14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news По итогам пяти лет переговоров ООН приняла многострадальную Конвенцию по киберпреступности. Первую в своём роде, историческую и юридически обязывающую и так далее и тому подобное — без громких слов в Управлении ООН как обычно не обошлись.
Предполагается, что согласованный текст поможет быстрее реагировать на инциденты. Конвенция призвана обеспечить взаимодействие между разными юрисдикциями. Она призывает к тому, требует сего и далее по списку канцелярских оборотов. В теории это должно порезать лаг по расследованиям, экстрадиции, изъятию средств и обмену доказательствами по цифровым преступлениям. На деле же всё сводится к отношениям между государствами-членами, а как выглядит борьба с киберпреступностью при их обострении мы знаем. И проблема вовсе не в отсутствии бюрократических бумажек от ООН. Так что станет ли Конвенция действенным инструментом — вопрос ещё тот. С начала её разработки, мягко говоря, многое изменилось. Полный текст здесь (PDF).
@tomhunter
#news Cl0p закрывает 2024-й на новом масштабном взломе: очередная скомпрометированная платформа для передачи файлов, очередной длинный список пострадавших компаний. Злоумышленники угрожают опубликовать названия 66 организаций, если они не выйдут на связь. С учётом того, что выходить людям хочется только из офиса и до января, получилось неловко.
В этот раз Cl0p взломала софт от Cleo. В октябре разработчик исправил нулевой день, который эксплойтили для установки бэкдоров. Увы, исправил неудачно — патч проблему не решил. Пару недель назад уязвимость получила новую CVE и исправление, но запоздало. По компаниям прошлись инфостилером. Пока число пострадавших неизвестно, но Cleo утверждает, у неё больше 4,000 клиентов. Так что если Cl0p вышла на повторение истории с MOVEit хотя бы на минималках, можно уже сейчас говорить, что праздничный сезон для кучи компаний не задался. Только жертвы прежних атак могут выдыхать — от них группировка пообещала отстать. Остальным соболезнуем.
@tomhunter
#news Whatsapp добился крупной юридической победы на NSO Group: суд встал на сторону мессенджера в разбирательстве по делу о Pegasus. И признал компанию ответственной за взлом 1,400 устройств. Это первое успешное дело такого плана против NSO.
Попутно судья прошёлся по NSO Group за препятствование ходу дела: компания не предоставила полные исходники, что стало одним из ключевых факторов в пользу принятого решения. Компанию также обвинили в нарушении ToS Whatsapp. В общем, по итогам дела у нас не только инсайды во внутреннюю кухню разработчика спайвари, но и серьёзный прецедент. Разбирательства по ущербу, нанесённому Whatsapp, начнутся в марте. А там, глядишь, и действовать NSO и компания смогут уже с меньшей вседозволенностью под разглагольствования про «более безопасный мир» и прочие не очень убедительные заходы от своих маркетологов.
@tomhunter
#news Пятничная поучительная история про важность опсека с малых лет. Злоумышленники продают взломанный сканер уязвимостей Acunetix в качестве MaaS под брендом Araneida. И за ним тянется след прямиком до LinkedIn оператора.
А разгадка как обычно проста: повторное использование паролей. Товарищ регистрирует аккаунт на BreachForums, с этой почтой в слитых базах идёт пароль уровня мадам бальзаковского возраста из провинциальной бухгалтерии «ceza2003». И он же использован на десятке других почт, включая gmail с реальным именем. На котором висят не только страница на LinkedIn, но и аккаунт на RaidForums со всё тем же ником оператора. 2003, как можно догадаться, год рождения, ceza по-турецки — криминальный. В 2021-м это был простой турецкий юноша, любивший кодинг и пентест. А теперь матёрый киберпреступник. С работой в турецкой IT-фирме, которая трудоустройство юноши отрицает. Так что, возможно, вместе с ним вскрылся и фасад для MaaS-операции. А всё потому что опсек тоже надо любить. Всем сердцем.
@tomhunter
#news Пока украинские подростки горделиво обманывают московских бабушек на десятки миллионов, за океаном в качестве денежных мешков для наглых детишек выступают криптобро. И звонит вместо суровой ФСБ вежливая техподдержка Google и кошельков. Но результаты те же: опустошённые счета.
Один теряет полмиллиона долларов, сдав доступ к аккаунту Google, где хранил фото с сид-фразой. Другого убеждают ввести свою на фишинговом сайте, и он попадает на 45 битков. И всё это проворачивают подростки, некоторым из которых якобы всего 13 лет, а познакомились они в Майнкрафте. Которые дают интервью подкастерам, хвастаются ждущей подтверждения кражей на $1,2 миллиона. И теряют их, потому как подкастер сообщает об этом платформе. В общем, что старые деньги номенклатурных бабушек, что новые цифровые от криптомагнатов, суть та же. Малолетние дарования со сбоящим моральным компасом успешно окучивают их с помощью элементарнейшей социнженерии. Так и живём.
@tomhunter
#news Одна широко известная экстремистская компания Meta получила очередной крупный штраф от регулятора. В Ирландии ей выписали $263 миллиона неустойки за утечку пользовательских данных c Facebook в 2018-м. Причём утекли тогда скромные 29 миллионов аккаунтов, даже без паролей. Сравните масштабы за кордоном, так сказать.
Инцидент нарушил четыре статьи GDPR, включая недостаточное информирование об утечке, но основной массив штрафа — это сам слив и уязвимость, которая к нему привела. В Meta тогда оперативно её закрыли, но от штрафа это не уберегло. Параллельно ещё $50 миллионов по мировому с неё списали австралийцы за незаконный сбор данных в скандале с Cambridge Analytica. В общем, европейские регуляторы и прочие бывшие колонии нашли стабильный источник дохода для бюджета за счёт американских IT-гигантов. Разок-другой оштрафовали компанию с капитализацией больше, чем пол африканского континента, и готово, вы ослепительны. А уж для публичного имиджа-то как хорошо.
@tomhunter
#news В даркнете и Телеграме доступны данные 59% российских компаний. Таковы неутешительные реалии на конец 2024-го. В этом году число корпоративных утечек данных достигло 16 тысяч, что на 60 процентов больше, чем годом ранее.
В топе по-прежнему фишинг — на него пришлись 44% успешных атак, и в большинстве случаев письма маскируют под счета и платёжки, порою со взломанных аккаунтов подрядчиков. Самыми атакуемыми остаются компании в сфере финансов, IT и недвижимости. При этом по нашим данным весной 2024-го число атак по сравнению с тем, что было годом ранее, выросло в 80 раз. Пока бизнес неспешно познаёт чудесный мир инфобеза и ограничений, которые накладывают наличие опытных и мотивированных злоумышленников, цифры растут в геометрической прогрессии. Так сказать, побочные последствия геополитических расколов на киберпреступной сцене СНГ, вольно и невольно подавшейся в хактивисты. Хоть исследовательские работы по мотивам пиши.
@tomhunter
#news Исследователи записали военных, пользующихся Tinder, в угрозу нацбезопасности. С помощью фейковых профилей с локацией у военных баз им удалось отследить сотни должностных лиц, идентифицировав их имена, звания, адреса и маршруты.
Солдаты на учениях, офицеры на ядерных объектах, поездки дипломатов из Англии в Германию, Польшу и Украину — всё это можно отслеживать просто за счёт логина потенциальных жертв слежки в приложение. Многие и вовсе упрощают задачу для цифровых шпионов, указывая в профилях должности и выкладывая фото со службы. А резкий скачок числа пользователей на базах можно связать с учениями и прочими событиями. Так что здесь даже не нужны медовые ловушки — достаточно триангуляции, знания искомых локаций и красноглазия по координатам. Иными словами, Tinder и со шпионской романтикой покончит: зачем теперь роковые ласточки и агентурная работа, если все секреты за одиноких бедолаг в форме просто сольёт их смартфон.
@tomhunter
#news Под нож ФБР отправился ещё один долгожитель от мира киберпреступных меркетплейсов. На этот раз досталось Rydox. Трое админов, граждане Косово, арестованы; двое ждут экстрадиции в США, одного в качестве дополнительной меры наказания будут судить в Албании. Хотя здесь, конечно, возможны варианты.
Rydox был активен с февраля 2016-го, насчитывал 18 тысяч юзеров и по документам принёс админам скромные $230 тысяч с продажи украденных данных доступа и разных киберпреступных приблуд. Впрочем, судя по всему, это просто сумма изъятого в крипте. Как водится у албанцев, преступность — дело семейное. Так что экстрадиции дожидаются товарищи Ардит и Джетмир Кутлеши. По совокупности обвинений оба рискуют повысить свою репутацию в преступных кругах на срок до 37 лет, но на деле как обычно получат что-то в пределах десяточки.
@tomhunter
#news Под конец года в опенсорсе наметился тревожный тренд: мейнтейнеры тонут под горой низкокачественных репортов по BugBounty-программам, сгенерированных языковыми моделями.
Пока LLM-ки делают первые детские шаги в этом направлении в контролируемой среде, общедоступные модели просто галлюцинируют, выдумывая уязвимости, которые затем закидывают на ревью. Что в свою очередь отнимает время у мейнтейнеров, вынужденных продираться через стены псевдосодержательного текста и прогонять фальшивые проверки концепции, сочинённые моделью. На фоне растущей проблемы разработчики пишут первые гайдлайны, которые сводятся к «Закрывайте ИИ-репорты, игнорируйте ИИ-посты, не отвечайте ИИ-постерам». И вполне справедливо: как выглядят репорты восходящей звезды BB-сцены, вооружённой только слабоумием и ChatGPT, можно подсмотреть здесь. Спойлер: выглядят они удручающе.
@tomhunter
#news Вернувшийся год назад на киберпреступную сцену ZLoader продолжает эволюционировать: в свежей версии он обзавёлся DNS-туннелированием для связи с С2-сервером, а также новыми фичами для обхода обнаружения и анализа.
Между тем в последние месяцы его активно распространяет Black Basta, чьи методы тоже не стоят на месте. Злоумышленники используют бомбардировку почты потенциальных жертв с помощью подписок на кучу рассылок. Затем они выходят на связь, представляясь сотрудниками техподдержки целевой кампании, и предлагают установить софт для удалённого доступа, с помощью которого доставляют ZLoader. Так что в целом по итогам года идёт сдвиг от массовых спам-рассылок с вредоносом в сторону таргетированных атак со звонками и социнженерией. И сотрудникам техподдержки на созвонах вдобавок к своим невесёлым будням теперь ещё доказывать, что они не злые русские хакеры. Подробнее о старой угрозе на новый лад в отчётах здесь и здесь.
@tomhunter
#news Октябрьский взлом DeFi-платформы Radiant Capital приписали северокорейским хакерам. Так что это ещё $50 миллионов на закрытие бюджета стратегических братушек в стремительно приближающемся 2025-м.
По итогам взлома выяснили, что устройства трёх разработчиков были заражены вредоносом, с помощью которого подписали мошеннические транзакции. Radiant перекладывает вину на «безупречную, технически сложную атаку», которую не смогли остановить даже их первоклассные методы защиты с симуляцией транзакций и прочими проверками. Впрочем, сам вектор атаки назвать сложным язык не повернётся: банальная социнженерия по разрабу от лица бывшего подрядчика, который затем ещё и разослал вредоносный архив по коллегам, тоже словившим бэкдор, через который шла атака. Так что самым слабым звеном привычно оказался кожаный мешок на ножках, а не недостаточная защита транзакций.
@tomhunter
#news В сетевых дебрях ещё одна оперативно замеченная атака на цепочку поставок: на этот раз скомпрометировали популярную ИИ-модель Ultralytics YOLO11. В код двух версий затесался майнер XMRig.
Расследование инцидента пока идёт, при этом неясно, не перепал ли юзерам попутно и инфостилер. Что занятно, на этом атака не закончилась: пока разработчики разбирались в произошедшем, угнали ещё пару версий. Судя по всему, разрабы забыли отозвать токены после первой атаки, да и та была банальным перехватом плохо защищённого аккаунта. В комментариях на Гитхабе тоже классика опенсорса: помогите разрабу понять, как злоумышленник скомпрометировал код, прежде чем заражённые версии уйдут на PyPI в третий раз. В сущности последние несколько дней YOLO — это присказка скачивающих свежие релизы.
@tomhunter
#news Пятничная схема криптоджекинга от человека из Небраски. Товарищ решил подзаработать на угоне вычислительных мощностей под майнинг, но вместо скучных методов со взломом и опсеком просто выкупал их у Amazon и Microsoft под подставными именами. И использовал не по назначению.
Известный как CP3O майнер выбивал новые ресурсы и отсрочки платежей, попутно уклоняясь от ответа на вопросы о подозрительном использовании данных и неоплаченных счетах. Полученную крипту он отмывал через биржи, NFT-маркетплейсы и платёжные сервисы, тратя на роскошную жизнь. В результате намайнил он 970 тысяч долларов. А неоплаченных счетов набежало на 3,5 миллиона. Просчитался, но где? Где-то в хитрую схему закралась неувязочка. Остап Джекер был арестован и признал вину, свои несколько лет заключения он по итогам, скорее всего, получит.
@tomhunter
#news iVerify, разработавшая софт для обнаружения спайвари, делится результатами работы. Из 2,500 проверенных ими устройств 7 оказались скомпрометированы Pegasus. Число может показаться невысоким, особенно с учётом целевой аудитории софта, но сам факт того, что невыборочный скан нашёл заражения, уже тревожный.
Самое интересное в отчёте другое. Среди жертв оказались не только журналисты и оппозиция, но и бизнесмены, управленцы, госслужащие. Иными словами, грязная репутация «спайвари по найму, которую абьюзят для слежки за активистами» — это ещё не предел для NSO Group. И по итогам анализа вполне может оказаться, что профиль работы Pegasus в сущности ничем не отличается от средней госхакерской группировки или MaaS-операции. Как водится, дно — это новый фронтир. Впрочем, поднимите руку, кого удивит, если «бывшие» разведчики на коротком поводке у Моссада работают в формате APT.
@tomhunter
#news Очередную наживу для самых жадных и не очень этичных криптобро распространяют на прихворавшем на одной шестой YouTube. Дано: наивный пользователь оставляет в комментариях свою сид-фразу. На кошельке ~8 тысяч долларов в стейблах. История транзакций убедительная. Но как водится, всё не так просто.
Жертва сталкивается с необходимостью оплатить комиссию за вывод в TRX. Кошелёк нужно вскрыть. Сид-фразой. Я её дам. Комиссию нужно оплатить. Тронами. Троны я не дам. Вот и вся схема. Как только купившийся на неё юзер закидывает TRX, они улетают на другой кошелёк мошенников. А на самом кошельке-приманке в любом случае включён multisig, так что заветные стейблы с ней вывести не получится при всём желании. И с учётом того, что схема направлена на таких же недобросовестных любителей чужой крипты, жалеть попавших на удочку никто не станет. Если ни с этикой, ни с мозгами не сложилось, здесь уж сами виноваты. Се ля ви.
@tomhunter
#news Недавно всплывали подробности операции с Anom от ФБР, а процесс над дистрибьюторами всё идёт. И обзавёлся интересным поворотом: защита требует раскрыть имя информатора. Он же создатель Anom, передавший контроль над платформой безопасникам в погонах, которые организовали на её основе увлекательный стартап.
При этом гособвинение обязано раскрыть его личность, если дело пойдёт в суд. Так что с подачи адвокатов Александра Дмитриенко и прочей обслуги федералов поневоле ключевой персонаж в любимой операции ФБР в его новейшей истории рискует быть раскрытым. Перед картелями и другими замечательными людьми, желающими выразить ему благодарность за впечатляющих масштабов ханипот. Так что вопрос приватности для товарища Afgoo в сущности становится вопросом жизни и смерти. Понятно, что его упрячут подальше по программе защиты свидетелей. Но осадочек явно останется.
@tomhunter
#news США предъявили обвинения разработчику LockBit. Гражданин России и Израиля Ростислав Панев участвовал в разработке и администрировал инфраструктуру группировки. Минюст США добивается его экстрадиции после ареста в августе.
В отличие от других кейсов формата «А того ли они взяли?» с Паневым всё просто: у него на устройствах обнаружили учётку от репозитория с исходниками нескольких версий билдера LockBit. В нём же был исходный код StealBit, утёкшие исходники Conti, на основе которых собрали LockBit Green… В общем, полный набор. Помимо этого, Панев был на связи с товарищем Хорошевым и в переписке обсуждал разработку вредоноса и панели управления. И на допросах израильской полиции он якобы вину уже признал. Так что год для LockBit начался не очень, продолжился ещё хуже и заканчивается тоже на минорной ноте. Финальный цикл жизни рансомварь-операции — он такой. Одним словом депрессивный.
@tomhunter
#news 2024-й завершают новые рекорды от мира криптокраж: число зафиксированных за год атак составляет 303. Суммарно украдены $2,2 миллиарда, что всё же блекнет в сравнении с урожайным для северокорейского бюджета и не только 2022-м, закрытым на впечатляющих $3,7 миллиарда.
Компрометация приватных ключей по-прежнему правит бал: почти половина средств стянута за счёт низкой культуры базового инфобеза у держателей солидных криптокубышек. Год также отметился возвращением атак по централизованным платформам: на взломы бирж WazirX и DMM Bitcoin пришлись полмиллиарда украденного. Последняя по итогам закрылась. При этом активность криптостахановцев из КНДР таинственным образом резко снизилась в середине года, что породило спекуляции с геополитическим душком. Но стратегические братушки свой персональный рекорд всё же установили: ими экспроприированы $1,3 миллиарда, что в два раза выше результата в 2023-м. Партия гордится тобой, IT-солдат! Ты здание философия идеи чучхе!
@tomhunter
#news В США планируют запретить роутеры от TP-Link, если по итогам расследования подтвердится, что они представляют угрозу нацбезопасности. Это может произойти уже в начале следующего года.
При этом TP-Link занимает 65% рынка в Штатах в сегменте домашних устройств и малого бизнеса, и у 300 провайдеров это дефолтный роутер. Расследование идёт по следам новостей о китайском ботнете, почти целиком собранным из устройств от T-Link. Плюс должны проверить, не продают ли их ниже себестоимости с целью захватить рыночек. В угрозу нацбезопасности уже записали пять других схожих компаний, включая Huawei и ZTE. Так что у TP-Link есть все шансы пополнить список, особенно на фоне текущего крупного скандала с опсосами. В конце концов, кто-то ведь должен за это ответить! Остатки China Telecom с рынка под шумок выкинули, остальные на подходе.
@tomhunter
#news В 2022-м, если помните, LastPass дважды взломали и стянули хранилища с «надёжно зашифрованными паролями». После чего их надёжно расшифровывали и неоднократно стягивали крипту. И что вы думаете? Гремит очередная кража. С сотни кошельков на $12,3 миллиона в эфире. В комментах жертвы удивлённо хлопают глазами.
Проходит два года, криптобро по-прежнему хранят сотни миллионов долларов на горячих кошельках, сид-фразы к которым давно скомпрометированы. У тебя есть миллионы вечнозелёных в крипте (почти 300 которых уже украдены), но нет мозгов, чтобы за годы мигрировать их с уязвимых адресов. Удивительные и невероятные коллизии от мира новых цифровых денег, в общем. Если я усну и проснусь через десять лет и меня спросят, что сейчас происходит в криптомире, я отвечу: закупают щиткоины и теряют миллионы из-за взлома LastPass в 2022-м. Необучаемые же.
@tomhunter
#news Частная инвестиционная компания в США приобрела израильского разработчика спайвари Paragon. Последние работают, не привлекая к себе внимания, но при этом являются прямым конкурентом NSO Group в дружеском соперничестве с товарищами по подразделению 8200.
Ключевой продукт Paragon, спайварь Graphite, отличается впечатляющей функциональностью и пользуется большой любовью у американских органов. В немалой степени в силу того, что эти хитрые торговцы изначально целились на американский рынок, так что по гражданам США не работали и во взломе их чиновников в отличие от NSO Group замечены не были. Стратегия окупилась: сумма сделки может достичь почти миллиарда долларов. Тем временем Штаты продолжают многолетнюю традицию инвестиций в перспективное шпионское ПО, как было с самой NSO и итальянской Hacking Team в далёком 2014-м. Деловая хватка, что тут скажешь.
@tomhunter
#news В Сербии намечается очередной скандал со спайварью. Согласно докладу Amnesty International в стране следили за журналистами, активистами и экологами. Под это дело у сербских братушек была своя спайварь NoviSpy, её накатывали во время задержаний и допросов. Стягивание звонков, контактов и переписки, запись аудио и скриншоты — всё как полагается.
Огоньку истории добавляет то, что начальный доступ к телефонам получали с помощью софта от Cellebrite — его следы нашли на устройствах помимо самого шпионского ПО. Cellebrite уже успела выразить глубочайшую озабоченность, сослалась на ToS с номинальным упоминанием прав человека и обещает «отозвать лицензию» на свой софт у сербских органов, если информация подтвердится (как отозвали, например, у китайцев). Никогда такого не было, и вот опять.
@tomhunter
#news Схема северокорейцев по трудоустройству в западные компании принесла в бюджет КНДР не менее $88 миллионов за последние шесть лет. К такому выводу пришёл Госдеп, делящийся подробностями хитрой киберпреступной аферы.
Северокорейские засланцы работали из двух подставных фирм. В них сидели больше 130 человек, внутри компании их именовали «IT-солдатами». Задача северокорейского IT-солдата — зарабатывать $10 тысяч в месяц на благо партии и стягивать проприетарный код для шантажа. ФБР же предупреждает, что это лишь верхушка айсберга: КНДР обучила тысячи айтишников под эту схему, и они грозят американским компаниям каждый день, а случаи кражи и слива данных учащаются. Превращение КНДР в лихую киберпанковскую Тортугу — пожалуй, самое смешное событие в индустрии за последние годы.
@tomhunter
#news Исследователи обнаружили незадокументированную спайварь, на этот раз китайскую. В отличие от стран эльфов, где софт с сомнительной репутацией выводят в частный сектор для правдоподобного отрицания и прочей цифровой экспертизы, в Китае с этим всё просто: С2 висят на доменах полиции. А админ-панель зовётся «Система правового поддержания стабильности». Чего им стесняться-то.
Спайварь используют минимум с 2017-го года, в активной разработке, под Android и iOS. Стягивает записи звонков, контакты, сообщения с мессенджеров, геоданные и файлы, пишет экран и аудио. С установкой тоже не заморачиваются: спайварь накатывают при изъятии устройства при обыске. Иными словами, рекомендации по деловым поездкам в Китай с одноразовыми телефонами и пустыми ноутами — это не чрезмерная осторожность, а насущная необходимость. Подробнее о находке в отчёте.
@tomhunter
#news Любопытные детали по работе Fog Data Science — брокера из США, специализирующегося на геолокационных данных. О том, что их софт — инструмент для массовой слежки, известно давно. Теперь к журналистам попала анкета для полиции с запросом данных. И выглядит она не очень.
Компания запрашивает имя, псевдонимы, пол, религию и прочие маркеры на искомых лиц, включая засвеченные геометки в соцсетях. Плюс список мест, которые разыскиваемый может посещать: спортзалы, общепит, дома друзей и родственников, кабинеты врачей и адвокатов. И всё это затем прогоняется через базы с данными за три последних года, позволяющие отслеживать перемещения по слитым геолокациям. Иными словами, привычная оперативная работа, но выкрученная на максималки и помимо прочего решающая проблему незасвеченных телефонов. В сухом остатке единственным вариантом избежать этого вектора слежки становится не владеть смартфоном. Что в наши дни, конечно, задача нетривиальная.
@tomhunter
#news В Канаде арестовали хакера из группировки «Com», связанной с нашумевшим взломом 165 компаний через облачный сервис Snowflake весной, а также сваттингом, криптограбежами и прочими развлечениями западной киберпреступной молодёжи. За онлайн-персоной Waifu скрывался 25-летний канадец.
Профиль как и в случае с многими другими западными киберпреступниками говорящий. Аутист, школу не окончил из-за травли, жил с дедушкой. Там, где в СНГ средний киберпреступник — это уважаемый кабанчик с вертолётом, Ламборджини и связями, англоязычные сплошь и рядом оказываются трудными подростками, сидящими на горе крипты перед двумя мониторами. Товарищ Waifu отметился ещё и тем, что до самой поимки вёл регулярную переписку с Кребсом, предлагая обыграть его в шахматы в обмен на честный разговор. По следам ареста WSJ вспоминает глубинный лор Кребса, включая то, как Вовненко героин ему присылал. Самое время освежить в памяти классику.
@tomhunter
#news Оригинальный случай кибермошенничества из Казани: злоумышленник использовал уязвимость на сайте сети доставки цветов «Русский букет» для занижения стоимости товаров и их последующей перепродажи. Причём делал он это с рабочего компьютера.
Эксплойт был элементарный: при оплате мошенник возвращался на предыдущую страницу, останавливал загрузку страницы и менял стоимость заказа. В итоге на сайт уходили данные о полной оплате, а списывались символические суммы. До поимки злоумышленник успел оформить больше полусотни покупок. По итогам он признал вину, выплатил ущерб в миллион рублей и получил год условно. Плюс увольнение по собственному желанию за оригинальный подход к рабочему времени. Цветочный барон легко отделался: за мошенничество в особо крупном размере ему грозило до 10 лет. Но в сухом остатке у нас просто забавная история про миллион алых роз из эксплойта.
@tomhunter
#cve По итогам ноября у нас снова россыпь серьёзных уязвимостей. Десяточкой по CVSS отметился Cisco Unified Industrial Wireless Software, поставив под угрозу промышленные системы. Критическая уязвимость на обход аутентификации также была исправлена в PAN-OS.
Microsoft в свой патчевый вторник исправила четыре нулевых дня, в 7-Zip обнаружили уязвимость на произвольный код, а в OC Android — на повышение привилегий. В нескольких устройствах от D-Link критические и высокие уязвимости; исправлений ввиду EOL не планируется, а эксплойт уже идёт. За подробностями об этих и других интересных CVE ноября добро пожаловать на Хабр!
@tomhunter
#digest Опубликовали наш традиционный дайджест самых интересных новостей ушедшего месяца. В ноябре закрутился сюжет вокруг прослушки телефонов политиков в США, а судебный разборки Whatsapp против Pegasus пролили свет на внутреннюю кухню разработчика спайвари.
В сеть утекли документы по возможностям Graykey — софта для взлома смартфонов криминалистами. Также у нас засветился первый UEFI-буткит под Linux, игровой движок Godot приспособили под доставку малвари, а повреждённые файлы Word стали новым перспективным методом обхода обнаружения в фишинге. Об этом и других горячих событиях промозглого ноября читайте на Хабре!
@tomhunter