#news У Cellebrite очередная внутренняя утечка. Участвовавший в деловой встрече слил фото таблицы с актуальными возможностями их софта по Google Pixel. Для полноты картины на форуме GrapheneOS под ником RogueFed.
Судя по табличке, у стандартной ОС Google Pixel дела не очень: софт Cellebrite может извлекать данные во всех режимах, вплоть до первой разблокировки. А вот у GrapheneOS свежее 2022-го всё иначе. И до, и после первой разблокировки доступа к данным нет, а на версиях смартфона Pixel 8 и 9 с конца 2024-го актуальная версия графеновой оси лочит стягивание данных и на разблокированных устройствах — смотри, но не трогай. Юзеры GrapheneOS ликуют, конспирологи местами строят теории, не хитрый ход Cellebrite ли это часом, но, похоже, таблица реальная. Автор слива также запостил скрин Cellebrite’ного представителя, позже удалив, но WebArchive всё помнит. В общем, процедура допуска ко встречам у компании сильно хромает. Хотя, казалось бы, положение обязывает.
@tomhunter
Судя по табличке, у стандартной ОС Google Pixel дела не очень: софт Cellebrite может извлекать данные во всех режимах, вплоть до первой разблокировки. А вот у GrapheneOS свежее 2022-го всё иначе. И до, и после первой разблокировки доступа к данным нет, а на версиях смартфона Pixel 8 и 9 с конца 2024-го актуальная версия графеновой оси лочит стягивание данных и на разблокированных устройствах — смотри, но не трогай. Юзеры GrapheneOS ликуют, конспирологи местами строят теории, не хитрый ход Cellebrite ли это часом, но, похоже, таблица реальная. Автор слива также запостил скрин Cellebrite’ного представителя, позже удалив, но WebArchive всё помнит. В общем, процедура допуска ко встречам у компании сильно хромает. Хотя, казалось бы, положение обязывает.
@tomhunter
😁7👍2🔥1
#news В Москве и области вчера арестовали трёх предполагаемых операторов инфостилера Meduza. Не путать с рансомварью Medusa и прочим схожим названием, но отличным по содержанию.
Официальный пресс-релиз читается бодро, но, как водится, с киберпреступными реалиями малость расходится. Вирус “Медуза”, три молодых IT-специалиста, в мае 2025-го подлые хакеры получили доступ к региональной госорганизации в Астраханской области. Следователь из этой области на молодое трио и возбудился по ч. 2 статьи 273 УК. Сам инфостилер активен пару лет, и распространяли его по стандартной MaaS-схеме, так что кто там вообще лез в госуху под Астраханью — вопрос интересный. Но щекотливый. Видео задержания со всем положенным здесь. Отрезвляющий стук в дверь уведомляет подававшего надежды IT-специалиста в стильных штанишках Hello Kitty, что все киберпреступники равны, но некоторые равнее. Что называется, absolute cinema.
@tomhunter
Официальный пресс-релиз читается бодро, но, как водится, с киберпреступными реалиями малость расходится. Вирус “Медуза”, три молодых IT-специалиста, в мае 2025-го подлые хакеры получили доступ к региональной госорганизации в Астраханской области. Следователь из этой области на молодое трио и возбудился по ч. 2 статьи 273 УК. Сам инфостилер активен пару лет, и распространяли его по стандартной MaaS-схеме, так что кто там вообще лез в госуху под Астраханью — вопрос интересный. Но щекотливый. Видео задержания со всем положенным здесь. Отрезвляющий стук в дверь уведомляет подававшего надежды IT-специалиста в стильных штанишках Hello Kitty, что все киберпреступники равны, но некоторые равнее. Что называется, absolute cinema.
@tomhunter
😁5❤2👍1🤝1
#cve Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator.
Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте на Хабре!
@tomhunter
Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте на Хабре!
@tomhunter
❤5👍2🤡1
#news Jabber Zeus помните? И штатовские правоохранители помнят: его разработчик MrICQ добрался до пункта финального назначения — он был арестован в Италии и экстрадирован в США.
Jabber Zeus — банковский троян и одноимённая группировка из 2009-го. Активна она была недолго: ключевых членов взяли ещё в сентябре 2010-го дружной компанией из ФБР, ФСБ и СБУ. В 2022-м взяли и Пенчукова. А теперь настал черёд одного из разрабов. MrICQ, он же Рубцов Юрий Игоревич, судя по всему, старый друг Пенчукова из Донецка. С оглядкой на его арест, источник запоздавшего на 15 лет деанона MrICQ предположить несложно. В итоге компания в американских застенках собралась звёздная — лучшие люди восточноевропейского сайберкрайма, передовики и новаторы. Присоединятся ли к ним когда-нибудь один большой любитель Ламборгини из Москвы — последняя интрига в деле группировки. Но ответ на этот вопрос, как известно, не из простых.
@tomhunter
Jabber Zeus — банковский троян и одноимённая группировка из 2009-го. Активна она была недолго: ключевых членов взяли ещё в сентябре 2010-го дружной компанией из ФБР, ФСБ и СБУ. В 2022-м взяли и Пенчукова. А теперь настал черёд одного из разрабов. MrICQ, он же Рубцов Юрий Игоревич, судя по всему, старый друг Пенчукова из Донецка. С оглядкой на его арест, источник запоздавшего на 15 лет деанона MrICQ предположить несложно. В итоге компания в американских застенках собралась звёздная — лучшие люди восточноевропейского сайберкрайма, передовики и новаторы. Присоединятся ли к ним когда-нибудь один большой любитель Ламборгини из Москвы — последняя интрига в деле группировки. Но ответ на этот вопрос, как известно, не из простых.
@tomhunter
🔥7😁3❤2👍1👎1🤡1
#news На Open VSX, опенсорсной альтернативе Visual Studio Marketplace, массово отозвали токены доступа юзеров. А причина проста: сотни секретов в публичном доступе. И очередной червь в придачу.
Атака на цепочку поставок формата “Шаи-Хулуд 2” ударила по OpenVSX и VSM пару недель назад в виде малвари GlassWorm. В начинке кража данных доступа и криптостилер в придачу; по версии исследователей его установили 35,800 раз. По версии OpenVSX, ничего страшного у них не произошло, это был никакой не червь — всё делали ручками, да и число установок сильно завышено. Сколько токенов отозвали у разрабов, не называют, но Wiz писали, что нашли на обеих площадках ~550 токенов в публичных репах. По итогам OpenVSX последует примеру GitHub и помимо прочего порежет время валидности токенов. Ну а злоумышленники отправятся на поиски следующей платформы, пригодной для засылки червия. Такие вот санитары опенсорса поневоле.
@tomhunter
Атака на цепочку поставок формата “Шаи-Хулуд 2” ударила по OpenVSX и VSM пару недель назад в виде малвари GlassWorm. В начинке кража данных доступа и криптостилер в придачу; по версии исследователей его установили 35,800 раз. По версии OpenVSX, ничего страшного у них не произошло, это был никакой не червь — всё делали ручками, да и число установок сильно завышено. Сколько токенов отозвали у разрабов, не называют, но Wiz писали, что нашли на обеих площадках ~550 токенов в публичных репах. По итогам OpenVSX последует примеру GitHub и помимо прочего порежет время валидности токенов. Ну а злоумышленники отправятся на поиски следующей платформы, пригодной для засылки червия. Такие вот санитары опенсорса поневоле.
@tomhunter
👍5😁3❤1🔥1
#news Очередной DeFi-протокол пал, криптаны. Дело уже настолько повседневное, что и на новость редко тянет. Но в этом случае хотя бы сумма солидная: ушли больше $120 миллионов. Большая часть в эфире.
Пострадал, собственно, эфирный протокол Balancer, децентрализованная биржа и маркетмейкер. Как обычно, мы преданы безопасности, топовые фирмы нас аудитят, BB-программа открыта для всех желающих и далее по тексту. Но тогда где деньги, Криптовски? Разлетаются по блокчейну. Часть морозят, значительная часть уйдёт получателю, живущему свою лучшую жизнь в одной из антиутопий Корейского полуострова. В общем, обычный день в криптомире. По итогам 2025-го нас ждёт абсолютный рекорд краж за всю историю наблюдений за северокорейскими братушками, вырастившими топовых криптопреступников на зависть всем прочим желающим поучаствовать. Но не Bybit’ом единым живёт бюджет КНДР — весь DeFi вносит посильный вклад. Вот внёс и Balancer.
@tomhunter
Пострадал, собственно, эфирный протокол Balancer, децентрализованная биржа и маркетмейкер. Как обычно, мы преданы безопасности, топовые фирмы нас аудитят, BB-программа открыта для всех желающих и далее по тексту. Но тогда где деньги, Криптовски? Разлетаются по блокчейну. Часть морозят, значительная часть уйдёт получателю, живущему свою лучшую жизнь в одной из антиутопий Корейского полуострова. В общем, обычный день в криптомире. По итогам 2025-го нас ждёт абсолютный рекорд краж за всю историю наблюдений за северокорейскими братушками, вырастившими топовых криптопреступников на зависть всем прочим желающим поучаствовать. Но не Bybit’ом единым живёт бюджет КНДР — весь DeFi вносит посильный вклад. Вот внёс и Balancer.
@tomhunter
😁11👍1🫡1
#news Рубрика “Новинки C2-инфраструктуры”. Microsoft обнаружила бэкдор, использующий в качестве C2 Assistants API от Open AI. Здесь впору вводить аналог известного правила: если инфраструктура существует, на ней развернут С2.
Assistants API используют для интеграции LLM-агентов в приложения и рабочие процессы. Малварь же подтягивает через него зашифрованные команды и отсылает обратно результат сообщением. Сам бэкдор кастомный, реализация интересная, использовали его для устойчивости и скрытого присутствия в сетях неназванной организации — иными словами, работает апэтэшечка. OpenAI, конечно, отозвала ключ API и заблокировала аккаунт злоумышленника, но после публикации желающих протестировать незадокументированную фичу прибавится. И делать они это будут шумно в отличие от, так что головной боли у ИБ-отдела OpenAI явно прибавится. Теханализ бэкдора здесь.
@tomhunter
Assistants API используют для интеграции LLM-агентов в приложения и рабочие процессы. Малварь же подтягивает через него зашифрованные команды и отсылает обратно результат сообщением. Сам бэкдор кастомный, реализация интересная, использовали его для устойчивости и скрытого присутствия в сетях неназванной организации — иными словами, работает апэтэшечка. OpenAI, конечно, отозвала ключ API и заблокировала аккаунт злоумышленника, но после публикации желающих протестировать незадокументированную фичу прибавится. И делать они это будут шумно в отличие от, так что головной боли у ИБ-отдела OpenAI явно прибавится. Теханализ бэкдора здесь.
@tomhunter
🔥5👍2😁1
#news Поучительная история о том, как не надо заниматься инфобезом. И сайберкраймом. В Штатах судят безопасников за инсайдерские рансомварь-атаки с использованием энкриптора от BlackCat.
Двое в деле названы, работали в DigitalMint и Sygnia; третий сообщник без имени. Для полноты картины один был специалистом по цифровой криминалистике, второй — переговорщиком. В материалах упомянуты пять атак в 2023-м и один полученный выкуп на ~$1.3 миллиона; по крипте их и отследили. Криминалист вину признал и якобы был завербован третьим неназванным обвиняемым — так что в деле есть и интрига, не гастролёр от операторов ли завербовал омерзительную пару. Устраивать рансомварь-атаки, живя в США и работая в ИБ — оригинальный способ закончить карьеру, конечно. Но как водится, тёмная сторона инфобеза открывает такие возможности к обогащению, перед которыми устоит не каждый.
@tomhunter
Двое в деле названы, работали в DigitalMint и Sygnia; третий сообщник без имени. Для полноты картины один был специалистом по цифровой криминалистике, второй — переговорщиком. В материалах упомянуты пять атак в 2023-м и один полученный выкуп на ~$1.3 миллиона; по крипте их и отследили. Криминалист вину признал и якобы был завербован третьим неназванным обвиняемым — так что в деле есть и интрига, не гастролёр от операторов ли завербовал омерзительную пару. Устраивать рансомварь-атаки, живя в США и работая в ИБ — оригинальный способ закончить карьеру, конечно. Но как водится, тёмная сторона инфобеза открывает такие возможности к обогащению, перед которыми устоит не каждый.
@tomhunter
🔥5👍4❤1😁1
#digest Закрываем октябрь подборкой самых горячих ИБ-новостей. В прошлом месяце инфобез-гигант F5 раскрыл масштабную компрометацию своих систем госхакерами. А у AWS произошёл коллапс облачной инфраструктуры, на сутки положивший тысячи сервисов.
У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте на Хабре!
@tomhunter
У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте на Хабре!
@tomhunter
👍6
#news После нашумевшего ограбления Лувра на его безопасность запоздало обратили внимание. И начали сразу с козырей: паролем от системы видеонаблюдения Лувра был… LOUVRE. Красивое. В остальном всё тоже оказалось не лучше.
Сами системы охраны крутились на Windows Server 2003 — в этом году почётный пенсионер отпраздновал 10 лет окончания поддержки. На остальных дела аналогично: сегментации нет, те же дефолтные или слабые пароли с доступом к охранным зонам. Многие камеры и датчики устаревшие, на трети залов в крыле, где произошло ограбление, видеокамер не было вовсе, а бюджет на охрану порезали. Всё это было известно после аудитов, и рекомендациям лет столько же, сколько выходу WS 2003 на пенсию — висели с 2015-го. По итогам выходит, что Лувр не обнесли раньше только потому, что никому это в голову не приходило. Не может ведь один из главных музеев мира быть настолько незащищённым! Может. И не только он. Пустите по ним роту нердов от мира физ.пентеста — результаты будут интересные.
@tomhunter
Сами системы охраны крутились на Windows Server 2003 — в этом году почётный пенсионер отпраздновал 10 лет окончания поддержки. На остальных дела аналогично: сегментации нет, те же дефолтные или слабые пароли с доступом к охранным зонам. Многие камеры и датчики устаревшие, на трети залов в крыле, где произошло ограбление, видеокамер не было вовсе, а бюджет на охрану порезали. Всё это было известно после аудитов, и рекомендациям лет столько же, сколько выходу WS 2003 на пенсию — висели с 2015-го. По итогам выходит, что Лувр не обнесли раньше только потому, что никому это в голову не приходило. Не может ведь один из главных музеев мира быть настолько незащищённым! Может. И не только он. Пустите по ним роту нердов от мира физ.пентеста — результаты будут интересные.
@tomhunter
😁13🤬2💯2
#news Cloudflare столкнулась с неожиданным последствием роста ботнетов. В публичном рейтинге популярных доменов на первые позиции внезапно вышли сайты ботнета Aisuru. Интернет вещей победил, ботнет оказался сильней.
Aisuru — горячая новинка в мире ботнетов, стремительно растущая и обрастающая функциональностью. На его счету рекордные DDoS-атаки в этом году и перекат на рынок резидентских прокси, где маржа повыше и шуму поменьше. Но теперь он шумит в топе Cloudflare — из-за объёма запросов ботнета вместо популярных у кожаных мешков доменов первые места за машинным трафиком. С учётом того, что на белых списках Cloudflare держится куча систем оценки надёжности сайтов, залёт вредоноса в топ-100 может просто поломать фильтрацию. Так что теперь придётся переработать алгоритмы оценки. А пока Cloudflare его костылизирует, замазывая доменные имена вредоноса и скрывая их из рейтинга.
@tomhunter
Aisuru — горячая новинка в мире ботнетов, стремительно растущая и обрастающая функциональностью. На его счету рекордные DDoS-атаки в этом году и перекат на рынок резидентских прокси, где маржа повыше и шуму поменьше. Но теперь он шумит в топе Cloudflare — из-за объёма запросов ботнета вместо популярных у кожаных мешков доменов первые места за машинным трафиком. С учётом того, что на белых списках Cloudflare держится куча систем оценки надёжности сайтов, залёт вредоноса в топ-100 может просто поломать фильтрацию. Так что теперь придётся переработать алгоритмы оценки. А пока Cloudflare его костылизирует, замазывая доменные имена вредоноса и скрывая их из рейтинга.
@tomhunter
👍6❤3😁3
#news Google нагнетает обстановку вокруг LLM-малвари. Её безопасники обнаружили экспериментальный дроппер, эксплойтящий Gemini для генерации кода. Цель разраба — создать метаморфный вредонос на самоподдуве. Препятствие? Текущее качество кода от LLM’ок, конечно же.
Пока это всё в активной, закоменченной разработке, и если вчитаться в отчёт, не особо впечатляющей. Задача абьюза Gemini API — переписывать код каждый час для обхода статического анализа и прочего на EDR’ом. Всё это в формате промпта со скрина “Пиши как экспертный VBScript обфускатор и обходи антивирусы”. Испугались? Вот и я о том же. Пока это больше скрытая реклама LLM’ки от Google — рыночек в этой области беспощадный и рискующий лопнуть, так что сойдут любые ухищрения. Справедливости ради, в отчёте есть примеры работы вредоноса с ИИ-моделями качеством повыше. Но зато как звучит: малварь, которая вайбкодит себя на ходу! Хорошая попытка, изуверский интеллект, но не сегодня. Ещё несколько лет без всего этого, глядишь, проживём.
@tomhunter
Пока это всё в активной, закоменченной разработке, и если вчитаться в отчёт, не особо впечатляющей. Задача абьюза Gemini API — переписывать код каждый час для обхода статического анализа и прочего на EDR’ом. Всё это в формате промпта со скрина “Пиши как экспертный VBScript обфускатор и обходи антивирусы”. Испугались? Вот и я о том же. Пока это больше скрытая реклама LLM’ки от Google — рыночек в этой области беспощадный и рискующий лопнуть, так что сойдут любые ухищрения. Справедливости ради, в отчёте есть примеры работы вредоноса с ИИ-моделями качеством повыше. Но зато как звучит: малварь, которая вайбкодит себя на ходу! Хорошая попытка, изуверский интеллект, но не сегодня. Ещё несколько лет без всего этого, глядишь, проживём.
@tomhunter
😁12👍4❤2
#news Reuters раскрывает секрет Полишинеля за нескончаемыми потоками вредоносной рекламы на разных платформах. В чём же он заключается? Деньги. У экстремистов из Meta от неё ~10% выручки за 2024-й. А это $16 миллиардов.
Судя по внутренним документам, проблема вовсе не в том, что автоматические системы не справляются с масштабами, как заявляют бедные корпорации. Справляются ещё как, но верхи не могут [отказаться от барышей], а низы не хотят [переставать ходить по ссылкам]. Мошенников по сути монетизируют — вредоносную рекламу пускают по штрафным ставкам. Более того, монетизируют и юзеров, кликающих по спаму: один раз перешёл, и алгоритм подкидывает ещё. СБ Meta считает, что треть онлайн-мошенничества в США идёт через её продукты. По итогам Meta в сущности сознательно обслуживает экосистему малвертайзинга ради прибыли. С — соучастие. Что в целом неудивительно, но навевает неприятные ассоциации с войной с наркотиками. ИБ борется с симптомами, как DEA и сопричастные, а деньги всегда в выигрыше.
@tomhunter
Судя по внутренним документам, проблема вовсе не в том, что автоматические системы не справляются с масштабами, как заявляют бедные корпорации. Справляются ещё как, но верхи не могут [отказаться от барышей], а низы не хотят [переставать ходить по ссылкам]. Мошенников по сути монетизируют — вредоносную рекламу пускают по штрафным ставкам. Более того, монетизируют и юзеров, кликающих по спаму: один раз перешёл, и алгоритм подкидывает ещё. СБ Meta считает, что треть онлайн-мошенничества в США идёт через её продукты. По итогам Meta в сущности сознательно обслуживает экосистему малвертайзинга ради прибыли. С — соучастие. Что в целом неудивительно, но навевает неприятные ассоциации с войной с наркотиками. ИБ борется с симптомами, как DEA и сопричастные, а деньги всегда в выигрыше.
@tomhunter
🔥9👍5🤯4💯3
#news Хроники эволюции главного хита 2025-го — ClickFix. В свежих версиях атака обзавелась видеоинструкцией и таймером, а также обнаруживает версию ОС. Всё это завёрнуто в фейковую капчу Cloudflare, с которой юзер периодически сталкивается, так что готов с удовольствием последовать инструкциям.
Бонусом идёт счётчик прошедших верификацию; задумка — моё почтение: 1237 человек за последний час справились за минуту, чем я хуже? Методы доставки и вредоносная нагрузка тоже не стоят на месте: в топе векторов Google c отравленной выдачей и малвертайзингом, по нагрузке полно креатива. В общем, атака крайне успешная, так что неизбежно попадает в арсенал злоумышленников рангом повыше средних дарований, которых понаберут по объявлению на даркнет-форуме. Исследователи предупреждают, что не надо выполнять команды, если пользователь не полностью понимает, что он делает. Смело с их стороны предполагать, что средний юзер хоть что-либо полностью понимает.
@tomhunter
Бонусом идёт счётчик прошедших верификацию; задумка — моё почтение: 1237 человек за последний час справились за минуту, чем я хуже? Методы доставки и вредоносная нагрузка тоже не стоят на месте: в топе векторов Google c отравленной выдачей и малвертайзингом, по нагрузке полно креатива. В общем, атака крайне успешная, так что неизбежно попадает в арсенал злоумышленников рангом повыше средних дарований, которых понаберут по объявлению на даркнет-форуме. Исследователи предупреждают, что не надо выполнять команды, если пользователь не полностью понимает, что он делает. Смело с их стороны предполагать, что средний юзер хоть что-либо полностью понимает.
@tomhunter
😁14❤1👍1🤡1
#news У китайской ИБ-фирмы Knownsec в начале ноября произошла масштабная утечка, по некоторым оценкам крупнейшая в истории. 12 тысяч конфиденциальных документов о нацпрограммах, исходники инструментов и данных о сетевых операциях.
Среди целей больше 20 стран и регионов, в одной из таблиц 80 компаний, по которым были успешные атаки и кражи данных — от миграционки в Индии до 3 TB записей звонков оператора связи в Южной Корее. В арсенале у фирмы куча RAT и прочего подручного, включая устройства вроде пауэрбанка со встроенным модулем для стягивания данных. Так что нерды из Knownsec не только по офисам сидят. В общем, утечка интересная, с GitHub её оперативно удалили, но успела улететь в даркнет — все трёхбуквенные агентства и причастные разбирают под лупой. Представитель МИД же заявил, что ни о каких утечках не знает и вообще Китай против всех форм кибератак. Как известно, по официальному лору атаками занимаются только американцы под ложным флагом. Так что здесь ничего нового.
@tomhunter
Среди целей больше 20 стран и регионов, в одной из таблиц 80 компаний, по которым были успешные атаки и кражи данных — от миграционки в Индии до 3 TB записей звонков оператора связи в Южной Корее. В арсенале у фирмы куча RAT и прочего подручного, включая устройства вроде пауэрбанка со встроенным модулем для стягивания данных. Так что нерды из Knownsec не только по офисам сидят. В общем, утечка интересная, с GitHub её оперативно удалили, но успела улететь в даркнет — все трёхбуквенные агентства и причастные разбирают под лупой. Представитель МИД же заявил, что ни о каких утечках не знает и вообще Китай против всех форм кибератак. Как известно, по официальному лору атаками занимаются только американцы под ложным флагом. Так что здесь ничего нового.
@tomhunter
😁7🔥3👍2❤1
#news В сетевых дебрях засветилась новая спайварь под Android, судя по всему, коммерческая. Её использовали в атаках через нулевой день по Самсунгам с середины 2024-го. Спайварь получила название LandFall, она эксплойтила уязвимость с нулевой интеракцией в моделях Galaxy.
В атаке использовали вредоносные DNG-файлы — популярный сейчас эксплойт уязвимых библиотек для обработки формата. Уязвимость закрыли в сентябре в Samsung, схожую раньше исправила Apple. Но операторы остались, люди работают, так что найдутся и новые. Спайварь засветилась в атаках на Ближнем Востоке по ряду стран, но с атрибуцией исследователи не спешат. Часть артефактов связывают с операцией от Variston, которая была активна в ОАЭ, в загрузчике же компонент с названием, встречающимся в продуктах известных спайварь-поделий от израильских умельцев. Так что, возможно, выходцы из Unit 8200 занимаются привычным делом. Пока под него есть многомиллиардный рынок, никуда от этого не деться, сколько Variston'ов ни прикрой. Теханализ здесь.
@tomhunter
В атаке использовали вредоносные DNG-файлы — популярный сейчас эксплойт уязвимых библиотек для обработки формата. Уязвимость закрыли в сентябре в Samsung, схожую раньше исправила Apple. Но операторы остались, люди работают, так что найдутся и новые. Спайварь засветилась в атаках на Ближнем Востоке по ряду стран, но с атрибуцией исследователи не спешат. Часть артефактов связывают с операцией от Variston, которая была активна в ОАЭ, в загрузчике же компонент с названием, встречающимся в продуктах известных спайварь-поделий от израильских умельцев. Так что, возможно, выходцы из Unit 8200 занимаются привычным делом. Пока под него есть многомиллиардный рынок, никуда от этого не деться, сколько Variston'ов ни прикрой. Теханализ здесь.
@tomhunter
👍7🔥2❤1
#news В США судят брокера начального доступа рансомварь-группировки Yanluowang. Алексей Волков, он же chubaka.kor и nets, признал вину по восьми эпизодам атак по американским компаниям в 2021-м и 2022-м.
ФБР получило доступ к серверу операции вместе с логами, данными и почтовыми ящиками. Волкова отследили по его Apple ID, криптотранзакциям и аккаунтам в соцсетях — твиттерный был на его номер и, соответственно, паспорт. А где заказ из Яндекс.Лавки или визит в Гемотест, там и база со всеми твоими данными для всех желающих, чтобы никто не ушёл обиженным. Включая ФБР. В яблочном облаке у рансомварь-чубаки нашёлся скриншот с перепиской с кем-то под ником LockBit, так что Волкову только и оставалось, что на сделку со следствием идти. По максимальной совокупности обвинений его ждут 53 года срока и $9,1 миллиона штрафа. По реалиям же штатовских приговоров уедет лет на 5-10 — в зависимости от того, насколько удачной была сделка в царстве любителей удачных сделок.
@tomhunter
ФБР получило доступ к серверу операции вместе с логами, данными и почтовыми ящиками. Волкова отследили по его Apple ID, криптотранзакциям и аккаунтам в соцсетях — твиттерный был на его номер и, соответственно, паспорт. А где заказ из Яндекс.Лавки или визит в Гемотест, там и база со всеми твоими данными для всех желающих, чтобы никто не ушёл обиженным. Включая ФБР. В яблочном облаке у рансомварь-чубаки нашёлся скриншот с перепиской с кем-то под ником LockBit, так что Волкову только и оставалось, что на сделку со следствием идти. По максимальной совокупности обвинений его ждут 53 года срока и $9,1 миллиона штрафа. По реалиям же штатовских приговоров уедет лет на 5-10 — в зависимости от того, насколько удачной была сделка в царстве любителей удачных сделок.
@tomhunter
🔥7😁4❤2👍1🤯1
#news Исследователи представили занятную атаку по сторонним каналам по LLM’кам. Она позволяет анализировать перехваченный трафик с токенами и определять, на какие темы юзер общается с моделью.
В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее шли 10 тысяч диалогов, из которых только один был целевой — ни одного ложноположительного и до 50% точности определения. Условное трёхбуквенное агентство, слушающее трафик от чатботов, вполне может отслеживать интересные ему темы. Всякое противозаконное и диссидентское, например. Часть разработчиков, включая OpenAI, уязвимость закрыли, другие молчат. Между тем на Github тулкит под атаку. Так что любознательному исследователю есть, чем заняться на досуге.
@tomhunter
В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее шли 10 тысяч диалогов, из которых только один был целевой — ни одного ложноположительного и до 50% точности определения. Условное трёхбуквенное агентство, слушающее трафик от чатботов, вполне может отслеживать интересные ему темы. Всякое противозаконное и диссидентское, например. Часть разработчиков, включая OpenAI, уязвимость закрыли, другие молчат. Между тем на Github тулкит под атаку. Так что любознательному исследователю есть, чем заняться на досуге.
@tomhunter
👍5🔥3❤2
#news Китайский ИБ-регулятор заявил, что американское правительство может быть ответственно за взлом майнингового пула LuBian в 2020-м. От создателей “Тайваньский скрипт-кидди нам не товарищ“ и “Американский лаовай взламывает себя сам”.
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
😁6🔥3👍2
#news Google продолжает нагнетать на тему ИИ. Согласно прогнозу на 2026-й, ИИ-модельки перестанут обслуживать базовые запросы киберпреступников — они будут во главе угла, вплоть до автоматизации целых кампаний.
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
😁9👍2💯2🫡1
Media is too big
VIEW IN TELEGRAM
#news На днях у инфостилера Rhadamanthys отвалился доступ к панели, а теперь предположения подтвердились: вышел сиквел Operation Endgame. В свежем эпизоде также перехватили инфраструктуру VenomRAT и ботнета Elysium.
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
😁7👍4🔥3