#news К любопытным новинкам от мира рансомвари. Недавно обнаруженный вредонос Rorschach обладает уникальными фичами, среди которых частичная автономность и скорость шифрования. С объёмом данных, шифруемым LockBit 3.0 за 7 минут, новичок справился за 4.5 минуты. В сущности самый быстрый из отслеживаемых на сегодня энкрипторов.
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
🤯8❤5🔥3
#news Пока ФБР и Интерпол регулярно кладут маркетплейсы, форумы и прочие киберпрестные площадки, среди злоумышленников идёт тренд на децентрализацию. Так, Телеграм наводнили продавцы инструментов для фишинга. И спектр услуг довольно широк: готовые киты под всевозможные площадки, фейковые страницы для криптоскама, подписки на гайды, техподдержка и многое другое.
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
🔥7❤1😁1
#news Занятные подробности о разработке автопилота Tesla. В компании годами сидели специалисты, которые просматривали тысячи фото и видео с камер машин для распознания объектов. А так как коллектив был молодой и задорный, они делились в корпоративных и личных чатах кадрами и роликами. Смешные мемчики из животных и падающих прохожих. Несмешные сбитые дети. Совсем несмешные записи из гаражей, где машины стояли припаркованными и выключенными.
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
🔥7😁7
#news Встречайте кандидата на замену почившему Breached: на фоне вакуума, возникшего после его отключения, занять его стремится группировка ARES. Их платформа ARES Leaks в верхнем интернете используется для продажи всевозможной информации, от почтовых ящиков и паспортов до баз данных и правительственных утечек. И на поднятый ими в начале этого года форум LeakBase пошёл активный поток осиротевших злоумышленников с Breached.
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
❤6🔥3
#news MSI на днях подтвердила рансомварь-атаку, новости о которой появились на прошлой неделе. За ней стояла новая группировка Money Message, информация о которой появилась совсем недавно. Злоумышленники утверждают, что стянули 1,5TB документов, ключей и исходников, включая прошивку. Группировка требует $4 миллиона, иначе на этой неделе утечка пойдёт на их сайт.
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
🔥6😢5❤1
На Хабре вышел наш традиционный дайджест по следам ушедшего месяца. Так что если вы пропустили самые громкие новости марта, у нас в программе закрытие Breached и ещё одной киберпреступной платформы, ультразвуковые атаки, страсти по GPT-4 от экспертов и правительств, релиз исходников NordVPN и другие горячие события первого весеннего месяца. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥10❤1
#news Злоумышленники затопили репозиторий NPM пустыми пакетами с ссылками на вредоносные сайты для эксплойта запросов в поисковиках. Причём поток шёл такой, что число опубликованных версий скакнуло с ~800 тысяч до 1,42 миллиона пакетов, а сам репозиторий периодически был недоступен от такой импровизированной DoS-атаки.
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
🤔9😁7❤1🔥1
#news Майкрософт исправила нулевой день, активно используемый в атаках. Критическая уязвимость CVE-2023-28252 на эскалацию привилегий в драйвере CLFS затрагивает все поддерживаемые клиентские и серверные версии Windows и используется в простых атаках без участия юзера. Эксплойт ведёт к повышению прав до System со всем из этого вытекающим.
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
❤6🔥3😁1
#news WhatsApp представил новые фичи для защиты аккаунтов от кражи. Среди них внимания заслуживает «Device Verification»: фича блокирует перехват аккаунта юзера с помощью краденых ключей аутентификации и сторонних клиентов. Достигается это за счёт трёх новых параметров: токена безопасности на устройстве, проверки клиента при запросах на получение сообщений с сервера WhatsApp и асинхронного пинга по устройству.
Помимо этого, «Account Protect» добавляет дополнительный запрос в клиенте при попытке перевода аккаунта на другое устройство. А Automatic Security Codes позволяет автоматически валидировать ключи шифрования и проверить, включено ли сквозное шифрование. Новые фичи уже доступны под Андроид, «Device Verification» в процессе выхода под iOS. Так или иначе, скама с просьбой занять тысячу-другую от взломанных контактов в любимом мессенджере бабушки теперь должно стать меньше.
@tomhunter
Помимо этого, «Account Protect» добавляет дополнительный запрос в клиенте при попытке перевода аккаунта на другое устройство. А Automatic Security Codes позволяет автоматически валидировать ключи шифрования и проверить, включено ли сквозное шифрование. Новые фичи уже доступны под Андроид, «Device Verification» в процессе выхода под iOS. Так или иначе, скама с просьбой занять тысячу-другую от взломанных контактов в любимом мессенджере бабушки теперь должно стать меньше.
@tomhunter
🔥6❤4💩2😁1🤡1
#news Европол сообщает об аресте пяти человек, стоявших за крупной мошеннической схемой с онлайн-инвестированием. Пять колл-центров, 33 тысячи жертв и около $100 миллионов ущерба на счету группировки, работавшей с 2019-го года. Аресты прошли в марте по следам обысков в Болгарии, Румынии, Грузии и Израиле.
Жертвы попадали на рекламируемые в соцсетях и интернете сайты и вкладывали от 200 евро в обещания крупных дивидендов. Дальше им звонили мошенники из колл-центров, представлялись финансовыми консультантами и раскручивали на дальнейшие вложения. Интерес подогревали липовыми графиками и софтом, рисовавшим заманчивые цифры. Ну а затем инвестиции, как водится, сгорали. Возможно, под ироничное «И-и-и, их нет!» от скамеров.
@tomhunter
Жертвы попадали на рекламируемые в соцсетях и интернете сайты и вкладывали от 200 евро в обещания крупных дивидендов. Дальше им звонили мошенники из колл-центров, представлялись финансовыми консультантами и раскручивали на дальнейшие вложения. Интерес подогревали липовыми графиками и софтом, рисовавшим заманчивые цифры. Ну а затем инвестиции, как водится, сгорали. Возможно, под ироничное «И-и-и, их нет!» от скамеров.
@tomhunter
🔥6😁4
#news К вопросу о том, что, вероятно, ждёт осиротевших юзеров с закрытого Breached. Голландская полиция рассылает пользователям RaidForums письма с о том, что им стоило бы удалить украденные данные и прекратить заниматься незаконными делишками. Тысячи имейлов и сотни бумажных писем разослали счастливчикам с предупреждением, что за ними следят.
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
🔥9😁5
#news 27 апреля в Санкт-Петербурге пройдет очередная ежегодная конференция "Код ИБ". Руководитель департамента расследования T.Hunter Игорь Бедеров обсудит с участниками вопрос использования пробивочных ботов в OSINT. Являются ли они единственным и достаточным источником достоверной информации? Насколько безопасно их использование? Какие существуют новые методы и приемы интернет-разведки? Приходите, будет интересно!
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
❤6🔥4🤔1💩1
#news LockBit, судя по всему, работает над энкриптором под MacOS. На VirusTotal обнаружили архив c образцом зловреда под яблочные системы. Что, собственно, делает LockBit первой крупной рансомварь-группировкой, нацелившейся на Макось. Разработка рассчитана и под новые Маки на Apple Silicon, и под старые версии.
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
🔥6❤2🤔1💩1
#news Вновь к вопросу о дивном мире китайский приложений, следящих за юзерами. Как выяснили исследователи, в Pinduoduo был эксплойт уязвимости CVE-2023-20963 в Android Framework на повышение привилегий без участия юзера. Дальше приложение маркетплейса скачивало дополнительные вредоносные модули для шпионажа за пользователем и доступа к его уведомлениям и файлам.
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
🔥5🤯3❤1
#news Продолжая тему китайских хакеров, у одной из группировок на госзаказе, APT41, обнаружили в атаках опенсорс-инструмент для пентеста от Гугла, Google Command and Control. Он не требует особого сетапа и стучит только по доменам самого Гугла, что делает обнаружение более сложным. Так что китайцы приспособили его под C2-сервера, отправляющие на скомпрометированные устройства команды через Google Sheets. И с Google Drive для скачивания зловреда и облаком для похищения данных.
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
❤6😁2🔥1🤯1
#news Полиция ищет «казанского Брейвика» — админа Telegram-канала, который пообещал сегодня утром устроить массовое убийство в школе, мечети и ТЦ - сообщает Baza.
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
🔥15🤡3❤1😁1🤔1
#news У Брайана Кребса вновь классика OSINT-расследований по владельцам киберпреступных сервисов. На этот раз лицо появилось у Faceless, работающего на малвари прокси-сервиса, который уже семь лет обеспечивает анонимностью злоумышленников. Ну а владельцем Faceless является MrMurza, наш соотечественник, на которого Кребс, предположительно, нарыл всю подноготную.
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
@tomhunter
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
dating.ru под игривым прозвищем Дэнчик. В общем, жил активной полноценной жизнью. На вопросы Кребса по всем адресам товарищ, увы, не ответил, но, должно быть, знатно удивился. Подробнее о Дэнчике читайте в отчёте.@tomhunter
😁13🔥4❤1
#news Март 2023-го побил рекорд по числу рансомварь-атак – за месяц исследователи отследили 459 инцидентов, что почти в два раза больше в сравнении с предыдущим месяцем. Виной тому стала CVE-2023-0669, уязвимость в софте для управления файлообменом GoAnywhere. Которая, собственно, позволила отличиться группировке Clop, укравшей данные 130 компаний всего за 10 дней.
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
❤7🔥2💯1
#news Спустя почти полтора месяца после обнаружения уязвимости, из-за которой март стал рекордным по рансомварь-атакам, производитель GoAnywhere MFT, компания Forta, выходит на связь. И делится подробностями об эксплойте. Так, в конце января компания обнаружила подозрительную активность в облаке. С помощью эксплойта злоумышленники создавали пользовательские аккаунты в клиентских средах. А затем закидывали Netcat и Errors.jsp для бэкдоров, доступа и скачивания файлов.
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
🔥3😁2🤯1
#news На криптокошелёк ФБК (признан экстремистской организацией) сегодня пришёл самый большой разовый донат за всю историю — 100 тысяч евро (3.81427174 в BTC). Отправитель оказался связанным с LocalBitcoins - одноранговой платформой обмена биткойнами, базирующейся в Хельсинки, Финляндия. Команда Навального ранее уже использовала площадку LocalBitcoins в Латвии для вывода биткоинов. Только в этот раз финансовый поток пошел, почему то, вспять...
@tomhunter
@tomhunter
🤔16❤3🔥2🤯1🎉1🤡1
#news Любопытные подробности недавней атаки по 3CX от Lazarus. Северокорейские криптостахановцы в очередной раз отличились: к атаке на цепочку поставок привела… другая их атака на цепочку поставок. А началось всё с того, что Lazarus скомпрометировали установщик софта для трейдинга X_Trader, который в 2022-м установил сотрудник 3CX. А его взломанный компьютер уже привёл к пошедшей через софт 3CX атаке. Исследователи из Mandiant пишут, что видят такое впервые.
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
🔥13😁1🤯1