14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news WordPress c 1 октября вводит обязательную 2FA для разработчиков. Аккаунты с доступом к пушу обновлений и изменений в плагины и темы должны будут обзавестись двухфакторкой. Помимо этого, представили пароли SVN. Они пойдут на доступ к репозиториям отдельно от основной учётки и в случае компрометации последней их можно будет отозвать.
Разработчики местами бурчат: с двухфакторкой и какими-то там SVN им будет неудобно. Бурчание можно игнорировать — неудобства временные, а плюсы очевидны. Возможно, новые меры защиты порежут нескончаемые вредоносные кампании на WordPress-сайтах и прочие атаки на цепочку поставок. Хотя фундаментальную проблему WordPress это, конечно, не исправит: лучшее в Wordpress — это что плагин может написать кто угодно. Худшее в WordPress — тоже что плагин может написать кто угодно. Так что 2FA из-под палки — явно меньшее из зол.
@tomhunter
#news Что делают безопасники, изнывающие от жары в Лас-Вегасе на Black Hat? От скуки тратят $20 на истёкший домен и нечаянно нарушают целостность интернета. Это произошло с WHOIS-сервером под .mobi — он переехал на другой адрес, старый выкупили исследователи. И понеслось.
На нём подняли WHOIS-сервер, чтобы посмотреть, кто по нему ещё стучится. Итог за 5 дней: 135+ тысяч систем и 2,5 миллиона запросов. От всевозможных военных и госструктур, VirusTotal, одной сингапурской ИБ-фирмы… Более того, на сервер шли запросы от центров сертификации — и он возвращал почту безопасников как валидную. В итоге они были в одном клике от того, чтобы выписать себе TLS/SSL от microsoft.mobi. Иными словами, выдача сертификатов под .mobi была скомпрометирована — товарищи стали админами домена верхнего уровня. А могли стать госхакеры. И получить поверхность атаки размером с TLD со всем из этого вытекающим. Подробнее в отчёте, чтиво занимательное.
@tomhunter
#news Платёжный сервис из Флориды Slim CD раскрыл утечку данных кредитных карт 1,7 миллионов человек. Утекло всё, кроме кодов CVV — единственное, что помешало инциденту приобрести впечатляющие масштабы.
Что интересно, хотя злоумышленники получили доступ к данным 14-15 июня, системы были скомпрометированы ещё в августе прошлого года. Так что у компании ушёл целый год, чтобы заметить взлом. На фоне этого отрабатывающий корпоративные извинения пиар-отдел выглядит совсем комично. Точнее, даже извинений не подвезли. Нет и распространённой в таких случаях подачки в виде защиты от кражи идентичности. Но «Slim CD ценит конфиденциальность, приватность и защищённость информации клиентов». А по ним и не скажешь.
@tomhunter
#news Функция однократного просмотра сообщений в WhatsApp идёт с серьёзной уязвимостью. Её защиту легко обойти, что позволяет просматривать медиа многократно, сохранять их и далее по списку стандартных действий.
А разгадка, как уже можно догадаться, проста: однократные сообщения эквивалентны обычным, просто на них висит флаг «view once». Соответственно, атака сводится к тому, чтобы этот флаг убрать. Функция существует уже три года с такой вот оригинальной имплементацией. Более того, на GitHub обнаружились образцы кода в виде расширения для Chrome и модифицированного клиента под Android с эксплойтом уязвимости. Так что готовые рискнуть неизвестным кодом могли превращать приватные сообщения в не очень приватные одним кликом. WhatsApp активно работает над фиксом. А пока проверка концепции в видео здесь.
@tomhunter
#news В США предъявили обвинения создателям WWH-Club. По данным следствия, Ходырев и Кублицкий управляли форумом, а также связанными с ним сайтами Skynetzone, Opencard и Center-Club. По совокупности обвинений в мошенничестве и сговоре им грозят до 20 лет тюрьмы.
Между тем WWH-Club ушёл в полное отрицание произошедшего. Арестованные названы модераторами, их аккаунты с форума удалили, а юзерам предложено сменить никнеймы, чтобы запутать следствие и спать спокойнее. Увы, такие оригинальные контрмеры вряд ли существенно помогут с учётом того, что у ФБР, как сообщило бюро, был доступ к админке и базе данных форума. Отдельным личностям, вовлечённым в его работу, вместе с никнеймами стоит менять и места проживания на те, из которых нет экстрадиции. Иначе шансы составить компанию простым модераторам Ходыреву и Кублицкому довольно высоки.
@tomhunter
#news На репозитории PyPI отследили новый метод атаки на цепочку поставок. Он получил название «Revival Hijack», и, как можно догадаться по названию, завязан на перехват удалённых пакетов. Уязвимость сводится к политике удаления с платформы, после которого название пакета сразу доступно для регистрации.
Эксперимент показал, что система PyPI не распознаёт смены авторства пакетов, так что злоумышленники могут с лёгкостью заменить удалённые версии своими. Атаки такого рода уже были по платформе, и исследователи насчитали 22 тысячи уязвимых названий. И не поленились зарезервировать их, загрузив безопасные пустые версии. Это не отменяет возможности продолжения атак по пакетам, которые удалят в дальнейшем, так что разрабам теперь держать в уме очередной возможный вектор атаки. Подробнее о «Revival Hijack» с примером замеченной весной атаки в отчёте.
@tomhunter
В конце августа прошла конференция по кибербезопасности OFFZONE 2024. На ней выступил наш пентестер Александр Ларин с занятной темой «Ломаем «Битрикс» через мобилку: как мобильные приложения помогают пробить инфраструктуру заказчика».
Уязвимости в мобильном приложении и немного OSINT — и наша команда получила полный доступ с нуля уже к веб-приложению. Как любовь юзера к спортивной рыбалке помогает OSINT-детективу взломать компанию? Об этом и других примерах компрометации веба через мобильный софт из увлекательных будней пентестера в видео с конференции.
@tomhunter
#news Новые рекорды инфобеза в России, но вновь есть нюанс. В первом полугодии утёк почти миллиард строк персональных данных. Это на треть больше, чем за аналогичный период прошлого года. Количество зарегистрированных утечек выросло до 415 — их на 10% больше.
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
#news Давненько не было новостей про любимый поисковик по лицам всех спецслужб, Clearview AI. Речь, конечно же, об очередном штрафе: Нидерландская DPA выписала компании штраф в €30,5 миллионов, а за отказ прекратить нарушения обещает на сдачу выдать ещё €5,1 миллиона санкционных.
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
#article Опубликовали новую статью «Google Sheets как инструмент OSINT-детектива». В ней речь пойдёт о том, как использовать всю мощь экосистемы Google с её расширениями и скриптами и превратить Google Таблицы в незаменимое подспорье для любого OSINT-специалиста. Это первая статья из цикла, в ней мы разберём автоматизацию дорков для поиска по картинкам, никнеймам и физическим лицам. С формулами и примерами. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Удивительные последствия возросшего в России числа кибератак: согласно опросам, с начала лета 85,2% организаций начали серьёзнее относиться к инфобезу. Весёлые приключения СДЭК и ретейлера «Верный» массово открыли глаза на существование ИБ по всем индустриям.
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования.
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
#news Бразилия задаёт тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
#news RansomHub обзавелась собственной страницей на сайте CISA. Как сообщает ФБР, с февраля 2024-го на счету группировки больше двухсот жертв по всей критической инфраструктуре США и не только.
Группировка в основном работает по вымогательству после кражи данных, но не стесняется и шифрования — ранее RansomHub уже обозначили как потенциальных покупателей исходников рансомвари Knight. В последнее время группировке также удалось переманить крупные фигуры из LockBit и BlackCat за счёт более чем щедрой схемы выплат по партнёрке. Что интересно, группировка также позволяет партнёрам работать в других RaaS-операциях. Так что, скорее всего, о RansomHub в ближайшие пару лет мы услышим ещё не раз. До первых визитов ФБР на их сервера. Подробнее о деятельности группировки, её TTPs и IoCs в отчёте.
@tomhunter
#news Павел Дуров освобождён под залог в $5 миллионов. Ему запретили покидать Францию, он должен дважды в неделю отмечаться в полиции. Абсурдные обвинения идут по ранее озвученным статьям, включая отказ от сотрудничества, незаконное предоставление средств криптографии и соучастие в распространении наркотиков и прочего крамольного. Так что эпопея продолжается.
Между тем для любителей OSINT на скриншоте наглядный пример, почему не надо возить с собой в деловые поездки инстаграмных девок. Они задокументируют онлайн всё. Вообще всё. Включая визиты в азербайджанский центр кибербезопасности перед полётом во Францию. С подписью «Побывали в Министерстве Кибербезопаности». Майор Вавилова по приказу прибыла, желаю здравия.
@tomhunter
#news Северокорейцы из Lazarus продолжают кампанию по рассылке фейковых тестовых заданий для разработчиков. Кодеры на Python получают предложения на LinkedIn якобы от крупных банков в США. Тестовое предлагает найти баг в коде. А в пакете малварь.
Пакет идёт c социнженерией формата «Собрать проект за 5 минут, найти и исправить баг за 15, отчитаться за 10» в расчёте, что разработчик не станет проверять тестовое на вредонос. Цели у кампании прежние: получить доступ к устройству, а с него — уже к сети организации, в которой работает жертва. Lazarus светились с этим вредоносом на Гитхабе в конце июля и, судя всему, по этому вектору всё ещё активны. Так что разрабам следует быть начеку: заманчивое предложение от банка в Штатах с шестизначной суммой, релокацией и грамматикой в readme уровня 6 класса сельской школы — не то, чем кажется. С ним релоцироваться получится только с нынешнего места работы в безработные.
@tomhunter
#news Передачу данных электромагнитным излучением, через LED-индикаторы, кулеры и SATA-кабели на изолированных от сети системах мы уже видели. Теперь как насчёт… звукового шума от работы пикселей монитора?
Доктор Гури продолжает удивлять. Его новый шпионский вредонос генерирует специальные паттерны пикселей, которые создают звуковые сигналы, передаваемые без внешних устройств. В ход идёт вибрация катушек и конденсаторов в экранах, она же писк катушек, который человек практически не слышит — диапазон от 0 до 22 кГц. Но им можно закодировать и передать данные. Достигается это за счёт bitmap и вывода на экран чередующихся чёрно-белых полос. В итоге пиксели-предатели пересылают информацию на встроенный микрофон на расстоянии нескольких метров. Материал, конечно, чисто лабораторный. Но атака выглядит как прямиком из шпионского боевика. Слышишь пиксели? И я не слышу. А они данные передают.
@tomhunter
#article Продолжаем наш разговор об использовании электронных таблиц в работе OSINT-аналитиков. В первой части нашего цикла статей мы говорили об автоматизации генерации дорков (расширенных операторов поисковых запросов). Сегодня мы коснемся вопроса интеграции в таблицы данных из внешних API. Пишем скрипты, парсим данные и пополняем чемоданчик полезных инструментов OSINT-детектива. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Мордекай Гури и изолированные от сети системы созданы друг для друга. Список хардварных предателей пополнила оперативная память: учёный разработал атаку для стягивания данных с помощью её электромагнитного излучения. Она получила название «RAMBO», Radiation of Air-gapped Memory Bus for Offense.
Вредонос в этом случае генерирует излучение, которое может перехватить радиоприёмник. В ход идёт двоичный код по Манчестерскому кодированию. Скорость передачи достигает 128 байт в секунду, что вполне позволяет стянуть текстовую информацию и небольшие файлы. Из ограничений, как обычно, физический доступ к устройству и расстояние — до 7 метров. При этом RAMBO эффективна даже при виртуализации: хотя связка хост-виртуалка может нарушать передачу данных, метод всё ещё работоспособен. Так или иначе, теоретический чемоданчик цифрового шпиона пополнился новым инструментом. Митигация тоже интересная — глушение сигнала оперативки и клетки Фарадея. Подробнее об атаке в научной работе.
@tomhunter
#news Ещё один пример расследования против Pegasus после смены власти. На очереди Колумбия: президент обратился к прокуратуре с просьбой расследовать покупку спайвари. Предположительно, её использовали для слежки за оппозицией и в ходе президентских выборов.
Но так как речь про Латинскую Америку, есть интересный поворот. Покупку не провели через бюджет, а деньги вывезли из страны в Тель-Авив наличкой на самолёте. Цена Pegasus в Колумбии — $11 миллионов. Так что возникли некоторые подозрения, что прежняя администрация немножко наварилась на сделке. В принципе, представить участие NSO Group в схемах по отмыву денег не так трудно. Им не привыкать работать с коррумпированными режимами и прочими банановыми республиками — можно и помочь дорогому клиенту вывезти из страны десяток миллионов на счастливую старость. А заодно и на свою: израильские СМИ пишут, сделку проводил готовящийся к пенсии глава по контролю над экспортом Минобороны. Ох уж эти счастливые торговцы.
@tomhunter
#news Удар ниже пояса от киберпреступников по своим собратьям: под видом инструмента для взлома аккаунтов на OnlyFans злоумышленники распространяют инфостилер.
Инструмент идёт под видом чекера украденных данных доступа по платформе и их актуальности. Вместо этого он подтягивает с GitHub вредонос Lumma. Судя по Гитхабу, это часть более масштабной кампании: она также нацелена на желающих взломать аккаунты Disney+ и Instagram, а также обзавестись собственным Mirai-ботнетом. Далеко не первый пример огня по своим в киберпреступном сообществе. Но с учётом приманки в виде OnlyFans и Instagram охват максимально широкий — желающих вскрыть аккаунт предмета своего обожания найдётся немало и вне хакерских кругов. Увы, получат они только кражу собственных данных и никакого удовольствия.
@tomhunter
#news Подводим итоги месяца нашим традиционным дайджестом самых интересных новостей. Август принёс страсти по Цукербринам: Дуров, Маск и Цукерберг дружно попали в громкие заголовки. В России же готовят проект о сборах с компаний за иностранное ПО, а в США хотят приравнять киберпреступников к террористам.
Август принёс рекорды: брокер данных в США допустил утечку 2,7 миллиардов записей на американцев, а 2024-й на пути к рекордному году по рансомварь-выплатам. Также в ушедшем месяце форум WWH Club вместе с владельцем из МММ и группировка Dispossessor отправились под нож ФБР. Об этом и другим новостях и ИБ-курьёзах последнего летнего месяца читайте на Хабре!
@tomhunter
#news Исследователь опубликовал анализ и проверку концепции к CVE-2024-38106 — нулевому дню в ядре Windows. Уязвимость на повышение привилегий до System была исправлена в августовском патче и активно эксплуатируется злоумышленниками.
Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
#news Новости из мира, где за бреши в кибербезопасности приходится платить. Производитель камер наблюдения из США Verkada выплатит $2,95 миллиона за взломы, от которых компания пострадала в 2020-м и 2021-м годах.
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
#news 27 августа на выставке «Мой Петербург» в Историческом парке «Россия – моя история» прошел Цифровой день Комитета по информатизации и связи. Гости выставки смогли побывать на презентации цифрового сервиса «Я здесь живу», где узнали о разработке приложения, технологиях и языках программирования, а также приняли участие в розыгрыше сувениров. Руководитель департамента киберрасследований T.Hunter Игорь Бедеров поделился с посетителями методами и приемами выявления технической слежки при помощи обычного смартфона. Фотографии и презентации с выставки доступны по ссылке.
@tomhunter
#news К новинкам малвари. Исследователи обнаружили необычную кампанию по распространению ранее неизвестного бэкдора, который разработчики назвали Voldemort. Доставляют его с 5 августа фишинговыми письмами под видом налоговых служб по организациям США, Европы и Азии.
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
#news В Штатах оригинальный случай суда над безопасником. Известного под псевдонимом Connor Goodwolf исследователя преследуют за публикацию данных, украденных после рансомварь-атаки у администрации города Колумбус.
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
#news Исследователи отследили новую фишинговую кампанию под видом звонков из IT-отдела. Жертвам звонят на личные телефоны и с помощью социнженерии выманивают данные доступа от VPN.
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
#news Очередная поучительная история о попытке вымогательства в адрес работодателя. 57-летний разработчик из США зашёл в сеть своей компании под админкой и поставил запланированные задания на смену паролей админа, администраторов домена и юзеров. В прошлом ноябре в час Х он разослал по компании письма «Ваша сеть взломана».
Злоумышленник потребовал выкуп в $700 тысяч в битках и угрожал отключать по 40 серверов в день, пока его не выплатят. Под это он тоже предусмотрительно поставил задания. Увы, шалость не удалась. А на ноутбуке товарища нашли историю доступа к скрытой виртуалке, с которой он гуглил детали своего плана вплоть до «Командная строка для смены пароля администратора». На днях горе-шантажиста повязали и предъявили обвинения в вымогательстве, порче оборудования и электронном мошенничестве. Что бывает, когда почитал об успехах рансомварщиков и слишком поверил в себя.
@tomhunter
#news Лайфхак от нашего руководителя департамента расследований. Как выявлять слежку за вами при помощи BT-трекеров (AirTag и пр.)?
📱 Если Вы - владелец Android, то рекомендуем обновить свою мобильную ОС до 14 версии. Это позволит открыть в настройках возможность автоматического обнаружения BT-трекеров. Находится менюшку по адресу:
Настройки > Безопасность и экстренные ситуации > Оповещения о неизвестных трекерах