14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Исследователи обнаружили россыпь уязвимостей в протоколе Apple AirPlay и его SDK. 23 штуки, включая RCE с нулевой интеракций и в один клик, задел под MITM-атаки и отказ в обслуживании.
В цепочке уязвимости позволяют перехватить контроль не только над устройствами Apple, но и сторонними, которые используют AirPlay SDK. Вектор атаки назвали AirBorne — как можно догадаться, атаки с потенциальном под червя. В итоге вполне реалистичен сценарий, в котором заражённый в общественной сети макбук разнесёт малварь по корпоративной через AirPlay-ресивер. Что занятно, дырявый протокол выявили случайно: скан порта 7000 в локальной сети показал, что AirPlay принимает команды при дефолтных настройках. Провели аудит, а протокол писали по принципу «И так сойдёт». Одним словом, классика. А с учётом числа устройств от Apple в мире и нулевого взаимодействия поверхность атаки получается огромная. В общем, обновляйте устройства, закрывайте порт и отключайте AirPlay.
@tomhunter
#news Свежий отчёт «2025 State of Open Source» навевает размышления. О чём? Кто работает с опенсорсом в крупных компаниях, тот нервно хихикнул. А остальным лучше остаться в неведении.
В четверти организаций, использующих свободное ПО, всё ещё крутится старичок CentOS. Версии не уточняют (стесняются), но они все, очевидно, достигли конца поддержки. На вопрос о планах по миграции каждый четвёртый честно отвечает: «Не знаю». Почему? Компетенции не хватает — никто не знает как умилостивить Дух Машины. Причём отвечают техотделы, а не управленцы. А что они будут делать в случае атаки? У трети ответ тот же: «Мы не знаем». Резюме обновлять, очевидно же. Трудности не только с ОС. Половина не уверена в техе, на котором у них big data. И у половины решения на JavaScript, из них 15% на каком фреймворке, угадаете? Angular.js. В общем, состояние опенсорса на местах в 2025-м такое же, как у самого опенсорса. Тяжело… Тяжело.
@tomhunter
#news Загадочный поворот на рансомварь-сцене: фавориты 2025-го RansomHub, которым пророчили ключевую роль по атакам в этом году, внезапно пропали. Инфраструктура группировки отключена с 1 апреля.
Слухи о разборках в группировке пошли ещё в начале апреля — у части партнёров отвалился доступ к чатам с жертвами. Попутно конкуренты из DragonForce заявили, что RansomHub переезжает на их инфраструктуру, так что пошли спекуляции о перехвате. А чтобы унять тряску, партнёры разбегаются под другие бренды, и хорошего здесь мало: число атак удвоилось у Qilin. Напомню, в отличие от остальных Qilin тормозов не имеет совсем: у них в норме атаки по медучреждениям, с которыми Qilin не раз светилась в неприятных новостях. Но иронию ситуации, конечно, сложно не заметить, если вспомнить, как поднялась сама RansomHub. Такова судьба рансомвари: либо ты умираешь от внутренних дрязг и экзит-скама, либо живешь до тех пор, пока за тобой не приходит ФБР.
@tomhunter
#news Новость для юзеров Kali Linux. Разработчики потеряли доступ к своему ключу для подписи репозитория. Его пришлось сменить. Из побочного урона — отвалились обновления. Так что если у вас не работает apt update и пишет об отсутствии ключа для проверки подписи, не спешите нюкать систему — проблема на стороне разрабов.
Ключ не скомпрометирован и остался в связке, но его заменили на новый. Так что его нужно скачать и поставить вручную. Хорошие новости: это решается командой в одну строку. Желающие могут скачать обновлённые образы с версией дистрибутива, идентичной выпущенной в прошлом месяце, но свежим ключом. А также проверить контрольные суммы и подивиться на новый ключ на OpenPGP-сервере, подписанный несколькими разрабами. В общем, отмена тревоги, можно красноглазить дальше.
@tomhunter
#news Очередная итерация BreachedForums рождается в киберпреступных потугах, но всё никак не народится. Форумы отключатся, не успев подняться, мутные индивиды всплывают один за другим, обещая свою площадку с ханипотом и агентурой.
Из нового, некто Anastasia обещал поднять четвёртую версию Breached в прошлый четверг. Вместо этого на главной висела плашка о перехвате предыдущей инкарнации, аресте IntelBroker и ShinyHunters и… продаже базы от 10 апреля 2025 с исходниками за 2к баксов. Накладочка вышла. Следом некто Momondo заявил, что Breached быть, а предыдущие ломануло ФБР через PHP-эксплойт, и вообще они крутились на устаревшей версии MyBB. В общем, одно понятно, что ничего не понятно — творится хаос. Всё как и задумано. Так что будьте вдвойне внимательны к опсеку и сопутствующему, если окажетесь на очередном Breached, кхм, с исследовательскими целями.
@tomhunter
#news А помните была такая атака Juice Jacking с инфостойками по дефконам? В 2025-м тема снова в моде: оказывается, все эти годы защиту смартфонов с запросом на передачу данных можно было легко обойти. Встречайте ChoiceJacking и её вариации.
Свежая и похорошевшая атака направлена на эксплойт архитектуры доверия USB-протоколов. ОС считает, что устройство не может одновременно быть и хостом, и вводить команды. Но есть нюанс: может. Троянская зарядка подключается как периферия, затем становится хостом и параллельно шлёт команды через Bluetooth, обходя запрос на передачу данных. На атаку нужно 30 секунд, ей подвержены почти все популярные модели. Apple исправила уязвимость в обновлении IOS 18.4 — для передачи данных теперь нужен пин-код; в Android 15 внедрили аналогичное требование. Атака по большей части теоретическая, но напоминание о том, что совать свои USB-кабеля куда попало не стоит, всегда полезно. Мы за безопасные подключения!
@tomhunter
#hr Мы ищем таланты, которые ищут интересную работу!
🔵Инженер внедрения
🔴Руководитель проектов ИТ / IT Project Manager
🔵Аналитик по информационной безопасности
🔴Специалист тендерно-договорного отдела
🔵Менеджер по продажам решений информационной безопасности
@tomhunter
#news Недавно писал про крупное обновление фишингового кита Darcula, которое не сулит ничего хорошего. В новом версии разработчики решили поднять градус мерзости в своём поделии: оно теперь запитано от ИИ-модели.
Генерация, перевод на любые языки, подгон шаблонов под целевую жертву, и всё это с помощью элементарных промптов формата «Сделай мне красиво и чтобы мне кидали битки, буду жить как LockBitSupp в его письмах ФБР». Иными словами, барьер для входа в фишинг теперь не просто низкий — он ниже плинтуса. Так что резкий скачок по числу фишинговых кампаний с максимально упрощённым и масштабированным до небес деплоем уже скоро. С марта 2024-го сеть почистили от 25 тысяч страниц и 90 тысяч доменов, завязанных на Darcula. Дальше — больше. Может быть придёт час, когда каждый день не будет днём новостей про LLM’ки. Но только не сегодня, увы.
@tomhunter
#news 2024-й принёс ещё один рекорд, и вновь не там, где хотелось бы. Хотя некоторые из вас будут довольны: США потеряли рекордные 16,6 миллиардов долларов из-за киберпреступности.
При этом отчётные цифры далеки от реальных: учитывают только известные органам случаи и те, о которых жертвы сообщают напрямую. Часть пролетают мимо отчётности, так как о них сообщают по другим каналам или не сообщают вовсе. Кроме того, по рансомвари считают только выплаты — издержки, которые несут компании, не учитывают. Так что даже внушительные цифры — лишь часть ежегодного оборота киберпреступного рыночка. Это к извечному спору белошляпочников со склизкими обитателями даркнета на тему «Где деньги, блэчеры?» Да вот они. А то, что они пролетают мимо рядового кулхацкера, начитавшегося флекса от редкого паровозика, который смог найти себе хорошую крышу, — это уже другой вопрос.
@tomhunter
#news Роскомнадзор рекомендует бизнесу сообщить об известных утечках данных до 30 мая. В таком случае можно будет отделаться мерами в соответствии с действующим законодательством. А меры, как все помнят, щадящие.
А вот после 30 мая ждёт полный пакет со штрафами за неуведомление РКН и оборотными. Как доверительно сообщает РКН, датой правонарушения считается момент, когда подтверждена утечка. Можно подтвердить самостоятельно и жить спокойно. А можно дождаться публикации утёкшей базы в каком-нибудь канальчике после тридцатого и фиксировать убытки от общения с надзорным органом. В общем, отсрочка на память о прежней вольнице, когда можно было слить вообще всё и ничего тебе за это не будет. А дальше уже выкручиваться по-новому. Ну что, товарищи безопасники, утечки информации у клиентов есть? А если в TG найду?
@tomhunter
#news Минцифры вспомнило об одном небольшом нюансе недавно принятого закона об утечках данных. С ИБ-отраслью пошли обсуждения о выведении их расследования из-под уголовной ответственности.
Согласно предлагаемым изменениям, действие закона не будет распространяться на организации, расследующие утечки данных клиентов. ИБ-компании под это тоже попадают: есть лицензия на защиту конфиденциальной информации — можно немного пошалить делать свою работу. Но планируют ввести ценз по размеру капитала, так что сами понимаете, куда ветер дует. В текущем виде, как обычно, проект требует доработки, но по итогам есть шанс, что расследования сливов не уйдут на дно серых схем. И можно будет открывать дампы без того, чтобы прежде крепко задуматься о своём выборе профессии и планах на ближайшие года четыре. В конце концов, турецкого сценария очень хотелось бы избежать.
@tomhunter
#news В WinZip обнаружили нулевой день. Причём на обход Mark-of-the-Web в Windows. Так что у нас в 2025-м бинго из трёх архиваторов с 0-day такого плана — недавно обход MotW исправили в 7-Zip и WinRar.
Уязвимость затрагивает версии архиватора до 29.0. Причём никаких технических знаний для её эксплойта не нужно: WinZip просто не вешает плашку MotW на файлы при их распаковке из архива. Проще говоря, после того как аналогичные CVE исправили в других архиваторах, кому-то в голову пришла в голову светлая идея проверить, как с этим обстоят дела у WinZip. Как оказалось, пропатченная ранее CVE-2024-8811 в нём была исправлена только частично. Обновления пока нет, так что имейте это в виду, чтобы потом не удивляться полученным от бухгалтерии письмам формата «Я что-то распаковала, и всё пропало».
@tomhunter
#news Чудеса инфобеза оболочки One UI от Samsung: пользователи обнаружили, что содержимое буфера на устройствах не очищается. Вообще. И хранится простым текстом. А вместе с ним, соответственно, и попавшие в буфер пароли, банковские данные и прочее чувствительное.
А разгадка проста: функции автоочистки буфера в One UI нет. А с учётом того, что она работает на уровне системы, настройки сторонних клавиатур оболочка игнорирует. Samsung проблему признала и передала инженерам. Говорят, хорошо бы обзавестись автоочисткой и блоком на хранение конфиденциального в буфере. А пока, дорогие юзеры, очищайте буфер устройства вручную и надейтесь, что на него не залетит RAT или инфостилер с соответствующей функциональностью. История, конечно, удивительная. Всё же таких просчётов в разработке ждёшь от китайских поделий, а не от флагмана от мира андроидов.
@tomhunter
#news Пятничные новости от Cursor. У редактора кода компании появилось новое правило: пользоваться им можно только на одном устройстве, на другие нужна отдельная подписка. В итоге пошла волна возмущений в сети и отписок от сервиса. Панчлайн? Правило выдумал чат-бот.
Ответ бота техподдержки был убедительным, многие отменили подписки и критиковали компанию за ограничение кроссплатформенного доступа. Получивший ответ даже заявил, что его компания отказалась от услуг Cursor. К тому моменту, когда к ситуации подключили кожаного мешка, уже было немного поздно. А разгадка проста: запитанный от ИИ бот не знал ответ и пустился галлюцинировать во все тяжкие. Раньше Air Canada получила судебное дело, когда её чат-бот сочинил политику возврата билетов. А один юзер ChatGPT не попал в Чили, так как модель выдала ему ложную информацию, что ему не нужна виза для поездки. Старый мир мёртв, новый рождается в страшных муках. Наступило время чудовищ курьёзов!
@tomhunter
#news SSH-библиотека Erlang/OTP отметилась критической уязвимостью на десяточку по CVSS. Как можно догадаться, это произвольный код без аутентификации. Затронуты все версии, использующие уязвимую библиотеку.
Проблема CVE-2025-32433 в некорректной обработке протокольных сообщений SSH. Это позволяет злоумышленнику отправить специально созданные сообщения и добиться RCE в процессе SSH-сервера. Если же на SSH-демоне root-права, также можно получить полный контроль над системой, а там и доступ к данным, и отказ в обслуживании. Между тем на Erlang/OTP крутятся многие устройства от Cisco и Ericsson в критической инфраструктуре. Патчи доступны, но, как водится, злоумышленники добираются до целевых систем гораздо раньше. Так что у нас кандидат на самую горячую уязвимость для рансомвари и апэтэшечек сезона весна 2025.
@tomhunter
#news К новинкам от мира информационных операций. Разработчик Claude AI раскрыл, что модель использовали для создания сервиса по продвижению политических нарративов в соцсетях. Проще говоря, ботофермы. И Claude попробовал себя в новом амплуа.
LLM’ка не только генерировала нужный контент на целевых языках и создавала промпты под изображения. Но и сама решала, как управляемым ею аккаунтам вести себя в соцсетях. Комментарии, лайки, репосты — всё это было на модели. Claude управлял сеткой аккаунтов на разных платформах с операторами в качестве супервайзеров. Судя по характеру операции, она финансово мотивированная — четыре разных кампании под запросы клиента, от пропаганды бизнес-возможностей в ОАЭ до критики политики ЕС. В общем, Botfarm-as-a-Service, запитанная от неутомимой LLM’ки. Плохие новости для представителей одной неуважаемой профессии: вам, ребята, скоро с вещами на выход. Для остальных хорошего тоже мало: разговоры с копипастой скоро станут нормой жизни в сети.
@tomhunter
#cve Опубликовали нашу традиционную подборку ключевых CVE ушедшего месяца. В апреле главным событием стала RCE в SSH-библиотеке Erlang/OTP: десяточка по CVSS, простейший эксплойт, проверки концепции в сети на следующий день.
Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте на Хабре!
@tomhunter
🔒 ThreatHunter DRP — качественный инструмент предупреждения киберрисков, который могут применять даже простые пользователи.
Каждый день в России взламывают более 1000 аккаунтов, а в даркнете обсуждают новые атаки. Фишинг, утечки данных, хакерские атаки — эти угрозы могут разрушить репутацию и бюджет компании за считанные часы.
#news Есть одна удобная фича — hotpatching — для установки обновлений без перезагрузки. Особенно экономит время и нервы владельцам серверов. Microsoft не осталась в стороне: Windows Server 2025 тоже получит эту фичу, сейчас её активно тестируют. Но есть нюанс: она будет платной. По месячной подписке. За ядро.
С первого июля горячие патчи будут только по отдельной подписке на сервис Hotpatch. Крестьяне без премиума будут и дальше корпеть над установкой вручную. Админ, хочешь hotpatching и видеть свою семью по выходным вместо затяжных свиданий с Windows Server? Теперь смотреть, как система падает от очередного кривого патча из Редмонда в прямом эфире, можно всего за полтора бакса за ядро в месяц. И где-то в уголке довольно хихикает линуксоид, у которого hotpatching — опенсорсная фича с начала 2010-х.
@tomhunter
🚀 ИАС «ОКО» — ваш надежный щит в мире бизнес-безопасности!
Защита компании начинается с проверки тех, кто с вами работает. Но как справиться с тоннами рутины и не упустить риски?
Не дайте рискам стать угрозой!
Автоматизируйте безопасность с ИАС «ОКО» — предупреждайте проблемы до их возникновения.
#news Софт для мониторинга производительности WorkComposer допустил утечку 21 миллиона скриншотов в открытый доступ. Неизвестная уязвимость, обскурная ошибка в API? А вот и нет — просто открытое всем желающим S3-ведро. Классика.
У WorkComposer 200 тысяч клиентов, и скриншоты рабочих столов их сотрудников были в сети в прямом эфире. А вместе с ними страницы входа, данные доступа, ключи API, конфиденциальные документы с рабочими переписками… Иными словами, золотая жила для киберпреступлений, промышленного шпионажа и прочих запретных удовольствий. Брешь компания закрыла (спустя полтора месяца после раскрытия), но комментариев давать не спешит. Оно и понятно — здесь никаким корпоспиком не отделаешься. А у нас в сухом остатке отличный аргумент для споров на тему софта для слежения за корпоративными дронами: один косяк от команды разработки, и твой экран видит не только лишь менеджер среднего звена.
@tomhunter
#news Google представила новый инструмент для отправки писем со сквозным шифрованием. А вместе с ним и потенциальный вектор атаки для фишинга. Проблема сводится к планам добавить возможность отправки таких писем на сторонние ящики.
В случае если зашифрованное письмо приходит адресату не на Gmail, он получает приглашение перейти по ссылке в гостевой аккаунт и просмотреть письмо. Сценарий атаки представили? Вместе с релизом фичи в общий доступ можно ждать появления тулкитов для создания фишинговых приглашений, замаскированных под письма с Gmail. Google уверяет, что потенциальные угрозы учтены системой оповещений, аналогичной Google Drive. Вот только что происходит вне их экосистемы (если это, конечно, не рекламная — там можно всё) гугл-шерифа не интересует. Так что между тем, чтобы ограничить фичу Gmail’ом или создать новый вектор атаки, Google, конечно, выбирает второе. А вы как думали?
@tomhunter
#news Ещё один тревожный пример победной поступи ИИ-моделей: GPT на пару с Cursor успешно написали эксплойт к недавней критической CVE в SSH-сервере Erlang/OTP. И всё это до появления проверок концепции в публичном доступе.
LLM’кам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. А следом написать PoC, протестировать и отладить. У исследователя на это ушёл один вечер и набор базовых промптов. С одной стороны, какой восторг! С другой, что ждёт среду исследования уязвимостей (и реагирования на них) с такими перспективами — представить нетрудно. Здесь, конечно, можно отмахнуться, заявив, что эксплойт этой CVE элементарный, и с ним справится любой кожаный мешок — PoC появились уже на следующий день. Но пока ты занимаешься нетворкингом под градусом по митапам и прочим человеческим, LLM’ка качается. Так что то ли ещё будет.
@tomhunter
#news AgeoStealer продолжают распространять по геймерскому коммьюнити под видом бета-теста игр. В начале года он уже светился в этой схеме, и, видимо, она оказалась эффективной.
Жертва получает в Discord и на аналогичных площадках предложение, от которого невозможно отказаться: ранний доступ к свежей пиксельной индюшке. Инфостилер замаскирован под архив с игрой на Unity; на деле же это NSIS-файл, запускающий вредоносный JS-скрипт. Устойчивость, обфускация, проверка на виртуалки и дебаг — всё как полагается. По краже данных тоже всё стандартно: браузеры, логины, куки и криптокошельки плюс выгрузка файлов с основных папок. Так что не спешите покупаться на заманчивое предложение: с такими заходами вред от поделия на Unity может быть и похуже, чем превращение любимой игровой машины в хлебопечку.
@tomhunter
Реальные кейсы — лучший способ понять, как работают технологии в условиях, приближённых к боевым.
Приглашаем вас на вебинар, на котором эксперты из Ideco и T.Hunter, а также представитель заказчика, поделятся опытом масштабного проекта по защите распределённой промышленной инфраструктуры с помощью 😍Ideco NGFW.
Мы обсудим как защищать сеть сотни объектов по всей России без потери управляемости и гибкости, а также с какими вызовами сталкиваются компании при переходе на новые ИБ-решения.
На вебинаре расскажем:
🟠Как выбрать NGFW-решение для инфраструктуры с множеством объетов
🟠Как обеспечить стабильную работу и централизованное управление на 300+ площадках
🟠Подводные камни интеграции в существующую ИТ-инфраструкуру
🟠Как организована поддержка и контроль качества внедрения
📆 24 апреля в 11:00 (Мск)
Регистрация
#speakers Следующий спикер на Cyberwave 2025 — Сергей Буреев, начальник отдела тестирования на проникновение компании T.Hunter. И содержание доклада максимально интригующее.
✍️ Атака на защиту: лик хэшей и данных
Сергей расскажет о coerce-атаках и том как с их помощью можно получить не только NetNTLM-хэши, но и другие данные. Речь также пойдёт о coerce-атаках от NT AUTHORITY\LOCAL SERVICE, которые часто недооценивают из-за низких прав доступа.
Почему атаки от LOCAL SERVICE игнорируют совершенно напрасно и как это всё увязывается с EDR-решениями? Кто уверенно ответил на вопрос, тот и пентестер со звёздочкой. А всем желающим подробнее узнать об этом менее известном векторе атаки добро пожаловать на Cyberwave 2025!
@cyberwave_sec
#news На npm три вредоносных тайпсквот-пакета, маскирующихся под Telegram Bot API. C копией кода и readme оригинала и угоном рейтинга оригинального репозитория через starjacking — всё как полагается.
Вредоносный код проверяет, запущен ли он в Linux, и внедряет два SSH-ключа злоумышленника для доступа к системе, а также отсылает имя юзера и айпишник для подтверждения заражения. Всего 40 строк в остальном неотличимом от оригинала пакете. У подменышей 300 скачиваний, что на первый взгляд немного, но в среде разработки и пары удачных компрометаций будет вполне достаточно для хорошей такой атаки на цепочку поставок. Подробнее о пакетах в отчёте. Всё ещё висят на npm, между прочим. Уже два месяца.
@tomhunter
👾 Поздравляем со светлой Пасхой!
Пусть этот праздник принесёт в ваш дом радость, обновление и уверенность в завтрашнем дне — как надёжный шифр защищает данные. Мы желаем вам ярких моментов без вирусов сомнений, крепких «паролей» благополучия и только безопасных решений!
#news После перехвата LabHost в 2024-м на рынке PhaaS-сервисов, работающих по Северной Америке, образовалась брешь. Год спустя можно с уверенностью говорить, что солидную часть рынка отхватил SheByte.
SheByte появился в мае 2024-го, и первое время его активность пошла на спад — конкуренты с Frappo активно пытались задавить новичка. Но на март этого года у SheByte в активе два десятка шаблонов под банки плюс россыпь под email-сервисы, телеком-операторов и криптобиржи. И всё это за 200 баксов в месяц. Так что SheByte — главный претендент на ключевую роль на рынке. Между тем разработчик ставит себе в плюс, что сервис он держит в одиночку — LabHost перехватили из-за утечек в раздутой команде с арестами ~40 человек. Но сам-себе-маркетолог, конечно, не упомянет, что с ним в качестве единой точки отказа хватит одного ареста, чтобы положить платформу и резко усложнить клиентам жизнь. В конце концов, не утечками едиными живёт Европол.
@tomhunter
#news По MITRE можно убирать успокоительное: финансирование программы продлили. Так что идея навести шуму в прессе явно сработала — деньги на контракт CISA резко нашло.
За день успело многое произойти. В Штатах заявили о создании CVE Foundation, некоммерческого фонда для поддержания программы CVE в свете возможных проблем у MITRE. В Европе также подняли GCVE — Global CVE Allocation System, ещё одну децентрализованную программу для поддержки CVE и совместимую с ней. А также Vulnerability Lookup. В общем, можно выдыхать и попутно присмотреться к этим двум инициативам. Если запал после возврата MITRE онлайн у них не иссякнет, глядишь, будет решена проблема митревской базы как единой точки отказа. Поют ли дифирамбы безопасники-поклонники Трампа про его 4D-шахматы по неконвенциональному улучшению качества глобального инфобеза? Хочется надеяться, что нет.
@tomhunter