32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Арестованы участники группировки 8Base, связанной с шифровальщиком Phobos
Министерство юстиции США предъявило обвинения двум россиянам, арестованным в Таиланде в ходе операции Phobos Aetor. Их связывают с вымогателем Phobos и участием в более чем 1000 вымогательских атак. Также правоохранители заявили о захвате инфраструктуры группировки 8Base.
https://xakep.ru/2025/02/12/8base-phobos-arrests/
Apple исправила 0-day уязвимость, использовавшуюся в «чрезвычайно сложных» атаках
Компания Apple выпустила экстренные патчи для исправления уязвимости нулевого дня, которая использовалась в таргетированных и «чрезвычайно сложных» атаках. В компании объяснили, что физическая атака позволяла отключить USB Restricted Mode на заблокированном устройстве.
https://xakep.ru/2025/02/11/usb-restricted-mode-bypass/
За один день группа TA558 разослала более 76 000 фишинговых писем
Аналитики компании FACCT обнаружили новую масштабную фишинговую атаку хак-группы ТА558. Всего за один день злоумышленники разослали фишинговые письма более чем 76 000 целей в 112 странах мира.
https://xakep.ru/2025/02/11/new-ta558-activity/
Приложение DeepSeek для iOS передает конфиденциальные данные без шифрования
Исследователи из компании NowSecure начали аудит мобильного приложения DeepSeek для iOS и обнаружили серьезные проблемы с безопасностью. Главная из них заключается в том, что приложение передает конфиденциальные данные без какого-либо шифрования, подвергая их риску перехвата и манипуляций.
https://xakep.ru/2025/02/10/deepseek-ios/
Доходы видеопиратов упали на 4,2%
Специалисты компании FACCT оценили объем рынка онлайн-пиратства в России в 2024 году в 36,4 млн долларов США (3,36 млрд рублей по среднему номинальному курсу ЦБ РФ за год). При этом доходы нелегальных распространителей видеоконтента упали на 4,2%. Аналитики связывают это с успешной блокировкой пиратских сайтов, удалением ссылок из поисковой выдачи и снижением количества трафика на такие ресурсы.
https://xakep.ru/2025/02/07/piracy-2024/
Множество мошеннических сайтов маскируется под DeepSeek
Исследователи предупреждают, что в сети появились сотни фальшивых сайтов, выдающих себя за DeepSeek. Злоумышленники используют такие ресурсы для фишинговых атак, кражи учетных данных, криптовалюты и так далее.
https://xakep.ru/2025/02/07/deepseek-fake/
22 новых семейства малвари для macOS появились за последний год
Известный специалист по безопасности macOS Патрик Уордл (Patrick Wardle) сообщил, что в 2024 году было обнаружено более 20 новых семейств малвари, ориентированных на macOS. В их числе: стилеры, вымогатели, бэкдоры и загрузчики.
https://xakep.ru/2025/02/05/mac-malware-2024/
Малварь в PyPI маскировалась под DeepSeek
Специалисты Positive Technologies обнаружили вредоносную кампанию в PyPI, паразитирующую на популярности DeepSeek. Атака была нацелена на разработчиков, ML-специалистов и обычных пользователей, которые хотели интегрировать DeepSeek в свои системы.
https://xakep.ru/2025/02/04/fake-deepseek/
Для борьбы с вредоносными обновлениями в PyPI появится система архивации
В Python Package Index (PyPI) появится система «Архивации проектов» (Project Archival), которая позволит архивировать проекты, предупреждая пользователей о том, что обновлений ожидать не стоит.
https://xakep.ru/2025/02/03/project-archival/
Syncjacking использует расширения Chrome для захвата устройств
Новая атака Syncjacking, разработанная специалистами SquareX, использует якобы безобидные расширения для Chrome для захвата устройств жертвы.
https://xakep.ru/2025/01/31/browser-syncjacking/
MEGANews. Самые важные события в мире инфосека за январь
В этом месяце: Дональд Трамп помиловал основателя Silk Road Росса Ульбрихта, хакеры заявили об атаках на Росреестр и «Ростелеком», деньги у российских пользователей воруют через NFC, в открытый доступ выложили учетные данные 15 тысяч устройств FortiGate, обнаружена массовая атака на расширения для Chrome и другие интересные новости января.
https://xakep.ru/2025/01/31/meganews-310/
Создай почтовый ящик на xakep.ru
Когда-то ты мечтал иметь почтовый ящик на «Хакере», но не успел? У тебя снова есть такая возможность! Напоминаем, что теперь мы поддерживаем эту услугу на платной основе и продолжаем подключать новых пользователей.
https://xakep.ru/2025/01/31/xakep-new-mail/
Реклама. ИП Яковлева А.В. ИНН 503806735948
Уроки форензики. Ищем следы атаки в RDP Bitmap Cache
Сегодня на примере расследования инцидента я покажу, как иногда можно найти улики в кеше RDP. Изучив закешированные данные удаленного графического подключения, мы буквально увидим, что делал злоумышленник.
https://xakep.ru/2025/01/29/rdp-cache-forensics/
HoneyCorn превращает вашу инфраструктуру в лабиринт для злоумышленников, где каждая ошибка раскрывает их цели.
Ключевые возможности HoneyCorn:
• Создание ловушек для всех сегментов инфраструктуры (локальная сеть, периметр, DMZ и т.д.)
• Обогащение SOC центра техниками, использованными атакующими
• Выявление горизонтальных продвижений
• Деонанимизация злоумышленника
• Построение Киберполигона
• Применение «игры с ложными уязвимостями», которая помогает обнаружить атакующих и их методы
Как работает HoneyCorn
Система позволяет внедрить в инфраструктуру и за ее пределы большое количество объектов, имитирующих аутентичные сервисы и объекты компании, подверженные для хакерских атак. При взаимодействии злоумышленника с ложно навязанными целями система собирает информацию о его действиях для SOC центра, либо блокирует злоумышленника.
Реклама. ИП Прокопов Максим Дмитриевич. ИНН
540535850246.
Уязвимости позволяли отлеживать все передвижения владельцев Subaru
Специалисты обнаружили уязвимости, который позволяли захватывать чужие учетные записи в сервисе Starlink компании Subaru. В итоге злоумышленники могли отслеживать, контролировать и взламывать автомобили в США, Канаде и Японии, зная, к примеру, только их номерной знак.
https://xakep.ru/2025/01/28/subaru-problems/
PT DEPHAZE: запуск нового продукта для автопентеста
Когда: 27 февраля в 14:00
Positive Technologies запускает новый продукт для тестирования на проникновение в автоматическом режиме — PT Dephaze. Он основан на многолетнем опыте компании в проведении пентестов и знаниях о том, как защищаться от киберугроз.
PT Dephaze непрерывно находит недостатки безопасности инфраструктуры, используя популярный инструментарий, тактики и техники реальных APT-группировок до того, как злоумышленники реализуют недопустимые для бизнеса события.
Мы запустим атаку от PT Dephaze в прямом эфире, чтобы показать, почему он всегда достигает цели и получает привилегии в системе. А реальный белый хакер прокомментирует все действия продукта, и расскажет, как на его месте действовал бы человек.
Присоединяйтесь!
Зарегистрироваться
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
COM в ловушке. Атакуем Windows через объекты Trapped COM #статьи #переводы
COM-объекты в Windows могут застревать в неожиданных местах — и это не баг, а фича, которой можно воспользоваться. Через интерфейс IDispatch и библиотеки типов можно не просто управлять удаленными объектами, а внедрять код в защищенные процессы (PPL), обходя механизмы безопасности Microsoft. Последнее исследование Project Zero рассказывает, как это сделать.
https://xakep.ru/2025/02/11/trapped-com/
Более 3000 раскрытых ключей ASP.NET используются хакерами
Специалисты Microsoft предупредили, что в ходе атак с инъекцией кода через ViewState злоумышленники внедряют малварь и используют для этого статические ключи ASP.NET, найденные в интернете.
https://xakep.ru/2025/02/10/asp-net-attacks/
Хакеры․RU. Глава 0х0E. Следующий уровень #подписчикам
Это пятнадцатая глава приключенческо‑фантастической истории «Хакеры.RU», которая выходит в виде сериала по субботам специально для подписчиков «Хакера». Если ты еще не читаешь, начинай с первой главы!
https://xakep.ru/2025/02/08/hackers-story-0e/
Следующая глава — 15 февраля.
В рамках защиты от буткита BlackLotus Microsoft выпустила PowerShell-скрипт
Компания Microsoft продолжает бороться с UEFI-буткитом BlackLotus и выпустила PowerShell-скрипт, который поможет пользователям Windows обновить загрузочные носители, чтобы те использовали новый сертификат Windows UEFI CA 2023.
https://xakep.ru/2025/02/07/blacklotus-script/
Вредоносный Go-пакет оставался незамеченным три года
Исследователь обнаружил бэкдор, маскирующийся под легитимный Go-пакет, который используют тысячи организаций. Вредонос оставался незамеченным несколько лет и сохранился в кеше Go Module Mirror.
https://xakep.ru/2025/02/05/fake-boltdb/
🛡Ваш Python-код может быть надежным и безопасным!
На открытом уроке «Безопасная разработка Python» вы узнаете, как защитить свои проекты от уязвимостей и критических ошибок.
Что вы освоите:
— Как находить и устранять уязвимости в Python-коде.
— Как безопасно работать с зависимостями и окружением.
— Какие инструменты помогут вам писать надежный код.
Встречаемся 6 февраля в 20:00 мск. Урок проводится в преддверии старта курса «Внедрение и работа в DevSecOps», а участники получат скидку на обучение.
👉Узнайте, как защитить свои проекты, пока другие теряют данные и репутацию: https://otus.pw/MPJD/?erid=2SDnjdvKSgC
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Google: хакеры используют Gemini AI для своих атак
Аналитики Google Threat Intelligence Group (GTIG) сообщили, что более 57 «правительственных» хак-групп экспериментируют с использованием Gemini AI для повышения эффективности своих кампаний. Так, ИИ применяют для изучения целевой инфраструктуры и проведения разведывательных операций.
https://xakep.ru/2025/02/03/gemini-ai-abuse/
Операция Talent: закрыты хак-форумы Cracked и Nulled
Правоохранители из США, Италии, Испании, Франции, Греции, Австралии и Румынии провели совместную международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked[.]io, cracked[.]to, nulled [.]to, starkrdp[.]io, mysellix[.]io и sellix[.]io. Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов.
https://xakep.ru/2025/01/31/cracked-nulled-down/
Новый Android-троян Tria маскируется под приглашения на свадьбу
Специалисты «Лаборатории Касперского» обнаружили новый стилер Tria, который ворует данные из SMS, популярных мессенджеров и электронной почты на зараженных смартфонах. Злоумышленники распространяют Tria через личные и групповые чаты в мессенджерах, выдавая малварь за приглашение на свадьбу.
https://xakep.ru/2025/01/31/tria/
Роскомнадзор составил протокол в отношении мессенджера Discord
СМИ сообщают, что Роскомнадзор впервые составил протокол против мессенджера Discord за отказ локализовать персональные данные российских пользователей. Напомним, что с октября 2024 года мессенджер заблокирован в РФ за нарушение требований законодательства.
https://xakep.ru/2025/01/31/discord-rkn/
Энтузиасты создают ловушки для ИИ-краулеров
ИИ-компании нередко обвиняют в том, что они игнорируют инструкции в файлах robots.txt и скрапят любой контент без разбора, при этом создавая большую нагрузку на сайты. Для борьбы с этим явлением начали появляться ловушки для ИИ-краулеров.
https://xakep.ru/2025/01/30/crawler-hunt/
Side-channel атаки на процессоры Apple помогают похищать данные из браузеров
Исследовательская группа обнаружила side-channel проблемы в процессорах Apple серий A и M, использующихся в Mac, iPhone и iPad. Проблемы позволяют похищать конфиденциальную информацию из браузеров и получить доступ к секретам Gmail, iCloud и так далее.
https://xakep.ru/2025/01/29/flop-and-slap/
У криповлютной биржи Phemex похитили 85 млн долларов
На прошлой неделе криптовалютная биржа Phemex подверглась атаке, в результате которой злоумышленники похитили криптовалюту на сумму более 85 млн долларов США. В настоящее время биржа приостановила ввод и вывод средств и опубликовала доказательства наличия резервов для обеспечения прозрачности.
https://xakep.ru/2025/01/28/phemex-hacked/
Бэкдор J-magic атаковал устройства Juniper Networks с помощью «магических» пакетов
Обнаружена вредоносная кампания, направленная на устройства Juniper, многие из которых выступают в роли VPN-шлюзов. Устройства атаковала малварь J-magic, которая запускает реверс-шелл только в случае обнаружения magic-пакета в сетевом трафике.
https://xakep.ru/2025/01/27/j-magic/