#news Китай обвинил США в кибератаках во время Азиатских зимних игр в феврале. И не простых, а с применением «встроенных в Windows бэкдоров». Доставайте свои шапочки из фольги и подшивку разоблачительных постов с обскурных форумов — время пришло. Снова.
Целью была система регистрации участников, похищение данных спортсменов и информации по организации соревнований. И в ход пошли бэкдоры в Windows, активированные на устройствах в регионе. В атаке якобы участвовали два штатовских вуза, Калифорнийский и Вирджиния Тех — кузницы кадров для АНБ. Трём предполагаемым агентам последней также предъявили обвинения: им приписывают многочисленные атаки по критической инфраструктуре Китая, включая по Huawei. Всё это для подрыва стабильности, кражи данных и создания хаоса. В общем, увидеть достопримечательности Пекина и восход над Жёлтым морем им уже не светит.
@tomhunter
Целью была система регистрации участников, похищение данных спортсменов и информации по организации соревнований. И в ход пошли бэкдоры в Windows, активированные на устройствах в регионе. В атаке якобы участвовали два штатовских вуза, Калифорнийский и Вирджиния Тех — кузницы кадров для АНБ. Трём предполагаемым агентам последней также предъявили обвинения: им приписывают многочисленные атаки по критической инфраструктуре Китая, включая по Huawei. Всё это для подрыва стабильности, кражи данных и создания хаоса. В общем, увидеть достопримечательности Пекина и восход над Жёлтым морем им уже не светит.
@tomhunter
😁9👍6🔥3
#news Защищённость запитанных от ИИ поделий — самая горячая тема этого года. Не отстаёт и популярный ИИ-ассистент Perplexity AI. Россыпь уязвимостей в нём такая впечатляющая, что меркнет недавний анализ DeepSeek.
Во-первых, захардкоженные ключи API. И на этом уже можно остановиться. Но дальше лучше: API неверно сконфигурирован — одним словом, wildcard. SSL-пиннинг отсутствует. Байт-код открытый. Защиты от дебага и эксплойта тоже нет. У каждой второй кустарной малвари есть, а у Perplexity AI нет. Иными словами, на фоне этой поверхности атаки DeepSeek — образец защищённости и приватности. А это, между прочим, топовое приложение формата ИИ в каждый дом. Что из себя представляют игрушки помельче, ещё и написанные с применением вайб-кодинга и прочих инфернальных ужасов, можно только догадываться.
@tomhunter
Во-первых, захардкоженные ключи API. И на этом уже можно остановиться. Но дальше лучше: API неверно сконфигурирован — одним словом, wildcard. SSL-пиннинг отсутствует. Байт-код открытый. Защиты от дебага и эксплойта тоже нет. У каждой второй кустарной малвари есть, а у Perplexity AI нет. Иными словами, на фоне этой поверхности атаки DeepSeek — образец защищённости и приватности. А это, между прочим, топовое приложение формата ИИ в каждый дом. Что из себя представляют игрушки помельче, ещё и написанные с применением вайб-кодинга и прочих инфернальных ужасов, можно только догадываться.
@tomhunter
😁12❤4🤡4🔥2🤯1🤝1
#news Приключения администрации Трампа по оптимизации бюджетов добрались до святая святых. Сегодня у MITRE закончился контракт на поддержку программы Common Vulnerabilities and Exposures. Также известная некоторым из вас как CVE.
16 апреля контракт истёк, вместе с ним отвалилось и финансирование централизованного репозитория CVE. Финансовой поддержкой программы занимается агентство CISA, которое также пошло под нож и по бюджетам, и по сотрудникам в рамках трамповского «Сделаем вид, что делаем Америку великой снова». Им не до этого. Основной сайт останется онлайн, но новые CVE до решения вопроса добавлять на него не будут. Так что вместо единого каталога можно пользоваться любым другим по желанию. Как это скажется на времени реагирования на инциденты и уязвимости — сами понимаете. В условиях когда от релиза эксплойта до атак считанные часы, ничего хорошего индустрию не ждёт. Спасибо, оранжевый рестлер, очень круто.
@tomhunter
16 апреля контракт истёк, вместе с ним отвалилось и финансирование централизованного репозитория CVE. Финансовой поддержкой программы занимается агентство CISA, которое также пошло под нож и по бюджетам, и по сотрудникам в рамках трамповского «Сделаем вид, что делаем Америку великой снова». Им не до этого. Основной сайт останется онлайн, но новые CVE до решения вопроса добавлять на него не будут. Так что вместо единого каталога можно пользоваться любым другим по желанию. Как это скажется на времени реагирования на инциденты и уязвимости — сами понимаете. В условиях когда от релиза эксплойта до атак считанные часы, ничего хорошего индустрию не ждёт. Спасибо, оранжевый рестлер, очень круто.
@tomhunter
🤬12🤯6😁4🤡4👍2😱2
#news К оригинальным находкам от мира рансомвари. Модифицированная версия энкриптора Fog, с вполне приличным кодом, но с неожиданным брендингом: назван вредонос DOGE BIG BALLS. Кто следит за свежим лором из США, вспомнит, что это никнейм 19-летнего дарования из DOGE с киберпреступным прошлым.
Рансомварь не только получила название в его честь, но и содержит в записке имя — Эдвард Користин — и его домашний адрес с номером телефона, а также приписывает ему авторство энкриптора. В общем, попытка юного хакера очернить. И судя по тому, насколько она тупая, за ней стоят малолетние друзья товарища Big Balls по сетке The Com. Ранее в их логах уже светились намерения испортить Користину жизнь. В общем, комментарии здесь излишни. Недавно писал, что цирк в нынешней администрации продлится всю каденцию Трампа, и явно не прогадал. Пока из-за действий DOGE без финансирования остаётся MITRE, по сети гуляют вот такие поделия с детскими атаками на кулхацкера Голова-брокколи из этой самой DOGE. Так и живём.
@tomhunter
Рансомварь не только получила название в его честь, но и содержит в записке имя — Эдвард Користин — и его домашний адрес с номером телефона, а также приписывает ему авторство энкриптора. В общем, попытка юного хакера очернить. И судя по тому, насколько она тупая, за ней стоят малолетние друзья товарища Big Balls по сетке The Com. Ранее в их логах уже светились намерения испортить Користину жизнь. В общем, комментарии здесь излишни. Недавно писал, что цирк в нынешней администрации продлится всю каденцию Трампа, и явно не прогадал. Пока из-за действий DOGE без финансирования остаётся MITRE, по сети гуляют вот такие поделия с детскими атаками на кулхацкера Голова-брокколи из этой самой DOGE. Так и живём.
@tomhunter
😁8👍3🤬3💯3
#news По MITRE можно убирать успокоительное: финансирование программы продлили. Так что идея навести шуму в прессе явно сработала — деньги на контракт CISA резко нашло.
За день успело многое произойти. В Штатах заявили о создании CVE Foundation, некоммерческого фонда для поддержания программы CVE в свете возможных проблем у MITRE. В Европе также подняли GCVE — Global CVE Allocation System, ещё одну децентрализованную программу для поддержки CVE и совместимую с ней. А также Vulnerability Lookup. В общем, можно выдыхать и попутно присмотреться к этим двум инициативам. Если запал после возврата MITRE онлайн у них не иссякнет, глядишь, будет решена проблема митревской базы как единой точки отказа. Поют ли дифирамбы безопасники-поклонники Трампа про его 4D-шахматы по неконвенциональному улучшению качества глобального инфобеза? Хочется надеяться, что нет.
@tomhunter
За день успело многое произойти. В Штатах заявили о создании CVE Foundation, некоммерческого фонда для поддержания программы CVE в свете возможных проблем у MITRE. В Европе также подняли GCVE — Global CVE Allocation System, ещё одну децентрализованную программу для поддержки CVE и совместимую с ней. А также Vulnerability Lookup. В общем, можно выдыхать и попутно присмотреться к этим двум инициативам. Если запал после возврата MITRE онлайн у них не иссякнет, глядишь, будет решена проблема митревской базы как единой точки отказа. Поют ли дифирамбы безопасники-поклонники Трампа про его 4D-шахматы по неконвенциональному улучшению качества глобального инфобеза? Хочется надеяться, что нет.
@tomhunter
👍11🔥5❤2🤡2
#news SSH-библиотека Erlang/OTP отметилась критической уязвимостью на десяточку по CVSS. Как можно догадаться, это произвольный код без аутентификации. Затронуты все версии, использующие уязвимую библиотеку.
Проблема CVE-2025-32433 в некорректной обработке протокольных сообщений SSH. Это позволяет злоумышленнику отправить специально созданные сообщения и добиться RCE в процессе SSH-сервера. Если же на SSH-демоне root-права, также можно получить полный контроль над системой, а там и доступ к данным, и отказ в обслуживании. Между тем на Erlang/OTP крутятся многие устройства от Cisco и Ericsson в критической инфраструктуре. Патчи доступны, но, как водится, злоумышленники добираются до целевых систем гораздо раньше. Так что у нас кандидат на самую горячую уязвимость для рансомвари и апэтэшечек сезона весна 2025.
@tomhunter
Проблема CVE-2025-32433 в некорректной обработке протокольных сообщений SSH. Это позволяет злоумышленнику отправить специально созданные сообщения и добиться RCE в процессе SSH-сервера. Если же на SSH-демоне root-права, также можно получить полный контроль над системой, а там и доступ к данным, и отказ в обслуживании. Между тем на Erlang/OTP крутятся многие устройства от Cisco и Ericsson в критической инфраструктуре. Патчи доступны, но, как водится, злоумышленники добираются до целевых систем гораздо раньше. Так что у нас кандидат на самую горячую уязвимость для рансомвари и апэтэшечек сезона весна 2025.
@tomhunter
🤯11🔥5👍4
#news После перехвата LabHost в 2024-м на рынке PhaaS-сервисов, работающих по Северной Америке, образовалась брешь. Год спустя можно с уверенностью говорить, что солидную часть рынка отхватил SheByte.
SheByte появился в мае 2024-го, и первое время его активность пошла на спад — конкуренты с Frappo активно пытались задавить новичка. Но на март этого года у SheByte в активе два десятка шаблонов под банки плюс россыпь под email-сервисы, телеком-операторов и криптобиржи. И всё это за 200 баксов в месяц. Так что SheByte — главный претендент на ключевую роль на рынке. Между тем разработчик ставит себе в плюс, что сервис он держит в одиночку — LabHost перехватили из-за утечек в раздутой команде с арестами ~40 человек. Но сам-себе-маркетолог, конечно, не упомянет, что с ним в качестве единой точки отказа хватит одного ареста, чтобы положить платформу и резко усложнить клиентам жизнь. В конце концов, не утечками едиными живёт Европол.
@tomhunter
SheByte появился в мае 2024-го, и первое время его активность пошла на спад — конкуренты с Frappo активно пытались задавить новичка. Но на март этого года у SheByte в активе два десятка шаблонов под банки плюс россыпь под email-сервисы, телеком-операторов и криптобиржи. И всё это за 200 баксов в месяц. Так что SheByte — главный претендент на ключевую роль на рынке. Между тем разработчик ставит себе в плюс, что сервис он держит в одиночку — LabHost перехватили из-за утечек в раздутой команде с арестами ~40 человек. Но сам-себе-маркетолог, конечно, не упомянет, что с ним в качестве единой точки отказа хватит одного ареста, чтобы положить платформу и резко усложнить клиентам жизнь. В конце концов, не утечками едиными живёт Европол.
@tomhunter
👍6😁5🔥4
#news Пятничные новости от Cursor. У редактора кода компании появилось новое правило: пользоваться им можно только на одном устройстве, на другие нужна отдельная подписка. В итоге пошла волна возмущений в сети и отписок от сервиса. Панчлайн? Правило выдумал чат-бот.
Ответ бота техподдержки был убедительным, многие отменили подписки и критиковали компанию за ограничение кроссплатформенного доступа. Получивший ответ даже заявил, что его компания отказалась от услуг Cursor. К тому моменту, когда к ситуации подключили кожаного мешка, уже было немного поздно. А разгадка проста: запитанный от ИИ бот не знал ответ и пустился галлюцинировать во все тяжкие. Раньше Air Canada получила судебное дело, когда её чат-бот сочинил политику возврата билетов. А один юзер ChatGPT не попал в Чили, так как модель выдала ему ложную информацию, что ему не нужна виза для поездки. Старый мир мёртв, новый рождается в страшных муках. Наступило времячудовищ курьёзов!
@tomhunter
Ответ бота техподдержки был убедительным, многие отменили подписки и критиковали компанию за ограничение кроссплатформенного доступа. Получивший ответ даже заявил, что его компания отказалась от услуг Cursor. К тому моменту, когда к ситуации подключили кожаного мешка, уже было немного поздно. А разгадка проста: запитанный от ИИ бот не знал ответ и пустился галлюцинировать во все тяжкие. Раньше Air Canada получила судебное дело, когда её чат-бот сочинил политику возврата билетов. А один юзер ChatGPT не попал в Чили, так как модель выдала ему ложную информацию, что ему не нужна виза для поездки. Старый мир мёртв, новый рождается в страшных муках. Наступило время
@tomhunter
😁17🔥6👍3😢2
Пусть этот праздник принесёт в ваш дом радость, обновление и уверенность в завтрашнем дне — как надёжный шифр защищает данные. Мы желаем вам ярких моментов без вирусов сомнений, крепких «паролей» благополучия и только безопасных решений!
С любовью и заботой о вашей цифровой безопасности.
В качестве пасхального подарка мы обновили Opera-OSINT — нашу версию браузера для расследователей. Скачать его можно бесплатно. Как и список полезных источников для импорта в альтернативные браузеры.
Христос Воскрес! 🐣🔒
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤10🤡5🔥3💯1
#news Чудеса инфобеза оболочки One UI от Samsung: пользователи обнаружили, что содержимое буфера на устройствах не очищается. Вообще. И хранится простым текстом. А вместе с ним, соответственно, и попавшие в буфер пароли, банковские данные и прочее чувствительное.
А разгадка проста: функции автоочистки буфера в One UI нет. А с учётом того, что она работает на уровне системы, настройки сторонних клавиатур оболочка игнорирует. Samsung проблему признала и передала инженерам. Говорят, хорошо бы обзавестись автоочисткой и блоком на хранение конфиденциального в буфере. А пока, дорогие юзеры, очищайте буфер устройства вручную и надейтесь, что на него не залетит RAT или инфостилер с соответствующей функциональностью. История, конечно, удивительная. Всё же таких просчётов в разработке ждёшь от китайских поделий, а не от флагмана от мира андроидов.
@tomhunter
А разгадка проста: функции автоочистки буфера в One UI нет. А с учётом того, что она работает на уровне системы, настройки сторонних клавиатур оболочка игнорирует. Samsung проблему признала и передала инженерам. Говорят, хорошо бы обзавестись автоочисткой и блоком на хранение конфиденциального в буфере. А пока, дорогие юзеры, очищайте буфер устройства вручную и надейтесь, что на него не залетит RAT или инфостилер с соответствующей функциональностью. История, конечно, удивительная. Всё же таких просчётов в разработке ждёшь от китайских поделий, а не от флагмана от мира андроидов.
@tomhunter
💯12🔥6❤4🤡4👍2
#news На npm три вредоносных тайпсквот-пакета, маскирующихся под Telegram Bot API. C копией кода и readme оригинала и угоном рейтинга оригинального репозитория через starjacking — всё как полагается.
Вредоносный код проверяет, запущен ли он в Linux, и внедряет два SSH-ключа злоумышленника для доступа к системе, а также отсылает имя юзера и айпишник для подтверждения заражения. Всего 40 строк в остальном неотличимом от оригинала пакете. У подменышей 300 скачиваний, что на первый взгляд немного, но в среде разработки и пары удачных компрометаций будет вполне достаточно для хорошей такой атаки на цепочку поставок. Подробнее о пакетах в отчёте. Всё ещё висят на npm, между прочим. Уже два месяца.
@tomhunter
Вредоносный код проверяет, запущен ли он в Linux, и внедряет два SSH-ключа злоумышленника для доступа к системе, а также отсылает имя юзера и айпишник для подтверждения заражения. Всего 40 строк в остальном неотличимом от оригинала пакете. У подменышей 300 скачиваний, что на первый взгляд немного, но в среде разработки и пары удачных компрометаций будет вполне достаточно для хорошей такой атаки на цепочку поставок. Подробнее о пакетах в отчёте. Всё ещё висят на npm, между прочим. Уже два месяца.
@tomhunter
🔥9🤯6👍4
#news В WinZip обнаружили нулевой день. Причём на обход Mark-of-the-Web в Windows. Так что у нас в 2025-м бинго из трёх архиваторов с 0-day такого плана — недавно обход MotW исправили в 7-Zip и WinRar.
Уязвимость затрагивает версии архиватора до 29.0. Причём никаких технических знаний для её эксплойта не нужно: WinZip просто не вешает плашку MotW на файлы при их распаковке из архива. Проще говоря, после того как аналогичные CVE исправили в других архиваторах, кому-то в голову пришла в голову светлая идея проверить, как с этим обстоят дела у WinZip. Как оказалось, пропатченная ранее CVE-2024-8811 в нём была исправлена только частично. Обновления пока нет, так что имейте это в виду, чтобы потом не удивляться полученным от бухгалтерии письмам формата «Я что-то распаковала, и всё пропало».
@tomhunter
Уязвимость затрагивает версии архиватора до 29.0. Причём никаких технических знаний для её эксплойта не нужно: WinZip просто не вешает плашку MotW на файлы при их распаковке из архива. Проще говоря, после того как аналогичные CVE исправили в других архиваторах, кому-то в голову пришла в голову светлая идея проверить, как с этим обстоят дела у WinZip. Как оказалось, пропатченная ранее CVE-2024-8811 в нём была исправлена только частично. Обновления пока нет, так что имейте это в виду, чтобы потом не удивляться полученным от бухгалтерии письмам формата «Я что-то распаковала, и всё пропало».
@tomhunter
👍7😁6🔥4
Forwarded from Cyberwave 2025
#speakers Следующий спикер на Cyberwave 2025 — Сергей Буреев, начальник отдела тестирования на проникновение компании T.Hunter. И содержание доклада максимально интригующее.
✍️ Атака на защиту: лик хэшей и данных
Сергей расскажет о coerce-атаках и том как с их помощью можно получить не только NetNTLM-хэши, но и другие данные. Речь также пойдёт о coerce-атаках от NT AUTHORITY\LOCAL SERVICE, которые часто недооценивают из-за низких прав доступа.
Почему атаки от LOCAL SERVICE игнорируют совершенно напрасно и как это всё увязывается с EDR-решениями? Кто уверенно ответил на вопрос, тот и пентестер со звёздочкой. А всем желающим подробнее узнать об этом менее известном векторе атаки добро пожаловать на Cyberwave 2025!
@cyberwave_sec
Сергей расскажет о coerce-атаках и том как с их помощью можно получить не только NetNTLM-хэши, но и другие данные. Речь также пойдёт о coerce-атаках от NT AUTHORITY\LOCAL SERVICE, которые часто недооценивают из-за низких прав доступа.
Почему атаки от LOCAL SERVICE игнорируют совершенно напрасно и как это всё увязывается с EDR-решениями? Кто уверенно ответил на вопрос, тот и пентестер со звёздочкой. А всем желающим подробнее узнать об этом менее известном векторе атаки добро пожаловать на Cyberwave 2025!
@cyberwave_sec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥5❤3🤡1
#news Минцифры вспомнило об одном небольшом нюансе недавно принятого закона об утечках данных. С ИБ-отраслью пошли обсуждения о выведении их расследования из-под уголовной ответственности.
Согласно предлагаемым изменениям, действие закона не будет распространяться на организации, расследующие утечки данных клиентов. ИБ-компании под это тоже попадают: есть лицензия на защиту конфиденциальной информации — можнонемного пошалить делать свою работу. Но планируют ввести ценз по размеру капитала, так что сами понимаете, куда ветер дует. В текущем виде, как обычно, проект требует доработки, но по итогам есть шанс, что расследования сливов не уйдут на дно серых схем. И можно будет открывать дампы без того, чтобы прежде крепко задуматься о своём выборе профессии и планах на ближайшие года четыре. В конце концов, турецкого сценария очень хотелось бы избежать.
@tomhunter
Согласно предлагаемым изменениям, действие закона не будет распространяться на организации, расследующие утечки данных клиентов. ИБ-компании под это тоже попадают: есть лицензия на защиту конфиденциальной информации — можно
@tomhunter
😁12👍4❤3🤔2🤡1
Реальные кейсы — лучший способ понять, как работают технологии в условиях, приближённых к боевым.
Приглашаем вас на вебинар, на котором эксперты из Ideco и T.Hunter, а также представитель заказчика, поделятся опытом масштабного проекта по защите распределённой промышленной инфраструктуры с помощью😍 Ideco NGFW.
Мы обсудим как защищать сеть сотни объектов по всей России без потери управляемости и гибкости, а также с какими вызовами сталкиваются компании при переходе на новые ИБ-решения.
На вебинаре расскажем:
🟠 Как выбрать NGFW-решение для инфраструктуры с множеством объетов
🟠 Как обеспечить стабильную работу и централизованное управление на 300+ площадках
🟠 Подводные камни интеграции в существующую ИТ-инфраструкуру
🟠 Как организована поддержка и контроль качества внедрения
📆 24 апреля в 11:00 (Мск)
Регистрация
Приглашаем вас на вебинар, на котором эксперты из Ideco и T.Hunter, а также представитель заказчика, поделятся опытом масштабного проекта по защите распределённой промышленной инфраструктуры с помощью
Мы обсудим как защищать сеть сотни объектов по всей России без потери управляемости и гибкости, а также с какими вызовами сталкиваются компании при переходе на новые ИБ-решения.
На вебинаре расскажем:
Регистрация
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥2🤡2
#news Роскомнадзор рекомендует бизнесу сообщить об известных утечках данных до 30 мая. В таком случае можно будет отделаться мерами в соответствии с действующим законодательством. А меры, как все помнят, щадящие.
А вот после 30 мая ждёт полный пакет со штрафами за неуведомление РКН и оборотными. Как доверительно сообщает РКН, датой правонарушения считается момент, когда подтверждена утечка. Можно подтвердить самостоятельно и жить спокойно. А можно дождаться публикации утёкшей базы в каком-нибудь канальчике после тридцатого и фиксировать убытки от общения с надзорным органом. В общем, отсрочка на память о прежней вольнице, когда можно было слить вообще всё и ничего тебе за это не будет. А дальше уже выкручиваться по-новому. Ну что, товарищи безопасники, утечки информации у клиентов есть? А если в TG найду?
@tomhunter
А вот после 30 мая ждёт полный пакет со штрафами за неуведомление РКН и оборотными. Как доверительно сообщает РКН, датой правонарушения считается момент, когда подтверждена утечка. Можно подтвердить самостоятельно и жить спокойно. А можно дождаться публикации утёкшей базы в каком-нибудь канальчике после тридцатого и фиксировать убытки от общения с надзорным органом. В общем, отсрочка на память о прежней вольнице, когда можно было слить вообще всё и ничего тебе за это не будет. А дальше уже выкручиваться по-новому. Ну что, товарищи безопасники, утечки информации у клиентов есть? А если в TG найду?
@tomhunter
😁13🤡5👍4🔥3
#news AgeoStealer продолжают распространять по геймерскому коммьюнити под видом бета-теста игр. В начале года он уже светился в этой схеме, и, видимо, она оказалась эффективной.
Жертва получает в Discord и на аналогичных площадках предложение, от которого невозможно отказаться: ранний доступ к свежей пиксельной индюшке. Инфостилер замаскирован под архив с игрой на Unity; на деле же это NSIS-файл, запускающий вредоносный JS-скрипт. Устойчивость, обфускация, проверка на виртуалки и дебаг — всё как полагается. По краже данных тоже всё стандартно: браузеры, логины, куки и криптокошельки плюс выгрузка файлов с основных папок. Так что не спешите покупаться на заманчивое предложение: с такими заходами вред от поделия на Unity может быть и похуже, чем превращение любимой игровой машины в хлебопечку.
@tomhunter
Жертва получает в Discord и на аналогичных площадках предложение, от которого невозможно отказаться: ранний доступ к свежей пиксельной индюшке. Инфостилер замаскирован под архив с игрой на Unity; на деле же это NSIS-файл, запускающий вредоносный JS-скрипт. Устойчивость, обфускация, проверка на виртуалки и дебаг — всё как полагается. По краже данных тоже всё стандартно: браузеры, логины, куки и криптокошельки плюс выгрузка файлов с основных папок. Так что не спешите покупаться на заманчивое предложение: с такими заходами вред от поделия на Unity может быть и похуже, чем превращение любимой игровой машины в хлебопечку.
@tomhunter
😁7👍3🔥2
#news 2024-й принёс ещё один рекорд, и вновь не там, где хотелось бы. Хотя некоторые из вас будут довольны: США потеряли рекордные 16,6 миллиардов долларов из-за киберпреступности.
При этом отчётные цифры далеки от реальных: учитывают только известные органам случаи и те, о которых жертвы сообщают напрямую. Часть пролетают мимо отчётности, так как о них сообщают по другим каналам или не сообщают вовсе. Кроме того, по рансомвари считают только выплаты — издержки, которые несут компании, не учитывают. Так что даже внушительные цифры — лишь часть ежегодного оборота киберпреступного рыночка. Это к извечному спору белошляпочников со склизкими обитателями даркнета на тему «Где деньги, блэчеры?» Да вот они. А то, что они пролетают мимо рядового кулхацкера, начитавшегося флекса от редкого паровозика, который смогнайти себе хорошую крышу, — это уже другой вопрос.
@tomhunter
При этом отчётные цифры далеки от реальных: учитывают только известные органам случаи и те, о которых жертвы сообщают напрямую. Часть пролетают мимо отчётности, так как о них сообщают по другим каналам или не сообщают вовсе. Кроме того, по рансомвари считают только выплаты — издержки, которые несут компании, не учитывают. Так что даже внушительные цифры — лишь часть ежегодного оборота киберпреступного рыночка. Это к извечному спору белошляпочников со склизкими обитателями даркнета на тему «Где деньги, блэчеры?» Да вот они. А то, что они пролетают мимо рядового кулхацкера, начитавшегося флекса от редкого паровозика, который смог
@tomhunter
😁6👍3🔥2
#news Ещё один тревожный пример победной поступи ИИ-моделей: GPT на пару с Cursor успешно написали эксплойт к недавней критической CVE в SSH-сервере Erlang/OTP. И всё это до появления проверок концепции в публичном доступе.
LLM’кам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. А следом написать PoC, протестировать и отладить. У исследователя на это ушёл один вечер и набор базовых промптов. С одной стороны, какой восторг! С другой, что ждёт среду исследования уязвимостей (и реагирования на них) с такими перспективами — представить нетрудно. Здесь, конечно, можно отмахнуться, заявив, что эксплойт этой CVE элементарный, и с ним справится любой кожаный мешок — PoC появились уже на следующий день. Но пока ты занимаешься нетворкингом под градусом по митапам и прочим человеческим, LLM’ка качается. Так что то ли ещё будет.
@tomhunter
LLM’кам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. А следом написать PoC, протестировать и отладить. У исследователя на это ушёл один вечер и набор базовых промптов. С одной стороны, какой восторг! С другой, что ждёт среду исследования уязвимостей (и реагирования на них) с такими перспективами — представить нетрудно. Здесь, конечно, можно отмахнуться, заявив, что эксплойт этой CVE элементарный, и с ним справится любой кожаный мешок — PoC появились уже на следующий день. Но пока ты занимаешься нетворкингом под градусом по митапам и прочим человеческим, LLM’ка качается. Так что то ли ещё будет.
@tomhunter
😁13👍7🔥5🎉2❤1🤡1
#news Недавно писал про крупное обновление фишингового кита Darcula, которое не сулит ничего хорошего. В новом версии разработчики решили поднять градус мерзости в своём поделии: оно теперь запитано от ИИ-модели.
Генерация, перевод на любые языки, подгон шаблонов под целевую жертву, и всё это с помощью элементарных промптов формата «Сделай мне красиво и чтобы мне кидали битки, буду жить как LockBitSupp в его письмах ФБР». Иными словами, барьер для входа в фишинг теперь не просто низкий — он ниже плинтуса. Так что резкий скачок по числу фишинговых кампаний с максимально упрощённым и масштабированным до небес деплоем уже скоро. С марта 2024-го сеть почистили от 25 тысяч страниц и 90 тысяч доменов, завязанных на Darcula. Дальше — больше. Может быть придёт час, когда каждый день не будет днём новостей про LLM’ки. Но только не сегодня, увы.
@tomhunter
Генерация, перевод на любые языки, подгон шаблонов под целевую жертву, и всё это с помощью элементарных промптов формата «Сделай мне красиво и чтобы мне кидали битки, буду жить как LockBitSupp в его письмах ФБР». Иными словами, барьер для входа в фишинг теперь не просто низкий — он ниже плинтуса. Так что резкий скачок по числу фишинговых кампаний с максимально упрощённым и масштабированным до небес деплоем уже скоро. С марта 2024-го сеть почистили от 25 тысяч страниц и 90 тысяч доменов, завязанных на Darcula. Дальше — больше. Может быть придёт час, когда каждый день не будет днём новостей про LLM’ки. Но только не сегодня, увы.
@tomhunter
👍7🔥4😁3❤1🤡1
#news Google представила новый инструмент для отправки писем со сквозным шифрованием. А вместе с ним и потенциальный вектор атаки для фишинга. Проблема сводится к планам добавить возможность отправки таких писем на сторонние ящики.
В случае если зашифрованное письмо приходит адресату не на Gmail, он получает приглашение перейти по ссылке в гостевой аккаунт и просмотреть письмо. Сценарий атаки представили? Вместе с релизом фичи в общий доступ можно ждать появления тулкитов для создания фишинговых приглашений, замаскированных под письма с Gmail. Google уверяет, что потенциальные угрозы учтены системой оповещений, аналогичной Google Drive. Вот только что происходит вне их экосистемы (если это, конечно, не рекламная — там можно всё) гугл-шерифа не интересует. Так что между тем, чтобы ограничить фичу Gmail’ом или создать новый вектор атаки, Google, конечно, выбирает второе. А вы как думали?
@tomhunter
В случае если зашифрованное письмо приходит адресату не на Gmail, он получает приглашение перейти по ссылке в гостевой аккаунт и просмотреть письмо. Сценарий атаки представили? Вместе с релизом фичи в общий доступ можно ждать появления тулкитов для создания фишинговых приглашений, замаскированных под письма с Gmail. Google уверяет, что потенциальные угрозы учтены системой оповещений, аналогичной Google Drive. Вот только что происходит вне их экосистемы (если это, конечно, не рекламная — там можно всё) гугл-шерифа не интересует. Так что между тем, чтобы ограничить фичу Gmail’ом или создать новый вектор атаки, Google, конечно, выбирает второе. А вы как думали?
@tomhunter
😁10👍4🔥4