#news Сообщается о новом критическом удаленном выполнении кода в сетевых устройствах BIG-IP, отслеживаемом как CVE-2022-1388. Уязвимость затрагивает компонент аутентификации BIG-IP iControl REST и позволяет удаленным злоумышленникам обходить аутентификацию и выполнять команды на устройстве с повышенными привилегиями. Эти типы атак могут использоваться для кражи корпоративных данных или развертывания программ-вымогателей на всех сетевых устройствах. ИТ-эксперты уже выпустили обновления для устранения новой уязвимости. Они предупредили, что все администраторы должны как можно скорее обновить свои устройства.
@tomhunter
@tomhunter
❤4
#news США наложили санкции на криптомиксер Blender, после того как северокорейцы отмыли через него украденную крипту.
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
🤔6😁4
#news Власти Коста-Рики ввели чрезвычайное положение в связи с взломом правительственных учреждений группировкой Conti.
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
🔥7
#news RuTube лежит уже больше суток — сайт подвергся мощной хакерской атаке.
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
😁16🤔8🎉3💩3
#news Обнаружен новый способ доставки малвари, на этот раз через логи журнала событий в винде.
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
❤8🔥2🤬1
#news Линкольнский колледж в США закрывается после 157 лет работы из-за рансомварь-атаки.
В декабре 2021-го сервера колледжа подверглись атаке. Она лишила администрацию доступа к инструментам для найма персонала и привлечения денежных средств. Инфу об атаке колледж особо не раскрывал; известно, что они заплатили злоумышленникам, но сначала от полученных дешифровщиков было мало толку. Восстановить полный доступ удалось только к марту.
При этом это лишь одно из тысячи учебных заведений, ставших целью вымогателей за прошлый год. В округе Балтимор атака обошлась школам в $8 миллионов выкупа, например. Колледж Линкольна же пережил 20-й век со всеми его злоключениями, а вот рансомварь-атаку не пережил. 2022-й на дворе, дамы и господа. Будущее безжалостно!
@tomhunter
В декабре 2021-го сервера колледжа подверглись атаке. Она лишила администрацию доступа к инструментам для найма персонала и привлечения денежных средств. Инфу об атаке колледж особо не раскрывал; известно, что они заплатили злоумышленникам, но сначала от полученных дешифровщиков было мало толку. Восстановить полный доступ удалось только к марту.
При этом это лишь одно из тысячи учебных заведений, ставших целью вымогателей за прошлый год. В округе Балтимор атака обошлась школам в $8 миллионов выкупа, например. Колледж Линкольна же пережил 20-й век со всеми его злоключениями, а вот рансомварь-атаку не пережил. 2022-й на дворе, дамы и господа. Будущее безжалостно!
@tomhunter
😢9
#news В прошивке процессоров в сотнях продуктов от Intel обнаружены серьёзные уязвимости.
Речь о линейке товаров Intel SSD DC и Intel Optane SSD DС — твердотельных накопителях и памяти для их кэширования. Уязвимости в этих продуктах допускают атаки на эскалацию привилегий, DoS-атаки и утечку информации. Три уязвимости получили рейтинг 7 по стандарту CVSS, ещё почти полдюжины вошли в список средних по опасности.
Intel уже выпустила патчи под уязвимости и рекомендации по работе с ними, так что обновляйтесь и берегите свои данные.
@tomhunter
Речь о линейке товаров Intel SSD DC и Intel Optane SSD DС — твердотельных накопителях и памяти для их кэширования. Уязвимости в этих продуктах допускают атаки на эскалацию привилегий, DoS-атаки и утечку информации. Три уязвимости получили рейтинг 7 по стандарту CVSS, ещё почти полдюжины вошли в список средних по опасности.
Intel уже выпустила патчи под уязвимости и рекомендации по работе с ними, так что обновляйтесь и берегите свои данные.
@tomhunter
❤7🔥1
#news Microsoft выпустила обновления, устраняющие как минимум 74 отдельные проблемы безопасности в своих операционных системах Windows и связанном с ними программном обеспечении. Пакет исправлений, выпущенный в этом месяце, включает исправления для семи «критических» ошибок, а также уязвимости нулевого дня CVE-2022-26925, затрагивающей все поддерживаемые версии Windows.
@tomhunter
@tomhunter
🔥4🤔2
Публикуем традиционный ежемесячный дайджест самых горячих новостей информационной безопасности за апрель. Сегодня в программе приключения Binance в России, рейд на RaidForums от ФБР, неугомонные северокорейцы и другое. Добро пожаловать под кат!
🔥6😱1
#news Евросоюз пытается протолкнуть слежку за пользователями мессенджеров под предлогом борьбы с ЦП.
Призрак грандиозных яблочных планов по сканированию устройств под лозунгом «О бедных детишках замолвите слово» бродит по Европе. Обсуждаемые в ЕС законы о защите детей могут поставить под угрозу приватность миллионов пользователей мессенджеров со сквозным шифрованием.
Но и здесь ЕС умудрился отличиться. Законопроект также подразумевает отслеживание «груминга» — в узком смысле совращения малолетних. Как это реализовать на практике, кроме как, к примеру, с помощью читающей чаты 24/7 нейросетки «Грумер 3000», натасканной переписками соответствующего содержания, — вопрос открытый. Остаётся надеяться, что эту инициативу ждёт судьба яблочной.
@tomhunter
Призрак грандиозных яблочных планов по сканированию устройств под лозунгом «О бедных детишках замолвите слово» бродит по Европе. Обсуждаемые в ЕС законы о защите детей могут поставить под угрозу приватность миллионов пользователей мессенджеров со сквозным шифрованием.
Но и здесь ЕС умудрился отличиться. Законопроект также подразумевает отслеживание «груминга» — в узком смысле совращения малолетних. Как это реализовать на практике, кроме как, к примеру, с помощью читающей чаты 24/7 нейросетки «Грумер 3000», натасканной переписками соответствующего содержания, — вопрос открытый. Остаётся надеяться, что эту инициативу ждёт судьба яблочной.
@tomhunter
🤯8🤔1🤬1
#news Недавно обнаруженная вредоносная программа-бэкдор под названием BPFdoor тайно атакует системы Linux и Solaris, оставаясь незамеченной уже более пяти лет. Исследователи смогли обнаружить активность BPFdoor в сетях организаций из разных регионов, в первую очередь в США, Южной Корее, Гонконге, Турции, Индии, Вьетнаме и Мьянме.
@tomhunter
@tomhunter
🔥5🤔2
#news HP выпустила обновление, исправляющее критические уязвимости в их BIOS-прошивках.
Речь идёт о двух уязвимостях, получивших рейтинг 8.8 по шкале CVSS. Обе позволяют потенциальным злоумышленникам получить доступ к системе в режиме ядра и проводить атаки на выполнение произвольного кода. Сама HP подробностей не раскрывает, но уязвимости детально расписал в своём блоге обнаруживший их исследователь.
Судя по описанию, конечной целью такой атаки мог стать набитый вредоносом BIOS, против которого не помогли бы ни антивирусы, ни переустановка системы. Под угрозой более 200 настольных и ноутбучных моделей, так что их владельцам стоит срочно обновиться.
@tomhunter
Речь идёт о двух уязвимостях, получивших рейтинг 8.8 по шкале CVSS. Обе позволяют потенциальным злоумышленникам получить доступ к системе в режиме ядра и проводить атаки на выполнение произвольного кода. Сама HP подробностей не раскрывает, но уязвимости детально расписал в своём блоге обнаруживший их исследователь.
Судя по описанию, конечной целью такой атаки мог стать набитый вредоносом BIOS, против которого не помогли бы ни антивирусы, ни переустановка системы. Под угрозой более 200 настольных и ноутбучных моделей, так что их владельцам стоит срочно обновиться.
@tomhunter
🔥6
#news Спецы из Cyble рапортуют о появлении новой модульной малвари на продажу.
MaaS-план с амбициозным названием «Project Eternity» предлагает впечатляющий функционал: модули этой приблуды включают в себя кражу инфы, криптомайнер, клиппер, шифровальщик с таймером, червей, а вскоре обещают добавить и DDoS-бота. Малварь продают через Телеграм, и каждый из модулей оплачивается отдельно по годовой подписке.
Анализ показывает, что угроза реальна, а модуль для кражи инфы — скорее всего, переделанный DynamicStealer. Сколько на рынке продержится «Проект Вечность» покажет время. Вечны в нашей среде пока только жаждущие лёгкой наживы злоумышленники.
@tomhunter
MaaS-план с амбициозным названием «Project Eternity» предлагает впечатляющий функционал: модули этой приблуды включают в себя кражу инфы, криптомайнер, клиппер, шифровальщик с таймером, червей, а вскоре обещают добавить и DDoS-бота. Малварь продают через Телеграм, и каждый из модулей оплачивается отдельно по годовой подписке.
Анализ показывает, что угроза реальна, а модуль для кражи инфы — скорее всего, переделанный DynamicStealer. Сколько на рынке продержится «Проект Вечность» покажет время. Вечны в нашей среде пока только жаждущие лёгкой наживы злоумышленники.
@tomhunter
🔥5😱2
⚡️#news По неподтвержденной информации в Telegram, с момента начала СВО, был зафиксирован взлом нескольких аккаунтов администраторов каналов посредством направления им ссылок на чаты и каналы в Telegram, включающих инъекцию стороннего кода. Уязвимость касается десктопных версий мессенджера. Кроме этого, была зафиксирована компания по рассылке вредоносного ПО, замаскированного под файлы MP4, имеющего схожий функционал. Будьте внимательны, проводите предварительную проверку гиперссылок и файлов, распространяемых через Telegram.
P.S. о схожей уязвимости специалисты писали и ранее. Однако, известно, что сообщение о наличии текущей уязвимости было отправлено в Telegram еще 29 марта.
@tomhunter
P.S. о схожей уязвимости специалисты писали и ранее. Однако, известно, что сообщение о наличии текущей уязвимости было отправлено в Telegram еще 29 марта.
@tomhunter
🔥8💩5🤬1
#Forensic Сегодня поговорим о бесплатных и эффективных инструментах для работы киберкриминалиста:
├NirSoft Utility’s (Mini Utilities)
├BULK_EXTRACTOR (Extracting from Disks)
├SHERLOQ (Photo/Video)
├VIDEOCLEANER (Photo/Video)
├ArtEx (Extracting from iOS)
├Andriller (Extracting from Android)
├Avilla Forensics (Mobile Forensics)
├MOBILedit (Extracting Contacts)
├HINDSIGHT (Browser Analysis)
├HackBrowserData (Browser Analysis)
├XPLICO (Traffic Analysis)
├FILE IDENTIFIER (File Identification)
├OSF clone (Disk Cloning)
├Autopsy (Forensics Platform)
├iLEAPP (Event Parser iOS)
└ForensicWiki (Forensic Handbook)
@tomhunter
├NirSoft Utility’s (Mini Utilities)
├BULK_EXTRACTOR (Extracting from Disks)
├SHERLOQ (Photo/Video)
├VIDEOCLEANER (Photo/Video)
├ArtEx (Extracting from iOS)
├Andriller (Extracting from Android)
├Avilla Forensics (Mobile Forensics)
├MOBILedit (Extracting Contacts)
├HINDSIGHT (Browser Analysis)
├HackBrowserData (Browser Analysis)
├XPLICO (Traffic Analysis)
├FILE IDENTIFIER (File Identification)
├OSF clone (Disk Cloning)
├Autopsy (Forensics Platform)
├iLEAPP (Event Parser iOS)
└ForensicWiki (Forensic Handbook)
@tomhunter
🔥7
#news Как это по-русски... Управление по борьбе с наркотиками США (DEA) сообщает, что расследует сообщения о том, что хакеры получили несанкционированный доступ к порталу агентства, который подключается к 16 различным базам данных федеральных правоохранительных органов. Хакеры получили имя пользователя и пароль для авторизованного пользователя esp.usdoj.gov, который является системой расследования и оповещения правоохранительных органов (LEIA), управляемой DEA.
@tomhunter
@tomhunter
🔥14😁5🤯2
#news Резервный фонд обвалившихся криптовалют Terra и Luna бесследно пропал.
Исследователи из Elliptic сообщили, что $3,5 миллиарда в биткоинах были выведены несколькими транзакциями на два кошелька криптобирж Gemini и Binance ещё 9 и 10 мая. Пока соучредитель Terra Ма Вроди, более известный как До Квон, утверждал, что деньги пойдут на корректировку курса. На этом след средств теряется.
После публикации от Elliptic сама Terra заявила, что описанные манипуляции и были безуспешной попыткой продать битки для поддержания курса. На фоне $42 миллиардов потерь держателей монеток Luna и UST за прошлую неделю компания рапортует о $85 миллионах в крипте, оставшихся для компенсации. На этом поучительную историю первого криптовалютного МММ, скорее всего, можно считать завершённой.
@tomhunter
Исследователи из Elliptic сообщили, что $3,5 миллиарда в биткоинах были выведены несколькими транзакциями на два кошелька криптобирж Gemini и Binance ещё 9 и 10 мая. Пока соучредитель Terra Ма Вроди, более известный как До Квон, утверждал, что деньги пойдут на корректировку курса. На этом след средств теряется.
После публикации от Elliptic сама Terra заявила, что описанные манипуляции и были безуспешной попыткой продать битки для поддержания курса. На фоне $42 миллиардов потерь держателей монеток Luna и UST за прошлую неделю компания рапортует о $85 миллионах в крипте, оставшихся для компенсации. На этом поучительную историю первого криптовалютного МММ, скорее всего, можно считать завершённой.
@tomhunter
😁18😱2🔥1
#news Недовольный админ компании удалил базы данных работодателя и присел за это на 7 лет.
Курьёзный случай произошёл в Китае в компании по торговле недвижимостью Lianjia ещё в июне 2018-го. Их администратор использовал свои права доступа, чтобы удалить все данные с финансовых серверов компании. В результате её работники надолго остались без зарплат, а восстановление баз обошлось в $30 тысяч. Непрямые же убытки были порядком больше, так как у Lianjia тысячи офисов и рыночная стоимость в $6 миллиардов.
Что забавно, админ пошёл на это после того, как в компании долго игнорировали его отчёты о уязвимостях в их системах. Видимо, это была неудавшаяся многоходовочка, чтобы начальство наконец его заметило. Что ж, задумка в каком-то смысле удалась.
@tomhunter
Курьёзный случай произошёл в Китае в компании по торговле недвижимостью Lianjia ещё в июне 2018-го. Их администратор использовал свои права доступа, чтобы удалить все данные с финансовых серверов компании. В результате её работники надолго остались без зарплат, а восстановление баз обошлось в $30 тысяч. Непрямые же убытки были порядком больше, так как у Lianjia тысячи офисов и рыночная стоимость в $6 миллиардов.
Что забавно, админ пошёл на это после того, как в компании долго игнорировали его отчёты о уязвимостях в их системах. Видимо, это была неудавшаяся многоходовочка, чтобы начальство наконец его заметило. Что ж, задумка в каком-то смысле удалась.
@tomhunter
🔥13😢1💩1
#news Создателем рансомвари Thanos и Jigsaw оказался 55-летний доктор из Филиппин.
Спецслужбам США удалось отследить умельца по кличке Zagala по следу денег на его PayPal’е. Они привели к кардиологу, проживающему в стране островов и рекордной инфляции. В свободное от медпрактики время он писал и продавал малварь, обучал злоумышленников ею пользоваться и хвалился успехами покупателей. В числе последних были иранские хакеры, что, вероятно, сыграло определённую роль в ретивости спецслужб.
Рансомварь Jigsaw примечательна таймером, удаляющим часть файлов жертвы каждый час, а Thanos, который продавали и на русскоязычных форумах, шёл со сборщиком кода. Обе малвари последние полгода были не особо активны, а теперь активность снизится и у создателя. Ему грозит до десяти лет тюремной практики в резюме.
@tomhunter
Спецслужбам США удалось отследить умельца по кличке Zagala по следу денег на его PayPal’е. Они привели к кардиологу, проживающему в стране островов и рекордной инфляции. В свободное от медпрактики время он писал и продавал малварь, обучал злоумышленников ею пользоваться и хвалился успехами покупателей. В числе последних были иранские хакеры, что, вероятно, сыграло определённую роль в ретивости спецслужб.
Рансомварь Jigsaw примечательна таймером, удаляющим часть файлов жертвы каждый час, а Thanos, который продавали и на русскоязычных форумах, шёл со сборщиком кода. Обе малвари последние полгода были не особо активны, а теперь активность снизится и у создателя. Ему грозит до десяти лет тюремной практики в резюме.
@tomhunter
🤯7😁1😢1
#news Айфоны оказались уязвимы для атак, даже когда устройство выключено.
Речь идёт о модулях беспроводной связи Bluetooth, NFC и UWB, которые остаются запитаны в режиме низкого потребления и при отключении телефона. Более того, они имеют доступ к чипу Secure Element, на котором хранятся конфидециальные данные. И всё это на уровне железа, так что обновлением софта уязвимость не исправить.
То есть малварь на скомпрометированном заранее Bluetooth-чипе может быть запущена и при отключённом айфоне. И у злоумышленника будет доступ к устройству, а с учётом чипа SE, речь идёт и про данные кредиток, цифровые ключи от машины и прочее. Одним из решений была бы возможность отключать батарею, но вот появится ли она… Здесь ещё большой вопрос, насколько это баг или фича. С учётом того, какой потенциал для слежки за «выключенным» девайсом даёт эта уязвимость.
@tomhunter
Речь идёт о модулях беспроводной связи Bluetooth, NFC и UWB, которые остаются запитаны в режиме низкого потребления и при отключении телефона. Более того, они имеют доступ к чипу Secure Element, на котором хранятся конфидециальные данные. И всё это на уровне железа, так что обновлением софта уязвимость не исправить.
То есть малварь на скомпрометированном заранее Bluetooth-чипе может быть запущена и при отключённом айфоне. И у злоумышленника будет доступ к устройству, а с учётом чипа SE, речь идёт и про данные кредиток, цифровые ключи от машины и прочее. Одним из решений была бы возможность отключать батарею, но вот появится ли она… Здесь ещё большой вопрос, насколько это баг или фича. С учётом того, какой потенциал для слежки за «выключенным» девайсом даёт эта уязвимость.
@tomhunter
🤯16😁6🤔1
#news Релейная атака на Tesla моделей 3 и Y позволяет угнать авто с безключевым доступом.
Спецы из NCC Group собрали устройство, которое обходит защиту Tesla на канальном уровне и перехватывает зашифрованные блоки данных протокола. Оно также адаптируется под изменения в параметрах подключения — иными словами, обнуляет два распространённых метода защиты от таких атак.
В итоге пока телефон счастливого владельца Tesla находится в десятках метрах от автомобиля, приблуда от NCC Group может её открыть и завести. Атака занимает 10 секунд. В самой компании развели руками, обозвав это «известным ограничением» безключевого доступа. Подключённое к сети авто я дам. Защиту в нём я не дам.
@tomhunter
Спецы из NCC Group собрали устройство, которое обходит защиту Tesla на канальном уровне и перехватывает зашифрованные блоки данных протокола. Оно также адаптируется под изменения в параметрах подключения — иными словами, обнуляет два распространённых метода защиты от таких атак.
В итоге пока телефон счастливого владельца Tesla находится в десятках метрах от автомобиля, приблуда от NCC Group может её открыть и завести. Атака занимает 10 секунд. В самой компании развели руками, обозвав это «известным ограничением» безключевого доступа. Подключённое к сети авто я дам. Защиту в нём я не дам.
@tomhunter
🔥7😁3❤1😱1