#news Британского хакера Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Он же был разработчиком малвари GovRAT.
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
❤12🔥3😁2🤔1
#news В сетевых дебрях замечен новый метод управления малварью. Вместо C2-серверов злоумышленники из The Cranefly используют IIS-логи. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд.
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
🔥19🤯2😁1
#news Один безопасник написал опенсорсовый инструмент, который сканирует публичные AWS S3 бакеты и ищет случайно оказавшихся в общем доступе ключи, токены и прочее пикантное. В общем, автоматизированный grayhatwarfare. Сканер заточен под неверно настроенные хранилища и проверку текстовых файлов в них на предмет секретов. Скачанное он прогоняет через Trufflehog3.
S3crets Scanner пригодится компаниям для пентеста своих бакетов на коленке во избежание неловких историй с утечками. Все желающие также могут нацепить белую шляпу и пройтись сканером по сети в поисках дырявых ведёр, пока до них не добрался кто-нибудь более предприимчивый и злонамеренный. И оставить держателям сердечное послание в духе примера из статьи: «Дорогой владелец, твой бакет открыт на чтение/запись, но так как Bug Bounty программы ты не завёз, я просто оставлю это здесь. Скорее чини. Всегда твой, белошляпочник».
@tomhunter
S3crets Scanner пригодится компаниям для пентеста своих бакетов на коленке во избежание неловких историй с утечками. Все желающие также могут нацепить белую шляпу и пройтись сканером по сети в поисках дырявых ведёр, пока до них не добрался кто-нибудь более предприимчивый и злонамеренный. И оставить держателям сердечное послание в духе примера из статьи: «Дорогой владелец, твой бакет открыт на чтение/запись, но так как Bug Bounty программы ты не завёз, я просто оставлю это здесь. Скорее чини. Всегда твой, белошляпочник».
@tomhunter
🔥8😁4🤯1
#news Кребс нарыл новых занятных подробностей о Марке Соколовском, арестованном в марте ключевом разработчике Racoon Stealer. На момент известных событий товарищ проживал в Харькове, но вскоре сбежал, судя по всему, подкупив пограничников. Однако наш антигерой не знал, что за ним давно следило ФБР.
Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но пару дней спустя его приняли в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.
@tomhunter
Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но пару дней спустя его приняли в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.
@tomhunter
🔥12🎉3🤯1🤡1
Октябрь 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
🤔5❤3
#news Dropbox сообщил о взломе: в середине октября злоумышленники украли 130 репозиториев с одного из их Гитхаб-аккаунтов. В некоторых API-ключи разработчиков, помимо кода утекли несколько тысяч имён и ящиков работников и клиентов сервиса. Компания утверждает, что критичные репозитории не затронуты. В утёкших сторонние библиотеки, часть внутренних прототипов, инструменты и конфиги их безопасников.
Причиной взлома стала фишинговая атака по работникам Дропбокса от лица платформы CircleCI; ранее в сентябре так уже угоняли аккаунты на Гитхабе. По следам утечки Dropbox обещает повсеместно перейти на «золотой стандарт» в виде WebAuthn с токенами и биометрией. Но заодно оговаривается, что со всеми фишинговыми атаками не справится и самый бдительный профессионал. Так, на всякий случай.
@tomhunter
Причиной взлома стала фишинговая атака по работникам Дропбокса от лица платформы CircleCI; ранее в сентябре так уже угоняли аккаунты на Гитхабе. По следам утечки Dropbox обещает повсеместно перейти на «золотой стандарт» в виде WebAuthn с токенами и биометрией. Но заодно оговаривается, что со всеми фишинговыми атаками не справится и самый бдительный профессионал. Так, на всякий случай.
@tomhunter
🔥7🤔2🤯2
#news В Гугле замечена занятная реклама Гимпа. В ней юзер видит ссылку на актуальный сайт редактора (
Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
gіmp.org), но вместо него попадает на подставной с доменным именем gilimp.org. На котором получает раздутый до 700 метров инфостилер VIDAR. Неделю назад писал об активной тайпсквот-кампании по его распространению.Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
😁15🤬3🔥2🤔2
#news На просторах сети всплыл продвинутый клиппер-как-услуга для криптоадресов. Вместо простой подмены кошелька он генерирует похожий на тот, что у жертвы. Судя по тестам, одинаковые в них первые и последние несколько символов. Как новинка это делает, неясно. Возможно, заранее сгенерированный огромный массив адресов.
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
🔥13🤯5❤1🎉1
#news Если кто помнит, был такой финский паренёк Юлиус Кивимяки, он же Ryan и Zeekill. В 2015-м его обвинили в более чем 50 тысячах киберпреступлений, но 17-летний шельмец отделался двумя годами условно. И как выяснилось, он же под ником ransom_man шантажировал онлайн-сервис психотерапии Vastaamo, который обанкротился после встряхнувшей Финляндию шумихи.
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
😁30🔥2
#news Занятные новости из Великобритании: правительство начало сканировать все хостящиеся в стране устройства на предмет уязвимостей. Заявленной целью программы является оценить, насколько системы защищены от атак, и уведомить владельцев о прорехах в безопасности. Сканеры настроены на самые распространённые и критические уязвимости, собирают HTTP-ответы, включая заголовки, и в целом всю информацию по подключению к сервисам и веб-серверам.
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
🔥11😁8🤔1
Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!
🔥7❤2
#news Исследователи обнаружили, что через
Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
@tomhunter
urlscan.io утекает куча чувствительной информации. Страницы для сброса пароля, API-ключи, инвойсы, расшаренные доки, инвайты, ссылки для отслеживания посылок – полный набор.Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
urlscan.io может стать и вектором атаки, скажем, если злоумышленник перехватит ссылки для сброса пароля. А также раздольем для спамеров и фишеров. Вот и посканировали.@tomhunter
🔥12🤯2❤1💩1
#news На заре криптовалютной эпохи в 2012-м с небезызвестной дарквеб-площадки Silk Road украли 50,000 биткоинов. Злоумышленник воспользовался багом в процедуре возврата средств, стянул крипту 140 транзакциями, и дальше её след затерялся на 10 лет. Ну а теперь загадка разрешилась: вора нашли, и он пошёл под суд в штатах. Ему грозит до 20 лет тюрьмы.
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
🔥10🤔3💩1
#news Что получается у злоумышленников, которые просто хотят видеть мир в огне? Рансомварь Азов. Точнее, вайпер: зловред забивает каждые вторые 666 байт файлов мусором и заражает экзешники, а контактов автора в записке нет. Вместо них невнятная солянка по мотивам текущей новостной повестки. Более того, в качестве авторов указаны известные безопасники и журналисты с Bleeping Computer – видимо, для создания инфоповода.
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
🤔15🔥3💩2🤡1
#news Малоизвестный факт, но в России есть свой аналог Тик Тока – соцсеть YAPPY. И в новости он сегодня залетает взломом: в открытом доступе база с четырьмя таблицами. ФИО юзеров, почты, телефоны, хешированные пароли, сведения об устройствах и прочие техдетали. Больше двух с половиной миллионов пользователей, 2,2 миллиона уникальных телефонов. Инфа актуальна на 1 июля этого года.
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
🤡17😁10❤3
Про Google доркинг написано и сказано немало. С помощью расширенных операторов поиска можно найти абсолютно все что Google проиндексировал. А проиндексировал он очень и очень много…И в данной статье мы решили углубиться в тему доркинга и рассмотреть вопрос его практического применения при проверке контрагентов. Вот так можно применять Google Dorking не только в стезе этичного хакинга) Приятного чтения!
🔥14
#news В сети замечен новый ботнет Cloud9 в виде расширения под Хромиум. Функционал у него солидный: криптомайнер, DDoS-атаки на седьмой уровень, кража куки, клиппер и кейлоггер, вставки рекламы, эксплойты под несколько браузеров. Судя по C2-доменам, новый ботнет на продажу – детище специализирующейся на них группировки Keksec, авторов EnemyBot и ещё полдюжины аналогичных проектов.
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
🔥13😁4
#news В Канаде в конце октября арестовали одного из предполагаемых операторов LockBit, нынешнего чемпиона рансомварного мира. Задержанный оказался зловреду под стать: он был в списках целей особой важности Европола ввиду участия в резонансных рансомварь-делах. Национальность угадаете? Михаил Васильев, 33-летний гражданин России.
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
🔥14🤔3🤡3😁1
#news Новая малварь от группировки Worok замечена в сетевых прериях. И прячут её злоумышленники в PNG-файлах с помощью стеганографии. Небольшие куски вредоносного кода записываются в наименьшие значащие биты пикселей изображения. Позже их доставляют и собирают на машине жертвы с помощью dll-ок CLRLoader и PNGLoader, соответственно.
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
🔥15🤯2
#news Если кто следит за самой зрелищной и нелепой катастрофой в современной финансовой истории – крахом криптобиржи FTX – в её эпопее появилась и вишенка инфобеза. Стоило им подать на банкротство, биржу самым загадочным образом взломали. Больше $600 миллионов ушли по неизвестным адресам, кража отдаёт инсайдерской работой. Плюс в приложениях якобы апдейт в виде инфостилера, админы призывают срочно их удалить и не заходить на сайт во избежание троянов.
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
🔥17😁2🎉2💩1
#news Один безопасник случайно обнаружил способ обойти экран блокировки смартфонов на Андроид. В версиях с 10 по 13 при блокировке сим-карты после неправильного ввода PIN и её разблокировки с помощью PUK-кода телефоны пропускают блокировку и сразу выдают главный экран. То есть злоумышленник может просто вставить свою симку и за пару минут разблокировать телефон. Видео здесь.
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
🔥13😁2👍1