#article В мире OSINT-расследований одна из самых сложных задач — работа с анонимными каналами, форумами и закрытыми сообществами. В сегодняшней статье мы разберём, как генеративные нейросети можно использовать для анализа массивов текстовых данных, которые раньше приходилось обрабатывать вручную.
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
❤8👍6🔥2💯1
#news В сканере малвари ImunifyAV для линукс-серверов нашли уязвимость под удалённое выполнение кода. Он крутится на доступных хостинговых платформах и прочих виртуальных хостингах, так что охват по затронутым сайтам солидный.
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
😁9💯2👍1🔥1🤬1🤡1
#news Jaguar Land Rover докладывает по ущербу после кибератаки в начале сентября. Цифры впечатляющие: только сама атака обошлась компании в 220 миллионов долларов.
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
😁7👍6🤯3🔥1
#news ClickFix настолько распространён, что в нём можно найти самые экзотические вещи. В одной из кампаний засветился оригинальный метод доставки вредоноса: его подтягивает протокол Finger. Первая версия была написана в 1971-м.
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
😁6👍2❤1
#news Если у вас опять отвалилась половина интернета, не спешите ругаться на наше всё и подключать что-нибудь этакое. Тот редкий случай, когда проблема за кордоном: прилёг Cloudflare. Причём прилёг масштабно.
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
😁15👍5❤3
#news На ВВС интервью с Вячеславом Пенчуковым, он же Танк и DJ Slava Rich. Первое, эксклюзивное, с заголовком про раскрытые тайны его кибербанды и всё прочее. На деле же по тексту нового мало.
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
👍9❤2🔥2🤡1🫡1
#news Исследователи проверили, как у экстремистов из WhatsApp с ограничением запросов на поиск контактов. Оказалось, не очень. И перебором номеров удалось вытянуть базу пользователей — на 3,5 миллиарда номеров.
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
🤯9👍4🔥4
#news Вчера у Cloudflare был крупнейший перебой в работе систем с 2019-го. Как и следовало ожидать, постинцидентный отчёт прекрасен. Сбой был вызван… изменением в контроле доступа к базе данных.
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
😁9👍8🔥2🤡1
#news США, Великобритания и Австралия обложили санкциями российский хостинг Media Land и связанные с ним компании. Вместе с ними под санкции улетели гендиректор и ещё пара аффилированных с сервисом лиц, чьи лица теперь украшают сайт Минфина США.
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
💯5👍4😁3❤1
#news Юные дарования из ShinyHunters обещали свою собственную RaaS-операцию с энкриптором и выкупами, и, похоже, она на подходе. На VT залетели сэмплы шифровальщика.
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
💯7❤4👍3🤡1
#news Максимально неловкий момент для Oracle: Cl0p закинула на свой сайт пост о взломе компании. Собственно, через уязвимость в Oracle EBS — ту самую, эксплойт которой шёл месяцы до патчей. Круг замкнулся.
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
👍6😁4🔥3
#news Mozilla объявила о сворачивании программы Monitor Plus по удалению данных юзеров с брокерских сайтов. Той самой, которую обслуживала белорусская OneRep, и выяснилось, что её владелец параллельно держит те самые сайты брокеров данных.
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
😁15👍4🔥1
#news Яндекс с утра решил косплеить Cloudflare с AWS. Потому как чем мы хуже? Так что понедельник начался со сбоев: часть сайтов и сервисов, висящих на Yandex Cloud, оказались недоступны в некоторых регионах.
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
😁17👍3🔥3❤1
#news CrowdStrike поймала у себя инсайдера. Человек с сомнительной рабочей этикой и плохо просчитанными рисками сдал злоумышленникам скриншоты внутренних систем и не только. Они ранее вспыли в чатиках неугомонного хакерского тройничка из ShinyHunters, Scattered Spider и Lapsus$.
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
😁7💯4👍2😱2
#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах.
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
😁7🔥4❤2👍1
#news Больше креатива от мира ClickFix-атак. В свежей вариации засветилась стеганография для доставки, но интереснее в ней новинка по части социнженерии. Атака замаскирована под экран обновления Windows. В этом варианте вместо капчи полноэкранные окна.
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
😁13❤2👍1🤯1
#news К лучшим традициям ИБ в разработке. Исследователи прошлись по онлайн-инструментам для форматирования кода вроде JSONFormatter и CodeBeautify. И собрали внушительную коллекцию кредов, ключей и токенов.
Проблема сводится кразрабам фиче “Недавние ссылки”: юзеры сохраняют куски кода для шары, защиты на ссылках нет, и у них предсказуемый формат — вытянули простеньким краулером. Набралось 80 тысяч паст со всевозможными секретами из всех отраслей – от ИБ и провайдеров до госухи и критической инфраструктуры. Кто-то слил конфиг от всей своей облачной инфры, кто-то креды от крупных банков и бирж. Иными словами, очередная сокровищница для любого злоумышленника, не говоря об апэтэшечках. Как шутят авторы, ты получаешь красивый код, я получаю начальный доступ. Подробнее в отчёте. LLM’ки стали трагедией для культуры отчётов в ИБ, но у этих пока всё тепло и лампово, от нердов для нердов, с шутеечками и мемами без эффекта зловещей долины. Тем и ценно.
@tomhunter
Проблема сводится к
@tomhunter
😁6🔥2❤1👍1
#news Рыночек джейлбрейкнутых ИИ-моделей продолжает обрастать новыми поделиями. В сетевых дебрях сейчас популярна очередная вариация WormGPT. Всего 50 баксов в месяц, чтобы почувствовать себя кулхацкером — предложение заманчивое.
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
👍5😁2💯1
#news Историями про ShinyHunters и компанию уже никого не удивишь, а вот классика OSINT от Кребса не устаревает. Он идентифицировал одного из операторов и публичное лицо группировки и связался с ним. Сколько лет дарованию, как думаете? Пятнадцать.
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
😁14❤2👍1
#news К оригинальным находкам из мира крипты. В магазине расширений Chrome обнаружили инструмент для торговли на одной из бирж. С небольшим бонусом для автора — 0,05% от транзакций.
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
🔥3👍1💯1
#news GreyNoise запустила сканер айпишников для проверки, не светились ли они во вредоносных сканах, в частности в составе ботнетов и сетей резидентских прокси. Так что ответ на извечный вопрос юзера “Не скомпрометирован ли мой ТВ” дан одним кликом.
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
😁5👍1🔥1