#news К оригинальным находкам из мира крипты. В магазине расширений Chrome обнаружили инструмент для торговли на одной из бирж. С небольшим бонусом для автора — 0,05% от транзакций.
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
🔥3👍1💯1
#news GreyNoise запустила сканер айпишников для проверки, не светились ли они во вредоносных сканах, в частности в составе ботнетов и сетей резидентских прокси. Так что ответ на извечный вопрос юзера “Не скомпрометирован ли мой ТВ” дан одним кликом.
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
😁5👍1🔥1
#news Пятничные новости инфобеза. Свежее расширение под Chrome и Firefox предлагает уберечь своё инфопространство от ИИ-контента. И отправиться в благословенное сетевое прошлое до 30 ноября 2022-го.
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночкуили ИБ-отчёт , не вышедший из-под цифрового пера LLM’ки, становится решительно невозможно. Приметы эпохи. Через несколько лет человеческий контент рискует стать редкой элитарной диковинкой вроде походов в оперу, но пока ещё можно вернуть себе свой цифровой 2007-й по вкусу. Бонусом для желающих испытать свой детектор ИИ-картинок тест, в котором весело и немного страшно.
@tomhunter
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночку
@tomhunter
👍5😁3
#news Исследователь просканировал GitLab и не нашёл ни одного утёкшего секрета! Шутка. Конечно, нашёл. ~17 тысяч штук на ~3 тысячи уникальных доменов. Большая часть старше 2018-го, но нашёлся и уникум из 2009-го. Валидный. А вы как думали?
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
😁10💯5👍1
#news Ещё один криптомиксер пал смертью храбрых проводников цифрового будущего. Европол и компания сообщили о перехвате платформы, известной под оригинальным названием Cryptomixer.
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
🔥6😁4👍2🫡2
#news Подзабытая в наших широтах тема. TryHackMe под огнём из-за вопиющих нарушений современных порядков на своём декабрьском курсовом ивенте. Гендерного баланса не подвезли: на 18 наставников не нашлось ни одной женщины. Зэ хоррор.
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
😁17👍5
#news YouTube-клиент SmartTube был недавно скомпрометирован. Приложение обзавелось вредоносной библиотекой, на неё начал ругаться Play Protect. Судя по содержимому, инфра под ботнет.
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
😁11👍3🔥2
#news У 404 Media интервью с Майклом Боббиттом, бывшим сотрудником ФБР, работавшим на операции Trojan Shield. Также известной как Anom или как перестать бояться и начать снабжать организованную преступность “зашифрованной” связью.
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
👍6❤4
#news Исследователи подводят итоги сиквела Shai-Hulud 2 на npm. Атака охватила около 30 тысяч репозиториев, из которых утекли 400 тысяч секретов. Из них ~10 тысяч валидны. И на 1 декабря валидными оставались больше 60 процентов.
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
😁3❤2👍2🔥2
#news Чёрный день для детишек в России: с утра прилегла их любимая платформа Roblox. Тысячи жалоб, сотни тысяч затронутых пользователей, открывается платформа только с помощью инструментов, которые нельзя называть. Всё как полагается.
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,но пока официальных заявлений нет уже есть. Блокировка за экстремизм разного рода, а дальше как пойдёт — почистят в Roblox свои игровые конюшни от непотребного, может, и сменится гнев на милость. В общем, ничего неожиданного. Наследие советского мехмата дало нам поколения блестящих айтишников и киберпреступников, а РКН оставит страну с поколением обывателей, разбирающихся в сетевых протоколах лучше китайской тиктокерши. Есть, наверное, и в этом определённая доля положительного.
@tomhunter
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,
@tomhunter
😁11👍5🔥3🤬2💯1
#news Google проводит безжалостные эксперименты над юзерами Google Discover. Вместо оригинальных новостных заголовков, которые скрапит ИИ-агент, пользователи видят переписанные LLM’кой.
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
😁5❤3🤯3👍2
#news Жаркий декабрь для React и Next.js: в React Server Components исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.Спасайте свои интернеты, глупцы!
@tomhunter
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.
@tomhunter
🔥7😱4❤3👍3
#сve Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
👍7
#news Исследователи заманили северокорейского рекрутера в ханипот. Товарищ из Лучшей Кореи отвечает за рекрутинг айтишников из западных стран, чтобы те сдавали свои идентичности в аренду, под которыми затем работают IT-солдаты. Подопытный, конечно, интересный.
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
🔥9😁3👍1
#news Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
👍6🔥1
#digest Ноябрь выдался богатым на интересные события, так что давайте подводить его итоги. Прошлый месяц принёс крупнейший сбой в работе Cloudflare с 2019-го, а также массовые заражения пакетов в экосистеме npm свежей версией червя Shai-Hulud, оказавшимся мощнее и продвинутее прежнего.
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
👍9❤3
#news Живучести некоторых рансомварь-группировок можно только позавидовать, но путь к триумфальному возвращению тернист. У LockBit утёкли айпи и домен. От той самой новой инфраструктуры с защитой от всемогущих агентов ФБР. А вот защита от случайного исследователя подвела, увы.
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
😁9💯4👍3❤2🔥1
#news Увлекательная история от GrapheneOS для поднятия боевого духа в начале недели. На днях юзер начал разгонять по сети, что GOS его подвёл: якобы он сдал пин-код для вайпа, а тот не сработал. Сдал он его на допросе. По подозрению в предумышленном убийстве.
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
😁8👍3🔥3❤1😢1
#news Исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
🔥10❤3😁2🤬1
#news У FinCEN, бюро в составе Минфина США, свежий отчёт по рансомварь-сцене. Цифры интересные: с 2022-го по 2024-й годы выплаты достигли ~$2,1 миллиардов. Почти столько же, сколько за восемь лет до этого. Всего с 2013-го по 2024-й выкупов было на ~$4,5 миллиарда.
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
😁6👍1
#news У Sophos отчёт по трендовому пакеру 2025-го — Shanya. Он появился в конце 2024-го и в этом году набрал обороты, потеснив HeartCrypt. Образцы от Shanya светятся регулярно, и пакер вошёл в арсенал Qilin, Medusa и Akira.
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
😁4❤1👍1