На нашем Хабре новая статья по теме OSINT-исследований. В ней мы рассмотрим различные инструменты, которые могут быть использованы в контексте прифронтовой разведки и сбора сведений о происходящем в зоне боевых действий из открытых источников. Как показывает практика, современные вооруженные конфликты требуют новых подходов к организации сбора и анализа открытых данных, которыми мы оперируем в рамках OSINT. Так что если вы интересуетесь темой, добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥13❤3💩3😁1🤡1
#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
🔥9🤯3
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
🔥7😁4
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
🔥6😁4😢1
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
😁10🔥2
#news Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
🔥7😁4🤡4🤔1
#news Стало известно, кто стоял за февральским взломом Reddit с фишингом по сотруднику. BlackCat подтвердила причастность и грозит выложить 80GB стянутых данных, если не получит $4,5 миллиона. В сливе обещают статистику по отслеживанию юзеров Реддита и разную конфиденциальную информацию. Плюс инфу о теневых банах пользователей и некие «артефакты» с их Гитхаба.
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
🔥7😁3
#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
😁6🔥1
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
😁10🔥4❤1
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
🔥11💩4❤2
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
🔥6❤3🤯1
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
🤯4❤2🔥1😁1
#news В Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
😁8❤2🔥2🤡1
#news ФБР перехватило домен BreachedForums в верхнем интернете три месяца спустя после ареста его владельца Pompompurin. Вместе с этим под нож ушёл и личный сайт последнего. Breached в даркнете вместо заглушки пока выдаёт 404.
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
😁5🔥2
#news Европол делится впечатляющими промежуточными итогами операции по EncroChat. На текущий момент были арестованы 6,588 человек и конфискован почти миллиард долларов, а также 270 тонн наркотиков, 83 лодки и 40 самолётов. Среди арестованных 197 особо важных целей.
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
🔥11🤯4❤1😁1
#news Список компаний, пострадавших от атаки Cl0p через софт MOVEit, продолжает пополняться громкими именами. Взлом подтвердил Siemens Energy, производитель оборудования для энергетики с годовой выручкой в $35 миллиардов. Компания утверждает, что критичные данные затронуты не были, как и их деловые операции.
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
🔥4❤2
#news В сетевых дебрях замечена очередная рансомварь-операция. В июне внимание к себе привлекла группировка 8Base, резко нарастившая активность. Они работают с мая 2022-го, но раньше на счету злоумышленников были единичные атаки. С запуском же сайта в прошлом месяце группировка заявила уже о 35 жертвах за июнь. Тем не менее, новичками они не являются: судя по копипасту на сайте и в записке о выкупе, это может быть сайд-проект группировки RansomHouse.
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
😁6🔥2❤1
#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
🤯6🔥1😁1🤡1
#news MITRE опубликовала свой ежегодный топ-25 самых опасных уязвимостей в софте. Его собирают по итогам анализа двух предыдущих лет с акцентом на тех, которые активно эксплойтят в сетевых дебрях. За 2021-й и 2022-й исследователи проанализировали почти 44 тысячи CVE.
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
🔥4❤1
#news Пятничная новость про любопытные артефакты эпохи: в сети обнаружили шифровальщик Wagner, который нацелен на российских юзеров, а вместо выкупа ни много ни мало зазывает в ряды опальной структуры. Коротенькая записка так и гласит: «Официальный вирус для трудоустройства в ЧВК Вагнер». Плюс призывы ко всяческому противоправному и незаконному.
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
😁15🤬2🔥1
#news Исследователи выложили в открытый доступ инструмент Snappy для поиска фейковых точек доступа WiFi в общественных местах. Он анализирует сигнальные кадры на предмет уникальных параметров, кэширует их и при повторном подключении сравнивает на предмет подмены злоумышленником. В числе анализируемых параметров BSSID, SSID, канал, страна, мощность передачи, поддерживаемые скорости и другие постоянные.
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
🔥8❤1😁1