#news Есть такое популярное приложение Life360, помогающее отслеживать местоположение членов семьи — можно через него следить за безопасностью маленьких детей, например.
Из интервью с бывшими сотрудниками выяснилось, что приложение продаёт все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно. А речь, напомню, о геолокации детей.
@tomhunter
Из интервью с бывшими сотрудниками выяснилось, что приложение продаёт все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно. А речь, напомню, о геолокации детей.
@tomhunter
#news Свайперы кредитных карт внедряют вредонос в случайные плагины сайтов на WordPress, скрываясь от обнаружения во время кражи платежных данных клиентов.
Как защититься...?
1⃣ область wp-admin должна быть ограничена только определенными IP-адресами.
2⃣ на веб-сайте должен быть реализован мониторинг целостности файлов с помощью активных серверных сканеров.
@tomhunter
Как защититься...?
1⃣ область wp-admin должна быть ограничена только определенными IP-адресами.
2⃣ на веб-сайте должен быть реализован мониторинг целостности файлов с помощью активных серверных сканеров.
@tomhunter
#news Возвращаемся к нашей "любимой" компании... Facebook и Snapchat обнаружили лазейку в правилах Apple, которая позволяет следить за пользователями iOS, даже если они запретили приложению это делать. Кроме того, Apple все ещё разрешает собирать уникальные данные, такие как IP-адрес, местоположение, язык, модель устройства и размер экрана.
@tomhunter
@tomhunter
T.Hunter
#news В России (вот неожиданность) оказались взломаны тысячи частных камер видеонаблюдения, многие из которых располагались (вот тут интересно) в гостиничных номерах, массажных кабинетах, салонах, где делают интимные стрижки и депиляцию, и других приватных…
#news История с утечками данных из систем видеонаблюдения имела пикантное продолжение. Злоумышленник распространял в интернете кадры с камер видеонаблюдения, установленных в хирургическом отделении медицинского центра в городе Артем. Сейчас СК ведет расследование, однако уже известно, что видео было похищено хакером, который проживает за пределами России.
🧐 Как они так шикарно научились геолокации находить...?
@tomhunter
🧐 Как они так шикарно научились геолокации находить...?
@tomhunter
#news Не опять, а снова: пачка зловредных npm-пакетов ворует у пользователей Discord персональные токены, с помощью которых можно перехватить аккаунт.
Всего исследователи обнаружили 17 таких пакетов. Набор богатый: от инфостилеров до бэкдоров удалённого доступа.
Почему именно Дискорд? Статью о его привлекательности в качестве хостинга для малвари мы уже публиковали. А здесь исследователи предполагают две цели:
⋅ Кража легитимных аккаунтов и серверов, через которые потом можно распространять малварь через социнженерию и прочие методы.
⋅ Продажа украденных аккаунтов с премиум-подпиской Discord Nitro. Она стоит $100 в год, поэтому мошенники могут массово и дешево сбывать такие аккаунты на специальных площадках.
@tomhunter
Всего исследователи обнаружили 17 таких пакетов. Набор богатый: от инфостилеров до бэкдоров удалённого доступа.
Почему именно Дискорд? Статью о его привлекательности в качестве хостинга для малвари мы уже публиковали. А здесь исследователи предполагают две цели:
⋅ Кража легитимных аккаунтов и серверов, через которые потом можно распространять малварь через социнженерию и прочие методы.
⋅ Продажа украденных аккаунтов с премиум-подпиской Discord Nitro. Она стоит $100 в год, поэтому мошенники могут массово и дешево сбывать такие аккаунты на специальных площадках.
@tomhunter
T.Hunter
#news В России (вот неожиданность) оказались взломаны тысячи частных камер видеонаблюдения, многие из которых располагались (вот тут интересно) в гостиничных номерах, массажных кабинетах, салонах, где делают интимные стрижки и депиляцию, и других приватных…
#news СМИ обеспокоились риском утечки данных из государственной системы видеонаблюдения "Умный город". Однако главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров отметил в беседе с журналистами, что камеры формата "Умный город", использующиеся для системы распознавания лиц, хорошо защищены, так как у них нет прямого доступа в интернет и они замкнуты на ведомственной сети системы.
@tomhunter
@tomhunter
#news 31-летний канадец был арестован и обвинен в мошенничестве в связи с многочисленными атаками программ-вымогателей на предприятия, государственные учреждения и частных лиц по всей Канаде и США. Канадские власти описывают его как «самого известного киберпреступника в Канаде», но пока не раскрыли других подробностей об обвиняемом...
К счастью, есть его адрес электронной почты dark_cl0ud6@hotmail.com и псевдоним "Darkcloudowner". А также умение проводить OSINT-расследования.
@tomhunter
К счастью, есть его адрес электронной почты dark_cl0ud6@hotmail.com и псевдоним "Darkcloudowner". А также умение проводить OSINT-расследования.
@tomhunter
#news ОС для специалистов по информационной безопасности и пентестеров, Kali Linux была обновлена до версии 2021.4. Теперь она включает поддержку Apple M1, улучшенную совместимость с Samba, девять новых инструментов и обновление для всех трех основных рабочих столов. Загрузить ISO...
@tomhunter
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Новая программа-вымогатель ALPHV, также известная как BlackCat, была запущена в прошлом месяце и может стать самой сложной программой-вымогателем года с настраиваемым набором функций, позволяющим атаковать широкий спектр корпоративных сред. Исполняемый файл локера написан на Rust. Вымогатель полностью управляется из командной строки, управляется человеком и имеет широкие возможности настройки, с возможностью использовать различные процедуры шифрования, распространяться между компьютерами, уничтожать виртуальные машины и виртуальные машины ESXi, а также автоматически стирать моментальные снимки ESXi для предотвращения восстановления.
@tomhunter
@tomhunter
#news Ботнет, известный как Dark Mirai (он же MANGA), использует уязвимость CVE-2021-41653 на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году. Причем, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.
@tomhunter
@tomhunter
#news Аналитики сообщают, что за последние пару дней они обнаружили массовую волну атак, исходящих с 16 000 IP-адресов и нацеленных на более 1,6 миллиона сайтов WordPress.
В большинстве случаев злоумышленники обновляют параметр users_can_register, чтобы он был включен, и устанавливают для параметра default_role значение administrator.
Чтобы проверить, не был ли ваш сайт взломан, вы можете просмотреть все учетные записи пользователей и найти какие-либо мошеннические дополнения, которые следует немедленно удалить.
Затем просмотрите настройки сайта по адресу «http: // examplesite [.] Com / wp-admin / options-general.php» и обратите внимание на членство и настройку роли нового пользователя по умолчанию.
@tomhunter
В большинстве случаев злоумышленники обновляют параметр users_can_register, чтобы он был включен, и устанавливают для параметра default_role значение administrator.
Чтобы проверить, не был ли ваш сайт взломан, вы можете просмотреть все учетные записи пользователей и найти какие-либо мошеннические дополнения, которые следует немедленно удалить.
Затем просмотрите настройки сайта по адресу «http: // examplesite [.] Com / wp-admin / options-general.php» и обратите внимание на членство и настройку роли нового пользователя по умолчанию.
@tomhunter
#news Apache выпустили фикс к критической (10/10 CVSS) уязвимости нулевого дня в библиотеке Log4j.
Уязвимость, известная как CVE-2021-44228 и Log4Shell/LogJam, позволяет выполнять произвольный код. Сообщается, что её активно эксплойтят хакеры. Среди потенциально затронутых проектов Steam, iCloud и Minecraft.
Проблема может затронуть все Java-проекты, использующие фреймворки Apache Struts, Apache Solr, Apache Druid или Apache Flink.
@tomhunter
Уязвимость, известная как CVE-2021-44228 и Log4Shell/LogJam, позволяет выполнять произвольный код. Сообщается, что её активно эксплойтят хакеры. Среди потенциально затронутых проектов Steam, iCloud и Minecraft.
Проблема может затронуть все Java-проекты, использующие фреймворки Apache Struts, Apache Solr, Apache Druid или Apache Flink.
@tomhunter
#news Пользователи ВК столкнулись с новым способом взлома своих социальных страниц. Работает это так... Пользователю приходит сообщение, что его архив якобы будет создан через сутки и может оказаться в открытом доступе. Далее человеку предлагают войти в аккаунт, чтобы отменить передачу данных, а также сменить пароль. В результате злоумышленник получает полный доступ к странице.
Как видно из картинки, злоумышленники используют редирект через социальную сеть, чтобы скрыть конечный ресурс, на котором окажется жертва. Я писал об этом, рассказывая о логировании и о комментируя аналогичные уязвимости на портале Госуслуг.
@tomhunter
Как видно из картинки, злоумышленники используют редирект через социальную сеть, чтобы скрыть конечный ресурс, на котором окажется жертва. Я писал об этом, рассказывая о логировании и о комментируя аналогичные уязвимости на портале Госуслуг.
@tomhunter
#news Российские власти хотят конфисковывать криптовалюту... 9 декабря генеральный прокурор Игорь Краснов рассказал о подготовке нормативных актов, регулирующих криптовалюту в России. По его словам, законодательные изменения наделят силовиков правом ареста и изъятия цифровых активов. Краснов не разъяснил, какие именно ведомства будут расследовать дела об обороте незаконно полученной криптовалюты и кто будет координировать эту работу.
В Центральном банке называют российский рынок криптовалюты «растущим»: объем его денежной массы составляет до 350 миллиардов рублей. Кроме того, по данным Кембриджского университета, в 2021 году Россия вышла на третье место в мире по майнингу биткоина. Доля России составила 11,2% от мирового объема добытых монет.
Мировая практика расследования киберпреступлений свидетельствует, что для ареста и конфискации криптовалюты необходимо участие владельца площадки по обмену криптоактивов (биржи или миксера). Мой мануал по исследованию криптовалют...
@tomhunter
В Центральном банке называют российский рынок криптовалюты «растущим»: объем его денежной массы составляет до 350 миллиардов рублей. Кроме того, по данным Кембриджского университета, в 2021 году Россия вышла на третье место в мире по майнингу биткоина. Доля России составила 11,2% от мирового объема добытых монет.
Мировая практика расследования киберпреступлений свидетельствует, что для ареста и конфискации криптовалюты необходимо участие владельца площадки по обмену криптоактивов (биржи или миксера). Мой мануал по исследованию криптовалют...
@tomhunter
#news В последние пару недель началась новая фишинговая кампания, нацеленная на немецких пользователей электронного банкинга, с использованием QR-кодов в процессе получения учетных данных. Фишинговые электронные письма тщательно продуманы, содержат логотипы банков, хорошо структурированный контент и, как правило, единый стиль. В последних фишинговых кампаниях злоумышленники использовали QR-коды вместо кнопок, чтобы перенаправить жертв на фишинговые сайты. QR-коды стали более эффективными, поскольку они нацелены на мобильных пользователей, которые с меньшей вероятностью будут защищены средства безопасности.
@tomhunter
@tomhunter
#news К слову о фишинге: ещё одна недавняя кампания хищно пользуется тем, что многие джуны мечтают о работе в гейм-индустрии. Riot Games (разработчик LoL) уже подала на злоумышленников в суд.
Схема древняя. Некие скамеры, которых пока не идентифицировали, представлялись рекрутерами из Riot Games и публиковали фейковые вакансии на популярных сайтах. Откликнувшимся задавали вполне обычные вопросы вроде «почему хотите работать именно у нас?» и высылали правдоподобные рабочие контракты. Затем выяснялось, что от заветного старта работы в компании мечты кандидата отделяет одна-единственная мелочь: деньги на рабочую технику. Их — от $2400 до $4300 — кандидат и должен был перевести «компании», пообещавшей полный рефанд. Ни рефанда, ни оффера, конечно, за деньгами не следовало.
@tomhunter
Схема древняя. Некие скамеры, которых пока не идентифицировали, представлялись рекрутерами из Riot Games и публиковали фейковые вакансии на популярных сайтах. Откликнувшимся задавали вполне обычные вопросы вроде «почему хотите работать именно у нас?» и высылали правдоподобные рабочие контракты. Затем выяснялось, что от заветного старта работы в компании мечты кандидата отделяет одна-единственная мелочь: деньги на рабочую технику. Их — от $2400 до $4300 — кандидат и должен был перевести «компании», пообещавшей полный рефанд. Ни рефанда, ни оффера, конечно, за деньгами не следовало.
@tomhunter
#news В Рунете получил распространение фальшивый генератор QR-кодов для россиян, не желающих вакцинироваться от коронавируса. Никакие коды, конечно, он не генерирует, а лишь заражает ПК вредоносом, ворующим пароли, криптовалюту и деньги и попутно майнящим биткоины во славу киберпреступников.
Все это, разумеется, было предсказуемо. В QR-код можно легко зашивать простейшие программы, скрипты запрограммированных действий (загрузка визитки, например), а также гиперссылки. В т.ч. те, которые предполагают автоматическую загрузку опасного содержимого из глобальной паутины.
@tomhunter
Все это, разумеется, было предсказуемо. В QR-код можно легко зашивать простейшие программы, скрипты запрограммированных действий (загрузка визитки, например), а также гиперссылки. В т.ч. те, которые предполагают автоматическую загрузку опасного содержимого из глобальной паутины.
@tomhunter
T.Hunter
#news Apache выпустили фикс к критической (10/10 CVSS) уязвимости нулевого дня в библиотеке Log4j. Уязвимость, известная как CVE-2021-44228 и Log4Shell/LogJam, позволяет выполнять произвольный код. Сообщается, что её активно эксплойтят хакеры. Среди потенциально…
#news Небольшой апдейт по уязвимости, из-за которой сейчас всё полыхает.
Самый лучший вариант — обновиться до версии 2.15.0, включающей патч. Если это по каким-либо причинам невозможно, у Cloudflare есть инструкция по защите. Они, кстати, говорят, что Log4j — настолько мощная катастрофа, что они решили выкатить хоть какую-нибудь защиту для своих клиентов даже на бесплатных тарифах.
Чтобы воспользоваться Log4j, достаточно просто отправить на сервер зловредную строку, которую Log4j версии 2.0 или младше рано или поздно считает. Как только это произойдёт, хацкер получит контроль над сервером.
Как метко заметили в Твиттере: «Today "Java runs on billions of devices" is not a statement of pride, but a statement of pure terror».
@tomhunter
Самый лучший вариант — обновиться до версии 2.15.0, включающей патч. Если это по каким-либо причинам невозможно, у Cloudflare есть инструкция по защите. Они, кстати, говорят, что Log4j — настолько мощная катастрофа, что они решили выкатить хоть какую-нибудь защиту для своих клиентов даже на бесплатных тарифах.
Чтобы воспользоваться Log4j, достаточно просто отправить на сервер зловредную строку, которую Log4j версии 2.0 или младше рано или поздно считает. Как только это произойдёт, хацкер получит контроль над сервером.
Как метко заметили в Твиттере: «Today "Java runs on billions of devices" is not a statement of pride, but a statement of pure terror».
@tomhunter
T.Hunter
#news Небольшой апдейт по уязвимости, из-за которой сейчас всё полыхает. Самый лучший вариант — обновиться до версии 2.15.0, включающей патч. Если это по каким-либо причинам невозможно, у Cloudflare есть инструкция по защите. Они, кстати, говорят, что Log4j…
Кстати, на фоне всего этого вспомнили, что беспилотный вертолёт Ingenuity, весной этого года посетивший Марс, использует Apache Log4j.
Человечество можно поздравить с впечатляющим достижением научно-технологического прогресса. Мы ещё не побывали на Марсе, но уже заслали туда свою первую уязвимость нулевого дня!
Человечество можно поздравить с впечатляющим достижением научно-технологического прогресса. Мы ещё не побывали на Марсе, но уже заслали туда свою первую уязвимость нулевого дня!
T.Hunter
#news MikroTik таки созналась во взломе своих роутеров, который произошел аж в 2018 году. Разумеется, компания долго распиналась в своем блоге на тему того, как сложно уговорить клиентов обновить роутер, а то и просто сменить на нем пароль. Впрочем, уже неважно...…
#news Маршрутизаторы MikroTik остаются уязвимыми как минимум для одной из четырех эксплуатируемых уязвимостей. Речь идет о примерно 2 миллионах устройств, развернутых в малых и домашних офисах (SOHO), 1,88 миллиона — или 94% их них — имеют интерфейс управления Winbox, доступный в Интернет.
В сентябре ботнет Meris, состоящий из маршрутизаторов MikroTik, осуществил масштабные распределенные атаки типа «отказ в обслуживании» против целей, в том числе российской поисковой системы Яндекс. Исследователи подсчитали, что Meris — «чума» на латышском языке — состояла из примерно 250 000 взломанных маршрутизаторов MikroTik.
Инструмент Meris RouterOS Checker позволяет администраторам взять на себя роль злоумышленника, чтобы проверить, уязвим ли маршрутизатор к четырем уязвимостям, попытаться войти в систему с использованием скомпрометированных учетных данных и проверить устройство на наличие известных индикаторов взлома.
@tomhunter
В сентябре ботнет Meris, состоящий из маршрутизаторов MikroTik, осуществил масштабные распределенные атаки типа «отказ в обслуживании» против целей, в том числе российской поисковой системы Яндекс. Исследователи подсчитали, что Meris — «чума» на латышском языке — состояла из примерно 250 000 взломанных маршрутизаторов MikroTik.
Инструмент Meris RouterOS Checker позволяет администраторам взять на себя роль злоумышленника, чтобы проверить, уязвим ли маршрутизатор к четырем уязвимостям, попытаться войти в систему с использованием скомпрометированных учетных данных и проверить устройство на наличие известных индикаторов взлома.
@tomhunter
#news А вот небольшой обзор произошедших атак с использованием Log4j.
За уязвимость с радостью взялись хакеры-разработчики криптомайнингового ботнета и бэкдора Kinsing: малварь чистит устройство от конкурентов и принимается за майнинг. Прочие установщики майнеров тоже попадаются.
Например, ботнеты Mirai и Muhstik, которые не остались в стороне и пользуются Log4j для расширения ботнетов, масштабных DDoS-атак и — вы не поверите — установки криптомайнящей малвари. Об этом рассказали исследователи, поймавшие хакеров в ханипоты.
Ещё через Log4j закидывают жертвам крякнутый Cobalt Strike. Неплохой набор инструментов для пентеста из-за кряка превращается во вполне себе реальный наблюдатель за сетью и бэкдор для догрузки любого кода.
Ещё, конечно, белошляпочные исследователи исследуют через Log4j: ищут уязвимые серверы для потенциальных багбаунти.
@tomhunter
За уязвимость с радостью взялись хакеры-разработчики криптомайнингового ботнета и бэкдора Kinsing: малварь чистит устройство от конкурентов и принимается за майнинг. Прочие установщики майнеров тоже попадаются.
Например, ботнеты Mirai и Muhstik, которые не остались в стороне и пользуются Log4j для расширения ботнетов, масштабных DDoS-атак и — вы не поверите — установки криптомайнящей малвари. Об этом рассказали исследователи, поймавшие хакеров в ханипоты.
Ещё через Log4j закидывают жертвам крякнутый Cobalt Strike. Неплохой набор инструментов для пентеста из-за кряка превращается во вполне себе реальный наблюдатель за сетью и бэкдор для догрузки любого кода.
Ещё, конечно, белошляпочные исследователи исследуют через Log4j: ищут уязвимые серверы для потенциальных багбаунти.
@tomhunter