#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
🔥9🤯3
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
🔥7😁4
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
🔥6😁4😢1
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
😁10🔥2
#news Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
🔥7😁4🤡4🤔1
#news Стало известно, кто стоял за февральским взломом Reddit с фишингом по сотруднику. BlackCat подтвердила причастность и грозит выложить 80GB стянутых данных, если не получит $4,5 миллиона. В сливе обещают статистику по отслеживанию юзеров Реддита и разную конфиденциальную информацию. Плюс инфу о теневых банах пользователей и некие «артефакты» с их Гитхаба.
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
🔥7😁3
#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
😁6🔥1
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
😁10🔥4❤1
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
🔥11💩4❤2
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
🔥6❤3🤯1
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
🤯4❤2🔥1😁1
#news В Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
😁8❤2🔥2🤡1
#news ФБР перехватило домен BreachedForums в верхнем интернете три месяца спустя после ареста его владельца Pompompurin. Вместе с этим под нож ушёл и личный сайт последнего. Breached в даркнете вместо заглушки пока выдаёт 404.
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
😁5🔥2
#news Европол делится впечатляющими промежуточными итогами операции по EncroChat. На текущий момент были арестованы 6,588 человек и конфискован почти миллиард долларов, а также 270 тонн наркотиков, 83 лодки и 40 самолётов. Среди арестованных 197 особо важных целей.
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
🔥11🤯4❤1😁1
#news Список компаний, пострадавших от атаки Cl0p через софт MOVEit, продолжает пополняться громкими именами. Взлом подтвердил Siemens Energy, производитель оборудования для энергетики с годовой выручкой в $35 миллиардов. Компания утверждает, что критичные данные затронуты не были, как и их деловые операции.
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
🔥4❤2
#news В сетевых дебрях замечена очередная рансомварь-операция. В июне внимание к себе привлекла группировка 8Base, резко нарастившая активность. Они работают с мая 2022-го, но раньше на счету злоумышленников были единичные атаки. С запуском же сайта в прошлом месяце группировка заявила уже о 35 жертвах за июнь. Тем не менее, новичками они не являются: судя по копипасту на сайте и в записке о выкупе, это может быть сайд-проект группировки RansomHouse.
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
😁6🔥2❤1
#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
🤯6🔥1😁1🤡1
#news MITRE опубликовала свой ежегодный топ-25 самых опасных уязвимостей в софте. Его собирают по итогам анализа двух предыдущих лет с акцентом на тех, которые активно эксплойтят в сетевых дебрях. За 2021-й и 2022-й исследователи проанализировали почти 44 тысячи CVE.
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
🔥4❤1
#news Пятничная новость про любопытные артефакты эпохи: в сети обнаружили шифровальщик Wagner, который нацелен на российских юзеров, а вместо выкупа ни много ни мало зазывает в ряды опальной структуры. Коротенькая записка так и гласит: «Официальный вирус для трудоустройства в ЧВК Вагнер». Плюс призывы ко всяческому противоправному и незаконному.
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
😁15🤬2🔥1
#news Исследователи выложили в открытый доступ инструмент Snappy для поиска фейковых точек доступа WiFi в общественных местах. Он анализирует сигнальные кадры на предмет уникальных параметров, кэширует их и при повторном подключении сравнивает на предмет подмены злоумышленником. В числе анализируемых параметров BSSID, SSID, канал, страна, мощность передачи, поддерживаемые скорости и другие постоянные.
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
🔥8❤1😁1
#news На днях группировка Anonymous Sudan, так сказать, связанная с Killnet, заявила о взломе Microsoft и краже ни много ни мало данных доступа 30 миллионов аккаунтов. Почты, пароли, и всё это удовольствие за $50 тысяч в битках через бот группировки. Щедрость не знает границ.
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
🤔4❤1🔥1😁1