#news Апдейт по следам падения массивного ботнета RSOCKS. В Болгарии ещё в июне арестовали 36-летнего омича Дениса Емельянцева по запросу из штатов. Теперь суд удовлетворил его просьбу об экстрадации в США, чтобы «адвокаты скорее сняли с него необоснованные обвинения».
Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в на днях рассекреченном США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «необоснованными обвинениями» в попытке заключить сделку со следствием у товарища будет жаркой.
@tomhunter
Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в на днях рассекреченном США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «необоснованными обвинениями» в попытке заключить сделку со следствием у товарища будет жаркой.
@tomhunter
🔥10🤡3
T.Hunter
#news #OSINT Школота минирует Россию... И снова про виртуальное минирование. Тем более, что раскидка ложных сообщений о терактах ожидается днями в таких российских городах, как: Ангарск, Алушта, Арзамас, Артём, Архангельск, Астрахань, Балашиха, Биробиджан…
Скорбим вместе с родителями Ижевска... Нет слов...
😢43🤡9😁4🤔2🎉2🤯1🤬1💩1
#news Продолжаем следить за новостями с киберфронтов: в арсенал хакеров затесалась доставка малвари через файлы PowerPoint. Для заражения машины достаточно погладить в нём курсором гиперссылку. Вредоносных макросов атака не требует.
При активации PowerShell-скрипт тянет jpeg-файлы с OneDrive, дешифрует их и грузит dll-ки в память. В качестве малвари идёт Graphite, абьюзящий Graph API для связи с C2-сервером на OneDrive, затем его используют для загрузки иного зловреда. Шпионская кампания свежая, сентябрьская. А цель у неё — оборонный и правительственный сектора стран ЕС и Восточной Европы. И таких любопытных новинок в эти неспокойные дни, скорее всего, нам предстоит увидеть ещё немало.
@tomhunter
При активации PowerShell-скрипт тянет jpeg-файлы с OneDrive, дешифрует их и грузит dll-ки в память. В качестве малвари идёт Graphite, абьюзящий Graph API для связи с C2-сервером на OneDrive, затем его используют для загрузки иного зловреда. Шпионская кампания свежая, сентябрьская. А цель у неё — оборонный и правительственный сектора стран ЕС и Восточной Европы. И таких любопытных новинок в эти неспокойные дни, скорее всего, нам предстоит увидеть ещё немало.
@tomhunter
🔥14🤔4
#news Что бывает с неудачливыми хакерами, не рассчитавшими свои силы? Они начинают удалять украденные данные, снимать их с продажи и слёзно извиняться.
Так произошло с товарищем, недавно взломавшим Optus, второго крупнейшего мобильного оператора Австралии. Он сначала угрожал, что сольёт данные на 11 миллионов их клиентов, если не получит миллион долларов. Потом начал рассылать смс жертвам взлома, требуя две штуки австралийских баксов на свой счёт в банке. Ну а как полиция объявила «Операцию Ураган» по поимке злоумышленников, вышло то, что на скриншоте. «Простите, пожалуйста, мы больше не будем» в хакерском исполнении. Милые ребята.
@tomhunter
Так произошло с товарищем, недавно взломавшим Optus, второго крупнейшего мобильного оператора Австралии. Он сначала угрожал, что сольёт данные на 11 миллионов их клиентов, если не получит миллион долларов. Потом начал рассылать смс жертвам взлома, требуя две штуки австралийских баксов на свой счёт в банке. Ну а как полиция объявила «Операцию Ураган» по поимке злоумышленников, вышло то, что на скриншоте. «Простите, пожалуйста, мы больше не будем» в хакерском исполнении. Милые ребята.
@tomhunter
😁22🤡3❤1🔥1
#news Занятный пример нового дроппера, который одним словом можно описать как избыточный: NullMixer инфицирует машины одновременно парой десятков зловредов. От Redline и Racoon Stealer’ов до PseudoManuscrypt — в списке найдётся что угодно, и на скрине только часть коллекции.
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
Что побудило авторов напихать всё это в свой дроппер, неясно. То ли желание славы или привлечение внимания к своей суперэффективной приблуде. То ли они просто хотят видеть сетевой мир в огне. Так или иначе для любителей крякнутого софта и ломаных игр это уникальная возможность собрать всю известную малварь разом — подставные сайты с NullMixer в топовой выдаче гугла.
@tomhunter
🔥12
#news На хакерских форумах всплыл взломанный фреймворк для постэксплуатации Brute Ratel. Продвинутый набор для пентеста теперь свободно распространяют, и злоумышленники уже активно его изучают.
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
Ранее ушлые взломщики регистрировали подставные фирмы в штатах, чтобы пройти лицензирование для Brute Ratel и использовать его в атаках. И разработчик утверждал, что лицензию может отозвать. Но в крякнутой версии её сняли, причём это дело рук пресловутых русских хакеров. И теперь вместо массово распространённого Cobalt Strike в дело пойдёт BRC4, способный генерировать шелл-код, который многие нынешние EDR и антивирусы не обнаруживают. Так что пришло время обновлять системы, системы сами не обновятся.
@tomhunter
🔥12🤯2❤1
#news Пятничная новость про смекалистых сисадминов. Уволенный на Гавайях администратор крупной финкомпании очень хотел свою работу обратно и зарплату повыше. Поэтому он зашёл под старыми данными доступа и поковырялся в настройках, нарушив работу сайта и переправив траффик и почту компании на внешние машины. А заодно и лишил IT-отдел фирмы доступа к админпанели, чтобы наверняка.
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
Увы, смекалочка не окупилась, и нашего героя поймало ФБР. Теперь ему грозят до 10 лет тюрьмы и $250 тысяч штрафа. А компаниям хорошее напоминание обнулять уволенным сотрудникам доступ.
@tomhunter
😁17🔥5🎉1
Сентябрь 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
🤡9🔥3❤1
#news Образцовый пример работы с утечками данных от австралийской полиции. Часть жертв недавнего взлома мобильного оператора, чьи данные успели слить в сеть, попадут под особую программу защиты. Это чуть больше 10к человек. О них обещают оповестить все релевантные службы, мониторить форумы и дарквеб на предмет эксплойта данных, отслеживать по ним подозрительную активность в финсекторе и другие плюшки. Сам оператор также поднял отдельный портал со всей инфой по взлому.
Тем временем наши компании, сливающие данные десятков и сотен миллионов своих клиентов, могут предложить разве что глубокие извинения. Почувствуйте разницу, так сказать.
@tomhunter
Тем временем наши компании, сливающие данные десятков и сотен миллионов своих клиентов, могут предложить разве что глубокие извинения. Почувствуйте разницу, так сказать.
@tomhunter
🔥22❤4😢4🎉1
#news После атак браузер-в-браузере mr.d0x представляет эксплойт для режима приложений в Хромиуме. Он позволяет создать фишинговые окна для логина, почти не отличимые от оригинальных. В атаке используется ярлык, который абьюзит параметр командной строки --app, чтобы вести на фишинговый сайт. Базовые навыки HTML/CSS у злоумышленника для клонирования страницы, кликнувший по ярлыку пользователь, и готово — перед ним фейковое окно логина, любезно предоставленное Хромиумом.
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. С соответствующими командами и браузерами эксплойт работает под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал.
@tomhunter
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. С соответствующими командами и браузерами эксплойт работает под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал.
@tomhunter
🔥9❤2
#news Уютный мир Microsoft Exchange слегка потряхивает новым тандемом нулевых уязвимостей с тем же паттерном, что и у ProxyShell: одна на подделку запроса на стороне сервера, вторая – на произвольное исполнение кода. Атака разве что требует авторизации хотя бы на уровне юзера, так что вектор получил меткое название ProxyNotShell. И предложенное Мелкософтом временное решение легко обходится.
Пока безопасники ждут патчей и роста числа атак, в которых в августе уже были замечены китайские хакеры, не дремлют и скамеры. На Гитхабе с полдюжины репозиториев с фейковыми проверками концепции к атаке на продажу от лица именитых ИБ-исследователей. Всего 420 баксов в битках за одну-единственную копию! Видимо, то, что Zerodium выплачивает от четверти миллиона долларов за RCE нулевого дня в MS Exchange, находчивых мошенников не смущает.
@tomhunter
Пока безопасники ждут патчей и роста числа атак, в которых в августе уже были замечены китайские хакеры, не дремлют и скамеры. На Гитхабе с полдюжины репозиториев с фейковыми проверками концепции к атаке на продажу от лица именитых ИБ-исследователей. Всего 420 баксов в битках за одну-единственную копию! Видимо, то, что Zerodium выплачивает от четверти миллиона долларов за RCE нулевого дня в MS Exchange, находчивых мошенников не смущает.
@tomhunter
🔥12
#news Трюк формата «Как заскамить скамера» от злоумышленника под позывным Water Labbu. Крипторынок богат на подставные инвестиционные сайты под майнинг ликвидности, которые просто крадут крипту с кошельков. Но нашему антигерою лень создавать собственные. Поэтому он просто инджектит в них Javascript-код, обчищающий кошельки жертв раньше, чем это сделает сайт.
Скрипт оценивает баланс кошелька и затем засылает на мобильники запрос на транзакцию, а под винду — через оверлей на скам-сайте юзер получает бэкдор под видом апдейта Flash. Так или иначе жертва лишается средств, уходящих на кошельки злоумышленника. Заражены не менее 45 подставных сайтов и украдены больше 300 тысяч долларов. Для несостоявшихся инвесторов разницы никакой, а вот скамеры со всей своей социнженерией вылетают в трубу.
@tomhunter
Скрипт оценивает баланс кошелька и затем засылает на мобильники запрос на транзакцию, а под винду — через оверлей на скам-сайте юзер получает бэкдор под видом апдейта Flash. Так или иначе жертва лишается средств, уходящих на кошельки злоумышленника. Заражены не менее 45 подставных сайтов и украдены больше 300 тысяч долларов. Для несостоявшихся инвесторов разницы никакой, а вот скамеры со всей своей социнженерией вылетают в трубу.
@tomhunter
🔥19😁7
#news Рансомварь-история с несчастливым концом. Для злоумышленника. Ранее осуждённый в Канаде почти на семь лет оператор рансомвари Netwalker Себастьен Вашон-Дежарден после экстрадиции в США получил двадцаточку срока. И штраф в $21,5 миллиона.
Малварь Netwalker была одной из самых активных угроз в 2020-м, от которой пострадали не менее 305 компаний в 27 странах мира, в том числе 203 в США. Так что экстрадиция была вопросом времени. И американская фемида традиционно оказалась суровее канадской. Ну или сказалось то, что в штатах Netwalker успели взломать в десяток раз больше компаний.
@tomhunter
Малварь Netwalker была одной из самых активных угроз в 2020-м, от которой пострадали не менее 305 компаний в 27 странах мира, в том числе 203 в США. Так что экстрадиция была вопросом времени. И американская фемида традиционно оказалась суровее канадской. Ну или сказалось то, что в штатах Netwalker успели взломать в десяток раз больше компаний.
@tomhunter
🔥8🎉3😁2
Всем привет! Подоспел наш традиционный дайджест самых горячих новостей информационной безопасности за ушедший месяц. Осень началась с заметных происшествий на геополитической арене, так что у нас сегодня немало инфобез-интриг на государственном уровне: иранцы взламывают Албанию, Черногории мерещатся вездесущие русские хакеры, португальцы упускают важные происшествия в перерыве на послеобеденный сон… Помимо этого, расскажем о громких взломах, затронувших Uber и Rockstar, и о падении зубров от мира киберпреступного рынка.
За подробностями добро пожаловать на Хабр.
За подробностями добро пожаловать на Хабр.
❤6🔥2
#news Недавний взлом мобильного оператора Optus в Австралии отметился рассылкой смс по слитым в сэмле контактам. В ней некий злоумышленник вымогал 2 тысячи австралийских долларов на свой счёт, угрожая продать данные хакерам. Увы, шалость не удалась, и в Сиднее арестовали 19-летнего пацана, подавшегося в шантажисты.
Он успел разослать такие запросы 93 жертвам, но, как ни странно, никто ему деньги не перечислил. Поймать его тоже оказалось несложно – наш герой не стал заморачиваться и просто указал в смс свой счёт в банке. По местным законам за шантаж грозит до 10 лет. Но, полагаю, к юному гению проявят снисхождение. Всё же киберпреступник из него так себе.
@tomhunter
Он успел разослать такие запросы 93 жертвам, но, как ни странно, никто ему деньги не перечислил. Поймать его тоже оказалось несложно – наш герой не стал заморачиваться и просто указал в смс свой счёт в банке. По местным законам за шантаж грозит до 10 лет. Но, полагаю, к юному гению проявят снисхождение. Всё же киберпреступник из него так себе.
@tomhunter
😁12🔥2
#news Текущая новостная повестка постоянно становится предметом фишинга. Но на этот раз особо отличилась группировка XDSpy: у них в ходу фишинговая кампания на тему частичной мобилизации.
Несколько сотен писем по российским компаниям с правдоподобно выглядящими документами, ссылками на УК и угрозами штрафов да сроков. По ссылке в письме WSF-архив со зловредом и пдфкой под повестку для отвода глаз. Целью кампании является шпионаж, кража файлов и взлом корпоративных ящиков. Что сказать, актуальность зашкаливает. Средний сотрудник по такому тревожному письму кликнет раньше, чем успеет что-нибудь сообразить.
@tomhunter
Несколько сотен писем по российским компаниям с правдоподобно выглядящими документами, ссылками на УК и угрозами штрафов да сроков. По ссылке в письме WSF-архив со зловредом и пдфкой под повестку для отвода глаз. Целью кампании является шпионаж, кража файлов и взлом корпоративных ящиков. Что сказать, актуальность зашкаливает. Средний сотрудник по такому тревожному письму кликнет раньше, чем успеет что-нибудь сообразить.
@tomhunter
🤯7🤬3❤2😁2🔥1
#news Криптовзломщики добрались и до Binance: с их кроссчейн-моста BSC Token Hub пытались стянуть 2 миллиона BNB, что эквивалентно 566 миллионам долларов. Хакеры успели вывести около $100 миллионов, остальное повисло на вовремя остановленном мосте. Подробностей эксплойта пока нет, известно только, что дополнительные токены были созданы через подделку низкоуровнего пруфа.
Средства юзеров не затронуты, аккаунт злоумышленника будет заблокирован, и разработчики пока решают, замораживать ли висящую в сети BNB Chain украденную крипту. Если бы средства удалось вывести, кража шла бы вплотную с рекордным весенним взломом Ronin на $620 миллионов. И товарищ Ким Чен Ын мог бы профинансировать ещё пару ракетных запусков в сторону Японии.
@tomhunter
Средства юзеров не затронуты, аккаунт злоумышленника будет заблокирован, и разработчики пока решают, замораживать ли висящую в сети BNB Chain украденную крипту. Если бы средства удалось вывести, кража шла бы вплотную с рекордным весенним взломом Ronin на $620 миллионов. И товарищ Ким Чен Ын мог бы профинансировать ещё пару ракетных запусков в сторону Японии.
@tomhunter
🔥9😁5
#news Произошла утечка более 400 Гб конфиденциальных данных компании Bombardier, касающихся разработок и иная внутренняя документация.
@tomhunter
@tomhunter
🔥12😁5
#news Владеющая Facebook компания, которую нельзя называть, сообщила о 400 выявленных приложениях для кражи данных доступа к соцсети. Из них 355 под андроид, и ещё 47 под iOS. Потенциально пострадали не меньше миллиона пользователей.
Фонарики, мобильные игры, фоторедакторы – полный набор. Причём почти половина приложений из последней категории, около трети – это фейковые VPN и утилиты для бизнеса, остальное по мелочи. Тем временем компания доверительно советует насторожиться, если фонарик вдруг попросит залогиниться в фейсбук. Ну, хотя бы не в госуслуги, и то добро.
@tomhunter
Фонарики, мобильные игры, фоторедакторы – полный набор. Причём почти половина приложений из последней категории, около трети – это фейковые VPN и утилиты для бизнеса, остальное по мелочи. Тем временем компания доверительно советует насторожиться, если фонарик вдруг попросит залогиниться в фейсбук. Ну, хотя бы не в госуслуги, и то добро.
@tomhunter
😁15🔥4❤2
#news Занятные сводки с киберфронтов: пророссийские хакеры из KillNet ддосят сайты аэропортов в Штатах, причём относительно успешно. Некоторые недоступны или еле грузятся, включая крупнейшие аэропорты в Лос-Анджелесе и Атланте. Счёт идёт на десяток работающих с перебоями веб-порталов.
Список доменов для ддоса группировка сегодня выложила в телеграм-канале. Прежде KillNet в основном были нацелены на европейские страны, но последнее время переключились на цель покрупнее, атакуя и правительственные сайты в Штатах. Такой вот хактивизм в эпоху масштабных геополитических треволнений.
@tomhunter
Список доменов для ддоса группировка сегодня выложила в телеграм-канале. Прежде KillNet в основном были нацелены на европейские страны, но последнее время переключились на цель покрупнее, атакуя и правительственные сайты в Штатах. Такой вот хактивизм в эпоху масштабных геополитических треволнений.
@tomhunter
🔥33🤡8🤬6😁4💩2❤1
#news Сервисы для самых маленьких злоумышленников продолжают эволюционировать. Новая фишинговая платформа Caffeine предлагает регистрацию и разные подписочные планы всем желающим – никаких инвайтов и сумрачных форумных подворотен. Вместе с тем сервис также богат и на фичи.
Динамичные URL с генератором страниц под жертв, тонкая настройка, редиректы и сами фишинговые страницы, IP-фильтры. Вплоть до встроенной PHP-утилиты для рассылки писем. И шаблоны под российские и китайские платформы вместо привычных западных. Если авторы добавят больше шаблонов, сервис рискует стать серьёзной головной болью, так как порог вхождения совсем низкий. Зачем учить основы HTML/CSS, когда большие киберпреступные дяди всё накодили за тебя.
@tomhunter
Динамичные URL с генератором страниц под жертв, тонкая настройка, редиректы и сами фишинговые страницы, IP-фильтры. Вплоть до встроенной PHP-утилиты для рассылки писем. И шаблоны под российские и китайские платформы вместо привычных западных. Если авторы добавят больше шаблонов, сервис рискует стать серьёзной головной болью, так как порог вхождения совсем низкий. Зачем учить основы HTML/CSS, когда большие киберпреступные дяди всё накодили за тебя.
@tomhunter
🤯11🔥2