#news Подзабытая в наших широтах тема. TryHackMe под огнём из-за вопиющих нарушений современных порядков на своём декабрьском курсовом ивенте. Гендерного баланса не подвезли: на 18 наставников не нашлось ни одной женщины. Зэ хоррор.
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
😁17👍5
#news YouTube-клиент SmartTube был недавно скомпрометирован. Приложение обзавелось вредоносной библиотекой, на неё начал ругаться Play Protect. Судя по содержимому, инфра под ботнет.
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
😁11👍3🔥2
#news У 404 Media интервью с Майклом Боббиттом, бывшим сотрудником ФБР, работавшим на операции Trojan Shield. Также известной как Anom или как перестать бояться и начать снабжать организованную преступность “зашифрованной” связью.
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
👍6❤4
#news Исследователи подводят итоги сиквела Shai-Hulud 2 на npm. Атака охватила около 30 тысяч репозиториев, из которых утекли 400 тысяч секретов. Из них ~10 тысяч валидны. И на 1 декабря валидными оставались больше 60 процентов.
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
😁3❤2👍2🔥2
#news Чёрный день для детишек в России: с утра прилегла их любимая платформа Roblox. Тысячи жалоб, сотни тысяч затронутых пользователей, открывается платформа только с помощью инструментов, которые нельзя называть. Всё как полагается.
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,но пока официальных заявлений нет уже есть. Блокировка за экстремизм разного рода, а дальше как пойдёт — почистят в Roblox свои игровые конюшни от непотребного, может, и сменится гнев на милость. В общем, ничего неожиданного. Наследие советского мехмата дало нам поколения блестящих айтишников и киберпреступников, а РКН оставит страну с поколением обывателей, разбирающихся в сетевых протоколах лучше китайской тиктокерши. Есть, наверное, и в этом определённая доля положительного.
@tomhunter
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,
@tomhunter
😁11👍5🔥3🤬2💯1
#news Google проводит безжалостные эксперименты над юзерами Google Discover. Вместо оригинальных новостных заголовков, которые скрапит ИИ-агент, пользователи видят переписанные LLM’кой.
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
😁5❤3🤯3👍2
#news Жаркий декабрь для React и Next.js: в React Server Components исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.Спасайте свои интернеты, глупцы!
@tomhunter
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.
@tomhunter
🔥7😱4❤3👍3
#сve Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
👍7
#news Исследователи заманили северокорейского рекрутера в ханипот. Товарищ из Лучшей Кореи отвечает за рекрутинг айтишников из западных стран, чтобы те сдавали свои идентичности в аренду, под которыми затем работают IT-солдаты. Подопытный, конечно, интересный.
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
🔥9😁3👍1
#news Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
👍6🔥1
#digest Ноябрь выдался богатым на интересные события, так что давайте подводить его итоги. Прошлый месяц принёс крупнейший сбой в работе Cloudflare с 2019-го, а также массовые заражения пакетов в экосистеме npm свежей версией червя Shai-Hulud, оказавшимся мощнее и продвинутее прежнего.
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
👍9❤3
#news Живучести некоторых рансомварь-группировок можно только позавидовать, но путь к триумфальному возвращению тернист. У LockBit утёкли айпи и домен. От той самой новой инфраструктуры с защитой от всемогущих агентов ФБР. А вот защита от случайного исследователя подвела, увы.
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
😁9💯4👍3❤2🔥1
#news Увлекательная история от GrapheneOS для поднятия боевого духа в начале недели. На днях юзер начал разгонять по сети, что GOS его подвёл: якобы он сдал пин-код для вайпа, а тот не сработал. Сдал он его на допросе. По подозрению в предумышленном убийстве.
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
😁8👍3🔥3❤1😢1
#news Исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
🔥10❤3😁2🤬1
#news У FinCEN, бюро в составе Минфина США, свежий отчёт по рансомварь-сцене. Цифры интересные: с 2022-го по 2024-й годы выплаты достигли ~$2,1 миллиардов. Почти столько же, сколько за восемь лет до этого. Всего с 2013-го по 2024-й выкупов было на ~$4,5 миллиарда.
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
😁6👍1
#news У Sophos отчёт по трендовому пакеру 2025-го — Shanya. Он появился в конце 2024-го и в этом году набрал обороты, потеснив HeartCrypt. Образцы от Shanya светятся регулярно, и пакер вошёл в арсенал Qilin, Medusa и Akira.
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
😁4❤1👍1
#news У “Лаборатории Касперского” небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
😁10🔥2😢1🤡1💯1
#news Аналитики из консалтинговой фирмы Gartner в США призвали отказаться от использования ИИ-браузеров. По их мнению, они несут слишком много рисков, и до поры до времени в защищённых средах существовать не должны. Очевидное-невероятное.
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.А идея-то неплохая. В принципе, думаю, здесь никому не нужно объяснять, что ИИ-браузеры бегут впереди паровоза, и ИБ в них сильно отстаёт. Но что очевидно любому вменяемому человеку в индустрии, неочевидно пиджакам в высоких кабинетах. Глядишь, отчётик от уважаемых людей поспособствует.
@tomhunter
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.
@tomhunter
👍7😁2🤡1
#news К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций. Которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
😁7❤2🔥2😱2👍1
#news В Gogs, сервисе для селфхоста Git-репозиториев, нулевой день под произвольный код. Уязвимы доступные в сети инстансы с открытой регистрацией — а это настройка по умолчанию. Кто сервисом пользуется, мог догадаться: это обход ранее исправленной уязвимости на path traversal.
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
😁6👍1🔥1
#news Notepad++ засветился в кампании по доставке малвари: несколько исследователей сообщили о кейсах, в которых апдейтер подтягивал вредонос вместо легитимных обновлений.
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
👍8🔥3❤1