#news США, Великобритания и Австралия обложили санкциями российский хостинг Media Land и связанные с ним компании. Вместе с ними под санкции улетели гендиректор и ещё пара аффилированных с сервисом лиц, чьи лица теперь украшают сайт Минфина США.
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
💯5👍4😁3❤1
#news Юные дарования из ShinyHunters обещали свою собственную RaaS-операцию с энкриптором и выкупами, и, похоже, она на подходе. На VT залетели сэмплы шифровальщика.
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
💯7❤4👍3🤡1
#news Максимально неловкий момент для Oracle: Cl0p закинула на свой сайт пост о взломе компании. Собственно, через уязвимость в Oracle EBS — ту самую, эксплойт которой шёл месяцы до патчей. Круг замкнулся.
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
👍6😁4🔥3
#news Mozilla объявила о сворачивании программы Monitor Plus по удалению данных юзеров с брокерских сайтов. Той самой, которую обслуживала белорусская OneRep, и выяснилось, что её владелец параллельно держит те самые сайты брокеров данных.
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
😁15👍4🔥1
#news Яндекс с утра решил косплеить Cloudflare с AWS. Потому как чем мы хуже? Так что понедельник начался со сбоев: часть сайтов и сервисов, висящих на Yandex Cloud, оказались недоступны в некоторых регионах.
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
😁17👍3🔥3❤1
#news CrowdStrike поймала у себя инсайдера. Человек с сомнительной рабочей этикой и плохо просчитанными рисками сдал злоумышленникам скриншоты внутренних систем и не только. Они ранее вспыли в чатиках неугомонного хакерского тройничка из ShinyHunters, Scattered Spider и Lapsus$.
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
😁7💯4👍2😱2
#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах.
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
😁7🔥4❤2👍1
#news Больше креатива от мира ClickFix-атак. В свежей вариации засветилась стеганография для доставки, но интереснее в ней новинка по части социнженерии. Атака замаскирована под экран обновления Windows. В этом варианте вместо капчи полноэкранные окна.
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
😁13❤2👍1🤯1
#news К лучшим традициям ИБ в разработке. Исследователи прошлись по онлайн-инструментам для форматирования кода вроде JSONFormatter и CodeBeautify. И собрали внушительную коллекцию кредов, ключей и токенов.
Проблема сводится кразрабам фиче “Недавние ссылки”: юзеры сохраняют куски кода для шары, защиты на ссылках нет, и у них предсказуемый формат — вытянули простеньким краулером. Набралось 80 тысяч паст со всевозможными секретами из всех отраслей – от ИБ и провайдеров до госухи и критической инфраструктуры. Кто-то слил конфиг от всей своей облачной инфры, кто-то креды от крупных банков и бирж. Иными словами, очередная сокровищница для любого злоумышленника, не говоря об апэтэшечках. Как шутят авторы, ты получаешь красивый код, я получаю начальный доступ. Подробнее в отчёте. LLM’ки стали трагедией для культуры отчётов в ИБ, но у этих пока всё тепло и лампово, от нердов для нердов, с шутеечками и мемами без эффекта зловещей долины. Тем и ценно.
@tomhunter
Проблема сводится к
@tomhunter
😁6🔥2❤1👍1
#news Рыночек джейлбрейкнутых ИИ-моделей продолжает обрастать новыми поделиями. В сетевых дебрях сейчас популярна очередная вариация WormGPT. Всего 50 баксов в месяц, чтобы почувствовать себя кулхацкером — предложение заманчивое.
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
👍5😁2💯1
#news Историями про ShinyHunters и компанию уже никого не удивишь, а вот классика OSINT от Кребса не устаревает. Он идентифицировал одного из операторов и публичное лицо группировки и связался с ним. Сколько лет дарованию, как думаете? Пятнадцать.
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
😁14❤2👍1
#news К оригинальным находкам из мира крипты. В магазине расширений Chrome обнаружили инструмент для торговли на одной из бирж. С небольшим бонусом для автора — 0,05% от транзакций.
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
🔥3👍1💯1
#news GreyNoise запустила сканер айпишников для проверки, не светились ли они во вредоносных сканах, в частности в составе ботнетов и сетей резидентских прокси. Так что ответ на извечный вопрос юзера “Не скомпрометирован ли мой ТВ” дан одним кликом.
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
😁5👍1🔥1
#news Пятничные новости инфобеза. Свежее расширение под Chrome и Firefox предлагает уберечь своё инфопространство от ИИ-контента. И отправиться в благословенное сетевое прошлое до 30 ноября 2022-го.
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночкуили ИБ-отчёт , не вышедший из-под цифрового пера LLM’ки, становится решительно невозможно. Приметы эпохи. Через несколько лет человеческий контент рискует стать редкой элитарной диковинкой вроде походов в оперу, но пока ещё можно вернуть себе свой цифровой 2007-й по вкусу. Бонусом для желающих испытать свой детектор ИИ-картинок тест, в котором весело и немного страшно.
@tomhunter
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночку
@tomhunter
👍5😁3
#news Исследователь просканировал GitLab и не нашёл ни одного утёкшего секрета! Шутка. Конечно, нашёл. ~17 тысяч штук на ~3 тысячи уникальных доменов. Большая часть старше 2018-го, но нашёлся и уникум из 2009-го. Валидный. А вы как думали?
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
😁10💯5👍1
#news Ещё один криптомиксер пал смертью храбрых проводников цифрового будущего. Европол и компания сообщили о перехвате платформы, известной под оригинальным названием Cryptomixer.
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
🔥6😁4👍2🫡2
#news Подзабытая в наших широтах тема. TryHackMe под огнём из-за вопиющих нарушений современных порядков на своём декабрьском курсовом ивенте. Гендерного баланса не подвезли: на 18 наставников не нашлось ни одной женщины. Зэ хоррор.
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
😁17👍5
#news YouTube-клиент SmartTube был недавно скомпрометирован. Приложение обзавелось вредоносной библиотекой, на неё начал ругаться Play Protect. Судя по содержимому, инфра под ботнет.
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
😁11👍3🔥2
#news У 404 Media интервью с Майклом Боббиттом, бывшим сотрудником ФБР, работавшим на операции Trojan Shield. Также известной как Anom или как перестать бояться и начать снабжать организованную преступность “зашифрованной” связью.
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
👍6❤4
#news Исследователи подводят итоги сиквела Shai-Hulud 2 на npm. Атака охватила около 30 тысяч репозиториев, из которых утекли 400 тысяч секретов. Из них ~10 тысяч валидны. И на 1 декабря валидными оставались больше 60 процентов.
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
😁3❤2👍2🔥2
#news Чёрный день для детишек в России: с утра прилегла их любимая платформа Roblox. Тысячи жалоб, сотни тысяч затронутых пользователей, открывается платформа только с помощью инструментов, которые нельзя называть. Всё как полагается.
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,но пока официальных заявлений нет уже есть. Блокировка за экстремизм разного рода, а дальше как пойдёт — почистят в Roblox свои игровые конюшни от непотребного, может, и сменится гнев на милость. В общем, ничего неожиданного. Наследие советского мехмата дало нам поколения блестящих айтишников и киберпреступников, а РКН оставит страну с поколением обывателей, разбирающихся в сетевых протоколах лучше китайской тиктокерши. Есть, наверное, и в этом определённая доля положительного.
@tomhunter
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,
@tomhunter
😁11👍5🔥3🤬2💯1