранены ещё две проблемы:
- CVE-2024-7711 — позволяет хакерам изменять issue в публичных репозиториях;
- CVE-2024-6337— связан с раскрытием содержимого issue в приватных репозиториях.

📊Согласно данным поисковика FOFA, в интернете доступно более 36 500 экземпляров GHES, большинство из которых (29 200) расположены в США. Пока неизвестно, сколько из них могут быть уязвимы перед новыми багами, однако разрабы рекомендуют всем юзерам немедленно обновить свои системы.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍4🗿1

9.78K views16:23

💻Взлом аккаунта Unicoin в Google Workspace: хакер блокировал доступ сотрудников на несколько дней

☠️Неизвестный хакер взломал аккаунт криптовалютного проекта Unicoin в Google Workspace (ранее G-Suite) и на несколько дней заблокировал доступ сотрудников к корпоративным сервисам. В результате взлома были изменены пароли всех юзеров, что лишило их доступа к таким критически важным инструментам, как Gmail и Google Drive.

🖥

Согласно заявлению, поданному в Комиссию по ценным бумагам и биржам США (SEC), инцидент был обнаружен 9 августа 2024 года. Хакер получил полный контроль над аккаунтом компании, изменив пароли и получив доступ ко всем сервисам Google Workspace. Восстановить доступ к корпоративным аккаунтам удалось только 13 августа 2024 года.

📆За эти несколько дней хакер имел доступ к конфиденциальной информации, содержащейся во внутренних сообщениях компании. В ходе расследования были выявлены следующие факты:

🔴Несоответствия в личных данных сотрудников и подрядчиков, обнаруженные в бухгалтерском отделе;
🔴Компрометация коммуникаций, включая взлом сообщений и электронных почтовых ящиков некоторых менеджеров;
🔴Попытка подделки личных данных одного из подрядчиков, в результате чего его доступ был аннулирован.

👌Несмотря на серьёзность инцидента, в Unicoin заявили, что он не окажет существенного влияния на финансовое положение компании. Также не было выявлено никаких признаков пропажи криптовалютных активов или денежных средств, связанных с этим взломом.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍9😁3

9.97K views15:29

💻

Чел взломал госреестр США

🔒

39-летний Джесси Кипф из штата Кентукки был приговорен к почти семи годам тюремного заключения за кражу личных данных и взлом государственного реестра для инсценировки собственной смерти. Таким образом, он надеялся избежать выплаты алиментов на сумму около 116 000 долларов США.

🌴

По данным Министерства юстиции США, в январе 2023 года Кипф взломал систему регистрации смертей на Гавайях, используя украденные учетные данные врача, чтобы объявить себя умершим. Это позволило ему избежать уплаты алиментов, так как его имя было удалено из государственных баз данных.

🖥

Однако Кипф не остановился на этом. В течение нескольких месяцев он продолжал взламывать государственные реестры в штатах Аризона и Вермонт, а также корпоративные и правительственные сети, используя похищенные учетные данные. Он даже пытался продать доступ к этим сетям на даркнете.

💳

Следователи обнаружили на устройствах Кипфа доказательства его причастности к другим мошенническим схемам, включая продажу номеров социального страхования и медицинских записей международным покупателям. Кипф также использовал фальшивый номер социального страхования для открытия банковских счетов и пытался "жить под новой личностью".

📆

Хотя за свои преступления Кипф мог получить более 30 лет тюрьмы, его приговорили к 81 месяцу заключения. Ему предстоит отбыть не менее 85% срока, то есть как минимум 69 месяцев, после чего он будет находиться под надзором властей еще три года.

👨‍⚖️Прокуроры назвали Кипфа "классическим рецидивистом" с внушительной криминальной историей, включая предыдущие обвинения в незаконном владении устройствами для проведения финансовых операций и использовании украденных номеров кредитных карт.

🤪Адвокат Кипфа утверждал, что его клиент страдает от психологической травмы после службы в Ираке и борется с наркотической зависимостью, что, по его словам, привело к его противозаконному поведению.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

🫡21😁5❤1🏆1🗿1

10.8K views17:06

🗃Как сохранить свои данные в Телеграме перед возможной конфискацией серверов

💻Эксперты предупреждают, что спецслужбы могут изъять серверы Телеграма, расположенные в США и Амстердаме. В случае такой ситуации существует риск потерять все фото, видео и документы, хранящиеся в ваших чатах. Чтобы этого избежать, нужно сделать это :

1. Установите десктопную версию Телеграма.
2. В «Настройках» выберите пункт «Продвинутые».
3. Нажмите «Экспорт данных из Телеграм» и выберите, что вы хотите выгрузить.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

💋33🫡10😁8👍2❤1👌1😈1

10.7K views19:46

🌐

Разрабы шифровальщика Qilin нашли новый способ для кражи данных из Chrome

🥷Пацаны из Sophos X-Ops нашли подозрительные изменения в тактике операторов шифровальщика Qilin. Теперь хакеры юзают кастомный инфостилер, который ворует учётные данные, хранящиеся в Google Chrome.

📆Атака произошла в июле 2024 года. Операторы Qilin получили доступ к сети жертвы, используя скомпрометированные учётные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация. После взлома хакеры не проявляли активности в течение 18 дней. По мнению экспертов, это время могло быть потрачено на разведку и изучение сети жертвы.

💻Спустя две недели хакеры начали активные действия, изменив объекты групповой политики (GPO) для запуска скрипта PowerShell на всех машинах в доменной сети. Этот скрипт собирал учётные данные, хранящиеся в Chrome, и сохранял их на общем ресурсе, после чего данные отправлялись на управляющий сервер Qilin, а локальные следы активности стирались.

🖥Последним этапом атаки стало развертывание вымогательского ПО, которое зашифровало все данные на скомпрометированных машинах. Для этого операторы Qilin использовали ещё один GPO и отдельный скрипт, что позволило распространить шифровальщик на все устройства в домене.

🖥Эксперты Sophos предупреждают, что такая кража учётных данных из Chrome представляет серьёзную угрозу. Успешная атака подобного рода может привести к массовой компрометации различных платформ и сервисов, усложняя работу по реагированию на инциденты и создавая долгосрочную угрозу. Защитникам придётся не только менять пароли Active Directory, но и требовать от конечных юзеров смены паролей для множества сторонних сайтов, которые хранились в Chrome.

@pentestland

Please open Telegram to view this post

VIEW IN TELEGRAM

👍9🤔3👻3

9.65K views19:52

🖥

Атаки с использованием уязвимых драйверов на Windows растут

💻

Во втором квартале 2024 года количество атак на Windows с использованием уязвимых драйверов увеличилось почти на 23% по сравнению с первым кварталом, сообщают специалисты «Лаборатории Касперского». Эти атаки становятся всё более популярными среди хакеров, так как уязвимые драйверы позволяют хакерам отключать защитные решения и повышать привилегии в системе. Это открывает путь для множества вредоносных действий, включая внедрение программ-вымогателей, шпионаж, саботаж и сложные целевые атаки.

☠️

Особенно тревожным является рост числа инструментов, облегчающих использование уязвимых драйверов. С 2021 года в сети было опубликовано 24 проекта, связанных с эксплуатацией уязвимых драйверов, и 16 из них появились только в 2023 году. Эти инструменты позволяют хакерам атаковать системы без необходимости обладать специальными навыками по поиску и эксплуатации уязвимостей, что делает такие атаки более доступными и опасными.

«Качество и количество уязвимостей и работающих к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — комментирует Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».

Please open Telegram to view this post

VIEW IN TELEGRAM

😁10👍3❤1🫡1

10.1K views17:15