14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Лаборатория Касперского выпустила версию своего антивирусного инструмента KVRT под Linux. Это standalone-сканер для поиска малвари, адвари и прочих известных угроз. Работает он по памяти, автозапуску, загрузочным секторам и всем файловым форматам, включая архивные. В списке поддерживаемых 64-битных систем почти два десятка дистрибутивов; запуск и через GUI, и через терминал.
Исходников нет, и KVRT нужен доступ к интернету для работы. Желающие запустить неведомую зверушку в свои системы при таких исходных данных найдут подробный гайд по сссылке. Ну а кому идея кажется не очень заманчивой, про OSS-альтернативы рассказывать, думаю, не нужно.
@tomhunter
#news В октябре 2023-го у одного провайдера в Штатах превратились в кирпич половина роутеров — 600 тысяч устройств пришлось заменять. Инцидент получил название «The Pumpkin Eclipse», огласке его компания не предавала. На днях же подоспел анализ произошедшего: за атакой стоял деструктивный ботнет.
Удар пришёлся по конкретному провайдеру и трём моделям устройств в его сетях. Основной нагрузкой шёл RAT Chalubo, для атаки была использована одна из его панелей. Увы, вредоносную нагрузку найти не удалось, так что как устройства превратились в кирпич, неизвестно. Но судя по всему, была повреждена прошивка. Скорее всего, атака была целенаправленной, но кто именно за ней стоял, также неизвестно. Так или иначе случай уникальный по масштабам ущерба, и прежде деструктивный ботнет такого плана был замечен только в одном инциденте в зоне конфликта. Подробнее о тыквенном затмении в отчёте.
@tomhunter
#news На днях был арестован создатель и оператор 911 S5, одного из крупнейших ботнетов в мире с десятилетней историей. 35-летний гражданин Китая ответственен за миллиарды долларов ущерба, который нанесли злоумышленники через его сетку прокси. Сайт и инфраструктура 911 S5 перехвачены.
Между тем ботнет собирали в том числе через бесплатные VPN, так же известные в узких кругах любителей ИБ-трэша как порталы в ад. Они предоставляли юзерам заявленную функциональность, в то же время превращая их устройства в прокси. В основном заражения шли в Штатах, но если названия MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, и ShineVPN звучат знакомо, это тревожный звоночек. Потому как эти порталы в ад недружественных ресурсов шли в комплекте с бэкдором от 911 S5.
@tomhunter
#news В США завели дело на гражданина России как предполагаемого брокера начального доступа. 31-летний Евгений Дорошенко из Астрахани, он же «FlankerWWH» и «Flanker», по документам работает по этому профилю с февраля 2019-го года.
Flanker предпочитает брутфорсить доступные в сети сервисы удалённого доступа к рабочему столу, судя по истории активности, он же искал контакты для взлома NTLM-хэшей и связи с разработчиками кейлоггеров. Максимальный срок по обвинениям — до 20 лет заключения и $250 тысяч штрафа. Однако пока товарищ Дорошенко сидит в России и не рискует заезжать в страны с экстрадицией, штатовских безопасников в погонах он может не опасаться. А вот российских, кхм…
@tomhunter
#news BreachForums вернулся спустя всего пару недель после перехвата его инфраструктуры ФБР. В верхнем интернете по одному из прежних адресов. Но есть нюанс: чтобы попасть на форум, нужно зарегистрироваться.
На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации ходят слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе. Однако Hackread утверждает, что у последних случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная.
@tomhunter
Завтра, 29 мая в 12:00 по Москве, пройдёт вебинар Код ИБ | БЕЗОПАСНАЯ СРЕДА. Темой выпуска станет «Как происходит предупреждение киберугроз?» Участники обсудят DPR (Data Risk Protection) как процесс предупреждения угроз — иными словами, то как проходит работа по их выявлению изнутри.
От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно!
@tomhunter
#news Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло.
Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.
@tomhunter
#news Пятничные новости, снова от мира ИИ-моделей. Пока Google ломает поиск форсированным внедрением ИИ, процесс приносит совсем уж комические ситуации. По сети разошёлся скриншот рецепта соуса для пиццы от Гугла: чтобы сыр не растекался, добавьте в него 1/8 чашки нетоксичного клея. Источник? Комментарий на Reddit 11-летней давности.
Иными словами, предположения о том, что скрапинг форумных помоек ИИ-моделями отравит выдачу, были верны. Наш будущий кремниевый повелитель познаёт мир глазами юзеров Reddit и Tumblr — вот они, грядущие рукотворные ужасы, выходящие за рамки понимания. По крайней мере, теперь понятно, за что Google платит Reddit $60 миллионов в год за доступ к API по партнёрке, к которой на днях подключилась и OpenAI. Чтобы товарищ под ником Fucksmith из 2013-го советовал пользователям Гугла есть клей.
@tomhunter
#news Microsoft анонсировала дорожную карту по отказу от VBScript. Во второй половине 2024-го с релизом Windows 11 24H2 скриптовый язык перейдёт в разряд дополнительных компонентов.
К 2027-му VBScript не будет предустановлен в системах, а на последнем этапе, даты которого пока не анонсированы, его окончательно уберут, удалят связанные библиотеки, и проекты на языке перестанут функционировать. В общем, у 30-летнего скриптового старичка ещё в запасе времени до конца десятилетия. Что занятно, его пустили под нож в рамках избавления продуктов Microsoft от векторов атаки. И параллельно с этой дорожной картой анонсирована Recall. Получается, всё в Редмонде сбалансировано: одну поверхность атаки порезали, но планируют добавить другую, ещё более масштабную. Чтобы ни злоумышленники, ни инфобез-фирмы не ушли обиженными.
@tomhunter
#news Veeam предупредила пользователей о критической уязвимости в Veeam Backup Enterprise Manager. Она позволяет неаутентифицированному злоумышленнику зайти в веб-интерфейс под любым аккаунтом. Уязвимость вместе с несколькими другими исправлена в свежей версии. Если нет возможности накатить обновления, VBEM можно отключить. Кроме того, менеджер не развёрнут по умолчанию, так что не все инстансы уязвимы. И если он не используется, его можно просто удалить.
Раньше баги в софте от Veeam использовали в атаках, включая уязвимость в марте 2023-го, по которой активно работали рансомварь-группировки. Так что ИБ-отделы 74% компаний из Global 2000, пользующихся решениями Veeam, ждёт увлекательный квест «Пропатчь меня, пока работодатель не попал на несколько десятков миллионов долларов». Возможно, пройдут его не все.
@tomhunter
#news В логгере Fluent Bit обнаружили критическую уязвимость на повреждение памяти, CVE-2024-4323, 9.8 по CVSS. Баг вызван переполнением кучи во встроенном HTTP-сервере. Серьёзности проблеме добавляет распространённость софта: 13 миллиардов скачиваний. Развёрнут Fluent Bit в Amazon AWS, Microsoft Azure, в кубах и прочих контейнерах, у десятков IT-гигантов и далее по списку.
Уязвимость позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании и перехватить конфиденциальную информацию. Есть заход и под RCE, но надёжный эксплойт под переполнение кучи вряд ли появится в скором времени. Баг исправлен в версии Fluent Bit 3.0.4, а пока фиксы не выкатят для всех платформ, админы могут ограничить доступ к API или отключить уязвимый эндпоинт, чтобы блокировать потенциальные атаки.
@tomhunter
#news Злоумышленники активно эксплуатируют слабое место в дизайне FoxitPDF для доставки малвари. При запуске софт выдаёт окно с предложением включить фичи, если юзер доверяет файлу, и следом ещё одно с предупреждением об открытии файла. В обоих окнах по умолчанию идёт вариант согласиться, что повышает шанс выполнения вредоноса.
В кампаниях, эксплуатирующих эту уязвимость, замечены с десяток троянов удалённого доступа, инфостилеры и криптомайнеры. Часть мотивированы финансово, часть заточены под шпионаж, в том числе по оборонке. Эксплойтом это назвать сложно, скорее, тянет на фишинг. Так что уязвимость в сущности не в самом софте, а в нашем кривом wetware, склонном кликать на всё подряд без задней мысли. Подробнее о проблеме в отчёте.
@tomhunter
#news Пятничные новости с анализом самых распространённых пин-кодов в мире. Результаты более чем предсказуемые: в топе 1234, 1111, 0000 и далее по списку простых последовательностей. На первом месте пин-код, составляющий почти 11% от 3,4 миллионов изученных, первая тройка — 18% от массы. Почётное 10 место за 6969.
Используя же всего 20 комбинаций, можно отгадать 26% пин-кодов. Годы рождения тоже не особо надёжны: в топе на 7 месте молодёжь из 2000-го. В целом же комбинации на 19?? в первых 20% проанализированного дата-сета. Среди наиболее уникальных различимых паттернов нет. Когда же речь заходит о 5-значных кодах, воображение юзеров совсем даёт слабину: 22,8% составляет последовательность 12345. Больше цифрового аутизма на вечер с графиками и картами по ссылке.
@tomhunter
#news Пока Apple продвигает свою технику под брендом приватности для элиты всех сортов, пользователи знакомятся с обратной стороной использования яблочной продукции. В iOS 17.5 на устройствах начали всплывать удалённые ранее фото.
Старые фотографии появляются как недавно добавленные, на очищенных по гайдлайнам от Apple устройствах, после смены нескольких и годы спустя. Один юзер заявил о появившихся фото из 2010-го года. С такими датами, вероятнее всего, они выгружаются из iCloud. Другие пользователи заявляют о том, что у них после апдейта вернулись стёртые голосовые сообщения, как уже было с бетой. В общем, либо Apple годами и десятилетиями хранит удалённые юзерами данные, либо они всплыли в результате глитча просто из неперезаписанных частей хранилищ. В любом случае такая вот приватность. Со звёздочкой.
@tomhunter
#news В Нидерландах вынесли приговор одному из проводников цифрового будущего, сооснователю криптомиксера Tornado Cash. 31-летний Алексей Перцев приговорён к 5 годам и 4 месяцам заключения. У него также конфискуют ~$2 миллиона в крипте и Порше.
Перцев был арестован в августе 2022-го сразу после санкций США в адрес Tornado Cash. Защита настаивала на том, что Перцев — невинный борец за приватность крипто-сообщества, а беспринципные киберпреступники абьюзили платформу для своих грязных дел. Увы, суд с этим не согласился и постановил, что криптомиксер был специально заточен под отмывание денег. В общем, спойлер того, что ждёт Романа Шторма, одного из разработчиков, в Штатах в сентябре.
@tomhunter
#cve Опубликовали на Хабре нашу традиционную подборку самых интересных CVE ушедшего месяца. В мае десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода.
Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE последнего весеннего месяца читайте на Хабре!
@tomhunter
#news Интересный подход к распространению малвари через Stack Overflow: вновь абьюзят комментарии. Но в этот раз без подгрузки вредоноса в CDN, как было с Git, всё проще — злоумышленники оставляют комменты к вопросам с предложением подгрузить пакет с PyPi под видом инструмента управления API. Ну а в нём многофункциональный инфостилер.
Казалось бы, эффективность у такого подхода должна быть сомнительная. Особенно когда пакет идёт в качестве решения никак не связанной с ним проблемы. Но при этом скачать его успели почти 300 раз за день, прежде чем вредонос снесли админы. Что как бы должно послужить напоминанием, что не все советы от fellow developers бывают одинаково полезны. Даже если их постят на проверенной платформе.
@tomhunter
#news Европол устроил масштабную чистку серверам ботнетов в операции Endgame. Как сообщает служба, это крупнейшая операция такого плана. Перехвачены более 100 серверов и 2,000 доменов по всему миру, связанных с дропперами IcedID, SmokeLoader, TrickBot и другим вредоносом. Ботнеты уничтожены с помощью синкхолинга.
Также прошли аресты: один человек арестован в Армении, трое — на Украине. Ключевой подозреваемый, как предполагается, получил не менее $75 миллионов, предоставляя инфраструктуру под рансомварь. В розыске также семь человек, поднявших TrickBot, и восьмой — один из ключевых операторов SmokeLoader. В общем, привет из прошлого от Европола после разбора ботнета Emotet в 2021-м — часть арестованных были вовлечены ещё в его работу, и операция прошла по результатам продолжавшегося с тех пор расследования.
@tomhunter
#news К критической уязвимости с максимальным рейтингом в FortiSIEM опубликован эксплойт. Той самой, которую Fortinet пропатчила в феврале, CVE-2024-23108. И изначально отрицала её существование, утверждая, что это был дубликат, всплывший в результате ошибки в API. С точкой с запятой в другом аргументе в качестве единственного отличия между эксплойтами.
Уязвимость под RCE с рут-правами от неаутентифицированного злоумышленника, так что десяточка по CVSS более чем оправдана. От Horizon3 доступны подробный анализ CVE и сам эксплойт. Между тем с релиза патча прошло более трёх месяцев. Так что, как водится, кто не успел обновиться, тот опоздал.
@tomhunter
#news Передовые новости инфобеза из Индонезии: президент запретил разработку новых приложений для правительства. Причина проста: их число перевалило за 27 тысяч. Одно министерство набрало в пользование 500 приложений. Новые же создают при вступлении в должность министров, губернаторов и чиновников.
Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за неуёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. Судя по всему, по персональному для каждого чиновника.
@tomhunter
#news Редкий зверь на на территории РФ: причиной масштабного «технического сбоя» у СДЭК, судя по всему, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах так же подтвердил источник в компании.
СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы…
@tomhunter
#news Утёкший договор Samsung с сервисными центрами раскрывает детали политики компании касаемо ремонта устройств. Спойлер: дела хуже, чем у Apple. Два ключевых момента. Компания требует ежедневных обновлений по ремонту. Со сливом данных клиентов в базу — имена, контактные данные, адреса, идентификаторы. И второе: устройства со сторонними запчастями должны быть немедленно разобраны, а данные провинившегося клиента — переданы Samsung.
То есть если вы принесёте на замену батареи телефон с неоригинальным экраном, его должны уничтожить и настучать на вас компании. Это прописано в контракте корпорации, на публику утверждающей, что «Сторонние запчасти — это реальность, которую нужно принять». Очевидно, Samsung её принимать не спешит. Почитать договор можно здесь (PDF).
@tomhunter
#news Пока Apple отмалчивается касаемо всплывших у юзеров удалённых фотографий, в Synactiv вскрыли недавнее обновление реверс-инжинирингом. Как утверждает компания, баг связан с iOS, а не iCloud. А именно существенными изменениями в одной из функций PhotoLibraryServices.
В свежем патче Apple убрала из функции скан и ре-импорт фото из системы, из-за чего и были переиндексированы старые локальные файлы и добавлены обратно в галерею. Анализ кода показал, что фото лежали в файловых системах и просто подтянулись после глитча в функции переноса данных. В общем, и ИБ-фирма выдала вердикт, и аналогичные мнения инсайдеров из Apple на Reddit оперативно подвезли — всё сводится к тому, что это просто глюк iOS. И не забывайте, никаких бэкдоров в яблочных устройствах нет!
@tomhunter
#news Как и ожидалось, ИБ-сообщество встретило новую фичу от Microsoft с огромным энтузиазмом. Единогласное мнение: Recall станет кошмаром для приватности и масштабной поверхностью атаки, а будущие утечки данных будут впечатляющими.
Снапшоты паролей и банковских аккаунтов, конфиденциальных документов и приватных фото — Recall соберёт их все. А затем также беспристрастно сольёт инфостилерам и любому добравшемуся до устройства. В то, что Microsoft не будет эксплойтить фичу и стягивать собранные ею данные на сервера, тоже мало кто верит. В том числе зашевелились и регуляторы: британский потребовал от компании объяснений. Кевин Бомонт и вовсе окрестил Recall встроенным кейлоггером. В общем, пока разработчиков спайвари обкладывают санкциями, Microsoft открыто анонсирует собственную в качестве фичи. Но эта спайварь, как водится, кого надо спайварь. Так что ждите её в скором времени у каждого юзера с Windows 11.
@tomhunter
#news Недавнее исследование сбора устройствами от Apple и Google информации о точках Wi-Fi как ночной кошмар ИБ-параноика. Исследователи геолоцировали миллиарды устройств по всему миру. В основном благодаря тому, что яблочные изделия отправляют по API MAC-адреса точек доступа — до 400 ближайших к тому, с которого идёт запрос.
В сущности API Apple сливает на свои устройства кучу данных о местоположении ближайших точек для геолокации. На карте выше анализ индексации яблочного API. С его помощью, например, отследили терминалы Starlink в зоне конфликта. И маршруты беженцев по их телефонам. И многое другое. Starlink закрыла брешь, добавив на уровне софта рандомизатор BSSID. Apple предложила добавлять «_nomap» к имени Wi-Fi для отключения индексации. И идея хорошая: яблочный юзер не только носит в кармане персональный маячок, но и сливает Apple геолокацию всех роутеров в округе как послушный корпоративный дрон. Вот он, киберпанк, который мы заслужили.
@tomhunter
#news Microsoft анонсировала новую фичу под Windows 11 назло всем инфобез-параноикам. Recall будет записывать всё, что юзер делает на своём компьютере с помощью ИИ-модели и собирать в таймлайн приложений, сайтов и документов. Позже по снапшотам можно, например, вернуться к конкретному письму, вкладке или чату в Teams.
Хранится это всё якобы будет локально, отдельные снапшоты можно удалять, а также фильтровать содержимое приложений и прочих инкогнито-вкладок из истории. Но даже если до серверов Microsoft это всё не доберётся, остаётся вопрос, как это будет защищено на устройствах. И не появится ли у инфостилеров новый вектор атаки. В общем, такая вот ранее не задокументированная интересная фича. Желающие ей пользоваться есть?
@tomhunter
#news Вслед за перехватом BreachForums ФБР мгновенно всплыли желающие занять вакантное местечко: небезызвестный хакер USDoD объявил о создании новой площадки, Breach Nation. Запуск запланирован на 4 июля.
В пространном посте амбициозный злоумышленник делится планами и обещает платформу для всех-всех киберпреступников, чтобы никто не ушёл обиженным. Между тем слухи об аресте товарища Baphomet множатся, но пока ждём официальных заявлений от безопасников в погонах. ShinyHunters же утверждают, что его арест привёл к перехвату большей части инфраструктуры форума. Иными словами, конвейер от админа новой итерации RaidForums до скорого тюремного заключения продолжает работать на полную катушку.
@tomhunter
#news Раньше всплывали новости о гениальной преступной схеме северокорейцев — работе айтишниками в компаниях по всему миру для финансирования КНДР. А теперь последовало наказание: в США и Польше арестованы некие Кристина Мари Чэпмен и Александр Диденко. Им предъявлены обвинения по полудюжине статей о мошенничестве.
Чэпмен держала дома в США ферму из 60 рабочих ноутбуков, к которым подключались северокорейцы, чтобы создать иллюзию работы из Штатов. Она же отмывала их зарплаты. Диденко тоже участвовал в создании ферм, а помимо этого держал платформу UpWorkSell с поддельными личностями, сотни прокси-серверов и сервисы денежных переводов. В итоге северокорейские стахановцы заработали ~$7 миллионов, нанесли ущерб своим трудолюбием более 300 компаниям в США, а арестованным грозят сроки до 97,5 и 67,5 лет, соответственно. Вот и поработали.
@tomhunter
#news О продаже нулевого дня под Outlook можно не переживать. По крайней мере, о продаже через BreachForums: сегодня сайт был перехвачен ФБР. Красочная заглушка вместо форума, всё как полагается. Безопасники в погонах утверждают, что у них на руках бэкенд-данные сайта. Если это действительно так, почты, айпишники и сообщения юзеров скоро будут изучать под лупой.
Перехвачен также и канал в Телеграме, в котором теперь висит сообщение ФБР с аккаунта Бафомета с призывом стучать на обитателей форума по всем каналам связи. Свежая версия BreachForums продержалась с июня 2023-го, после того как сайт подняли хакеры из ShinyHunters. Теперь на нём красуются аватарки администраторов, самих ShinyHunters и товарища Baphomet, с решёточками. Что как бы намекает на дальнейшие планы любителей чертовски хорошего кофе в отношении продолжателей дела Pompompurin’a и Omnipotent.
@tomhunter
#news Тревожные новости для пользователей Outlook. На одном небезызвестном форуме всплыл пост о продаже RCE-эксплойта под нулевой день. Злоумышленник утверждает, что протестировал его на версиях Microsoft Outlook 2016, 2019 LTSC 2021 и Microsoft 365 Apps for Enterprise.
Цена вопроса — 1,700,000 долларов. Детали эксплойта раскроют покупателям, товарищи из ShinyHunters в качестве посредника, журналистов просят не беспокоить. Пока неясно, скрывается ли за этим что-то серьёзное или очередной незатейливый скам, но ShinyHunters накинули злоумышленнику репы и записали его в серьёзные юзеры, за которого они ручаются. Потенциальный ущерб от нулевого дня в Outlook сложно переоценить. Так что как минимум стоит следить за новостями.
@tomhunter