#news Передачу данных электромагнитным излучением, через LED-индикаторы, кулеры и SATA-кабели на изолированных от сети системах мы уже видели. Теперь как насчёт… звукового шума от работы пикселей монитора?
Доктор Гури продолжает удивлять. Его новый шпионский вредонос генерирует специальные паттерны пикселей, которые создают звуковые сигналы, передаваемые без внешних устройств. В ход идёт вибрация катушек и конденсаторов в экранах, она же писк катушек, который человек практически не слышит — диапазон от 0 до 22 кГц. Но им можно закодировать и передать данные. Достигается это за счёт bitmap и вывода на экран чередующихся чёрно-белых полос. В итоге пиксели-предатели пересылают информацию на встроенный микрофон на расстоянии нескольких метров. Материал, конечно, чисто лабораторный. Но атака выглядит как прямиком из шпионского боевика. Слышишь пиксели? И я не слышу. А они данные передают.
@tomhunter
Доктор Гури продолжает удивлять. Его новый шпионский вредонос генерирует специальные паттерны пикселей, которые создают звуковые сигналы, передаваемые без внешних устройств. В ход идёт вибрация катушек и конденсаторов в экранах, она же писк катушек, который человек практически не слышит — диапазон от 0 до 22 кГц. Но им можно закодировать и передать данные. Достигается это за счёт bitmap и вывода на экран чередующихся чёрно-белых полос. В итоге пиксели-предатели пересылают информацию на встроенный микрофон на расстоянии нескольких метров. Материал, конечно, чисто лабораторный. Но атака выглядит как прямиком из шпионского боевика. Слышишь пиксели? И я не слышу. А они данные передают.
@tomhunter
🤯21😁7🤡3🔥2❤1
#news Что делают безопасники, изнывающие от жары в Лас-Вегасе на Black Hat? От скуки тратят $20 на истёкший домен и нечаянно нарушают целостность интернета. Это произошло с WHOIS-сервером под .mobi — он переехал на другой адрес, старый выкупили исследователи. И понеслось.
На нём подняли WHOIS-сервер, чтобы посмотреть, кто по нему ещё стучится. Итог за 5 дней: 135+ тысяч систем и 2,5 миллиона запросов. От всевозможных военных и госструктур, VirusTotal, одной сингапурской ИБ-фирмы… Более того, на сервер шли запросы от центров сертификации — и он возвращал почту безопасников как валидную. В итоге они были в одном клике от того, чтобы выписать себе TLS/SSL от
@tomhunter
На нём подняли WHOIS-сервер, чтобы посмотреть, кто по нему ещё стучится. Итог за 5 дней: 135+ тысяч систем и 2,5 миллиона запросов. От всевозможных военных и госструктур, VirusTotal, одной сингапурской ИБ-фирмы… Более того, на сервер шли запросы от центров сертификации — и он возвращал почту безопасников как валидную. В итоге они были в одном клике от того, чтобы выписать себе TLS/SSL от
microsoft.mobi. Иными словами, выдача сертификатов под .mobi была скомпрометирована — товарищи стали админами домена верхнего уровня. А могли стать госхакеры. И получить поверхность атаки размером с TLD со всем из этого вытекающим. Подробнее в отчёте, чтиво занимательное.@tomhunter
🔥17😁8🤯5❤3🤔2🤡1
#news Северокорейцы из Lazarus продолжают кампанию по рассылке фейковых тестовых заданий для разработчиков. Кодеры на Python получают предложения на LinkedIn якобы от крупных банков в США. Тестовое предлагает найти баг в коде. А в пакете малварь.
Пакет идёт c социнженерией формата «Собрать проект за 5 минут, найти и исправить баг за 15, отчитаться за 10» в расчёте, что разработчик не станет проверять тестовое на вредонос. Цели у кампании прежние: получить доступ к устройству, а с него — уже к сети организации, в которой работает жертва. Lazarus светились с этим вредоносом на Гитхабе в конце июля и, судя всему, по этому вектору всё ещё активны. Так что разрабам следует быть начеку: заманчивое предложение от банка в Штатах с шестизначной суммой, релокацией и грамматикой в readme уровня 6 класса сельской школы — не то, чем кажется. С ним релоцироваться получится только с нынешнего места работы в безработные.
@tomhunter
Пакет идёт c социнженерией формата «Собрать проект за 5 минут, найти и исправить баг за 15, отчитаться за 10» в расчёте, что разработчик не станет проверять тестовое на вредонос. Цели у кампании прежние: получить доступ к устройству, а с него — уже к сети организации, в которой работает жертва. Lazarus светились с этим вредоносом на Гитхабе в конце июля и, судя всему, по этому вектору всё ещё активны. Так что разрабам следует быть начеку: заманчивое предложение от банка в Штатах с шестизначной суммой, релокацией и грамматикой в readme уровня 6 класса сельской школы — не то, чем кажется. С ним релоцироваться получится только с нынешнего места работы в безработные.
@tomhunter
❤7😁6🔥4🤬1
#news WordPress c 1 октября вводит обязательную 2FA для разработчиков. Аккаунты с доступом к пушу обновлений и изменений в плагины и темы должны будут обзавестись двухфакторкой. Помимо этого, представили пароли SVN. Они пойдут на доступ к репозиториям отдельно от основной учётки и в случае компрометации последней их можно будет отозвать.
Разработчики местами бурчат: с двухфакторкой и какими-то там SVN им будет неудобно. Бурчание можно игнорировать — неудобства временные, а плюсы очевидны. Возможно, новые меры защиты порежут нескончаемые вредоносные кампании на WordPress-сайтах и прочие атаки на цепочку поставок. Хотя фундаментальную проблему WordPress это, конечно, не исправит: лучшее в Wordpress — это что плагин может написать кто угодно. Худшее в WordPress — тоже что плагин может написать кто угодно. Так что 2FA из-под палки — явно меньшее из зол.
@tomhunter
Разработчики местами бурчат: с двухфакторкой и какими-то там SVN им будет неудобно. Бурчание можно игнорировать — неудобства временные, а плюсы очевидны. Возможно, новые меры защиты порежут нескончаемые вредоносные кампании на WordPress-сайтах и прочие атаки на цепочку поставок. Хотя фундаментальную проблему WordPress это, конечно, не исправит: лучшее в Wordpress — это что плагин может написать кто угодно. Худшее в WordPress — тоже что плагин может написать кто угодно. Так что 2FA из-под палки — явно меньшее из зол.
@tomhunter
🔥6❤4💯3😁1
#news В кибербезопасности есть утечки и есть утечки из ИБ-компаний. Взлому подверглась Fortinet: злоумышленник стянул 440GB с сервера Microsoft Sharepoint и выложил в даркнете. Он утверждает, что пытался получить выкуп, но компания отказалась платить.
По заявлению компании ничего серьёзного в утечке нет. Облако — стороннее, пользовательские данные в сливе — ограничены, число юзеров — небольшое, меньше 0,3 процента. Иначе и быть не может, особенно когда ты ИБ-фирма, и за инцидент довольно стыдно. Злоумышленник с запоминающимся ником Fortibitch также обвинил Fortinet, что та не заполнила форму 8-К для SEC. Но и здесь компания выкрутилась: финансового ущерба нет, нечего и заполнять. Между тем выше скрин поста. Внимательный читатель не только узнает о закулисных деталях рансомварь-переговоров, но и определит страну происхождения товарища Fortibitch.
@tomhunter
По заявлению компании ничего серьёзного в утечке нет. Облако — стороннее, пользовательские данные в сливе — ограничены, число юзеров — небольшое, меньше 0,3 процента. Иначе и быть не может, особенно когда ты ИБ-фирма, и за инцидент довольно стыдно. Злоумышленник с запоминающимся ником Fortibitch также обвинил Fortinet, что та не заполнила форму 8-К для SEC. Но и здесь компания выкрутилась: финансового ущерба нет, нечего и заполнять. Между тем выше скрин поста. Внимательный читатель не только узнает о закулисных деталях рансомварь-переговоров, но и определит страну происхождения товарища Fortibitch.
@tomhunter
❤6🔥5😁4
#news Новости из серии «Минусы интернета вещей №3047». Новую малварь отследили на 1,3 миллионов ТВ-приставок по всему миру в 197 странах. Android.Vo1d представляет из себя бэкдор в системной области памяти. Он даёт злоумышленникам полный контроль над устройством и может подтягивать дополнительную нагрузку.
Google уже открестилась от проблемы — заражению подверглись модели на опенсорсе AOSP, а не официальной Android TV. Вектор атаки неясен: могла быть промежуточная малварь под уязвимость на повышение прав или неофициальная прошивка со встроенным root-доступом. При этом Россия в числе стран с максимумом заражений — 4,8% от общего числа. Затронуты модели R4, TV BOX и KJ-SMART4KVIP. Так что проверяйте свои приставки, пока они не подписались на дудос какой-нибудь госконторы. Подробнее об Android.Vo1d с IoCs в отчёте.
@tomhunter
Google уже открестилась от проблемы — заражению подверглись модели на опенсорсе AOSP, а не официальной Android TV. Вектор атаки неясен: могла быть промежуточная малварь под уязвимость на повышение прав или неофициальная прошивка со встроенным root-доступом. При этом Россия в числе стран с максимумом заражений — 4,8% от общего числа. Затронуты модели R4, TV BOX и KJ-SMART4KVIP. Так что проверяйте свои приставки, пока они не подписались на дудос какой-нибудь госконторы. Подробнее об Android.Vo1d с IoCs в отчёте.
@tomhunter
🔥7😁5❤4
#news Интересный поворот в деле Apple против NSO Group: компания внезапно отказалась от иска против разработчика спайвари. Как сообщили в Apple, они по-прежнему убеждены в правильности иска, но опасаются, что раскрытая в ходе суда чувствительная информация может попасть не в те руки — в частности, к другим торговцам шпионским ПО.
Apple подала иск против NSO Group ещё в ноябре 2021-го — по делу о незаконной слежке за пользователями с помощью Pegasus. Что скрывается за отзывом дела, неясно. Возможно, в свете недавней утечки, пролившей свет на связи NSO Group с правительством Израиля, в Apple осознали тщетность попыток. В конце концов, одно дело бодаться с формально частной компанией, и совсем другое — когда за ней стоит святая корова наших дней, имеющая неплохое такое влияние в юрисдикции, которой подотчётна сама Apple.
@tomhunter
Apple подала иск против NSO Group ещё в ноябре 2021-го — по делу о незаконной слежке за пользователями с помощью Pegasus. Что скрывается за отзывом дела, неясно. Возможно, в свете недавней утечки, пролившей свет на связи NSO Group с правительством Израиля, в Apple осознали тщетность попыток. В конце концов, одно дело бодаться с формально частной компанией, и совсем другое — когда за ней стоит святая корова наших дней, имеющая неплохое такое влияние в юрисдикции, которой подотчётна сама Apple.
@tomhunter
💯7❤3🔥3🤯2🤡1
#news 27 августа руководитель департамента киберрасследований T.Hunter Игорь Бедеров выступил на выставке «Мой Петербург», где проходил Цифровой день Комитета по информатизации и связи. Темой лекции стало «Как цифровые технологии помогают мошенникам нас обманывать».
В частности речь шла о том, как выявить техническую слежку за собой с помощью обычного смартфона. То есть про обнаружение трекеров, прослушки, скрытых камер, ADINT от Большого Брата и многое другое. Кому интересны занимательные нюансы и тонкости жизни Шерлока Холмса в цифровую эпоху, запись выступления доступна по ссылке. А презентацию с него можно полистать здесь.
@tomhunter
В частности речь шла о том, как выявить техническую слежку за собой с помощью обычного смартфона. То есть про обнаружение трекеров, прослушки, скрытых камер, ADINT от Большого Брата и многое другое. Кому интересны занимательные нюансы и тонкости жизни Шерлока Холмса в цифровую эпоху, запись выступления доступна по ссылке. А презентацию с него можно полистать здесь.
@tomhunter
❤8🤡7🔥5🤬1🎉1
#news К оригинальной социнженерии для кражи данных доступа. Малварь переводит браузеры в режим киоска и блокирует клавиши ESC и F11 для выхода из него. Затем она отправляет жертву на страницу смены пароля Google, чтобы раздражённый юзер ввёл пароль в надежде, что это разблокирует браузер.
Метод атаки активен в сетевых дебрях минимум с августа, в основном у инфостилера Amadey. При запуске вредонос деплоит script AutoIt, который запускает браузер в киоске с игнорированием параметров для ESC и F11 и открывает URL. Так как перед сменой пароля Google требует ввести старый, инфостилер оперативно стягивает всё введённое и сохранённое на странице. При этом другие волшебные комбинации вроде Alt + F4 и Ctrl + Shift + Esc малварь не режет. Как и бессильна перед перезагрузкой. Но расчёт на нетерпеливого юзера, который поспешит сдать все явки и пароли, поминая Google нехорошими словами, видимо, работает. Работа горит, а с «Я что-то нажала, и всё пропало» к админу в 2024-м идти стыдно. Можно понять.
@tomhunter
Метод атаки активен в сетевых дебрях минимум с августа, в основном у инфостилера Amadey. При запуске вредонос деплоит script AutoIt, который запускает браузер в киоске с игнорированием параметров для ESC и F11 и открывает URL. Так как перед сменой пароля Google требует ввести старый, инфостилер оперативно стягивает всё введённое и сохранённое на странице. При этом другие волшебные комбинации вроде Alt + F4 и Ctrl + Shift + Esc малварь не режет. Как и бессильна перед перезагрузкой. Но расчёт на нетерпеливого юзера, который поспешит сдать все явки и пароли, поминая Google нехорошими словами, видимо, работает. Работа горит, а с «Я что-то нажала, и всё пропало» к админу в 2024-м идти стыдно. Можно понять.
@tomhunter
😁6🔥4
#news Один из нулевых дней, исправленных Microsoft в сентябре, был замечен в атаках. Уязвимость спуфинга CVE-2024-43461 шла в цепочке атак с другой исправленной уязвимостью, позволяющей злоумышленникам запускать произвольный код в системах через вызов Internet Explorer с того света.
Уязвимость использовали в атаках минимум с июня 2024-го и с её помощью подтягивают инфостилер. Злоумышленники используют интересный метод для маскировки файлов: в название включены 26 пробельных символов шрифта Брайля. В окне открытия файла они уводят реальное расширение, .hta, за пределы видимости. И юзер видит только название файла, за счёт которого он выглядит как пдфка. Между тем фикс тянет лишь на костыль: на скриншоте пример до и после. Теперь пользователь видит и название, и расширение после символов. Так что исправление превращает доставку малвари в тест на внимательность. Пройдут его, как водится, не только лишь все.
@tomhunter
Уязвимость использовали в атаках минимум с июня 2024-го и с её помощью подтягивают инфостилер. Злоумышленники используют интересный метод для маскировки файлов: в название включены 26 пробельных символов шрифта Брайля. В окне открытия файла они уводят реальное расширение, .hta, за пределы видимости. И юзер видит только название файла, за счёт которого он выглядит как пдфка. Между тем фикс тянет лишь на костыль: на скриншоте пример до и после. Теперь пользователь видит и название, и расширение после символов. Так что исправление превращает доставку малвари в тест на внимательность. Пройдут его, как водится, не только лишь все.
@tomhunter
🔥3💯1
#article В нашей новой статье мы продолжаем говорить об использовании электронных таблиц в работе OSINT-аналитиков. В первой части мы обсуждали автоматизацию генерации дорков. Во второй — коснулись интеграции API для исследования данных. Сегодня раскроем тему скрапинга: разберем основы, сделаем сервис для пробива судимостей и чтения RSS, а также интегрируем поисковые выдачи с сайтов в наши Таблицы. За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
🔥6❤2🎉1🤡1
#news Министерство финансов США ввело санкции против… нет, не очередной российской компании. На этот раз вновь досталось разработчику спайвари Predator, причём под раздачу попал топ-менеджмент консорциума Intellexa, передав привет одному грустному зелёному мишке.
Пять человек и одна компания в санкционном списке за кибердеятельность, угрожающую национальной безопасности. Активы заблокированы, сделки и финоперации запрещены — всё как полагается. Сама Intellexa под санкциями с июля 2023-го, и хотя на операциях компании это поначалу заметно сказалось, по последним данным, под Predator успешно подняли новую инфраструктуру, скрытнее прежней. Отслеживать её и клиентуру стало сложнее, но модус операнди тот же. И с рынком коммерческой спайвари, разросшимся до $12 миллиардов в год, санкциями от Минфина США не обойдёшься. Особенно с учётом того, что среди режимов, где спайварь в почёте, они скорее сойдут за маркетинговый инструмент.
@tomhunter
Пять человек и одна компания в санкционном списке за кибердеятельность, угрожающую национальной безопасности. Активы заблокированы, сделки и финоперации запрещены — всё как полагается. Сама Intellexa под санкциями с июля 2023-го, и хотя на операциях компании это поначалу заметно сказалось, по последним данным, под Predator успешно подняли новую инфраструктуру, скрытнее прежней. Отслеживать её и клиентуру стало сложнее, но модус операнди тот же. И с рынком коммерческой спайвари, разросшимся до $12 миллиардов в год, санкциями от Минфина США не обойдёшься. Особенно с учётом того, что среди режимов, где спайварь в почёте, они скорее сойдут за маркетинговый инструмент.
@tomhunter
😁3🔥1🤬1💯1
#news Киберпанковые ИБ-новости с фронтов вяло разгорающегося израильско-ливанского конфликта: у членов небезызвестной группировки, действующей на территории Ливана, вчера массово взорвались пейджеры. Минимум шестнадцать человек погибли, почти три тысячи получили ранения, двести критических. «Хезболла» уже заявила, что взрывы стали результатом операции Израиля.
Идут сообщения, что могли рвануть литиевые батареи — судя по видео, версия сомнительная. Так что помимо хитрой прошивки мог быть скомпрометирован поставщик с сюрпризом в тротиловом эквиваленте. Некоторые удачливые владельцы якобы успели заметить, что пейджеры греются, и избавились от них до взрыва. Кто в юности зачитывался Гибсоном и Стерлингом, те только покивают. И добавят, что через 10-15 лет в ленте будут новости о взрывающихся в головах у киберджихадистов кустарных нейрочипах, заражённых Pegasus v3. А пока будем надеяться, что в один прекрасный день и айфоны в карманах у кого следует нагреваться не начнут. А то ведь чревато.
@tomhunter
Идут сообщения, что могли рвануть литиевые батареи — судя по видео, версия сомнительная. Так что помимо хитрой прошивки мог быть скомпрометирован поставщик с сюрпризом в тротиловом эквиваленте. Некоторые удачливые владельцы якобы успели заметить, что пейджеры греются, и избавились от них до взрыва. Кто в юности зачитывался Гибсоном и Стерлингом, те только покивают. И добавят, что через 10-15 лет в ленте будут новости о взрывающихся в головах у киберджихадистов кустарных нейрочипах, заражённых Pegasus v3. А пока будем надеяться, что в один прекрасный день и айфоны в карманах у кого следует нагреваться не начнут. А то ведь чревато.
@tomhunter
🔥7😁3🤯2🎉2
#news DrWeb раскрыла кибератаку по своим системам. Как сообщает компания, она началась 14 сентября. Также утверждают, что атака была локализована и пользователей не затронула.
При этом заявления от DrWeb, скажем так, противоречивы. Серверы были «оперативно отключены»… 16 сентября — признаки «внешнего воздействия» засекли только спустя два дня. Компания вроде как «держала всё под контролем» и «наблюдала за атакой», но при этом инфраструктуру для диагностики по итогам отключили, а вместе с ней на сутки отвалилось и обновление антивирусных баз. Иными словами, пока ничего не ясно, но пробел в два дня между компрометацией систем и реакцией на неё симптоматичный. Остаётся ждать детального отчёта по инциденту и делать ставки по степени, что называется, тактического контроля за глубиной проникновения в системы.
@tomhunter
При этом заявления от DrWeb, скажем так, противоречивы. Серверы были «оперативно отключены»… 16 сентября — признаки «внешнего воздействия» засекли только спустя два дня. Компания вроде как «держала всё под контролем» и «наблюдала за атакой», но при этом инфраструктуру для диагностики по итогам отключили, а вместе с ней на сутки отвалилось и обновление антивирусных баз. Иными словами, пока ничего не ясно, но пробел в два дня между компрометацией систем и реакцией на неё симптоматичный. Остаётся ждать детального отчёта по инциденту и делать ставки по степени, что называется, тактического контроля за глубиной проникновения в системы.
@tomhunter
🤔6🔥2😁2🤡2🤯1
#news Вы таки не поверите, но в Ливане продолжение банкета от израильских затейников. Сегодня у «Хезболлы» начали дружно взрываться переносные рации. Взрывы прошли по Бейруту и югу Ливана пару часов назад. Как сообщают СМИ, пострадали сотни человек. Предварительно известно о девяти погибших.
Рации якобы были закуплены примерно в то же время, что и пейджеры с подвохом — пять месяцев назад. Иными словами, можно с достаточной уверенностью утверждать, что скомпрометированы они были тем же образом — вероятно, где-то по цепочке поставок в устройства попала взрывчатка. Вовлечены ли во всю эту историю кибератаки с хитрыми манипуляциями прошивкой и перегревом или обошлось активацией по старинке, пока до конца неясно. Но операция в своём роде уникальная — израильская разведка сумела изобретательно и масштабно саботировать всю связь группировки. В общем, на фоне таких происшествий ругать пресловутые баофенги, полагаю, какое-то время будут чуть меньше. Как водится, всё познаётся в сравнении.
@tomhunter
Рации якобы были закуплены примерно в то же время, что и пейджеры с подвохом — пять месяцев назад. Иными словами, можно с достаточной уверенностью утверждать, что скомпрометированы они были тем же образом — вероятно, где-то по цепочке поставок в устройства попала взрывчатка. Вовлечены ли во всю эту историю кибератаки с хитрыми манипуляциями прошивкой и перегревом или обошлось активацией по старинке, пока до конца неясно. Но операция в своём роде уникальная — израильская разведка сумела изобретательно и масштабно саботировать всю связь группировки. В общем, на фоне таких происшествий ругать пресловутые баофенги, полагаю, какое-то время будут чуть меньше. Как водится, всё познаётся в сравнении.
@tomhunter
🤯11😁7🔥6🎉4❤1🤬1
#news Европол и компания безопасников в погонах из девяти стран перехватили платформу Ghost — сервис для зашифрованной связи, используемый преступниками, занятыми среди прочего в таких почётных сферах бизнеса, как наркоторговля и отмывание денег. За ~5 тысяч долларов в год клиенты получали модифицированный смартфон и техподдержку под него.
Расследование по Ghost’у шло с марта 2022-го года. По его итогам были обнаружены сервера во Франции и Исландии, активы на счетах в США, а сами операторы — в Австралии. Им грозит до 26 лет тюрьмы. Арестованы 51 человек, изъяты миллион евро наличных и оружие, попутно найдена нарколаболатория. Таким образом, Ghost отправился по следам Sky ECC, EncroChat и Exlu. А связь у кибер- и не только преступников ждёт дальнейшая фрагментация по местечковым сервисам в попытках избежать правосудия после их перехвата.
@tomhunter
Расследование по Ghost’у шло с марта 2022-го года. По его итогам были обнаружены сервера во Франции и Исландии, активы на счетах в США, а сами операторы — в Австралии. Им грозит до 26 лет тюрьмы. Арестованы 51 человек, изъяты миллион евро наличных и оружие, попутно найдена нарколаболатория. Таким образом, Ghost отправился по следам Sky ECC, EncroChat и Exlu. А связь у кибер- и не только преступников ждёт дальнейшая фрагментация по местечковым сервисам в попытках избежать правосудия после их перехвата.
@tomhunter
❤5🔥3💯1
#news На Github оригинальная кампания по распространению малвари. Злоумышленники открывают тикеты в репозиториях с опенсорсом, утверждая, что в них есть уязвимость. Сообщение призывает перейти на сайт с неким GitHub Scanner. А там малварь.
Что интересно, при этом всем подписанным на репозиторий приходят письма с комментарием с легитимного ящика Гитхаба и якобы с наилучшими пожеланиями от Github Security Team. Фишинг, на первый взгляд, относительно убедительный. Но дальше резко сдаёт обороты: на сайте юзеру предлагают впихнуть вредоносный скрипт в Run, чтобы обзавестись Lumma Stealer — целевая аудитория под такой очевидный трюк выбрана немного не та. Так что основная проблема в рассылке комментариев со скриншота прямиком с серверов платформы. Иными словами, у нас очередной находчивый вариант абьюза инфраструктуры GitHub номер сто восемьдесят семь.
@tomhunter
Что интересно, при этом всем подписанным на репозиторий приходят письма с комментарием с легитимного ящика Гитхаба и якобы с наилучшими пожеланиями от Github Security Team. Фишинг, на первый взгляд, относительно убедительный. Но дальше резко сдаёт обороты: на сайте юзеру предлагают впихнуть вредоносный скрипт в Run, чтобы обзавестись Lumma Stealer — целевая аудитория под такой очевидный трюк выбрана немного не та. Так что основная проблема в рассылке комментариев со скриншота прямиком с серверов платформы. Иными словами, у нас очередной находчивый вариант абьюза инфраструктуры GitHub номер сто восемьдесят семь.
@tomhunter
😁9💯2❤1🔥1
#news FTC выпустила доклад о сборе информации соцсетями и прочими платформами. Он основан на запросах, отправленных разработчикам сервисов, касаемо их практик по использованию пользовательских данных. В принципе, нового мало.
Компании, как известно, собирают огромные объёмы данных. И при этом хранят их бессрочно и не всегда удаляют по запросу юзеров. Некоторые используют пиксель отслеживания под целевую рекламу. Алгоритмы и ИИ активно утилизируют персональные данные — контроль над этим у юзеров минимальный или отсутствует. Отдельно в докладе идёт нарратив «Подумайте о детях»: данные несовершеннолетних также уходят в массивы, обеспечивающие рекламный поток. FTC рекомендует меры по минимизации перемалывания нашего цифрового следа в товар, но перспективы у этого — сами понимаете. В общем, фиксируем дивный новый мир надзорного капитализма.
@tomhunter
Компании, как известно, собирают огромные объёмы данных. И при этом хранят их бессрочно и не всегда удаляют по запросу юзеров. Некоторые используют пиксель отслеживания под целевую рекламу. Алгоритмы и ИИ активно утилизируют персональные данные — контроль над этим у юзеров минимальный или отсутствует. Отдельно в докладе идёт нарратив «Подумайте о детях»: данные несовершеннолетних также уходят в массивы, обеспечивающие рекламный поток. FTC рекомендует меры по минимизации перемалывания нашего цифрового следа в товар, но перспективы у этого — сами понимаете. В общем, фиксируем дивный новый мир надзорного капитализма.
@tomhunter
🔥3💯2❤1
#news Пятничные новости от директора Агентства по кибербезопасности США. На конференции от Mandiant Джен Истерли сделала несколько смелых заявлений. В частности о том, что проблемы в ИБ создают разработчики: подлецы выпускают уязвимый софт. Иными словами, пишите качественный код.
Также нужно прекратить гламуризировать киберпреступность: хватит поэтичных названий для группировок, время «Тощих Неприятностей» и «Злых Хорьков». Именовать дыры в безопасности «уязвимостями софта» тоже не комильфо — это теперь «дефекты в продукте». И винить надо не бедных юзеров, не успевающих накатывать исправления, а индустрию дырявого кода и нескончаемых патчей. В общем, у нас нет проблем с кибербезопасностью, есть проблема с качеством софта. И нам нужно больше не продуктов для безопасности, а безопасных продуктов. Логика в этом, конечно, есть. Может быть настоящая ИБ — это «secure by design» софт, который мы напишем по пути?
@tomhunter
Также нужно прекратить гламуризировать киберпреступность: хватит поэтичных названий для группировок, время «Тощих Неприятностей» и «Злых Хорьков». Именовать дыры в безопасности «уязвимостями софта» тоже не комильфо — это теперь «дефекты в продукте». И винить надо не бедных юзеров, не успевающих накатывать исправления, а индустрию дырявого кода и нескончаемых патчей. В общем, у нас нет проблем с кибербезопасностью, есть проблема с качеством софта. И нам нужно больше не продуктов для безопасности, а безопасных продуктов. Логика в этом, конечно, есть. Может быть настоящая ИБ — это «secure by design» софт, который мы напишем по пути?
@tomhunter
😁24🤡4💯4🤔3😢1🎉1
#news 19-20 сентября прошёл всероссийский форум «Экономическая безопасность бизнеса 2024». В нём в качестве модератора принял участие руководитель департамента киберрасследований T.Hunter Игорь Бедеров.
Обсуждение ожидаемо началось с обеспечения безопасности цепочек поставок на фоне взрывных новостей из Ливана. А затем участники обсудили разработку собственного софта на фоне покидающих нас решений, интеграцию ИБ в СБ, противостояние мошенническим атакам, эффективность фишинг-тренингов для сотрудников и другие темы в сфере управления рисками. Запись обсуждения доступна по ссылке.
@tomhunter
Обсуждение ожидаемо началось с обеспечения безопасности цепочек поставок на фоне взрывных новостей из Ливана. А затем участники обсудили разработку собственного софта на фоне покидающих нас решений, интеграцию ИБ в СБ, противостояние мошенническим атакам, эффективность фишинг-тренингов для сотрудников и другие темы в сфере управления рисками. Запись обсуждения доступна по ссылке.
@tomhunter
❤5🔥3🤡3🎉2
#news В сетевых дебрях замечен новый инструмент для пост-эксплуатации. Проектное имя Splinter, написан на Rust, автор пока неизвестен. Unit42 обнаружила тулкит в системах клиентов, так что его уже активно используют в атаках.
Функциональность у Splinter стандартная для пентеста, JSON для конфигурации, внедрение в процесс для запуска модулей. Выполнение команд, стягивание файлов, подтягивание дополнительной нагрузки, инфостилер, самоуничтожение — всё при нём. Хотя инструмент не такой продвинутый, как Cobalt Strike, тем не менее, в арсенале у киберпреступников пополнение, а у безопасников — очередной фреймворк для мониторинга. Подробнее о Splinter в отчёте.
@tomhunter
Функциональность у Splinter стандартная для пентеста, JSON для конфигурации, внедрение в процесс для запуска модулей. Выполнение команд, стягивание файлов, подтягивание дополнительной нагрузки, инфостилер, самоуничтожение — всё при нём. Хотя инструмент не такой продвинутый, как Cobalt Strike, тем не менее, в арсенале у киберпреступников пополнение, а у безопасников — очередной фреймворк для мониторинга. Подробнее о Splinter в отчёте.
@tomhunter
🔥8❤2