#news В США арестовали криптана, укравшего более $46 миллионов. И украл он их прямиком у службы судебных исполнителей — юный гений решил обнести госуху. Чем дальше вчитываешься в историю, тем лучше она становится.
В деле фигурирует вот это малолетнее дарование с фото. Это сынишка владельца фирмы на господряде, а занималась она обслуживанием крипты, изъятой по судебным делам. Судя по всему, отец взял непутёвого сына на работу, и тот не придумал ничего лучше, как использовать доступ и стянуть средства с госсчетов. В лучших традициях криптоворишки с двухзначным IQ товарищ хвастался роскошными часами, машинами и частными самолётами, а когда его схему вскрыл ZachXBT, насмехался над ним онлайн. Но уже месяц спустя награда нашла героя. Не обошлось и без связи с русскими хакерами! Украденные деньги были изъяты у Ильи Лихтенштейна — вот и перспективный джун в команду новоявленного белошляпочника.
@tomhunter
В деле фигурирует вот это малолетнее дарование с фото. Это сынишка владельца фирмы на господряде, а занималась она обслуживанием крипты, изъятой по судебным делам. Судя по всему, отец взял непутёвого сына на работу, и тот не придумал ничего лучше, как использовать доступ и стянуть средства с госсчетов. В лучших традициях криптоворишки с двухзначным IQ товарищ хвастался роскошными часами, машинами и частными самолётами, а когда его схему вскрыл ZachXBT, насмехался над ним онлайн. Но уже месяц спустя награда нашла героя. Не обошлось и без связи с русскими хакерами! Украденные деньги были изъяты у Ильи Лихтенштейна — вот и перспективный джун в команду новоявленного белошляпочника.
@tomhunter
😁11❤4🤡4
#digest Закрываем февраль подборкой самых интересных новостей из мира ИБ. В прошлом месяце у Paragon, разработчика спайвари, случились трудности с опсеком: на LinkedIn утекло фото из их офиса с панелью продукта на фоне. У другого вендора шпионского ПО Intellexa закончился суд — и топ-менеджеры получили солидные сроки.
Дела LLM’ные превращаются в постоянную рубрику: сеть встряхнула история про ИИ-агента, написавшего порочащую статью про разработчика, Hacker One выпустила агентный продукт, вызвавший подозрение у багхантеров, а топ-менеджеры Microsoft грозят, что ИИ закрывает джунам вход в профессию. Помимо этого, разборки Anthropic и Пентагона поставили под угрозу существование компании, у WormGPT потенциальная утечка базы юзеров, а у Cisco десяточка с эксплойтом с 2023-го. За подробностями добро пожаловать на Хабр!
@tomhunter
Дела LLM’ные превращаются в постоянную рубрику: сеть встряхнула история про ИИ-агента, написавшего порочащую статью про разработчика, Hacker One выпустила агентный продукт, вызвавший подозрение у багхантеров, а топ-менеджеры Microsoft грозят, что ИИ закрывает джунам вход в профессию. Помимо этого, разборки Anthropic и Пентагона поставили под угрозу существование компании, у WormGPT потенциальная утечка базы юзеров, а у Cisco десяточка с эксплойтом с 2023-го. За подробностями добро пожаловать на Хабр!
@tomhunter
👍5
#news Результаты выдачи Bing AI по запросу на установку OpenClaw засветились в доставке малвари. LLM’ка подтягивает ссылки на вредоносный репозиторий с пачкой инфостилеров и загрузчиков в установочнике.
Интереснее всего здесь вектор доставки. Отравленная выдача? Вредоносная реклама? Нет, Bing AI подтянул ссылку на репу с малварью на GitHub сам — для того, чтобы LLM’ка посчитала её источником под запрос “openclaw windows”, оказалось достаточно репозитория от организации “openclaw-installer”. Готово, вы ослепительны: теперь ИИ-поисковики будут распространять вашу малварь — и даже наличие официального репозитория искусственного болванчика не остановит. Судя по всему, у злоумышленника даже не было планов залететь в топ выдачи Bing AI — это просто приятный бонус от зашедшей не в ту репу модельки. Ты совершенно прав, я дал тебе ссылку на вредонос, и это непростительно. Хочешь, расскажу, как защититься от малвари в сети?
@tomhunter
Интереснее всего здесь вектор доставки. Отравленная выдача? Вредоносная реклама? Нет, Bing AI подтянул ссылку на репу с малварью на GitHub сам — для того, чтобы LLM’ка посчитала её источником под запрос “openclaw windows”, оказалось достаточно репозитория от организации “openclaw-installer”. Готово, вы ослепительны: теперь ИИ-поисковики будут распространять вашу малварь — и даже наличие официального репозитория искусственного болванчика не остановит. Судя по всему, у злоумышленника даже не было планов залететь в топ выдачи Bing AI — это просто приятный бонус от зашедшей не в ту репу модельки. Ты совершенно прав, я дал тебе ссылку на вредонос, и это непростительно. Хочешь, расскажу, как защититься от малвари в сети?
@tomhunter
😁18
#news В новую неделю с новыми приключениями ИИ-агентов в проде. Разработчик использовал Claude Code для переноса сайта на AWS с помощью инструмента Terraform. В процесс закралась небольшая ошибочка, и Claude потёр прод вместе с базой данных и снапшотами.
Началось всё с желания мигрировать один сайт и повесить на инфру с другим. Claude подключили к автоматизации Terraform, но разраб забыл state-файл — ключевой элемент конфига. Без него LLM наделала дубликатов и встряла; state-файл подгрузили, но вместо того, чтобы чистить дубли, Claude инициировал destroy и потёр все ресурсы перед развёртыванием. Вместе с продом второго сайта и резервными копиями. В итоге паникующий разраб купил Business-аккаунт на AWS, чтобы поскорее попасть в техподдержку, занятный кейс отфутболили в самые дебри саппорта, но сутки спустя снапшот восстановили. Кто перестанет так весело косячить раньше, LLM’ки или пускающие их с рут-правами в прод разрабы? Я бы осторожно поставил на кремний.
@tomhunter
Началось всё с желания мигрировать один сайт и повесить на инфру с другим. Claude подключили к автоматизации Terraform, но разраб забыл state-файл — ключевой элемент конфига. Без него LLM наделала дубликатов и встряла; state-файл подгрузили, но вместо того, чтобы чистить дубли, Claude инициировал destroy и потёр все ресурсы перед развёртыванием. Вместе с продом второго сайта и резервными копиями. В итоге паникующий разраб купил Business-аккаунт на AWS, чтобы поскорее попасть в техподдержку, занятный кейс отфутболили в самые дебри саппорта, но сутки спустя снапшот восстановили. Кто перестанет так весело косячить раньше, LLM’ки или пускающие их с рут-правами в прод разрабы? Я бы осторожно поставил на кремний.
@tomhunter
😁9🤡5💯5❤1
#news Proton засветился в очередном кейсе со сдачей данных на юзера. Компания передала швейцарским властям данные об оплате учётки кредиткой, их получило ФБР, и юзера идентифицировали.
Пикантности ситуации добавляет, что речь про гражданского активиста из движения, протестовавшего против застройки парка в Штатах. Случай поднял шуму в сети, и корпокоммы Proton выпустили оправдываться, но получается не очень: “мы сами не передавали данные ФБР” — их сдали по международной линии, “в кейсе подстреленный полицейский и взрывчатка” — на деле запрос за незаконное проникновение и далее по списку. По случаю в сети на пальцах объясняют, что Proton — это просто бренд с маркетингом на приватности, а в комментариях негодуют фанбои. Сразу видно тех, кто дальше красивых лозунгов на главной странице торговцев “приватностью” не читает.
@tomhunter
Пикантности ситуации добавляет, что речь про гражданского активиста из движения, протестовавшего против застройки парка в Штатах. Случай поднял шуму в сети, и корпокоммы Proton выпустили оправдываться, но получается не очень: “мы сами не передавали данные ФБР” — их сдали по международной линии, “в кейсе подстреленный полицейский и взрывчатка” — на деле запрос за незаконное проникновение и далее по списку. По случаю в сети на пальцах объясняют, что Proton — это просто бренд с маркетингом на приватности, а в комментариях негодуют фанбои. Сразу видно тех, кто дальше красивых лозунгов на главной странице торговцев “приватностью” не читает.
@tomhunter
😁12👍5
#news У недавней утечки тулкита Coruna новые интересные подробности: судя по всему, он был разработан L3Harris. Тем самым господрядчиком, топ-менеджера которого недавно осудили за продажу эксплойтов. Чуете, куда ветер дует?
Двое сотрудников L3Harris на условиях анонимности подтвердили, что Coruna — её разработка и часть тулкита компании: это было внутреннее название одного из компонентов, и техдетали в отчёте им знакомы. Как Coruna попала с господряда “Пяти Глаз” к APT, а затем к китайским киберпреступникам? Журналисты спекулируют, что это те самые эксплойты, которые Питер Уильямс продал на сторону — прямых доказательств пока нет, но по времени и некоторым деталям совпадает. И всё это параллельно увязывается с “Операцией Триангуляция”, на участие L3Harris в которой раньше жирно намекали. В общем, у нас лучший кроссовер 2026-го, круче в этом году уже не будет.
@tomhunter
Двое сотрудников L3Harris на условиях анонимности подтвердили, что Coruna — её разработка и часть тулкита компании: это было внутреннее название одного из компонентов, и техдетали в отчёте им знакомы. Как Coruna попала с господряда “Пяти Глаз” к APT, а затем к китайским киберпреступникам? Журналисты спекулируют, что это те самые эксплойты, которые Питер Уильямс продал на сторону — прямых доказательств пока нет, но по времени и некоторым деталям совпадает. И всё это параллельно увязывается с “Операцией Триангуляция”, на участие L3Harris в которой раньше жирно намекали. В общем, у нас лучший кроссовер 2026-го, круче в этом году уже не будет.
@tomhunter
🔥6👍4
#news Забавный случай из Польши. Там арестовали киберпреступников, торговавших китом для DDoS-атак. Казалось бы, ничего примечательного, но это подростки — самому младшему 12 лет.
В деле фигурируют шестеро персонажей 12-16 лет, админу всего 14. Распространяемый ими софт использовали для атак на различные сайты, продавали исключительно ради прибыли. При этом полиция в анонсе рекомендует не давать этим атакам паблисити и не прославлять их — 15-минутное падение сайта всё равно никто и не замечал. Вот сейчас всяким низовым хактивистам стало очень обидно! По польским законам самый младший в этой страшной преступной группировке ответственность нести не может, остальные тоже в уголовный суд не попадут — по таким делам туда отправляют с 17. Отличная мотивация вкатываться в сайберкрайм смолоду! (Не надо так.)
@tomhunter
В деле фигурируют шестеро персонажей 12-16 лет, админу всего 14. Распространяемый ими софт использовали для атак на различные сайты, продавали исключительно ради прибыли. При этом полиция в анонсе рекомендует не давать этим атакам паблисити и не прославлять их — 15-минутное падение сайта всё равно никто и не замечал. Вот сейчас всяким низовым хактивистам стало очень обидно! По польским законам самый младший в этой страшной преступной группировке ответственность нести не может, остальные тоже в уголовный суд не попадут — по таким делам туда отправляют с 17. Отличная мотивация вкатываться в сайберкрайм смолоду! (Не надо так.)
@tomhunter
😁22❤3
#news Очередное популярное приложение сливало данные юзеров, на этот раз с пикантной ноткой: речь про Quittr для борьбы с порнозависимостью. 600к пользователей — из них ~100к несовершеннолетних, и одна дырявая база на Firebase с кучей интимных деталей.
История максимально характерная для мобильных стартапов: два 20-летних дарования, у которых выстрелило, роскошную жизнь завезли, а с ответственным подходом к разработке не очень. Исследователь пишет им в сентябре 2025-го, разраб благодарит и обещает починить за час — база остаётся открытой месяцами. В январе разработчику звонят журналисты, тот заявляет “База не наша, юзеры тоже, это всё какая-то шутка” и бросает трубку. Базу проверяют — всё ещё дырявая, и снова звонят-пишут по всем адресам — тишина. В итоге в профильном издании публикуют статью, не называя приложение, и к марту конфиг тихо фиксят. Мамкины инфлюенсеры слишком заняты своими бложиками, чтобы чинить какой-то там Firebase, кто бы мог подумать.
@tomhunter
История максимально характерная для мобильных стартапов: два 20-летних дарования, у которых выстрелило, роскошную жизнь завезли, а с ответственным подходом к разработке не очень. Исследователь пишет им в сентябре 2025-го, разраб благодарит и обещает починить за час — база остаётся открытой месяцами. В январе разработчику звонят журналисты, тот заявляет “База не наша, юзеры тоже, это всё какая-то шутка” и бросает трубку. Базу проверяют — всё ещё дырявая, и снова звонят-пишут по всем адресам — тишина. В итоге в профильном издании публикуют статью, не называя приложение, и к марту конфиг тихо фиксят. Мамкины инфлюенсеры слишком заняты своими бложиками, чтобы чинить какой-то там Firebase, кто бы мог подумать.
@tomhunter
😁10🤡7❤2
#news Исследователь представил новый вариант обхода EDR с помощью повреждённого архива, Zombie ZIP. 50 из 51 движков на VT его пропускают, хотя идея, мягко говоря, не нова.
Сам метод прост в исполнении: в архиве подменяют поле Method на 0, и EDR сканируют содержимое как несжатые данные — на деле они сжаты deflate, но сканеры видят сжатый шум и не обнаруживают сигнатуры. Всё, на этом весь обход. CERT/CC явно на что-то намекает, сравнивая Zombie ZIP c CVE-2004-0935 — за 20 с лишним лет отношения EDR с метаданными архивов не особо поменялись. Но пока добавить слоёв защиты и пытаться обучать зомби перед экраном не тыкать по архивам всё же чуть эффективнее, чем учитывать все пограничные случаи с парсерами в этих ваших Zombie ZIP’ах. Так что это всё ещё компромисс, на который разрабы EDR готовы идти.
@tomhunter
Сам метод прост в исполнении: в архиве подменяют поле Method на 0, и EDR сканируют содержимое как несжатые данные — на деле они сжаты deflate, но сканеры видят сжатый шум и не обнаруживают сигнатуры. Всё, на этом весь обход. CERT/CC явно на что-то намекает, сравнивая Zombie ZIP c CVE-2004-0935 — за 20 с лишним лет отношения EDR с метаданными архивов не особо поменялись. Но пока добавить слоёв защиты и пытаться обучать зомби перед экраном не тыкать по архивам всё же чуть эффективнее, чем учитывать все пограничные случаи с парсерами в этих ваших Zombie ZIP’ах. Так что это всё ещё компромисс, на который разрабы EDR готовы идти.
@tomhunter
😁6👍3👎1🤝1
#news В файлах Эпштейна уже светились и люди с DefCon, и все на свете, а теперь выяснилось, что в 2023-м на один из серверов ФБР с материалами по делу попал “иностранный хакер”. И угрожал сдать владельца ФБР.
Случай произошёл 12 февраля 2023-го. Как это вежливо описывает Reuters, у спецагента Спивака “возникли трудности со сложными процедурами по обработке цифровых доказательств” — в силу этих трудностей он оставил открытым сервер с материалами. А следом обнаружил на нём файл с угрозой: на сервер забрёл неизвестный, возмутился лежащему там ЦП и заявил, что сообщит ФБР. ФБР не оставалось ничего другого, кроме как вызвать хакера на созвон, помахать в камеру корочками и выдать коронное “I am the FBI”. Говорят, сработало — обстановка разрядилась. Спивак же жалуется, что его сделали козлом отпущения за инцидент, а виновато бюро и его непонятная ИБ. Бро, просто поставь пароль.
@tomhunter
Случай произошёл 12 февраля 2023-го. Как это вежливо описывает Reuters, у спецагента Спивака “возникли трудности со сложными процедурами по обработке цифровых доказательств” — в силу этих трудностей он оставил открытым сервер с материалами. А следом обнаружил на нём файл с угрозой: на сервер забрёл неизвестный, возмутился лежащему там ЦП и заявил, что сообщит ФБР. ФБР не оставалось ничего другого, кроме как вызвать хакера на созвон, помахать в камеру корочками и выдать коронное “I am the FBI”. Говорят, сработало — обстановка разрядилась. Спивак же жалуется, что его сделали козлом отпущения за инцидент, а виновато бюро и его непонятная ИБ. Бро, просто поставь пароль.
@tomhunter
😁11🤡2
#news Иранские хакеры заявили о вайпе систем Stryker, медицинского гиганта из США, производящего всевозможное медоборудование и протезы. Утверждают, что потёрли 200 тысяч серверов и устройств, остановив работу 79 офисов.
Ответственность взяла “хактивистская” группировка Handala, и судя по новостям с полей, атака серьёзная: в крупном хабе в Ирландии отправили домой 5 тысяч сотрудников, в головном офисе на телефонах заглушка про экстренное происшествие. Источники сообщают, легло всё подключённое к сети, включая рабочие мобильники. В пространном сообщении иранцы связывают Stryker с сионистами, Эпштейном и прочей дьявольщиной и называют вайп местью за бомбардировку школы и кибератаки по Оси Сопротивления. Поможет ли атака по заморскому медтеху победить в конфликте? Примерно как птср у дубайских инфоцыган и эскортниц — но этим хотя бы симпатий по миру можно собрать.
@tomhunter
Ответственность взяла “хактивистская” группировка Handala, и судя по новостям с полей, атака серьёзная: в крупном хабе в Ирландии отправили домой 5 тысяч сотрудников, в головном офисе на телефонах заглушка про экстренное происшествие. Источники сообщают, легло всё подключённое к сети, включая рабочие мобильники. В пространном сообщении иранцы связывают Stryker с сионистами, Эпштейном и прочей дьявольщиной и называют вайп местью за бомбардировку школы и кибератаки по Оси Сопротивления. Поможет ли атака по заморскому медтеху победить в конфликте? Примерно как птср у дубайских инфоцыган и эскортниц — но этим хотя бы симпатий по миру можно собрать.
@tomhunter
🔥8😁4🤯2❤1
#news У ибшников IBM свежий отчёт по рансомвари-атаке, в создании нагрузки для которой поучаствовала ИИ-модель. Читается на удивление свежо: IBM разработкой флагманских LLM’ок не занимается, так что обходятся без привычного хайпа на ИИ.
Одно название вредоноса в их исполнении чего стоит — Slopoly. Это сгенерированный LLM’кой С2, который использовали для закрепления в сети жертвы. В IBM описывают его сдержанно: код можно назвать максимум “средненьким”, да и моделька его писала не из лучших. LLM’ка утверждает, что сгенерировала полиморфную малварь, но функциональности под это в ней просто нет — одни комменты. Вывод у IBMщиков всё же знакомый: роль ИИ в сайберкрайме растёт, со временем ландшафт угроз кардинально изменится. Но в целом анализ приятный — никто не впаривает тебе Клода под видом техотчёта с историями в духе “Китайские APT подсели на наш ИИ, а разрабы самоупразднятся к следующему вторнику”.
@tomhunter
Одно название вредоноса в их исполнении чего стоит — Slopoly. Это сгенерированный LLM’кой С2, который использовали для закрепления в сети жертвы. В IBM описывают его сдержанно: код можно назвать максимум “средненьким”, да и моделька его писала не из лучших. LLM’ка утверждает, что сгенерировала полиморфную малварь, но функциональности под это в ней просто нет — одни комменты. Вывод у IBMщиков всё же знакомый: роль ИИ в сайберкрайме растёт, со временем ландшафт угроз кардинально изменится. Но в целом анализ приятный — никто не впаривает тебе Клода под видом техотчёта с историями в духе “Китайские APT подсели на наш ИИ, а разрабы самоупразднятся к следующему вторнику”.
@tomhunter
😁4👍2
#news Пятничные новости об астрономических цифрах от мира утечек. Канадская компания автоматизации бизнес-процессов Telus Digital подтвердила взлом. Это вообще кто? Кандидат на рекордную утечку: заявлена кража объёмом в петабайт. Петабайт. Но это неточно.
О взломе заявили ShinyHunters: утверждают, что орудовали в сетях несколько месяцев, вскрыли кучу систем и вытянули огромный массив сжатых клиентских и иных данных. Предварительно, сэмплы реальные, но подтверждений масштабов утечки нет — Telus Digital деталей по инциденту не приводит, в заявлении стандартное корпоративное про “ограниченное число затронутых систем”. Теоретически столько данных у них вполне могло быть — это крупный подрядчик по саппорту и прочему IT-аутсорсу. А был ли мальчик? Пока неясно, и цифра может быть притянута красивых заголовков ради. Но лица топ-менеджеров и всех причастных представить в любом случае нетрудно: “Мы слили сколько данных?” А ведь кому-то за это теперь отвечать.
@tomhunter
О взломе заявили ShinyHunters: утверждают, что орудовали в сетях несколько месяцев, вскрыли кучу систем и вытянули огромный массив сжатых клиентских и иных данных. Предварительно, сэмплы реальные, но подтверждений масштабов утечки нет — Telus Digital деталей по инциденту не приводит, в заявлении стандартное корпоративное про “ограниченное число затронутых систем”. Теоретически столько данных у них вполне могло быть — это крупный подрядчик по саппорту и прочему IT-аутсорсу. А был ли мальчик? Пока неясно, и цифра может быть притянута красивых заголовков ради. Но лица топ-менеджеров и всех причастных представить в любом случае нетрудно: “Мы слили сколько данных?” А ведь кому-то за это теперь отвечать.
@tomhunter
🔥5😁3
#news В Штатах предъявили обвинения третьему соучастнику из нашумевшего дела о безопасниках, работавших на BlackCat. И это ещё один рансомварь-переговорщик, поглядевший на многомиллионные выплаты в чатиках и решивший “А чем я хуже?”
Третий персонаж отличился не только десятком атак на пару с коллегами: он также передавал BlackCat информацию по переговорам с их жертвами, чьи кейсы обслуживала его фирма DigitalMint. В деле упомянуты пять случаев, в которых он слил данные для максимизации профита группировки. Как это выглядит для компании, чьи сотрудники организовали себе небольшую халтурку на тёмной стороне ИБ — сами понимаете. DigitalMint заявила, что теперь все переговоры будут в облаке и под аудитом, контролировать их будет лично один из владельцев, а всех сотрудников станут проверять через МВБ. Казалось бы, оверкилл, но с инцидента таких масштабов на меньшем не съедешь.
@tomhunter
Третий персонаж отличился не только десятком атак на пару с коллегами: он также передавал BlackCat информацию по переговорам с их жертвами, чьи кейсы обслуживала его фирма DigitalMint. В деле упомянуты пять случаев, в которых он слил данные для максимизации профита группировки. Как это выглядит для компании, чьи сотрудники организовали себе небольшую халтурку на тёмной стороне ИБ — сами понимаете. DigitalMint заявила, что теперь все переговоры будут в облаке и под аудитом, контролировать их будет лично один из владельцев, а всех сотрудников станут проверять через МВБ. Казалось бы, оверкилл, но с инцидента таких масштабов на меньшем не съедешь.
@tomhunter
❤4🔥1😁1
#news Вышел новый опенсорсный сканер для поиска забытых секретов в репах Betterleaks, наследник GitLeaks. Тот же разраб, новые фичи и повышенная эффективность.
BetterLeaks ищет в исходниках креды, приватные ключи, токены и прочее, что вы хотели бы не сливать в открытый доступ, но боялись забыть. В свежую версию завезли фичи в духе проверки на валидность секретов, новые правила и оптимизацию — обещают пятикратный прирост скорости сканирования. Разраб говорит, что они дропнули “git” и добавили “better” в название, потому что так всё и есть — новый сканер просто лучше, бенчмарки не дадут соврать. Сканеру обещают активную поддержку и прирост функциональности в духе поддержки источников помимо Git-репозиториев. Перехватить BetterLeaks можно здесь.
@tomhunter
BetterLeaks ищет в исходниках креды, приватные ключи, токены и прочее, что вы хотели бы не сливать в открытый доступ, но боялись забыть. В свежую версию завезли фичи в духе проверки на валидность секретов, новые правила и оптимизацию — обещают пятикратный прирост скорости сканирования. Разраб говорит, что они дропнули “git” и добавили “better” в название, потому что так всё и есть — новый сканер просто лучше, бенчмарки не дадут соврать. Сканеру обещают активную поддержку и прирост функциональности в духе поддержки источников помимо Git-репозиториев. Перехватить BetterLeaks можно здесь.
@tomhunter
🔥5❤2👍2
#news Американская Stryker неспешно восстанавливается после вайпа — система заказов так и лежит. Как обычно, хактивисты преувеличили масштабы головокружения от побед, но есть и интересные подробности.
200 тысяч вайпнутых систем сократились до 80, и подтверждения кражи 50 ТБ данных “на благо всех свободных людей, противостоящих злу сионизма” не нашлось. Зато подтвердилось другое: никаких вайперов и продвинутых взломов не было — вектор атаки? Команда wipe в Microsoft Intune. На который, соответственно, и были подвязаны устройства. Злоумышленники попросту скомпрометировали админский аккаунт стянутыми кредами — их в даркнете от сотрудников Stryker сотни, и нативная фича Intune одной командой вайпнула всё. В общем, ничего фантастического: хактивисты хактивистят, админка многомиллиардной корпы сидит с ИБ уровня провинциальная бухгалтерия. Обычный кибербез-вторник.
@tomhunter
200 тысяч вайпнутых систем сократились до 80, и подтверждения кражи 50 ТБ данных “на благо всех свободных людей, противостоящих злу сионизма” не нашлось. Зато подтвердилось другое: никаких вайперов и продвинутых взломов не было — вектор атаки? Команда wipe в Microsoft Intune. На который, соответственно, и были подвязаны устройства. Злоумышленники попросту скомпрометировали админский аккаунт стянутыми кредами — их в даркнете от сотрудников Stryker сотни, и нативная фича Intune одной командой вайпнула всё. В общем, ничего фантастического: хактивисты хактивистят, админка многомиллиардной корпы сидит с ИБ уровня провинциальная бухгалтерия. Обычный кибербез-вторник.
@tomhunter
😁8💯3🔥2
#news Россия в прошлом году уверенно (и традиционно) в тройке самых атакуемых стран в мире наряду с США и Китаем. При этом по данным свежего исследования, в СНГ активнее всего орудуют APT-группировки и хактивисты. Почти половина их атак — по России.
Главные цели всё так же промышленность, госсектор и финтех, при этом промышленность апэтэшечки интересует больше всего — от утечек до прямого вывода из строя. Выводы на 2026-й неутешительные: интенсивность атак сохранится, улучшений ждать не стоит и в случае стабилизации геополитической обстановки — APT переключатся на промышленный шпионаж и прочие методы относительно мирного времени. А накопленный массив утёкших кредов им в этом явно поспособствует. Но есть и хорошие новости! Рыночек-то растёт, причём стабильно. Что для госухи скомпрометированные системы, то ИБ-фирме заявка на аудит! Так что работаем.
@tomhunter
Главные цели всё так же промышленность, госсектор и финтех, при этом промышленность апэтэшечки интересует больше всего — от утечек до прямого вывода из строя. Выводы на 2026-й неутешительные: интенсивность атак сохранится, улучшений ждать не стоит и в случае стабилизации геополитической обстановки — APT переключатся на промышленный шпионаж и прочие методы относительно мирного времени. А накопленный массив утёкших кредов им в этом явно поспособствует. Но есть и хорошие новости! Рыночек-то растёт, причём стабильно. Что для госухи скомпрометированные системы, то ИБ-фирме заявка на аудит! Так что работаем.
@tomhunter
❤7😁5💯5
#news В сети очередное явление малвари GlassWorm кодерскому народу: свежая кампания прошлась по GitHub, в этот раз заражения пошли и на npm с VS Code. 433 скомпрометированных компонента между платформами.
Затронуты 350 репозиториев на GitHub, 72 расширения на VSCode/OpenVSX и 10 пакетов на npm. Заражения начались с GitHub, затем GlassWorm залетел на другие платформы. MacOS тоже досталось с троянизированными Trezor и Ledger и расширениями на OpenVSX. Инфра совпадает с предыдущими кампаниями, тот же адрес на Solana под C2. В коде обнаружили комменты на русском и геолок на российскую локаль, но с атрибуцией не спешат. Некоторых, впрочем, понесло: “явный индикатор российской операции — не обязательно от госухи, но неофициально под ней”. В удивительном мире начинающих аналитиков каждый мелкий криптоворишка — без пяти минут офицер ГРУ. А мужики-то и не знали.
@tomhunter
Затронуты 350 репозиториев на GitHub, 72 расширения на VSCode/OpenVSX и 10 пакетов на npm. Заражения начались с GitHub, затем GlassWorm залетел на другие платформы. MacOS тоже досталось с троянизированными Trezor и Ledger и расширениями на OpenVSX. Инфра совпадает с предыдущими кампаниями, тот же адрес на Solana под C2. В коде обнаружили комменты на русском и геолок на российскую локаль, но с атрибуцией не спешат. Некоторых, впрочем, понесло: “явный индикатор российской операции — не обязательно от госухи, но неофициально под ней”. В удивительном мире начинающих аналитиков каждый мелкий криптоворишка — без пяти минут офицер ГРУ. А мужики-то и не знали.
@tomhunter
😁6👍3
#news В Бразилии вступил в силу закон об обязательной верификации возраста пользователей. Платформы внедряют инструменты проверки возраста, некоторые сопротивляются, у пользователей всплеск интереса к трёхбуквенным сервисам. Классика.
Огоньку добавило то, что сумрачный законодательный гений потребовал внедрить проверку и разработчиков ОС. После этого в сообществе линуксоидов начался сущий кошмар — кто застал горячие обсуждения в рассылке, тот знает. Часть дистрибутивов блокирует доступ из Бразилии по IP, как форк ArchLinux32, MidnightBSD внесла в лицензию запрет юзерам из Бразилии и злачных мест США пользоваться дистром — в части штатов аналогичный закон. Бразилия грозит безумными штрафами и блокировками, так что вопрос непраздный, особенно для опенсорса. Но это закон от тех же грамотеев, что угрожали своим гражданам штрафом в ~9к долларов в день за доступ к заблокированному X, так что удивляться нечему. Держат планочку, так сказать.
@tomhunter
Огоньку добавило то, что сумрачный законодательный гений потребовал внедрить проверку и разработчиков ОС. После этого в сообществе линуксоидов начался сущий кошмар — кто застал горячие обсуждения в рассылке, тот знает. Часть дистрибутивов блокирует доступ из Бразилии по IP, как форк ArchLinux32, MidnightBSD внесла в лицензию запрет юзерам из Бразилии и злачных мест США пользоваться дистром — в части штатов аналогичный закон. Бразилия грозит безумными штрафами и блокировками, так что вопрос непраздный, особенно для опенсорса. Но это закон от тех же грамотеев, что угрожали своим гражданам штрафом в ~9к долларов в день за доступ к заблокированному X, так что удивляться нечему. Держат планочку, так сказать.
@tomhunter
👍5🤬5😁4❤1🤡1
#news Если эксплойт-кит Coruna настолько хорош, то где Coruna-2? В руках апэтэшечек: исследователи обнаружили второй кит под iOS за месяц, DarkSword. Он снабжён цепочкой эксплойта для взлома айфонов версий с 18.4 по 18.7, в коде следы порта с предыдущих вариантов, заточенных под ранние версии ОС.
В цепочке шесть уязвимостей, из них три эксплойтили как нулевые дни. Этот инструмент заточен под быстрое стягивание данных: стягивает их за секунды и чистит следы эксплуатации. Вектор атаки тот же, что и у Coruna, засветился DarkSword у тех же APT и разных вендоров. Как же он к ним попал и кто его разработал? Загадка. Исследователи чешут головы и прозревают, обнаружив вторичный рынок эксплойтов с пайплайном госуха — серые вендоры — APT и киберпреступность. Ну а тем, кто давно предупреждал, что это неизбежно, остаётся только довольно хмыкнуть.
@tomhunter
В цепочке шесть уязвимостей, из них три эксплойтили как нулевые дни. Этот инструмент заточен под быстрое стягивание данных: стягивает их за секунды и чистит следы эксплуатации. Вектор атаки тот же, что и у Coruna, засветился DarkSword у тех же APT и разных вендоров. Как же он к ним попал и кто его разработал? Загадка. Исследователи чешут головы и прозревают, обнаружив вторичный рынок эксплойтов с пайплайном госуха — серые вендоры — APT и киберпреступность. Ну а тем, кто давно предупреждал, что это неизбежно, остаётся только довольно хмыкнуть.
@tomhunter
❤4😁2🫡1
#news Израильский стартап Tenzai делится результатами своего ИИ-агента по решению CTF-задачек: приблуда в топ-1% на ключевых платформах и обошла 125 тысяч участников. Время мясных пентестеров прошло, настало время кремния? Давайте узнаем.
С одной стороны, Tenzai надо писать отчёты, которые продают продукт, так что здесь и топ-1%, и посрамлённые хакерские умы, и прочее. С другой, в отличие от Google и Anthropic у этих ребят зайчатки совести ещё есть: в конце оговариваются, что это контролируемая среда, а не реальные кейсы, CTF заточены под распознавание паттернов — как раз для LLM’ки, и пока она на уровне средненького компетентного CTF-участника. И на том спасибо. При этом за маркетинговым шумом интересное есть: два часа на решение и $13 баксов за заход. Так что автоматизация мидового пентеста где-то рядом, прогресс идёт, и ИИ-долгоносик наступает, рискуя встряхнуть индустрию. Здесь главное от него не отстать, особенно подрастающему поколению безопасников с вузовских скамей.
@tomhunter
С одной стороны, Tenzai надо писать отчёты, которые продают продукт, так что здесь и топ-1%, и посрамлённые хакерские умы, и прочее. С другой, в отличие от Google и Anthropic у этих ребят зайчатки совести ещё есть: в конце оговариваются, что это контролируемая среда, а не реальные кейсы, CTF заточены под распознавание паттернов — как раз для LLM’ки, и пока она на уровне средненького компетентного CTF-участника. И на том спасибо. При этом за маркетинговым шумом интересное есть: два часа на решение и $13 баксов за заход. Так что автоматизация мидового пентеста где-то рядом, прогресс идёт, и ИИ-долгоносик наступает, рискуя встряхнуть индустрию. Здесь главное от него не отстать, особенно подрастающему поколению безопасников с вузовских скамей.
@tomhunter
👍7