T.Hunter
14.7K subscribers
2.83K photos
16 videos
2.93K links
Tom Hunter news | tomhunter.ru
📔 https://dzen.ru/tomhunter
🤳 https://vk.com/tomhunter
📱 +7 (812) 677-17-05
📧 contact@tomhunter.ru
Хэштеги: #OSINT #news #cve #article #decoder #anon
6780098298
Download Telegram
#news Пророссийские хакеры из Killnet продолжают дудосить сайты по следам геополитических волнений. Вчера ненадолго прилёг сайт Европарламента – вечером его президент сообщила о мужественно отбитой их IT-спецами изощрённой атаке. Связано это всё, как водится, с актуальной новостной повесткой.

Такие DDoS-атаки по сайтам имеют больше психологический эффект, чем реально сказываются на работе инфраструктуры. Но наблюдать за отголосками политических баталий в сети всё равно занятно. Да и не каждый день на серьёзном новостном портале увидишь скриншоты подобного содержания. Интересно, догадались ли они прогнать пост через переводчик или просто опубликовали по принципу «‎И так сойдёт»?

@tomhunter
😁21🤡6🔥4🎉2
#news Онлайн-сервис для подмены телефонов iSpoof приказал долго жить. И избавляться от всех следов пользования – 142 связанных с ним человека были арестованы, включая админов и предполагаемого владельца. Из них больше ста в Лондоне.

Сервис был в ходу у злоумышленников для социнженерии, фишинга и скама от лица банков и других организаций. Однако голландская полиция нашла их сервера в Алмере, городке под Амстердамом, и поставила на них прослушку. Международное расследование шло больше полутора лет и достигло кульминации в начале ноября. Сейчас полиция активно деанонимизирует пользователей сервиса. В общем, Европол объявил неделю арестов, число звонков из техподдержки банков снизилось втрое.

@tomhunter
🔥17😁6
#news Исследователи обнаружили, что группировка Bahamut использует троянизированные версии SoftVPN и OpenVPN под Андроид для шпионажа. Распространяют зловред через фейковый сайт под видом легитимного SecureVPN. Троянский VPN работает исправно, но крадёт контакты, логи, геолокацию, смс и переписку из полдюжины мессенджеров.

К счастью, в магазине Гугла малварь не светилась – видимо, распространяли точечно по конкретным жертвам кампании. Bahamut активны года с 2016-го и были замечены в шпионаже на Ближнем Востоке и в Южной Азии. А так, новость прямо под блогеров с низкой социальной ответственностью, постящих байки про VPN за мелкий прайс. Monero троянец от Bahamut, конечно, не майнит и телефон пять раз за день не разрядит. Но с кражей инфы справляется на отлично.

@tomhunter
😁10🔥2
#news Пока Маск развлекается со своей новой игрушкой, появляются новые истории по следам API-уязвимости, исправленной в январе этого года. База на 5,5 миллионов юзеров, которая была в продаже в июле, теперь в свободном доступе. И всплыла ещё одна, как утверждают, на 17 с лишним миллионов записей. Тем же багом по API были вытянуты профили с Twitter ID, а также телефоны и ящики.

Данные от конца 2021-го, и кто их наскрапил, неясно. Но с этим API-эксплойтом, видимо, успел поиграться далеко не единственный злоумышленник. Твиттер о новом дампе пока молчит, а безопаснику, первым сообщившему о масштабной утечке, и вовсе быстро заблокировали аккаунт. Ну, оказавшейся в руках эксцентричного миллиардера синей птичке сейчас немного не до того. Её и без новых сливов неплохо так лихорадит.

@tomhunter
🔥10😁3🤡1
#news О неловких моментах в буднях киберпреступников всегда забавно писать. Так, ребята из группировки Ragnar Locker выложили в открытый доступ инфу, украденную, как они думали, у муниципалитета городка Звейндрехт в Бельгии. Да только это оказалась база одноимённого крупного отделения полиции с криво настроенным Citrix-эндпоинтом. И понеслась…

Теперь неладно что-то в Бельгийском королевстве – утечка крупнейшая в истории госслужб страны: в базе все данные отделения с 2006-го года по сентябрь нынешнего. Штрафы, уголовные дела, протоколы следствия, записи с дорожных камер, смс-переписка подследственных… Попавшим в слив счастливчикам рекомендуют менять всё вплоть до паспортов. Между тем Рагнару Локеру не позавидуешь – внимания они к себе привлекли знатно. Как бы в следующий раз они не перепутали сельскую администрацию с брюссельским отделением Европола…

@tomhunter
😁19🤯5🔥1
#news Когда-нибудь задумывались, как может выглядеть удачная малварь-кампания в Тик Токе? Само собой, под стать платформе. Пока юные дарования по следам нового тренда записывают якобы голые видео со скрывающим тело фильтром, злоумышленники распространяют зловред под видом софта для удаления фильтра.

В ходу у них WASP Stealer для кражи аккаунтов в Дискорде, паролей, кредиток и кошельков из браузера. И кампания настолько успешна, что репозиторий с малварью в трендовых проектах на Гитхабе с 18 форками. Плюс ворох подгружаемых на PyPI пакетов. У видео, продвигающих малварь, мгновенно миллионы просмотров и десятки тысяч страждущих на Дискорд-серверах. Увы, оголёнными в итоге остаются только несостоявшиеся вуайеристы.

@tomhunter
😁13🔥2
#news Пока в России весь год гремят бесчисленные сливы данных, и компании дружно изворачиваются, выбивая поблажки к закону об утечках, в Австралии решили проблему радикально. По следам недавних взломов максимальный штраф подняли до AU$50 миллионов, почти в 25 раз. Закон также расширяет права регуляторов по работе с утечками данных.

Что занятно, компаниям грозит потеря 30% от выручки за определённый период. Который считается от момента взлома до конца месяца, когда вопрос с утечкой официально решён. Как утверждают, закон как бы намекает компаниям, что крупные утечки данных не должны больше считаться издержками ведения бизнеса. Ну а нам пока остаётся только делать ставки, когда уже для российских компаний издержки от утечек данных миллионов юзеров перестанут равняться чему-то вроде зарплаты джуна.

@tomhunter
🔥13😁4
#news Будете смеяться, но LastPass опять подвергся взлому. В августе злоумышленники стянули их исходники и техдокументацию, а теперь получили доступ к стороннему облачному хранилищу, используя украденную ранее инфу. Ну а в хранилище, как водится, пользовательские данные.

Компания пока не спешит делиться подробностями, скрываясь за размытой формулировкой «‎определённые элементы пользовательской информации». Так что масштабы утечки станут ясны позднее. Как обычно, заверяют, что пароли в безопасности – у нас всё зашифровано и архитектура нулевого разглашения, все дела. Пароль-то, может, и последний, а вот взлом оказался совсем не последним.

@tomhunter
😁11🔥1🎉1
#news Исследователи из Akamai нечаянно положили заразивший их устройство ботнет, пока изучали его функционал. Написанный на Go криптоботнет KmsdBot попался в их ловушку, и безопасники отправили несколько команд для его тестирования. Однако ж, опечатка в команде ботнет наглухо поломала – проверки на ошибки в нём не было, и малварь покрашилась.

Ботнет в итоге лишился связи с C2-сервером и перестал получать команды – кривой запрос положил весь его код на заражённых машинах. Ну а так как функционала для закрепления в системе в ботнете не было, теперь его только с нуля пересобирать. Лица злоумышленников представили? Бонусом простенькая задачка на поиск ошибки в команде на скриншоте.

@tomhunter
😁23🤡3🤔1🤬1🎉1
Ноябрь 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
🔥10🤡2
#news У аналитиков Гугла любопытный отчёт об одной коммерческой спайварь-компании из Испании. За полупустым сайтом скрываются ушлые ребята, чьи «решения по обеспечению безопасности»‎ – это фреймворки с эксплойтами под старые нулевые дни в Хроме, Файрфоксе и Винде. Со всем функционалом для доставки малвари, видимо, под запросы клиента. Техдетали по ссылке.

Как пишут в отчёте, расцвет коммерческой индустрии слежки несёт угрозу безопасности, так как даёт государству инструменты для шпионажа за журналистами и диссидентами. Корпоративное зло борется с госконкурентами за право за нами следить, в общем. Такой вот пятничный киберпанк вам в ленту.

@tomhunter
😁8🔥4💩3
#news Облачный хостинг Rackspace переживает не лучшие времена. Уже три дня лежат хостящиеся у них сервисы Microsoft Exchange, клиенты по полдня висят на звонках в техподдержку, не могут толком восстановить почту при миграции на 365 и ничего не знают о происходящем. Компания не сообщает ни о причинах, ни об утраченных данных или утечках, ни о сроках восстановления.

Между тем в Rackspace подтвердили, что у них был, что называется, ИБ-инцидент. А вот насчёт него уже есть занятные спекуляции: в ход могла пойти ProxyNotShell. Один безопасник через Shodan нашёл у компании Exchange-сервер, предположительно, не патченный с августа. Тогда на месте ответственного за сервер инженера я бы уже паковал чемоданы для поспешного отъезда куда-нибудь в Аргентину. Так, на всякий случай.

@tomhunter
🔥10😁5
#news У Кребса увлекательные приключения двух русских, судящихся с Гуглом из-за ботнета Glupteba. Преступную деятельность они отрицали, но от предписания суда на её запрет морозились. Были готовы пойти на сделку и разобрать ботнет, но когда надо было это доказать, выяснилось, доступа у них якобы почти год как нет. А адвокат об этом знал и врал в суде.

Потом наши шельмецы пытались договориться с Гуглом приватно: биткоин-адреса ботнета (которых у них нет, но если согласитесь, будут), обещание больше не шалить (без признания прежних шалостей) и небольшой бонус. По миллиону долларов каждому и $110 тысяч на расходы адвокату. Гугл вымогательство не оценил и сообщил суду. Судья тоже это не оценил, закрыл дело в пользу Гугла и наказал адвокату выплачивать судебные издержки компании вместе с подзащитными. Ибо задолбал. Потрясающая история, готовый сценарий для комедии из 90-х с Джимом Керри: Лжец, снова лжец и ботнет.

@tomhunter
😁8🤡3🔥2
#news Пока новый AI-инструмент OpenGPT гремит в сети стандартным набором страшилок и проблематичных ответов, спецы из Bleeping Computer поигрались с ним через призму инфобеза. Получилось занятно: так, AI-бот с лёгкостью написал фишинговое письмо и даже простенькую JS-малварь.

Письмо от лица банка получилось вполне убедительным и без привычных ошибок зарубежного фишера. И зловред для поиска данных с банковских карточек услужливый бот написал для потенциальных скрипт-кидди в считанные секунды. Такими темпами гений-из-машины не только оставит сотни тысяч людей без работы, но и рискует стать впечатляющим подспорьем на киберпреступном поприще. Вопрос на засыпку: вытеснит ли кремниевый злоумышленник нигерийских королей BEC-атак из бизнеса?

@tomhunter
😁14🔥3🤯3
С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также, само собой, наиболее примечательные взломы из финального аккорда осеннего сезона. За подробностями добро пожаловать на Хабр!
6🔥1
#news В Rackspace помялись пару дней и подтвердили предсказуемое: за отключением хостящихся у них ME-серверов стояла рансомварь-атака. Но сколько клиентов затронуты, кто их взломал и как, сколько времени займёт восстановление и украдены ли данные – об этом ни слова. Будут и дальше цедить инфу по ложечке, пытаясь сохранить лицо.

Тем временем одной юридической фирме в Калифорнии такие заходы не понравились, и они решили засудить Rackspace под шумок. Возмущены дырявыми системами и слабой поддержкой клиентов. Не то чтобы это необычно для земли свободных быть осуждёнными, но звоночек для компании тревожный. Особенно если завтра взломавшие их злоумышленники ехидно выставят данные на продажу.

@tomhunter
🔥7😢1
#news У злоумышленников набирает популярность даркнет-сервис, позволяющий подсаживать вредоносный код в легитимные приложения под Андроид. Разработчики утверждают, что их сборки не детектируются при работе и обходят защиту Google Play. Основное требование к приложению – чтобы его можно было декомпилировать apktool.

Для обхода обнаружения вредонос грузится под видом плагина после установки. Вредоносный код небольшими кусками байндится к исходному, отсюда меткое название дроппера – Zombinder. В сетевых дебрях уже замечены инфостилеры Ermac и Xenomorph, подсаженные к полудюжине приложений. Так между чат-ботами, пишущими за тебя фишинговые письма, и подобными сервисами порог вхождения для начинающих мамкиных киберпреступников становится совсем низким.

@tomhunter
🔥8🤔2
#news Новые методы шантажа и проникновения в системы у рансомварщиков не иссякают. Так, группировке Venus не везёт на выплаты по взломам. Поэтому они экспериментируют с подлогом имейлов в ящики топ-менеджеров в американских компаниях с помощью pst-файлов в Outlook. А в них переписка об инсайдерской торговле – до 20 лет тюрьмы. Расчёт на выкуп в обмен на отказ от публикации подложных писем, грозящих серьёзным скандалом.

А вот у CLOP, наоборот, проблемы с доступом к сетям, так что новый вектор атаки – засылка малвари в больницы под видом медицинских документов потенциального пациента для онлайн-консультации. Судя по их перехваченной переписке, метод сработал уже дважды. Что сказать, киберпреступная голь на выдумки хитра.

@tomhunter
🔥7🤬1
#news Мог ли декабрь обойтись без новостей об утечках от российских компаний? Конечно, нет. Сегодня в эфире свежак от «Вкусвилл»: почти 250к уникальных номеров и столько же ящиков, инфа по заказам с 5 по 7 декабря, последние цифры номеров карт. Имена, адреса и карточки полностью якобы не утекли, и на том спасибо.

Пока в компании продолжается внутреннее расследование по следам «закрытой в первые часы» уязвимости, можно погадать над тем, какие санкции их ждут. В ноябре, например, по коллективному иску к «Яндекс.Еде» 13 случайным счастливчикам из 20 присудили компенсацию. Аж по 5 тысяч рублей. Главное, после этого было ненароком не отпраздновать победу сэндвичем из «Вкусвилл» с доставкой на дом.

@tomhunter
😁14🔥3
#news Неугомонный Мордекай Гури опубликовал новую работу по краже данных с не подключённых к сети компьютеров. На этот раз подсаженная на машину малварь не мигает индикаторами, а регулирует нагрузку на процессор и его частоту. За счёт этого блок питания излучает низкочастотную электромагнитную волну, которая и передаёт информацию.

Атака получила ехидное название COVID-bit в силу того, что работает на расстоянии до двух метров. На ПК с приемлемой частотой битовых ошибок удалось добиться скорости до килобита в секунду. А вот блоки питания ноутбуков генерируют более слабый сигнал. Приёмником может быть смартфон с рамочной антенной, причём он может находиться и за стеной от компьютера. Любители шпионской инфобез-романтики могут ознакомиться с техдеталями по ссылке.

@tomhunter
🔥263💯1
#news У Uber очередная утечка данных. На этот раз им досталось по касательной после взлома Teqtivity, обслуживающей их IT-активы компании. В слитых архивах сотни тысяч имейлов сотрудников, отчёты, прочая корпоративная инфа. Плюс исходники Teqtivity для работы с сервисами Uber. Всего 20 миллионов записей.

Между тем хакер c шуточками и отсылочками к Lapsus$ опубликовал четыре архива с MDM-данными Uber, Uber Eats, Teqtivity и TripActions. Но, похоже, помимо стянутого у Tequtivity в архивах ничего интересного, и в Uber заявляют, что ни с Lapsus$, ни с недавним взломом утечка не связана, и их системы не затронуты. Тем не менее, со сливом рабочих имейлов Uber их сотрудников теперь ждёт увлекательная фишинг-игра «‎Обмани меня, если сможешь» со злоумышленниками, которые не прочь повторить сентябрьские успехи юных дарований из Lapsus$. Скучающие подростки их уже ломали. Кто следующий?

@tomhunter
🔥6🤔2