14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Новые высоты инфобеза от немецкой военки: данные онлайн-совещаний Бундесвера с платформы WebEx месяцами были в открытом доступе. Они элементарно находились по поиску онлайн-комнат, которые шли в последовательном числовом порядке. Некоторые были без паролей.
Журналисты изучили 6 тысяч записей, но их было значительно больше. Они содержали название и время встреч и данные о хосте, многие шли под грифом «Секретно». Старые записи в архиве WebEx от 2 ноября 2023-го года. В Бундесвере же узнали об уязвимости из запроса журналистов и отключили свою систему видеоконференций от интернета. Также не исключают, что утекли конфиденциальные сведения. Опять. На конец мая у немецких военных была запланирован созвон по теме «Цифровое поле боя». Может, там прозвучала бы пара слов про ИБ, чтобы журналистам не приходилось докладывать их Минобороны об утечках. Увы, чуток не успели.
@tomhunter
23-24 апреля прошёл онлайн-форум «AiSEC-2024». Участники обсудили развитие ИИ-моделей, риски их внедрения в организации, роль нейросетей в системах безопасности и другие актуальные темы.
От T.Hunter участие в форуме принял Игорь Бедеров, руководитель нашего департамента информационно-аналитических исследований. Обсудили роль ИИ-моделей в работе безопасника, её автоматизацию, ограничения искусственного болванчика в его текущем виде и примеры наших собственных разработок на основе ИИ, Око и Threathunter. Запись второго дня конференции доступна по ссылке, а здесь можно полистать презентацию из доклада.
@tomhunter
#news В сетевых дебрях замечена новая малварь, получившая название Cuttlefish. Примечательна она тем, что заражает домашние и корпоративные роутеры, а затем слушает трафик на предмет данных доступа, особенно облачных токенов. Под их выгрузку идут прокси или VPN-туннель для обхода обнаружения.
Cuttlefish также может угонять DNS и HTTP и потенциально доставлять дополнительную вредоносную нагрузку. Код местами пересекается с HiatusRat от китайских госхакеров, но точно его приписать кому-либо пока не могут. Вредонос активен как минимум с июля 2023-го, и свежая кампания шла эксклюзивно по Турции с отдельными заражениями в других странах. Подробнее о новом инструменте, вероятно, китайских народных умельцев в отчёте.
@tomhunter
#news Второй криптомиллиардер получил тюремный срок: Чанпэн Чжао, он же CZ, был признан виновным судом в Штатах по делу об отмывании денег. В сравнении с Сэмом Банкмэном, срок совсем небольшой — четыре месяца. Прокурор запрашивал три года, обычно по этой статье дают полтора.
По версии обвинения, руководству Binance было известно, что через платформу идут грязные деньги рансомварщиков, производителей ЦП и подсанкционных режимов. Однако ж, криптомагнаты имели наглость поставить приоритетом прибыль и рост, а не следование законам США — с такой формулировкой судья зачитал приговор. CZ также ждёт копеечный по его меркам штраф — ещё $50 миллионов. На фоне мягкого приговора звучат и недовольные голоса: «Преступность — это прибыльно, постановил суд», сообщает одно из заинтересованных лиц. Что ж, $33 миллиарда состояния Чжао, не тронутых судом, склонны с этим согласиться.
@tomhunter
#news Docker Hub ставит рекорды по числу репозиториев с вредоносом: исследователи насчитали 2,8 миллиона — в них спам, малварь, фишингововые сайты. Суммарно это составляет почти 20% от всех репов на платформе.
Вредоносные репозитории связаны с тремя крупными кампаниями. Одна смахивает на стресс-тест, в двух других приманки в виде пиратского контента и софта, читов для игр и электронных книг. Жертв ждёт вредонос, предположительно, адварь. Любители бесплатных книг попадают на сайты, предлагающие поделиться данными кредитных карт. По следам отчёта исследователей Docker Hub вредоносные репозитории удалил. Вот только одна кампания шла в 2021-м, вторая — в 2023-м году. Иными словами, 3 миллиона вредоносных репов провисели на платформе больше трёх лет. С модерацией у Docker Hub явно не очень.
@tomhunter
#news Из Великобритании обычно приходят курьёзные ИБ-новости, но в этот раз для разнообразия подоспело что-то конструктивное. Хоть и опять про запреты. Согласно новому закону, на умных устройствах запрещены простые дефолтные пароли. Как минимум, они должны быть уникальными.
От производителей требуют не только перестать поставлять готовые звенья ботнетов. Также они должны предоставить контакты, по которым можно сообщить об уязвимостях, и юзеров нужно уведомить, как долго их устройства будут получать обновления. Телевизоры, колонки, смартфоны, вплоть до умных холодильников и термостатов — всё это должно обзавестись минимальным стандартом безопасности. Ну а нежелающих следовать новому закону ждёт штраф до $12,5 миллионов или 4% годовых. Своеобразный налог на ИБ. Точнее, её отсутствие.
@tomhunter
#news Сервис Spy Pet для скрапинга сообщений юзеров Discord получил вердикт от платформы: связанные с ним аккаунты были заблокированы. Кроме того, компания рассматривает вариант с судебным иском против владельцев.
Также предсказуемо выяснилось, что сервис работал на элементарных принципах. Боты Spy Pet присоединялись к открытым серверам, и через них скрапили сообщения пользователей. По следам чистки от Discord с 14 тысяч серверов, набитых ботами-шпионами, их число сократилось до нуля. Владельцы Spy Pet уже создали резервный домен и, очевидно, постараются восстановить сервис. В свете потенциального иска это чревато. Однако на фоне поднявшейся шумихи можно ожидать появления и более продвинутых услуг подобного рода. Как для желающих посталкерить интернет-подружку из Дискорда, так и для ловцов сетевых экстремистов.
@tomhunter
#news Интересные новости по ботнету PlugX. Оставшийся без контроля операторов троян удалённого доступа продолжает распространяться по сети. Исследователи выкупили связанный с ним айпи, и за полгода по нему постучало 2,5 миллиона уникальных адресов. Так что червь потенциально активен на миллионах устройств.
С учётом того, что при желании управление ботнетом можно перехватить, а в случае его отключения на заражённых машинах он может заново распространиться с флешек и иных носителей, исследователи оказались перед непростым выбором. Один из вариантов — отправка нагрузки, которая почистит и подключённые флешки. В итоге остановились на концепции «суверенной дезинфекции»: решение по деактивации передано в национальные организации по кибербезопасности. Им предстоит определиться, что делать с бродящим по системам их стран призраком китайского кибершпионажа.
@tomhunter
#news Сальвадор отметился инновациями в плане признания биткоина платёжным средством, но вот с достижениями в ИБ у них не очень. На BreachForums в открытый доступ выложена часть исходников госкошелька Chivo от правительства страны. Плюс данные VPN для доступа к банкоматам.
Всё это идёт по следам утечки данных из кошелька на 5,1 миллиона сальвадорцев в начале апреля — почти всё взрослое население страны. Которое активно зазывали на платформу, продвигая государственные криптомечты и заманивая граждан выплатами в 30 баксов в битках. Правительство Сальвадора в итоге не придумало ничего лучше, кроме как запоздало назвать утечки фейковыми новостями. То, что в сливе ввиду KYC-политики оказалось фото каждого жителя страны с криптокошельком, их никак не смутило.
@tomhunter
#news Новости от группировки Scaly Wolf, охотящейся за корпоративными и госданными в РФ. На этот раз курьёзные. Свежая фишинговая кампания злоумышленников не сложилась. Начало хорошее: вместо простого ZIP-файла с малварью у них шёл загрузчик, который должен был дропнуть инфостилер White Snake в «Проводник». Увы, товарищи просчитались. Но где?
А разгадка проста: как утверждают исследователи, в Scaly Wolf всё перепутали, и вместо вредоноса в систему копировался просто легитимный explorer.exe. Иными словами, даже в случае успеха фишинга компрометация систем бы не задалась. Куда в процессе сборки малвари делся инфостилер, неизвестно. Может, трудолюбиво собирает данные с машины горе-злоумышленника.
@tomhunter
#news Начало года для рансомварь-группировок не задалось: выплаты выкупов в первом квартале упали до рекордных 28% от взломанных компаний. Тренд на уменьшение медленно, но верно продолжается с 2019-го года. Кроме того, средние суммы выкупа снизились на треть, но при этом на четверть выросли медианные — меньше джекпотов для злоумышленников.
В топе прошлого квартала ожидаемо Akira, также засветилась Black Basta. Удар по LockBit от ФБР и экзит-скам BlackCat ощутимо сказались на всей рансомварь-сцене: от LockBit остались жалкие 9% рынка, а многие партнёры группировок разбежались на фоне разборок вокруг выплат. Вслед же за утратой доверия RaaS-операциями растёт число рансомварщиков на вольных хлебах — было замечено больше атак от форков Babuk и Dharma/Phobos. Подробнее о трендах прошлого квартала в отчёте.
@tomhunter
#article Опубликовали подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Ещё одно громкое имя с рансомварь-сцены уходит в прошлое. А точнее, в ребрендинг: операторы HelloKitty сменили название и теперь будут известны как HelloGookie. В честь предполагаемого разработчика под ником Gookee/kapuchin0.
В честь запуска новой операции злоумышленники слили несколько ключей, стянутые у Cisco в 2022-м внутренние данные, а также пароли к исходникам Gwent, Witcher 3 и Red Engine. Энтузиасты уже скомпилировали Ведьмака из 450 GB утёкших данных и получили девелоперский билд симулятора восточноевропейской глубинки. Атака по CD Project в феврале 2021-го стала первым крупным взломом группировки и на его релизе история бренда и заканчивается. Добьются ли злоумышленники тех же успехов под новым именем, покажет время. Пока новых жертв на свежем сайте группировки нет.
@tomhunter
Разговор о важном с пентестером нашей компании на тему «Где хранятся ваши секреты?»
📲 https://youtu.be/ED6AY-pf75Y
@tomhunter
#news В отсутствие прежних антигероев рансомварь-сцены время обратить внимание на потенциальных кандидатов в топ. ФБР и компания обновили информацию о группировке Akira и сообщают, что уже на 1 января 2024-го связанные с ней злоумышленники взломали больше 250 организаций и получили около $42 миллионов выкупа.
Akira всплыла в марте 2023-го и быстро обрела известность. Ранние версии энкриптора были на C++, но уже с прошлого августа у них код на Rust. В арсенале группировки также версия под VMware ESXi. А запрашиваемые выкупы разнятся от $200 тысяч до нескольких миллионов. С учётом образовавшегося в рансомварь-мире вакуума после приключений LockBit и BlackCat, у Akira есть все шансы переманить разбежавшихся партнёров последних и пробиться на вершину. Подробнее об активности группировки в отчёте от безопасников в погонах.
@tomhunter
#news Пятничная новость об Остапе Бендере от мира инфобеза. В 2010-х Онур Аксой, CEO Pro Network Entities из США, промышлял тем, что поставлял поддельное сетевое оборудование от Cisco, заказанное из Китая. БУ-устройства закупали с существенной скидкой: до 98% в сравнении со стоимостью оригинальных изделий.
Всё это затем продавалось на Amazon и eBay покупателям в США и за рубежом и шло в штатовские больницы, школы, госструктуры и прочие организации. Контрафакт с Алиэкспресса ожидаемо барахлил, что сказывалось на работе сетей. После ареста в 2022-м Аксой на днях получил 6 лет и 6 месяцев тюрьмы и $100 миллионов штрафа в пользу Cisco. Возможно, бизнес-схема прогорела бы чуть позже. Но был нюанс. На фото лицо человека, додумавшегося поставлять китайские контрафактные роутеры Пентагону.
@tomhunter
#news Давненько ничего не было слышно о REvil. А процессы над ними идут. Ярослав Васинский, он же Работник, получил солидный срок: 13 лет и 7 месяцев заключения и $16 миллионов штрафа.
Васинского экстрадировали в США из Польши после ареста в октябре 2021-го, он признал вину по 11 пунктам обвинения. Среди них участие в более чем 2,500 атаках REvil. В том числе взлом поставщика ПО Kaseya из Майами, у которых группировка запросила $70 миллионов в битках. Именно после этой атаки Байден пообещал разобраться с рансомварь-группировками и затруднить им роскошную жизнь с яхтами и соблазнительными женщинами. Пока рансомварщики кидают друг друга на деньги с выкупов, дедушка Байден медленно, но верно выполняет обещания. Работник это на себе уже прочувствовал: по совокупности ему грозил максимальный срок до 115 лет и конфискация всего нажитого.
@tomhunter
#news Мартовские обновления Windows Server 2016 и 2022 сломали контроллёры домена, апрельские патчи от Microsoft решили не отставать. И поломали VPN-соединения на клиентских и серверных решениях. Пока подробностей нет, компания только признала сам факт проблемы. Затронуты Windows 10-11, Windows Server 2008 и старше.
Костылей не предусмотрено, кроме как удалить соответствующие обновления безопасности. Что забавно, год назад Microsoft также чинила проблемы с VPN в Windows 11 после апрельских патчей. Такими темпами выпускаемые Редмондом обновления можно будет считать вредоносными, пока не будет доказано обратное. Пока получается только опытным путём. Со всей пользовательской базой в качестве подневольных бета-тестеров.
@tomhunter
#news Приключения печально известного финского хакера Юлиуса Кивимяки получили ожидаемую главу: тюремный срок. По следам нашумевшего взлома онлайн-сервиса психотерапии Vastaamo. 9,200 случаев распространения информации, около 22 тысяч попыток шантажа, 20 вымогательств и 5 тысяч исков о компенсации ущерба. Цена вопроса? Шесть лет тюрьмы.
Более того, Кивимяки отсидит лишь около половины срока. Товарища судили как нарушившего в первый раз, так как за прошлые пять лет в тюрьму он не попадал. Правонарушения несовершеннолетних — которых у Кивимяки с запасом — в Финляндии как первые не засчитываются. В общем, несмотря на то, что взлом изрядно встряхнул всю страну, герой истории и так получил почти максимальный по закону срок. Вполне вероятно, лет через пять неисправимый финский киберпреступник вновь всплывёт в новостях.
@tomhunter
#news UnitedHealth в США отчитывается перед комиссией за взлом своих систем. Подробности интересные. По всей стране падает платёжная система здравоохранения, несколько месяцев лежит в ступоре, дважды выплаченный выкуп, под миллиард долларов убытков… Кто виноват? Украденная учётка от Citrix, на которой не было MFA.
Именно через неё злоумышленники получили доступ к системам. Как сообщают, по следам атаки IT-отдел компании заменил тысячи устройств и пересобрал всю сетевую инфраструктуру дата-центра. В общем, титанических масштабов взлом, отозвавшийся по всей стране. А виной тому слабое звено в виде отсутствовавшей на одном украденном аккаунте двухфакторки. Новость в копилку «Как объяснить обывателю, зачем нужен инфобез».
@tomhunter
#news Интересная ИБ-инициатива от японской полиции. Для защиты пожилых людей от мошенников из техподдержки в магазинах одной из префектур появились специальные макеты платёжных карт. С говорящими названиями «Платёжная карта для удаления вируса-трояна» и «Карта для оплаты просроченных счетов».
Подразумевается, что пришедший за платёжной картой пенсионер возьмёт такую и отправится с ней на кассу. Где продавец сообщит ему, что тот стал жертвой обмана. Работникам магазинов положен бонус за участие в программе, так что на бумаге это должно помочь и находить жертв, и отслеживать скамеров. Как быстро к этому адаптируются злоумышленники, сказать сложно. Но результаты есть: пару пожилых людей уберечь уже удалось. Как выяснилось, с такой картой убедить упрямого японского пенсионера, что ему звонят совсем не из техподдержки, немного проще.
@tomhunter
#news Пятничные новости бытовых инфобез-коллизий от стремительно развивающегося мира ИИ-моделей. В США гендиректор школы чуть не лишился работы и свободы, после того как всплыли записи его голоса с расистскими высказываниями. Но анализ показал, что они были созданы с помощью ИИ.
Как выяснилось, голосовые подделал подчинённый из-за конфликта на работе. Судя по всему, находчивый товарищ на записях голоса жертвы натаскал ИИ язвить про евреев и прочие святыни первого мира. Если бы не тщательная проверка от ФБР, гендиректора отменили бы быстрее, чем он успел бы произнести «Многообразие — это наша сила». Злоумышленник отправлял записи с почты на айпи в доме своей бабушки, его арестовали при попытке сбежать, хэппи энд. Но перед нами в полный рост встаёт давно уже поднятый фантастами вопрос: что будет, когда никакой тщательный анализ уже не отличит такую подделку от реальности? Что ж, скоро узнаем.
@tomhunter
#news Крестовый поход Минюста США против криптомиксеров продолжается: уже обыденная новость о закрытия очередной площадки. В этот раз под раздачу попал Samourai. Двое владельцев арестованы, домены перехвачены, а приложения из Play Store убрано Гуглом после получения ордера на арест.
Сервисы Samourai были активны с 2015-го года, за это время через них прошли больше $2 миллиардов в крипте: от наркомаркетов, киберпреступников и подсанкционных режимов — всё как полагается. Один из владельцев был арестован в США, другого экстрадируют из Португалии. Им светит привычные статьи по отмыванию денег и их незаконному переводу. Как и в случаях с другими криптовалютными ландроматами, отговорки «У нас приватный сервис и за тех, кто им пользуется, мы не отвечаем» операторам не помогли.
@tomhunter
#news Блокчейн от Telegram и его токен обзавёлся собственным Мавроди на минималках. Мошенники продвигают заработок крипты на «суперсекретном бустер-боте» через видео на русском и английском языках. Мечтающим о криптобарышах предлагают купить от 5 до 500 TON (~30-3000 долларов), а затем завести их в бота с комиссиями до 70%. Но на этом приключения юзера не заканчиваются — дальше его ждут реферальные ссылки.
Скамеры призывают создать группу в Telegram, пригласить в неё минимум пять друзей и поделиться схемой. За каждого приглашённого манят выплатами в 25 TON и процентами с тарифов. В общем, классика финансовой пирамиды, только в этот раз не платится ничего и никому — всё уходит мошенникам. Так что если давно пропавший друг внезапно начнёт названивать и зазывать в чудесную криптосхему, не ведитесь. Лучше дайте ему ссылку на статью.
@tomhunter
🥷 Компания T.Hunter проводит корпоративное обучение методам и приемам проведения OSINT-расследований, связанных с исследованием веб-ресурсов (лицензия на образовательную деятельность № Л035-01271-78/00645130 от 24.03.2023г.)
👀 ВЫ НАУЧИТЕСЬ:
1️⃣ получать регистрационные данные домена и хостинга
2️⃣ получать сведения о владельце, администраторах и разработчиках веб-ресурса
3️⃣ преодолевать защиту CloudFlare
4️⃣ исследовать код веб-ресурса, выявлять технологии на нем
5️⃣ собирать контактные и метаданные
📌 ПОЧЕМУ МЫ 📌
👮 Мы создаем методологию проведения расследований:
📖 Сбор и анализ цифровых следов преступления: практическое пособие — СПб: Издательство Санкт-Петербургской академии Следственного комитета
📖 Основы исследования веб-сайтов, направленного на установление лиц, осуществляющих его администрирование — СПб: ИСАС
👺 Мы создаем софт для расследований:
🖥 ThreatHunter DRP - SaaS-решение для поиска и нейтрализации угроз в интернете класса Digital Risk Protection
@tomhunter
#news Хранилищем ссылок на малварь в чужих проектах может послужить не только GitHub: на GitLab предсказуемо обнаружили ровно ту же проблему. Файлы из комментариев грузятся в CDN и предоставляют ссылки с названием проекта и его владельца.
Иными словами, злоумышленник может получить убедительно выглядящую ссылку со своей малварью и от GitLab. Например, под видом установщика драйвера от NVIDIA с их репозитория. Комментариев платформы пока не дают, Microsoft тоже залитый в свои репозитории вредонос никак не комментируют. Между тем один безопасник рассказывал про активный абьюз фичи на GitHub на своём стриме ещё месяц назад. Но пока об этом не раструбят журналисты по всей ИБ-индустрии, конечно же, шевелиться никто не начнёт.
@tomhunter
#news В январе этого года госгруппировка скомпрометировала 1,700 компаний с помощью двух нулевых дней в Ivanti VPN. И среди них оказалась, предположительно, самая подготовленная к атакам: MITRE. Происшествие из ряда вон выходящее, так что от MITRE поступило видеопослание.
В нём представитель компании сообщает, что они приняли все предложенные поставщиком меры по митигации, а также следовали всем указаниям от госрегуляторов. Но этого оказалось недостаточно. По итогам MITRE призывает налегать на принцип «secure by design», повышать безопасность цепочек поставок и переходить на архитектуру нулевого доверия, особенно на микросегментацию сетей. Также активное противостояние атакам, оно же adversary engagement, должно стать рутинной частью ИБ. В общем, повод, конечно, неприятный, но месседж более чем уместный. Кто бы ещё его на практике начал применять.
@tomhunter
#news К вопросу о том, как Redline Stealer обзавёлся ссылками с репозиториев Microsoft. Прикреплённые в комментариях на GitHub файлы грузятся в CDN платформы и получают связанную с проектом ссылку с указанием репозитория и её владельца.
Более того, ссылка генерируется сразу после прикрепления. То есть злоумышленнику даже не нужно оставлять комментарий. Спуфунг здесь ограничен только фантазией. А вот с митигацией не очень: нет ни возможности проверить, какие файлы прикреплены к проекту, ни убрать их. Максимум, владелец репы может временно закрыть комментарии, что на жизни проекта скажется не в лучшую сторону. В общем, интересный нишевый баг в ожидании фикса. Ну или не менее занятная фича, столкнувшаяся с абьюзом. Кому какой вариант больше нравится. Пока в виде костыля, судя по сообщениям юзеров, на GitHub поставили удаление файлов из CDN из неотправленных комментов через пять минут.
@tomhunter
#news По сети гуляет новый вариант Redline Stealer под видом читкодов для популярных игрушек. Он использует LuaJIT-байткод для обхода обнаружения — в ZIP-архиве MSI-установочник и компилятор под байткод в текстовом файле. А лежит всё это по ссылкам, связанным с репозиторием Microsoft «vcpkg» на GitHub — видимо, для придания легитимности.
В комплекте идёт и интересная социнженерия. «Поделись программой с другом, чтобы разблокировать полную версию». Иными словами, поучаствуй в распространении вредоноса. Как сообщают злоумышленники, его распространение помогает им развивать софт, и они за это будут очень благодарны. Благодарим за поддержку, извините за неудобства. В сущности даже ведь и не врут. Но друзья спасибо за такое письмо счастья, конечно, не скажут.
@tomhunter
#news У российских архитекторов добавилось седых волос: AutoCAD перестал запускаться в России. Причём, похоже, и пиратские версии — пользователи видят плашку «Используемая лицензия недействительна». Так что кто-то плохо читал на Рутрекере, какие айпишники нужно блокировать, чтобы AutoCAD не стучал по серверам. А кто-то надеялся что «бессрочную» лицензию не отзовут по айпи.
Напомню, Autodesk ушла из России в конце 2022-го, а в марте этого года разослала письма бывшим клиентам с требованием прекратить пользоваться софтом. Ну а теперь его массово отключили даже тем, кто с ехидным подхихиком качал пиратские версии, приговаривая что-то там про санкции. Как обычно, западные компании на острие импортозамещения. Увы, юзеры переходить на отечественное не спешат и мгновенно нашли несколько костылей, чтобы продолжать пользоваться недружественным софтом.
@tomhunter