14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Иранская криптобиржа Bit24[.]cash заботится о KYC-политике и собирает данные пользователей. А вот беречь их получается хуже: как обнаружили исследователи, у биржи был неверно настроенный инстанс MinIO с открытым доступом к облаку S3. В котором, собственно, лежали документы юзеров. 230 тысяч иранцев с фото, паспортами и кредитками.
По следам публикации доступ к облаку закрыли. Ну а безопасник с биржи в официальном ответе сообщил, что утечек данных не было. И вообще никакого открытого S3-ведра у них не было и быть не могло, и их облака были и остаются защищенными, потому что политика у них такая — всё безопасно и работает как часы. Ну а иранского джентльмена и его документы с фото выше кафиры из Cybernews с помощью какой-нибудь мерзкой ИИ-модели нарисовали сенсационности ради, наверняка.
@tomhunter
#news Как испортить праздники инфобез-компании? Взломать её аккаунт в Твиттере и использовать его под криптовалютный скам. Именно это произошло вчера с известной ИБ-фирмой. И не простой, а с самой Mandiant, дочкой Google.
Злоумышленник переименовал аккаунт в phantomsolw, чтобы выдать его за криптокошелёк Phantom. Если у юзера кошелёк не был установлен, по ссылке ждал его официальный сайт. Установленные же кошельки опустошались. Скам быстро раскусили, но на этом взломщики не остановились. И начали просто троллить Mandiant сообщениями в духе «Извините, пожалуйста, смените пароль» и «Проверьте закладки, когда восстановите аккаунт». Доступ к аккаунту Mandiant уже вернула, и никаких следов конфуза в нём не осталось. Но интернет всё помнит. В общем, 2024-й у Mandiant уже не задался, но 2025-й, наверняка, будет её годом!
@tomhunter
#digest Пришло время подвести итоги декабря и вспомнить самые громкие инфобез-события месяца. Так, мы застали перехват ФБР серверов группировки BlackCat, а QakBot снова всплыл в попытках восстановить ботнет. По сети продолжает бродить призрак атаки на процессоры Spectre с новой её вариацией. Исследователь также раскрыл интересную уязвимость в протоколе Bluetooth. А главарь подростковой группировки Lapsus$ получил довольно неприятный приговор. Об этом и других горячих ИБ-новостях последнего месяца года читайте на нашем Хабре!
@tomhunter
#article На Хабре наша новая статья. В ней мы подробно рассмотрим одну интересную уязвимость удалённого выполнения кода CVE-2023-35628, раскрытую 12 декабря 2023-го года в рамках December 2023 Security Updates. Мы попросили российского эксперта в области информационной безопасности, признанного самым ценным исследователем Microsoft в 2022-м году, Михаила Медведева (M3ik Shizuka) дать оценку этой уязвимости, а также дополнительные рекомендации по снижению уровня рисков. За подробностями добро пожаловать на наш Хабр!
@tomhunter
#news Уходящий год принёс криптокраж на сумму свыше миллиарда долларов. Больше всего досталось крупным De-Fi протоколам и биржам. Лидирует, конечно, северокорейская Lazarus, пополняющая бюджет КНДР на сотни миллионов долларов.
От крупнейшей кражи года пострадала платформа Mixin: в сентябре она потеряла $200 миллионов после взлома их облака. Везунчиками года стала Euler Finance, после кражи $197 миллионов с которой злоумышленник вернул почти половину средств с извинениями. На дно 2023-го отправилась платформа MultiChain — проект закрылся после взлома на $125 миллионов. Хакеры активизировались под конец года ввиду ожившего после криптозимы рынка. В 2024-м же нас ждут запуск биржевого фонда под биткоин и его халвинг с прогнозами на рост до $130 тысяч за биток. Так что громкими кражами индустрию в новом году встряхнёт ещё не раз.
@tomhunter
#news Число рансомварь-атак за год на начало декабря перевалило за 4,000 — исследователи насчитали 4,276 случаев. Что прогнозы в круглую цифру выше на этот год уже превзошло. Ключевым игроком по-прежнему ожидаемо остаётся LockBit, которых летом крайне успешной кампанией через MoveIT ненадолго подвинула Cl0p. Всего же за ноябрь LockBit, Play и BlackCat были ответственны за почти половину атак за месяц. Последним, впрочем, теперь немного не до этого. В сравнении же с ноябрём 2022-го у нас рост числа атак на 67 процентов.
Что интересно, в прошлом месяце засветился известный старичок Carbanak. Впервые всплывший ещё в 2014-м вредонос снова был замечен в атаках. Новые цепочки распространения через софт для бизнеса, новые векторы атаки. Видимо, почётный рансомварь-пенсионер обеспечивает чью-то новогоднюю сказку или готовит финансовую подушку на грядущий год.
@tomhunter
#news Исследователь разработал софт для борьбы с атаками на Bluetooth Low Energy. Появившаяся на пентест-устройстве Flipper Zero атака была быстро адаптирована под устройства на Iphone, Android и Windows. А теперь она есть и просто под Android, позволяя бомбить устройства уведомлениями через Bluetooth и выводить их из строя.
Между тем применения у такой атаки довольно своеобразные. Посетители одной конференции в начале декабря из-за атак на BLE столкнулись с отказом не только платёжных терминалов. Но и со сбоями в работе контроллеров инсулиновых помп, слуховых аппаратов и устройств мониторинга сердечного ритма. Что подводит нас вплотную к киберпанковой грани, за которой инфобез сливается с качеством жизни и её безопасностью. Сам софт представляет собой сценарий под Python для отслеживания спам-атак и доступен на GitHub.
@tomhunter
#news Под конец года награда нашла героя из Lapsus$ Ариона Куртая. Как ни странно, отсылки на аутизм киберпреступника сработали — его признали не способным предстать перед судом. Однако итогам разбирательств он вряд ли рад: Куртая отправили в психбольницу для правонарушителей. Причём бессрочно.
Суд счёл его угрозой обществу ввиду выдающихся способностей и намерения продолжать заниматься киберпреступностью. Так что пока его не вылечат от тяги ко всякому сомнительному, на свободу он не выйдет. Другой малолетний сообщник Lapsus$ отделался 18 месяцами надзора, подростковой реабилитации и запретом на использование VPN-сервисов. Куртая, впрочем, такие запреты в прошлый раз не остановили: как выяснил суд, утечку видео GTA VI он осуществил из отеля. С телевизора через Amazon Fire Stick, к которым подключил смартфон, клаву и мышь. Такой вот находчивый шельмец.
@tomhunter
#news Несколько ключевых выводов из ежегодного отчёта «Стоимость утечек данных 2023». Так, средняя стоимость утечек в этом году рекордная: $4,45 миллиона. Но при этом только половина компаний готовы увеличить расходы на инфобез. Кроме того, последствия утечек и стоимость наиболее высокие, когда данные хранятся в разных средах — публичных, приватных, гибридных облачных. В общем, облака по-прежнему являются фактором риска.
Важную роль в этом году сыграли ИИ-модели и автоматизация: вложения компаний в эту сферу снизило среднюю стоимость решения утечки на $1,76 миллиона в сравнении с работающими по старинке. Ну и самое шокирующее. Обнаружение утечек своим ИБ-отделом и работа с правоохранительными органами в среднем ведут к снижению расходов от киберинцидентов. Вложения в инфобез, оказывается, приносят плоды. Можете себе такое представить? А вот многие вне индустрии до сих пор не могут.
@tomhunter
#news В нашей компании разработали нейросеть для деанонимизации Telegram-каналов с говорящим названием «Товарищ майор». Сейчас она на стадии тестирования и на основе информации, постов и метаданных файлов в каналах сможет выходить прямиком на их владельцев. В общем, у нас нейросетевой аналитик для существенного облегчения OSINT-работы. Подробнее о «Товарище майоре» и работе с ним в материале «Известий» и на видео выше.
@tomhunter
#news Рансомварь-группировка Play за полтора года существования набрала больше 300 успешных взломов. Злоумышленники активны с июня 2022-го и успели отличиться атаками по бизнесу и критической инфраструктуре по всей Северной и Южной Америкам и Европе. Особо нашумевшим было шифрование систем города Окленд в США: городские службы на время забыли про цифровизацию, и на восстановление ушли недели.
Группировка использует известные уязвимости в серверах Microsoft Exchange, устройствах Fortinet и ProxyNotShell. В качестве тактики у них двойное вымогательство с кражей данных и их шифрованием. При этом исследователи отмечают, что Play действует более осторожно, чем другие киберпреступники. Хотя громкие атаки по критической инфраструктуре городов сложно назвать осторожными — это отличный способ привлечь к себе внимание спецслужб. Подробнее о Play в отчёте CISA.
@tomhunter
#news По следам кибератаки в Иране сегодня перестали работать две трети заправочных станций. Всего их в стране ~33 тысяч, то есть из строя вышли более 20 тысяч заправок. За атаку ответственна Predatory Sparrow, которая предположительно связана с Израилем. Сама группировка заявила, что это ответ на агрессию Ирана, и опубликовала снимки экрана систем управления АЗС.
Между тем атака была контролируемой. Группировка заранее предупредила экстренные службы до начала операции. Кроме того, оставшиеся работающими треть заправок не случайны — хакеры утверждают, что намеренно ограничили потенциальный ущерб от атаки несмотря на возможность полностью нарушить их работу. Так что можно представить, какой хаос могут посеять подобные киберинциденты, если их целью является полный отказ функционирования систем в стране. Особенно опирающейся на китайскую электронику и устаревшее оборудование.
@tomhunter
#news К новинкам малвари. В сети засветился новый мультиплатформенный вредонос NKAbuse на Go. Из примечательного, он утилизирует NKN, New Kind of Network, — относительно свежий P2P-протокол на основе блокчейна. Соответственно, с обфускацией, анонимностью и обходом защитных решений у него всё в порядке.
NKAbuse включает себя широкую DDoS-функциональность, но также служит трояном удалённого доступа и бэкдором под Linux для выполнения команд, стягивания данных и скриншотов. И за счёт того, что протокол новый, большая часть защитного софта его не мониторит. В общем, в мире ботнетов это образчик довольно нетипичный. Пока, впрочем, он был замечен в атаках в основном в Мексике, Колумбии и Вьетнаме. Подробнее о занятной новинке в отчёте.
@tomhunter
#news Под конец года неладно что-то в рансомварь-королевстве: пока вокруг падения инфраструктуры ALPHV/BlackCat множатся слухи, их сайт вернулся онлайн, но с него пропали все данные. Тем временем группировка NoEscape, как утверждают её партнёры, провернула экзит-скам, отключила свои сайты и пропала с миллионами долларов выплат.
Но и это не всё. На фоне волнений активизировалась LockBit: группировка спешит воспользоваться моментом и нанимает партнёров и разработчиков ALPHV и NoEscape по следам их очень странных дел. И не просто нанимает, а предлагает перевести на неё бэкапы ранее украденных данных, чтобы продолжить шантаж уже под брендом LockBit. Такой вот ловкий оппортунизм от мира киберпреступности. Между тем когда Avaddon, ребрендом которой является NoEscape, ушла со сцены, злоумышленники слили свой декриптор в свободный доступ. Может, жертвам повезёт и в этот раз.
@tomhunter
#news Лаборатория Касперского провела исследование утечек в даркнете за последние два года. Результаты занятные: из 700 изученных компаний 223 упомянуты в дарквебе в контексте взломов. Иными словами, каждый третий бизнес сталкивается с утечками данных. И ежемесячно на даркнет-рынках появляются ~1700 сообщений касаемо покупки/продажи и слива данных из утечек.
На продажу помимо слитых баз наиболее активно идёт доступ к инфраструктуре: за 2022-2023-й годы количество уникальных предложений превысило 6000. Особняком стоят скомпрометированные аккаунты для начального доступа. Вопреки азам инфобеза, сотрудники компаний по-прежнему используют корпоративные почты для своих нужд, повторно же используют пароли и в итоге становятся уязвимостью для сетей работодателя. А дальнейшее уже — задача для ИБ-отдела. Если он в компании есть, конечно.
@tomhunter
#news Злоумышленники из КНДР закончили 2023-й на мажорной ноте: за год они украли не меньше $600 миллионов. С учётом нескольких взломов под конец года сумма может достичь $700 миллионов. Несмотря на то, что рекордный 2022-й с его $850 миллионами побить не удалось, северокорейцы были ответственны за треть всех криптокраж прошлого года.
Санкции в адрес миксера Sinbad не особо повлияли на отмывание средств — группировка постоянно ищет новые платформы, готовые обрабатывать их транзакции. Переводимую в USDT и Tron крипту в итоге обменивают на валюту через внебиржевые сделки и финансируют военный комплекс КНДР. Ну а с учётом прогнозируемого роста крипторынка в этом году, можно делать ставки, удастся ли неутомимым северокорейским криптостахановцам побить свой рекорд 2022-го года.
@tomhunter
#news Генпрокуратура Казахстана подтвердила выдачу Никиты Кислицина в Россию. 21 декабря уже прошлого года его экстрадировали в РФ. Товарищ, напомню, возглавлял журнал «Хакер» с 2006-го по 2012-й год, а позже работал в опальной Group-IB. В конце июня его задержали в Казахстане, выдачи по схожим обвинениям добивались США и Россия.
В США Кислицина обвиняют в продаже базы данных, украденной у соцсети Formspring в 2012-м году. Согласно приобщённой к делу переписке, цена вопроса – всего 5,5 тысяч евро. В России же главред «Хакера» проходит обвиняемым по взлому коммерческой организации, краже данных и требованию выкупа, кхм, в 550 тысяч рублей. Казахстанские органы доверительно сообщили, что российский запрос имеет приоритет над американским в силу гражданства Кислицина. В общем, стандартная схема «Как обломать выдачу российского хакера в Штаты» в действии.
@tomhunter
#news Лаборатория Касперского продолжает ковыряться в обнаруженной ими малвари под айфоны из «Операции Триангуляция». Названная ими «самой продвинутой атакой из известных», эта кампания, предположительно, активна с 2019-го. Из интересного в свежем докладе: одна из уязвимостей использует ранее неизвестные и недокументированные функции прошивки.
Уязвимость CVE-2023-38606 обходит аппаратную защиту ядра памяти ядра для получения контроля над устройством. Для этого атака пишет данные, адрес назначения и хэш данных в недокументированные, не используемые прошивкой аппаратные регистры чипа. Каким образом злоумышленники догадались её использовать, неясно — функция в прошивке не активна. Существует она для отладки или включена по ошибке, тоже непонятно. В общем, безопасность через неясность как она есть. В новом году компания обещает опубликовать полный отчёт по обратному инжинирингу нашумевшей малвари.
@tomhunter
#news Собеседования порою оставляют после себя неприятное послевкусие. Но у одного блокчейн-разработчика случай выдался совсем оригинальный: после общения с потенциальным работодателем у него опустошили криптокошелёк.
К товарищу обратился рекрутёр на LinkedIn с говорящим именем Олександр Андриченко и предложил работу на Upwork. В качестве тестового задания перед техническим собеседованием разработчик получил дебаг пары npm-пакетов с GitHub. Вот только вскоре после скачивания его кошелёк на MetaMask внезапно опустел. При этом разраб успел сходит на техсобеседование и объяснить скамеру решение. В итоге это обошлось ему в ~500 баксов эфиром. Можно сказать, легко отделался. Между тем другие разработчики также сообщают, что господин Ардриченко предлагал им работу с подвохом. И бонусом в виде криптостилера.
@tomhunter
#news Группировка Sticky Werewolf, атакующая госучреждения и финансовый сектор в России и Белоруссии, не спешит уходить на праздники. Второй раз за месяц злоумышленники пытались атаковать фармацевтическую компанию в России. В начале декабря целью группировки был российский НИУ по разработке вакцин. Всего же с апреля по октябрь Sticky Werewolf провели не менее 30 атак.
На этот раз фишинговое письмо было вновь якобы от МЧС. В облаке по ссылке был троян удалённого доступа Darktrack. Само письмо, впрочем, не особо убедительное. Желающие могут найти в нём пару очевидных ошибок, допущенных ленивыми фишерами. Впрочем, с учётом плачевного состояния инфобеза в среднем по больнице и так сойдёт.
@tomhunter
#news По следам незавидного приговора Куртаю из Lapsus$ его сообщники по группировке малолетних и шальных слили в свободный доступ исходники GTA V. Rockstar была взломана год назад заскучавшим на воле лидером Lapsus$, взломщик стянул материалы по флагманам компании GTA V и GTA VI, слив тестовые видео последней.
Слив, судя по всему, реальный, и автор утечки утверждает, что опубликовал исходники для борьбы с скамерами: желающие получить код в моддинг-сцене игры уже становились жертвами мошенников. Между тем опубликовавший слив товарищ постит ностальгические посты с тегом FreeArionKurtaj и предлагает вспомнить былые звёздные деньки Lapsus$. Увы, когда на одной чаше весов многомиллиардные компании, а на другой — малолетний аутист со склонностями к асоциальному поведению, результат немного предсказуем.
@tomhunter
#news На прошлой неделе Ubisoft подверглась взлому. У злоумышленников был доступ к системам на протяжение около 48 часов, прежде чем админы заметили неладное и обрубили доступ. Как они получили начальный доступ, взломщики не сообщают, но они успели поковыряться в серверах SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas. Впрочем, взлом с недавним инцидентом у последних, судя по всему, не связан.
В этот раз обошлось без крупных происшествий — целью злоумышленников было выкачать 900GB данных, но доступа они лишились раньше, чем утечка произошла. Нет, это не был патч первого дня к очередной итерации Assassin Creed. Хакеры пытались стянуть пользовательские данные от Rainbow 6 Siege. В общем, на этот раз никаких любопытных утечек по грядущим проектам компании, как было в 2020-м. Может, ИБ-отдел даже получит праздничный бонус за довольно оперативное реагирование на инцидент.
@tomhunter
#news В eX-Твиттере новая криптоскам-компания с фейковой раздачей крипты и ссылками для опустошения кошельков. А задействованы в ней чудеса индусского кода платформы. Так, ссылки на ней содержат название аккаунта и status ID. Последний подтягивает пост, на который ссылка, собственно ведёт. А вот никакой проверки названия аккаунта нет.
Так что злоумышленники просто подменяют их на очень заманчивые. Ну как отказаться от раздачи крипты от, предположительно, ethereum, binance и zkSync? За ссылками с последним, например, скрываются аккаунты, имперсонирующие реальный от компании. Ещё лучше это выглядит на мобильной версии платформы: адресной строки пользователи не видят и могут решить, что условный Binance продвигает раздачу. Ну а так как редирект в таком виде — стандартная фича, ожидать каких-либо улучшений его безопасности не приходится.
@tomhunter
#news Интригу за падением сайтов BlackCat можно считать закрытой: поступили новости от ФБР. Бюро взломало сервера группировки, следило за их активностью и получило ключи шифрования. Любители чертовски хорошего кофе были на их серверах месяцами, тихонько стягивали ключи и передавали жертвам. Всего подарки достались 500 счастливчикам примерно на сумму в $68 миллионов выкупа.
ФБР сообщает, что перехватило сайт, получив публичный и приватный ключи к серверам в Tor. Следом группировка восстановила сайт, но так как ключи и у ФБР, и у злоумышленников, то они просто играют в кошки-мышки. Между тем это уже третий за три года перехват инфраструктуры этих рансомварь-трудяг: DarkSide в 2020-м, BlackMatter в 2021-м и теперь под брендом BlackCat. Как видно по сочащемуся обидой посту на сайте, группировка своим злоключениям, мягко говоря, не очень рада. Увы и ах.
@tomhunter
#news Наш технический директор Сергей Матвеев принял участие в подкасте форума для хостинг-провайдеров ХостОбзор. Темой выпуска стали СЗИ и подача заявки на включение в реестр провайдеров согласно новому закону. Также в подкасте обсудили учения по обеспечению безопасности, в том числе объектов критической информационной инфраструктуры, взаимодействие хостеров с регуляторами и другие животрепещущие вопросы. Обо всём этом в интервью выше.
@tomhunter
#article Опубликовали на Хабре новую статью. Сегодня мы рассмотрим, как создать Telegram HoneyBot для идентификации анонимных пользователей «самого безопасного» мессенджера. А на примере такого бота заодно и наглядно покажем, как избегать деанонимизации в Telegram, и напомним о необходимости сохранять бдительность, кликая по подозрительным кнопкам и ссылкам в нём. За подробностями добро пожаловать на наш Хабр!
@tomhunter
#news Операторы QakBot пытаются перезапустить свой ботнет по следам уничтожения его инфраструктуры спецслужбами США в августе 2023-го. Microsoft сообщила, что неделю назад QBot всплыл в фишинговой кампании по гостиничному бизнесу.
Исследователи отмечают, что у злоумышленников в ходу действительно новая версия ботнета, но с минимальными изменениями. AES-алгоритм для расшифровки строк вместо XOR и ошибки в коде, указывающие на продолжающуюся разработку. Кампания, замеченная Microsoft, была не особо активной, и восстановить работу ботнета злоумышленникам будет непросто. Так, Emotet после своего отключения в 2021-м пытались вернуть в строй, но в итоге его операторы ничего толком не добились и ушли со сцены. QakBot 2.0 остаётся пожелать того же самого.
@tomhunter
#news Отдел по борьбе с киберпреступлениями Microsoft по решению суда перехватил домены Storm-1152 из Вьетнама. Группировка зарегистрировала более 750 миллионов аккаунтов Outlook и перепродала их за миллионы долларов. Злоумышленники также держали несколько сайтов для обхода капчи.
Storm-1152 активна как минимум с 2021-го года. Услугами группировки пользовались многие группировки, включая нашумевшую в этом году молодёжь из Scattered Spider. Microsoft также отследила трёх вьетнамцев, разработчиков и операторов перехваченных сайтов. По оценкам компании, ущерб от вьетнамских CaaS составляет сотни миллионов долларов. Вьетнамцев ждёт судебное разбирательство. А любители киберпанка могут полюбоваться на заглушку, на которой вместо «Домен перехвачен ФБР» красуется гордое «Домен перехвачен Microsoft».
@tomhunter
#news Последствия ареста серверов Hive в начале года и работы ФБР по группировке продолжают давать плоды. В Париже 5 декабря арестовали гражданина России по подозрению в отмывании выплат жертв группировки.
Товарищ проживал на Кипре, где также прошёл рейд по местам обитания ходячего рансомварь-ландромата. Полиция изъяла $570 тысяч в крипте. Поимка же стала возможна после того, как с арестованным связали криптокошельки, на которые приходили подозрительные транзакции в миллионы долларов. Между тем обнаружили его благодаря анализу активности в соцсетях. Подробностей последнего французская полиция не приводит, но можно предположить, что герой истории тщательно документировал свою роскошную жизнь и не забывал чекиниться в фешенебельных отелях Парижа и на кипрских курортах в Инстаграме.
@tomhunter
#news В США инженер облачных сервисов получил два года тюрьмы и почти $500 тысяч штрафа за кибератаку по бывшему работодателю. Мистер Броуди был уволен из банка в 2020-м за нарушение политики компании довольно пикантным образом — товарищ притащил на работу порно на флешке и подключил к рабочим компьютерам. В ответ на увольнение находчивый инженер отказался возвращать ноут компании, а после ИБ-инцидента заявил о его краже.
На деле же Броуди использовал свою учётку, чтобы удалить репозитории с кодом банка и запустить вредоносные скрипты и сценарии для уничтожения серверов и удаления журналов. Он также оставил комментарии в коде с насмешками в адрес коллег и отправил себе на почту код, над которым работал. Увы, шалость не удалась, и в версию с кражей ноута следователи не поверили. Что ж, хотя бы получил свои пять минут удовольствия, когда писал остроумные оскорбления бывшим коллегам. Уверен, они оценили.
@tomhunter