#news Исследователи обнаружили, что через
Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
@tomhunter
urlscan.io утекает куча чувствительной информации. Страницы для сброса пароля, API-ключи, инвойсы, расшаренные доки, инвайты, ссылки для отслеживания посылок – полный набор.Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
urlscan.io может стать и вектором атаки, скажем, если злоумышленник перехватит ссылки для сброса пароля. А также раздольем для спамеров и фишеров. Вот и посканировали.@tomhunter
🔥12🤯2❤1💩1
#news На заре криптовалютной эпохи в 2012-м с небезызвестной дарквеб-площадки Silk Road украли 50,000 биткоинов. Злоумышленник воспользовался багом в процедуре возврата средств, стянул крипту 140 транзакциями, и дальше её след затерялся на 10 лет. Ну а теперь загадка разрешилась: вора нашли, и он пошёл под суд в штатах. Ему грозит до 20 лет тюрьмы.
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
🔥10🤔3💩1
#news Что получается у злоумышленников, которые просто хотят видеть мир в огне? Рансомварь Азов. Точнее, вайпер: зловред забивает каждые вторые 666 байт файлов мусором и заражает экзешники, а контактов автора в записке нет. Вместо них невнятная солянка по мотивам текущей новостной повестки. Более того, в качестве авторов указаны известные безопасники и журналисты с Bleeping Computer – видимо, для создания инфоповода.
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
🤔15🔥3💩2🤡1
#news Малоизвестный факт, но в России есть свой аналог Тик Тока – соцсеть YAPPY. И в новости он сегодня залетает взломом: в открытом доступе база с четырьмя таблицами. ФИО юзеров, почты, телефоны, хешированные пароли, сведения об устройствах и прочие техдетали. Больше двух с половиной миллионов пользователей, 2,2 миллиона уникальных телефонов. Инфа актуальна на 1 июля этого года.
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
🤡17😁10❤3
Про Google доркинг написано и сказано немало. С помощью расширенных операторов поиска можно найти абсолютно все что Google проиндексировал. А проиндексировал он очень и очень много…И в данной статье мы решили углубиться в тему доркинга и рассмотреть вопрос его практического применения при проверке контрагентов. Вот так можно применять Google Dorking не только в стезе этичного хакинга) Приятного чтения!
🔥14
#news В сети замечен новый ботнет Cloud9 в виде расширения под Хромиум. Функционал у него солидный: криптомайнер, DDoS-атаки на седьмой уровень, кража куки, клиппер и кейлоггер, вставки рекламы, эксплойты под несколько браузеров. Судя по C2-доменам, новый ботнет на продажу – детище специализирующейся на них группировки Keksec, авторов EnemyBot и ещё полдюжины аналогичных проектов.
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
🔥13😁4
#news В Канаде в конце октября арестовали одного из предполагаемых операторов LockBit, нынешнего чемпиона рансомварного мира. Задержанный оказался зловреду под стать: он был в списках целей особой важности Европола ввиду участия в резонансных рансомварь-делах. Национальность угадаете? Михаил Васильев, 33-летний гражданин России.
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
🔥14🤔3🤡3😁1
#news Новая малварь от группировки Worok замечена в сетевых прериях. И прячут её злоумышленники в PNG-файлах с помощью стеганографии. Небольшие куски вредоносного кода записываются в наименьшие значащие биты пикселей изображения. Позже их доставляют и собирают на машине жертвы с помощью dll-ок CLRLoader и PNGLoader, соответственно.
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
🔥15🤯2
#news Если кто следит за самой зрелищной и нелепой катастрофой в современной финансовой истории – крахом криптобиржи FTX – в её эпопее появилась и вишенка инфобеза. Стоило им подать на банкротство, биржу самым загадочным образом взломали. Больше $600 миллионов ушли по неизвестным адресам, кража отдаёт инсайдерской работой. Плюс в приложениях якобы апдейт в виде инфостилера, админы призывают срочно их удалить и не заходить на сайт во избежание троянов.
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
🔥17😁2🎉2💩1
#news Один безопасник случайно обнаружил способ обойти экран блокировки смартфонов на Андроид. В версиях с 10 по 13 при блокировке сим-карты после неправильного ввода PIN и её разблокировки с помощью PUK-кода телефоны пропускают блокировку и сразу выдают главный экран. То есть злоумышленник может просто вставить свою симку и за пару минут разблокировать телефон. Видео здесь.
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
🔥13😁2👍1
#news У пользователей Kerberos появились проблемы с входом в системы и аутентификацией в целом. А виной тому внезапно ноябрьские патчи от Майкрософт. Опять. С полей пишут, апдейт также начисто ломает Kerberos при включении настроек AES 128/256 bit encryption в юзерских аккаунтах.
Проблемы возникают во всех сценариях аутентификации и для клиентских, и для серверных платформ с ошибками Event ID 14 и 42. Из Редмонда сообщают, что введённый ими с ноября обязательный харденинг для Kerberos таких конфузов по плану не подразумевал. Над проблемой они активно работают, и решение будет доступно, гм, в ближайшие недели. Сидеть без свежих патчей или поставить их только для того, чтобы возиться с брыкающимися системами и откатываться обратно на RC4? Иллюзия выбора от Майкрософт.
@tomhunter
Проблемы возникают во всех сценариях аутентификации и для клиентских, и для серверных платформ с ошибками Event ID 14 и 42. Из Редмонда сообщают, что введённый ими с ноября обязательный харденинг для Kerberos таких конфузов по плану не подразумевал. Над проблемой они активно работают, и решение будет доступно, гм, в ближайшие недели. Сидеть без свежих патчей или поставить их только для того, чтобы возиться с брыкающимися системами и откатываться обратно на RC4? Иллюзия выбора от Майкрософт.
@tomhunter
🔥7😁4
#news Хорошая новость для любителей тех редких случаев, когда Большому Корпоративному Брату ещё напоминают значение слова «приватность». Гугл согласился выплатить $391 миллионов, чтобы закрыть дело по слежке за пользователями Андроида. Тяжбы тянулись по следам расследования 2018-го, когда выяснилось, что геолокацию юзеров собирали, даже если те выключили её в настройках.
Решение суда также обязывает компанию внести ясность в настройки и оповещения касаемо сбора пользовательской инфы и ограничивает её право на использование и хранение некоторых геоданных. Юзеры должны иметь возможность отключать геослежение, указывать срок хранения своих данных и запрашивать их удаление. Мелочь на пути в мир тотальный слежки по версии гугловской машины различий, а приятно.
@tomhunter
Решение суда также обязывает компанию внести ясность в настройки и оповещения касаемо сбора пользовательской инфы и ограничивает её право на использование и хранение некоторых геоданных. Юзеры должны иметь возможность отключать геослежение, указывать срок хранения своих данных и запрашивать их удаление. Мелочь на пути в мир тотальный слежки по версии гугловской машины различий, а приятно.
@tomhunter
🎉14❤3
#news Осень принесла поимку ещё одной крупной рыбы украинского киберпреступного мира. В Женеве арестован Вячеслав «Танк» Пенчуков, он же DJ Slava Rich из Донецка. А по совместительству глава JabberZeus – пионеров MITB-атак, с помощью банковского трояна Zeus укравших десятки миллионов долларов в Штатах и Европе. Забавная опсек-ошибка Пенчукова: в 2009-м в прослушиваемом чате он упомянул рождение дочери. В тот день в стране родилась одна девочка с таким именем и весом. Так у преступника появилось лицо.
У Кребса занятный материал по теме. Почти 15 лет работы по группировке и годы, когда утро начиналось с прозвона компаний, по чьи деньги в банк спешили дропперы. Криво поднятые сайты для их найма и скраппер по сообщениям – так Кребс годами нарушал планы злоумышленников. Для знакомых с реалиями СНГ чтиво ещё забористее. Янукович-младший в качестве крёстного дочери Пенчукова, его связи с сбушниками, инвестиции в бутики в Киеве… Донецкий пижон Слава Рич жил на широкую ногу. Увы, сказочке настал конец.
@tomhunter
У Кребса занятный материал по теме. Почти 15 лет работы по группировке и годы, когда утро начиналось с прозвона компаний, по чьи деньги в банк спешили дропперы. Криво поднятые сайты для их найма и скраппер по сообщениям – так Кребс годами нарушал планы злоумышленников. Для знакомых с реалиями СНГ чтиво ещё забористее. Янукович-младший в качестве крёстного дочери Пенчукова, его связи с сбушниками, инвестиции в бутики в Киеве… Донецкий пижон Слава Рич жил на широкую ногу. Увы, сказочке настал конец.
@tomhunter
🔥16🤔3🤯3
#news Новая фича от DuckDuckGo по блокировке трекеров в приложениях под Андроид aka аналог Blokada вошла в открытую бету. Помимо базового функционала, теперь юзер также может видеть, какие трекеры заблокированы и что за данные они собирают. Блокировки обещают фоновые и без особого влияния на производительность по регулярно обновляемому списку известных трекеров; браузер фильтрует их, выступая в качестве локального VPN.
В отличие от аналогичного яблочного решения согласия от разработчиков приложений на блокирование не требуется. В DuckDuckGo заверяют, что фича творит свою магию прямо на смартфонах и никаких данных ни им, ни на сторону не отсылает. Чувство гордости и достижения от вида циферок с тысячами заблокированных попыток слежки прилагается.
@tomhunter
В отличие от аналогичного яблочного решения согласия от разработчиков приложений на блокирование не требуется. В DuckDuckGo заверяют, что фича творит свою магию прямо на смартфонах и никаких данных ни им, ни на сторону не отсылает. Чувство гордости и достижения от вида циферок с тысячами заблокированных попыток слежки прилагается.
@tomhunter
🔥11😁4🤔1
#news В начале ноября ФБР отжали домены Z-Library, одной из крупнейших интернет-библиотек, существовавшей с 2009-го и входившей в топ-10к самых посещаемых сайтов. А сегодня в США двум её владельцам предъявили обвинения в краже интеллектуальной собственности и нарушении так называемого копирайта.
Антон Напольский и Валерия Ермакова, граждане России, были арестованы 3 ноября в Аргентине по запросу из Штатов. Сообщают, по Напольскому есть куча доказательств от Гугла и Амазона, что именно он владел сайтом и продвигал его через Google Ads. 249 доменов библиотеки в руках у ФБР, но Tor-версия сайта всё ещё на плаву. Впрочем, вряд ли надолго. 220 терабайт интеллектуальной собственности с репозитория Z-Library теперь могут спать спокойно. В отличие от наших попавшихся соотечественников.
@tomhunter
Антон Напольский и Валерия Ермакова, граждане России, были арестованы 3 ноября в Аргентине по запросу из Штатов. Сообщают, по Напольскому есть куча доказательств от Гугла и Амазона, что именно он владел сайтом и продвигал его через Google Ads. 249 доменов библиотеки в руках у ФБР, но Tor-версия сайта всё ещё на плаву. Впрочем, вряд ли надолго. 220 терабайт интеллектуальной собственности с репозитория Z-Library теперь могут спать спокойно. В отличие от наших попавшихся соотечественников.
@tomhunter
😢25🔥2😁1
#news Группировка Hive демонстрирует неприлично продуктивные результаты: с июня 2021-го они получили около $100 миллионов выкупа и атаковали больше 1,300 компаний по всему миру. С начала этого года на ID Ransomware 850 репортов с образцами их малвари, и это лишь часть атак. Список целей Hive широк, в основном критическая инфраструктура с акцентом на здравоохранении. Вдобавок ко всему, злоумышленники повторно заражают сети компаний, восстановивших работу без выплаты выкупа: им либо снова засылают зловред группировки, либо другую рансомварь.
Что примечательно, пик атак в этом году пришёлся на весну. В то время группировка активно сотрудничала с Conti с начальным доступом и пен-тестом от её членов, плюс у последних начались проблемы после сливов от крота в их рядах. Скорее всего, всплеск активности перед уходом Conti в тень был неспроста.
@tomhunter
Что примечательно, пик атак в этом году пришёлся на весну. В то время группировка активно сотрудничала с Conti с начальным доступом и пен-тестом от её членов, плюс у последних начались проблемы после сливов от крота в их рядах. Скорее всего, всплеск активности перед уходом Conti в тень был неспроста.
@tomhunter
🔥8🤔2
#news Ноябрьский патч от Майкрософт, запоздало пофиксивший баги в связке ProxyNotShell, оказался как раз к месту: в сети опубликована рабочая проверка концепции к эксплойту. Представленная товарищем под ником Janggggg PoC работает на серверах Microsoft Exchange 2016 и 2019 из коробки, а для 2013 требует пары твиков в коде.
Напомню, активный эксплойт пары багов, названный ProxyNotShell, заметили в сетевых дебрях в сентябре этого года. Тогда же на Гитхабе всплыл ворох фейковых проверок концепций от скамеров. Ну а теперь с публикацией рабочей PoC для всех желающих обновление до актуальной версии становится вопросом ещё более насущным. Потому как там, где блестящий новеньким ноябрьским апдейтом ME-сервер выдаёт на эксплойт ошибку 400, лишённые такие роскоши запылившиеся сервера с готовностью раскрывают все свои карты.
@tomhunter
Напомню, активный эксплойт пары багов, названный ProxyNotShell, заметили в сетевых дебрях в сентябре этого года. Тогда же на Гитхабе всплыл ворох фейковых проверок концепций от скамеров. Ну а теперь с публикацией рабочей PoC для всех желающих обновление до актуальной версии становится вопросом ещё более насущным. Потому как там, где блестящий новеньким ноябрьским апдейтом ME-сервер выдаёт на эксплойт ошибку 400, лишённые такие роскоши запылившиеся сервера с готовностью раскрывают все свои карты.
@tomhunter
🔥12
#news Продолжаются атаки с использованием нулевого дня под винду. Напомню, он позволяет обойти веб-метку безопасности при открытии js-файлов, если они подписаны искажённой цифровой подписью. Работает на 11 версии для архивных файлов и для любых на десятке.
В новой фишинговой кампании распространяют малварь Qbot. Стоило ноябрьскому патчу пофиксить ту же проблему с MoTW для файлов в ISO-образах, злоумышленники переключились на этот баг. Теперь в их архивах js-файлы, грузящие в память dll-ки со зловредом. С учётом того, что видим уже вторую кампанию с эксплойтом этого нулевого дня, можно делать ставки, пофиксят ли его наконец в патчевый вторник декабря. В этом месяце его обошли стороной, и вот результат.
@tomhunter
В новой фишинговой кампании распространяют малварь Qbot. Стоило ноябрьскому патчу пофиксить ту же проблему с MoTW для файлов в ISO-образах, злоумышленники переключились на этот баг. Теперь в их архивах js-файлы, грузящие в память dll-ки со зловредом. С учётом того, что видим уже вторую кампанию с эксплойтом этого нулевого дня, можно делать ставки, пофиксят ли его наконец в патчевый вторник декабря. В этом месяце его обошли стороной, и вот результат.
@tomhunter
🔥8🎉1
#news Команда безопасности Гугла опенсорснула 165 правил под YARA и VirusTotal для отслеживания IOC от Cobalt Strike. Акцент сделан на определении версии фреймворка в системах от древней 1.44 по новейшую. Его ломаные версии почти всегда минимум на одну старше официального релиза, так что подбор правил под старые позволяет с большей точностью отследить вредоносную активность.
Помимо этого, в открытый доступ выложили подборку сигнатур под Sliver – аналог Cobalt Strike, также используемый злоумышленниками. Такими темпами недавно взломанный Brute Ratel станет безоговорочным фаворитом у всех крупных группировок. А может, увидим и больше собранных на коленке версий Cobalt Strike от пиратского клана.
@tomhunter
Помимо этого, в открытый доступ выложили подборку сигнатур под Sliver – аналог Cobalt Strike, также используемый злоумышленниками. Такими темпами недавно взломанный Brute Ratel станет безоговорочным фаворитом у всех крупных группировок. А может, увидим и больше собранных на коленке версий Cobalt Strike от пиратского клана.
@tomhunter
🔥6❤1
#news Среди злоумышленников набирает популярность инфостилер Aurora. Как минимум семь заметных группировок либо перешли на его использование, либо пускают параллельно с Raccoon и Redline Stealer’ами. Что иронично, рост популярности связан с малой известностью нового зловреда, а также низкой частотой обнаружения.
Написанная на Go Aurora всплыла на русскоязычных форумах в апреле 2022-го. Поначалу авторы замахнулись на многофункциональный ботнет, но позже сбавили обороты до инфостилера в нынешнем виде. Получилась скрытная, легковесная и полностью нативная малварь без зависимостей и с ворохом фич. Здесь можно почитать подробнее о техдеталях восходящей звезды киберпреступного рынка, активно распространяемой по разным каналам от читов и ломаного софта до криптофишинга.
@tomhunter
Написанная на Go Aurora всплыла на русскоязычных форумах в апреле 2022-го. Поначалу авторы замахнулись на многофункциональный ботнет, но позже сбавили обороты до инфостилера в нынешнем виде. Получилась скрытная, легковесная и полностью нативная малварь без зависимостей и с ворохом фич. Здесь можно почитать подробнее о техдеталях восходящей звезды киберпреступного рынка, активно распространяемой по разным каналам от читов и ломаного софта до криптофишинга.
@tomhunter
🔥8🤔1
#news К вопросу о том, что будет после Cobalt Strike: исследователи ожидают, что злоумышленники возьмут на вооружение фреймворк Nighthawk. Он находится в активной разработке и заточен под обход обнаружения с ворохом фич, отлично справляющихся с задачей. Подробнее о фреймфорке здесь.
Собственно, в середине сентября исследователи выше обнаружили тестовые рассылки Nighthawk по следам выхода версии 0.2, что и позволило изучить образец. Из интересного, новые методы самошифрования маяка для обхода сканов памяти на предмет вредоносных dll-ок. Пока следов использования ломаного фреймворка злоумышленниками в сетевых дебрях не замечено. Но ознакомиться с перспективным новичком лишним не будет.
@tomhunter
Собственно, в середине сентября исследователи выше обнаружили тестовые рассылки Nighthawk по следам выхода версии 0.2, что и позволило изучить образец. Из интересного, новые методы самошифрования маяка для обхода сканов памяти на предмет вредоносных dll-ок. Пока следов использования ломаного фреймворка злоумышленниками в сетевых дебрях не замечено. Но ознакомиться с перспективным новичком лишним не будет.
@tomhunter
🔥6❤4🤔1