14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Блокчейн от Telegram и его токен обзавёлся собственным Мавроди на минималках. Мошенники продвигают заработок крипты на «суперсекретном бустер-боте» через видео на русском и английском языках. Мечтающим о криптобарышах предлагают купить от 5 до 500 TON (~30-3000 долларов), а затем завести их в бота с комиссиями до 70%. Но на этом приключения юзера не заканчиваются — дальше его ждут реферальные ссылки.
Скамеры призывают создать группу в Telegram, пригласить в неё минимум пять друзей и поделиться схемой. За каждого приглашённого манят выплатами в 25 TON и процентами с тарифов. В общем, классика финансовой пирамиды, только в этот раз не платится ничего и никому — всё уходит мошенникам. Так что если давно пропавший друг внезапно начнёт названивать и зазывать в чудесную криптосхему, не ведитесь. Лучше дайте ему ссылку на статью.
@tomhunter
🥷 Компания T.Hunter проводит корпоративное обучение методам и приемам проведения OSINT-расследований, связанных с исследованием веб-ресурсов (лицензия на образовательную деятельность № Л035-01271-78/00645130 от 24.03.2023г.)
👀 ВЫ НАУЧИТЕСЬ:
1️⃣ получать регистрационные данные домена и хостинга
2️⃣ получать сведения о владельце, администраторах и разработчиках веб-ресурса
3️⃣ преодолевать защиту CloudFlare
4️⃣ исследовать код веб-ресурса, выявлять технологии на нем
5️⃣ собирать контактные и метаданные
📌 ПОЧЕМУ МЫ 📌
👮 Мы создаем методологию проведения расследований:
📖 Сбор и анализ цифровых следов преступления: практическое пособие — СПб: Издательство Санкт-Петербургской академии Следственного комитета
📖 Основы исследования веб-сайтов, направленного на установление лиц, осуществляющих его администрирование — СПб: ИСАС
👺 Мы создаем софт для расследований:
🖥 ThreatHunter DRP - SaaS-решение для поиска и нейтрализации угроз в интернете класса Digital Risk Protection
@tomhunter
#news Хранилищем ссылок на малварь в чужих проектах может послужить не только GitHub: на GitLab предсказуемо обнаружили ровно ту же проблему. Файлы из комментариев грузятся в CDN и предоставляют ссылки с названием проекта и его владельца.
Иными словами, злоумышленник может получить убедительно выглядящую ссылку со своей малварью и от GitLab. Например, под видом установщика драйвера от NVIDIA с их репозитория. Комментариев платформы пока не дают, Microsoft тоже залитый в свои репозитории вредонос никак не комментируют. Между тем один безопасник рассказывал про активный абьюз фичи на GitHub на своём стриме ещё месяц назад. Но пока об этом не раструбят журналисты по всей ИБ-индустрии, конечно же, шевелиться никто не начнёт.
@tomhunter
#news В январе этого года госгруппировка скомпрометировала 1,700 компаний с помощью двух нулевых дней в Ivanti VPN. И среди них оказалась, предположительно, самая подготовленная к атакам: MITRE. Происшествие из ряда вон выходящее, так что от MITRE поступило видеопослание.
В нём представитель компании сообщает, что они приняли все предложенные поставщиком меры по митигации, а также следовали всем указаниям от госрегуляторов. Но этого оказалось недостаточно. По итогам MITRE призывает налегать на принцип «secure by design», повышать безопасность цепочек поставок и переходить на архитектуру нулевого доверия, особенно на микросегментацию сетей. Также активное противостояние атакам, оно же adversary engagement, должно стать рутинной частью ИБ. В общем, повод, конечно, неприятный, но месседж более чем уместный. Кто бы ещё его на практике начал применять.
@tomhunter
#news К вопросу о том, как Redline Stealer обзавёлся ссылками с репозиториев Microsoft. Прикреплённые в комментариях на GitHub файлы грузятся в CDN платформы и получают связанную с проектом ссылку с указанием репозитория и её владельца.
Более того, ссылка генерируется сразу после прикрепления. То есть злоумышленнику даже не нужно оставлять комментарий. Спуфунг здесь ограничен только фантазией. А вот с митигацией не очень: нет ни возможности проверить, какие файлы прикреплены к проекту, ни убрать их. Максимум, владелец репы может временно закрыть комментарии, что на жизни проекта скажется не в лучшую сторону. В общем, интересный нишевый баг в ожидании фикса. Ну или не менее занятная фича, столкнувшаяся с абьюзом. Кому какой вариант больше нравится. Пока в виде костыля, судя по сообщениям юзеров, на GitHub поставили удаление файлов из CDN из неотправленных комментов через пять минут.
@tomhunter
#news По сети гуляет новый вариант Redline Stealer под видом читкодов для популярных игрушек. Он использует LuaJIT-байткод для обхода обнаружения — в ZIP-архиве MSI-установочник и компилятор под байткод в текстовом файле. А лежит всё это по ссылкам, связанным с репозиторием Microsoft «vcpkg» на GitHub — видимо, для придания легитимности.
В комплекте идёт и интересная социнженерия. «Поделись программой с другом, чтобы разблокировать полную версию». Иными словами, поучаствуй в распространении вредоноса. Как сообщают злоумышленники, его распространение помогает им развивать софт, и они за это будут очень благодарны. Благодарим за поддержку, извините за неудобства. В сущности даже ведь и не врут. Но друзья спасибо за такое письмо счастья, конечно, не скажут.
@tomhunter
#news У российских архитекторов добавилось седых волос: AutoCAD перестал запускаться в России. Причём, похоже, и пиратские версии — пользователи видят плашку «Используемая лицензия недействительна». Так что кто-то плохо читал на Рутрекере, какие айпишники нужно блокировать, чтобы AutoCAD не стучал по серверам. А кто-то надеялся что «бессрочную» лицензию не отзовут по айпи.
Напомню, Autodesk ушла из России в конце 2022-го, а в марте этого года разослала письма бывшим клиентам с требованием прекратить пользоваться софтом. Ну а теперь его массово отключили даже тем, кто с ехидным подхихиком качал пиратские версии, приговаривая что-то там про санкции. Как обычно, западные компании на острие импортозамещения. Увы, юзеры переходить на отечественное не спешат и мгновенно нашли несколько костылей, чтобы продолжать пользоваться недружественным софтом.
@tomhunter
#news В платформе OpenMetadata нашли пять уязвимостей, которые эксплойтят для обхода аутентификации и RCE. Конечной целью является доступ к Kubernetes и установка криптомайнеров с сервера в Китае. Атаки идут с начала апреля.
Microsoft рекомендует проверить кластеры с OpenMetadata на предмет подозрительной активности и накатить свежую версию. Анализ атаки здесь. Между тем злоумышленник оставляет записку интересного содержания. В ней он доверительно сообщает, что не хочет никому вредить, но ничего не может поделать — жильё в Китае ему не по карману, да и машину хочется купить. Проникшимся его бедой кубовладельцам предлагает прислать Monero в помощь бедному китайскому хакеру. Заманчиво, не правда ли?
@tomhunter
#news Неутешительные новости из ежегодного отчёта Imperva Bad Bot: в 2023-м почти половина (49,6%) трафика в сети вновь пришлась на боты. Годом ранее было на 2% меньше. Кроме того, вырос трафик вредоносных ботов: теперь это треть от всего объёма, рост пятый год подряд. Их источник предсказуемый: языковые ИИ-модели способствуют генерации простых ботов.
Однако растёт и число продвинутых ботов, имитирующих поведение реальных людей и обходящих защиту. Также выросло число атак на перехват аккаунта, почти половина идёт по API-интерфейсам. А вот доля реальных пользователей ожидаемо снижается. Так что вскоре боты могут уже существенно превзойти долю трафика, приходящуюся на людей. В общем, конспирологическая теория мёртвого интернета не существует, но продолжает активно воплощаться в реальность.
@tomhunter
#news По следам истории с XZ Utils всплывают тревожные инциденты аналогичного содержания. Вчера OpenJS Foundation, мониторящая проекты на JavaScript, получила несколько подозрительных писем. Отправители писали о необходимости срочно обновить один популярный проект и исправить критические уязвимости. И запросили права мейнтейнера.
Кроме того, такую же активность отследили в паре других проектов на OpenJS. Во всех случаях подход напоминал перехват управления XZ Utils — в ход шла социнженерия, настойчивые попытки попасть в мейнтейнеры и фейки, с которых поддерживали запрос потенциального крота. В общем, инцидент с XZ Utils явно не разовый. В лучшем случае это имитаторы, стремящиеся повторить нашумевший сценарий. В худшем — опенсорс пестрит такими трудолюбивыми кротами, за персоной которых скрывается госгруппировка с далеко идущими планами.
@tomhunter
#news TrustWallet призвал отключить iMessage на фоне слухов о нулевом дне в яблочных устройствах. Директор компании ссылается на уязвимость с нулевой интеракцией для перехвата контроля над устройством.
При этом речь идёт об эксплойте, который выставлен на продаже в даркнете за $2 миллиона. А в качестве доказательства его существования приведён скриншот с сайта. Ни демоверсии, ни подтверждения подлинности, ни какой-либо известности у продавца. Иными словами, пока вероятно, что это просто мошенники. Директор TrustWallet же ссылается на достоверную информацию от команды безопасности и на то, что у них самое популярное криптоприложение на 90 миллионов скачиваний и самый активный соцаккаунт от мира кошельков. Уберегут ли их эти занимательные факты от конфуза с разгоном паники на ровном месте? Скоро узнаем.
@tomhunter
#news Бэкдор в XZ Utils продолжает страшить линуксоидов: его вредоносные файлы просочились в пакет liblzma-sys, широко используемые разработчиками на Rust. Версия от 5 апреля апреля содержала тестовые файлы для XZ, в которых сидел бэкдор.
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
#news Пятничные чудеса инфобеза от eX-Твиттера. 8 апреля платформа начала автоматически изменять ссылки с упоминанием twitter[.]com на x[.]com. Но в последующие 48 часов на волне изменений сеть заполонили десятки примеров фишинговых ссылок.
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
#news Интересный прецедент от нарождающегося мира ИИ: в недавней серии атак был замечен скрипт, написанный с помощью языковой модели. В операции от группировки Scully Spider, брокера начального доступа, по компаниям в Германии.
В ходе неё злоумышленники распространяли инфостилер Rhadamanthys. А PowerShell-скрипт под его загрузку в память оказался написан при поддержке языкового болванчика. Его участие выдал код скрипта. А точнее, комментарии к нему. Каждая строчка тщательно прокомментирована, чем обычно грешат именно языковые модели. Как отметили в исследовании, «высококачественные комментарии нехарактерны для написанного человеком кода». На этом моменте становится немного обидно. Да и неясно, что сложнее: натаскать болванчика писать хороший код или разработчика — качественные комментарии?
@tomhunter
#news Шесть лет спустя после обнаружения Spectre призрак продолжает бродить по процессорам: обнаружен новый вариант атаки Spectre V2 под Linux-системы на основе многих процессоров Intel.
Очередная уязвимость вновь позволяет злоумышленникам считывать произвольные данные памяти в обход существующих механизмов защиты. В этот раз исследователям удалось обойти ограничения по изоляции уровней привилегий. Не обошлось и без нердовских шуточек: инструмент для атаки получил название InSpectre Gadget. Ну а новейшие процессоры от Intel — первый нативный эксплойт Spectre V2 под ядро Linux. Некоторые разработчики подтвердили уязвимость своих систем и работают над митигацией. Вопрос лишь в том, насколько от патчей просядет производительность в этот раз. Подробнее об атаке здесь.
@tomhunter
#news Новости от группировки Scaly Wolf, охотящейся за корпоративными и госданными в РФ. На этот раз курьёзные. Свежая фишинговая кампания злоумышленников не сложилась. Начало хорошее: вместо простого ZIP-файла с малварью у них шёл загрузчик, который должен был дропнуть инфостилер White Snake в «Проводник». Увы, товарищи просчитались. Но где?
А разгадка проста: как утверждают исследователи, в Scaly Wolf всё перепутали, и вместо вредоноса в систему копировался просто легитимный explorer.exe. Иными словами, даже в случае успеха фишинга компрометация систем бы не задалась. Куда в процессе сборки малвари делся инфостилер, неизвестно. Может, трудолюбиво собирает данные с машины горе-злоумышленника.
@tomhunter
#news Начало года для рансомварь-группировок не задалось: выплаты выкупов в первом квартале упали до рекордных 28% от взломанных компаний. Тренд на уменьшение медленно, но верно продолжается с 2019-го года. Кроме того, средние суммы выкупа снизились на треть, но при этом на четверть выросли медианные — меньше джекпотов для злоумышленников.
В топе прошлого квартала ожидаемо Akira, также засветилась Black Basta. Удар по LockBit от ФБР и экзит-скам BlackCat ощутимо сказались на всей рансомварь-сцене: от LockBit остались жалкие 9% рынка, а многие партнёры группировок разбежались на фоне разборок вокруг выплат. Вслед же за утратой доверия RaaS-операциями растёт число рансомварщиков на вольных хлебах — было замечено больше атак от форков Babuk и Dharma/Phobos. Подробнее о трендах прошлого квартала в отчёте.
@tomhunter
#article Опубликовали подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Ещё одно громкое имя с рансомварь-сцены уходит в прошлое. А точнее, в ребрендинг: операторы HelloKitty сменили название и теперь будут известны как HelloGookie. В честь предполагаемого разработчика под ником Gookee/kapuchin0.
В честь запуска новой операции злоумышленники слили несколько ключей, стянутые у Cisco в 2022-м внутренние данные, а также пароли к исходникам Gwent, Witcher 3 и Red Engine. Энтузиасты уже скомпилировали Ведьмака из 450 GB утёкших данных и получили девелоперский билд симулятора восточноевропейской глубинки. Атака по CD Project в феврале 2021-го стала первым крупным взломом группировки и на его релизе история бренда и заканчивается. Добьются ли злоумышленники тех же успехов под новым именем, покажет время. Пока новых жертв на свежем сайте группировки нет.
@tomhunter
Разговор о важном с пентестером нашей компании на тему «Где хранятся ваши секреты?»
📲 https://youtu.be/ED6AY-pf75Y
@tomhunter
#news В отсутствие прежних антигероев рансомварь-сцены время обратить внимание на потенциальных кандидатов в топ. ФБР и компания обновили информацию о группировке Akira и сообщают, что уже на 1 января 2024-го связанные с ней злоумышленники взломали больше 250 организаций и получили около $42 миллионов выкупа.
Akira всплыла в марте 2023-го и быстро обрела известность. Ранние версии энкриптора были на C++, но уже с прошлого августа у них код на Rust. В арсенале группировки также версия под VMware ESXi. А запрашиваемые выкупы разнятся от $200 тысяч до нескольких миллионов. С учётом образовавшегося в рансомварь-мире вакуума после приключений LockBit и BlackCat, у Akira есть все шансы переманить разбежавшихся партнёров последних и пробиться на вершину. Подробнее об активности группировки в отчёте от безопасников в погонах.
@tomhunter
#news К оригинальным новинкам инфоброкерства: сервис Spy Pet скрапит сообщения пользователей Discord на серверах, собирает их в файл и предоставляет всем желающим. В базе 3 миллиарда сообщений от 600 миллионов пользователей с 14 тысяч серверов. Цены более чем демократичные: поиск по одному юзеру обойдётся всего в 10 центов.
Запрос в базу отображает сервера, в которых состоит пользователь, привязанные аккаунты с других сайтов и таблицу с сообщениями. Инструмент несовершенный, так как он охватывает лишь часть серверов. Разработчики же с маркетингом совсем не стесняются: «федеральные агенты в поисках новых источников информации, пишите». И ведь напишут. Discord уже сообщил, что ведёт расследование в отношении Spy Pet. С одной стороны, идут жалобы на грубое нарушение приватности. С другой, находчивые инфоцыгане в сущности просто прикрутили к Дискорду рабочий поиск.
@tomhunter
#news UnitedHealth Group подсчитывает убытки после рансомварь-атаки Black Cat по своим системам. Суммы впечатляющие: на текущий момент это $872 миллиона, $593 миллиона на устранение последствий атаки и $279 миллионов из-за нарушения работы.
Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года. Потенциальный слив украденных данных медгиганта также вряд ли добавит веса его акциям. Как сообщает гендиректор, реагирование на атаку было быстрым и эффективным. Формулировка интересная: быстро и эффективно разве что весь финсектор здравоохранения целой страны впал в кому, и последствия атаки всё ещё устраняют два месяца спустя. Но что ещё может сказать CEO многомиллиардной компании. Не про вложения полпроцента от доходов в инфобез, чтобы инциденты таких космических пропорций не повторялись, ему говорить.
@tomhunter
#news К уязвимости в файрволах от Palo Alto Networks на произвольное выполнение кода опубликовали рабочую проверку концепции. Плохие новости для 82 тысяч уязвимых устройств, из которых 40% в Штатах и их часть — в засекреченных и госсетях. CISA требует у госструктур поставить патчи до 19 апреля. Что довольно оптимистично — исправления пока ещё доступны не для всех сборок. Одна получит хотфикс аккурат девятнадцатого.
Более того, внезапно обнаружилось, что отключение телеметрии и функции GlobalProtect на митигацию не тянет — устройства по-прежнему уязвимы. Так что единственным вариантом остаётся накатывать хотфиксы. И не затягивать с этим: с учётом публично доступной PoC к эксплойту от госгруппировки теперь могут присоединиться все желающие. Между тем это уже четвёртая уязвимость в SSL VPN за 2024-й. По одной на каждый месяц. Так и живём.
@tomhunter
#news Группировка RansomHub, под крыло которой перебрался партнёр Black Cat, взломавший Change Healthcare, начала сливать данные. Напомню, недовольный злоумышленник, оставшийся без выкупа после экзит-скама, но с украденными данными, предсказуемо снова начал вымогать деньги у компании.
Change Healthcare, выплатившая $22 миллиона Black Cat, такого поворота явно не ожидала. В утечке 4 TB данных (по другой информации, 6 TB), внутренние документы компании и данные пациентов. И через несколько дней всё это уйдёт на продажу. Компания комментариев не даёт и факт выплаты первого выкупа не подтверждает. Но пока сохраняется интрига, ведут ли они переговоры о компенсации для товарища Notchy, которого Black Cat оставила без незаконно нажитых средств. Так или иначе, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень.
@tomhunter
#news Palo Alto Networks начала выпускать хотфиксы под нулевой день в своих файрволах. Выбившая десяточку по CVSS уязвимость на RCE через внедрение команд активно эксплойтили с конца марта для установки бэкдоров на устройства. Судя по характеру атак и целям, действовала госгруппировка.
CVE-2024-3400 затронула файрволы PAN-OS 10.2, PAN-OS 11.0, и PAN-OS 11.1. Хотфиксы станут постепенно доступны для систем в ближайшие дни. Админы в ожидании исправлений могут отключить телеметрию на устройствах. Между тем анализ показал 82 тысячи уязвимых файрволов в сети, из них 300 в России. Гораздо хуже дела в Штатах, где почти 33 тысячи устройств, открытых для бэкдоров от трудолюбивых китайских и не только хакеров.
@tomhunter
#news Telegram исправил нулевой день в своём десктопном приложении. Изначально по сети ходили слухи о RCE с нулевой интеракцией, но всё оказалось проще. Уязвимость позволяла обходить предупреждения системы безопасности и запускать скрипты на Питоне, если пользователь откроет файл.
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
#news Apple разослала уведомления пользователям в 92 странах о попытках взлома их устройств с помощью «спайвари по найму». Что интересно, раньше уведомления шли с пометкой «спонсируемые государством атаки», но теперь компания предпочла обойтись нейтральными формулировками.
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давление индусского девелоперского лобби индийских чиновников и исправила текст уведомлений и статьи о них. Теперь по версии Apple остались только загадочные злоумышленно-нейтральные атаки, которые Apple «не привязывает к конкретным лицам и регионам». В общем, спайварь есть, а заказчика нет. Возможно, это всё как-то связано с тем, что продажи Apple в Индии бьют рекорды. Но это неточно.
@tomhunter
18 апреля в Санкт-Петербурге стартует ежегодная конференция Код ИБ. Участников ждут актуальная информация об обеспечении ИБ в современных реалиях, возможность пообщаться с ключевыми людьми инфобез-индустрии России и регуляторами, а также многое другое.
На конференции традиционно пройдут штабные киберучения для отработки навыков реагирования на киберинциденты. От T.Hunter с докладом по теме «Разведка угроз» выступит наш менеджер проектов Денис Симонов. А подробнее ознакомиться с программой конференции и зарегистрироваться можно по ссылке. Присоединяйтесь, будет интересно!
@tomhunter
#news Патчевый вторник от Microsoft в этом месяце бьёт рекорды: компания исправила 147 уязвимостей в своих продуктах. Крупнейший релиз как минимум с 2017-го и самый масштабный для их дня патчей.
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter