#news У Брайана Кребса вышел обзорный пост по следам фишинговой кампании 0ktapus, так же известной в узких кругах наших читателей как «Good day sir, please login». За летние месяцы целью кампании стали несколько сотен организаций и сервисов, и многие их работники слили свои личные данные в «продвинутой» фишинговой атаке. Состоявшей из смски с мимикрирующей под компанию ссылкой.
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
🔥9❤3
#news Исследователи насчитали почти две тысячи яблочных приложений с захардкоженными AWS-данными. Три четверти из них с валидными токенами, больше восьмисот — с доступом к базам на миллионы записей.
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
🔥11
#news Фишинговые кампании, которые мы заслужили… Тысячи пользователей Инстаграма получили письма с грамматическими ошибками и предложением обзавестись галочкой к своему профилю. Достаточно подтвердить аккаунт, слив логин, почту, телефон и пароль.
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
😁11❤3
#news Новости о приключениях Телеграма в Индии. Там суд обязал мессенджер раскрыть телефоны и IP-адреса пользователей, нарушающих авторские права. Учительнице английского не понравились каналы, продающие её пособия и лекции по дешёвке. Телеграм давил на то, что это нарушит законы Сингапура, где базируются сервера мессенджера, но суд счёл это неубедительным и дал две недели на исполнение требований.
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
❤7😁3🤯2🤔1
#news Подвергшаяся в последние недели масштабной кибератаке Черногория на самом высоком уровне утверждала, что за ней стоят вездесущие русские хакеры, и это вопрос международной безопасности. А теперь говорят, что атака — всего лишь дело рук рансомварь-группировки и их «особого вируса».
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
😁14🔥6
#news Samsung подтвердил утечку пользовательских данных, произошедшую в июле. Взломщики стянули имена, контакты и прочую личную информацию части юзеров. Более чувствительные данные, вроде ID и инфы с банковских карт, якобы не пострадали.
Это уже второй взлом международного гиганта за последние полгода — в марте юные дарования из Lapsus$ стянули у них 170GB данных, включая исходники. В этот раз без громких происшествий, только идут письма счастья дорогим и ценным клиентам с уведомлением об утечке их данных.
@tomhunter
Это уже второй взлом международного гиганта за последние полгода — в марте юные дарования из Lapsus$ стянули у них 170GB данных, включая исходники. В этот раз без громких происшествий, только идут письма счастья дорогим и ценным клиентам с уведомлением об утечке их данных.
@tomhunter
🔥9😁4
Собрал в один большой пост подборку всевозможных произведений кинематографа, так или иначе затрагивающих тему OSINT-исследований. Почти два десятка фильмов и сериалов на любой вкус, от свежих документалок до культовой классики.
Безуспешные поиски угонщика самолётов, бесследно растворившегося в небесной лазури с мешком денег полвека назад. Корейские Телеграм-ужасы, взбудоражившие всю страну. Охота на убийц и сваттеров, громкие расследования и неочевидные кинокартины, заслуживающие особого упоминания, — в посте найдутся произведения с большого и малого экранов на любой вкус. Так что всем интересующимся OSINT в поисках развлечения на вечер, добро пожаловать на Хабр!
Безуспешные поиски угонщика самолётов, бесследно растворившегося в небесной лазури с мешком денег полвека назад. Корейские Телеграм-ужасы, взбудоражившие всю страну. Охота на убийц и сваттеров, громкие расследования и неочевидные кинокартины, заслуживающие особого упоминания, — в посте найдутся произведения с большого и малого экранов на любой вкус. Так что всем интересующимся OSINT в поисках развлечения на вечер, добро пожаловать на Хабр!
🔥13❤2🤔1
#news На Breached появился анонс слива с данными TikTok и WeChat. Массив на 790GB и якобы 2.05 миллиарда записей пользовательских данных, куки, токенов, исходников и иной инфы. Что занятно, пост от группы хактивистов, по их громким заверениям атакующих только враждебные Европе страны.
WeChat пока молчит, а TikTok отрицает взлом, заявляя, что и код в базе вообще не с их платформы, и скрапнуть её невозможно — TikTok мол под защитой сумрачного китайского гения, ни один вражеский скрипт не пройдёт. Тем не менее, исследователи уже подтвердили подлинность пользовательской информации в сэмпле. Осталось дождаться подтверждений, что в базе есть что-то помимо публичных данных.
@tomhunter
WeChat пока молчит, а TikTok отрицает взлом, заявляя, что и код в базе вообще не с их платформы, и скрапнуть её невозможно — TikTok мол под защитой сумрачного китайского гения, ни один вражеский скрипт не пройдёт. Тем не менее, исследователи уже подтвердили подлинность пользовательской информации в сэмпле. Осталось дождаться подтверждений, что в базе есть что-то помимо публичных данных.
@tomhunter
🔥12💩1
#news На хакерских форумах замечена новая услуга: обратный прокси-сервер для фишинга. Не способные настроить такую приблуду самостоятельно могут приобрести доступ к полностью автоматизированному сервису. Названный EvilProxy, он обещает кражу логинов, паролей и токенов для обхода двухфакторки у Apple, Google, Microsoft и ещё нескольких сайтов вплоть до GitHub и PyPi.
В наличии удобный интерфейс, видео-инструкции и клоны страниц популярных сервисов. Увы, с распространением таких услуг даже самые маленькие злоумышленники смогут обходить повсеместно вводимую двухфакторку всего за 400-600 баксов в месяц. Зацените тех-гайд для покупателей на скриншоте. Вот этот я понимаю клиентоориентированный подход.
@tomhunter
В наличии удобный интерфейс, видео-инструкции и клоны страниц популярных сервисов. Увы, с распространением таких услуг даже самые маленькие злоумышленники смогут обходить повсеместно вводимую двухфакторку всего за 400-600 баксов в месяц. Зацените тех-гайд для покупателей на скриншоте. Вот этот я понимаю клиентоориентированный подход.
@tomhunter
🔥8🤯2
#news И ещё немного об оригинальных услугах в мире киберкриминала. В Штатах арестовали паренька в возрасте 21 года, который отрабатывал через Телеграм заказы по Violence-as-a-Service. В частности кирпич или коктейль Молотова в окно и вплоть до стрельбы по дому жертвы. Всё это удовольствие обходилось примерно в 2-3к долларов за заказ.
Судя по расследованию Кребса, заказчики атак в этих каналах связаны с сообществом SIM-свопинга. В котором полно подростков и дарований чуть постарше, ставших миллионерами на краже крипты. Ну а теперь они обнаружили, что за мелкий по их меркам прайс можно закинуть конкуренту Молотов в окно. Такие вот изысканные развлечения у малолетних зловредных криптомиллионеров. Нашим юным любителям заминировать родную школу пока до такого, к счастью, далеко.
@tomhunter
Судя по расследованию Кребса, заказчики атак в этих каналах связаны с сообществом SIM-свопинга. В котором полно подростков и дарований чуть постарше, ставших миллионерами на краже крипты. Ну а теперь они обнаружили, что за мелкий по их меркам прайс можно закинуть конкуренту Молотов в окно. Такие вот изысканные развлечения у малолетних зловредных криптомиллионеров. Нашим юным любителям заминировать родную школу пока до такого, к счастью, далеко.
@tomhunter
🤯7🤡4❤2🔥2
Как проверяют физ. лиц в СБ компаний методом OSINT? Поговорим об этом на хабре! В новой статье мы собрали источники, которыми службы безопасности выполняют проверку физических лиц: от действительности документов и анализа профиля в социальных сетях до наличия проблемных задолженностей и судимостей. Приятного чтения)
🔥12💩3
#news Осень только началась, а у нас уже в эфире самый занятный кроссовер сезона. Албания обвинила Иран в июльской атаке на свою госинфраструктуру. А следом разорвала с ним дипломатические отношения и потребовала, чтобы посольство всем составом покинуло страну в течение 24 часов.
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов. Чудные дела. Так, глядишь, уже при нашей жизни условный Франц Фердинанд будет сугубо цифровым.
@tomhunter
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов. Чудные дела. Так, глядишь, уже при нашей жизни условный Франц Фердинанд будет сугубо цифровым.
@tomhunter
🔥9🤯2💩2
#news ФБР и компания провели международную операцию и перехватили сайт и домены WT1SHOP, одной из крупнейших площадок по торговле личными данными, кредитками и аккаунтами. Больше 100 тысяч пользователей, инфа примерно на 6 миллионов человек и оборот в несколько миллионов долларов — ещё одно раздолье для кардеров и мошенников отправилось на дно вслед за Slilpp.
Любители чертовски хорошего кофе сообщают, что отследили биткоины, имейлы и админки до гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки незадачливому товарищу грозит до 10 лет тюрьмы.
@tomhunter
Любители чертовски хорошего кофе сообщают, что отследили биткоины, имейлы и админки до гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки незадачливому товарищу грозит до 10 лет тюрьмы.
@tomhunter
🔥11😁5💩1
#tools
◻️ Подборка утилит для работы с lsass от нашей пентест команды.
LSASS — это процесс отвечающий за аутентификацию локальных и доменных пользователей в Windows. Так же, в его обязанности входит генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности SSP.
Ниже подборка утилит, с помощью которых можно извлечь пароли в открытом виде или NT-хеши для дальнейшей атаки.
🔹 Lsassy
Помимо выгрузки учётных данных, Lsassy имеет возможность выгрузить билеты в kirbi формате. Использует impacket для удаленного чтения необходимых байтов в дампе lsass и pypykatz для извлечения учетных данных.
🔹 Nanodump
Гибкий инструмент, который создаёт минидамп процесса lsass различными способами.
🔹 RIPPL
Умеет взаимодействовать с защищёнными Protected Process Light (PPL) процессами в обход ядра системы.
🔹 PPLdump
Так же имеет возможность управления процессами используя функции DefineDosDeviceAPI для выполнения произвольного кода внутри PPL.
🔹 Mimikatz
Классический вариант, позволяет обработать lsass не сохраняя дамп на диск.
🔹 Pypykatz
Реализация mimikatz на языке python >= 3.6
🔹 Handlekatz
Клонирует дескрипторы lsass и дергает MiniDumpWriteDumpA взятый из ReactOS для создания обфусцированного дампа. Выделяет совсем немного исполняемой памяти, поэтому может отлично сочетаться с DLL-Hollowing.
🔹 Sharpdump
Out-Minidump.ps1 в обёртке C#
Использует MiniDumpWriteDump вызов win32API для создания самого дампа памяти.
🔹 Physmem2profit
Утилита используется для создания мини-дампа процесса LSASS целевого хоста путем удаленного анализа физической памяти, который можно дополнительно проанализировать с помощью Mimikatz.
🔹 MirrorDump
Написан на C#.
Использует проекты MiniHook и SharpDisasm для вызовов внутренних API MiniDumpWriteDump. Так же совмещает Boo.Lang и DLLExport для генерации аутентификации LSA SSP и его загрузки в память LSASS.
🔹 Procdump
Служебная программа из состава Windows Sysinternals, которая позволяет делать снимок памяти процесса LSASS.
◻️ Подборка утилит для работы с lsass от нашей пентест команды.
LSASS — это процесс отвечающий за аутентификацию локальных и доменных пользователей в Windows. Так же, в его обязанности входит генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности SSP.
Ниже подборка утилит, с помощью которых можно извлечь пароли в открытом виде или NT-хеши для дальнейшей атаки.
🔹 Lsassy
Помимо выгрузки учётных данных, Lsassy имеет возможность выгрузить билеты в kirbi формате. Использует impacket для удаленного чтения необходимых байтов в дампе lsass и pypykatz для извлечения учетных данных.
🔹 Nanodump
Гибкий инструмент, который создаёт минидамп процесса lsass различными способами.
🔹 RIPPL
Умеет взаимодействовать с защищёнными Protected Process Light (PPL) процессами в обход ядра системы.
🔹 PPLdump
Так же имеет возможность управления процессами используя функции DefineDosDeviceAPI для выполнения произвольного кода внутри PPL.
🔹 Mimikatz
Классический вариант, позволяет обработать lsass не сохраняя дамп на диск.
🔹 Pypykatz
Реализация mimikatz на языке python >= 3.6
🔹 Handlekatz
Клонирует дескрипторы lsass и дергает MiniDumpWriteDumpA взятый из ReactOS для создания обфусцированного дампа. Выделяет совсем немного исполняемой памяти, поэтому может отлично сочетаться с DLL-Hollowing.
🔹 Sharpdump
Out-Minidump.ps1 в обёртке C#
Использует MiniDumpWriteDump вызов win32API для создания самого дампа памяти.
🔹 Physmem2profit
Утилита используется для создания мини-дампа процесса LSASS целевого хоста путем удаленного анализа физической памяти, который можно дополнительно проанализировать с помощью Mimikatz.
🔹 MirrorDump
Написан на C#.
Использует проекты MiniHook и SharpDisasm для вызовов внутренних API MiniDumpWriteDump. Так же совмещает Boo.Lang и DLLExport для генерации аутентификации LSA SSP и его загрузки в память LSASS.
🔹 Procdump
Служебная программа из состава Windows Sysinternals, которая позволяет делать снимок памяти процесса LSASS.
🔥12💩1💯1
#news Исследование от Norton Labs показало, что 4 из 5 топовых сайтов сливают запросы из своих поисковых строк рекламодателям. Они прошлись краулером по миллиону топовых сайтов и проверили, сколькие отсылают запросы юзера на сторону.
Результат — 81,3 процента, большая часть утекает через реферер и URL. И это ещё нижний порог, так как не все HTTP-запросы удалось проанализировать. При этом, конечно, на сайтах в условиях пользования инфы об этом почти не сыскать — три четверти отделываются общими словами про третьи стороны, поисковые запросы упомянуты едва на каждом десятом. Так что заботиться о своей приватности, как обычно, остаётся только самостоятельно.
@tomhunter
Результат — 81,3 процента, большая часть утекает через реферер и URL. И это ещё нижний порог, так как не все HTTP-запросы удалось проанализировать. При этом, конечно, на сайтах в условиях пользования инфы об этом почти не сыскать — три четверти отделываются общими словами про третьи стороны, поисковые запросы упомянуты едва на каждом десятом. Так что заботиться о своей приватности, как обычно, остаётся только самостоятельно.
@tomhunter
❤7🔥2💩1
#news Генеральный штаб вооружённых сил Португалии подвергся кибератаке. У них стянули засекреченные натовские документы, которые теперь на продаже в дарквебе. Источники сообщают, что доки настолько важные, что это может подорвать доверие к стране в альянсе. И немудрено.
Системы в штабе изолированы от сети, но «растянутая во времени, неотслеживаемая атака» шла по обычным каналам, так что, скорее всего, где-то на местах нарушили базовые протоколы безопасности. Самая мякотка, ни атаку, ни утечку португальцы не засекли. А о сливе вообще узнали от американской разведки, которая обнаружила документы в дарквебе и, так сказать, в лёгком недоумении начала звонить в своё посольство в Лиссабоне. Вот тебе, мама-маньяна, и военный опсек.
@tomhunter
Системы в штабе изолированы от сети, но «растянутая во времени, неотслеживаемая атака» шла по обычным каналам, так что, скорее всего, где-то на местах нарушили базовые протоколы безопасности. Самая мякотка, ни атаку, ни утечку португальцы не засекли. А о сливе вообще узнали от американской разведки, которая обнаружила документы в дарквебе и, так сказать, в лёгком недоумении начала звонить в своё посольство в Лиссабоне. Вот тебе, мама-маньяна, и военный опсек.
@tomhunter
🔥15😢8😁6
#news «Сбер» делает занятные выводы по количеству безопасников в России. В компании считают, что их немного не хватает. Этак 100 тысяч специалистов.
По их подсчётам, на всю страну работает всего около 5 тысяч безопасников, и это число неплохо было бы увеличить раз в двадцать. При этом в «Сбере» убеждены, что вопрос без поддержки государства никак не решить и нужен запрос на кадры. Только вот я что-то не очень уверен, что одна лишь льготная ипотека для айтишников сможет забороть низкую культуру инфобезопасности в Восточной Европе.
@tomhunter
По их подсчётам, на всю страну работает всего около 5 тысяч безопасников, и это число неплохо было бы увеличить раз в двадцать. При этом в «Сбере» убеждены, что вопрос без поддержки государства никак не решить и нужен запрос на кадры. Только вот я что-то не очень уверен, что одна лишь льготная ипотека для айтишников сможет забороть низкую культуру инфобезопасности в Восточной Европе.
@tomhunter
😁30❤3🤔1🤬1😢1
#news В Стиме замечена череда атак через новомодный кит для фишинга браузер-в-браузере. Жертвы получают в личку предложения поучаствовать в турнире по популярной игре или хотя бы проголосовать за команду. По ссылке сайт со встроенным окном, мимикрирующим под отдельную страницу логина в стим. И ссылку рендерит, и язык из браузера подтягивает, и двухфакторку запрашивает.
Атаки идут по профессиональным геймерам, чьи аккаунты в стиме могут уйти с молотка за цены вплоть до сотни-другой тысяч долларов. Увы, многие догадываются, что горячие цыпочки по соседству не хотят поиграть с ними в доту или CS.
@tomhunter
Атаки идут по профессиональным геймерам, чьи аккаунты в стиме могут уйти с молотка за цены вплоть до сотни-другой тысяч долларов. Увы, многие догадываются, что горячие цыпочки по соседству не хотят поиграть с ними в доту или CS.
@tomhunter
😁12🔥3
#news Любопытный тренд от мира рансомвари. Группировки переходят на прерывистое шифрование для ускорения процесса. Так, у Qyick написанный на голанге энкриптор предлагает три варианта: шифровка Y MB файла через N метров, шифровку части файла в начале и процента файла с пропуском от размера.
Прерывистое шифрование в разных вариациях стремительно входит в оборот у всех крупных группировок. Оно и понятно — минусов у метода нет, а скорость растёт на порядок. Так, когда товарищи из LockBit перейдут на частичное шифрование, их энкриптор будет управляться с атакой за пару минут. И оперативно реагировать на шифровку на спидах будет всё затруднительнее.
@tomhunter
Прерывистое шифрование в разных вариациях стремительно входит в оборот у всех крупных группировок. Оно и понятно — минусов у метода нет, а скорость растёт на порядок. Так, когда товарищи из LockBit перейдут на частичное шифрование, их энкриптор будет управляться с атакой за пару минут. И оперативно реагировать на шифровку на спидах будет всё затруднительнее.
@tomhunter
🔥8🤯3
#news В Голландии арестовали мошенника, укравшего десятки миллионов евро в крипте с помощью фишинга. И крипту у него конфисковали. Подозреваемый распространял малварь под видом обновления для кошелька Electrum. Видимо, либо что-нибудь вроде Racoon Stealer 2.0, либо на кражу сид-фразы.
Украденные средства воришка затем отмывал, меняя на Monero, через Bisq, очередную DeFi-платформу для анонимизации. Интересно, сколько она ещё проживёт, прежде чем её облюбуют северокорейские криптоизгои из Lazarus.
@tomhunter
Украденные средства воришка затем отмывал, меняя на Monero, через Bisq, очередную DeFi-платформу для анонимизации. Интересно, сколько она ещё проживёт, прежде чем её облюбуют северокорейские криптоизгои из Lazarus.
@tomhunter
❤9🔥5
#news Пока англосфера поминает почившую королеву, злоумышленники оперативно используют её смерть для фишинговых атак. Рассылка якобы от Мелкософта предлагает присоединиться к виртуальному мемориалу Елизаветы II и почтить её память. А по ссылке сайт для кражи логинов и паролей от Microsoft-аккаунта. Что занятно, в атаке использован новомодный реверс-прокси сервис EvilProxy для кражи 2FA-токенов.
Как обычно, громкое событие привлекло массу мошенников. Что ж, королева мертва, да здравствует фишинг!
@tomhunter
Как обычно, громкое событие привлекло массу мошенников. Что ж, королева мертва, да здравствует фишинг!
@tomhunter
😢12🔥6