#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
😁6🔥1
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
😁10🔥4❤1
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
🔥11💩4❤2
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
🔥6❤3🤯1
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
🤯4❤2🔥1😁1
#news В Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
😁8❤2🔥2🤡1
#news ФБР перехватило домен BreachedForums в верхнем интернете три месяца спустя после ареста его владельца Pompompurin. Вместе с этим под нож ушёл и личный сайт последнего. Breached в даркнете вместо заглушки пока выдаёт 404.
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
😁5🔥2
#news Европол делится впечатляющими промежуточными итогами операции по EncroChat. На текущий момент были арестованы 6,588 человек и конфискован почти миллиард долларов, а также 270 тонн наркотиков, 83 лодки и 40 самолётов. Среди арестованных 197 особо важных целей.
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
🔥11🤯4❤1😁1
#news Список компаний, пострадавших от атаки Cl0p через софт MOVEit, продолжает пополняться громкими именами. Взлом подтвердил Siemens Energy, производитель оборудования для энергетики с годовой выручкой в $35 миллиардов. Компания утверждает, что критичные данные затронуты не были, как и их деловые операции.
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
🔥4❤2
#news В сетевых дебрях замечена очередная рансомварь-операция. В июне внимание к себе привлекла группировка 8Base, резко нарастившая активность. Они работают с мая 2022-го, но раньше на счету злоумышленников были единичные атаки. С запуском же сайта в прошлом месяце группировка заявила уже о 35 жертвах за июнь. Тем не менее, новичками они не являются: судя по копипасту на сайте и в записке о выкупе, это может быть сайд-проект группировки RansomHouse.
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
😁6🔥2❤1
#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
🤯6🔥1😁1🤡1
#news MITRE опубликовала свой ежегодный топ-25 самых опасных уязвимостей в софте. Его собирают по итогам анализа двух предыдущих лет с акцентом на тех, которые активно эксплойтят в сетевых дебрях. За 2021-й и 2022-й исследователи проанализировали почти 44 тысячи CVE.
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
🔥4❤1
#news Пятничная новость про любопытные артефакты эпохи: в сети обнаружили шифровальщик Wagner, который нацелен на российских юзеров, а вместо выкупа ни много ни мало зазывает в ряды опальной структуры. Коротенькая записка так и гласит: «Официальный вирус для трудоустройства в ЧВК Вагнер». Плюс призывы ко всяческому противоправному и незаконному.
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
😁15🤬2🔥1
#news Исследователи выложили в открытый доступ инструмент Snappy для поиска фейковых точек доступа WiFi в общественных местах. Он анализирует сигнальные кадры на предмет уникальных параметров, кэширует их и при повторном подключении сравнивает на предмет подмены злоумышленником. В числе анализируемых параметров BSSID, SSID, канал, страна, мощность передачи, поддерживаемые скорости и другие постоянные.
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
🔥8❤1😁1
#news На днях группировка Anonymous Sudan, так сказать, связанная с Killnet, заявила о взломе Microsoft и краже ни много ни мало данных доступа 30 миллионов аккаунтов. Почты, пароли, и всё это удовольствие за $50 тысяч в битках через бот группировки. Щедрость не знает границ.
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
🤔4❤1🔥1😁1
#news По следам уязвимости на NPM-репозитории, получившей название «путаница с манифестами», исследователь выпустил инструмент для проверки пакетов на предмет подлога. Простенький скрипт на Питоне сравнивает версию, зависимости, скрипты и название пакета в его манифесте и package.json.
Конфуз с манифестами, напомню, на днях всплыл в открытом дискурсе, когда обнаружилось, что информация в последнем и package.json в пакетах может не совпадать. Что потенциально ведёт к атакам на отравление кэша, установке неизвестных зависимостей и запуску вредоносных скриптов, и так вплоть до атак на понижение версии. С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
@tomhunter
Конфуз с манифестами, напомню, на днях всплыл в открытом дискурсе, когда обнаружилось, что информация в последнем и package.json в пакетах может не совпадать. Что потенциально ведёт к атакам на отравление кэша, установке неизвестных зависимостей и запуску вредоносных скриптов, и так вплоть до атак на понижение версии. С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
@tomhunter
❤3🔥2😁1🤯1
#news В Японии из-за рансомварь-атаки встал крупнейший порт страны Нагоя: вчера утром по местному времени терминальная система порта прилегла, вместе с ней остановилась и его работа. Восстановить планируют к завтрашнему утру. Между тем через порт проходит 10 процентов торгового оборота страны. Так что убытки за пару дней простоя будут, мягко говоря, солидные.
Ответственность же за атаку, как пишут, взяла на себя LockBit 3.0 – принтеры порта выдали рансомварь-записку от группировки. При этом Нагоя уже подвергалась атаке российских группировок: в сентябре прошлого года Killnet объявила стране киберрусско-японскую с исторически аккуратными результатами: сайт порта героически положили дудосом аж на 40 минут. В этот раз в работу подключились злоумышленники рангом изрядно повыше. Соответственно, несопоставим по масштабам и ущерб.
@tomhunter
Ответственность же за атаку, как пишут, взяла на себя LockBit 3.0 – принтеры порта выдали рансомварь-записку от группировки. При этом Нагоя уже подвергалась атаке российских группировок: в сентябре прошлого года Killnet объявила стране киберрусско-японскую с исторически аккуратными результатами: сайт порта героически положили дудосом аж на 40 минут. В этот раз в работу подключились злоумышленники рангом изрядно повыше. Соответственно, несопоставим по масштабам и ущерб.
@tomhunter
🔥8❤3🤯1🤬1
#news Пока Майкрософт не спешит исправлять уязвимость в Microsoft Teams, член красной команды ВМС США (да, есть и такая) выложил инструмент для её эксплойта. Написанный на Питоне TeamsPhisher позволяет автоматизировать атаки: достаточно скормить ему вложение, сообщение для фишинга и список жертв – и готово. Инструмент подгрузит вложение на Sharepoint и разошлёт по получателям.
Помимо прочего, TeamsPhisher может ограничивать просмотр файлов только получателем, добавлять задержку между сообщениями для обхода лимита и писать логи для атакующего. И хотя он создан для пентестеров, ничего не мешает воспользоваться им и злоумышленникам – инструмент-то вот он, на Гитхабе. Между тем Майкрософт доверительно сообщает, что уязвимость требует социнженерии для эксплойта, так что просто будьте хорошими мальчиками и не кликайте по левым ссылкам. Ну а если сотрудник стал жертвой фишинга – проблема на вашей стороне. Нечего нанимать кого попало, действительно.
@tomhunter
Помимо прочего, TeamsPhisher может ограничивать просмотр файлов только получателем, добавлять задержку между сообщениями для обхода лимита и писать логи для атакующего. И хотя он создан для пентестеров, ничего не мешает воспользоваться им и злоумышленникам – инструмент-то вот он, на Гитхабе. Между тем Майкрософт доверительно сообщает, что уязвимость требует социнженерии для эксплойта, так что просто будьте хорошими мальчиками и не кликайте по левым ссылкам. Ну а если сотрудник стал жертвой фишинга – проблема на вашей стороне. Нечего нанимать кого попало, действительно.
@tomhunter
🔥11😁1
#news К вопросу о том, чего такого уязвимого ещё есть в сети: исследователи насчитали ~130 тысяч обнаруживаемых в интернете устройств по контролю за солнечными панелями. Конечно, далеко не все из них уязвимы к атакам, но в них достаточно и уязвимостей, и проверок концепции к ним для потенциально масштабных атак.
Не помогает и то, что такие устройства часто страдают от редких обновлений и отсутствия обслуживания и могут годами стоять без апдейтов. Между тем эти контроллеры уже угоняют в ботнеты: уязвимость на удалённое внедрение команд в одной из моделей использовали под очередную разновидность Mirai. Так что дудосить теперь может не только старенький уральский принтер, но и потрёпанная солнечная панелька где-нибудь в японской глуши. Есть в этом что-то романтичное.
@tomhunter
Не помогает и то, что такие устройства часто страдают от редких обновлений и отсутствия обслуживания и могут годами стоять без апдейтов. Между тем эти контроллеры уже угоняют в ботнеты: уязвимость на удалённое внедрение команд в одной из моделей использовали под очередную разновидность Mirai. Так что дудосить теперь может не только старенький уральский принтер, но и потрёпанная солнечная панелька где-нибудь в японской глуши. Есть в этом что-то романтичное.
@tomhunter
🔥6😁2❤1
#news Малварью в Google Store никого не удивишь. А как насчёт приложений, сливающих данные юзеров в Китай (нет, не TikTok)? Исследователи обнаружили в магазине Гугла два приложения, декларирующих, что никакие данные не собирают. При этом они стягивают контакты с телефона и привязанных аккаунтов, обработанные приложениями файлы, местоположение юзера и прочее техническое. И всё это уходит на сервера в Китай.
Помимо этого, в их функционале самостоятельный запуск и рестарт телефона плюс скрытие иконок с экрана. Счётчик установок на двоих показывал более 1,5 миллионов установок, но, вероятно, они были раздуты для повышения рейтинга. Между тем приложения из магазина уже удалены, а их происхождение неясно. Может, выпускная работа китайских студентов-безопасников перед ударным трудом в составе госхакерской группировки?
@tomhunter
Помимо этого, в их функционале самостоятельный запуск и рестарт телефона плюс скрытие иконок с экрана. Счётчик установок на двоих показывал более 1,5 миллионов установок, но, вероятно, они были раздуты для повышения рейтинга. Между тем приложения из магазина уже удалены, а их происхождение неясно. Может, выпускная работа китайских студентов-безопасников перед ударным трудом в составе госхакерской группировки?
@tomhunter
🤔8😁3❤2🔥1
#news Вернёмся к инфобезу на родных просторах. ФСБ получит круглосуточный удалённый доступ к базам данных такси. Но это касается только сервисов, включённых в так называемый реестр организаторов распространения информации. Пока в нём числится только «Яндекс Такси». Так что с 1 сентября компания должна будет предоставить оный доступ по следам нового закона о такси.
Не включённые в реестр сервисы имеют небольшие послабления: они должны будут предоставлять ФСБ данные по запросу в течение 10 дней, а с пометкой «Срочно» – в течение трёх. Ну а помимо этого, спецслужба также хотела бы обязать сервисы из реестра ОРИ передавать данные о геолокации юзеров и указывать платёжную информацию со средством платежа, но этого в текущих формулировках нет. Казалось бы, что может пойти не так?
@tomhunter
Не включённые в реестр сервисы имеют небольшие послабления: они должны будут предоставлять ФСБ данные по запросу в течение 10 дней, а с пометкой «Срочно» – в течение трёх. Ну а помимо этого, спецслужба также хотела бы обязать сервисы из реестра ОРИ передавать данные о геолокации юзеров и указывать платёжную информацию со средством платежа, но этого в текущих формулировках нет. Казалось бы, что может пойти не так?
@tomhunter
🤬13🔥5🎉2❤1😁1