#news У Bitwarden CLI 22 апреля скомпрометировали пакет на npm под доставку инфостилера — конечно же, в атаке на цепочку поставок. При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом.
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
🔥3😁2👍1
#news К вопросу об атаке на цепочку поставок, затронувшей Bitwarden CLI. Выше был скомпрометирован сканер уязвимостей Checkmarx KICS, включая образы Docker и расширения VSCode и Open VSX.
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
😁2🔥1
#news В демоне PackageKit в Linux-системах закрыли высокую уязвимость, получившую название Pack2TheRoot. Как можно догадаться, локальное повышение привилегий до рута.
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
👍2😁2
#news Крайне любопытная находка SentinelLabs: исследователи обнаружили следы фреймворка для саботажа научного/инженерного оборудования аля Stuxnet. Только датируется он 2005-м годом.
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
🔥7
#news Ни дня без халтурных атак на цепочку поставок: у elementary-data скомпрометировали пакет на PyPI. Версия 0.23.3 шла в комплекте с инфостилером 24-25 апреля.
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
😁3❤1💯1
#news Исследователи прошлись по Internet Archive, чтобы выявить процент сгенерированного LLM текста в этом нашем интернете. Результаты удручающие: в массиве с конца 2022-го по середину 2025-го 35% новых сайтов — это ИИ-слоп.
Авторы работы “Влияние сгенерированного ИИ текста на Интернет” вдохновились теорией мёртвого интернета и решили проверить, как ChatGPT и компания сказались на сети. Треть цифрового пространства ещё год назад — продукт идентичный натуральному от LLM’ок, и сеть меняется ошеломительно быстро. Попутно проверили шесть гипотез о негативном влиянии ИИ на текст в сети, и подтвердились только две: интернет стал менее семантически разнообразным и более позитивным. Гипотеза о том, что из-за LLM'ок в сети больше фактически неверной инфы и галлюцинаций, не подтвердилась — и без них справляемся. Поводов для позитива, впрочем, немного: мёртвый интернет из теорий стремительно заменяет зомби-интернет из суровой ИИ-реальности. Добро пожаловать?
@tomhunter
Авторы работы “Влияние сгенерированного ИИ текста на Интернет” вдохновились теорией мёртвого интернета и решили проверить, как ChatGPT и компания сказались на сети. Треть цифрового пространства ещё год назад — продукт идентичный натуральному от LLM’ок, и сеть меняется ошеломительно быстро. Попутно проверили шесть гипотез о негативном влиянии ИИ на текст в сети, и подтвердились только две: интернет стал менее семантически разнообразным и более позитивным. Гипотеза о том, что из-за LLM'ок в сети больше фактически неверной инфы и галлюцинаций, не подтвердилась — и без них справляемся. Поводов для позитива, впрочем, немного: мёртвый интернет из теорий стремительно заменяет зомби-интернет из суровой ИИ-реальности. Добро пожаловать?
@tomhunter
💯6🔥2😱2😢2🤬1
#news Новости кривых ручек от мира рансомвари. В CheckPoint потыкали палочкой в образцы VECT 2.0 и обнаружили фундаментальный баг в логике шифрования, из-за которого энкриптор портит файлы. На выходе в сущности получается вайпер.
Проблема кроется в том, как энкриптор обрабатывает “крупные” файлы — всё, что больше 128 KB. VECT 2.0 разбивает их на четыре части и обрабатывает последовательно, генерируя случайный код под каждую часть. Вот только пишет их в один буфер — код каждой части перезаписывает предыдущий, и остаётся только nonce от четвёртой. Баг присутствует в вариантах энкриптора под все платформы, и файлы в итоге восстановлению не подлежат. Бонусом в варианте под Win три слоя анти-анализа, но при компиляции забыли флаг, так что код висит мёртвым грузом. В общем, хотели полностью самостоятельную разработку как в лучших рансомварь-домах СНГ, но амбиции малость разошлись с возможностями. С кем не бывает!
@tomhunter
Проблема кроется в том, как энкриптор обрабатывает “крупные” файлы — всё, что больше 128 KB. VECT 2.0 разбивает их на четыре части и обрабатывает последовательно, генерируя случайный код под каждую часть. Вот только пишет их в один буфер — код каждой части перезаписывает предыдущий, и остаётся только nonce от четвёртой. Баг присутствует в вариантах энкриптора под все платформы, и файлы в итоге восстановлению не подлежат. Бонусом в варианте под Win три слоя анти-анализа, но при компиляции забыли флаг, так что код висит мёртвым грузом. В общем, хотели полностью самостоятельную разработку как в лучших рансомварь-домах СНГ, но амбиции малость разошлись с возможностями. С кем не бывает!
@tomhunter
😁5🔥2😱1
#news На GitHub закрыли уязвимость под удалённое выполнение кода, CVE-2026-3854. Затронуты как облачные продукты компании, так и GitHub Enterprise Server. Так что накатывайте патчи.
Проблема в обработке git push и недостаточной санитизации метаданных: злоумышленник с доступом к push может внедрить дополнительные поля в метаданные, что ведёт к RCE. Эксплойт элементарный, с выходом из песочницы и 88% инстансов GHES, уязвимых к атаке на момент публикации. Из хороших новостей, с оглядкой на специфическое выполнение кода при внедрении GitHub проверил телеметрию и следов эксплуатации на своей стороне не обнаружил. А вот владельцы GHES рискуют обнаружить уже сегодня. GitHub закрыл уязвимость у себя за пару часов после получения отчёта, что как бы намекает. Берите пример! Подробнее об уязвимости здесь.
@tomhunter
Проблема в обработке git push и недостаточной санитизации метаданных: злоумышленник с доступом к push может внедрить дополнительные поля в метаданные, что ведёт к RCE. Эксплойт элементарный, с выходом из песочницы и 88% инстансов GHES, уязвимых к атаке на момент публикации. Из хороших новостей, с оглядкой на специфическое выполнение кода при внедрении GitHub проверил телеметрию и следов эксплуатации на своей стороне не обнаружил. А вот владельцы GHES рискуют обнаружить уже сегодня. GitHub закрыл уязвимость у себя за пару часов после получения отчёта, что как бы намекает. Берите пример! Подробнее об уязвимости здесь.
@tomhunter
❤5🔥2👍1
#news В ядре Linux обнаружили уязвимость под LPE. И не простую, а под практически все дистрибутивы, выпущенные с 2017-го. И без состояния гонки. Патчи в процессе выхода, проверяйте свои дистры.
CVE-2026-31431, 7.8 по CVSS, она же Copy Fail. В модуле algif_aead логическая ошибка, позволяющая локальному юзеру получить root простеньким скриптом, редактирующим PageCache любого файла, в том числе с setuid. По сути аналог Dirty Pipe, но с гораздо большим охватом. Эксплойт элементарный, портативный, надёжный, с проверкой концепции на 10 строк и длинным списком дистрибутивов за ~10 лет — потенциально худшая LPE в контексте Linux за долгое время. Иными словами, кто патчи не накатил, тот и проиграл. Подробнее об уязвимости здесь.
@tomhunter
CVE-2026-31431, 7.8 по CVSS, она же Copy Fail. В модуле algif_aead логическая ошибка, позволяющая локальному юзеру получить root простеньким скриптом, редактирующим PageCache любого файла, в том числе с setuid. По сути аналог Dirty Pipe, но с гораздо большим охватом. Эксплойт элементарный, портативный, надёжный, с проверкой концепции на 10 строк и длинным списком дистрибутивов за ~10 лет — потенциально худшая LPE в контексте Linux за долгое время. Иными словами, кто патчи не накатил, тот и проиграл. Подробнее об уязвимости здесь.
@tomhunter
🔥8❤5😁1
#announcement Друзья, сейчас идёт регистрация на всероссийский CTF-турнир для школьников и студентов СПО «GO CTF TATARSTAN». В этом году турнир состоится уже в третий раз и проводится в двух зачётах, школьном и академическом — для учащихся школ и средне-специальных учебных заведений.
Турнир пройдёт в два этапа: отборочный будет онлайн 23 мая, финальный — в Казани 25 октября. Заявки от команд принимаются до 22 мая. Это отличная возможность для будущих ИБ-специалистов попробовать свои силы в классическом формате CTF, так что расскажите всем причастным, давно мечтавшим проверить свои навыки в деле. Подробнее о турнире и регистрация на сайте, а также в Telegram. Присоединяйтесь!
@tomhunter
Турнир пройдёт в два этапа: отборочный будет онлайн 23 мая, финальный — в Казани 25 октября. Заявки от команд принимаются до 22 мая. Это отличная возможность для будущих ИБ-специалистов попробовать свои силы в классическом формате CTF, так что расскажите всем причастным, давно мечтавшим проверить свои навыки в деле. Подробнее о турнире и регистрация на сайте, а также в Telegram. Присоединяйтесь!
@tomhunter
🤡6🔥4❤2
#news Оригинальную киберпреступную группировку арестовали во Львове. Трое юных заговорщиков взламывали аккаунты в Roblox, перепродавали и выводили средства в крипту. В качестве лидера — 19-летнее дарование.
Двух других чуть постарше главарь банды, которой боялись во всём Роблоксе, завербовал на геймерских форумах. Вектором атаки называют инфостилер под видом игровых читов, при этом бизнес у подозреваемых был прибыльным: напродавали якобы на 225 тысяч долларов. Прямо в заголовке, конечно, не забыли упомянуть, что всё это хостили в России — порядочный боец киберпреступного фронта если не на хактивистских хлебах, то хотя бы в колл-центре под Днепром, а не робуксы подворовывает, чтобы потом в России продавать. Так что теперь нарушители покоя в любимой эскапистской вселенной детишек ответят по всей строгости.
@tomhunter
Двух других чуть постарше главарь банды, которой боялись во всём Роблоксе, завербовал на геймерских форумах. Вектором атаки называют инфостилер под видом игровых читов, при этом бизнес у подозреваемых был прибыльным: напродавали якобы на 225 тысяч долларов. Прямо в заголовке, конечно, не забыли упомянуть, что всё это хостили в России — порядочный боец киберпреступного фронта если не на хактивистских хлебах, то хотя бы в колл-центре под Днепром, а не робуксы подворовывает, чтобы потом в России продавать. Так что теперь нарушители покоя в любимой эскапистской вселенной детишек ответят по всей строгости.
@tomhunter
😁8
#news Событие недели от мира хостинговой инфраструктуры: в контрольной панели cPanel & WHM закрыли критическую уязвимость на обход аутентификации. Во всех версиях. И с активным эксплойтом в качестве нулевого дня с февраля.
CVE-2026-41940, 9.8 по CVSS: На официальном это “некорректная обработка сессий, где пользовательские данные записываются в файлы сессий на стороне сервера перед аутентификацией и без санитизации”. На неофициальном звучит в основном непечатное в формате “Как это попало в прод-то, вы что, совсем там ту-ту-ру?!” Юзер произвольно пишет в файлы сессий pre-auth и получает админку. И это не на школьном проекте вида “Мой первый сервер”, а на панели, на которой 70+ миллионов доменов висят. Как можно догадаться, админы в полном восторге. Почитать разбор уязвимости в этот погожий выходной денёк можно в блоге watchTowr, а админам соболезнуем.
@tomhunter
CVE-2026-41940, 9.8 по CVSS: На официальном это “некорректная обработка сессий, где пользовательские данные записываются в файлы сессий на стороне сервера перед аутентификацией и без санитизации”. На неофициальном звучит в основном непечатное в формате “Как это попало в прод-то, вы что, совсем там ту-ту-ру?!” Юзер произвольно пишет в файлы сессий pre-auth и получает админку. И это не на школьном проекте вида “Мой первый сервер”, а на панели, на которой 70+ миллионов доменов висят. Как можно догадаться, админы в полном восторге. Почитать разбор уязвимости в этот погожий выходной денёк можно в блоге watchTowr, а админам соболезнуем.
@tomhunter
🔥3😁2🎉1
#news Буднично фиксируем новые атаки на цепочку поставок. Вчера были скомпрометированы lightning и intercom-client на PyPI — популярные пакеты с миллионами скачиваний, всё как полагается. И это лишь часть кампании с ироничным самоименованием “Mini Shai-Hulud”.
Дикий мини Шаи-Хулуд объявился пару дней назад и скомпрометировал четыре SAP’овских пакета на npm с приличным охватом по их девелоперской экосистеме и ещё несколько крупных на PyPI и PHP. Всё это проходит в духе предыдущих инцидентов от TeamPCP: инфостилер, много шума, пара часов компрометации — исследователи только и успевают стучаться по мейнтейнерам и отчёты по следам угона писать. Впрочем, от Шаи-Хулуда одно название: стянутое зашифровано, и на RU-локалях малварь отключается. Автор неповторимого оригинала просто хотел видеть экосистему в огне, а это так, жалкая пародия под монетизацию. На последствия визита такого гостя в репы можно глянуть в поиске Github.
@tomhunter
Дикий мини Шаи-Хулуд объявился пару дней назад и скомпрометировал четыре SAP’овских пакета на npm с приличным охватом по их девелоперской экосистеме и ещё несколько крупных на PyPI и PHP. Всё это проходит в духе предыдущих инцидентов от TeamPCP: инфостилер, много шума, пара часов компрометации — исследователи только и успевают стучаться по мейнтейнерам и отчёты по следам угона писать. Впрочем, от Шаи-Хулуда одно название: стянутое зашифровано, и на RU-локалях малварь отключается. Автор неповторимого оригинала просто хотел видеть экосистему в огне, а это так, жалкая пародия под монетизацию. На последствия визита такого гостя в репы можно глянуть в поиске Github.
@tomhunter
🔥5❤2👍1
#news В сетевых дебрях с четверга идёт активный эксплойт уязвимости в cPanel, и на сайтах засветилась рансомварь. Злоумышленники используют энкриптор на Go, он шифрует файлы с расширением .sorry, отсюда и условное название — Sorry 2026 Ransomware.
На форумах невинные владельцы скомпрометированных сайтов задаются животрепещущими вопросами в духе “Что такое Go?” и “Как мне восстановить файлы без бэкапа?” В общем, мыслительный процесс как в госконторке, после шифрования узнавшей о существовании рансомвари, бэкапов и прочих удивительных вещей. При этом счётчик компрометаций тикает в прямом эфире: зашифрованные сайты индексируются поисковиками с TOX ID злоумышленников. Географию можно оценить самостоятельно: в выдаче пострадавшие со всего света — международное единство в наше время бывает только такое.
@tomhunter
На форумах невинные владельцы скомпрометированных сайтов задаются животрепещущими вопросами в духе “Что такое Go?” и “Как мне восстановить файлы без бэкапа?” В общем, мыслительный процесс как в госконторке, после шифрования узнавшей о существовании рансомвари, бэкапов и прочих удивительных вещей. При этом счётчик компрометаций тикает в прямом эфире: зашифрованные сайты индексируются поисковиками с TOX ID злоумышленников. Географию можно оценить самостоятельно: в выдаче пострадавшие со всего света — международное единство в наше время бывает только такое.
@tomhunter
😁6🔥2🤯1
#news CopyFail также ожидаемо засветилась в эксплуатации. В пятницу CISA добавило LPE-уязвимость в ядре Linux в список активно эксплуатируемых — первые звоночки пошли на следующий день после раскрытия.
CopyFail знатно встряхнула экосистему Linux, вслед за публикацией PoC на Python были замечены варианты на Go и Rust; разбор уязвимости от “Лаборатории Касперского” здесь. Между тем среди линуксоидов поднялся шторм: быстро выяснилось, что CopyFail раскрыли без координации с мейнтейнерами дистрибутивов. Злые языки рассуждают, что уязвимость не только нашли при поддержке LLM’ки, но и раскрытие скоординировали с её помощью — на момент публикации патчей у основных дистров не было, зато был стильный сайт с публичной PoC и всем сопутствующим. Так что если у Theori это был ход конём по пиару своего ИИ-продукта, получилось не очень.
@tomhunter
CopyFail знатно встряхнула экосистему Linux, вслед за публикацией PoC на Python были замечены варианты на Go и Rust; разбор уязвимости от “Лаборатории Касперского” здесь. Между тем среди линуксоидов поднялся шторм: быстро выяснилось, что CopyFail раскрыли без координации с мейнтейнерами дистрибутивов. Злые языки рассуждают, что уязвимость не только нашли при поддержке LLM’ки, но и раскрытие скоординировали с её помощью — на момент публикации патчей у основных дистров не было, зато был стильный сайт с публичной PoC и всем сопутствующим. Так что если у Theori это был ход конём по пиару своего ИИ-продукта, получилось не очень.
@tomhunter
😁6👎1🤯1
#news ИБ-фирма Trellix сообщила об инциденте. Неназванные злоумышленники получили доступ к “части” репозитория с их исходным кодом. Неприятнее новости, конечно, для них не придумаешь.
Если возникло лёгкое чувство дежавю, это всё неспроста: в 2020-м у Trellix, в то время FireEye до слияния с McAfee Enterprise, стянули их краснокомандные инструменты. За атакой стояла, как это тогда окрестили, “нация с первоклассными атакующими возможностями”. Это мы, если что. Подробностей свежего взлома пока нет со ссылкой на идущее расследование, только пиар-отдел отрабатывает своё со стандартными заходами про “часть исходников”. Но по итогам это тоже обязан быть кто-нибудь первоклассный. Как водится, если ты порядочная XDR-компания, быть взломанной кем-то рангом пониже — это уже совсем за рамками приличий.
@tomhunter
Если возникло лёгкое чувство дежавю, это всё неспроста: в 2020-м у Trellix, в то время FireEye до слияния с McAfee Enterprise, стянули их краснокомандные инструменты. За атакой стояла, как это тогда окрестили, “нация с первоклассными атакующими возможностями”. Это мы, если что. Подробностей свежего взлома пока нет со ссылкой на идущее расследование, только пиар-отдел отрабатывает своё со стандартными заходами про “часть исходников”. Но по итогам это тоже обязан быть кто-нибудь первоклассный. Как водится, если ты порядочная XDR-компания, быть взломанной кем-то рангом пониже — это уже совсем за рамками приличий.
@tomhunter
😁5👍1💯1
#cve Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird.
Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте на Хабре!
@tomhunter
Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте на Хабре!
@tomhunter
👍2
#news В США вынесли приговор переговорщику рансомварь-группировки Karakurt Денису Золотарёву, он же Sforza_cesarini. Он получил 8,5 лет за отмывание денежных средств и мошенничество с использованием электронных средств связи.
35-летний Золотарёв — гражданин Латвии, проживал в Москве, был задержан в Грузии в декабре 2023-го, экстрадирован в США в 2024-м. В 2025-м признал вину, а в 2026-м отправляется на заслуженный отдых. В общем, проделал стандартный маршрут в профессии. Согласно делу, Золотарёв работал переговорщиком по зашедшим в тупик вымогательствам, кроме Karakurt светился также в кейсах полудюжины сопутствующих брендов. Судебные документы, как всегда, познавательные: с элементами переписки из вскрытого по ордеру Rocket[.]Chat, попыткой Золотарёва продать ФБР данные на Karakurt под видом исследователя (с.16, п.21) и прочим. Даже фото с ареста гуглится, можно полюбоваться здесь, а некоторым будет о чём задуматься, глядя в эти кристально честные глаза.
@tomhunter
35-летний Золотарёв — гражданин Латвии, проживал в Москве, был задержан в Грузии в декабре 2023-го, экстрадирован в США в 2024-м. В 2025-м признал вину, а в 2026-м отправляется на заслуженный отдых. В общем, проделал стандартный маршрут в профессии. Согласно делу, Золотарёв работал переговорщиком по зашедшим в тупик вымогательствам, кроме Karakurt светился также в кейсах полудюжины сопутствующих брендов. Судебные документы, как всегда, познавательные: с элементами переписки из вскрытого по ордеру Rocket[.]Chat, попыткой Золотарёва продать ФБР данные на Karakurt под видом исследователя (с.16, п.21) и прочим. Даже фото с ареста гуглится, можно полюбоваться здесь, а некоторым будет о чём задуматься, глядя в эти кристально честные глаза.
@tomhunter
🔥6❤2🤡2😁1
#news Daemon Tools помните? А он засветился в атаках — конечно же, на цепочку поставок. Установщики были скомпрометированы и доставляют малварь с 8 апреля. В комплекте загрузчик, причём подписано всё сертификатами разработчика.
Затронуты установщики с версии
@tomhunter
Затронуты установщики с версии
12.5.0.2421; после раскрытия вендор решил проблему, версия 12.6.0.2445 чистая. Вредонос стучит по С2 и подтягивает дополнительную нагрузку, в большинстве случаев это имплант для сбора системной инфы. Со строками на китайском — если кто ещё не догадался, от кого можно ждать такой изящный подгон. При этом десяток организаций отхватили бэкдор, одной достался уникальный RAT — атака таргетированная, в лучших традициях китайских умельцев. Здесь можно вспомнить компрометацию NotePad++. Так что пока TeamPCP наводит шум, орудуя кувалдой по экосистеме, сумрачный китайский гений тихонько работает.@tomhunter
🔥4😁4
#digest Собрали самые интересные ИБ-события апреля в наш дайджест. В прошлом месяце гремела Mythos от Anthropic, в очередной раз заявившей о революции в кибербезе, за которой пока не видно ничего кроме пиара. Не меньше шуму наделал и взлом суперкомпьютера Китая, которого не было.
Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте на Хабре!
@tomhunter
Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте на Хабре!
@tomhunter
👍2
#news В сетевых дебрях засветился ранее незадокументированный имплант под Linux. Он получил название Quasar Linux и в духе заголовков последних месяцев заточен под девелоперскую и девопс среды. Иными словами, под атаки на цепочку поставок.
QLNX — полноценный RAT с функциональностью руткита, PAM-бэкдором, сбором кредов и прочими удовольствиями. В комплекте с несколькими слоями устойчивости, в том числе с применением eBPF, бесфайловой работой из памяти, компиляцией бэкдоров на хосте… В общем, явно не проходной масс-продукт от мира сайберкрайма, хотя с атрибуцией в Trend Micro не спешат. И обнаруживают его пока 3,5 EDR-решения. Всё это под CI/CD пайплайны и прочее девелоперское. Так что если ежедневные supply chain атаки вас уже утомили, остаётся только крепчать. Подробнее о QLNX в отчёте.
@tomhunter
QLNX — полноценный RAT с функциональностью руткита, PAM-бэкдором, сбором кредов и прочими удовольствиями. В комплекте с несколькими слоями устойчивости, в том числе с применением eBPF, бесфайловой работой из памяти, компиляцией бэкдоров на хосте… В общем, явно не проходной масс-продукт от мира сайберкрайма, хотя с атрибуцией в Trend Micro не спешат. И обнаруживают его пока 3,5 EDR-решения. Всё это под CI/CD пайплайны и прочее девелоперское. Так что если ежедневные supply chain атаки вас уже утомили, остаётся только крепчать. Подробнее о QLNX в отчёте.
@tomhunter
🔥5