#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
🤯6🔥1😁1🤡1
#news MITRE опубликовала свой ежегодный топ-25 самых опасных уязвимостей в софте. Его собирают по итогам анализа двух предыдущих лет с акцентом на тех, которые активно эксплойтят в сетевых дебрях. За 2021-й и 2022-й исследователи проанализировали почти 44 тысячи CVE.
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
🔥4❤1
#news Пятничная новость про любопытные артефакты эпохи: в сети обнаружили шифровальщик Wagner, который нацелен на российских юзеров, а вместо выкупа ни много ни мало зазывает в ряды опальной структуры. Коротенькая записка так и гласит: «Официальный вирус для трудоустройства в ЧВК Вагнер». Плюс призывы ко всяческому противоправному и незаконному.
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
Вредонос основан на рансомвари Chaos, в свою очередь выросшей из Ryuk. Он шифрует 230 видов файлов, добавляя тематическое расширение и обои. В целом, ничего примечательного – собранное на коленке поделие из доступных исходников. Но содержание, конечно, занятное. Кроме того, собравшее вредонос дарование своих контактов не оставило, так что это, в сущности, вайпер. Видимо, на фоне ажиотажа недельной давности некий сумрачный гений решил превратить компьютеры собратьев по диванным войскам в кирпич в расчёте погнать их на баррикады с воплями «Началось!» Ну, логика прослеживается. Вот только цирк уехал, а вайпер остался.
@tomhunter
😁15🤬2🔥1
#news Исследователи выложили в открытый доступ инструмент Snappy для поиска фейковых точек доступа WiFi в общественных местах. Он анализирует сигнальные кадры на предмет уникальных параметров, кэширует их и при повторном подключении сравнивает на предмет подмены злоумышленником. В числе анализируемых параметров BSSID, SSID, канал, страна, мощность передачи, поддерживаемые скорости и другие постоянные.
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
Помимо этого, Snappy обнаруживает точки доступа, созданные с помощью Airbase-ng – инструмента для атак через WiFi. Пока Snappy идёт в виде Python-скрипта, так что для обычного пользователя юзабилити невысокая, и смартфоны потребуют эмулятор для запуска. Но для инфобез-параноика Snappy – неплохая возможность контролировать открытую точку доступа в любимой кафешке на предмет появления начинающего киберпреступника этажом выше. Подробнее об инструменте здесь.
@tomhunter
🔥8❤1😁1
#news На днях группировка Anonymous Sudan, так сказать, связанная с Killnet, заявила о взломе Microsoft и краже ни много ни мало данных доступа 30 миллионов аккаунтов. Почты, пароли, и всё это удовольствие за $50 тысяч в битках через бот группировки. Щедрость не знает границ.
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
Между тем Майкрософт отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
@tomhunter
🤔4❤1🔥1😁1
#news По следам уязвимости на NPM-репозитории, получившей название «путаница с манифестами», исследователь выпустил инструмент для проверки пакетов на предмет подлога. Простенький скрипт на Питоне сравнивает версию, зависимости, скрипты и название пакета в его манифесте и package.json.
Конфуз с манифестами, напомню, на днях всплыл в открытом дискурсе, когда обнаружилось, что информация в последнем и package.json в пакетах может не совпадать. Что потенциально ведёт к атакам на отравление кэша, установке неизвестных зависимостей и запуску вредоносных скриптов, и так вплоть до атак на понижение версии. С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
@tomhunter
Конфуз с манифестами, напомню, на днях всплыл в открытом дискурсе, когда обнаружилось, что информация в последнем и package.json в пакетах может не совпадать. Что потенциально ведёт к атакам на отравление кэша, установке неизвестных зависимостей и запуску вредоносных скриптов, и так вплоть до атак на понижение версии. С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
@tomhunter
❤3🔥2😁1🤯1
#news В Японии из-за рансомварь-атаки встал крупнейший порт страны Нагоя: вчера утром по местному времени терминальная система порта прилегла, вместе с ней остановилась и его работа. Восстановить планируют к завтрашнему утру. Между тем через порт проходит 10 процентов торгового оборота страны. Так что убытки за пару дней простоя будут, мягко говоря, солидные.
Ответственность же за атаку, как пишут, взяла на себя LockBit 3.0 – принтеры порта выдали рансомварь-записку от группировки. При этом Нагоя уже подвергалась атаке российских группировок: в сентябре прошлого года Killnet объявила стране киберрусско-японскую с исторически аккуратными результатами: сайт порта героически положили дудосом аж на 40 минут. В этот раз в работу подключились злоумышленники рангом изрядно повыше. Соответственно, несопоставим по масштабам и ущерб.
@tomhunter
Ответственность же за атаку, как пишут, взяла на себя LockBit 3.0 – принтеры порта выдали рансомварь-записку от группировки. При этом Нагоя уже подвергалась атаке российских группировок: в сентябре прошлого года Killnet объявила стране киберрусско-японскую с исторически аккуратными результатами: сайт порта героически положили дудосом аж на 40 минут. В этот раз в работу подключились злоумышленники рангом изрядно повыше. Соответственно, несопоставим по масштабам и ущерб.
@tomhunter
🔥8❤3🤯1🤬1
#news Пока Майкрософт не спешит исправлять уязвимость в Microsoft Teams, член красной команды ВМС США (да, есть и такая) выложил инструмент для её эксплойта. Написанный на Питоне TeamsPhisher позволяет автоматизировать атаки: достаточно скормить ему вложение, сообщение для фишинга и список жертв – и готово. Инструмент подгрузит вложение на Sharepoint и разошлёт по получателям.
Помимо прочего, TeamsPhisher может ограничивать просмотр файлов только получателем, добавлять задержку между сообщениями для обхода лимита и писать логи для атакующего. И хотя он создан для пентестеров, ничего не мешает воспользоваться им и злоумышленникам – инструмент-то вот он, на Гитхабе. Между тем Майкрософт доверительно сообщает, что уязвимость требует социнженерии для эксплойта, так что просто будьте хорошими мальчиками и не кликайте по левым ссылкам. Ну а если сотрудник стал жертвой фишинга – проблема на вашей стороне. Нечего нанимать кого попало, действительно.
@tomhunter
Помимо прочего, TeamsPhisher может ограничивать просмотр файлов только получателем, добавлять задержку между сообщениями для обхода лимита и писать логи для атакующего. И хотя он создан для пентестеров, ничего не мешает воспользоваться им и злоумышленникам – инструмент-то вот он, на Гитхабе. Между тем Майкрософт доверительно сообщает, что уязвимость требует социнженерии для эксплойта, так что просто будьте хорошими мальчиками и не кликайте по левым ссылкам. Ну а если сотрудник стал жертвой фишинга – проблема на вашей стороне. Нечего нанимать кого попало, действительно.
@tomhunter
🔥11😁1
#news К вопросу о том, чего такого уязвимого ещё есть в сети: исследователи насчитали ~130 тысяч обнаруживаемых в интернете устройств по контролю за солнечными панелями. Конечно, далеко не все из них уязвимы к атакам, но в них достаточно и уязвимостей, и проверок концепции к ним для потенциально масштабных атак.
Не помогает и то, что такие устройства часто страдают от редких обновлений и отсутствия обслуживания и могут годами стоять без апдейтов. Между тем эти контроллеры уже угоняют в ботнеты: уязвимость на удалённое внедрение команд в одной из моделей использовали под очередную разновидность Mirai. Так что дудосить теперь может не только старенький уральский принтер, но и потрёпанная солнечная панелька где-нибудь в японской глуши. Есть в этом что-то романтичное.
@tomhunter
Не помогает и то, что такие устройства часто страдают от редких обновлений и отсутствия обслуживания и могут годами стоять без апдейтов. Между тем эти контроллеры уже угоняют в ботнеты: уязвимость на удалённое внедрение команд в одной из моделей использовали под очередную разновидность Mirai. Так что дудосить теперь может не только старенький уральский принтер, но и потрёпанная солнечная панелька где-нибудь в японской глуши. Есть в этом что-то романтичное.
@tomhunter
🔥6😁2❤1
#news Малварью в Google Store никого не удивишь. А как насчёт приложений, сливающих данные юзеров в Китай (нет, не TikTok)? Исследователи обнаружили в магазине Гугла два приложения, декларирующих, что никакие данные не собирают. При этом они стягивают контакты с телефона и привязанных аккаунтов, обработанные приложениями файлы, местоположение юзера и прочее техническое. И всё это уходит на сервера в Китай.
Помимо этого, в их функционале самостоятельный запуск и рестарт телефона плюс скрытие иконок с экрана. Счётчик установок на двоих показывал более 1,5 миллионов установок, но, вероятно, они были раздуты для повышения рейтинга. Между тем приложения из магазина уже удалены, а их происхождение неясно. Может, выпускная работа китайских студентов-безопасников перед ударным трудом в составе госхакерской группировки?
@tomhunter
Помимо этого, в их функционале самостоятельный запуск и рестарт телефона плюс скрытие иконок с экрана. Счётчик установок на двоих показывал более 1,5 миллионов установок, но, вероятно, они были раздуты для повышения рейтинга. Между тем приложения из магазина уже удалены, а их происхождение неясно. Может, выпускная работа китайских студентов-безопасников перед ударным трудом в составе госхакерской группировки?
@tomhunter
🤔8😁3❤2🔥1
#news Вернёмся к инфобезу на родных просторах. ФСБ получит круглосуточный удалённый доступ к базам данных такси. Но это касается только сервисов, включённых в так называемый реестр организаторов распространения информации. Пока в нём числится только «Яндекс Такси». Так что с 1 сентября компания должна будет предоставить оный доступ по следам нового закона о такси.
Не включённые в реестр сервисы имеют небольшие послабления: они должны будут предоставлять ФСБ данные по запросу в течение 10 дней, а с пометкой «Срочно» – в течение трёх. Ну а помимо этого, спецслужба также хотела бы обязать сервисы из реестра ОРИ передавать данные о геолокации юзеров и указывать платёжную информацию со средством платежа, но этого в текущих формулировках нет. Казалось бы, что может пойти не так?
@tomhunter
Не включённые в реестр сервисы имеют небольшие послабления: они должны будут предоставлять ФСБ данные по запросу в течение 10 дней, а с пометкой «Срочно» – в течение трёх. Ну а помимо этого, спецслужба также хотела бы обязать сервисы из реестра ОРИ передавать данные о геолокации юзеров и указывать платёжную информацию со средством платежа, но этого в текущих формулировках нет. Казалось бы, что может пойти не так?
@tomhunter
🤬13🔥5🎉2❤1😁1
По следам ушедшего месяца подводим итоги дайджестом новостей. Он выдался довольно горячим: в первый же день июня прогремела «Операция Триангуляция» со спайварью под айфоны, выявленной Касперским на пару с ФСБ. А следом Atomic Wallet подвергся до сих пор не объяснённому компанией взлому, который грозит отправить кошелёк на дно, где умирают все стартапы.
Помимо этого, в MicrosoftTeams обнаружили элементарную уязвимость, позволяющую внешним пользователям отправлять файлы в организации, открывая широкий простор для фишинга. А на репозитории NPM всплыл масштабный конфуз с манифестами, способными скрывать за собой малварь и прочее вредоносное. Об этом и других интересных новостях первого летнего месяца читайте на нашем Хабре!
@tomhunter
Помимо этого, в MicrosoftTeams обнаружили элементарную уязвимость, позволяющую внешним пользователям отправлять файлы в организации, открывая широкий простор для фишинга. А на репозитории NPM всплыл масштабный конфуз с манифестами, способными скрывать за собой малварь и прочее вредоносное. Об этом и других интересных новостях первого летнего месяца читайте на нашем Хабре!
@tomhunter
❤7🔥1
#news В сети появилась информация о взломе компании Razer. На хакерском форуме на продажу выставлены исходники, база данных, ключи шифрования и бэкэнд-логины от сайта. Всё это удовольствие за $100 тысяч долларов в Monero разово всем желающим. На скринах у продавца, предположительно, исходники под античит и бонусную программу Razer, детали API, почтовые ящики и прочее.
Компания сообщила, что расследует взлом, а заодно сбросила аккаунты юзерам на своём сайте вместе с сессиями, запросив смену паролей. Логины из утечки же бьются по сайту, так что, скорее всего, она реальна. Данные также свежее, чем из их незапароленной базы от 2020-го. Между тем Razer всегда может успеть выкупить взлом сама. Возможно, даже на особых условиях: «Игровая утечка данных Limited Edition», всего за $100 миллионов в Монеро…
@tomhunter
Компания сообщила, что расследует взлом, а заодно сбросила аккаунты юзерам на своём сайте вместе с сессиями, запросив смену паролей. Логины из утечки же бьются по сайту, так что, скорее всего, она реальна. Данные также свежее, чем из их незапароленной базы от 2020-го. Между тем Razer всегда может успеть выкупить взлом сама. Возможно, даже на особых условиях: «Игровая утечка данных Limited Edition», всего за $100 миллионов в Монеро…
@tomhunter
😁8❤1🔥1
Опубликовал на Хабре новую статью. Сегодня обсудим «извечный вопрос»: как обнаружить точное местоположение пользователя методами OSINT? Первым делом вспомним, что OSINT – это совокупность методов и приемов работы с открытыми источниками информации. И в этом контексте самые очевидные способы обнаружения геолокаций заключаются в анализе той публичной информации, которую пользователи оставляют о себе в глобальной паутине. Это геометки и чекины в социальных сетях, анализ публичных записей, координаты в метаданных загружаемых фотографий, исследование фото и видео контента для выявления местоположения оператора и тому подобные.
Это все здорово, но я хотел бы поговорить о более продвинутых возможностях технического наблюдения за умными устройствами. За подробностями добро пожаловать на наш Хабр!
@tomhunter
Это все здорово, но я хотел бы поговорить о более продвинутых возможностях технического наблюдения за умными устройствами. За подробностями добро пожаловать на наш Хабр!
@tomhunter
🔥8💩3❤2
#news В преддверии саммита НАТО в сети идут свои кибербаталии. Так, группировка RomCom использует фейковый сайт Всемирного конгресса украинцев для фишинга и доставки малвари. Хостящийся на .info вместо легитимного .org сайт распространяет RTF-доки с вредоносом.
Малварь от RomCom использует уязвимость Follina в MSDT и при успешном эксплойте ведёт к RCE и качает бэкдор. Затем она прописывается в автозапуск и ждёт команд от C2-сервера. В их числе стягивание данных, скачивание дополнительной нагрузки, удаление файлов и папок, плюс реверс-шел. Исследователи считают, что это либо операция самой RomCom, либо новая с участием ключевых членов группировки. Подробнее об информационных операциях и хактивизме в эпоху нестихающих стальных гроз читайте в отчёте.
@tomhunter
Малварь от RomCom использует уязвимость Follina в MSDT и при успешном эксплойте ведёт к RCE и качает бэкдор. Затем она прописывается в автозапуск и ждёт команд от C2-сервера. В их числе стягивание данных, скачивание дополнительной нагрузки, удаление файлов и папок, плюс реверс-шел. Исследователи считают, что это либо операция самой RomCom, либо новая с участием ключевых членов группировки. Подробнее об информационных операциях и хактивизме в эпоху нестихающих стальных гроз читайте в отчёте.
@tomhunter
🤡4🔥3❤1😁1
#news Продолжая тему разведывательных информационных операций. Исследователи из Palo Alto Networks делятся подробностями кампании от хакеров из Cozy Bear. В апреле они перехватили объявление о продаже BMW 5 от польского дипломата, подменили в нём фотоальбом на напичканный малварью, занизили цену до 7,5 тысяч евро и разослали по посольствам в Киеве.
Вместо точечной атаки в этот раз шла массовая: исследователи насчитали, минимум, 22 посольства из более чем 80 в городе, получивших рассылку. Скорее всего, их было больше. Увы, несмотря на вдумчивый подход, хакеры при этом всё же умудрились опечататься в паре адресов, и письма до адресатов не дошли. Цепочка атаки на скрине и подробнее о ней в отчёте по ссылке. Подержанный BMW по привлекательной цене, как вам такой вектор атаки?
@tomhunter
Вместо точечной атаки в этот раз шла массовая: исследователи насчитали, минимум, 22 посольства из более чем 80 в городе, получивших рассылку. Скорее всего, их было больше. Увы, несмотря на вдумчивый подход, хакеры при этом всё же умудрились опечататься в паре адресов, и письма до адресатов не дошли. Цепочка атаки на скрине и подробнее о ней в отчёте по ссылке. Подержанный BMW по привлекательной цене, как вам такой вектор атаки?
@tomhunter
🔥10😁3🤡2
#news Первое полугодие 2023-го выдалось урожайным для рансомварщиков: полученные на июнь выкупы суммарно уже вплотную подошли к выплатам за весь прошлый год. Почти $450 миллиардов составляют 90% доходов с рансомвари за 2022-й. Такими темпами к концу года выплаты могут приблизиться к рекорду 2021-го, когда злоумышленникам выплатили почти миллиард долларов.
При этом доходы от прочей киберпреступной деятельности серьёзно просели. Исследователи связывают финансовые успехи рансомварщиков с увеличением сумм выкупа: первый квартал 2023-го показал беспрецедентный рост крупных платежей. В топе по-прежнему BlackBasta, LockBit, Blackcat и Clop; у последних средние выплаты идут на уровне $1,7 миллионов. И клопы-оппортунисты в этом году отличились уже дважды: 129 атак через GoAnywhere в рекордном марте, уже 267 жертв атаки через MOVEit, и счётчик всё тикает. Ну а в тени больших рансомварь-мальчиков живут стервятники уровня операций Dharma и Phobos, которые стригут свои средние баксов 300 с простых юзеров.
@tomhunter
При этом доходы от прочей киберпреступной деятельности серьёзно просели. Исследователи связывают финансовые успехи рансомварщиков с увеличением сумм выкупа: первый квартал 2023-го показал беспрецедентный рост крупных платежей. В топе по-прежнему BlackBasta, LockBit, Blackcat и Clop; у последних средние выплаты идут на уровне $1,7 миллионов. И клопы-оппортунисты в этом году отличились уже дважды: 129 атак через GoAnywhere в рекордном марте, уже 267 жертв атаки через MOVEit, и счётчик всё тикает. Ну а в тени больших рансомварь-мальчиков живут стервятники уровня операций Dharma и Phobos, которые стригут свои средние баксов 300 с простых юзеров.
@tomhunter
🔥7
#news В сетевых дебрях замечена занятная редкость: новая безфайловая малварь под Linux. Написанный на Питоне вредонос PyLoose нацелен на облачную рабочую нагрузку и майнит Monero прямиком из памяти. Что в определённой степени делает его уникальным в своём роде.
Исследователи засекли первые атаки 22 июня и насчитали уже 200 случаев. Злоумышленники стучатся по сервисам Jupyter Notebook, на которых не ограничены системные команды. Затем подтягивают малварь с аналога Pastebin и грузят в память через memfd относительно свежий XMRig Miner, что позволяет обходить большинство защитных решений. Приписать атаку кому-то конкретному не удалось, отмечают только её продвинутость в сравнении с прочими такого рода. Подробнее о PyLoose в отчёте.
@tomhunter
Исследователи засекли первые атаки 22 июня и насчитали уже 200 случаев. Злоумышленники стучатся по сервисам Jupyter Notebook, на которых не ограничены системные команды. Затем подтягивают малварь с аналога Pastebin и грузят в память через memfd относительно свежий XMRig Miner, что позволяет обходить большинство защитных решений. Приписать атаку кому-то конкретному не удалось, отмечают только её продвинутость в сравнении с прочими такого рода. Подробнее о PyLoose в отчёте.
@tomhunter
🔥10❤3🤔2🤯1
#news В сеть утекли исходники малвари BlackLotus. Напомню, это наделавший немало шуму UEFI-буткит под Винду, обходящий Secure Boot на полностью патченной Windows 11 вместе с антивирусным софтом. А также он закрепляется в системе и подтягивает нагрузку с максимальными правами. Ну и запутанный процесс установки фикса от Майкрософт, ввиду чего многие просто не стали его накатывать, не способствовал решению проблемы.
Разработчик исходники ранее не раскрывал, вместо этого предлагая ребилды за отдельный ценник. Между тем слив неполный: в нём только сам руткит и код буткита для обхода Secure Boot. Тем не менее, и этого будет достаточно, чтобы использовать исходники под новые уязвимости в загрузчике. Так что потенциально, увы, нас ждёт много продвинутых UEFI-буткитов, хороших и разных и с пока неизвестными эксплойтами. Желающие поковыряться в коде BlackLotus найдут его на ГитХабе.
@tomhunter
Разработчик исходники ранее не раскрывал, вместо этого предлагая ребилды за отдельный ценник. Между тем слив неполный: в нём только сам руткит и код буткита для обхода Secure Boot. Тем не менее, и этого будет достаточно, чтобы использовать исходники под новые уязвимости в загрузчике. Так что потенциально, увы, нас ждёт много продвинутых UEFI-буткитов, хороших и разных и с пока неизвестными эксплойтами. Желающие поковыряться в коде BlackLotus найдут его на ГитХабе.
@tomhunter
🔥8😢1
#news Гугл выбрал занятный способ бороться со статусом их магазина как крупнейшего доставщика малвари в мире. Теперь при регистрации аккаунта разработчика организации должны будут предоставлять номер DUNS. Это уникальный девятизначный код, выдаваемый компанией В&B, и международный стандарт идентификации бизнесов. Между тем его получение занимает до 30 дней.
Идентификация разработчиков по DUNS призвана решить проблему перезалива малвари в Google Store под новыми аккаунтами, которые сейчас создать после бана – дело элементарное. Кроме того, раздел «Contact details» переименуют в «App Support» и добавят в него новую информацию о разработчике – название компании, адрес офиса и сайта плюс номер телефона. Всё это удовольствие вступит в силу с 31 августа для новых аккаунтов и со временем распространится на всех. Кому нововведение создаст больше проблем – легитимным разработчикам со всего мира или злоумышленникам – пока вопрос, мягко скажем, открытый.
@tomhunter
Идентификация разработчиков по DUNS призвана решить проблему перезалива малвари в Google Store под новыми аккаунтами, которые сейчас создать после бана – дело элементарное. Кроме того, раздел «Contact details» переименуют в «App Support» и добавят в него новую информацию о разработчике – название компании, адрес офиса и сайта плюс номер телефона. Всё это удовольствие вступит в силу с 31 августа для новых аккаунтов и со временем распространится на всех. Кому нововведение создаст больше проблем – легитимным разработчикам со всего мира или злоумышленникам – пока вопрос, мягко скажем, открытый.
@tomhunter
😁7🔥4🤡2
#news Исследователи изучили Docker Hub на предмет образов, содержащих ключи. Результат немного предсказуем: репозиторий под завязку набит контейнерами со всевозможными ключами. В среднем они нашлись в около 8,5 процентов образов на платформе.
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
🔥3🤯2