#news ФБР анонсировало перехват фишинговой платформы W3LL и ареста разработчика — разобрали инфру на пару с индонезийской полицией, там же взяли разраба. Дотянулось и в Индонезии кровавое бюро.
W3LL была активна с 2018-го: за 500$ клиенты получали фишинговый кит, заточенный под корпоративные аккаунты Microsoft 365. Сайт также служил в качестве местечкового маркетплейса под продажу скомпрометированных акков. В общем, небольшая операция на $20 миллионов ущерба — за счёт этого и обитания в Индонезии разраб набил почти 10 лет опыта в сайберкрайме: начинал он с инструмента для имейл-спама. Но в 2023-м попал в поле зрения ибшников, и дело против него завертелось. Между тем в анонсе от ФБР приметы эпохи. “Это был не просто фишинг — это комплексная киберпреступная платформа”, — доверительно сообщает агент Грэхэм. Помогите Даше угадать, кто пишет за товарища Грэхэма пресс-релизы.
@tomhunter
W3LL была активна с 2018-го: за 500$ клиенты получали фишинговый кит, заточенный под корпоративные аккаунты Microsoft 365. Сайт также служил в качестве местечкового маркетплейса под продажу скомпрометированных акков. В общем, небольшая операция на $20 миллионов ущерба — за счёт этого и обитания в Индонезии разраб набил почти 10 лет опыта в сайберкрайме: начинал он с инструмента для имейл-спама. Но в 2023-м попал в поле зрения ибшников, и дело против него завертелось. Между тем в анонсе от ФБР приметы эпохи. “Это был не просто фишинг — это комплексная киберпреступная платформа”, — доверительно сообщает агент Грэхэм. Помогите Даше угадать, кто пишет за товарища Грэхэма пресс-релизы.
@tomhunter
😁7
#news Новости запретных интернетов со всего света, чтобы не так обидно было. Опрос в Австралии показал, что запрет соцсетей среди подростков недостаточно эффективен: почти две трети продолжают сидеть по Тиктокам, Ютубам и Инстаграмам. Возмутительно, не правда ли?
Вот и проводивший опрос фонд из Великобритании возмущён: говорят, дети и родители заслуживают нормального бана, а не этих полумер, создающих ложное чувство безопасности. Виноваты, конечно же, компании, которые не прикладывают достаточно усилий для удаления подростковых аккаунтов. А значит, UK нужны более эффективные запреты для соцсетей, и надо бы пресловутый Online Safety Act обновить, чтобы всё было запрещено как следует. Так и пишут: нам нужен OSA круче прежнего, чтобы техгиганты знали своё место. Как выглядит заботушка о детях в исполнении ястребов онлайн-запретительства, можно почитать здесь. Верификацию возраста во все поля в ЕС проталкивают вот под таким сердобольным соусом. Как уж тут отказаться?
@tomhunter
Вот и проводивший опрос фонд из Великобритании возмущён: говорят, дети и родители заслуживают нормального бана, а не этих полумер, создающих ложное чувство безопасности. Виноваты, конечно же, компании, которые не прикладывают достаточно усилий для удаления подростковых аккаунтов. А значит, UK нужны более эффективные запреты для соцсетей, и надо бы пресловутый Online Safety Act обновить, чтобы всё было запрещено как следует. Так и пишут: нам нужен OSA круче прежнего, чтобы техгиганты знали своё место. Как выглядит заботушка о детях в исполнении ястребов онлайн-запретительства, можно почитать здесь. Верификацию возраста во все поля в ЕС проталкивают вот под таким сердобольным соусом. Как уж тут отказаться?
@tomhunter
😁8❤1💯1
#news У криптобиржи Kraken инсайдерский инцидент: компанию шантажируют сливом видео внутренних систем, хостящих пользовательские данные. И источник утечки предсказуемый: конечно же, это техподдержка.
Причём инцидент для Kraken не первый: в феврале 2025-го им сообщили, что на сайберкрайм-форумы утекло видео с демонстрацией доступа к системам техподдержки. Тогда они поймали сотрудника саппорта, купленного злоумышленниками, и, как обычно, тихонько уволили. Теперь всплыло видео новее. Доступ закрыли, юзеров уведомили — на видео засветились около 2к аккаунтов. Ну и, само собой, усилили контроль. На самом деле, нет: пока на всех этих криптопомойках и в прочих перспективных стартапах сидит техподдержка за рубежом с зарплатой в виде ветки, подобные инциденты будут повторяться. Да и парочка инсайдерских кейсов в год всё ещё дешевле, чем нанимать саппорт в первом мире на нормальный оклад.
@tomhunter
Причём инцидент для Kraken не первый: в феврале 2025-го им сообщили, что на сайберкрайм-форумы утекло видео с демонстрацией доступа к системам техподдержки. Тогда они поймали сотрудника саппорта, купленного злоумышленниками, и, как обычно, тихонько уволили. Теперь всплыло видео новее. Доступ закрыли, юзеров уведомили — на видео засветились около 2к аккаунтов. Ну и, само собой, усилили контроль. На самом деле, нет: пока на всех этих криптопомойках и в прочих перспективных стартапах сидит техподдержка за рубежом с зарплатой в виде ветки, подобные инциденты будут повторяться. Да и парочка инсайдерских кейсов в год всё ещё дешевле, чем нанимать саппорт в первом мире на нормальный оклад.
@tomhunter
😁5💯1
#news В App Store очередной громкий кейс с дрейнером под видом криптокошелька. Криптаны лишились ~9,5 миллионов долларов, скачав фейковое приложение Ledger Wallet под macOS, две недели висевшее в магазине.
Огоньку добавляет, что это крупные кражи: три четверти суммы пришлись на трёх жёртв, потерявших по $2-3 миллиона. Один бедолага жалуется на тяжёлый день — лишился своих пенсионных 6 битков, “случайно” накатив дрейнер. Миксер, в который ушла крипта, для проформы их заморозил, но через 5 дней разморозит, если не будет официальных запросов от органов. К слову, Ledger под macOS в App Store нет — только под iOS, а под на маки на официальном сайте. Казалось бы, если у тебя миллионы долларов в крипте, какие-то базовые представления о кибербезе надо иметь. Но нет, идут в App Store и качают первое попавшееся без задней мысли, и с тех пор у них каждый день тяжёлый. Необучаемые же.
@tomhunter
Огоньку добавляет, что это крупные кражи: три четверти суммы пришлись на трёх жёртв, потерявших по $2-3 миллиона. Один бедолага жалуется на тяжёлый день — лишился своих пенсионных 6 битков, “случайно” накатив дрейнер. Миксер, в который ушла крипта, для проформы их заморозил, но через 5 дней разморозит, если не будет официальных запросов от органов. К слову, Ledger под macOS в App Store нет — только под iOS, а под на маки на официальном сайте. Казалось бы, если у тебя миллионы долларов в крипте, какие-то базовые представления о кибербезе надо иметь. Но нет, идут в App Store и качают первое попавшееся без задней мысли, и с тех пор у них каждый день тяжёлый. Необучаемые же.
@tomhunter
😁10👍4🤡1
#news В Северной Ирландии пару недель назад произошла атака по школьной IT, положившая доступ к нацсистеме по всему региону. А следом поймали злоумышленника: вместо рансомвари за компрометацией стоял местный 16-летний пацан.
По следам взлома сбросили пароли всех юзеров, так что школы и ученики остались без доступа к своим аккаунтам. А большая часть школ в регионе подключена к единой системе на 20к учителей и 300к учеников, так что охват получился приличный. Судя по всему, юное дарование получило доступ к внутренним системам, скажем, нарыв где-то повторно использованный пароль, и в порядке ответа на возможную утечку админка решила снести все пользовательские креды. И образовательная система прихворала — всё онлайн же. С одной стороны, хотя бы не страшные русские хакеры, стянувшие данные на наше всё. С другой, любознательный школьник, конечно, нервы им потрепал изрядно. Будущий пентестер подрастает!
@tomhunter
По следам взлома сбросили пароли всех юзеров, так что школы и ученики остались без доступа к своим аккаунтам. А большая часть школ в регионе подключена к единой системе на 20к учителей и 300к учеников, так что охват получился приличный. Судя по всему, юное дарование получило доступ к внутренним системам, скажем, нарыв где-то повторно использованный пароль, и в порядке ответа на возможную утечку админка решила снести все пользовательские креды. И образовательная система прихворала — всё онлайн же. С одной стороны, хотя бы не страшные русские хакеры, стянувшие данные на наше всё. С другой, любознательный школьник, конечно, нервы им потрепал изрядно. Будущий пентестер подрастает!
@tomhunter
😁10
#news NIST скорректировал свои амбиции по добавлению информации об уязвимостях в NVD. Раньше они обновляли все CVE в каталоге описанием и оценкой, но больше занимающийся этим отдел просто не справляется с бесконечным потоком.
Изменения в работе грядут серьёзные: подробную информацию оперативно будут добавлять в записи о CVE из каталога активно эксплуатируемых CISA плюс в уязвимости от продуктов в критическом и стоящем в американской госухе ПО. Остальное расписывать не будут; более того, бэклог до 1 марта 2026-го отправляется в печь — добивать недоделанное тоже не хотят. А разгадка проста: за 3 месяца 2026-го новых CVE на треть больше, чем годом ранее; а в 2025-м они обработали 42к записей — почти наполовину больше, чем в 2024-м. И всем этим занимаются 21 человек. Так что понять бедолаг можно: погожим весенним деньком один в сердцах произнёс: “А может, ну их к чёрту эти ваши CVE?”, и остальные 20 с энтузиазмом согласились.
@tomhunter
Изменения в работе грядут серьёзные: подробную информацию оперативно будут добавлять в записи о CVE из каталога активно эксплуатируемых CISA плюс в уязвимости от продуктов в критическом и стоящем в американской госухе ПО. Остальное расписывать не будут; более того, бэклог до 1 марта 2026-го отправляется в печь — добивать недоделанное тоже не хотят. А разгадка проста: за 3 месяца 2026-го новых CVE на треть больше, чем годом ранее; а в 2025-м они обработали 42к записей — почти наполовину больше, чем в 2024-м. И всем этим занимаются 21 человек. Так что понять бедолаг можно: погожим весенним деньком один в сердцах произнёс: “А может, ну их к чёрту эти ваши CVE?”, и остальные 20 с энтузиазмом согласились.
@tomhunter
💯6😁3🔥2❤1
#news Вчера вечером криптобиржа Grinex заявила о взломе. Больше миллиарда рублей были похищены 15 апреля, работа биржи приостановлена. В Grinex заявили, что их ломают спецслужбы недружественных стран, но на диверсию криптоагентов-007 взлом не похож.
Grinex в своём репертуаре: атаку скоординировали ни много ни мало “с целью нанесения прямого ущерба финансовому суверенитету России”. Зачем недружественным спецслужбам взламывать наше всё от мира крипты вместо того, чтобы по запросу морозить кошельки от Tether — вопрос открытый. И уж тем более выводить скромные $13 миллионов со своей масштабной операции через De-Fi шарашку SunSwap. Но прикрыть дырявую инфру (а то и инсайдерскую работу) громкими заявлениями надо, прецеденты по шатанию суверенитета имеются, так что здесь уж, как водится, сам господин реал-политик сценарий пиар-отделу подсказал. Думаю, наш финансовый суверенитет этот страшный удар как-нибудь переживёт.
@tomhunter
Grinex в своём репертуаре: атаку скоординировали ни много ни мало “с целью нанесения прямого ущерба финансовому суверенитету России”. Зачем недружественным спецслужбам взламывать наше всё от мира крипты вместо того, чтобы по запросу морозить кошельки от Tether — вопрос открытый. И уж тем более выводить скромные $13 миллионов со своей масштабной операции через De-Fi шарашку SunSwap. Но прикрыть дырявую инфру (а то и инсайдерскую работу) громкими заявлениями надо, прецеденты по шатанию суверенитета имеются, так что здесь уж, как водится, сам господин реал-политик сценарий пиар-отделу подсказал. Думаю, наш финансовый суверенитет этот страшный удар как-нибудь переживёт.
@tomhunter
😁9💯2
#news На Украине арестовали некоего члена киберпреступной группировки, разыскиваемого ФБР. Имя не обозначено, но сумма изъятий солидная: имущество на $11 миллионов, включая $3 миллиона в крипте.
Разыскиваемого приняли в Ужгороде, он обозначен как часть синдиката, деплоящего малварь для сбора данных и последующего вымогательства в США и Европе. В общем, у нас сайберкрайм, возможно, рансомварь. Не обошлось и без восточноевропейского колорита: персонаж имел на своё имя свидетельство о смерти и жил по поддельным документам. Но фокус с преувеличенными слухами о его преждевременной кончине не удался. Судя по отсутствию публичности и суммам изъятых активов, могли арестовать кошелёк чей-то операции, но пока деталей нет, следствие идёт, и на очереди, скорее всего, увлекательное путешествие в финальный пункт назначения — экстрадиция.
@tomhunter
Разыскиваемого приняли в Ужгороде, он обозначен как часть синдиката, деплоящего малварь для сбора данных и последующего вымогательства в США и Европе. В общем, у нас сайберкрайм, возможно, рансомварь. Не обошлось и без восточноевропейского колорита: персонаж имел на своё имя свидетельство о смерти и жил по поддельным документам. Но фокус с преувеличенными слухами о его преждевременной кончине не удался. Судя по отсутствию публичности и суммам изъятых активов, могли арестовать кошелёк чей-то операции, но пока деталей нет, следствие идёт, и на очереди, скорее всего, увлекательное путешествие в финальный пункт назначения — экстрадиция.
@tomhunter
🔥3😁3❤1🤡1
#news Vercel, разработчика Next[.]js и облачного провайдера, взломали. Затронуты внутренние системы, у части клиентов, они же “limited subset of customers” на корпоративном, скомпрометированы креды. И всё это в погожий воскресный денёк.
Взлом через стороннюю ИИ-приблуду Context[.]ai одного из сотрудников, у которого стянули доступ к аккаунту на Google Workspace. Оттуда пошёл доступ к части сред, не помеченных как “чувствительные”. И одним Vercel дело не ограничивается — утверждают, что затронуты и другие компании с этим ИИ-инструментом и компрометацией его OAuth-приложения. Злоумышленник, конечно же, “highly sophisticated” — за взлом от кого-то не очень sophisticated было бы стыдно. При этом в деле интрига: взломщики говорят, что они ShinyHunters и требуют $2 миллиона. SH же утверждают, что они не при делах — на фоне этого Vercel бодрится и отказывается платить фейкам. Но по итогам дня клиентам-то будет без разницы, под каким брендом утекли их ключи.
@tomhunter
Взлом через стороннюю ИИ-приблуду Context[.]ai одного из сотрудников, у которого стянули доступ к аккаунту на Google Workspace. Оттуда пошёл доступ к части сред, не помеченных как “чувствительные”. И одним Vercel дело не ограничивается — утверждают, что затронуты и другие компании с этим ИИ-инструментом и компрометацией его OAuth-приложения. Злоумышленник, конечно же, “highly sophisticated” — за взлом от кого-то не очень sophisticated было бы стыдно. При этом в деле интрига: взломщики говорят, что они ShinyHunters и требуют $2 миллиона. SH же утверждают, что они не при делах — на фоне этого Vercel бодрится и отказывается платить фейкам. Но по итогам дня клиентам-то будет без разницы, под каким брендом утекли их ключи.
@tomhunter
🔥5💯4❤1
#news В новую неделю с новостями о продуктивности по-британски. Одно из подразделений Национальной службы здравоохранения UK до сих пор не восстановило системы после шифрования. Атака была в июне 2024-го.
Напомню, тогда особо отбитые представители рансомварь-сцены Qilin зашифровали местного поставщика медицинских услуг. Здравоохранение встало, данные миллиона пациентов утекли — многих уведомили только 1,5 года спустя. А в апреле 2026-го одно подразделение так и стоит без рабочих систем и вручную обрабатывает огромные бэклоги с запаздывающими результатами анализов. На бумаге. И всё это прямиком в Лондоне — в крупнейшем психиатрическом подразделении страны. Э — эффективность. Так что если по итогам ближайшего спринта честным ответом на вопрос “Что успел сделать за неделю” будет только “Да походу ничего не успел”, можно вспомнить уровень IR-менеджмента в британской госухе и почувствовать себя лучше.
@tomhunter
Напомню, тогда особо отбитые представители рансомварь-сцены Qilin зашифровали местного поставщика медицинских услуг. Здравоохранение встало, данные миллиона пациентов утекли — многих уведомили только 1,5 года спустя. А в апреле 2026-го одно подразделение так и стоит без рабочих систем и вручную обрабатывает огромные бэклоги с запаздывающими результатами анализов. На бумаге. И всё это прямиком в Лондоне — в крупнейшем психиатрическом подразделении страны. Э — эффективность. Так что если по итогам ближайшего спринта честным ответом на вопрос “Что успел сделать за неделю” будет только “Да походу ничего не успел”, можно вспомнить уровень IR-менеджмента в британской госухе и почувствовать себя лучше.
@tomhunter
😁6🔥4💯1
#news Очередной бэнгер от северокорейских братушек: в субботу Lazarus стянули ещё ~$300 миллионов с DeFi-платформы KelpDao. Вместе с недавним взломом Drift это $600 миллионов меньше чем за месяц.
Но не всё так радужно в стане криптоборцов с западным империализмом: сегодня совбез Arbitrum — эфирной платформы, через чью экосистему шло украденное с KelpDao — заморозил ~$70 миллионов. Говорят, решение далось нелегко: на это ушли долгие часы дебатов по техническим, этическим и политическим вопросам — блокчейн ведь должен быть свободным, и как поступать в случае экстренных ситуаций, им не до конца понятно. Пройдёт ещё лет 10, и криптаны изобретут нормативные акты и прочие криптоУК. Между тем индустрию трясёт: на фоне взломов инвесторы вывели $15 миллиардов — вера в DeFi пошатнулась. Теперь понадобится не меньше пары десятков блог-постов про регулярные аудиты и топовые меры безопасности, чтобы её восстановить.
@tomhunter
Но не всё так радужно в стане криптоборцов с западным империализмом: сегодня совбез Arbitrum — эфирной платформы, через чью экосистему шло украденное с KelpDao — заморозил ~$70 миллионов. Говорят, решение далось нелегко: на это ушли долгие часы дебатов по техническим, этическим и политическим вопросам — блокчейн ведь должен быть свободным, и как поступать в случае экстренных ситуаций, им не до конца понятно. Пройдёт ещё лет 10, и криптаны изобретут нормативные акты и прочие криптоУК. Между тем индустрию трясёт: на фоне взломов инвесторы вывели $15 миллиардов — вера в DeFi пошатнулась. Теперь понадобится не меньше пары десятков блог-постов про регулярные аудиты и топовые меры безопасности, чтобы её восстановить.
@tomhunter
😁11❤2
#news Великобритания продолжает борьбу за наше всё в интернете: регулятор открыл расследование против Telegram. Всё это, конечно же, для защиты детей по линии борьбы с ЦП — мессенджер проверят на соответствие нормам по борьбе с незаконным контентом.
В деле замешаны местныйобком Ofcom, надзорный орган, и пресловутый Online Safety Act: нашлись достоверные сведения, что Telegram используют для распространения известно каких материалов — по итогам проверок грозят штрафы и вплоть до блокировки в стране. В TG заявили, что почистили свои авгиевы конюшни ещё в 2018-м, а расследование может быть прикрытием для атаки на приватность и свободу слова. Опять эти конспирологи! При этом не самый известный в наших краях факт, но в Европе широкая публика как раз считает Telegram мессенджером для преступников, наркоторговцев и разных извращенцев. Так что почва для расследований благодатная.
@tomhunter
В деле замешаны местный
@tomhunter
😁16🤬3💯1
#news Новости невероятных ИИ-моделей, которые изменят мир, но мы вам их не покажем: к распиаренному Mythos от Anthropic был несанкционированный доступ в первый же день. И мир содрогнулся от супер-ИИ в неавторизированных руках? Да вроде нет.
Bloomberg пишет, что доступ получили обитатели сообщества в Дискорде, ковыряющиеся в свежих LLM'ках — в одном случае через среду подрядчика, сотрудник которого, вероятно, доступ и слил. Охочие до ИИ-новинок с тех пор регулярно пользуются моделькой и прислали скрины и видео её работы. А там, как водится, тысячи неизвестных науке серьёзных уязвимостей во всевозможном софте. Пишут, неясно, злоупотребляли ли Mythos для эксплойта этих самых уязвимостей. А ведь могли! Но это не точно. Смесь заголовков “Mythos вооружён и чрезвычайно опасен” и “Нерды из Дискорда на досуге нарыли к нему доступ”, конечно, получается ядрёная: сейчас какой-нибудь конгрессмен на всё это возбудится, и Anthropic придётся резко пересмотреть свою пиар-стратегию.
@tomhunter
Bloomberg пишет, что доступ получили обитатели сообщества в Дискорде, ковыряющиеся в свежих LLM'ках — в одном случае через среду подрядчика, сотрудник которого, вероятно, доступ и слил. Охочие до ИИ-новинок с тех пор регулярно пользуются моделькой и прислали скрины и видео её работы. А там, как водится, тысячи неизвестных науке серьёзных уязвимостей во всевозможном софте. Пишут, неясно, злоупотребляли ли Mythos для эксплойта этих самых уязвимостей. А ведь могли! Но это не точно. Смесь заголовков “Mythos вооружён и чрезвычайно опасен” и “Нерды из Дискорда на досуге нарыли к нему доступ”, конечно, получается ядрёная: сейчас какой-нибудь конгрессмен на всё это возбудится, и Anthropic придётся резко пересмотреть свою пиар-стратегию.
@tomhunter
😁6
#news Mozilla присоединилась к хайпу вокруг нашумевшего продукта от Anthropic. В блог-посте с громким заголовком “Дни нулевых дней сочтены” пишут про 271 уязвимость, обнаруженную Mythos в релизе Firefox 150. Но есть одна проблема: цифры не бьются. Совсем.
Какие, собственно, цифры? Из опубликованного в тот же день бюллетеня по безопасности свежей версии: в нём 41 CVE, три из них отмечены как найденные Claude. При этом в Firefox 148 51 CVE, 22 от Anthropic со 112 баг-репортов — отрицательный рост от 5:1 к 90:1. Где уязвимости, Клодовски? Скептики рассуждают, что пока наиболее вероятное объяснение — в Mozilla перешли на альтернативную метрическую систему. Иначе говоря, по-новому считают дубликаты, non-CVE, мелкие баги, проблемы с памятью и прочие edge-кейсы. 23 из 25 этих найденных Claude в большой и красивой базе кода на C++ уязвимостей — в памяти, что как бы намекает. Так что пока здоровый скептицизм призывает не поддаваться на ИИ-провокации, ждать нормальных отчётов и следить за руками.
@tomhunter
Какие, собственно, цифры? Из опубликованного в тот же день бюллетеня по безопасности свежей версии: в нём 41 CVE, три из них отмечены как найденные Claude. При этом в Firefox 148 51 CVE, 22 от Anthropic со 112 баг-репортов — отрицательный рост от 5:1 к 90:1. Где уязвимости, Клодовски? Скептики рассуждают, что пока наиболее вероятное объяснение — в Mozilla перешли на альтернативную метрическую систему. Иначе говоря, по-новому считают дубликаты, non-CVE, мелкие баги, проблемы с памятью и прочие edge-кейсы. 23 из 25 этих найденных Claude в большой и красивой базе кода на C++ уязвимостей — в памяти, что как бы намекает. Так что пока здоровый скептицизм призывает не поддаваться на ИИ-провокации, ждать нормальных отчётов и следить за руками.
@tomhunter
👍4😁2
#news Apple выпустила внеплановое обновление для iPhone и iPad, исправляющее проблему с уведомлениями от приложений. Они сохраняются на устройствах, что позволяет получить к ним доступ и прочесть, скажем, текст превью из мессенджеров.
С чего вдруг внеплановые апдейты, в Apple не говорят, но дело известное: в начале апреля на 404Media вышла новость о том, что ФБР вытянуло удалённые сообщения Signal из базы уведомлений на iPhone — информация об этом засветилась в показаниях по делу. СМИ с пониженной социальной ответственностью разнесли это по сети с подтекстом “Signal взломали, спасайся кто может”, но на деле всё скромнее — просто интересный вектор атаки для Cellebrite и прочей форензики. Да и в том же Signal можно отключить превью сообщений, чтобы они не попадали в базу. Но шуму вокруг новости среди широкой публики поднялось достаточно, чтобы Apple подсуетилась с патчем. Из Signal шлют респекты, истерика в соцсетях поутихнет, можно ждать следующей сенсации.
@tomhunter
С чего вдруг внеплановые апдейты, в Apple не говорят, но дело известное: в начале апреля на 404Media вышла новость о том, что ФБР вытянуло удалённые сообщения Signal из базы уведомлений на iPhone — информация об этом засветилась в показаниях по делу. СМИ с пониженной социальной ответственностью разнесли это по сети с подтекстом “Signal взломали, спасайся кто может”, но на деле всё скромнее — просто интересный вектор атаки для Cellebrite и прочей форензики. Да и в том же Signal можно отключить превью сообщений, чтобы они не попадали в базу. Но шуму вокруг новости среди широкой публики поднялось достаточно, чтобы Apple подсуетилась с патчем. Из Signal шлют респекты, истерика в соцсетях поутихнет, можно ждать следующей сенсации.
@tomhunter
🔥4😁3
#news Внеплановые патчи случились и у Microsoft. Компания закрыла критическую уязвимость на повышение привилегий в своём опенсорсном фреймворке ASP[.]NET Core. CVE-2026-40372, 9.1 по CVSS.
Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета
@tomhunter
Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета
Microsoft.AspNetCore.DataProtection с 10.0.0 по 10.0.6. Плохие, не каждый вспомнит о том, что он у тебя в зависимостях, плюс поддельные креды по следам экплойта после патча никуда не деваются — нужно сменить ключи и проверить приложения на предмет компрометации. Кто бюллетени невнимательно читает, остаётся в зоне повышенного риска. Особенно когда речь о исправлениях, не ждущих патчевого вторника.@tomhunter
👍3❤1
#news У Bitwarden CLI 22 апреля скомпрометировали пакет на npm под доставку инфостилера — конечно же, в атаке на цепочку поставок. При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом.
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
🔥3😁2👍1
#news К вопросу об атаке на цепочку поставок, затронувшей Bitwarden CLI. Выше был скомпрометирован сканер уязвимостей Checkmarx KICS, включая образы Docker и расширения VSCode и Open VSX.
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
😁2🔥1
#news В демоне PackageKit в Linux-системах закрыли высокую уязвимость, получившую название Pack2TheRoot. Как можно догадаться, локальное повышение привилегий до рута.
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
👍2😁2
#news Крайне любопытная находка SentinelLabs: исследователи обнаружили следы фреймворка для саботажа научного/инженерного оборудования аля Stuxnet. Только датируется он 2005-м годом.
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
🔥7
#news Ни дня без халтурных атак на цепочку поставок: у elementary-data скомпрометировали пакет на PyPI. Версия 0.23.3 шла в комплекте с инфостилером 24-25 апреля.
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
😁3❤1💯1