#news Исследователи изучили Docker Hub на предмет образов, содержащих ключи. Результат немного предсказуем: репозиторий под завязку набит контейнерами со всевозможными ключами. В среднем они нашлись в около 8,5 процентов образов на платформе.
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
🔥3🤯2
#news На VirusTotal случился небольшой конфуз: утечка файла с 5,600 названиями организаций, именами и почтовыми ящиками зарегистрированных пользователей. В списке работники Агентства Национальной Безопасности США, ФБР и спецслужб из других стран. А файл с базой, собственно, нечаянно залил в открытый доступ на сайте сотрудник компании. Ну, бывает.
Гугл утечку подтвердил и сообщил, что файл провисел меньше часа после залива. Также компания по следам инцидента обещает улучшить внутренние процессы и поработать над защитой информации. В общем, ответственному за этот неловкий момент сотруднику надают по рукам и лишат доступа в игровую комнату. Две недели без Плейстейшн и настольного тенниса, в следующий раз будьте внимательнее.
@tomhunter
Гугл утечку подтвердил и сообщил, что файл провисел меньше часа после залива. Также компания по следам инцидента обещает улучшить внутренние процессы и поработать над защитой информации. В общем, ответственному за этот неловкий момент сотруднику надают по рукам и лишат доступа в игровую комнату. Две недели без Плейстейшн и настольного тенниса, в следующий раз будьте внимательнее.
@tomhunter
😁16🔥2
#news Занятный привет из прошлого: в аэропорту Барселоны арестовали предполагаемого разработчика лжеантивируса, который активно распространяли с 2006-го по 2011-й год. Неназванный гражданин Украины скрывался от следствия больше десяти лет.
Подробностей ареста мало, но судя по всему, он связан с операцией «Trident Tribunal»: в 2011-м году ФБР арестовали хакеров в 12 странах — в том числе Украине, Латвии и Литве — по следам распространения лжеантивирусного софта, он же scareware. Тогда злоумышленники стригли 129 баксов с жертв, пугая их страшными компьютерными вирусами, и в итоге набрался почти миллион суммарно заплативших им 72 миллиона долларов. Ну а теперь многие годы спустя в лапы правосудия попал наш незадачливый идейный борец за денежные знаки. И где-то по российским закоулкам крепко задумались над своей судьбой нынешние неуловимые рансомварь-ковбои и будущие герои таких же новостных заголовков.
@tomhunter
Подробностей ареста мало, но судя по всему, он связан с операцией «Trident Tribunal»: в 2011-м году ФБР арестовали хакеров в 12 странах — в том числе Украине, Латвии и Литве — по следам распространения лжеантивирусного софта, он же scareware. Тогда злоумышленники стригли 129 баксов с жертв, пугая их страшными компьютерными вирусами, и в итоге набрался почти миллион суммарно заплативших им 72 миллиона долларов. Ну а теперь многие годы спустя в лапы правосудия попал наш незадачливый идейный борец за денежные знаки. И где-то по российским закоулкам крепко задумались над своей судьбой нынешние неуловимые рансомварь-ковбои и будущие герои таких же новостных заголовков.
@tomhunter
😁6🔥3
#news В сетевых дебрях новая рансомварь-как-услуга, причём не простая, а выдающая себя за олдовую инфобез-компанию. Обнаруженный в сети SophosEncrypt сначала приняли за инструмент красной команды Sophos, но компания сообщила, что отношения к нему не имеет. Помимо названия рансомварь имеет соответствующее расширение и обои с брендом, за который себя выдаёт.
Энкриптор написан на Rust c AES256-CBC шифрованием. После ввода токена жертвы из рансомварь-панели он предлагает зашифровать либо один файл, либо все разом. Ну а для связи зазывает в Jabber с заманчивым предложением поделиться биткоинами. О самой операции пока известно мало, но айпишник С2-сервера уже больше года пингуется как хост для атак через Cobalt Strike и засылки криптомайнеров. Между тем на ID Ransomware уже есть образец от жертвы, так что скоро почту Sophos могут завалить гневные письма. Ну или предложения заслать битков от не справившихся с древней жаба-технологией. Тут уж как повезёт.
@tomhunter
Энкриптор написан на Rust c AES256-CBC шифрованием. После ввода токена жертвы из рансомварь-панели он предлагает зашифровать либо один файл, либо все разом. Ну а для связи зазывает в Jabber с заманчивым предложением поделиться биткоинами. О самой операции пока известно мало, но айпишник С2-сервера уже больше года пингуется как хост для атак через Cobalt Strike и засылки криптомайнеров. Между тем на ID Ransomware уже есть образец от жертвы, так что скоро почту Sophos могут завалить гневные письма. Ну или предложения заслать битков от не справившихся с древней жаба-технологией. Тут уж как повезёт.
@tomhunter
🔥3😁2🤯1
#news Любопытное развитие истории со взломом JumpCloud. Облачная платформа формата каталог-как-услуга на днях сообщила о взломе некими госхакерами в конце июня. Точечным фишингом по сотруднику они проникли в системы, точечно же отправились по данные клиентов компании. Ну а теперь понятно, что это был за «крайне узкий набор затронутых клиентов» – за взломом стояла северокорейская Lazarus.
Исследователи прошлись по IoCs по следам атаки, и они светились в предыдущих на цепочку поставок из КНДР. Так что перед нами очередной этап увлекательной гонки на время «Помогите Ким Чен Ыну свести бюджет на 2023-й, или ваша семья отправится в ГУЛАГ», и едва ли последний в этом году. Криптостахановцам из Lazarus не позавидуешь: выполнить и перевыполнить госплан по крипте после прошлогодней рекордной кражи с моста Ronin будет совсем уж непросто. Вот и стараются, бедняги.
@tomhunter
Исследователи прошлись по IoCs по следам атаки, и они светились в предыдущих на цепочку поставок из КНДР. Так что перед нами очередной этап увлекательной гонки на время «Помогите Ким Чен Ыну свести бюджет на 2023-й, или ваша семья отправится в ГУЛАГ», и едва ли последний в этом году. Криптостахановцам из Lazarus не позавидуешь: выполнить и перевыполнить госплан по крипте после прошлогодней рекордной кражи с моста Ronin будет совсем уж непросто. Вот и стараются, бедняги.
@tomhunter
🔥5😁2
#news Злоумышленники проявляют всё больше интереса к языковым моделям. Больше 200 тысяч данных доступа к ChatGPT на продажу в дарквебе, почти 30 тысяч упоминаний модели по тематическим форумам и группам за полгода. А из новинок на хакерском рынке WormGPT – натасканный на малвари чат-бот. По заявлениям разработчика, «идеальная альтернатива ChatGPT для черношляпочников под всякое нелегальное».
Поковырявшись в инструменте, исследователь обнаружил, что WormGPT, как минимум, пишет фишинговые письма лучше среднего господина Самбубу из Нигерии. Убедительно, стратегически продуманно и без грамматических ошибок. Детали датасетов, на которых натаскивают модель, разработчик не раскрывает, так что прочий функционал ещё предстоит изучить. Но в руках не самых умелых злоумышленников, увы, инструмент уже может стать неплохим подспорьем. Ну или хотя бы грамотную рансомварь-записку за них напишет.
@tomhunter
Поковырявшись в инструменте, исследователь обнаружил, что WormGPT, как минимум, пишет фишинговые письма лучше среднего господина Самбубу из Нигерии. Убедительно, стратегически продуманно и без грамматических ошибок. Детали датасетов, на которых натаскивают модель, разработчик не раскрывает, так что прочий функционал ещё предстоит изучить. Но в руках не самых умелых злоумышленников, увы, инструмент уже может стать неплохим подспорьем. Ну или хотя бы грамотную рансомварь-записку за них напишет.
@tomhunter
🔥4😁4❤1
#news Ни дня без новостей про Lazarus! ГитХаб рапортует о небольшой кампании группировки на платформе. Цель, как обычно, разработчики в блокчейне, крипте, онлайн-казино и инфобез-среде. Со скомпрометированных аккаунтов реальных рекрутеров и разработчиков или от фейковых персон приходят предложения о сотрудничестве. А дальше в дело идёт малварь.
Втеревшись в доверие, северокорейские лазари предлагают клонировать репу на Гитхабе, ну а в ней вредоносные NPM-зависимости. Они служат в качестве загрузчика, подтягивающих неизвестную малварь. Исследователи отмечают занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
@tomhunter
Втеревшись в доверие, северокорейские лазари предлагают клонировать репу на Гитхабе, ну а в ней вредоносные NPM-зависимости. Они служат в качестве загрузчика, подтягивающих неизвестную малварь. Исследователи отмечают занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
@tomhunter
🔥10
#news По следам своего звёздного часа с MOVEit Clop ищут всё новые методы давления на взломанные компании. Так, группировка переняла тактику BlackCat и создает сайты для слива данных в верхнем интернете. Логика понятная: для дарквеба и Tor нужен, и скорости скачивания барахлят, и поисковиков для индексации нет. Среднему сотруднику такое сложно, у него лапки – искать себя во взломах Clop в соседней вкладке с фейсбуком проще и приятнее.
Впрочем, сайты эти долго не живут и их оперативно кладут и провайдеры, и дудосы от инфобез-фирм, и прочие желающие. Так что толку от новой тактики мало. В группировке это тоже, видимо, понимают: сайты поднимают на скорую руку просто со списочком архивов на скачивание. Но с учётом того, что от взломов через MOVEit клопам светит до $75-100 миллионов выплат, попытки выжать всё до последнего цента любыми доступными методами вполне ожидаемы.
@tomhunter
Впрочем, сайты эти долго не живут и их оперативно кладут и провайдеры, и дудосы от инфобез-фирм, и прочие желающие. Так что толку от новой тактики мало. В группировке это тоже, видимо, понимают: сайты поднимают на скорую руку просто со списочком архивов на скачивание. Но с учётом того, что от взломов через MOVEit клопам светит до $75-100 миллионов выплат, попытки выжать всё до последнего цента любыми доступными методами вполне ожидаемы.
@tomhunter
🔥6😁2
#news Исследователи провели анализ логов с инфостилеров и насчитали в них около двух процентов корпоративных данных доступа. На ~20 миллионов записей пришлось больше 400 тысяч логов к AWS, Okta, DocuSigh, CRM и прочему. Чемпионом здесь оказался AWS – почти половина из этих украденных инфостилерами данных от их консоли.
Резко скакнуло и число логов от OpenAI: их нашли 200 тысяч – в два раза больше от предыдущих чисел, о которых сообщали в июне. Что занятно, корпоративные логи в большом количестве засветились на русскоязычном Russian Market и в VIP-каналах в Телеграме. Так что пресловутые русские хакеры случайно или намеренно работают инфостилерами с прицелом на корпорации. Ну или дело просто в том, что средний российский работник знает об инфобезе меньше своих зарубежных коллег и чаще использует рабочий компьютер для личных нужд и прочих развесёлых ферм.
@tomhunter
Резко скакнуло и число логов от OpenAI: их нашли 200 тысяч – в два раза больше от предыдущих чисел, о которых сообщали в июне. Что занятно, корпоративные логи в большом количестве засветились на русскоязычном Russian Market и в VIP-каналах в Телеграме. Так что пресловутые русские хакеры случайно или намеренно работают инфостилерами с прицелом на корпорации. Ну или дело просто в том, что средний российский работник знает об инфобезе меньше своих зарубежных коллег и чаще использует рабочий компьютер для личных нужд и прочих развесёлых ферм.
@tomhunter
🔥4😁2❤1
#news Тренд на криптостилеры под Маки продолжается: в сети замечена новая малварь Realst с прицелом на последние версии Макоси – в свежих версиях задел под ещё не вышедшую Sonoma. Более того, исследователи насчитали 16 версий вредоноса, что говорит о его активной разработке. Подробнее о Realst в отчёте.
Распространяют его не менее масштабно вместе с привычными инфостилерами под Винду: в сети почти десяток сайтов с криптоиграми, под каждую свои аккаунты на других платформах. Злоумышленники набирают тестеров через личные сообщения, а затем те обнаруживают свои кошельки опустошёнными через 10 минут после скачивания игрульки. А на память о дорогих сердцу цифровых монетках остаются только ехидно глядящие из инсталлятора ящерки. Увы!
@tomhunter
Распространяют его не менее масштабно вместе с привычными инфостилерами под Винду: в сети почти десяток сайтов с криптоиграми, под каждую свои аккаунты на других платформах. Злоумышленники набирают тестеров через личные сообщения, а затем те обнаруживают свои кошельки опустошёнными через 10 минут после скачивания игрульки. А на память о дорогих сердцу цифровых монетках остаются только ехидно глядящие из инсталлятора ящерки. Увы!
@tomhunter
🔥4❤1😁1😢1
#news НАТО расследует взлом одного из своих интернет-ресурсов – COI Cooperation Portal, предназначенного для распространения незасекреченной информации между членами альянса. Хакеры из некой SiegedSec выложили архив на 845 метров документов и 8000 строк пользовательской инфы с портала. Имена, подразделения, должности, почты, домашние адреса и фото юзеров. Если утечку подтвердят, она затронет все 31 страну в альянсе.
Группировка хоть и хактивистская, но с текущим конфликтом свой взлом не связывает. И утверждает, что взломали они этот портал от большой нелюбви к НАТО и веселья ради. Между тем хактивисты бывают… разные. И содержимое поста со сливом вызывает острое желание, так сказать, увидеть всю военную мощь пресловутого альянса по месту жительства товарищей из SiegedSec. Борьба с фурри-угрозой требует решительных мер!
@tomhunter
Группировка хоть и хактивистская, но с текущим конфликтом свой взлом не связывает. И утверждает, что взломали они этот портал от большой нелюбви к НАТО и веселья ради. Между тем хактивисты бывают… разные. И содержимое поста со сливом вызывает острое желание, так сказать, увидеть всю военную мощь пресловутого альянса по месту жительства товарищей из SiegedSec. Борьба с фурри-угрозой требует решительных мер!
@tomhunter
😁6🤡5🔥2
#news В Ubuntu нашли пару свежих уязвимостей, позволяющих локальным юзерам повысить привилегии. И затрагивают они солидную часть пользователей – ни много ни мало 40 процентов юзеров дистрибутива. Высокая CVE-2023-2640 на недостаточную проверку разрешений в ядре и средняя CVE-2023-35929 на произвольное выполнение кода.
Ну а причиной тому опять стал модуль OverlayFS. Исследователи обнаружили, что внесённые в него изменения в самой Ubuntu конфликтуют с позже внедрёнными Linux Kernel Project и недавно добавленными в дистр. Ну и конфликты в коде привели к новым уязвимостям, а также публично доступным проверкам концепции к ним. Форки Ubuntu без модификаций OverlayFS не затронуты. Между тем разработчики уже выкатили бюллетень по уязвимостям и исправления к ним. Пришло время обновлять ядро, ядро само себя не обновит!
@tomhunter
Ну а причиной тому опять стал модуль OverlayFS. Исследователи обнаружили, что внесённые в него изменения в самой Ubuntu конфликтуют с позже внедрёнными Linux Kernel Project и недавно добавленными в дистр. Ну и конфликты в коде привели к новым уязвимостям, а также публично доступным проверкам концепции к ним. Форки Ubuntu без модификаций OverlayFS не затронуты. Между тем разработчики уже выкатили бюллетень по уязвимостям и исправления к ним. Пришло время обновлять ядро, ядро само себя не обновит!
@tomhunter
🔥5❤2
#news Про многочисленные фишинговые кампании и взломы от неутомимых ударников криптовалютного труда из Lazarus последнее время было много новостей. А где результаты? А вот они. Кражу с централизованной платформы Alphapo по обслуживанию сервисов азартных игр в прошлое воскресенье приписывают северокорейцам. По последним подсчётам с неё стянули $60 миллионов всевозможной крипты.
Судя по утёкшим с разных горячих кошельков средствам и внезапной остановке сервиса, в руки взломщикам попали приватные ключи. Так что, скорее всего, одна из недавних фишинговых шалостей Lazarus удалась и привела, так сказать, к их плодотворному сотрудничеству с очередной криптоплатформой. По крайней мере, к такому выводу пришли несколько блокчейн-аналитиков. Ну а нам остаётся делать ставки, сколько ещё несчастных платформ падут жертвой северокорейских криптостахановцев в этом году.
@tomhunter
Судя по утёкшим с разных горячих кошельков средствам и внезапной остановке сервиса, в руки взломщикам попали приватные ключи. Так что, скорее всего, одна из недавних фишинговых шалостей Lazarus удалась и привела, так сказать, к их плодотворному сотрудничеству с очередной криптоплатформой. По крайней мере, к такому выводу пришли несколько блокчейн-аналитиков. Ну а нам остаётся делать ставки, сколько ещё несчастных платформ падут жертвой северокорейских криптостахановцев в этом году.
@tomhunter
🔥5
#news Обычно об утечках волнуются простые юзеры, но не сегодня: на продажу в сети выставлена база данных почившего Breached. Вместе со всеми таблицами, включая инфу на пользователей, их приватные сообщения и платежи. С кучей всего инкриминирующего из чатиков и голыми айпишниками доморощенных хакеров. В свете последнего, напомню, база вместе с серверами с марта в руках у ФБР.
Товарищ Baphomet сообщил, что, судя по 212 тысячам юзеров, база на продажу старая – видимо, со взлома Breached в ноябре прошлого года. На момент закрытия на сайте было 336 тысяч аккаунтов. Два гига инфы уйдут с молотка одному счастливчику, и продавец сообщает о предложениях в четверть миллиона долларов. Между тем в качестве подтверждения он также поделился пользовательской базой с Have I Been Pwned. Так что все плохие мальчики и девочки могут искать себя в прохиндеях Breached на соответствующем сервисе.
@tomhunter
Товарищ Baphomet сообщил, что, судя по 212 тысячам юзеров, база на продажу старая – видимо, со взлома Breached в ноябре прошлого года. На момент закрытия на сайте было 336 тысяч аккаунтов. Два гига инфы уйдут с молотка одному счастливчику, и продавец сообщает о предложениях в четверть миллиона долларов. Между тем в качестве подтверждения он также поделился пользовательской базой с Have I Been Pwned. Так что все плохие мальчики и девочки могут искать себя в прохиндеях Breached на соответствующем сервисе.
@tomhunter
🔥6😁2
#news И снова в эфире… Lazarus. Успели соскучиться? Эстонский сервис криптоплатежей CoinsPaid обвинил группировку во взломе от 22 июля. С платформы стянули ~37 миллионов долларов, и компания заявила, что взломщики «рассчитывали на гораздо большее».
Клиентские средства не затронуты, сам сервис на несколько дней выпал из обработки платежей, а в пресс-релизе жизнерадостно расхваливают свою героическую работу по оставлению северокорейцев с рекордно низким уловом. Ещё больше амбиций у CEO компании, который заявил, что «хакеры точно не уйдут от правосудия». Снарядят ли в CoinsPaid на битки отряд головорезов для инфильтрации в КНДР или отправят запрос на экстрадицию товарищу Ким Чен Ыну, не уточняется. Между тем CoinsPaid работает в той же сфере, что и Alpapho, а это как бы намекает на цели атак северокорейских криптостахановцев в этом сезоне. В общем, Lazarus – это новая Log4j с новостями на каждый день. Оставайтесь с нами.
@tomhunter
Клиентские средства не затронуты, сам сервис на несколько дней выпал из обработки платежей, а в пресс-релизе жизнерадостно расхваливают свою героическую работу по оставлению северокорейцев с рекордно низким уловом. Ещё больше амбиций у CEO компании, который заявил, что «хакеры точно не уйдут от правосудия». Снарядят ли в CoinsPaid на битки отряд головорезов для инфильтрации в КНДР или отправят запрос на экстрадицию товарищу Ким Чен Ыну, не уточняется. Между тем CoinsPaid работает в той же сфере, что и Alpapho, а это как бы намекает на цели атак северокорейских криптостахановцев в этом сезоне. В общем, Lazarus – это новая Log4j с новостями на каждый день. Оставайтесь с нами.
@tomhunter
😁12🔥2
#news Гугл опубликовал ежегодный отчёт об уязвимостях нулевого дня под Андроид. Прошлый год отметился 41 нулевым днём с эксплойтами, что на 40% меньше рекорда 2021-го, принёсшего нам 69 (nice) . Из ключевых моментов, злоумышленники уходят в сторону атак без участия юзера из-за растущей защиты браузеров, больше 40% нулевых – варианты ранее известных уязвимостей.
Но самая мякотка отчёта – это признание, что эксплойты под 0-day и n-day под Андроид одинаковополезны опасны. Как так? А патчей-то нет. Огромные сроки исправления делают известные уязвимости не менее эффективным вектором атаки для злоумышленников. Так, от фикса CVE-2022-22706 в драйвере ARM Mali GPU до интеграции её исправления Андроидом прошло… 17 месяцев. Плюс ещё месяца три на патчи от производителей. И с такими задержками любой n-day эксплойт в сущности остаётся нулевым днём на месяцы, а то и годы. Эффективная работа экосистемы Андроида и никакого мошенничества!
@tomhunter
Но самая мякотка отчёта – это признание, что эксплойты под 0-day и n-day под Андроид одинаково
@tomhunter
🔥8😁4🤬2🤡1
#news По следам WormGPT, языковой модели, натренированной под киберпреступные нужды, всплывают всё новые клоны ChatGPT. Так, некто с говорящим ником CanadianKingpin12 продвигает два чат-бота, FraudGPT и DarkBert, с прицелом на мошенников, хакеров и спамеров.
Всплывший 25 июля FraudGPT заманивает впечатляющим функционалом: и вредоносный код напишет, и фишинговую страницу создаст, и спам-письма предоставит, и утечки с уязвимостями найдёт. В том же ключе работает и DarkBert, обещая обучить любого незадачливого злоумышленника всевозможным киберпреступным навыкам и оформить за него вредоносную кампанию любого формата. Насколько растущий рынок вредоносных чат-ботов повлияет на мир инфобеза, ещё только предстоит оценить. Но один момент некоторые восторженные покупатели киберпреступных чудо-приблуд, наверняка, забудут учесть: никакие FraudGPT с DarkBert’ами за очередного малолетнего бога хакинга сидеть не будут.
@tomhunter
Всплывший 25 июля FraudGPT заманивает впечатляющим функционалом: и вредоносный код напишет, и фишинговую страницу создаст, и спам-письма предоставит, и утечки с уязвимостями найдёт. В том же ключе работает и DarkBert, обещая обучить любого незадачливого злоумышленника всевозможным киберпреступным навыкам и оформить за него вредоносную кампанию любого формата. Насколько растущий рынок вредоносных чат-ботов повлияет на мир инфобеза, ещё только предстоит оценить. Но один момент некоторые восторженные покупатели киберпреступных чудо-приблуд, наверняка, забудут учесть: никакие FraudGPT с DarkBert’ами за очередного малолетнего бога хакинга сидеть не будут.
@tomhunter
🔥5😁4💩2❤1
#news Пока товарищ Мордекай Гури выдумывает изощрённые способы кражи данных с изолированных систем, китайские госхакеры работают по старинке – малварью через флешки. Касперский сообщает о новом китайском вредоносе группировки APT31, с прошлого апреля замеченном в атаках по промышленности в Восточной Европе.
Модульная малварь подтягивает различную нагрузку на разных стадиях. Первый модуль проводит разведку на машине жертвы, второй заражает подключённые флешки через угон DLL экзешником от McAfee и создаёт заманчивый .lnk-файл. Последний же при запуске и заражает изолированную систему, стягивая скрины, логи клавиатуры, заголовки окон, файлы и прочее. И наконец, третий имплант архивирует принесённое жертвой на флешке добро, и затем архив уходит на DropBox. Вариант первого импланта также использует облако Яндекса в качестве С2-сервера, так что малварь продолжает тренд на абьюз легитимных облачных сервисов. Подробнее о китайском поделии в отчёте.
@tomhunter
Модульная малварь подтягивает различную нагрузку на разных стадиях. Первый модуль проводит разведку на машине жертвы, второй заражает подключённые флешки через угон DLL экзешником от McAfee и создаёт заманчивый .lnk-файл. Последний же при запуске и заражает изолированную систему, стягивая скрины, логи клавиатуры, заголовки окон, файлы и прочее. И наконец, третий имплант архивирует принесённое жертвой на флешке добро, и затем архив уходит на DropBox. Вариант первого импланта также использует облако Яндекса в качестве С2-сервера, так что малварь продолжает тренд на абьюз легитимных облачных сервисов. Подробнее о китайском поделии в отчёте.
@tomhunter
🔥6
#news Продолжая тему промышленности, вышел занятный анализ уязвимостей в промышленных системах управления за первое полугодие 2023-го. Результаты, как обычно, удручающие: ~треть уязвимостей, раскрытых за этот период, не имеют исправлений. Это в сравнении с 13 процентами за прошлый год.
Всего за первые полгода сообщили о 670 уязвимостях, из которых 88 критических и 215 высоких. И, собственно, к 227 из них нет патчей. Треть из них в обрабатывающем секторе, четверть – в энергетике. Антирекорд поставила Siemens – в их оборудовании найдена 41 уязвимость. UAF, чтение и запись за пределами буфера, неправильная проверка ввода, состояние гонки – баги на любой вкус. Между тем исследователи сообщают и о росте атак по промышленным объектам: так, по ханипотам безопасников из Nozomi Networks, в среднем, стучатся 813 раз в день с Китаем в топе айпишников. Увы, инфобез в критической инфраструктуре по-прежнему находится на критическом уровне.
@tomhunter
Всего за первые полгода сообщили о 670 уязвимостях, из которых 88 критических и 215 высоких. И, собственно, к 227 из них нет патчей. Треть из них в обрабатывающем секторе, четверть – в энергетике. Антирекорд поставила Siemens – в их оборудовании найдена 41 уязвимость. UAF, чтение и запись за пределами буфера, неправильная проверка ввода, состояние гонки – баги на любой вкус. Между тем исследователи сообщают и о росте атак по промышленным объектам: так, по ханипотам безопасников из Nozomi Networks, в среднем, стучатся 813 раз в день с Китаем в топе айпишников. Увы, инфобез в критической инфраструктуре по-прежнему находится на критическом уровне.
@tomhunter
🔥6❤2
У нас в компании открылась вакансия специалиста по моделированию, сбору и анализу данных цифрового следа. В команду в Санкт-Петербурге нужен человек, не понаслышке знающий о таких вещах, как конкурентная разведка, форензика, ИСУБД и системы визуализации данных. Так что если у вас есть опыт работы в этой области и горячий интерес к OSINT и всему с ним связанному, подробности вакансии выложены на HeadHunter. Оформление по ТК, гибкий график работы, премии и прочие плюшки прилагаются.
@tomhunter
@tomhunter
🤡18💩4❤3🤔3🤬1
#news По следам недавней RCE-уязвимости в Citrix-серверах идёт её активный эксплойт: к 30 июля исследователи насчитали уже 640 взломанных серверов, получивших бэкдоры в виде веб-шеллов. И это лишь малая часть, которую удалось обнаружить. В качестве вредоноса в атаках, судя по всему, идёт вариант China Chopper.
Citrix исправила уязвимость CVE-2023-3519 18 июля, и за последние пару недель число уязвимых серверов сократилось с ~15 тысяч до, кхм, всего ~10 тысяч. Так что прогресс в накатывании патча есть, но довольно неспешный. Неспешный до такой степени, что если патч ещё не установлен, исследователи рекомендуют заранее считать сервер скомпрометированным. CISA также сообщает об активном эксплойте, включая по критической инфраструктуре в Штатах, и требует поставить патч до 9 августа. В общем, перед нами в прямом эфире гонка наперегонки со злоумышленниками формата «Пропатчь меня, если успеешь» с перспективой громких рансомварь-атак. Так что будем следить за развитием событий.
@tomhunter
Citrix исправила уязвимость CVE-2023-3519 18 июля, и за последние пару недель число уязвимых серверов сократилось с ~15 тысяч до, кхм, всего ~10 тысяч. Так что прогресс в накатывании патча есть, но довольно неспешный. Неспешный до такой степени, что если патч ещё не установлен, исследователи рекомендуют заранее считать сервер скомпрометированным. CISA также сообщает об активном эксплойте, включая по критической инфраструктуре в Штатах, и требует поставить патч до 9 августа. В общем, перед нами в прямом эфире гонка наперегонки со злоумышленниками формата «Пропатчь меня, если успеешь» с перспективой громких рансомварь-атак. Так что будем следить за развитием событий.
@tomhunter
🔥8🤡2🤯1💩1