14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Вычислительные мощности продолжают расти, что означает плохие новости для паролей. Так, свежее исследование показывает, что RTX 4090 может не только способствовать эскапизму. Но и подобрать восьмизначный пароль из букв одного регистра и цифр — то есть 36 потенциальных символов для английской раскладки — всего за 17 секунд.
Более того, 59% от существующих паролей ломаются меньше, чем за час. На 45% хватит минуты, на 73% уйдёт меньше месяца. И в большинстве паролей (57%) содержатся словарные слова, что резко снижает их надёжность. Это всё, например, к вопросу о том, как утёкшие хранилища LastPass привели к многомиллионным криптокражам месяцы спустя. Иначе говоря, современные GPU делают длинные пароли, сгенерированные случайным образом, насущной необходимостью. Как и двухфакторку с неповторяющимися паролями. Но попробуй донести это до среднего юзера.
@tomhunter
#news Злоумышленники используют всплывающие окна с фейковыми ошибками в Chrome, Word и OneDrive для доставки малвари. Окно предлагает пользователю нажать кнопку «Скопировать фикс», под которой скрывается PowerShell-скрипт, а затем запустить его через Windows PowerShell.
Запущенный скрипт проверяет систему на песочницу и подтягивает дополнительную вредоносную нагрузку. Вектор атаки необычный, но он набирает популярность. Пример окна на скрине. С одной стороны, любому хоть немного знакомому с ИБ человеку очевидно, что пихать неизвестные скрипты в консоль — дурацкая затея. С другой, неискушённый юзер может принять это за убедительную инструкцию, так как с социнженерией здесь всё в порядке. Подробнее об атаке в отчёте.
@tomhunter
#news К новинкам малвари. Замеченный в сети вредонос DISGOMOJI мало чем выделяется по функциональности, но интересен подходом к управлению. В качестве С2 у него Discord, а команды выполняются с помощью эмодзи.
Злоумышленники отправляют эмодзи с параметрами в канал, который слушает малварь. К их выбору подошли творчески — пример команд на скрине. В ответ малварь шлёт эмодзи часов, пока обрабатывает запрос, и ставит галочки на выполненные. Судя по всему, это всё рассчитано на обход решений, отслеживающих текстовые команды. Саму малварь используют пакистанские хакеры, ломая правительственный дистрибутив BOSS индийского правительства. Но оригинальный подход легко перевести и на любые другие дистрибутивы. Так что теперь у нас есть не только приложения для общения из одних эмодзи, но и работающий на них вредонос. Так и живём.
@tomhunter
#news Исследователи представили новую атаку по ML-моделям. Она эксплойтит питоновский формат Pickle, столь же популярный, сколь и незащищённый. В отличие от иных атак по системам разработчика, Sleepy Pickle ведёт к компрометации самой модели.
Атака подразумевает внедрение вредоносного кода в файл Pickle и его доставку по целевой системе жертвы через AitM-атаки, фишинг и иные векторы. При десериализации модель может обзавестись бэкдором или отравленной выдачей. В качестве примера от исследователей в модель вводят информацию «отбеливатель лечит простуду», и юзер на соответствующий вопрос получает предложение пить горячий чай с лимоном, мёдом и отбеливателем. Чем это отличается от модели, натасканной на комментариях щитпостеров с Реддита, неясно. Но у атаки, конечно, могут быть и более серьёзные применения. Подробнее о ней с персистентностью и обфускацией в отчёте, раз и два.
@tomhunter
#news В сети новый фишинговый тулкит от товарища mr.d0x, на этот раз с эксплойтом прогрессивных web-приложений. Он позволяет создать окна логина в корпоративные аккаунты для кражи данных доступа.
При скачивании с условного фишингового сайта, PWA из тулкита может отобразить убедительное окно, дизайн которого ограничен только фантазией злоумышленника. На скрине фейковое окно от Microsoft 365. По аналогии с BitB-китом интегрирована фейковая адресная строка для большей убедительности. С учётом того, что фишинг через PWA — вещь относительно новая и редко упоминаемая в ИБ-программах для сотрудников компаний, у атаки есть неплохие шансы на успех. Демо от mr.d0x’a доступно на GitHub. А здесь видео с примером работы.
@tomhunter
#news Китайские госхакеры продолжают демонстрировать впечатляющие результаты: согласно новому отчёту от нидерландских безопасников, масштабы шпионской кампании китайцев по CVE-2022-42475 в FortiOS были больше, чем предполагалось. За несколько месяцев в 2022-м и 2023-м были взломаны не меньше 20 тысяч систем Fortigate.
Ещё пока уязвимость была нулевым днём, китайцы заразили 14 тысяч устройств. Десятки западных правительств, международные организации, оборонка. С учётом персистентности назвать точное число жертв невозможно, и, скорее всего, доступ ко многим систем у Китая есть до сих пор. А нидерландское Минобороны от масштабных утечек уберегла только сегментация сетей. В общем, сумрачный китайский гений в деле. Это вам не боевые канальчики в Телеграме вести.
@tomhunter
#news Новость из серии «Стыдно быть вольным киберпреступным хабом». После рансомварь-атаки 3 июня по поставщику медицинских услуг Synnovis в Лондоне встали несколько больниц. Были перенесены или отменены несрочные операции, переливания и приёмы. А теперь в больницах заканчивается кровь.
Из-за отвалившихся систем нет возможности оперативно сопоставлять доноров и пациентов. Для переливания вынуждены использовать универсальную первую группу, её запасы иссякают. Больницы запросили её доноров срочно сдать кровь для продолжения процедур. Кто провёл атаку? Предполагают, русскоязычная RaaS-операция Qilin. Как считает британская NCSC, стоящие за атакой слабо себе представляли, какой ущерб они нанесут, и просто заинтересованы в выкупе. Так и живём.
@tomhunter
#news Как известно, Google требует от разработчиков приложений под Android прописывать политику конфиденциальности даже там, где данные не собирают. Товарищ Джейми Завински подошёл к задаче творчески: политика его XScreenSaver превратилась в манифест «Семьдесят вещей, которые не так с Google».
XScreenSaver в отличие от Google не собирает пользовательские данные. Не использует их, не отслеживает локацию. Не содержит скрытых микрофонов. Не записывается в военные подрядчики США и Израиля. XScreenSaver не даёт взятки правительству и не давит конкурентов. И даже к разработке WebP отношения не имеет. В общем, та политика конфиденциальности, которую интересно почитать. Google её одобрил, так что, видимо, возражений не имеется. Впрочем, чего им стесняться. Не за репутацию же мегакорпорации добра переживать.
@tomhunter
#news У New York Times случилась масштабная утечка: слиты исходники с их GitHub. И оказались на 4Chan. 270GB, 5000 репозиториев, 3,6 миллионов файлов. Документация, внутренние инструменты, исходный код приложений и прочее-прочее. Всё это теперь раздаётся торрентом для всех желающих.
Взлом произошёл в январе 2024-го с помощью утёкшего токена от GitHub. Между тем корпоспик от NYT как всегда демонстрирует чудеса оптимизма: проблему они быстро порешали, все нужные меры приняли, последствий для их работы не было, как и доступа к внутренним системам. Ну а то, что в открытый доступ ушли вообще все их исходники, включая несколько популярных приложений, — это так, незначительные детали.
@tomhunter
📲 https://youtu.be/es8jyAkl4a4
Запись эфира на канале Полосатый ИНФОБЕЗ. Говорим о предупреждении киберугроз с основным разработчиком сервиса ThreatHunter Денисом Симоновым. Чем мониторить внешний периметр, домены, утечки, СМИ и соцмедиа, Telegram и Дарквеб...
@tomhunter
#news Атака по Snowflake рискует превратиться в одну из самых масштабных утечек данных в истории. У облачного провайдера уже стянули данные компаний Ticketmaster и Santander на 560 и 30 миллионов записей о клиентах, соответственно. И прочие жертвы атаки подтягиваются.
Так, на ожившем BF всплыли данные компаний Advance Auto Parts и LendingTree — 380 и 190 клиентских записей. В первой сообщили, что расследуют возможную утечку, связанную со Snowflake. Последняя поначалу всё яростно отрицала и требовала удалить ИБ-отчёт о взломе. Затем признала, что их взломали данными с инфостилеров, но продолжает занижать масштабы произошедшего. Кто именно стоит за взломом, пока неясно. Но в перспективе данных утекло столько, что суммарно это всё может с лихвой побить слив полицейской базы на миллиард китайцев пару лет назад.
@tomhunter
👾 ИАС «ОКО» - единое цифровое пространство для сбора актуальных данных из открытых источников информации.
ОБЪЕКТЫ ИССЛЕДОВАНИЙ:
🔤 номер телефона или адрес email
🔤 ФИО или паспортные данные
🔤 госномер ТС или VIN
🔤 название организации или ИНН
🔤 никнейм в Telegram
🔤 адрес криптокошелька
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ:
🅰️ организация мониторинга изменения данных
🔤 массовая проверка данных (csv, xsl)
🔤 настраиваемые формы отчетов
Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
#news ФБР продолжает пинать немногое оставшееся от LockBit. Бюро заявило, что у них на руках 7,000 ключей шифрования группировки, и предложило жертвам обратиться за бесплатным восстановлением данных. При этом с июня 2022-го по февраль 2024-го Lockbit совершила как раз около 7,000 атак.
Ранее после перехвата серверов группировки любители чертовски хорошего кофе называли число в 2,500 попавших к ним ключей. Что LockBitSupp яростно отрицал, заявляя, что у них ничего толком нет. Впрочем, как показали последние месяцы, есть много чего и ещё с запасом. Так что на фоне этого даже воспоминания о былых победах над Boeing и редкие успешные атаки от 3,5 оставшихся в партнёрке индивидов бренду уже ничем особо не помогут.
@tomhunter
#news У TikTok возникла проблема с перехватом аккаунтов: некая 0-day уязвимость с нулевой интеракцией. Злоумышленники используют её для угона аккаунтов брендов и знаменитостей, малварь присылают в личные сообщения. CNN пришлось снести свой аккаунт на несколько дней после перехвата.
Представитель TikTok сообщил, что затронуто лишь небольшое число пользователей, и вектор атаки они перекрыли, чтобы в дальнейшем такое не повторялось. Детали уязвимости и каких-либо подробностей не приводят. В общем, компания быстро выяснила, какой из встроенных бэкдоров умудрились отыскать злоумышленники, и прикрыла лавочку. До следующего раза.
@tomhunter
#news Вишенка на торте недавних приключений СДЭК: в сети всплыла часть данных отправителей, включая товары, пункты отправки и фото посылок. Можно было бы подумать, что это из старых утечек, но данные за апрель.
СДЭК уже достаточно натерпелась за последние дни, так что компания с ходу сообщила: «У нас нет оснований полагать, что произошла утечка данных». И правда, какая это утечка, когда это всего лишь несанкционированное выкладывание данных в сеть. При этом не похоже, что слили их злоумышленники, так как данные не всплыли на профильных форумах. Так что, видимо, просто ошибочка вышла, так совпало. Между тем сегодня компания также признала, что сбой был вызван «внешним воздействием», накинув двойную порцию корпоспика за день. Кому было интересно, с деталями атаки уже ознакомились на ресурсах организаторов лёгкого внешнего воздействия. Так что на этом тему можно закрывать.
@tomhunter
#news Интересное исследование ИБ-индустрии Китая с уклоном в гражданских безопасников, их основные команды и то, как сумрачный китайский гений использует их в качестве кибероружия.
Вкратце, в Китае выстроена мощная экосистема от университетской скамьи до госгруппировок. В гражданской среде студенты-безопасники активно соревнуются в поиске уязвимостей в западном софте, а специалисты с Pwn2Own и его аналога Tianfu Cup находятся под пристальным вниманием. CVE и эксплойты из гражданского сектора зачастую оказываются в руках госгруппировок, как уже было известно из слива i-Soon. А вишенка на торте китайской ИБ-индустрии: обо всех найденных уязвимостях безопасники обязаны сообщать госструктурам. Так что в сущности весь ИБ-сектор Китая — даже максимально далёкий от государства — обслуживает его геополитические интересы. Подробнее в отчёте.
@tomhunter
#news В Испании на прошлой неделе арестовали предполагаемого главаря хакерского группировки Scattered Spider. 22-летнее юное дарование под ником Tylerb родом из Великобритании, его обвиняют во взломе многочисленных компаний и краже $27 миллионов.
Подростковая Scattered Spider неоднократно светилась в новостях последние пару лет. На её счету взломы Twilio, LastPass, DoorDash и почти 130 других компаний. Арестованный также был связан со сим-свопингом и сопутствующими развлечениями киберпреступной молодёжи. В числе которых нападения за битки на конкурентов с коктейлями Молотова в окно и стрельбой по домам. К самому Tylerb’у вламывались домой и угрожали сжечь горелкой, если он не выдаст ключи от своих криптокошельков. После чего он из Великобритании и сбежал. Но теперь его крипта в надёжных руках. После предложения от ФБР, от которого невозможно отказаться, товарищ не только ключи, но и всех подельников с потрохами сдаст.
@tomhunter
#news Пятничные новости о выгорании в ИБ-индустрии. Согласно новому отчёту от Bitfender, жизнь у безопасников на Западе не сахар. Больше 70% перерабатывают на выходных, 64% опрошенных недовольны работой и планируют искать новую. Хуже всего британцам: с переработками сталкиваются 81% ИБ-бедолаг.
Среди основных угроз названы фишинг, уязвимости с нулевыми днями и рансомварь — мнение разделились примерно поровну. Почти все безопасники (96%) убеждены, что ИИ-модели создают угрозу для кибербезопасности. А 71% занятых в индустрии людей в прошлом году были недовольны используемыми ими решениями по безопасности. В общем, переработки, выгорания и неудовлетворённость работой правят бал. Число взломов растёт, фишинг становится всё изощрённее, а в половине компаний нет регулярных аудитов. Скачать отчёт и задуматься над своими карьерными решениями можно здесь. А можно провести выходные в блаженном неведении. Если, конечно, не застанете их на работе.
@tomhunter
#news Очередная поучительная ИБ-история из серии «Как не надо мстить работодателю». Или «Не забывайте отзывать данные доступа сотрудников». В Сингапуре в 2022-м был уволен QA-инженер местной компании NCS. Расстроенный увольнением товарищ Кандула Нагараджу обнаружил, что его логин всё ещё активен. И четыре месяца спустя закинул вайпер на сервера бывшего работодателя.
Скрипт потёр 180 тестовых серверов компании, с которыми ранее работал герой истории. В итоге на восстановлении NCS потеряла почти 700 тысяч долларов. А мстительный Нагараджу получил 2 года и 8 месяцев тюрьмы — на его ноуте нашли и вредоносный скрипт, и историю поиска по его использованию. На фото лицо человека, чей пранк не удался.
@tomhunter
#news В России обсуждают создание отдельной госструктуры по кибербезопасности. У нас может появиться новый федеральный орган, занимающийся вопросами ИБ, пока идёт активное обсуждение с отраслью по теме.
Сейчас вопросами инфобеза занимаются сразу несколько структур, включая ФСБ, Минцифры и ИБ, что ведёт к рассинхрону по некоторым вопросам. Новая структура призвана стать единым центром, занимающимся регулированием, противодействием, координацией и иным сопутствующим в сфере кибербезопасности. В общем, такой вот Росинфобезнадзор получается. Станет ли новый надзорный орган с раздутым бюджетом панацеей от ИБ-бед, масштабных утечек и прочих радостей? Делайте ваше ставки.
@tomhunter
#news Новые высоты в фишинговых рассылках: в Великобритании арестовали двух злоумышленников, которые вели массовую мошенническую кампанию. Но есть интересный нюанс: делали они это с помощью некой самодельной мобильной антенны. Полиция описывает её как незаконную телефонную вышку и даже смс-пушку.
Рассылка шла от лица банков, госструктур и прочего официального. Преступникам также удалось обойти защиту мобильных операторов от смишинга. Поэтому звучат предположения, что это был IMSI-перехватчик, но подтверждений нет. Также это мог быть SIM-банк или куча телефонов, заточенных под массовую рассылку. В любом случае новость занятная. За простой смской от мошенника могут скрываться и такие безумные инженерные умения.
@tomhunter
#news Появляются новые подробности атаки по Snowflake, рискующей войти в историю как самая масштабная утечка данных. Компания не врала, когда заявила, что затронута лишь малая часть клиентов. 165 компаний от почти 10 тысяч — это немного. Относительно немного.
Злоумышленники, обозначенные как UNC5537, финансово мотивированы. Она базируются в Северной Америке и сотрудничают по атаке с некой группировкой в Турции. Mandiant указывает три слабых места, которые привели к эпических масштабов взлому. Вполне очевидных. Отсутствие мультифакторки, регулярной ротации данных доступа и подключений, ограниченных проверенными локациями. Между тем данные с инфостилеров, которыми ломали компании, тянутся вплоть до ноября 2020-го. Какая уж там ротация. С такими датами данные доступа можно захардкодить и клеить на мониторчики в бухгалтерии — хуже не станет.
@tomhunter
#news По следам единодушного выражения любви и признательности Microsoft за новую фичу, компания решила прислушаться к сообществу. Но лишь слегка: Recall не будет включён по умолчанию. Варианта «Не будет установлен вообще, нюкнет систему и дёрнет юзера током при попытке поставить» не предусмотрено. Включится ли фича нечаянно при одном из последующих обновлений? Делайте ваши ставки.
Помимо этого, Recall получит дополнительное шифрование и потребует биометрической аутентификации пользователя через Windows Hello — пока юзер не войдёт в систему, каталог фичи и сделанные ей скриншоты якобы будут зашифрованы. Вероятно, на эти подачки повлияло ИБ-сообщество, уже успевшее собрать пару инструментов для вскрытия базы Recall и её просмотра. Но с учётом того, что фичу не отозвали и не принесли извинения, триумфально провозгласить «Мы сделали это, Реддит» пока не получается.
@tomhunter
#news Sticky Werewolf продолжает свои атаки по российской инфраструктуре. Целью недавней кампании стала авиационная отрасль. Злоумышленники рассылают фишинговые письма от лица ОКБ «Кристалл» с предложением поучаствовать в видеоконференции.
В архиве декой-пдфка и две .lnk-файла под видом доковских, ведущие на малварь на WebDAV-серверах. В качестве итоговой вредоносной нагрузки подтягиваются инфостилер и троян удалённого доступа. Так что группировка продолжает вести деятельность, направленную на шпионаж и стягивание данных. Судя по всему, даже без неловких конфузов с вредоносом, как у собратьев по хактивизму из Scaly Wolf. Подробнее о свежей цепочке атаки в отчёте.
@tomhunter
#news По сети разлетелись новости с заголовком «Фанаты Club Penguin взломали Confluence-сервер Disney и стянули 2,5GB данных». На 4Chan опубликовали архив на 137 PDF семилетней и больше давности по дизайну игры. Помимо этого, неизвестные злоумышленники, якобы искавшие данные Club Penguin, стянули ещё несколько гигов внутренних данных Disney.
Инфраструктура, бизнес-проекты, ранее неизвестные внутренние инструменты, API-эндпоинты, данные доступа от вёдер S3 и прочее-прочее. В отличие от данных по клубу пингвинов, это всё свежее — до начала июня. Несмотря на кликбейтный заголовок, новость типично пятничная. Пингвинчики выросли, радикализировались и взяли судьбу любимой франшизы в свои руки. Следом, должно быть, любители Team Fortress 2 отправятся на сервера Valve за исходниками, чтобы поднять свой TF2 без воллхака и ботов.
@tomhunter
#digest Подводим итоги мая дайджестом самых горячих ИБ-новостей. Последний весенний месяц выдался богатым на всевозможные интересные события. Так, СДЭК стал жертвой масштабной рансомварь-атаки. Microsoft представила фичу Recall, подвергшуюся яростной критике инфобез-сообщества. На устройствах Apple после обновления стали внезапно всплывать старые фото. А мессенджер Signal оказался в центре скандала в свете занятных подробностей финансирования и управления.
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте на Хабре!
@tomhunter
#news Вышла новая версия Kali Linux, 2024.2. В релиз добавили восемнадцать инструментов для безопасников и им сочувствующих, так что новых игрушек с запасом, включая autorecon, sploitscan и waybackspy. Также дистрибутив перевели на t64, чтобы закрыть вопрос Y2038. Linux Kernel 6.8 же пока обошёл релиз стороной — добавить его не успели и включат только в следующей версии.
Кроме того, как гласит теорема Попова, в каждом порядочном дистрибутиве должны быть интересные обои. С этим в свежем релизе тоже всё в порядке: подвезли Gnome 46 и новую версию Xfce desktop. В общем, раздолье и для ИБ-любителей, и для профессионалов. Полный чейнджлог по ссылке.
@tomhunter
#news Курьёзный ИБ-случай из США. Старшего офицера на одном из боевых кораблей отстранили от обязанностей и понизили в звании после расследования. Причина? Дамочка тайком установила на судне Wi-Fi. Вместе с ней наказанию подверглись прочие любители развеять невыносимую скуку морских походов. Отягчающим обстоятельством же стала попытка подделать данные со Starlink, чтобы скрыть точку.
Роутер простоял на корабле с марта по август прошлого года, потенциально превращая его в рождественскую ёлку на пеленгаторах при всём прочем отключённом. 2030-й год, ты простой американский моряк посреди конфликта с Китаем. Твой корабль идёт на дно, потому что старший офицер тайком поставила в кубрике точку Wi-Fi, чтобы смотреть на досуге фильмы и постить танцульки в Тикток.
@tomhunter
#news Пока СДЭК за кулисами подсчитывает убытки от своих нечастых бэкапов и дырявых систем, к собрату по несчастью присоединяется сеть магазинов «Верный». С 1 июня отвалился приём карт, и, судя по почерку, это тоже рансомварь — возможно, те же люди, что атаковали и СДЭК.
Как сообщил глава торговой сети, основная версия сбоя — вымогательство денег. А где отвалившиеся IT-системы с такой формулировкой, там и рансомварь. Пока идёт восстановление работы, аналитики соревнуются в суммах ущерба. Называют суммы около миллиарда рублей за неделю отключки, дополнительные издержки с учётом возможной утраты данных — до 20-50 миллионов. В общем, такая вот она, обратная сторона многолетнего бытия СНГ вольным киберпреступным хабом, оказавшимся под прицелом сомнительного хактивизма. Огромные корпорации на практике познают, почему в первом мире инфобез стоит больших денег, а безопасники не только по конференциям кутёж устраивают.
@tomhunter
#news На японской криптобирже DMM Bitcoin в последний день мая произошёл аналог хлопка — как сообщает анонс, случилась «неавторизированная утечка криптоактивов». А говоря человеческим языком, кража. ~4,500 биткоинов утекли с биржи и мгновенно разлетелись по десятку адресов. Это примерно 308 миллионов долларов.
Деталей кражи DMM Bitcoin не приводит, но далеко ходить за предположениями не нужно — либо неавторизированный доступ к корпоративным системам, либо уязвимости в смарт-контрактах/сайте. Если кража подтвердится, она станет крупнейшей в этом году, восьмой по объёму украденных средств в истории и самой крупной с ноября 2022-го, когда с FTX стянули почти полмиллиона долларов.
@tomhunter