14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Появляются новые подробности атаки по Snowflake, рискующей войти в историю как самая масштабная утечка данных. Компания не врала, когда заявила, что затронута лишь малая часть клиентов. 165 компаний от почти 10 тысяч — это немного. Относительно немного.
Злоумышленники, обозначенные как UNC5537, финансово мотивированы. Она базируются в Северной Америке и сотрудничают по атаке с некой группировкой в Турции. Mandiant указывает три слабых места, которые привели к эпических масштабов взлому. Вполне очевидных. Отсутствие мультифакторки, регулярной ротации данных доступа и подключений, ограниченных проверенными локациями. Между тем данные с инфостилеров, которыми ломали компании, тянутся вплоть до ноября 2020-го. Какая уж там ротация. С такими датами данные доступа можно захардкодить и клеить на мониторчики в бухгалтерии — хуже не станет.
@tomhunter
#news По следам единодушного выражения любви и признательности Microsoft за новую фичу, компания решила прислушаться к сообществу. Но лишь слегка: Recall не будет включён по умолчанию. Варианта «Не будет установлен вообще, нюкнет систему и дёрнет юзера током при попытке поставить» не предусмотрено. Включится ли фича нечаянно при одном из последующих обновлений? Делайте ваши ставки.
Помимо этого, Recall получит дополнительное шифрование и потребует биометрической аутентификации пользователя через Windows Hello — пока юзер не войдёт в систему, каталог фичи и сделанные ей скриншоты якобы будут зашифрованы. Вероятно, на эти подачки повлияло ИБ-сообщество, уже успевшее собрать пару инструментов для вскрытия базы Recall и её просмотра. Но с учётом того, что фичу не отозвали и не принесли извинения, триумфально провозгласить «Мы сделали это, Реддит» пока не получается.
@tomhunter
#news Sticky Werewolf продолжает свои атаки по российской инфраструктуре. Целью недавней кампании стала авиационная отрасль. Злоумышленники рассылают фишинговые письма от лица ОКБ «Кристалл» с предложением поучаствовать в видеоконференции.
В архиве декой-пдфка и две .lnk-файла под видом доковских, ведущие на малварь на WebDAV-серверах. В качестве итоговой вредоносной нагрузки подтягиваются инфостилер и троян удалённого доступа. Так что группировка продолжает вести деятельность, направленную на шпионаж и стягивание данных. Судя по всему, даже без неловких конфузов с вредоносом, как у собратьев по хактивизму из Scaly Wolf. Подробнее о свежей цепочке атаки в отчёте.
@tomhunter
#news По сети разлетелись новости с заголовком «Фанаты Club Penguin взломали Confluence-сервер Disney и стянули 2,5GB данных». На 4Chan опубликовали архив на 137 PDF семилетней и больше давности по дизайну игры. Помимо этого, неизвестные злоумышленники, якобы искавшие данные Club Penguin, стянули ещё несколько гигов внутренних данных Disney.
Инфраструктура, бизнес-проекты, ранее неизвестные внутренние инструменты, API-эндпоинты, данные доступа от вёдер S3 и прочее-прочее. В отличие от данных по клубу пингвинов, это всё свежее — до начала июня. Несмотря на кликбейтный заголовок, новость типично пятничная. Пингвинчики выросли, радикализировались и взяли судьбу любимой франшизы в свои руки. Следом, должно быть, любители Team Fortress 2 отправятся на сервера Valve за исходниками, чтобы поднять свой TF2 без воллхака и ботов.
@tomhunter
#digest Подводим итоги мая дайджестом самых горячих ИБ-новостей. Последний весенний месяц выдался богатым на всевозможные интересные события. Так, СДЭК стал жертвой масштабной рансомварь-атаки. Microsoft представила фичу Recall, подвергшуюся яростной критике инфобез-сообщества. На устройствах Apple после обновления стали внезапно всплывать старые фото. А мессенджер Signal оказался в центре скандала в свете занятных подробностей финансирования и управления.
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте на Хабре!
@tomhunter
#news Вышла новая версия Kali Linux, 2024.2. В релиз добавили восемнадцать инструментов для безопасников и им сочувствующих, так что новых игрушек с запасом, включая autorecon, sploitscan и waybackspy. Также дистрибутив перевели на t64, чтобы закрыть вопрос Y2038. Linux Kernel 6.8 же пока обошёл релиз стороной — добавить его не успели и включат только в следующей версии.
Кроме того, как гласит теорема Попова, в каждом порядочном дистрибутиве должны быть интересные обои. С этим в свежем релизе тоже всё в порядке: подвезли Gnome 46 и новую версию Xfce desktop. В общем, раздолье и для ИБ-любителей, и для профессионалов. Полный чейнджлог по ссылке.
@tomhunter
#news Курьёзный ИБ-случай из США. Старшего офицера на одном из боевых кораблей отстранили от обязанностей и понизили в звании после расследования. Причина? Дамочка тайком установила на судне Wi-Fi. Вместе с ней наказанию подверглись прочие любители развеять невыносимую скуку морских походов. Отягчающим обстоятельством же стала попытка подделать данные со Starlink, чтобы скрыть точку.
Роутер простоял на корабле с марта по август прошлого года, потенциально превращая его в рождественскую ёлку на пеленгаторах при всём прочем отключённом. 2030-й год, ты простой американский моряк посреди конфликта с Китаем. Твой корабль идёт на дно, потому что старший офицер тайком поставила в кубрике точку Wi-Fi, чтобы смотреть на досуге фильмы и постить танцульки в Тикток.
@tomhunter
#news Пока СДЭК за кулисами подсчитывает убытки от своих нечастых бэкапов и дырявых систем, к собрату по несчастью присоединяется сеть магазинов «Верный». С 1 июня отвалился приём карт, и, судя по почерку, это тоже рансомварь — возможно, те же люди, что атаковали и СДЭК.
Как сообщил глава торговой сети, основная версия сбоя — вымогательство денег. А где отвалившиеся IT-системы с такой формулировкой, там и рансомварь. Пока идёт восстановление работы, аналитики соревнуются в суммах ущерба. Называют суммы около миллиарда рублей за неделю отключки, дополнительные издержки с учётом возможной утраты данных — до 20-50 миллионов. В общем, такая вот она, обратная сторона многолетнего бытия СНГ вольным киберпреступным хабом, оказавшимся под прицелом сомнительного хактивизма. Огромные корпорации на практике познают, почему в первом мире инфобез стоит больших денег, а безопасники не только по конференциям кутёж устраивают.
@tomhunter
#news На японской криптобирже DMM Bitcoin в последний день мая произошёл аналог хлопка — как сообщает анонс, случилась «неавторизированная утечка криптоактивов». А говоря человеческим языком, кража. ~4,500 биткоинов утекли с биржи и мгновенно разлетелись по десятку адресов. Это примерно 308 миллионов долларов.
Деталей кражи DMM Bitcoin не приводит, но далеко ходить за предположениями не нужно — либо неавторизированный доступ к корпоративным системам, либо уязвимости в смарт-контрактах/сайте. Если кража подтвердится, она станет крупнейшей в этом году, восьмой по объёму украденных средств в истории и самой крупной с ноября 2022-го, когда с FTX стянули почти полмиллиона долларов.
@tomhunter
#cve Опубликовали на Хабре нашу традиционную подборку самых интересных CVE ушедшего месяца. В мае десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода.
Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE последнего весеннего месяца читайте на Хабре!
@tomhunter
#news Интересный подход к распространению малвари через Stack Overflow: вновь абьюзят комментарии. Но в этот раз без подгрузки вредоноса в CDN, как было с Git, всё проще — злоумышленники оставляют комменты к вопросам с предложением подгрузить пакет с PyPi под видом инструмента управления API. Ну а в нём многофункциональный инфостилер.
Казалось бы, эффективность у такого подхода должна быть сомнительная. Особенно когда пакет идёт в качестве решения никак не связанной с ним проблемы. Но при этом скачать его успели почти 300 раз за день, прежде чем вредонос снесли админы. Что как бы должно послужить напоминанием, что не все советы от fellow developers бывают одинаково полезны. Даже если их постят на проверенной платформе.
@tomhunter
#news Европол устроил масштабную чистку серверам ботнетов в операции Endgame. Как сообщает служба, это крупнейшая операция такого плана. Перехвачены более 100 серверов и 2,000 доменов по всему миру, связанных с дропперами IcedID, SmokeLoader, TrickBot и другим вредоносом. Ботнеты уничтожены с помощью синкхолинга.
Также прошли аресты: один человек арестован в Армении, трое — на Украине. Ключевой подозреваемый, как предполагается, получил не менее $75 миллионов, предоставляя инфраструктуру под рансомварь. В розыске также семь человек, поднявших TrickBot, и восьмой — один из ключевых операторов SmokeLoader. В общем, привет из прошлого от Европола после разбора ботнета Emotet в 2021-м — часть арестованных были вовлечены ещё в его работу, и операция прошла по результатам продолжавшегося с тех пор расследования.
@tomhunter
#news К критической уязвимости с максимальным рейтингом в FortiSIEM опубликован эксплойт. Той самой, которую Fortinet пропатчила в феврале, CVE-2024-23108. И изначально отрицала её существование, утверждая, что это был дубликат, всплывший в результате ошибки в API. С точкой с запятой в другом аргументе в качестве единственного отличия между эксплойтами.
Уязвимость под RCE с рут-правами от неаутентифицированного злоумышленника, так что десяточка по CVSS более чем оправдана. От Horizon3 доступны подробный анализ CVE и сам эксплойт. Между тем с релиза патча прошло более трёх месяцев. Так что, как водится, кто не успел обновиться, тот опоздал.
@tomhunter
#news Передовые новости инфобеза из Индонезии: президент запретил разработку новых приложений для правительства. Причина проста: их число перевалило за 27 тысяч. Одно министерство набрало в пользование 500 приложений. Новые же создают при вступлении в должность министров, губернаторов и чиновников.
Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за неуёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. Судя по всему, по персональному для каждого чиновника.
@tomhunter
#news Редкий зверь на на территории РФ: причиной масштабного «технического сбоя» у СДЭК, судя по всему, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах так же подтвердил источник в компании.
СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы…
@tomhunter
#news Как известно, Google требует от разработчиков приложений под Android прописывать политику конфиденциальности даже там, где данные не собирают. Товарищ Джейми Завински подошёл к задаче творчески: политика его XScreenSaver превратилась в манифест «Семьдесят вещей, которые не так с Google».
XScreenSaver в отличие от Google не собирает пользовательские данные. Не использует их, не отслеживает локацию. Не содержит скрытых микрофонов. Не записывается в военные подрядчики США и Израиля. XScreenSaver не даёт взятки правительству и не давит конкурентов. И даже к разработке WebP отношения не имеет. В общем, та политика конфиденциальности, которую интересно почитать. Google её одобрил, так что, видимо, возражений не имеется. Впрочем, чего им стесняться. Не за репутацию же мегакорпорации добра переживать.
@tomhunter
#news У New York Times случилась масштабная утечка: слиты исходники с их GitHub. И оказались на 4Chan. 270GB, 5000 репозиториев, 3,6 миллионов файлов. Документация, внутренние инструменты, исходный код приложений и прочее-прочее. Всё это теперь раздаётся торрентом для всех желающих.
Взлом произошёл в январе 2024-го с помощью утёкшего токена от GitHub. Между тем корпоспик от NYT как всегда демонстрирует чудеса оптимизма: проблему они быстро порешали, все нужные меры приняли, последствий для их работы не было, как и доступа к внутренним системам. Ну а то, что в открытый доступ ушли вообще все их исходники, включая несколько популярных приложений, — это так, незначительные детали.
@tomhunter
📲 https://youtu.be/es8jyAkl4a4
Запись эфира на канале Полосатый ИНФОБЕЗ. Говорим о предупреждении киберугроз с основным разработчиком сервиса ThreatHunter Денисом Симоновым. Чем мониторить внешний периметр, домены, утечки, СМИ и соцмедиа, Telegram и Дарквеб...
@tomhunter
#news Атака по Snowflake рискует превратиться в одну из самых масштабных утечек данных в истории. У облачного провайдера уже стянули данные компаний Ticketmaster и Santander на 560 и 30 миллионов записей о клиентах, соответственно. И прочие жертвы атаки подтягиваются.
Так, на ожившем BF всплыли данные компаний Advance Auto Parts и LendingTree — 380 и 190 клиентских записей. В первой сообщили, что расследуют возможную утечку, связанную со Snowflake. Последняя поначалу всё яростно отрицала и требовала удалить ИБ-отчёт о взломе. Затем признала, что их взломали данными с инфостилеров, но продолжает занижать масштабы произошедшего. Кто именно стоит за взломом, пока неясно. Но в перспективе данных утекло столько, что суммарно это всё может с лихвой побить слив полицейской базы на миллиард китайцев пару лет назад.
@tomhunter
👾 ИАС «ОКО» - единое цифровое пространство для сбора актуальных данных из открытых источников информации.
ОБЪЕКТЫ ИССЛЕДОВАНИЙ:
🔤 номер телефона или адрес email
🔤 ФИО или паспортные данные
🔤 госномер ТС или VIN
🔤 название организации или ИНН
🔤 никнейм в Telegram
🔤 адрес криптокошелька
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ:
🅰️ организация мониторинга изменения данных
🔤 массовая проверка данных (csv, xsl)
🔤 настраиваемые формы отчетов
Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
#news ФБР продолжает пинать немногое оставшееся от LockBit. Бюро заявило, что у них на руках 7,000 ключей шифрования группировки, и предложило жертвам обратиться за бесплатным восстановлением данных. При этом с июня 2022-го по февраль 2024-го Lockbit совершила как раз около 7,000 атак.
Ранее после перехвата серверов группировки любители чертовски хорошего кофе называли число в 2,500 попавших к ним ключей. Что LockBitSupp яростно отрицал, заявляя, что у них ничего толком нет. Впрочем, как показали последние месяцы, есть много чего и ещё с запасом. Так что на фоне этого даже воспоминания о былых победах над Boeing и редкие успешные атаки от 3,5 оставшихся в партнёрке индивидов бренду уже ничем особо не помогут.
@tomhunter
#news У TikTok возникла проблема с перехватом аккаунтов: некая 0-day уязвимость с нулевой интеракцией. Злоумышленники используют её для угона аккаунтов брендов и знаменитостей, малварь присылают в личные сообщения. CNN пришлось снести свой аккаунт на несколько дней после перехвата.
Представитель TikTok сообщил, что затронуто лишь небольшое число пользователей, и вектор атаки они перекрыли, чтобы в дальнейшем такое не повторялось. Детали уязвимости и каких-либо подробностей не приводят. В общем, компания быстро выяснила, какой из встроенных бэкдоров умудрились отыскать злоумышленники, и прикрыла лавочку. До следующего раза.
@tomhunter
#news Вишенка на торте недавних приключений СДЭК: в сети всплыла часть данных отправителей, включая товары, пункты отправки и фото посылок. Можно было бы подумать, что это из старых утечек, но данные за апрель.
СДЭК уже достаточно натерпелась за последние дни, так что компания с ходу сообщила: «У нас нет оснований полагать, что произошла утечка данных». И правда, какая это утечка, когда это всего лишь несанкционированное выкладывание данных в сеть. При этом не похоже, что слили их злоумышленники, так как данные не всплыли на профильных форумах. Так что, видимо, просто ошибочка вышла, так совпало. Между тем сегодня компания также признала, что сбой был вызван «внешним воздействием», накинув двойную порцию корпоспика за день. Кому было интересно, с деталями атаки уже ознакомились на ресурсах организаторов лёгкого внешнего воздействия. Так что на этом тему можно закрывать.
@tomhunter
#news Лаборатория Касперского выпустила версию своего антивирусного инструмента KVRT под Linux. Это standalone-сканер для поиска малвари, адвари и прочих известных угроз. Работает он по памяти, автозапуску, загрузочным секторам и всем файловым форматам, включая архивные. В списке поддерживаемых 64-битных систем почти два десятка дистрибутивов; запуск и через GUI, и через терминал.
Исходников нет, и KVRT нужен доступ к интернету для работы. Желающие запустить неведомую зверушку в свои системы при таких исходных данных найдут подробный гайд по сссылке. Ну а кому идея кажется не очень заманчивой, про OSS-альтернативы рассказывать, думаю, не нужно.
@tomhunter
#news В октябре 2023-го у одного провайдера в Штатах превратились в кирпич половина роутеров — 600 тысяч устройств пришлось заменять. Инцидент получил название «The Pumpkin Eclipse», огласке его компания не предавала. На днях же подоспел анализ произошедшего: за атакой стоял деструктивный ботнет.
Удар пришёлся по конкретному провайдеру и трём моделям устройств в его сетях. Основной нагрузкой шёл RAT Chalubo, для атаки была использована одна из его панелей. Увы, вредоносную нагрузку найти не удалось, так что как устройства превратились в кирпич, неизвестно. Но судя по всему, была повреждена прошивка. Скорее всего, атака была целенаправленной, но кто именно за ней стоял, также неизвестно. Так или иначе случай уникальный по масштабам ущерба, и прежде деструктивный ботнет такого плана был замечен только в одном инциденте в зоне конфликта. Подробнее о тыквенном затмении в отчёте.
@tomhunter
#news На днях был арестован создатель и оператор 911 S5, одного из крупнейших ботнетов в мире с десятилетней историей. 35-летний гражданин Китая ответственен за миллиарды долларов ущерба, который нанесли злоумышленники через его сетку прокси. Сайт и инфраструктура 911 S5 перехвачены.
Между тем ботнет собирали в том числе через бесплатные VPN, так же известные в узких кругах любителей ИБ-трэша как порталы в ад. Они предоставляли юзерам заявленную функциональность, в то же время превращая их устройства в прокси. В основном заражения шли в Штатах, но если названия MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, и ShineVPN звучат знакомо, это тревожный звоночек. Потому как эти порталы в ад недружественных ресурсов шли в комплекте с бэкдором от 911 S5.
@tomhunter
#news В США завели дело на гражданина России как предполагаемого брокера начального доступа. 31-летний Евгений Дорошенко из Астрахани, он же «FlankerWWH» и «Flanker», по документам работает по этому профилю с февраля 2019-го года.
Flanker предпочитает брутфорсить доступные в сети сервисы удалённого доступа к рабочему столу, судя по истории активности, он же искал контакты для взлома NTLM-хэшей и связи с разработчиками кейлоггеров. Максимальный срок по обвинениям — до 20 лет заключения и $250 тысяч штрафа. Однако пока товарищ Дорошенко сидит в России и не рискует заезжать в страны с экстрадицией, штатовских безопасников в погонах он может не опасаться. А вот российских, кхм…
@tomhunter
#news BreachForums вернулся спустя всего пару недель после перехвата его инфраструктуры ФБР. В верхнем интернете по одному из прежних адресов. Но есть нюанс: чтобы попасть на форум, нужно зарегистрироваться.
На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации ходят слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе. Однако Hackread утверждает, что у последних случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная.
@tomhunter
Завтра, 29 мая в 12:00 по Москве, пройдёт вебинар Код ИБ | БЕЗОПАСНАЯ СРЕДА. Темой выпуска станет «Как происходит предупреждение киберугроз?» Участники обсудят DPR (Data Risk Protection) как процесс предупреждения угроз — иными словами, то как проходит работа по их выявлению изнутри.
От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно!
@tomhunter
#news Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло.
Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.
@tomhunter