#news У “Лаборатории Касперского” небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
😁10🔥2😢1🤡1💯1
#news Аналитики из консалтинговой фирмы Gartner в США призвали отказаться от использования ИИ-браузеров. По их мнению, они несут слишком много рисков, и до поры до времени в защищённых средах существовать не должны. Очевидное-невероятное.
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.А идея-то неплохая. В принципе, думаю, здесь никому не нужно объяснять, что ИИ-браузеры бегут впереди паровоза, и ИБ в них сильно отстаёт. Но что очевидно любому вменяемому человеку в индустрии, неочевидно пиджакам в высоких кабинетах. Глядишь, отчётик от уважаемых людей поспособствует.
@tomhunter
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.
@tomhunter
👍7😁2🤡1
#news К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций. Которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
😁7❤2🔥2😱2👍1
#news В Gogs, сервисе для селфхоста Git-репозиториев, нулевой день под произвольный код. Уязвимы доступные в сети инстансы с открытой регистрацией — а это настройка по умолчанию. Кто сервисом пользуется, мог догадаться: это обход ранее исправленной уязвимости на path traversal.
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
😁6👍1🔥1
#news Notepad++ засветился в кампании по доставке малвари: несколько исследователей сообщили о кейсах, в которых апдейтер подтягивал вредонос вместо легитимных обновлений.
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
Из хороших новостей, это таргетированные инциденты в Восточной Азии, так что может работать дружелюбная китайская апэтэшечка по соседям. Но огоньку добавляет то, что пока непонятно, каким образом злоумышленники угнали трафик для подмены обновлений. Есть предположения, что это просто троянизированные версии, но в ноябрьский патч Notepad++ затесалась строчка “обновление безопасности против угона апдейтера” — скачивания были залочены по GitHub. Так что могли подменить ссылку. После шума по ИБ-бложикам, апдейтеру накинули харденинга: свежая версия проверяет подпись и сертификат установочника при обновлении. Но сам по себе кейс интересный. Люди работают.
@tomhunter
👍8🔥3❤1
#news Пятничные новости от мира хактивизма. Операторы CyberVolk, он же VolkLocker, вернулись после затишья с новой рансомварью. Но забыли в энкрипторе ключ для дешифрования. Который падает на машины жертвы простым текстом. *звуки грустного тромбона*
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
Исследователи вежливо описывают это как шаг вперёд (с продвинутой автоматизацией через Telegram), шаг назад (с учётом забытого masterKey). Когда у тебя деплоят билдер с захардкоженным ключом, забытым из тестового билда, это, конечно, называется по-другому, но такие слова в техотчёте не напишешь. Поэтому на дипломатичном и получается, что наши бедолаги “испытывают трудности с техническим контролем”. По итогам команда реагирования обнаруживает в %TEMP% бэкап ключа, закидывает его в декриптор и, сдерживая гомерический хохот, пишет отчёт. После этого остаётся только тихонько уйти со сцены — ребрендинг в хактивизме если и бывает, то только такой. Но для настоящего CyberVolk’a это не конец. Упал — не значит упал. Провал — это там, где не встал. (Извините.)
@tomhunter
😁14
#news И к новостям о более успешных (и креативных) злоумышленниках. На волне популярности нового фильма с ДиКаприо, на трекерах троянизированные варианты. И в одном малварь запрятана прямиком в субтитры.
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
Обычно свежие релизы эксплойтят, заливая под их видом .msi-файлы с вредоносом, но здесь всё интереснее. В скачанном юзер находит ярлык CD.lnk и ждёт от него запуска фильма. Вместо этого на нём команда, которая сводится к “Прочитай Part2.subtitles.srt, вытащи строки 100–103, и выполни их с помощью cmd.exe и powershell.exe”. В файле с субтитрами, как ни странно, реальные субтитры, но в строках 100-103 батч-скрипт. И дальше по файлу нагрузка, которую парсит PowerShell. В комплекте идёт RAT Agent Tesla. При этом у файла тысячи сидеров, так что вектор атаки рабочий. Туговато на западе с культурой пиратства, в общем. А Оскар за самый оригинальный способ доставки вредоносной нагрузки получает…
@tomhunter
🔥8😁6👍4❤1🤬1
#news В Южной Корее идёт расследование утечки данных граждан, которую уже успели окрестить худшей в истории страны. Из Coupang, местного Ozon, утекли данные двух третей граждан. А ответственен за неё бывший сотрудник.
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика. Полиция уже оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. Хорошая страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
@tomhunter
😁10🔥4👍2
#news У MITRE свежий топ-25 самых опасных уязвимостей года. Как обычно, на первом месте межсайтовый скриптинг, но по остальным позициям есть интересные изменения.
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
Так, отсутствующая авторизация поднялась на 5 пунктов и заняла почётное четвертое место. Отсутствующая аутентификация прибавила 4 позиции. Это многое говорит о нашем айти-обществе! С другой стороны, неправильная проверка ввода потеряла 6 позиций, а инъекция команд — сразу 10. Так что есть и хорошие новости. Разыменование нулевого указателя поднялось на 8 позиций, и список пополнился несколькими вариантами переполнения буфера. Что-то вечно. Иными словами, Secure-by-Design нам только снится, и список, как обычно, рекомендован к ознакомлению всем причастным. Шоу должно продолжаться!
@tomhunter
🔥5❤2👍1👎1🤡1
#news У нас победитель в категории “Самый пикантный взлом года”. Скажем прямо: взломали PornHub. Точнее, его стороннего подрядчика. И стянули историю поиска и просмотров премиальных юзеров. Ситуация, одним словом, щекотливая.
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel, с которым PornHub сотрудничал до 2021-го. И если стянутое сольют в сеть, заняться аналитикой вкусов членов премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, не совсем то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах. PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
@tomhunter
😁22🤬1
#news Радостная новость для всех пенсионеров-миллионеров, доверчивых обывателей и прочих дамочек по имени Лариса: на Украине провели рейды по мошенническим центрам. Число скам-звонков временно снизилось.
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
Рейды прошли при поддержке Евроджаста на прошлой неделе в Днепре (где же ещё), Ивано-Франковске и Киеве по центрам, в которых работали около ста человек. А вот арестованы только 12 из 45 фигурирующих в расследовании. И офисы на видео что-то пустоваты... Схема известная: ваш банковский счёт скомпрометирован, переведём средства на безопасный. Работают хлопцы, которым “русских никогда не жалко”, интернационально — на том и погорели. Родина звонящих по России за процентик, конечно, бережёт, но вот когда приезжают уважаемые партнёры из Чехии, Латвии и Литвы спросить за беспредел в их границах, приходится сотрудничать. Хотя бы для виду: рейды по таким конторкам проходят регулярно, но вот число звонков всё ещё исчисляется миллионами.
@tomhunter
👍6🤡6💯3❤1👎1🔥1
#news Хроники шиттификации интернета: большинство паркованных доменов в сети — больше 90% — ведут на сайты с малварью и спамом. Для сравнения, в 2014-м цифры были прямо противоположные: меньше 5% редиректов на вредонос.
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
Всё это истёкшие и неиспользуемые домены, но значительная часть также тайпсквоты. И на большинстве из них на изнанке интернета выстроен бизнес по монетизации трафика: их перепродают под редиректы. От скама и подписок до инфостилеров и троянов. Причём бизнес солидный: кто-то держит портфель на 3,000 тайпсквот-доменов, включая почтовый сервер на gmai[.]com — опечатался в адресе почты, и письмо улетает злоумышленнику. И так вплоть до госухи: нашёлся домен ic3[.]org вместо .gov — это ФБР — со scareware вместо окошка для общения с агентством. Так что ходить по сети вручную стало небезопасно: одна ошибка, и твой Google Drive удалён, браузер устарел, на устройстве 5 вирусов, а идентичность украдена. И это ещё не худший вариант.
@tomhunter
🤯8🔥3🤬2😢1
#news “Бесплатный” Urban VPN Proxy под Chrome и другие расширения от разработчика поймали на пересылке промптов юзеров ко всем популярным LLM’кам на серверы разрабов. 6 миллионов скачиваний.
В заголовки залетел сам Urban VPN, но это ещё три расширения, включая адблокер и ещё один народный ускоритель ютуба. Суммарно ~8 миллионов установок. Вредоносное обновление пушнули 9 июля этого года с захардкоженным сбором данных по умолчанию. А обновления расширений идут автоматом. Скрипты переписывают API браузера по паре реквестов, и промпты прогоняются через расширение, которое затем пересылает их на серверы. Уходят сами промпты, ответы LLM’ки и метаданные сессии. И всё собранное идёт на продажу брокерам в сыром виде. Фича, кстати, задокументирована в политике конфиденциальности. А вы думали, Мизулина с вами шутки шутила, называя бесплатные VPN’ы порталами в ад? Наивные.
@tomhunter
В заголовки залетел сам Urban VPN, но это ещё три расширения, включая адблокер и ещё один народный ускоритель ютуба. Суммарно ~8 миллионов установок. Вредоносное обновление пушнули 9 июля этого года с захардкоженным сбором данных по умолчанию. А обновления расширений идут автоматом. Скрипты переписывают API браузера по паре реквестов, и промпты прогоняются через расширение, которое затем пересылает их на серверы. Уходят сами промпты, ответы LLM’ки и метаданные сессии. И всё собранное идёт на продажу брокерам в сыром виде. Фича, кстати, задокументирована в политике конфиденциальности. А вы думали, Мизулина с вами шутки шутила, называя бесплатные VPN’ы порталами в ад? Наивные.
@tomhunter
😁14🤡4
#news Cisco предупредила клиентов о новом критическом 0-day с десяточкой по CVSS в своих продуктах, который эксплойтят китайские госхакеры. Затронуты Secure Email Gateway, Cisco Secure Email и Web Manager. Патчей пока нет.
Проблему усугубляет то, что затронутые продукты стоят в куче крупных организаций и неизвестно, как давно идёт эксплуатация. Cisco обнаружила взломы 10 декабря, но здесь как в бородатом анекдоте: на третий месяц Орлиный Глаз заметил, что в софте нулевой день. Эксплойт идёт как минимум с конца ноября. Затронутые все релизы Cisco AsyncOS, но только с включённой и доступной в сети фичей Spam Quarantine — по умолчанию она отключена. Неправильная проверка ввода — похоже, опять забыли про санитизацию. Работа над патчем идёт, ну а пока пользователям предложены костыли в виде вайпа и надежда на лучшее. Начинают ли китайские апэтэшечки свой день с дружного “Спасибо вам, лаоваи, за Cisco!”, история умалчивает.
@tomhunter
Проблему усугубляет то, что затронутые продукты стоят в куче крупных организаций и неизвестно, как давно идёт эксплуатация. Cisco обнаружила взломы 10 декабря, но здесь как в бородатом анекдоте: на третий месяц Орлиный Глаз заметил, что в софте нулевой день. Эксплойт идёт как минимум с конца ноября. Затронутые все релизы Cisco AsyncOS, но только с включённой и доступной в сети фичей Spam Quarantine — по умолчанию она отключена. Неправильная проверка ввода — похоже, опять забыли про санитизацию. Работа над патчем идёт, ну а пока пользователям предложены костыли в виде вайпа и надежда на лучшее. Начинают ли китайские апэтэшечки свой день с дружного “Спасибо вам, лаоваи, за Cisco!”, история умалчивает.
@tomhunter
🔥6😁6👍3❤1
#news Поучительная история от мира киберпреступного хактивизма. 12 декабря взломали почтовые серверы Министерства внутренних дел Франции в отместку за арест админов BF. А 17 декабря предполагаемого взломщика арестовали — теперь присоединится к коллегам.
Пост о взломе появился на свежей вариации BreachForums 13 декабря вместе с новой порцией разборок малолетнего криминального андеграунда на тему не ханипот ли BF часом. Кто-то поругался, кто-то обиделся — местечковый форум об аниме получается, всерьёз воспринимать сложно. В комплекте шло стандартное бахвальство о том, сколько всего наломали и стянули, и выпады в адрес Интерпола и Франции. Стране дали неделю, чтобы ответить. И Франция ответила. Очередной пример того, что Неуловимые Джо плохо понимают, как работают бюрократия и трёхбуквенные агентства. У 22-летнего взломщика уже были приводы за сайберкрайм, и его привлекали по тем же обвинениям буквально в этом году. Так что киберпреступная вендетта продлилась недолго. А разговоров-то было…
@tomhunter
Пост о взломе появился на свежей вариации BreachForums 13 декабря вместе с новой порцией разборок малолетнего криминального андеграунда на тему не ханипот ли BF часом. Кто-то поругался, кто-то обиделся — местечковый форум об аниме получается, всерьёз воспринимать сложно. В комплекте шло стандартное бахвальство о том, сколько всего наломали и стянули, и выпады в адрес Интерпола и Франции. Стране дали неделю, чтобы ответить. И Франция ответила. Очередной пример того, что Неуловимые Джо плохо понимают, как работают бюрократия и трёхбуквенные агентства. У 22-летнего взломщика уже были приводы за сайберкрайм, и его привлекали по тем же обвинениям буквально в этом году. Так что киберпреступная вендетта продлилась недолго. А разговоров-то было…
@tomhunter
😁11💯2
#news Криптомир закрывает 2025-й с огоньком: за год украдены почти $3,5 миллиарда. Большая часть этой суммы приходится на северокорейских криптостахановцев. Суммарно хакеры из КНДР набрали в госкубышку минимум $2 миллиарда.
Что не особо впечатляет, если вспомнить, что $1,5 миллиарда с ByBit. Но тут главное, чтобы улыбчивый лидер был доволен, а остальное приложится. Chainanalysis отмечает, что в этом году братушки предпочли крупные атаки. Удивительная проницательность:покупай на ямках ломай большие биржи, отдыхай на маленьких. Но наблюдать за первой в мире крипто-Тортугой по-прежнему интересно, этого не отнять. На 2026-й прогнозируют тряску по всем крупным биржам из страха перед гостями из КНДР. И аудиты не на бумаге нужны, и под лупой каждого на собеседовании рассматривать — не видеофейк ли часом. А с оглядкой на креатив IT-солдат по найму, паранойя будет цвести только так. Социнженерия-то здесь по-прежнему главный вектор.
@tomhunter
Что не особо впечатляет, если вспомнить, что $1,5 миллиарда с ByBit. Но тут главное, чтобы улыбчивый лидер был доволен, а остальное приложится. Chainanalysis отмечает, что в этом году братушки предпочли крупные атаки. Удивительная проницательность:
@tomhunter
🔥6😁3❤1
#news Случаются и у сильных APT мира сего неловкие проколы: китайская Silver Fox оставила открытой веб-панель, через которую отслеживали скачивания троянизированных установочников. И на неё забрели безопасники.
На панельке картина масштабной кампании по отравлению поисковой выдачи: cайты-двойники выводят в топ и распространяют RAT. Судя по находкам, в арсенале группировки два десятка популярных софтин. Работают они по китайской аудитории, но есть интересный нюанс: в части файлов и компонентов названия кириллицей — то есть это такой ложный флаг на минималках. Не в каждой западной ИБ-фирме найдётся иммигрант из СНГ, чтобы показать ему китайско-русский гуглотранслейт, так что задумка неплохая. Но некоторые на связке “китайская APT” и “операция под ложным российским флагом”, конечно, инстинктивно напрягутся. Не переживайте, это просто спойлеры на недалёкое будущее подвезли. А будущее, как известно, безжалостно.
@tomhunter
На панельке картина масштабной кампании по отравлению поисковой выдачи: cайты-двойники выводят в топ и распространяют RAT. Судя по находкам, в арсенале группировки два десятка популярных софтин. Работают они по китайской аудитории, но есть интересный нюанс: в части файлов и компонентов названия кириллицей — то есть это такой ложный флаг на минималках. Не в каждой западной ИБ-фирме найдётся иммигрант из СНГ, чтобы показать ему китайско-русский гуглотранслейт, так что задумка неплохая. Но некоторые на связке “китайская APT” и “операция под ложным российским флагом”, конечно, инстинктивно напрягутся. Не переживайте, это просто спойлеры на недалёкое будущее подвезли. А будущее, как известно, безжалостно.
@tomhunter
😁9👍3🤡2
#news Очередной криптоскамер отправился под суд в Штатах. 23-летний Рональд Спектор похитил ~$16 миллионов у сотни юзеров Coinbase. Для этого ему хватило фишинга и социнженерии.
Спектор перенял навыки у лучших людей днепровских колл-центров: он звонил жертвам, представляясь сотрудником Coinbase и выводил их на фишинговые сайты. В одном таком случае юзер сдал сид-фразу от кошелька с $6 миллионами. При этом зумера подвела любовь к показухе: судя по судебным документам, его нашли в том числе по постингу в Telegram, где он хвалился кражами и миллионными тратами в казино. Что интересно, блокчейновый аналитик ZachXBT сдеанонил Рональда ещё в ноябре 2024-го, но арестовали его только на днях — за год-то можно было и тактически релоцироваться в тёплые страны. Но судя по скрину его сообщения Zach’у, наш герой не отличался умом и сообразительностью. От того и присядет лет на 12-15.
@tomhunter
Спектор перенял навыки у лучших людей днепровских колл-центров: он звонил жертвам, представляясь сотрудником Coinbase и выводил их на фишинговые сайты. В одном таком случае юзер сдал сид-фразу от кошелька с $6 миллионами. При этом зумера подвела любовь к показухе: судя по судебным документам, его нашли в том числе по постингу в Telegram, где он хвалился кражами и миллионными тратами в казино. Что интересно, блокчейновый аналитик ZachXBT сдеанонил Рональда ещё в ноябре 2024-го, но арестовали его только на днях — за год-то можно было и тактически релоцироваться в тёплые страны. Но судя по скрину его сообщения Zach’у, наш герой не отличался умом и сообразительностью. От того и присядет лет на 12-15.
@tomhunter
😁10👍2
#news В США 35-летний украинец Артём Александрович Стрижак признал вину по участию в рансомварь-операции Nefilim. Он был одним из её аффилиатов, которого экстрадировали из Испании в апреле этого года.
Nefilim была активна в 2020-м и 2021-м годах под руководством Владимира Тимощука, он же Boba и Deadforz; LockerGoga, MegaCortex — вот это вот всё. Средненькая операция, пионерили двойное вымогательство вместе с остальными. Стрижак вкатился в Nefilim в середине 2021-го, а в июне 2024-го был арестован и дожидался экстрадиции. В деле есть забавный момент. Судя по докам, у следствия был доступ к логам группировки. Ступив на скользкую рансомварь-дорожку, Стрижак озаботился опсеком и спрашивал у более мудрого товарища, стоит ли ему сменить свой киберпреступный никнейм на случай, если панель вскроют федералы. Надо было Тёма, надо было, и не только. Увы, слишком поздно.
@tomhunter
Nefilim была активна в 2020-м и 2021-м годах под руководством Владимира Тимощука, он же Boba и Deadforz; LockerGoga, MegaCortex — вот это вот всё. Средненькая операция, пионерили двойное вымогательство вместе с остальными. Стрижак вкатился в Nefilim в середине 2021-го, а в июне 2024-го был арестован и дожидался экстрадиции. В деле есть забавный момент. Судя по докам, у следствия был доступ к логам группировки. Ступив на скользкую рансомварь-дорожку, Стрижак озаботился опсеком и спрашивал у более мудрого товарища, стоит ли ему сменить свой киберпреступный никнейм на случай, если панель вскроют федералы. Надо было Тёма, надо было, и не только. Увы, слишком поздно.
@tomhunter
😁9
#news Пираты-хактивисты наскрапили весь Spotify. Библиотеку платформы на 86 миллионов файлов стянули и планируют выложить в открытый доступ. Spotify скрапинг подтвердил.
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их уже выложили. Остальное планируют зарелизить торрент-файлами. Размеры архива солидные: почти 300 терабайт. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы. Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
@tomhunter
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их уже выложили. Остальное планируют зарелизить торрент-файлами. Размеры архива солидные: почти 300 терабайт. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы. Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
@tomhunter
❤13👍6😁4🔥3
#news В n8n, платформе для автоматизации рабочих процессов, закрыли критическую уязвимость под удалённое выполнение кода на 9.9 по CVSS. С аутентификацией, но низкими привилегиями.
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
@tomhunter
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
@tomhunter
👍8🔥2