#news В Великобритании признали виновным очередного безопасника, пытавшегося шантажировать работодателя от лица киберпреступников. В феврале 2018-го Эшли Лайлз работал в компании в Оксфорде, которая пострадала от рансомварь-атаки. Будучи частью команды, разбиравшейся с инцидентом, наш герой решил подзаработать. И подменил криптоадрес, предоставленный злоумышленниками, своим.
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
😁16❤3🔥3
#news GitLab рекомендует срочно патчить обнаруженную критическую уязвимость. Всего ничего по CVSS – 10 баллов из 10. Она затрагивает GitLab Community Edition и Enterprise Edition версии 16.0.0.
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
😁7❤1🔥1
#news Rheinmetall подтвердила рансомварь-атаку по своим системам. Она произошла 14 апреля и затронула, как утверждает компания, только гражданский сектор её бизнеса. Военный же, задействованный в известных событиях, якобы не пострадал ввиду строгого разделения IT-инфраструктуры в компании.
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
🔥8❤5😁2🤔1
#news В эфире снова спайварь Pegasus, отличившаяся новым же пробитым дном. Вышел большой отчёт по заражениям им в Армении с октября 2020-го по декабрь 2022-го. Спайварь нашли на устройствах журналистов, правозащитников и политиков. И активность совпала с пиками обострений и переговорами во время армяно-азербайджанского конфликта. Иными словами, перед нами, видимо, первое применение Pegasus в военной зоне.
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
🤯5❤4🔥2😁1😢1
#news К вопросу о спайвари Predator от израильской компании Intellexa. По ней на днях вышло исследование с детальным разбором функционала. Спайварь записывает звонки, собирает сообщения с мессенджеров, может скрывать приложения на заражённом телефоне и препятствовать их запуску. Плюс в ней произвольный код, нумерация каталогов и кастомные сертификаты на уровне пользователя.
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
🔥9❤3
#news Не прошло и месяца с появления zip-домена от Гугла, а у нас уже есть оригинальные примеры малвари на нём. Исследователь mr.d0x, автор атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
🤯8❤3🔥2😁1🤡1
#news Очередная DeFi-криптоплатформа подверглась взлому. C Jimbos Protocol стянули 4,090 в эфире, что на сегодня составляет более $7,5 миллионов. Как обычно, атака на мгновенные займы: злоумышленник взял займ в $5,9 миллиона, пошатал стоимость токена и ушёл с эфиром. Контроль за проскальзыванием разработчики обещали, но не завезли.
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
😁15❤2🔥2
#news На хакерском форуме Exposed, пытающемся занять освобождённую Breached нишу, выложили интересную базу данных. На бывших пользователей RaidForums. В базе информация почти на 500 тысяч юзеров с никнеймами, ящиками, хешированными паролями, датой регистрации и прочей форумной инфой. Данные с марта 2015-го по сентябрь 2020-го года.
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
🔥8❤2😁2
#news По следам недавнего конфуза Toyota с незапароленным облаком, на котором 10 лет были доступна геолокация более 2 миллионов их машин, компания провела аудит. И что бы вы думали, нашла ещё два неверно настроенных сервера, с которых утекала личная информация автовладельцев. В этот раз на протяжение семи лет.
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
😁11🤯4🔥2
#news В Гугл-магазине обнаружили вредонос, который с лёгкостью тянет на рекорд по установкам в этом году. Малварь, названная SpinOk, нашлась в 101 приложении суммарно на ~421 миллион скачиваний. Её распространяли под видом рекламного SDK. За основным функционалом в виде мини-игр скрывается зловред с функциями клипера и стягивания файлов с устройства юзера.
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
🔥7😁6
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
❤5🔥2😁1
#news В инфобез-пространстве гремят заявления ФСБ и последовавший за ними отчёт Касперского. Первые сообщают о спайвари от Apple в сотрудничестве со спецслужбами США на тысячах айфонов российских и зарубежных чиновников и дипломатов. Вторые обнаружили троян у своих сотрудников.
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
😁25🤡5🔥3❤1🤔1😢1💯1
#news На выходных произошёл взлом Atomic Wallet. По текущим подсчётам с кошельков пользователей украли более $35 миллионов во всевозможной криптовалюте. Первые сообщения о краже появились в субботу утром.
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
🔥8🤯5😁2🤡1
#news Немного предсказуемые новости по следам взлома Atomic Wallet: украденная крипта пошла в миксер, любимый у известных специалистов по блокчейну из КНДР. В общем, опять Lazarus.
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процентмармеладных мишек активных пользователей. Крупные инвесторы, лишившиеся миллионов долларов, склонны не согласиться. Главной интригой же теперь остаётся, стал ли взлом последствием атаки на цепочку поставок по 3CX от неугомонных северокорейцев.
@tomhunter
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процент
@tomhunter
🔥7🤔1
#news Trendo Micro опубликовала отчёт по масштабной криптоскам-кампании. Больше тысячи сайтов тянут на одну из крупнейших мошеннических сеток такого плана. А стоят за ней русскоязычные злоумышленники из так называемой Impulse Team. Схема активна с января 2021-го, новые сайты появляются в ней и сегодня. Косвенные свидетельства указывают на активность мошенников с 2016-го года.
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
🔥9😁3🤯1
#news Череда атак рансомварь-группировки Cl0p через уязвимость в софте для передачи файлов MOVEit достигла кульминации: злоумышленники утверждают, что взломали сотни компаний и выдвинули ультиматум до 14 июня. Нулевой день на эскалацию привилегий и неавторизированный доступ в MOVEit, напомню, позволил массово скачать данные организаций, включая всевозможные конфиденциальные данные.
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
🔥7🤯3
#news Интересное развитие истории с нулевым днём в шлюзах электронной почты от Barracuda. Уязвимость на выполнение произвольных команд не только была в ходу у злоумышленников с октября прошлого года. Теперь компания связалась с владельцами взломанных устройств напрямую и сообщила, что их нужно немедленно заменить независимо от установленных патчей.
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
🔥5❤2🤯2🤔1
#news Вишенка на торте взломов софта для передачи файлов MOVEit от группировки Cl0p: исследователи обнаружили следы их активности по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
❤7😁2🔥1🤯1
Подводим итоги последнего весеннего месяца в нашем традиционном дайджесте на Хабре. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте на нашем Хабре!
@tomhunter
@tomhunter
❤5🔥1
#news Исследователи изучили популярное приложение для бега Strava с более 100 миллионов юзеров. И с помощью публично доступной карты в нём с достаточно большой точностью смогли отследить места жительства пользователей.
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
🔥9🤯4
#news Fortinet исправила критическую уязвимость в FortiOS SSL VPN и сообщила, что он мог быть использован в атаках. Эксплойт на переполнение буфера и произвольное выполнение кода CVE-2023-27997 мог быть задействован в атаках на правительственную и критическую инфраструктуру в Штатах.
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
🔥5❤1