#news Немного инсайтов в работу северокорейской Lazarus. Они продолжают фишинг по крупным криптокомпаниям и финтеху. На скрине пример их заманухи августа якобы от Coinbase. В новой кампании злоумышленники используют как вредонос под винду, так и подписанную в конце июля малварь под маки и на старых, и на новых процах. Хорошо знают свою целевую аудиторию, в общем.
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
❤13🔥2💩1
#news Группировка LockBit стояла за взломом инфобез-компании Entrust в июне. На сайте злоумышленников начался суточный отчёт до публикации стянутых данных. Всех данных, а это означает, что компания, видимо, даже не стала вступать с ними в переговоры.
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
🔥13
#news Пятничная новость про, пожалуй, самую оригинальную уязвимость в базе MITRE на годы вперёд. Музыкальному видео «Rhythm Nation» 1989-го от Джанет Джексон присвоили код CVE. В песне оказалась та же частота резонансных колебаний, что и в стареньких моделях ноутбучных жёстких на 5400 RPM образца 2005-го. При её прослушивании жёсткие падают. Их можно понять.
Когда это обнаружили, производители затронутых моделей добавили аудиофильтр для вредоносных частот. Может, он всё так же и остался в их ноутах в качестве legacy-артефакта, о котором никто не помнит. Джанис Джоплин однажды сказала, что не хотела бы стать Мадонной. Хотела ли Джанет Джексон стать курьёзной ИБ-угрозой? Вот в чём вопрос.
@tomhunter
Когда это обнаружили, производители затронутых моделей добавили аудиофильтр для вредоносных частот. Может, он всё так же и остался в их ноутах в качестве legacy-артефакта, о котором никто не помнит. Джанис Джоплин однажды сказала, что не хотела бы стать Мадонной. Хотела ли Джанет Джексон стать курьёзной ИБ-угрозой? Вот в чём вопрос.
@tomhunter
😁23🔥2
#news Хакеры использовали нулевой день в криптоматах от General Bytes для их взлома. Эксплойт позволил взломщикам получить админские права с помощью URL-запроса для дефолтного запуска сервера. Затем они просто подменили настройки на покупку-продажу крипты своим кошельком, прямиком на который отправлялись цифровые монетки незадачливых пользователей.
Причём хакеры просто просканировали сеть на предмет уязвимых серверов — они даже не были зафайерволены под доверенные айпи. «Мы приносим блокчейн-технологии в неожиданные места» — гласит слоган компании. И криптовалюту своих клиентов неожиданным адресатам.
@tomhunter
Причём хакеры просто просканировали сеть на предмет уязвимых серверов — они даже не были зафайерволены под доверенные айпи. «Мы приносим блокчейн-технологии в неожиданные места» — гласит слоган компании. И криптовалюту своих клиентов неожиданным адресатам.
@tomhunter
😁14🤔2
На хабре новая полезная статья! Затронута тема ограниченного делегирования kerberos. На просторах интернета существует множество статей как злоупотреблять этим типом делегирования, но на хабре нет статей про обход ограничений. А конкретно о настройке делегирования с Protocol Transition и олицетворяемом пользователе в группе Protected Users. Приятного чтения 😊
❤8🤡2🔥1
#news На днях публиковал письмо с претензиями от IB-езопасников на хакерский форум. Казалось бы, есть ли методы борьбы с утечками оригинальней? Есть. Сайты LockBit в Торе на выходных прилегли от DDoS-атаки. Группировка утверждает, что это дело рук взломанной ими компании Entrust. Послание в запросах на сайты как бы намекает.
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
😁14
#news Пока раскручивается маховик судебного дела против больниц в штатах, сливавших Meta данные клиентов через трекер, творятся странные дела.
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
😁10🤯2🤡1
#news Новый метод Мордекая Гури по краже данных с изолированных от сети систем под названием ETHERLED. Теперь в качестве источника выступают LED-индикаторы на оборудовании от сетевых карт до принтеров. Неугомонному спецу удалось использовать их для передачи сигнала Азбукой Морзе.
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
🔥18🤯4😁2❤1
#news Минцифры планирует запустить реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ). Реестр будет открытым. В него могут попасть взлом официальной страницы или рассылка ложных данных от имени организации.
@tomhunter
@tomhunter
😁13💩4🎉2🔥1😢1
#news В открытом доступе оказалась информация пользователей OneTwoTrip. Что говорит компания? Мы нечаянно порт открыли, а там всё равно только данные по активности части юзеров за короткий срок. Что показывает исследователь? У OneTwoTrip был незапароленный Elasticsearch-сервер с 21 миллиардом записей. Судя по всему, вся их инфраструктура, включая клиентскую базу.
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
😁14🤬5🤡4❤1🤯1🎉1💩1
#news Злоумышленники, стоящие за крупномасштабной фишинговой кампанией , нацеленной на корпоративных пользователей почтовых сервисов Microsoft, также нацелились на пользователей Google Workspace. Сообщается, что фишинговые атаки AiTM начались в середине июля 2022 года по тому же принципу, что и кампания социальной инженерии, направленная на перехват учетных данных пользователей Microsoft и даже на обход многофакторной аутентификации.
@tomhunter
@tomhunter
❤7
В новой статье на хабре поговорим о простых приемах предупреждения и расследования утечек информации. Вероятно, защита конфиденциальной информации предполагает использование DLP-систем, но это не решает все проблемы. Всегда будут сотрудники, стоящие выше системы безопасности, да и снимок с экрана никто не отменял. Акцент, как всегда, я сделаю на общедоступном и бесплатном программном обеспечении.
❤7
#news Бывший глава безопасности Твиттера опубликовал критику внутренней кухни медиа-гиганта. Крайне занятное чтиво. По его словам, в половине систем платформы (250 тысяч серверов) нет шифрования из-за устаревшего и непатченного софта. Компания врала на аудитах, игнорирует запросы юзеров на удаление их данных из-за техограничений, не может посчитать фейки и ботов по той же причине. Пентест отсутствует как таковой, в системах проходной двор, а среди работников затесалась агентура чужих стран. Автор также утверждает, что топ-менеджеры скрывали его отчёты от совета директоров.
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
🔥17😁6🤔2
#news По PyPi-репозиторию прошлась первая фишинговая атака. Юзеры получили письма с запросом пройти валидацию, иначе их пакеты будут удалены. Часть на это клюнула, перешла на подставной сайт на Google Sites, и в скомпрометированные пакеты угнанных аккаунтов запихали неизвестную малварь. В репозитории также обнаружили несколько сотен тайпсквот-версий с той же начинкой.
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
Атака произошла на фоне новых мер безопасности, вроде обязательной двухфакторки, которые репозитории вводят после крупных инцидентов с угоном библиотек, как было весной с ctx. Это объясняет убедительность фишинговых писем — владельцы пакетов, что-то слышавшие про закручивание гаек, вполне могли купиться.
@tomhunter
🔥7😁3
#news Неизвестные злоумышленники проникли в системы LastPass со скомпрометированного аккаунта разработчика и стянули их исходники и техдокументацию. Последние пару недель компания в авральном порядке разбиралась с утечкой, не спеша выходить на связь с пронюхавшими о ней журналистами.
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
Вчера LastPass подтвердила взлом и заявила, что данные пользователей и хранилища с паролями никак не затронуты. Подробности атаки не раскрывают. Но сообщений о скомпрометированных мастер-паролях пока действительно не было. Так что 33 миллиона юзеров и 100 тысяч бизнесов, по заявлениям компании пользующихся их менеджером паролей, могут выдыхать.
@tomhunter
🔥10🤔1
#news На Def Con анонсировали кабель O. MG Elite, внешне похожий на обычный Lightning или USB-C, который может взломать устройства на разных ОС. Он может регистрировать нажатия клавиш, выполнять атаки и даже незаметно передавать данные с устройств по собственной Wi-Fi сети.
@tomhunter
@tomhunter
🎉10🤔4🔥3
#news В открытом доступе обнаружилась база пользователей онлайн-кинотеатра Start. Из ключевого ФИО, почты, айпишники и хешированные пароли почти на 44 миллиона пользователей из нескольких стран. Дамп не старше года, вероятно, из MongoDB. Видимо, очередной нечаянно открытый порт и незапароленный сервер.
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
Уже сбился со счёту, сколько раз за последние месяцы была инфа о всевозможных слитых базах наших компаний. С азами инфобезопасности не справляются, поблажки к закону о сливе персональных данных продавили… Осталось разве что дружно ополчиться на независимых спецов, нагло раскачивающих ИБ-лодку.
@tomhunter
🔥10😁5
#news Занятная новинка из мира скама на ниве play-to-earn криптоигр. Злоумышленники скопировали сайт проекта Alchemic World с их ресурсами и продвигали под видом собственного. Купившиеся на предложение протестировать игру за эфир получали по коду с сайта малварь для кражи криптокошельков, Racoon Stealer или пару аналогов.
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
🔥10😁4
#news Шутки про ни дня без утечек ещё не скрипят на зубах? В открытом доступе найдены базы данных пользователей CDEK.Shopping и «СДЭК.Маркет». По сравнению с их предыдущими сливами всё довольно скромно: суммарно 120 тысяч строк с ФИО, логинами, почтами, телефонами и хешированными паролями. Базы свежие: в первой обновления до середины августа, во второй — до марта.
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
🔥9😁5🤔1
#news Сетевая инфраструктура Черногории понемногу сыпется под кибератаками. Бьют по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендует своим гражданам ограничить поездки и ожидать проблем на границе и в аэропортах.
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
🤔13🤡9🔥2❤1🤬1
#news Нет, ну вы только вчитайтесь... Федеральная торговая комиссия США (FTC) объявила сегодня, что она подала иск против базирующегося в Айдахо брокера данных о местоположении Kochava за продажу конфиденциальных и точных данных геолокации (в метрах), собранных с сотен миллионов мобильных устройств.
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
🔥11😁1