14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news MITRE опубликовала свой ежегодный топ-25 самых опасных уязвимостей в софте. Его собирают по итогам анализа двух предыдущих лет с акцентом на тех, которые активно эксплойтят в сетевых дебрях. За 2021-й и 2022-й исследователи проанализировали почти 44 тысячи CVE.
В этом году в сомнительных победителях списка без изменений: всё так же правят бал запись за пределы массива – 70 известных эксплойтов за два года, межсайтовый скриптинг и внедрение SQL-кода. На четвёртое место пробилась уязвимость Use-After-Free на указатель кучи, на семь позиций вверх скакнуло некорректное управление привилегиями, на пять – отсутствие авторизации. В ближайшие недели опубликуют статьи по топ-25 с акцентом на методологию, картирование уязвимостей и управление ими. Ну а пока с полным списком можно ознакомиться здесь.
@tomhunter
#news В сетевых дебрях замечена очередная рансомварь-операция. В июне внимание к себе привлекла группировка 8Base, резко нарастившая активность. Они работают с мая 2022-го, но раньше на счету злоумышленников были единичные атаки. С запуском же сайта в прошлом месяце группировка заявила уже о 35 жертвах за июнь. Тем не менее, новичками они не являются: судя по копипасту на сайте и в записке о выкупе, это может быть сайд-проект группировки RansomHouse.
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемые для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
#news Европол делится впечатляющими промежуточными итогами операции по EncroChat. На текущий момент были арестованы 6,588 человек и конфискован почти миллиард долларов, а также 270 тонн наркотиков, 83 лодки и 40 самолётов. Среди арестованных 197 особо важных целей.
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
#news В Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
#news Стало известно, кто стоял за февральским взломом Reddit с фишингом по сотруднику. BlackCat подтвердила причастность и грозит выложить 80GB стянутых данных, если не получит $4,5 миллиона. В сливе обещают статистику по отслеживанию юзеров Реддита и разную конфиденциальную информацию. Плюс инфу о теневых банах пользователей и некие «артефакты» с их Гитхаба.
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
На нашем Хабре новая статья по теме OSINT-исследований. В ней мы рассмотрим различные инструменты, которые могут быть использованы в контексте прифронтовой разведки и сбора сведений о происходящем в зоне боевых действий из открытых источников. Как показывает практика, современные вооруженные конфликты требуют новых подходов к организации сбора и анализа открытых данных, которыми мы оперируем в рамках OSINT. Так что если вы интересуетесь темой, добро пожаловать на наш Хабр!
@tomhunter
#news Исследователи изучили популярное приложение для бега Strava с более 100 миллионов юзеров. И с помощью публично доступной карты в нём с достаточно большой точностью смогли отследить места жительства пользователей.
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
#news Вишенка на торте взломов софта для передачи файлов MOVEit от группировки Cl0p: исследователи обнаружили следы их активности по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
#news Череда атак рансомварь-группировки Cl0p через уязвимость в софте для передачи файлов MOVEit достигла кульминации: злоумышленники утверждают, что взломали сотни компаний и выдвинули ультиматум до 14 июня. Нулевой день на эскалацию привилегий и неавторизированный доступ в MOVEit, напомню, позволил массово скачать данные организаций, включая всевозможные конфиденциальные данные.
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
#news Немного предсказуемые новости по следам взлома Atomic Wallet: украденная крипта пошла в миксер, любимый у известных специалистов по блокчейну из КНДР. В общем, опять Lazarus.
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процент мармеладных мишек активных пользователей. Крупные инвесторы, лишившиеся миллионов долларов, склонны не согласиться. Главной интригой же теперь остаётся, стал ли взлом последствием атаки на цепочку поставок по 3CX от неугомонных северокорейцев.
@tomhunter
#news В инфобез-пространстве гремят заявления ФСБ и последовавший за ними отчёт Касперского. Первые сообщают о спайвари от Apple в сотрудничестве со спецслужбами США на тысячах айфонов российских и зарубежных чиновников и дипломатов. Вторые обнаружили троян у своих сотрудников.
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
@tomhunter
#news Список компаний, пострадавших от атаки Cl0p через софт MOVEit, продолжает пополняться громкими именами. Взлом подтвердил Siemens Energy, производитель оборудования для энергетики с годовой выручкой в $35 миллиардов. Компания утверждает, что критичные данные затронуты не были, как и их деловые операции.
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
#news ФБР перехватило домен BreachedForums в верхнем интернете, три месяца спустя после ареста его владельца Pompompurin. Вместе с этим под нож ушёл и личный сайт последнего. Breached в даркнете вместо заглушки пока выдаёт 404.
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
#news Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
#news Fortinet исправила критическую уязвимость в FortiOS SSL VPN и сообщила, что он мог быть использован в атаках. Эксплойт на переполнение буфера и произвольное выполнение кода CVE-2023-27997 мог быть задействован в атаках на правительственную и критическую инфраструктуру в Штатах.
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
Подводим итоги последнего весеннего месяца в нашем традиционном дайджесте на Хабре. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте на нашем Хабре!
@tomhunter
#news Интересное развитие истории с нулевым днём в шлюзах электронной почты от Barracuda. Уязвимость на выполнение произвольных команд не только была в ходу у злоумышленников с октября прошлого года. Теперь компания связалась с владельцами взломанных устройств напрямую и сообщила, что их нужно немедленно заменить независимо от установленных патчей.
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
#news Trendo Micro опубликовала отчёт по масштабной криптоскам-кампании. Больше тысячи сайтов тянут на одну из крупнейших мошеннических сеток такого плана. А стоят за ней русскоязычные злоумышленники из так называемой Impulse Team. Схема активна с января 2021-го, новые сайты появляются в ней и сегодня. Косвенные свидетельства указывают на активность мошенников с 2016-го года.
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
#news На выходных произошёл взлом Atomic Wallet. По текущим подсчётам с кошельков пользователей украли более $35 миллионов во всевозможной криптовалюте. Первые сообщения о краже появились в субботу утром.
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter