#news На PyPI засветилась малварь с интересным функционалом. Шесть пакетов с кейлоггером и инфостилером, тянущим кошельки, пароли с браузеров и данные с Телеграма и Дискорда. Но помимо этого вредонос ставит на машину жертвы Cloudflare Tunnel для обхода фаерволов.
А через туннель малварь подключается к трояну удалённого доступа xRAT c кучей функций. Вплоть до импровизированной трансляции экрана жертвы в формате «скриншот в секунду», включающейся при любой активности юзера. Зловред успел набрать ~1000 установок, и при заражении, ещё раз: стягивает кучу инфы, прописывается в системе, накатывает кейлоггер, Cloudflare-туннель и троян для удалёнки. Такой вот комбо-зловред на стероидах. Чтобы не расслаблялись.
@tomhunter
А через туннель малварь подключается к трояну удалённого доступа xRAT c кучей функций. Вплоть до импровизированной трансляции экрана жертвы в формате «скриншот в секунду», включающейся при любой активности юзера. Зловред успел набрать ~1000 установок, и при заражении, ещё раз: стягивает кучу инфы, прописывается в системе, накатывает кейлоггер, Cloudflare-туннель и троян для удалёнки. Такой вот комбо-зловред на стероидах. Чтобы не расслаблялись.
@tomhunter
🔥10💩2🤯1
#news Сегодня завершилась ESU-поддержка почтенного старичка Windows 7 – больше Enterprise и Professional не будут получать критические и важные обновления. Вместе с ним любители странного прощаются и с Windows 8.1, ESU-программу которого тоже свернули.
Вслед за Майкрософт поддержку системы прекращают и браузеры, включая Хром – с версии 110 обновлений и фиксов под семёрку больше не будет. Между тем система занимает почётные 11 процентов от установленных на рынке Винды, всё ещё обитая на десятках миллионов машин. Грядущий ажиотаж вокруг нулевых дней в лишившемся поддержке софте можно представить уже сейчас. Ну а тем, кого от новости обдало волной безмерной грусти и ностальгии, остаётся только сказать: «Добрых снов, старина».
@tomhunter
Вслед за Майкрософт поддержку системы прекращают и браузеры, включая Хром – с версии 110 обновлений и фиксов под семёрку больше не будет. Между тем система занимает почётные 11 процентов от установленных на рынке Винды, всё ещё обитая на десятках миллионов машин. Грядущий ажиотаж вокруг нулевых дней в лишившемся поддержке софте можно представить уже сейчас. Ну а тем, кого от новости обдало волной безмерной грусти и ностальгии, остаётся только сказать: «Добрых снов, старина».
@tomhunter
😢20🎉4❤1🤡1
#news 2020-е не балуют летающими авто и прочей пока несбывшейся футорологией. Но в качестве утешения приходят новости о том, как исследователи ищут пути обхода защиты ИИ, чтобы обучать его писать вредоносный код. Так, атака «Trojan Puzzle» обходит важное ограничение – статическое обнаружение и очистку данных на основе сигнатур.
В предыдущих вариантах таких атак расчёт идёт на внедрение вредоносного кода в публичные репозитории, на которых обучается ИИ-ассистент, открыто или в докстрингах. Trojan Puzzle же прячет нагрузку в коде по частям и натаскивает модель воспроизводить её по определённым словам/фразам в качестве триггера. Существующие методы защиты здесь неэффективны, и к отслеживанию заражённых моделей потребуется более креативный подход. Подробнее о троянском пазле по ссылкам.
@tomhunter
В предыдущих вариантах таких атак расчёт идёт на внедрение вредоносного кода в публичные репозитории, на которых обучается ИИ-ассистент, открыто или в докстрингах. Trojan Puzzle же прячет нагрузку в коде по частям и натаскивает модель воспроизводить её по определённым словам/фразам в качестве триггера. Существующие методы защиты здесь неэффективны, и к отслеживанию заражённых моделей потребуется более креативный подход. Подробнее о троянском пазле по ссылкам.
@tomhunter
🔥8🤔1🤯1
#news Твиттер вышел из праздничной спячки и отреагировал на всплывшие в последние недели сливы пользовательских данных. Ответ убил: «А это не наши данные». Увы, компания не нашла доказательств, что базы собрали из их систем через какой-либо эксплойт. «Ни один из проанализированных массивов данных не содержал паролей или информации, которая могла бы привести к компрометации паролей». Как связаны пароли и пресловутый скрапер по API? Загадка.
Как в базах оказались связанные с аккаунтами пользователей ящики, компания тоже не объясняет. Собрано из других источников, и всё тут. Звучит так, будто компанию купил некий Илон Масков и принёс неповторимую культуру работы с утечками. Осталось разыграть 70 баксов компенсации между дюжиной недовольных юзеров, и добро.
@tomhunter
Как в базах оказались связанные с аккаунтами пользователей ящики, компания тоже не объясняет. Собрано из других источников, и всё тут. Звучит так, будто компанию купил некий Илон Масков и принёс неповторимую культуру работы с утечками. Осталось разыграть 70 баксов компенсации между дюжиной недовольных юзеров, и добро.
@tomhunter
😁12❤1
Декабрь остался в прошлом, так что, отойдя от праздничных увеселений, подводим его итоги дайджестом самых значимых инфобез-новостей. Последний месяц 2022-го принёс неприятное обновление по следам очередного взлома LastPass и ещё одну базу данных пользователей Твиттера, собранную через пресловутую API-уязвимость. Полезные ИБ-инструменты от Гугла и Гитхаба, новые изыскания Мордекая Гури и взорвавший сеть AI-инструмент OpenGPT, чьим впечатляющим возможностям нашлось применение и в сфере инфобезопасности. За подробностями добро пожаловать на Хабр!
❤4🔥1
#news IoT-устройствами, заражёнными малварью, никого не удивишь. Но как насчёт домашних гаджетов с заботливо предустановленным вредоносом этим пятничным вечером? Так, сисадмин из Канады купил на Амазоне дешёвую ТВ-приставку на Андроид 10 и обнаружил в ней продвинутую малварь, окопавшуюся прямиком в прошивке.
Приставка из Китая, и, до производителя, как водится, не достучаться. Между тем на устройстве в ПЗУ прописалась малварь CopyCat. Доступ к файловой системе, удалённое управление, установка софта и произвольные команды с расчётом на подключение через Debug Bridge Андроида. Вплоть до попытки подтянуть дополнительную нагрузку. Как малварь попала на устройство и насколько широко распространена по линейке/производителю, неясно. Где-то на пути гаджета по Китаю очумелые APT-ручки занялись самодеятельностью? Оставлю конспирологию на ваше усмотрение.
@tomhunter
Приставка из Китая, и, до производителя, как водится, не достучаться. Между тем на устройстве в ПЗУ прописалась малварь CopyCat. Доступ к файловой системе, удалённое управление, установка софта и произвольные команды с расчётом на подключение через Debug Bridge Андроида. Вплоть до попытки подтянуть дополнительную нагрузку. Как малварь попала на устройство и насколько широко распространена по линейке/производителю, неясно. Где-то на пути гаджета по Китаю очумелые APT-ручки занялись самодеятельностью? Оставлю конспирологию на ваше усмотрение.
@tomhunter
🤔9😁2
#news Правительство Китая опубликовало занятный документ с планами развития местной инфобез-индустрии. Задумали рост в 30 процентов в год, до $22 миллиардов оборота к 2025-му. В планах пять новых лабораторий, до пяти технопарков, десяток демонстрационных площадок и разработка продуктов, способных конкурировать на международном рынке. Всё это, как водится, на ИИ и блокчейне.
Заходы про продукты для глобального рынка звучат, пожалуй, наиболее амбициозно. С учётом того, что китайскому железу доверяют всё меньше – к примеру, в штатах в том году запретили продажу средств связи и видеонаблюдения от Huawei и ZTE. С другой стороны, амбициям сумрачного китайского гения-то можно только позавидовать – это вам не льготная ипотека для айтишников под пять процентов годовых.
@tomhunter
Заходы про продукты для глобального рынка звучат, пожалуй, наиболее амбициозно. С учётом того, что китайскому железу доверяют всё меньше – к примеру, в штатах в том году запретили продажу средств связи и видеонаблюдения от Huawei и ZTE. С другой стороны, амбициям сумрачного китайского гения-то можно только позавидовать – это вам не льготная ипотека для айтишников под пять процентов годовых.
@tomhunter
🔥11😁5
#news В сети замечен любопытный бэкдор, названный xdr33. А примечателен он тем, что основан на пакете малвари Hive от хакеров из ЦРУ, исходники которого в 2017-м слили на Викиликс. При этом он ещё и подписан поддельным сертификатом Касперского.
Бэкдор рассчитан на сбор информации и дальнейшие атаки по скомпрометированным сетям. В функционале скачивание и закачка900TB ЦП файлов хосту, команды через cmd, запуск шелл-скриптов и маскировка следов своего присутствия. От Hive малварь отличается улучшенным C2-функционалом и работой по известной уязвимости в устройствах от F5. Так как изменения в коде не особо впечатляющие, исследователи предполагают, что это не продукт дальнейшей црушной работы, а кустарная разработка. Такой вот занятный путь малвари из кибер-отдела ЦРУ в загребущие хакерские ручки.
@tomhunter
Бэкдор рассчитан на сбор информации и дальнейшие атаки по скомпрометированным сетям. В функционале скачивание и закачка
@tomhunter
❤7🔥3😁3
Для всех любителей и профессионалов OSINT. В очередной своей статье на Хабре я разобрал то, почему многие, до сих пор ставят знак равно между OSINT и Google. Что такого сделал Google для конкурентной разведки? Какие сервисы, используемые OSINT-ерами, компания разработала? Получилось интересно и познавательно... Ссылка ниже.
https://habr.com/ru/company/tomhunter/blog/711146/
@tomhunter
https://habr.com/ru/company/tomhunter/blog/711146/
@tomhunter
Хабр
ГУГЛОСИНТ или какие еще сервисы GOOGLE помогают при проведении OSINT
Долгое время OSINT на Западе ассоциировался исключительно с гуглением — поиском информации через Google. Это привело меня к желанию понять роль сервисов компании Google при работе специалиста по...
🔥9❤2
#news Исследователи из Horizon3 тактично предупреждают, что на неделе опубликуют PoC к критической уязвимости в софте от Zoho. CVE-2022-47966 почти во всей линейке ManageEngine на выполнение произвольного кода с элементарным эксплойтом.
Компания исправила уязвимость в конце октября 2022-го, между тем Shodan находит тысячи непатченных серверов только для пары продуктов из линейки. Из них уже процентов десять уязвимы к атакам. Пока их в сетевой глуши замечено не было, но индикаторы компрометации команда уже опубликовала. Ну а уже через несколько дней начнётся увлекательная игра «Пропатчь меня, если успеешь» для ленивых админов. Можно делать ставки, придётся ли ФБР в этот раз выпускать уведомления с призывом ставить патчи к тем, кого даже грядущий шторм безадресных атак не разбудил.
@tomhunter
Компания исправила уязвимость в конце октября 2022-го, между тем Shodan находит тысячи непатченных серверов только для пары продуктов из линейки. Из них уже процентов десять уязвимы к атакам. Пока их в сетевой глуши замечено не было, но индикаторы компрометации команда уже опубликовала. Ну а уже через несколько дней начнётся увлекательная игра «Пропатчь меня, если успеешь» для ленивых админов. Можно делать ставки, придётся ли ФБР в этот раз выпускать уведомления с призывом ставить патчи к тем, кого даже грядущий шторм безадресных атак не разбудил.
@tomhunter
❤4😁2🔥1
#news Killnet продолжает свой крестовый поход против этого их проклятого Запада и у них по-прежнему своя атмосфера. На этот раз группировка сообщила о взломе Налоговой службы США совместно с некой белорусской Infinity Hackers BY. С помощью фишинга по сотруднику. Подставной копией Порнхаба.
В итоге они стянули его куки, а затем и базу на 198 миллионов строк данных юзеров, включая логины и пароли. Захешированы они были MD5 и традиционно переиспользованы в соцсетях, онлайн-банках и прочих местах. Группировка заявляет, что будет публиковать куски базы «в ответ на агрессию США в адрес РФ и Белоруссии». Ну а сотруднику IRS, попавшемуся на таком конфузе на рабочем месте, можно только посочувствовать. Ты правда думал, что по ссылке тебя ждут обольстительные красотки? Это русские хакеры, Джонни. Никогда не забывай об этом.
@tomhunter
В итоге они стянули его куки, а затем и базу на 198 миллионов строк данных юзеров, включая логины и пароли. Захешированы они были MD5 и традиционно переиспользованы в соцсетях, онлайн-банках и прочих местах. Группировка заявляет, что будет публиковать куски базы «в ответ на агрессию США в адрес РФ и Белоруссии». Ну а сотруднику IRS, попавшемуся на таком конфузе на рабочем месте, можно только посочувствовать. Ты правда думал, что по ссылке тебя ждут обольстительные красотки? Это русские хакеры, Джонни. Никогда не забывай об этом.
@tomhunter
🔥21🤡17😁9💩3🤔2
#news Весь прошлый год ежемесячно всплывали новости о сливах наших личных данных, и вот неутешительный итог: суммарно утечки затронули 99,8 миллионов уникальных e-mail и 109,7 миллионов телефонных номеров. Из расчёта, что у большинства есть лишь один номер телефона, исследователи делают вывод, что утекли данные 75% всех жителей России. Звучит натянуто, но цифры, тем не менее, внушительные.
При этом за 2022-й исследователи насчитали 60 крупных утечек данных – для сравнения, суммарно за три года до этого был лишь 41 подобный случай. Остаётся утешить себя тем, что новые рекорды в 2023-м мы вряд ли увидим. На новый рекорд столько абонентов-то уже не наберётся.
@tomhunter
При этом за 2022-й исследователи насчитали 60 крупных утечек данных – для сравнения, суммарно за три года до этого был лишь 41 подобный случай. Остаётся утешить себя тем, что новые рекорды в 2023-м мы вряд ли увидим. На новый рекорд столько абонентов-то уже не наберётся.
@tomhunter
🔥7🤯4💯3😁1🎉1
#news Первый крупный криптоарест 2023-го в эфире: в США был арестован владелец биржи Bitzlato, Анатолий Легкодымов, он же Gandalf и Tolik. 40-летний уроженец России заправлял биржей с нулевой KYC-политикой и маркетингом с расчётом на киберпреступников в формате «вопросов не задаём». В итоге одна только Гидра успела пропустить через биржу больше 700 миллионов долларов.
Сама же Bitzlato на февраль 2022-го получила почти полмиллиарда долларов от маркетплейсов, скамов и рансомварь-атак. И половина из прошедших через неё $2,5 миллиардов была с нелегальных дел. Что ж, дальнейшей судьбе русского Гэндальфа и его волшебного ландромата не позавидуешь. Успел ли он маякнуть в чаты сообщникам «Бегите, глупцы?»
@tomhunter
Сама же Bitzlato на февраль 2022-го получила почти полмиллиарда долларов от маркетплейсов, скамов и рансомварь-атак. И половина из прошедших через неё $2,5 миллиардов была с нелегальных дел. Что ж, дальнейшей судьбе русского Гэндальфа и его волшебного ландромата не позавидуешь. Успел ли он маякнуть в чаты сообщникам «Бегите, глупцы?»
@tomhunter
😁11🔥2🤔1
#news PayPal запоздало сообщает о взломе: с 6 по 8 декабря злоумышленники получили доступ к 35,000 аккаунтов подстановкой учётных данных. Да, 35 тысяч сумрачных гениев использовали один утёкший пароль для кошелька и прочих ресурсов – почты, фейсбука, может, сайтов с тамагочи и рецептами на бесплатной версии WordPress.
Тем не менее, владельцам в какой-то мере повезло: компания утверждает, что вовремя заметила активность и сбросила пароли. Движения средств со счетов не было. Но у хакеров был доступ к именам, адресам, страховым и налоговым адресам жертв. А также истории переводов, данным привязанных карт и чекам. Пострадавшие счастливчики получат от PayPal два года защиты идентичности по программе от кредитного бюро Equifax. Что, конечно, хороший жест. Но я бы ещё FAQ по установке пароля к кошельку на почту прислал.
@tomhunter
Тем не менее, владельцам в какой-то мере повезло: компания утверждает, что вовремя заметила активность и сбросила пароли. Движения средств со счетов не было. Но у хакеров был доступ к именам, адресам, страховым и налоговым адресам жертв. А также истории переводов, данным привязанных карт и чекам. Пострадавшие счастливчики получат от PayPal два года защиты идентичности по программе от кредитного бюро Equifax. Что, конечно, хороший жест. Но я бы ещё FAQ по установке пароля к кошельку на почту прислал.
@tomhunter
🔥10😁3❤1
2023-й полностью вступил в свои права, так что время напоследок оглянуться на ушедший год и самые крупные новости инфобеза сезона 2022, чтобы морально подготовиться к тому, что нас ждёт в этом году. Прошлый же был богат на громкие аресты, падения зубров киберпреступного рынка, всевозможные взломы и прочие увлекательные события. Всем желающим вспомнить всё примечательное из мира инфобеза оставшегося позади года, добро пожаловать на наш Хабр!
🔥7❤3
#news Новинка в копилку вложений с малварью – теперь зловред затесался и в OneNote. Макросы он не поддерживает, вместо этого OneNote в свою очередь позволяет вставлять вложения в свои файлы. Ну а так как они выглядят, как иконки файлов, злоумышленники прячут их под большой плашкой «Кликни меня». А под ней уже VBS-файлы в ряд для запуска скриптов, подтягивающих малварь.
Плашку об опасности открытия вложений OneNote выдаёт, но пользователи-то как всегда. Вектор атаки в ходу с середины декабря. Так что если вы ещё не блокируете .one-файлы на своих шлюзах электронной почты, сейчас самое время. Эй, юзер! Мы вложили вложения в твои вложения, чтобы ты мог качать малварь, пока качаешь малварь! Но лучше не стоит.
@tomhunter
Плашку об опасности открытия вложений OneNote выдаёт, но пользователи-то как всегда. Вектор атаки в ходу с середины декабря. Так что если вы ещё не блокируете .one-файлы на своих шлюзах электронной почты, сейчас самое время. Эй, юзер! Мы вложили вложения в твои вложения, чтобы ты мог качать малварь, пока качаешь малварь! Но лучше не стоит.
@tomhunter
❤6🔥2😁2
#news В клиенте для ПК GTA Online обнаружилась критическая уязвимость, удостоившаяся CVE. А эксплойты к ней выдал разработчик чита North GTA online. 20 января сверхразум добавил в версию 2.0.0 возможности обнулять баланс любых игроков онлайн, корраптить аккаунты и банить их. На следующий день товарищ раскаялся и фичи убрал, но уже было поздно.
Форум Rockstar завален репортами, а RCE-уязвимость вполне может идти дальше игрового клиента — злоумышленники сейчас активно ищут возможность её использовать. Так что если среди вас есть любители криминального симулятора, до выхода фикса лучше его не запускать.
@tomhunter
Форум Rockstar завален репортами, а RCE-уязвимость вполне может идти дальше игрового клиента — злоумышленники сейчас активно ищут возможность её использовать. Так что если среди вас есть любители криминального симулятора, до выхода фикса лучше его не запускать.
@tomhunter
🔥8🤔4😁2💯1
#news Майкрософт планирует добавить автоматическую блокировку для всех XLL-файлов, скачиваемых из интернета. К марту фича будет доступна повсеместно, чтобы закрыть вектор атаки, в качестве которого выступали эти файлы в последние годы.
XLL-ки светились в атаках с середины 2017-го года в качестве инструмента доставки всевозможной малвари. Несмотря на то, что в обычных вложениях их не встретишь, злоумышленники вполне успешно использовали их в фишинговых атаках. И за последние пару лет их стали засылать многократно чаще, так что блокировка весьма своевременная. Всё равно юзера не заставишь запомнить, что XLL-файлы только для админа, и на них не надо кликать. Спасибо, Майкрософт.
@tomhunter
XLL-ки светились в атаках с середины 2017-го года в качестве инструмента доставки всевозможной малвари. Несмотря на то, что в обычных вложениях их не встретишь, злоумышленники вполне успешно использовали их в фишинговых атаках. И за последние пару лет их стали засылать многократно чаще, так что блокировка весьма своевременная. Всё равно юзера не заставишь запомнить, что XLL-файлы только для админа, и на них не надо кликать. Спасибо, Майкрософт.
@tomhunter
🔥8🤔1🎉1
#news iOS 16.3 и Макось 13.2 радуют юзеров долгожданной поддержкой электронных ключей. С подключением через USB-C-переходник или NFC. Для активации понадобятся два ключа – один про запас. И фишинговые атаки для кражи Apple ID и 2FA-паролей резко потеряют для юзера актуальность.
Как ни странно, вместе с обновлением не выпустили единственно совместимые ключи всего по 999 баксов за штуку. Мануал приводит несколько подходящих от Yubico и FEITAN, работает тот же Google Titan. Может, Apple Pro SecKey торжественно представят осенью. А пока любители яблочных поделий могут наслаждаться лёгким послаблением проприетарного режима и улучшенной безопасностью.
@tomhunter
Как ни странно, вместе с обновлением не выпустили единственно совместимые ключи всего по 999 баксов за штуку. Мануал приводит несколько подходящих от Yubico и FEITAN, работает тот же Google Titan. Может, Apple Pro SecKey торжественно представят осенью. А пока любители яблочных поделий могут наслаждаться лёгким послаблением проприетарного режима и улучшенной безопасностью.
@tomhunter
😁11🔥4
#news GoTo вслед за LastPass сообщает о промежуточных итогах расследования после взлома облака в ноябре. Результаты неутешительные: злоумышленники стянули зашифрованные бэкапы пользовательских данных и ключ шифрования к их части.
Затронуты аккаунты Central и Pro: имена и хешированные пароли юзеров, инфа по деплойменту, инициализации и двухфакторке, а также по покупке – имейлы, телефоны, расчётные адреса и последние четыре цифры с карт. Сколько пользователей затронуты, и какой стандарт шифрования у бэкапов, компания не сообщает. Следов доступа к своей девелоперской среде в GoTo пока не обнаружили. Но пользователей их сервиса это вряд ли особо утешит.
@tomhunter
Затронуты аккаунты Central и Pro: имена и хешированные пароли юзеров, инфа по деплойменту, инициализации и двухфакторке, а также по покупке – имейлы, телефоны, расчётные адреса и последние четыре цифры с карт. Сколько пользователей затронуты, и какой стандарт шифрования у бэкапов, компания не сообщает. Следов доступа к своей девелоперской среде в GoTo пока не обнаружили. Но пользователей их сервиса это вряд ли особо утешит.
@tomhunter
🔥4🤯1
#news В прошлую пятницу Riot Games сообщила о взломе: злоумышленники стянули исходники League of Legends, Teamfight Tactics и античит-софта Packman. Позавчера компания сообщила, что платить $10 миллионов выкупа отказалась. Ну а теперь украденные 72 гига исходников выставили на аукцион со стартовой ценой в миллион долларов.
Хакеры утверждают, что попали в системы компании с помощью социнженерии по СМС по одному из сотрудников. И провели в их сетях 36 часов, прежде чем были обнаружены, а изначальной их целью были исходники к античит-софту Vanguard. Сами же исходники в лучшем случае станут благодатной почвой для новых читов к игре, а в худшем – для эксплойта RCE-уязвимостей. Вот только окупит ли миллион баксов потенциальная возможность впарить детишкам очередной чит к LoL?
@tomhunter
Хакеры утверждают, что попали в системы компании с помощью социнженерии по СМС по одному из сотрудников. И провели в их сетях 36 часов, прежде чем были обнаружены, а изначальной их целью были исходники к античит-софту Vanguard. Сами же исходники в лучшем случае станут благодатной почвой для новых читов к игре, а в худшем – для эксплойта RCE-уязвимостей. Вот только окупит ли миллион баксов потенциальная возможность впарить детишкам очередной чит к LoL?
@tomhunter
🔥7🤔3😁2🎉1