#news Алон Левиев выложил в свободный доступ инструмент Windows Downdate, позволяющий откатывать обновления Windows. C его помощью можно откатить компоненты Windows 10, 11 и Server до базовых версий, включая Hyper-V, ядро и драйверы NTFS.
На Black Hat 2024 Левиев продемонстрировал откат патчей для нескольких критических уязвимостей, обход защиты VBS и UEFI и прочие трюка формата «Назад в Будущее или как превратить тысячи исправленных уязвимостей в нулевые дни». Как сообщил исследователь, атаки с помощью инструмента EDR-решения не видят, и откат не замечает WIndows Update. Одну из уязвимостей, допускающих downgrade-атаки, Microsoft уже исправила, но вторая всё ещё ждёт патча. До его выхода есть только не очень удобные костыли. Подробнее об атаке здесь, а сам инструмент доступен на Github.
@tomhunter
На Black Hat 2024 Левиев продемонстрировал откат патчей для нескольких критических уязвимостей, обход защиты VBS и UEFI и прочие трюка формата «Назад в Будущее или как превратить тысячи исправленных уязвимостей в нулевые дни». Как сообщил исследователь, атаки с помощью инструмента EDR-решения не видят, и откат не замечает WIndows Update. Одну из уязвимостей, допускающих downgrade-атаки, Microsoft уже исправила, но вторая всё ещё ждёт патча. До его выхода есть только не очень удобные костыли. Подробнее об атаке здесь, а сам инструмент доступен на Github.
@tomhunter
🔥11🤔8❤2😁1
#news К новинкам фишинга, на очереди инновации с QR-кодами. Злоумышленники используют оригинальный метод обхода анализа изображений: QR собирают из юникода. Несмотря на то, что они текстовые, такие QR-коды всё ещё отлично считываются камерами. Обнаружение затрудняет также и то, что простым текстом они выглядят совсем иначе, чем как отображаются на экране.
Существующие методы анализа против таких кодов неэффективны, так что новая угроза требует новых же решений. И хотя может показаться, что такой фишинг будет не особо эффективен, в конце 2023-го число атак с QR-кодами выросло на 587%, а за первые пару недель 2024-го исследователи зафиксировали 20 тысяч таких фишинговых атак. Так что не стоит недооценивать готовность среднего юзера сканировать что попало. Проверку концепции QR-кода из юникода можно подсмотреть здесь.
@tomhunter
Существующие методы анализа против таких кодов неэффективны, так что новая угроза требует новых же решений. И хотя может показаться, что такой фишинг будет не особо эффективен, в конце 2023-го число атак с QR-кодами выросло на 587%, а за первые пару недель 2024-го исследователи зафиксировали 20 тысяч таких фишинговых атак. Так что не стоит недооценивать готовность среднего юзера сканировать что попало. Проверку концепции QR-кода из юникода можно подсмотреть здесь.
@tomhunter
🤯5🔥4❤2
#news Лайфхак от нашего руководителя департамента расследований. Как выявлять слежку за вами при помощи BT-трекеров (AirTag и пр.)?
📱 Если Вы - владелец Android, то рекомендуем обновить свою мобильную ОС до 14 версии. Это позволит открыть в настройках возможность автоматического обнаружения BT-трекеров. Находится менюшку по адресу:
🍏 Для фанатов и владельцев Apple предусмотрено автоматическое обнаружение BT-трекеров только одного типа - AirTag (от той же Apple). Бардак...
📱 🍏 Дабы устранить несправедливость в отношении пользователей Apple и старых Android, порекомендуем поставить на смартфон приложение AirGuard, которое позволит обнаруживать все популярные BT-трекеры, "шастающие" вокруг вас.
@tomhunter
Настройки > Безопасность и экстренные ситуации > Оповещения о неизвестных трекерах
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🤔3🔥2
#news Павел Дуров освобождён под залог в €5 миллионов. Ему запретили покидать Францию, он должен дважды в неделю отмечаться в полиции. Абсурдные обвинения идут по ранее озвученным статьям, включая отказ от сотрудничества, незаконное предоставление средств криптографии и соучастие в распространении наркотиков и прочего крамольного. Так что эпопея продолжается.
Между тем для любителей OSINT на скриншоте наглядный пример, почему не надо возить с собой в деловые поездки инстаграмных девок. Они задокументируют онлайн всё. Вообще всё. Включая визиты в азербайджанский центр кибербезопасности перед полётом во Францию. С подписью «Побывали в Министерстве Кибербезопаcности». Майор Вавилова по приказу прибыла, желаю здравия.
@tomhunter
Между тем для любителей OSINT на скриншоте наглядный пример, почему не надо возить с собой в деловые поездки инстаграмных девок. Они задокументируют онлайн всё. Вообще всё. Включая визиты в азербайджанский центр кибербезопасности перед полётом во Францию. С подписью «Побывали в Министерстве Кибербезопаcности». Майор Вавилова по приказу прибыла, желаю здравия.
@tomhunter
😁33🔥4💯2🤡1
#news Очередная поучительная история о попытке вымогательства в адрес работодателя. 57-летний разработчик из США зашёл в сеть своей компании под админкой и поставил запланированные задания на смену паролей админа, администраторов домена и юзеров. В прошлом ноябре в час Х он разослал по компании письма «Ваша сеть взломана».
Злоумышленник потребовал выкуп в $700 тысяч в битках и угрожал отключать по 40 серверов в день, пока его не выплатят. Под это он тоже предусмотрительно поставил задания. Увы, шалость не удалась. А на ноутбуке товарища нашли историю доступа к скрытой виртуалке, с которой он гуглил детали своего плана вплоть до «Командная строка для смены пароля администратора». На днях горе-шантажиста повязали и предъявили обвинения в вымогательстве, порче оборудования и электронном мошенничестве. Что бывает, когда почитал об успехах рансомварщиков и слишком поверил в себя.
@tomhunter
Злоумышленник потребовал выкуп в $700 тысяч в битках и угрожал отключать по 40 серверов в день, пока его не выплатят. Под это он тоже предусмотрительно поставил задания. Увы, шалость не удалась. А на ноутбуке товарища нашли историю доступа к скрытой виртуалке, с которой он гуглил детали своего плана вплоть до «Командная строка для смены пароля администратора». На днях горе-шантажиста повязали и предъявили обвинения в вымогательстве, порче оборудования и электронном мошенничестве. Что бывает, когда почитал об успехах рансомварщиков и слишком поверил в себя.
@tomhunter
😁17🤡5❤1
#news RansomHub обзавелась собственной страницей на сайте CISA. Как сообщает ФБР, с февраля 2024-го на счету группировки больше двухсот жертв по всей критической инфраструктуре США и не только.
Группировка в основном работает по вымогательству после кражи данных, но не стесняется и шифрования — ранее RansomHub уже обозначили как потенциальных покупателей исходников рансомвари Knight. В последнее время группировке также удалось переманить крупные фигуры из LockBit и BlackCat за счёт более чем щедрой схемы выплат по партнёрке. Что интересно, группировка также позволяет партнёрам работать в других RaaS-операциях. Так что, скорее всего, о RansomHub в ближайшие пару лет мы услышим ещё не раз. До первых визитов ФБР на их сервера. Подробнее о деятельности группировки, её TTPs и IoCs в отчёте.
@tomhunter
Группировка в основном работает по вымогательству после кражи данных, но не стесняется и шифрования — ранее RansomHub уже обозначили как потенциальных покупателей исходников рансомвари Knight. В последнее время группировке также удалось переманить крупные фигуры из LockBit и BlackCat за счёт более чем щедрой схемы выплат по партнёрке. Что интересно, группировка также позволяет партнёрам работать в других RaaS-операциях. Так что, скорее всего, о RansomHub в ближайшие пару лет мы услышим ещё не раз. До первых визитов ФБР на их сервера. Подробнее о деятельности группировки, её TTPs и IoCs в отчёте.
@tomhunter
🔥6❤3💯1
#news Исследователи отследили новую фишинговую кампанию под видом звонков из IT-отдела. Жертвам звонят на личные телефоны и с помощью социнженерии выманивают данные доступа от VPN.
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
🔥6😁4🤡1💯1
#news Бразилия задаёт тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
😁11🤡9🎉2❤1
#news В Штатах оригинальный случай суда над безопасником. Известного под псевдонимом Connor Goodwolf исследователя преследуют за публикацию данных, украденных после рансомварь-атаки у администрации города Колумбус.
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
🔥18🤬12🤡4❤3
#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования.
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
❤6🔥2🤡1
#news К новинкам малвари. Исследователи обнаружили необычную кампанию по распространению ранее неизвестного бэкдора, который разработчики назвали Voldemort. Доставляют его с 5 августа фишинговыми письмами под видом налоговых служб по организациям США, Европы и Азии.
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
🔥7😁1
#news Удивительные последствия возросшего в России числа кибератак: согласно опросам, с начала лета 85,2% организаций начали серьёзнее относиться к инфобезу. Весёлые приключения СДЭК и ретейлера «Верный» массово открыли глаза на существование ИБ по всем индустриям.
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
😁25❤6💯3🤡1
#news 27 августа на выставке «Мой Петербург» в Историческом парке «Россия – моя история» прошел Цифровой день Комитета по информатизации и связи. Гости выставки смогли побывать на презентации цифрового сервиса «Я здесь живу», где узнали о разработке приложения, технологиях и языках программирования, а также приняли участие в розыгрыше сувениров. Руководитель департамента киберрасследований T.Hunter Игорь Бедеров поделился с посетителями методами и приемами выявления технической слежки при помощи обычного смартфона. Фотографии и презентации с выставки доступны по ссылке.
@tomhunter
@tomhunter
🔥7🤡5❤3🎉1
#article Опубликовали новую статью «Google Sheets как инструмент OSINT-детектива». В ней речь пойдёт о том, как использовать всю мощь экосистемы Google с её расширениями и скриптами и превратить Google Таблицы в незаменимое подспорье для любого OSINT-специалиста. Это первая статья из цикла, в ней мы разберём автоматизацию дорков для поиска по картинкам, никнеймам и физическим лицам. С формулами и примерами. За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
🔥7❤3💯2😁1
#news Новости из мира, где за бреши в кибербезопасности приходится платить. Производитель камер наблюдения из США Verkada выплатит $2,95 миллиона за взломы, от которых компания пострадала в 2020-м и 2021-м годах.
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
🔥5😁3💯1
#news Давненько не было новостей про любимый поисковик по лицам всех спецслужб, Clearview AI. Речь, конечно же, об очередном штрафе: Нидерландская DPA выписала компании штраф в €30,5 миллионов, а за отказ прекратить нарушения обещает на сдачу выдать ещё €5,1 миллиона санкционных.
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
🔥7💯4❤3
#news Исследователь опубликовал анализ и проверку концепции к
Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
CVE-2024-38106 — нулевому дню в ядре Windows. Уязвимость на повышение привилегий до System была исправлена в августовском патче и активно эксплуатируется злоумышленниками.Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
😁7🔥2🤔1
#news Новые рекорды инфобеза в России, но вновь есть нюанс. В первом полугодии утёк почти миллиард строк персональных данных. Это на треть больше, чем за аналогичный период прошлого года. Количество зарегистрированных утечек выросло до 415 — их на 10% больше.
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
😁9💯4🤯2🤔1