#news Идёт массовая рассылка банковского трояна IceID через угнанные цепочки писем в Microsoft Exchange. Хакеры маскируют письма с малварьной нагрузкой под продолжение дискуссии, чтобы ввести жертв атаки в заблуждение.
Между тем прошёл уже почти год с тех пор как мелкософт выпустил патчи для Proxylogon/ProxyShell уязвимостей, используемых в атаке. И идёт она через общедоступные, непропатченные сервера. Казалось бы, при чём здесь информационная безопасность?
@tomhunter | атакующая безопасность
Между тем прошёл уже почти год с тех пор как мелкософт выпустил патчи для Proxylogon/ProxyShell уязвимостей, используемых в атаке. И идёт она через общедоступные, непропатченные сервера. Казалось бы, при чём здесь информационная безопасность?
@tomhunter | атакующая безопасность
🔥10🤔2
#news Хакеры вставляют в сайты WordPress вредоносный скрипт, который использует браузеры посетителей для выполнения DDOS-атак. Атаки DDoS происходят в фоновом режиме, и пользователь не узнает об этом, за исключением замедления работы браузера. При исследовании скрипта для поиска других зараженных сайтов было обнаружено, что тот же скрипт используется проукраинским сайтом https://stop-russian-desinformation.near.page, который используется для координации атак на российские сайты. При посещении этого сайта браузеры пользователей используются для проведения DDoS-атак на 67 российских сайтов.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥11❤3🤬3🤔1
Санкции-санкциями... делать нечего, будем развивать сообщество в отечественной социальной сети. В общем, присоединяйтесь к нам во ВКонтакте. Будет интересно, познавательно и стильно-модно.
▪️ https://vk.com/tomhunter
▪️ https://vk.com/tomhunter
💩38🔥10🤮8
#news К новостям о рансомварь-пионерах так называемого тройного вымогательства. Спецы сообщают, что авторы SunCrypt, ребята совсем без чести и совести, отличившиеся взломом школьных систем, всё ещё в деле. Под лупой новый вариант их вредоносного кода.
SunCrypt версии 2022-го года может похвастаться разве что способностью вырубать процессы и сервисы да подтирать за собой логи. Он всё также шифрует и локальные, и сетевые папки, не трогая винду и прочее сопутствующее для работы системы.
Стоящие за Suncrypt люди предпочитают не светиться, и ещё только предстоит увидеть, насколько серьёзную угрозу они способны представлять в будущем.
@tomhunter
SunCrypt версии 2022-го года может похвастаться разве что способностью вырубать процессы и сервисы да подтирать за собой логи. Он всё также шифрует и локальные, и сетевые папки, не трогая винду и прочее сопутствующее для работы системы.
Стоящие за Suncrypt люди предпочитают не светиться, и ещё только предстоит увидеть, насколько серьёзную угрозу они способны представлять в будущем.
@tomhunter
🔥10
#news Symantec рапортует об относительно новом загрузчике малвари Verblecon. Его используют для установки криптомайнеров.
Verblecon написан на джаве и наиболее примечателен полиморфизмом своего кода, что позволяет обходить многие антивирусные проверки. Кроме того, его пока использовали для малоприбыльных атак, так что пристального внимания удавалось избегать. Такой вот неуловимый джава-ковбой.
Спецы предполагают, что автор загрузчика не осознаёт вредоносный потенциал своего творения. Так что если Verblecon попадёт в более квалифицированные руки, проблем он сможет доставить гораздо больше.
@tomhunter
Verblecon написан на джаве и наиболее примечателен полиморфизмом своего кода, что позволяет обходить многие антивирусные проверки. Кроме того, его пока использовали для малоприбыльных атак, так что пристального внимания удавалось избегать. Такой вот неуловимый джава-ковбой.
Спецы предполагают, что автор загрузчика не осознаёт вредоносный потенциал своего творения. Так что если Verblecon попадёт в более квалифицированные руки, проблем он сможет доставить гораздо больше.
@tomhunter
🔥10
#news Некий хакер украл почти $620 миллионов в криптовалюте с моста Ronin, принадлежащего игре Axie Infinity. Кажется, теперь это рекордная кража крипты, побившая прошлый рекорд с $611 млн в августе 2021.
Украли 173,600 ETH и 2,5 млн USDC-токенов двумя транзакциями — первая, вторая.
Хакер смог установить контроль над 5 из 9 валидаторов, подтверждавших транзакции в сети, что и позволило ему вывести крипту. Большая часть пока так и остаётся на его балансе, хоть и есть небольшие подвижки с выводом денег в обменники и на другие адреса.
Атака случилась ещё 23 февраля, но узнали о ней только сейчас: пользователь безуспешно пытался вывести 5000 ETH. Неловко вышло.
@tomhunter
Украли 173,600 ETH и 2,5 млн USDC-токенов двумя транзакциями — первая, вторая.
Хакер смог установить контроль над 5 из 9 валидаторов, подтверждавших транзакции в сети, что и позволило ему вывести крипту. Большая часть пока так и остаётся на его балансе, хоть и есть небольшие подвижки с выводом денег в обменники и на другие адреса.
Атака случилась ещё 23 февраля, но узнали о ней только сейчас: пользователь безуспешно пытался вывести 5000 ETH. Неловко вышло.
@tomhunter
🔥13❤2
#OSINT Вчера начал обновлять наше новое сообщество во ВКонтакте. Запилил статью о простых методах и приемах идентификации криптовалютных кошельков. Напоминаю, что все источники, предназначенные для исследования криптовалют я собрал по этой ссылке.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
VK
Поговорим об идентификации криптовалютных кошельков
Как известно, крупнейшими криптовалютами являются Bitcoin и Ethereum. На них и акцентируем внимание. Сразу скажу, что мы не будем погружа..
💩8🔥3🤮3
#news Не успела отгреметь панихида по еноту-воришке, как пошли первые новости по его аналогу Mars Stealer. Хакеры используют рекламу в гугле для продвижения подставных сайтов Open Office, на которых сидит шоколадная малварь. Почувствовали вкус к жизни, так сказать. И крипте.
Из забавного, стоящий за атакой умудрился заразить свою машину во время дебага, это позволило спецам отследить неудачливого воришку, найти его аккаунт на гитлабе и многое другое. Что-то мне подсказывает, у такого криворукого умельца вряд ли всё будет в шоколаде. Но за ним валом последуют и другие. В общем, берегите свои устройства, в этот раз шоколад к успеху идёт.
@tomhunter
Из забавного, стоящий за атакой умудрился заразить свою машину во время дебага, это позволило спецам отследить неудачливого воришку, найти его аккаунт на гитлабе и многое другое. Что-то мне подсказывает, у такого криворукого умельца вряд ли всё будет в шоколаде. Но за ним валом последуют и другие. В общем, берегите свои устройства, в этот раз шоколад к успеху идёт.
@tomhunter
❤7🔥4
#news Европол сообщает об аресте более ста человек в Литве и Латвии в связи с крупной мошеннической схемой формата липовый инвестиционный колл-центр.
Мультиязычная группировка, насчитывавшая двести подставных брокеров, звонила жертвам с предложениями инвестировать в крипту, валюту и товарные активы. Оборот впечатляющий — как минимум три миллиона евро в месяц. Сколько начинающих польских бизнесменов пало жертвой мошенников, не сообщается.
По ссылке выше видео с экшеном и штурмом офисов. Эх, где же Европол, когда звонят из поддержки Сбербанка... Увы, офисы этой децентрализированной группировки охраняются гораздо более надёжно.
@tomhunter
Мультиязычная группировка, насчитывавшая двести подставных брокеров, звонила жертвам с предложениями инвестировать в крипту, валюту и товарные активы. Оборот впечатляющий — как минимум три миллиона евро в месяц. Сколько начинающих польских бизнесменов пало жертвой мошенников, не сообщается.
По ссылке выше видео с экшеном и штурмом офисов. Эх, где же Европол, когда звонят из поддержки Сбербанка... Увы, офисы этой децентрализированной группировки охраняются гораздо более надёжно.
@tomhunter
🔥9
#news В интернет-камерах от фирмы Wyze была уязвимость, позволявшая получить доступ к видео и фото с SD-карт, а также логам с ключами и идентификаторами. Её наконец исправили! Вот только спецы из Bitdefender сообщили им об этом баге ещё в марте 2019-го.
Счастливым пользователям предлагают вспомнить о стоящих у них устройствах и обновиться. Более того, первая версия камер от Wyze, поддерживать которые прекратили ещё в 2020-м, апдейта вообще не получит, так что на них уязвимость никуда не денется. Bitfender прямо советует выкинуть старые модели в печь.
Три года на фикс уязвимости с неограниченным удалённым доступом к камерам юзеров! Ну, лучше поздно, чем никогда. Наверное.
@tomhunter
Счастливым пользователям предлагают вспомнить о стоящих у них устройствах и обновиться. Более того, первая версия камер от Wyze, поддерживать которые прекратили ещё в 2020-м, апдейта вообще не получит, так что на них уязвимость никуда не денется. Bitfender прямо советует выкинуть старые модели в печь.
Три года на фикс уязвимости с неограниченным удалённым доступом к камерам юзеров! Ну, лучше поздно, чем никогда. Наверное.
@tomhunter
🔥8
#OSINT Ловите еще одну мою статью из нашего сообщества во ВКонтакте. Разобрал тему идентификации пользователей популярного мессенджера Skype.
♾ https://vk.com/@tomhunter-deanonimizaciya-profilya-skype
@tomhunter | атакующая безопасность
♾ https://vk.com/@tomhunter-deanonimizaciya-profilya-skype
@tomhunter | атакующая безопасность
💩10❤3🤮1
#news Спецы из SysDig пророчат явление нового Log4Shell, берегите свои джава-поделки!
Уязвимость с рабочим названием Spring4Shell может скрываться в каком угодно приложении, использующем фреймворк Spring Cloud.
Как и нашумевший Log4Shell, абьюзится она элементарнейшим образом: одна вредоносная строчка, и готово. Так что новый всадник джава-апокалипсиса также рискует пронестись неудержимым багожеребцом по всему многострадальному жаба-миру. Остаётся лишь поскорее накатывать патчи и шерстить свои устройства на предмет пропущенного эксплойта уязвимости.
@tomhunter
Уязвимость с рабочим названием Spring4Shell может скрываться в каком угодно приложении, использующем фреймворк Spring Cloud.
Как и нашумевший Log4Shell, абьюзится она элементарнейшим образом: одна вредоносная строчка, и готово. Так что новый всадник джава-апокалипсиса также рискует пронестись неудержимым багожеребцом по всему многострадальному жаба-миру. Остаётся лишь поскорее накатывать патчи и шерстить свои устройства на предмет пропущенного эксплойта уязвимости.
@tomhunter
🔥8
#news При анализе рансомвари от группировки Hive спецы обнаружили новый, весьма занятный метод запутывания кода.
Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, неблагозвучные айпифускация или айпипутывание, если по-нашему. По ссылке выше техразбор используемых манипуляций.
Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!
@tomhunter
Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, неблагозвучные айпифускация или айпипутывание, если по-нашему. По ссылке выше техразбор используемых манипуляций.
Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!
@tomhunter
❤9🤯5
#news И вновь к новостям — кто бы мог подумать — о восходящих звёздах хакинг-сцены из Lapsus$. После задержания в Англии семерых подростков из группировки остальные её молодые и шальные члены продолжают наводить шум. О крупной утечке сообщает консалтинговая фирма от мира айти Globant.
А ущерб-то крайне серьёзен. Семьдесят гигов исходников, включая данные клиентов (среди которых около 150 записей из БД, репозитории и всевозможные приватные ключи), плюс полный доступ к нескольким ресурсам компании.
Интригующие ребята эти Lapsus$. Спецы считают, что их основная мотивация — зарабатывание себе имени. Смысл послания, может, до кого и дошёл, конечно, но с их нулевым опсеком ребят раньше успеют пересажать.
@tomhunter
А ущерб-то крайне серьёзен. Семьдесят гигов исходников, включая данные клиентов (среди которых около 150 записей из БД, репозитории и всевозможные приватные ключи), плюс полный доступ к нескольким ресурсам компании.
Интригующие ребята эти Lapsus$. Спецы считают, что их основная мотивация — зарабатывание себе имени. Смысл послания, может, до кого и дошёл, конечно, но с их нулевым опсеком ребят раньше успеют пересажать.
@tomhunter
🔥11
Новая традиционная статья о самых интересных уязвимостях марта. Топ десять горячих CVE уходящего месяца от россыпи багов в мелкософтовской лазури до взлома ключей к Хондам. Приятного чтения!
🔥8
#news Гугл выпустил заплатку для своих браузеров, исправляющую критическую уязвимость нулевого дня джава-движка V8. Прежде этот баг на ошибку приведения типов активно абьюзился. С учётом того, что апдейт содержал исправление конкретно этой одной уязвимости, очевидно, починить её спешили как могли.
Какие-либо технические детали мегакорпорация зла разглашать отказываться, что изрядно выводит из себя нуждающихся в них спецов. Между тем за прошлый год в движке поправили аж шестнадцать ошибок нулевого дня. В гугле, конечно, найдётся всё, кроме деталей исправляемых ими факапов.
@tomhunter
Какие-либо технические детали мегакорпорация зла разглашать отказываться, что изрядно выводит из себя нуждающихся в них спецов. Между тем за прошлый год в движке поправили аж шестнадцать ошибок нулевого дня. В гугле, конечно, найдётся всё, кроме деталей исправляемых ими факапов.
@tomhunter
🔥8💩1
#OSINT Новая публикация в нашем сообществе во ВКонтакте. Поговорим о полезных, эффективных, надежных и... бесплатных (условно бесплатные допускаются) инструментах для OSINT.
♾ https://vk.com/@tomhunter-9-nadezhnyh-i-besplatnyh-instrumentov-osint
@tomhunter | атакующая безопасность
♾ https://vk.com/@tomhunter-9-nadezhnyh-i-besplatnyh-instrumentov-osint
@tomhunter | атакующая безопасность
🤮7🔥3🤯1
#news Новый стилер BlackGuard, предназначенный для кражи информации, продается на многочисленных даркнет-форумах по пожизненной цене 700$ или по подписке 200$ в месяц. BlackGuard может получить конфиденциальную информацию из широкого спектра приложений, упаковать все в ZIP-архив и отправить администратору. Злоумышленники, купившие подписку, могут получить доступ к веб-панели BlackGuard, чтобы получить украденные журналы данных, используя их сами или продав другим.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥3
#news Опубликован ежегодный отчет ФБР о фишинге, мошенничестве и утечке личных данных. Констатирую рост киберпреступности практически по всем направлениям. В прошлом году в США было подано 847 376 заявлений по сравнению с 791 790 в 2020 году (+7%). Потери жертв также выросли с 4,2 млрд долларов до 6,9 млрд долларов.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
❤4🤔1
T.Hunter
#news Опубликован ежегодный отчет ФБР о фишинге, мошенничестве и утечке личных данных. Констатирую рост киберпреступности практически по всем направлениям. В прошлом году в США было подано 847 376 заявлений по сравнению с 791 790 в 2020 году (+7%). Потери…
#news А что в России? Ну, кроме более качественной инфографики... В целом, на деяния, совершенные с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, в прошедшем году пришлось каждое четвертое из зарегистрированных преступлений (517,7 тыс.). Наибольшее распространение получили мошенничества в сфере информационно-телекоммуникационных технологий или компьютерной информации, на которые пришлось около 73% всех хищений (249,2 тыс. преступлений), совершенных путем обмана или злоупотребления доверием.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
❤3
#news Фишинговые атаки используют службу статических веб-приложений Microsoft Azure для кражи учетных данных Microsoft, Office 365, Outlook и OneDrive. Некоторые целевые страницы и формы входа, используемые в этих фишинговых кампаниях, выглядят почти так же, как официальные страницы Microsoft. Использование платформы Статических веб-приложений Azure для целевых пользователей Майкрософт — отличная тактика. Каждая целевая страница автоматически получает собственный замок защищенной страницы в адресной строке благодаря сертификату TLS с подстановочными знаками *.1.azurestaticapps.net.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
❤6