#news Роскомнадзор заблокировал основной сайт Tor в России по решению Саратовского районного суда. Россия является второй страной по количеству пользователей Tor. Ежедневно им пользуются более 300 тысяч россиян, что составляет 15% от всей аудитории Tor.

Остался только один вопрос... при чем тут Саратов? А насчет блокировки... stunnel/goodbye dpi+мосты в самом торе - решают проблему 😊

@tomhunter

#news Обновление от Телеграма. Администраторы каналов и чатов теперь смогут запрещать сохранять фото и видео из них, делать скриншоты сообщений и пересылать их куда-либо.

Ещё в личных чатах теперь можно удалять сообщения за конкретный период или настроить автоматическое удаление.

@tomhunter

#news Ботнет Moobot, созданный на основе Mirai распространяется за счет использования критической уязвимости CVE-2021-36260 в продуктовой линейке Hikvision. Hikvision - это государственный китайский производитель камер и оборудования для наблюдения. Hikvision исправила ошибку еще в сентябре 2021 года, выпустив обновление прошивки (v210628), но не все пользователи поспешили применить обновление безопасности. Цель Moobot - включить взломанное устройство в ботнет для совершения DDoS-атак. Между тем, услуги DDoS, с использованием Moobot, уже предлагаются в Telegram.

@tomhunter

#news К слову о ботнетах: тут Google подала в суд на двух граждан РФ, Дмитрия Старовикова и Александра Филиппова.

Компания называет их операторами ботнета Glupteba, который распространялся через бесплатный софт и заразил более миллиона устройств. С заражённых девайсов ботнет крадёт данные гугловских учёток, а также тайно майнит на них крипту.

Самая мякотка — это как они вычислили хакеров: по информации, найденной в их Gmail и Google Workspace. Такие вот грозные хакеры. Обсуждают серьёзные рабочие дела по персональным джимейлам и наверняка планируют награбленные финансы в Google Sheets-табличках. Загадочная история.

@tomhunter

#news Есть такое популярное приложение Life360, помогающее отслеживать местоположение членов семьи — можно через него следить за безопасностью маленьких детей, например.

Из интервью с бывшими сотрудниками выяснилось, что приложение продаёт все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно. А речь, напомню, о геолокации детей.

@tomhunter

#news Свайперы кредитных карт внедряют вредонос в случайные плагины сайтов на WordPress, скрываясь от обнаружения во время кражи платежных данных клиентов.

Как защититься...?
1⃣ область wp-admin должна быть ограничена только определенными IP-адресами. 
2⃣ на веб-сайте должен быть реализован мониторинг целостности файлов с помощью активных серверных сканеров.

@tomhunter

#news Возвращаемся к нашей "любимой" компании... Facebook и Snapchat обнаружили лазейку в правилах Apple, которая позволяет следить за пользователями iOS, даже если они запретили приложению это делать. Кроме того, Apple все ещё разрешает собирать уникальные данные, такие как IP-адрес, местоположение, язык, модель устройства и размер экрана.

@tomhunter

#news История с утечками данных из систем видеонаблюдения имела пикантное продолжение. Злоумышленник распространял в интернете кадры с камер видеонаблюдения, установленных в хирургическом отделении медицинского центра в городе Артем. Сейчас СК ведет расследование, однако уже известно, что видео было похищено хакером, который проживает за пределами России.

🧐 Как они так шикарно научились геолокации находить...?

@tomhunter

#news Не опять, а снова: пачка зловредных npm-пакетов ворует у пользователей Discord персональные токены, с помощью которых можно перехватить аккаунт.

Всего исследователи обнаружили 17 таких пакетов. Набор богатый: от инфостилеров до бэкдоров удалённого доступа.

Почему именно Дискорд? Статью о его привлекательности в качестве хостинга для малвари мы уже публиковали. А здесь исследователи предполагают две цели:
⋅ Кража легитимных аккаунтов и серверов, через которые потом можно распространять малварь через социнженерию и прочие методы.
⋅ Продажа украденных аккаунтов с премиум-подпиской Discord Nitro. Она стоит $100 в год, поэтому мошенники могут массово и дешево сбывать такие аккаунты на специальных площадках.

@tomhunter

#news СМИ обеспокоились риском утечки данных из государственной системы видеонаблюдения "Умный город". Однако главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров отметил в беседе с журналистами, что камеры формата "Умный город", использующиеся для системы распознавания лиц, хорошо защищены, так как у них нет прямого доступа в интернет и они замкнуты на ведомственной сети системы.

@tomhunter

#news 31-летний канадец был арестован и обвинен в мошенничестве в связи с многочисленными атаками программ-вымогателей на предприятия, государственные учреждения и частных лиц по всей Канаде и США. Канадские власти описывают его как «самого известного киберпреступника в Канаде», но пока не раскрыли других подробностей об обвиняемом...

К счастью, есть его адрес электронной почты dark_cl0ud6@hotmail.com и псевдоним "Darkcloudowner". А также умение проводить OSINT-расследования.

@tomhunter

#news ОС для специалистов по информационной безопасности и пентестеров, Kali Linux была обновлена до версии 2021.4. Теперь она включает поддержку Apple M1, улучшенную совместимость с Samba, девять новых инструментов и обновление для всех трех основных рабочих столов. Загрузить ISO...

@tomhunter

#news Новая программа-вымогатель ALPHV, также известная как BlackCat, была запущена в прошлом месяце и может стать самой сложной программой-вымогателем года с настраиваемым набором функций, позволяющим атаковать широкий спектр корпоративных сред. Исполняемый файл локера написан на Rust. Вымогатель полностью управляется из командной строки, управляется человеком и имеет широкие возможности настройки, с возможностью использовать различные процедуры шифрования, распространяться между компьютерами, уничтожать виртуальные машины и виртуальные машины ESXi, а также автоматически стирать моментальные снимки ESXi для предотвращения восстановления.

@tomhunter

#news Ботнет, известный как Dark Mirai (он же MANGA), использует уязвимость CVE-2021-41653 на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году. Причем, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.

@tomhunter

#news Аналитики сообщают, что за последние пару дней они обнаружили массовую волну атак, исходящих с 16 000 IP-адресов и нацеленных на более 1,6 миллиона сайтов WordPress.

В большинстве случаев злоумышленники обновляют параметр users_can_register, чтобы он был включен, и устанавливают для параметра default_role значение administrator.

Чтобы проверить, не был ли ваш сайт взломан, вы можете просмотреть все учетные записи пользователей и найти какие-либо мошеннические дополнения, которые следует немедленно удалить.

Затем просмотрите настройки сайта по адресу «http: // examplesite [.] Com / wp-admin / options-general.php» и обратите внимание на членство и настройку роли нового пользователя по умолчанию.

@tomhunter

#news Apache выпустили фикс к критической (10/10 CVSS) уязвимости нулевого дня в библиотеке Log4j.

Уязвимость, известная как CVE-2021-44228 и Log4Shell/LogJam, позволяет выполнять произвольный код. Сообщается, что её активно эксплойтят хакеры. Среди потенциально затронутых проектов Steam, iCloud и Minecraft.

Проблема может затронуть все Java-проекты, использующие фреймворки Apache Struts, Apache Solr, Apache Druid или Apache Flink.

@tomhunter

#news Пользователи ВК столкнулись с новым способом взлома своих социальных страниц. Работает это так... Пользователю приходит сообщение, что его архив якобы будет создан через сутки и может оказаться в открытом доступе. Далее человеку предлагают войти в аккаунт, чтобы отменить передачу данных, а также сменить пароль. В результате злоумышленник получает полный доступ к странице.

Как видно из картинки, злоумышленники используют редирект через социальную сеть, чтобы скрыть конечный ресурс, на котором окажется жертва. Я писал об этом, рассказывая о логировании и о комментируя аналогичные уязвимости на портале Госуслуг.

@tomhunter

#news Российские власти хотят конфисковывать криптовалюту... 9 декабря генеральный прокурор Игорь Краснов рассказал о подготовке нормативных актов, регулирующих криптовалюту в России. По его словам, законодательные изменения наделят силовиков правом ареста и изъятия цифровых активов. Краснов не разъяснил, какие именно ведомства будут расследовать дела об обороте незаконно полученной криптовалюты и кто будет координировать эту работу.

В Центральном банке называют российский рынок криптовалюты «растущим»: объем его денежной массы составляет до 350 миллиардов рублей. Кроме того, по данным Кембриджского университета, в 2021 году Россия вышла на третье место в мире по майнингу биткоина. Доля России составила 11,2% от мирового объема добытых монет.

Мировая практика расследования киберпреступлений свидетельствует, что для ареста и конфискации криптовалюты необходимо участие владельца площадки по обмену криптоактивов (биржи или миксера). Мой мануал по исследованию криптовалют...

@tomhunter

#news В последние пару недель началась новая фишинговая кампания, нацеленная на немецких пользователей электронного банкинга, с использованием QR-кодов в процессе получения учетных данных. Фишинговые электронные письма тщательно продуманы, содержат логотипы банков, хорошо структурированный контент и, как правило, единый стиль. В последних фишинговых кампаниях злоумышленники использовали QR-коды вместо кнопок, чтобы перенаправить жертв на фишинговые сайты. QR-коды стали более эффективными, поскольку они нацелены на мобильных пользователей, которые с меньшей вероятностью будут защищены средства безопасности.

@tomhunter

#news К слову о фишинге: ещё одна недавняя кампания хищно пользуется тем, что многие джуны мечтают о работе в гейм-индустрии. Riot Games (разработчик LoL) уже подала на злоумышленников в суд.

Схема древняя. Некие скамеры, которых пока не идентифицировали, представлялись рекрутерами из Riot Games и публиковали фейковые вакансии на популярных сайтах. Откликнувшимся задавали вполне обычные вопросы вроде «почему хотите работать именно у нас?» и высылали правдоподобные рабочие контракты. Затем выяснялось, что от заветного старта работы в компании мечты кандидата отделяет одна-единственная мелочь: деньги на рабочую технику. Их — от $2400 до $4300 — кандидат и должен был перевести «компании», пообещавшей полный рефанд. Ни рефанда, ни оффера, конечно, за деньгами не следовало.

@tomhunter

#news В Рунете получил распространение фальшивый генератор QR-кодов для россиян, не желающих вакцинироваться от коронавируса. Никакие коды, конечно, он не генерирует, а лишь заражает ПК вредоносом, ворующим пароли, криптовалюту и деньги и попутно майнящим биткоины во славу киберпреступников.

Все это, разумеется, было предсказуемо. В QR-код можно легко зашивать простейшие программы, скрипты запрограммированных действий (загрузка визитки, например), а также гиперссылки. В т.ч. те, которые предполагают автоматическую загрузку опасного содержимого из глобальной паутины.

@tomhunter