#news На русскоязычных форумах по борьбе с киберпреступностью назревает некоторая необычная активность, где хакеры, похоже, обращаются к китайским коллегам для сотрудничества. Эти попытки привлечь китайских злоумышленников в основном видны на хакерском форуме RAMP. Исследователи предполагают, что наиболее вероятная причина заключается в том, что российские банды программ-вымогателей стремятся создать альянсы с китайскими игроками для проведения кибератак против целей в США, обмена уязвимостями или даже привлечения новых специалистов для своих операций по программе-вымогателю как услуге (RaaS).
@tomhunter
@tomhunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад.
@tomhunter
@tomhunter
#news Тут Robinhood деликатно добавил, что во время недавнего взлома утекли ещё и телефонные номера. Взлом, напомню, случился из-за телефонной социнженерной атаки на сотрудника поддержки.
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
#news 24 ноября 2021 состоится онлайн-конференция AM Live «Безопасность рабочих станций в сетях АСУ ТП».
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
#news Изобретательные хакеры приспособили платформу Glitch для массовой штамповки фишинговых сайтов-однодневок, нацеленных на сотрудников крупных ближневосточных компаний.
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
#news Вредоносное ПО для Android BrazKing вернулось в качестве скрытого банковского трояна. Вредонос был обнаружен вне пределов Play Store, на сайтах, куда люди попадают после получения smishing-сообщений (SMS). Эти сайты предупреждают жертву о том, что она использует устаревшую версию Android, и предлагают APK, который обновит ее до последней версии. При этом, новая версия BrazKing защищает внутренние ресурсы, применяя операцию XOR с использованием жестко запрограммированного ключа, а затем также кодирует их с помощью Base64.
@tomhunter
@tomhunter
#news Group-IB рассказала о возвращении хакеров-шпионов RedCurl, которые на сей раз дважды атаковали некий неназванный российский интернет-магазин из ТОП-20 крупнейших.
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
#OSINT #Lab Пятничное... Виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. Выбери свою...
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
#news В январе этого года спецслужбы одолели ботнет Emotet в неравной битве. На этом, однако, история не закончилась. Теперь он вернулся — говорят, операторов ботнета уговорили его вернуть хакеры Conti.
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
#news С интересом и огоньком провели в четверг очередной конкурс по информационной безопасности Zero-Day. Участвовало 9 команд из различных учебных заведений Санкт-Петербурга. Конкурсанты испытали свои навыки в CTF и OSINT, а также послушали опытных спикеров.
@tomhunter
@tomhunter
#news Недавно Брайан Кребс рассказал о новых фишках американских «служб безопасности» Сбербанка JP Morgan Chase.
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
#news Серверы Microsoft Exchange взломаны в результате атак с внутренней цепочкой ответов. Считается, что за этой атакой стоит «TR», известный злоумышленник, который рассылает электронные письма с вредоносными вложениями, которые сбрасывают вредоносные программы, включая полезные нагрузки Qbot, IcedID, Cobalt Strike и SquirrelWaffle. Чтобы заставить корпоративные цели открыть вредоносные вложения, злоумышленник использует серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogon.
@tomhunter
@tomhunter
#news Несколько дней назад в Канаде арестовали семнадцатилетнего парня, который украл у американца (американки?) почти $37 миллионов в крипте. Американских долларов.
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
#news Как это по-русски... Комиссия по ценным бумагам и биржам (SEC) предупредила американских инвесторов о мошенниках, выдающих себя за должностных лиц SEC в схемах выдачи себя за другое лицо посредством телефонных звонков, голосовой почты, электронных писем и писем. Летом аналогичное предупреждение выходило от ФБР и FINRA.
@tomhunter
@tomhunter
#anon #app Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части — альтернативные ОС для смартфонов. В третьей части — браузеры и поисковики повышенной анонимности. Сегодня поговорим о прочем ПО...
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter
#news Как часто ИТ-компании "шепчутся" с российскими государственными органами? Не так давно, Apple опубликовала отчет о раскрытии информации за период с июля по декабрь 2020 года. Мы решили расширить его, дополнив информацией о Google и Яндекс...
⬆️ Apple
Всего запросов: 1123 (1055 за прошлый период)
Положительные ответы в 85% случаев
⬆️ Яндекс
Всего запросов: 16874 (15376 за прошлый период)
Положительные ответы в 78% случаев
⬇️ Google
Всего запросов: 497 (710 за прошлый период)
Положительные ответы в 18% случаев
@tomhunter
⬆️ Apple
Всего запросов: 1123 (1055 за прошлый период)
Положительные ответы в 85% случаев
⬆️ Яндекс
Всего запросов: 16874 (15376 за прошлый период)
Положительные ответы в 78% случаев
⬇️ Google
Всего запросов: 497 (710 за прошлый период)
Положительные ответы в 18% случаев
@tomhunter
T.Hunter
#OSINT #Logger Логирование или установление сведений об устройстве и соединении пользователя сети интернет - это важная часть процесса деанонимизации. ├canarytokens (Logger Files/Link + mask) ├@FakeSMI_bot (Logger News + mask) ├iplogger (Logger Link + mask)…
#OSINT 😇 Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
... решать задачу по идентификации пользователей сети приходится не только сотрудникам органов, но и службам безопасности, детективам, да и OSINT-исследователям. В связи с этим, предлагаю разобраться с понятиями, а также основными методами и приемами логирования пользователей...
@tomhunter
... решать задачу по идентификации пользователей сети приходится не только сотрудникам органов, но и службам безопасности, детективам, да и OSINT-исследователям. В связи с этим, предлагаю разобраться с понятиями, а также основными методами и приемами логирования пользователей...
@tomhunter
#news Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub. Напомню, что используя cookies, злоумышленники могут без логина и пароля зайти в сервисы, которые посещали их владельцы. Чтобы избежать подобных рисков, пользователям стоит регулярно очищать cookies и не сохранять пароли в сервисах.
@tomhunter
@tomhunter
#news Из-за влома GoDaddy произошла утечка данных, коснувшаяся 1.2 миллиона пользователей.
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
#news Исследователи продемонстрировали, что отпечатки пальцев можно клонировать для биометрической аутентификации всего за 5 долларов без использования каких-либо сложных или необычных инструментов. Полученный отпечаток пальца может обмануть современные датчики отпечатков пальцев, такие как тот, который используется в последнем MacBook Pro.
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
#news Национальный центр кибербезопасности Великобритании (NCSC) сообщает, что предупредил владельцев 4151 интернет-магазина о том, что их сайты были взломаны в результате атак Magecart (веб-скимминг) с целью кражи платежной информации клиентов.
@tomhunter
@tomhunter