#сve Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
👍7
#news Исследователи заманили северокорейского рекрутера в ханипот. Товарищ из Лучшей Кореи отвечает за рекрутинг айтишников из западных стран, чтобы те сдавали свои идентичности в аренду, под которыми затем работают IT-солдаты. Подопытный, конечно, интересный.
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
🔥9😁3👍1
#news Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
👍6🔥1
#digest Ноябрь выдался богатым на интересные события, так что давайте подводить его итоги. Прошлый месяц принёс крупнейший сбой в работе Cloudflare с 2019-го, а также массовые заражения пакетов в экосистеме npm свежей версией червя Shai-Hulud, оказавшимся мощнее и продвинутее прежнего.
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
👍9❤3
#news Живучести некоторых рансомварь-группировок можно только позавидовать, но путь к триумфальному возвращению тернист. У LockBit утёкли айпи и домен. От той самой новой инфраструктуры с защитой от всемогущих агентов ФБР. А вот защита от случайного исследователя подвела, увы.
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
😁9💯4👍3❤2🔥1
#news Увлекательная история от GrapheneOS для поднятия боевого духа в начале недели. На днях юзер начал разгонять по сети, что GOS его подвёл: якобы он сдал пин-код для вайпа, а тот не сработал. Сдал он его на допросе. По подозрению в предумышленном убийстве.
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
😁8👍3🔥3❤1😢1
#news Исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
🔥10❤3😁2🤬1
#news У FinCEN, бюро в составе Минфина США, свежий отчёт по рансомварь-сцене. Цифры интересные: с 2022-го по 2024-й годы выплаты достигли ~$2,1 миллиардов. Почти столько же, сколько за восемь лет до этого. Всего с 2013-го по 2024-й выкупов было на ~$4,5 миллиарда.
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
😁6👍1
#news У Sophos отчёт по трендовому пакеру 2025-го — Shanya. Он появился в конце 2024-го и в этом году набрал обороты, потеснив HeartCrypt. Образцы от Shanya светятся регулярно, и пакер вошёл в арсенал Qilin, Medusa и Akira.
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
😁4❤1👍1
#news У “Лаборатории Касперского” небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
😁10🔥2😢1🤡1💯1
#news Аналитики из консалтинговой фирмы Gartner в США призвали отказаться от использования ИИ-браузеров. По их мнению, они несут слишком много рисков, и до поры до времени в защищённых средах существовать не должны. Очевидное-невероятное.
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.А идея-то неплохая. В принципе, думаю, здесь никому не нужно объяснять, что ИИ-браузеры бегут впереди паровоза, и ИБ в них сильно отстаёт. Но что очевидно любому вменяемому человеку в индустрии, неочевидно пиджакам в высоких кабинетах. Глядишь, отчётик от уважаемых людей поспособствует.
@tomhunter
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.
@tomhunter
👍7😁2🤡1
#news К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций. Которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
😁7❤2🔥2😱2👍1
#news В Gogs, сервисе для селфхоста Git-репозиториев, нулевой день под произвольный код. Уязвимы доступные в сети инстансы с открытой регистрацией — а это настройка по умолчанию. Кто сервисом пользуется, мог догадаться: это обход ранее исправленной уязвимости на path traversal.
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
😁6👍1🔥1
#news Notepad++ засветился в кампании по доставке малвари: несколько исследователей сообщили о кейсах, в которых апдейтер подтягивал вредонос вместо легитимных обновлений.
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
👍8🔥3❤1
#news Пятничные новости от мира хактивизма. Операторы CyberVolk, он же VolkLocker, вернулись после затишья с новой рансомварью. Но забыли в энкрипторе ключ для дешифрования. Который падает на машины жертвы простым текстом. *звуки грустного тромбона*
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
😁14
#news И к новостям о более успешных (и креативных) злоумышленниках. На волне популярности нового фильма с ДиКаприо, на трекерах троянизированные варианты. И в одном малварь запрятана прямиком в субтитры.
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
🔥8😁6👍4❤1🤬1
#news В Южной Корее идёт расследование утечки данных граждан, которую уже успели окрестить худшей в истории страны. Из Coupang, местного Ozon, утекли данные двух третей граждан. А ответственен за неё бывший сотрудник.
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
😁10🔥4👍2
#news У MITRE свежий топ-25 самых опасных уязвимостей года. Как обычно, на первом месте межсайтовый скриптинг, но по остальным позициям есть интересные изменения.
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
🔥5❤2👍1👎1🤡1
#news У нас победитель в категории “Самый пикантный взлом года”. Скажем прямо: взломали PornHub. Точнее, его стороннего подрядчика. И стянули историю поиска и просмотров премиальных юзеров. Ситуация, одним словом, щекотливая.
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
😁22🤬1
#news Радостная новость для всех пенсионеров-миллионеров, доверчивых обывателей и прочих дамочек по имени Лариса: на Украине провели рейды по мошенническим центрам. Число скам-звонков временно снизилось.
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
👍6🤡6💯3❤1👎1🔥1
#news Хроники шиттификации интернета: большинство паркованных доменов в сети — больше 90% — ведут на сайты с малварью и спамом. Для сравнения, в 2014-м цифры были прямо противоположные: меньше 5% редиректов на вредонос.
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
🤯8🔥3🤬2😢1