#news О китайских госхакерах пишем часто, но у их оппонентов от мира геополитики – США – тоже есть АНБ. Сегодня вспомним о них. Так, спустя десять лет после утечек от Сноудена Китай признал атаку США по серверам Huawei в 2009-м. Тогда целью стал главный офис компании с заходом на взлом и мониторинг систем Huawei.
В свежем отчёте Министерства Госбезопасности Китай сообщает о систематических атаках США по их инфраструктуре с целью кибершпионажа. Недавней целью стал Северо-Западный политехнический университет, за взломом которого в сентябре 2022-го также стояло АНБ. Китай обвиняет США в давлении на компании с целью получить доступ к бэкдорам в их системах. А также упоминает американскую компанию Anomaly Six, якобы внедрившую спайварь во многие мобильные приложения. В общем, кибервойна между сверхдержавами продолжает набирать обороты, а паровозик истории неумолимо везёт нас прямиком в киберпанковое будущее.
@tomhunter
В свежем отчёте Министерства Госбезопасности Китай сообщает о систематических атаках США по их инфраструктуре с целью кибершпионажа. Недавней целью стал Северо-Западный политехнический университет, за взломом которого в сентябре 2022-го также стояло АНБ. Китай обвиняет США в давлении на компании с целью получить доступ к бэкдорам в их системах. А также упоминает американскую компанию Anomaly Six, якобы внедрившую спайварь во многие мобильные приложения. В общем, кибервойна между сверхдержавами продолжает набирать обороты, а паровозик истории неумолимо везёт нас прямиком в киберпанковое будущее.
@tomhunter
🔥13🤡2💩1
#news По следам истории с редиректом на малварь на сайте Free Download Manager разработчик признал проблему. И сообщил, что за этим стояли некие украинские хакеры. На сайте был уязвимый скрипт, в котором поковырялись злоумышленники и настроили редирект на малварь для линуксоидов. При этом разработчик не только не знал об эксплойте, но и ненароком исправил его в рутинном обновлении сайта в 2022-м. И редирект отвалился.
Между тем малварь получили меньше 0,1% юзеров, качавших FDM – у злоумышленников были фильтры под айпишники из разных подсетей. В том числе от Google и Bing. Видимо, поэтому проблема осталась незамеченной. Но разработчик всё же выпустил скрипт для обнаружения малвари. Но оговаривается, что для её удаления стоит «переустанавливать систему». Осталось найти линуксоида, два-три года просидевшего на одной сборке.
@tomhunter
Между тем малварь получили меньше 0,1% юзеров, качавших FDM – у злоумышленников были фильтры под айпишники из разных подсетей. В том числе от Google и Bing. Видимо, поэтому проблема осталась незамеченной. Но разработчик всё же выпустил скрипт для обнаружения малвари. Но оговаривается, что для её удаления стоит «переустанавливать систему». Осталось найти линуксоида, два-три года просидевшего на одной сборке.
@tomhunter
😁11🔥4🤡3
#news Когда речь заходит о мобильном операторе T-Mobile, удивительные истории никогда не заканчиваются. Так, последние пару недель в их приложении был занятный глитч: пользователи могли видеть информацию со сразу нескольких чужих аккаунтов. Имена, номера, адреса, баланс и часть данных кредитки.
Реакция от компании не менее хороша. Несмотря на огромный поток жалоб со стороны юзеров на проблему и молчание техподдержки на протяжение больше двух недель, в T-Mobile заявили, что она затронула меньше 100 клиентов из-за пошедшего не по плану планового ночного обновления. Ночь, как водится в таких случаях, видимо, полярная. Но компания поспешила заверить, что это не был результат взлома. Заверение своевременное: с 2018-го года T-Mobile взламывали 9 (девять) раз. То, что в этот раз просто с апдейтом накосячили, – уже прогресс. После этого их историями с сим-свопингом на публичных персон уже никого не удивишь.
@tomhunter
Реакция от компании не менее хороша. Несмотря на огромный поток жалоб со стороны юзеров на проблему и молчание техподдержки на протяжение больше двух недель, в T-Mobile заявили, что она затронула меньше 100 клиентов из-за пошедшего не по плану планового ночного обновления. Ночь, как водится в таких случаях, видимо, полярная. Но компания поспешила заверить, что это не был результат взлома. Заверение своевременное: с 2018-го года T-Mobile взламывали 9 (девять) раз. То, что в этот раз просто с апдейтом накосячили, – уже прогресс. После этого их историями с сим-свопингом на публичных персон уже никого не удивишь.
@tomhunter
🔥5😁4❤1
#news В штатах поймали дисконтную версию инфобез-Штирлица. Простой работник техподдержки Бюро разведки Госдепа США Абрахам Лемма с декабря прошлого года выгрузил больше 100 разведывательных отчётов и передал их… Эфиопии. Товарищ Лемма, гражданин США родом из этой страны, оказался эфиопским шпионом. И имел доступ к конфиденциальным данным с 2020-го.
Секретные документы и карты, фото военных баз, данные со спутников в регионе – всё это Лемма писал на болванки, выносил из Госдепа и передавал через мессенджер разведке Эфиопии. За свои труды он получил ~$100 тысяч из поездок на родину. Профессионализм африканского шпиона соответствовал ценнику: сразу после кражи данных и по возвращению в США Лемма закидывал грязную шпионскую наличку на свой счёт и ругался на требования банка заполнить отчёт о валютных операциях. Подозрения он также вызвал ведением непонятных заметок на рабочем месте. По обвинениям в шпионаже этому горемыке грозит вплоть до смертной казни или пожизненного.
@tomhunter
Секретные документы и карты, фото военных баз, данные со спутников в регионе – всё это Лемма писал на болванки, выносил из Госдепа и передавал через мессенджер разведке Эфиопии. За свои труды он получил ~$100 тысяч из поездок на родину. Профессионализм африканского шпиона соответствовал ценнику: сразу после кражи данных и по возвращению в США Лемма закидывал грязную шпионскую наличку на свой счёт и ругался на требования банка заполнить отчёт о валютных операциях. Подозрения он также вызвал ведением непонятных заметок на рабочем месте. По обвинениям в шпионаже этому горемыке грозит вплоть до смертной казни или пожизненного.
@tomhunter
😁15🤯7🔥2
#news Google и Apple подверглись резкой критике за неполную информацию о критических уязвимостях. Пару недель назад обе компании сообщили о уязвимостях в своих продуктах: во фреймворке у Эппл для чтения и записи изображений, включая WebP – эту CVE активно эксплойтил Pegasus. И в Хроме, тоже связанная с этим форматом. И обе на переполнение буфера. Чуете подвох?
Как быстро выяснилось, у уязвимостей общий источник – ошибка в библиотеке кода libwebp для обработки WebP-изображений. О чём компании и исследователи из CitizenLab, обнаружившие уязвимости, забыли сообщить. Маленькая недосказанность об уязвимой библиотеке ставит под удар все программные продукты, в которые она интегрирована. Сколько софта уязвимо? Вопрос хороший: libwebp интегрирована в миллионы приложений, ну а в образах контейнеров от Wordpress, Nginx, Python и прочего библиотека засветилась в более 5 миллиардах скачиваний. В общем, масштабы проблемы Гугл с Эпплом замолчали. Самую малость.
@tomhunter
Как быстро выяснилось, у уязвимостей общий источник – ошибка в библиотеке кода libwebp для обработки WebP-изображений. О чём компании и исследователи из CitizenLab, обнаружившие уязвимости, забыли сообщить. Маленькая недосказанность об уязвимой библиотеке ставит под удар все программные продукты, в которые она интегрирована. Сколько софта уязвимо? Вопрос хороший: libwebp интегрирована в миллионы приложений, ну а в образах контейнеров от Wordpress, Nginx, Python и прочего библиотека засветилась в более 5 миллиардах скачиваний. В общем, масштабы проблемы Гугл с Эпплом замолчали. Самую малость.
@tomhunter
🤯10🤡3🔥2
#news Неделя завершается на минорной ноте: в канале украинского сообщества KibOrg утверждают, что хакеры из некой Muppets взломали базу данных российской компании «Сирена-Трэвел». В ней данные пассажиров авиакомпаний, информация об авиаперелётах, бронированиях и страховках. Всего ничего: две базы на 3,4 миллиарда и 664,5 миллиона записей с 2007-го по 2023-й годы. 664 миллиона перелётов.
Пока ждём подтверждения подлинности базы, но предварительно пишут, что данные в выложенном сэмпле на 3 миллиона строк бьются с реальными. Сами хакеры заявляют, что не планируют сливать базу в открытый доступ. А рассчитывают делиться сведениями с журналистами-расследователями, создать бота под платные запросы в базу или… передать её СБУ. Недавно горько шутил про неизбежный слив данных на всех и каждого россиянина. Но как-то они потекли совсем уже не туда.
@tomhunter
Пока ждём подтверждения подлинности базы, но предварительно пишут, что данные в выложенном сэмпле на 3 миллиона строк бьются с реальными. Сами хакеры заявляют, что не планируют сливать базу в открытый доступ. А рассчитывают делиться сведениями с журналистами-расследователями, создать бота под платные запросы в базу или… передать её СБУ. Недавно горько шутил про неизбежный слив данных на всех и каждого россиянина. Но как-то они потекли совсем уже не туда.
@tomhunter
❤11😁6🤬6😢2🤯1🎉1
#news Неделя начинается с интересных законодательных инициатив: согласно новому проекту от Минцифры, провайдеры будут обязаны устанавливать личность своих клиентов. Теперь фишинговый сайт на ру-хостинге злоумышленникам будет не собрать без ручного бомжа.
Подать прошение о самоидентификации можно будет через «Госуслуги» и Единую биометрическую систему, с помощью УКЭП, переводом со счёта в банке России или страны ЕАЭС и предоставлением документов лично. Физические лица обойдутся паспортом или иным документом, удостоверяющим личность. С ИПшников спросят выписку из ЕГРИП. Справочку из реестра запросят и у юридических лиц, а также ни много ни мало документ, подтверждающий полномочия на заключение договора с хостером. Всё это удовольствие ожидается к 1 декабря 2023-го. В общем, без бумажки ты, дорогой аноним, букашка дрожащая, а с бумажкой право на хостинг имеешь.
@tomhunter
Подать прошение о самоидентификации можно будет через «Госуслуги» и Единую биометрическую систему, с помощью УКЭП, переводом со счёта в банке России или страны ЕАЭС и предоставлением документов лично. Физические лица обойдутся паспортом или иным документом, удостоверяющим личность. С ИПшников спросят выписку из ЕГРИП. Справочку из реестра запросят и у юридических лиц, а также ни много ни мало документ, подтверждающий полномочия на заключение договора с хостером. Всё это удовольствие ожидается к 1 декабря 2023-го. В общем, без бумажки ты, дорогой аноним, букашка дрожащая, а с бумажкой право на хостинг имеешь.
@tomhunter
🤡16💩6🔥5😁4❤2
#news Для переживавших о возможной блокировке WhatsApp на территории РФ пришли относительно хорошие новости. Теперь ограничения его работы из-за появления функции каналов можно не ждать: экстремистская и запрещённая компания, владеющая мессенджером, отложила запуск сервиса в России.
Так что никаких каналов с запрещённой информацией и прочего массового распространения преступного контента на территории РФ от WhatsApp не предвидится, можно выдыхать. 150 стран, в которых функция появится, теперь под постоянной угрозой всяческого противоправного, ну а мы можем спать спокойно – сонную идиллию придомовых чатов никакие сомнительные сервисы не потревожат. Нужно всё же отдать должное экстремистской компании – работают с оглядкой на национальную специфику. Нет функции – нет проблемы. Не то что всякие там Телеграмы.
@tomhunter
Так что никаких каналов с запрещённой информацией и прочего массового распространения преступного контента на территории РФ от WhatsApp не предвидится, можно выдыхать. 150 стран, в которых функция появится, теперь под постоянной угрозой всяческого противоправного, ну а мы можем спать спокойно – сонную идиллию придомовых чатов никакие сомнительные сервисы не потревожат. Нужно всё же отдать должное экстремистской компании – работают с оглядкой на национальную специфику. Нет функции – нет проблемы. Не то что всякие там Телеграмы.
@tomhunter
😁14❤3🔥1🤬1
#news ТикТок снова подкидывает жемчужины бытового инфобеза. В видеороликах на платформе распространяют фейковые утечки обнажённых фото знаменитостей. Но вместо малвари и криптоскама идёт кое-что оригинальней. Продвижение реферальных кодов в онлайн-магазине Temu.
Китайская барахолка формата Wildberries на максималках позволяет создавать реферальные коды – так платформа экономит на рекламе. Это не только отличный способ получить бан от всех знакомых, но и источник бонусов и подарков. Ну а те, кого друзья уже забанили, отправились в ТикТок. Схема элементарная, как и средний юзер сервиса: видео просто предлагают скачать приложение Temu и ввести код. С одной стороны, можно представить разочарование юзера, не обнаружившего обнажённую Дженну Ортегу в приложении магазина. С другой, в этот раз хотя бы без инфостилера. И то добро.
@tomhunter
Китайская барахолка формата Wildberries на максималках позволяет создавать реферальные коды – так платформа экономит на рекламе. Это не только отличный способ получить бан от всех знакомых, но и источник бонусов и подарков. Ну а те, кого друзья уже забанили, отправились в ТикТок. Схема элементарная, как и средний юзер сервиса: видео просто предлагают скачать приложение Temu и ввести код. С одной стороны, можно представить разочарование юзера, не обнаружившего обнажённую Дженну Ортегу в приложении магазина. С другой, в этот раз хотя бы без инфостилера. И то добро.
@tomhunter
😁8🔥1
#news Банковский троян Xenomorph, впервые всплывший в феврале 2022-го, засветился в очередной кампании. И как полагается порядочному киберпаразиту, ксеноморф продолжает расти и хорошеть. Теперь троян нацелен на десятки американских банков и криптокошельки, включая Bitcoin Binance и Coinbase.
В своих свежайших версиях Xenomorph также может похвастаться автоматической системой переводов для стягивания средств с устройств жертв, обходом MFA, кражей куки и работой под 400 банков по всему миру. Плюс функциями мимикрирования под легитимные приложения и отключения спящего режима, блокирующего выключение экрана. В запущенной в августе кампании троян распространяют под видом обновления Chrome или Google Play. Подробнее о ксеноморфе, давно доросшем до полноценной взрослой особи, читайте в отчёте от ThreatFabric.
@tomhunter
В своих свежайших версиях Xenomorph также может похвастаться автоматической системой переводов для стягивания средств с устройств жертв, обходом MFA, кражей куки и работой под 400 банков по всему миру. Плюс функциями мимикрирования под легитимные приложения и отключения спящего режима, блокирующего выключение экрана. В запущенной в августе кампании троян распространяют под видом обновления Chrome или Google Play. Подробнее о ксеноморфе, давно доросшем до полноценной взрослой особи, читайте в отчёте от ThreatFabric.
@tomhunter
❤4🔥2🤯2
#news WhatsApp-каналы до нас не дошли, а вот Binance от нас уходит: криптобиржа сообщила о прекращении деятельности в России. Полном и безоговорочном, с продажей бизнеса без права на получение части прибыли и возможности обратного выкупа.
Новых юзеров частично переправят на CommEx. Переход же пользователей на другую платформу и отключение от Binance займёт до одного года. А может, и не займёт. Так что спешите спасать дорогие сердцу цифровые монетки и выводить их на платформы более дружелюбные к нам, обладателям чёрной метки поневоле на годы вперёд. Binance сообщает о направлении освободившейся энергии на развитие биржи в более чем 100 странах, где она продолжит функционировать. И крипта, и крипта на Бинансе встретит бычьего рынка рассвет, не заметив, что нас уже нет. Что ж, альтернатив у биржи достаточно. Ещё можно вспомнить про натуральный обмен.
@tomhunter
Новых юзеров частично переправят на CommEx. Переход же пользователей на другую платформу и отключение от Binance займёт до одного года. А может, и не займёт. Так что спешите спасать дорогие сердцу цифровые монетки и выводить их на платформы более дружелюбные к нам, обладателям чёрной метки поневоле на годы вперёд. Binance сообщает о направлении освободившейся энергии на развитие биржи в более чем 100 странах, где она продолжит функционировать. И крипта, и крипта на Бинансе встретит бычьего рынка рассвет, не заметив, что нас уже нет. Что ж, альтернатив у биржи достаточно. Ещё можно вспомнить про натуральный обмен.
@tomhunter
😢5😁4🔥1
#news Вслед за развернувшимся на днях скандалом с Google и Apple, скрывшими детали исправленной компаниями уязвимости, Гугл раскрывает карты. Встречайте CVE-2023-5129, уязвимость ни в каком не Хроме, а в библиотеке libwebp. Десяточка по шкале CVSS.
Спустя две недели после выпущенных Гуглом исправлений и замалчивания проблемы, у нас официально есть критическая уязвимость, возможно, эксплойты. Ошибка на переполнение буфера в Webp, а с ней и произвольное выполнение кода, и прочие радости. Под угрозой, соответственно, всё ПО и платформы, в которых интегрирована эта библиотека. В том числе Signal, 1password, нативные браузеры под Андроид и полдюжины десктопных. В общем-то, проще сказать, где libwebp не встроена. Гугл по следам своего конфуза комментарии давать не спешит. Оно и понятно.
@tomhunter
Спустя две недели после выпущенных Гуглом исправлений и замалчивания проблемы, у нас официально есть критическая уязвимость, возможно, эксплойты. Ошибка на переполнение буфера в Webp, а с ней и произвольное выполнение кода, и прочие радости. Под угрозой, соответственно, всё ПО и платформы, в которых интегрирована эта библиотека. В том числе Signal, 1password, нативные браузеры под Андроид и полдюжины десктопных. В общем-то, проще сказать, где libwebp не встроена. Гугл по следам своего конфуза комментарии давать не спешит. Оно и понятно.
@tomhunter
🤯15🔥2🤬1🤡1
#news Sony расследует заявления о взломе, произошедшем на этой неделе. Пока компания не спешит давать комментарии, среди киберпреступников развернулась баталия за право взять на себя ответственность за атаку. Группировка RansomedVC сообщила о взломе Sony[.]com и выставила на продажу данные и доступ. Но тут объявился некто MajorNelson, заявил о подлоге и слил жирный архив. После этого на хакерском форуме начался сущий кошмар.
RansomedVC утверждают, что стянули 260GB данных и требуют $2,5 миллиона за них. При этом в их сэмпле всего 2MB данных. Товарищ майор Нельсон же слил 3,14GB якобы с ключами и данными с SonarQube, Creators Cloud, сертификатами Sony и прочим. Слитое предварительно действительно от компании, но кто взломал и с кем вести задушевные беседы о выкупе – пока, очевидно, непонятно. В общем, Sony везёт на увлекательные инфобез-истории – то их северокорейцы взломают по заказу партии, то теперь вот это.
@tomhunter
RansomedVC утверждают, что стянули 260GB данных и требуют $2,5 миллиона за них. При этом в их сэмпле всего 2MB данных. Товарищ майор Нельсон же слил 3,14GB якобы с ключами и данными с SonarQube, Creators Cloud, сертификатами Sony и прочим. Слитое предварительно действительно от компании, но кто взломал и с кем вести задушевные беседы о выкупе – пока, очевидно, непонятно. В общем, Sony везёт на увлекательные инфобез-истории – то их северокорейцы взломают по заказу партии, то теперь вот это.
@tomhunter
😁13💯2❤1🔥1🎉1
#news Ростех сообщил о масштабной DDoS-атаке по системе бронирования авиабилетов Leonardo. Произошла она, как водится, из-за рубежа. В результате у «Аэрофлота» и «Победы» возникли проблемы с регистрациями на рейсы из-за сбоев в системе. Это привёло к задержке нескольких рейсов в среднем на полчаса. Отвалилось как бронирование, так и онлайн-регистрация, а в аэропортах она шла по старинке, вручную.
При этом сегодняшняя атака лишь самая заметная – они идут по системе регулярно и массово. Так, за последние месяцы их были десятки, и пять зафиксировали в одном только сентябре. В общем, стальные грозы на киберфронтах не утихают, и с попытками нарушить работу критической инфраструктуры мы продолжаем сталкиваться каждый день.
@tomhunter
При этом сегодняшняя атака лишь самая заметная – они идут по системе регулярно и массово. Так, за последние месяцы их были десятки, и пять зафиксировали в одном только сентябре. В общем, стальные грозы на киберфронтах не утихают, и с попытками нарушить работу критической инфраструктуры мы продолжаем сталкиваться каждый день.
@tomhunter
🔥6🤬3🤡2😁1🤯1😢1
#news В эфире любимая рубрика «Брайан Кребс и сколько нам его открытий чудных». Так, сегодня речь про рансомварь-группировку Snatch. У товарищей есть сайт для слива данных жертв в Торе. Но помимо оных сайт сливает ещё и реальные айпишники посетителей этого сомнительного ресурса. Иронично, не правда ли? Страница «Server Status» доступна всем желающим.
Так, на ней мы узнаём, что активней всего на сайт стучится айпишник из Екатеринбурга, где стоит сервер, на котором крутятся домены Snatch. Другой айпи с их доменами постукивает из Москвы. Ну а зарегистрированы они на некий псевдоним Михаил Колесников, под чьим именем за последние 10 лет регали 1,300 доменов под фейковые сайты для распространения малвари, в том числе через Google Ads. Ну а во второй части поста Кребс обещает подробности о группировке и её основателе. Очевидно, каком-нибудь очередном нашем соотечественнике. Оставайтесь на связи.
@tomhunter
Так, на ней мы узнаём, что активней всего на сайт стучится айпишник из Екатеринбурга, где стоит сервер, на котором крутятся домены Snatch. Другой айпи с их доменами постукивает из Москвы. Ну а зарегистрированы они на некий псевдоним Михаил Колесников, под чьим именем за последние 10 лет регали 1,300 доменов под фейковые сайты для распространения малвари, в том числе через Google Ads. Ну а во второй части поста Кребс обещает подробности о группировке и её основателе. Очевидно, каком-нибудь очередном нашем соотечественнике. Оставайтесь на связи.
@tomhunter
😁14❤2🔥2🤡2
#news Про малварь в Google Ads все наслышаны, как насчёт вредоноса в чат-боте Bing Chat от Microsoft? Но суть, в принципе, та же. При запросе на скачивание софта ИИ-болванчик услужливо выдаёт ссылки из поиска. И первой показывает рекламную вместо ведущей на сайт с софтом – с марта Майкрософт пустила в бота рекламу. Ну а в ней, как водится, малварь.
В этом случае речь идёт про IP Scanner для сисадминов и Mycase law manager для юристов. Некий злоумышленник взломал рекламный аккаунт австралийской компании и создал объявления с вредоносом. По ссылкам клоны оригинальных сайтов, в MSI-установщике скрипт, подтягивающий неизвестную малварь. Скорее всего, как обычно, инфостилеры или RAT’ы. В общем, в Майкрософт решили не отставать от Гугла. Роль главного поставщика малвари в мире им, конечно, не отбить. Но посильный вклад вносят.
@tomhunter
В этом случае речь идёт про IP Scanner для сисадминов и Mycase law manager для юристов. Некий злоумышленник взломал рекламный аккаунт австралийской компании и создал объявления с вредоносом. По ссылкам клоны оригинальных сайтов, в MSI-установщике скрипт, подтягивающий неизвестную малварь. Скорее всего, как обычно, инфостилеры или RAT’ы. В общем, в Майкрософт решили не отставать от Гугла. Роль главного поставщика малвари в мире им, конечно, не отбить. Но посильный вклад вносят.
@tomhunter
😁14🔥3
#cve На Хабре наша традиционная подборка самых интересных уязвимостей за прошедший месяц. Сегодня из примечательного ворох уязвимостей в продуктах от TP-Link и D-Link, в том числе и критических, которые пока не получили исправлений. Также засветилась критическая уязвимость в GitLab, произвольный код в софте от Apple и привычная россыпь багов в компонентах от Google Chrome. За подведением итогов первого осеннего месяца добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥5❤2
#news В Cloudflare обнаружили занятные уязвимости в механизмах защиты от DDoS-атак. Что их делает интересными – это, собственно, логические ошибки в контроле безопасности между самими клиентами. И для эксплойта достаточно простого… бесплатного аккаунта от самой Cloudflare.
Первая уязвимость завязана на проверку запросов в сети Cloudflare – от клиента к клиенту всё завязано на общий сертификат SSL/TLS. Вторая же обходит разрешение на трафик к серверам клиентов только с айпи от Cloudflare. В обоих случаях в дело идёт кастомный домен от Cloudflare с отключёнными функциями защиты. В итоге вредоносный трафик идёт через их инфраструктуру и расценивается системой как легитимный. И Cloudflare становится удобным инструментом для DDoS-атак, что довольно иронично. Комментариев по такому оригинальном эксплойту их систем компания пока не давала и закрыла репорт на H1 с пометкой «Информативно». Ну, действительно информативно же.
@tomhunter
Первая уязвимость завязана на проверку запросов в сети Cloudflare – от клиента к клиенту всё завязано на общий сертификат SSL/TLS. Вторая же обходит разрешение на трафик к серверам клиентов только с айпи от Cloudflare. В обоих случаях в дело идёт кастомный домен от Cloudflare с отключёнными функциями защиты. В итоге вредоносный трафик идёт через их инфраструктуру и расценивается системой как легитимный. И Cloudflare становится удобным инструментом для DDoS-атак, что довольно иронично. Комментариев по такому оригинальном эксплойту их систем компания пока не давала и закрыла репорт на H1 с пометкой «Информативно». Ну, действительно информативно же.
@tomhunter
😁13🔥5❤1
#news К новинкам малвари, сегодня у нас BunnyLoader. Появившийся в даркнете всего месяц назад вредонос распространяют по схеме M-a-a-S. При этом он уже сейчас может похвастаться неплохим функционалом.
BunnyLoader написан на C/C++, имеет безфайловый загрузчик, функции инфостилера, клиппера и криптокрада, подтягивание допнагрузки, удалённые команды, обход анализа, веб-панель и прочие радости. И всё это удовольствие по ценнику $250 за пожизненную лицензию. При этом за сентябрь разработчики малвари выпустили десяток версий своего поделия, с обновлениями почти на каждый день. В общем, апдейты у вредоносного кролика идут с той же скоростью, что и обновление популяции у кроликов реальных. Так что к опасному новичку стоит присмотреться. Подробнее о BunnyLoader читайте в отчёте.
@tomhunter
BunnyLoader написан на C/C++, имеет безфайловый загрузчик, функции инфостилера, клиппера и криптокрада, подтягивание допнагрузки, удалённые команды, обход анализа, веб-панель и прочие радости. И всё это удовольствие по ценнику $250 за пожизненную лицензию. При этом за сентябрь разработчики малвари выпустили десяток версий своего поделия, с обновлениями почти на каждый день. В общем, апдейты у вредоносного кролика идут с той же скоростью, что и обновление популяции у кроликов реальных. Так что к опасному новичку стоит присмотреться. Подробнее о BunnyLoader читайте в отчёте.
@tomhunter
🔥8❤1
#news ФСБ выступила с ещё одной занятной инициативой: предлагают обязать сервисы хранить данные о геолокации пользователей и средствах платежа. Такой проект постановления появился на сайте правительства.
В ведомстве отмечают, что сейчас эти сведения в правила напрямую не внесены, но по сути в них упоминаются и обрабатываются. Что, в свою очередь, «формирует неоднозначную правоприменительную практику». А в порядочном ведомстве, как водится, всё должно быть однозначно. Крупные агрегаторы и прочие обитатели реестра распространения информации, вроде VK и Яндекса, комментарии пока давать не спешат и ждут окончательных формулировок. Ну а неискушённые и просто неоднозначные юзеры по следам новости уже спешат брать пример с наученных жизнью инфобез-параноиков и ставят Fake GPS.
@tomhunter
В ведомстве отмечают, что сейчас эти сведения в правила напрямую не внесены, но по сути в них упоминаются и обрабатываются. Что, в свою очередь, «формирует неоднозначную правоприменительную практику». А в порядочном ведомстве, как водится, всё должно быть однозначно. Крупные агрегаторы и прочие обитатели реестра распространения информации, вроде VK и Яндекса, комментарии пока давать не спешат и ждут окончательных формулировок. Ну а неискушённые и просто неоднозначные юзеры по следам новости уже спешат брать пример с наученных жизнью инфобез-параноиков и ставят Fake GPS.
@tomhunter
🤬7😁4🤡4🔥2❤1😢1🎉1💯1
#news В Линуксе обнаружили уязвимость на получение рут-прав через эксплойт переполнения буфера. Почему в Линуксе? А уязвимость в базовой библиотеке glibc. Которая, собственно, присутствует в большинстве дистрибутивов. Fedora, Ubuntu, Debian и далее по списку – сколько систем под угрозой, представите сами.
Уязвимость появилась в апреле 2021-го года с выходом версии glibc 2.34. Она скрывается в динамическом загрузчике ld[.]so, который обрабатывает переменную среды GLIBC_TUNABLES. Соответственно, вредоносные переменные позволят злоумышленнику выполнить произвольный код. Атака простенькая, особых прав не требует, как и участия юзера. Выдыхать могут юзеры дистрибутива Alpine, которых уязвимость обошла стороной. Ну а всем прочим нужно срочно озаботиться накатыванием патчей. Подробнее о CVE-2023-4911 читайте в блоге.
@tomhunter
Уязвимость появилась в апреле 2021-го года с выходом версии glibc 2.34. Она скрывается в динамическом загрузчике ld[.]so, который обрабатывает переменную среды GLIBC_TUNABLES. Соответственно, вредоносные переменные позволят злоумышленнику выполнить произвольный код. Атака простенькая, особых прав не требует, как и участия юзера. Выдыхать могут юзеры дистрибутива Alpine, которых уязвимость обошла стороной. Ну а всем прочим нужно срочно озаботиться накатыванием патчей. Подробнее о CVE-2023-4911 читайте в блоге.
@tomhunter
🔥6❤1🤯1