14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news В России сегодня днём произошёл массовый сбой в работе многочисленных сервисов. В 14:00 по Москве прилегли Telegram и WhatsApp, следом посыпалось многое другое, включая Discord, Steam, Skype и далее по списку. Трафик у операторов за час просел на 10-15%. Telegram каким-то образом также отвалился в Казахстане и Узбекистане. Внимание, вопрос: 2018-й все помнят?
Между тем, как сообщает РКН, сбои в работе связаны с DDoS-атакой на российских операторов связи. По состоянию на 15:00 атака была героически отражена. Помогите Даше объяснить, как работает DDoS-атака сразу по двум тысячам российских операторов связи, которая при этом кладёт отдельно взятые мессенджеры и ещё десяток ресурсов по касательной.
@tomhunter
#news Любопытные подробности недавней масштабнейшей утечки от брокера данных National Public Data в США. У сестринской компании с доступом к тем же базам данных прямо на сайте, на домашней странице, в открытом доступе лежал архив с исходниками, паролями к админке и бэкенду.
Архив висел на сайте до 19 августа, пока о нём не сообщили журналисты. А пароли совпадают с теми, которые раньше утекали с аккаунтов основателя NPD. Сам он сообщил, что архив с сестринского сайта убрали, его скоро отключат, и вообще это был старый сайт с нерабочим кодом, а ввиду идущего расследования больше подробностей он сообщить не может. Но звучит это всё не очень убедительно. Так что за утечкой данных на 3 миллиарда записей и, по предварительным оценкам, на 272 миллиона человек может стоять вот такое лёгкое ИБ-недоразумение.
@tomhunter
#news Оригинальные методы социнженерии от новой рансомварь-группировки Mad Liberator. Злоумышленники стучатся по адресам AnyDesk в расчёте, что жертва возьмёт трубку. А затем закидывают простенький файл, отключающий клавиатуру и мышь и… демонстрирующий экран обновления Windows. Всё, вся социнженерия.
Пока жертва ругает нехорошими словами всеми любимую корпорацию, злоумышленники стягивают файлы из сети и оставляют записки с требованием выкупа. Расчёт в атаке идёт на то, что сотрудник компании примет звонок в AnyDesk за стандартную работу IT-отдела. А экраном обновления Windows, давно ставшего героем мемов и популярной культуры, уж точно никого не удивишь. У группировки, активной с июля, на сайте указаны девять жертв, не считая потенциально выплативших выкуп, так что метод рабочий. Как, впрочем, и его митигация: подключения только с доверенных устройств и сотрудники, приученные не отвечать на запросы с незнакомых аккаунтов. Не бери трубку, не совершай ошибку.
@tomhunter
#news Google подтвердила атаки иранских хакеров по штабам предвыборной кампании в США. Как сообщает компания, APT42 нарастила активность в мае и июне, ведя небольшую, но активную фишинговую операцию. Как и в 2020-м, досталось обоим кандидатам в президенты, а также на тот момент вице-президенту Харрис.
По данным Google, целью APT42 стали почтовые аккаунты около десятка лиц, связанных с идущей президентской гонкой. В ход идёт изощренный фишинг в попытках украсть учётные данные, порою многоступенчатый: сначала жертва получает безобидные PDF, затем её пытаются перетащить на другие платформы, где уже предложат инфостилер. Из отчёта известно, что группировка получила доступ к почте видного политконсультанта, других успехов не приводят. Пока сенсаций вокруг вокруг активности APT42 в Штатах не разгоняют, но до выборов ещё далеко. Так что, возможно, о вредоносных госхакерах, наглым образом подрывающих демократические процессы, публикуя компромат на кандидатов, мы ещё услышим.
@tomhunter
#news Новая Зеландия вновь постановила экстрадировать в США внушительную скалу, о которую в нулевые безуспешно бились волны копирайта. Кима Доткома, основателя файлообменника MegaUpload, в своё время одного из самых посещаемых сайтов, существовавшего с 2005-го по 2012-й год.
Как утверждают в США, файлообменник нанёс правообладателям убытки в полмиллиарда долларов, его сервера были перехвачены в Гонконге. С 2012-го Штаты с переменным успехом добивались экстрадиции мастадонта киберпиратства. Комментируя решение суда, Дотком назвал Новую Зеландию послушной американской колонией и грозится никуда не уезжать. С учётом его необъятной любви к России и содержимого высказываний по текущим событиям, значительная фигура от мира горячих твиттерных тейков Дотком мог бы и убежище в России запросить, чего стесняться. Экспертом на ТВ будет, любимчиком публики.
@tomhunter
#news В США экстрадирован Максим Сильников, гражданин Беларуси и Украины, известный под псевдонимами J.P. Morgan, xxx и lansky. Он был арестован 18 июля 2023-го в Испании и отправлен в Штаты 9 августа. Где предстанет перед судом по делу о разработке рансомвари Ransom Cartel и старичка Reveton, а также эксплойт-китов, включая Angler Exploit Kit.
В начале 2010-x червь Reveton блокировал системы и под видом сообщения от ФБР и АНБ о нарушении копирайта или просмотре ЦП вымогал деньги. Позже Reveton обзавёлся модулем для кражи паролей. Обвинения предъявлены и двум подельникам, гражданам Беларуси и России, которые пока на свободе. NCA презентует Сильникова как «одного из самых выдающихся русскоязычных киберпреступников». Его точно можно назвать одним из самых долгоиграющих: J.P. и товарищи были активны с 2011-го и находились в разработке с 2015-го года. Пионеры RaaS-модели и эксплойт-китов, не иначе. Кульминация карьеры на видео с ареста здесь.
@tomhunter
#news Очередная рансомварь-операция перехвачена ФБР — на этот раз под нож пошла группировка Dispossessor. Любители чертовски хорошего кофе на заглушке шутят: сервера злоумышленников были «repossessed». То есть изъяты.
Операция была активна с августа 2023-го с неким Brain во главе, на её счету не меньше 43 жертв. Что примечательно, на её сайте регулярно всплывали данные со взломов других группировок, как то Cl0p, Hunters International, и 8base — судя по всему, Dispossessor активно перетаскивала к себе недовольных партнёров с прочих RaaS-операций, и украденные ими данные повторно использовались под шантаж. В июле группировка также начала использовать слитый билдер LockBit 3.0, резко повысив масштаб атак. Но теперь её сервера в США, Великобритании и Германии перехвачены, а партнёрам группировки предстоит искать новый фасад для своих киберпреступных дел.
@tomhunter
#news На Breached в свободном доступе всплыла масштабная утечка с данными американцев от брокера National Public Data. Недавно шедшая на продажу за $3,5 миллиона, теперь база доступна всем желающим.
2,7 миллиарда записей содержат имена, адреса и страховые номера. Последнее особенно примечательно, так как в США на них многое завязано, поэтому есть потенциал для мошенничества. Также часть записей идёт с данными на родственников, а некоторые содержат информацию о людях на 30+ лет в прошлое — всё, что брокер данных сумел собрать на продажу. Потенциально утечка затрагивает чуть ли не каждого американца, но часть проверенных данных по базе не бьются, так что она местами либо устаревшая, либо неточная. На вопросы об утечке компания не ответила, но ей сейчас и не до этого — на неё уже подали несколько коллективных исков, и слив таких масштабов грозит не 60 тысячами рублей штрафа, а миллионами долларов.
@tomhunter
#news Вездесущие госхакеры вновь вмешиваются в выборы в США! Только на этот раз иранские. На днях издание Politico писало, что в конце июля получило от анонима на почту внутренние документы штаба Трампа, включая подробное досье на кандидата в вице-президенты. После этого предвыборный штаб заявил о взломе.
Документы, как водится, были получены незаконно «из иностранных источников, враждебных США», и целью всего это является вмешаться в выборы и посеять хаос в демократических процессах. Microsoft подробностями не делится, но иранские госхакеры активно рассылают фишинговые письма со взломанных аккаунтов чиновникам из президентской кампании. Так что, видимо, Иран приключения Трампа на президентском посту ему так и не простил и шлёт приветы.
@tomhunter
#news Привет из прошлого для браузеров: раскрытая 18 лет назад уязвимость, получившая название 0.0.0.0 day, позволяет вредоносным сайтам обходить защиту в Chrome, Firefox и Safari и взаимодействовать с сервисами в локальной сети. Уязвимость не затрагивает устройства под Windows, только под Linux и MacOS.
Баг связан с тем, как браузеры обрабатывают сетевые запросы по айпишнику 0.0.0.0 и в определённых сценариях может вести вплоть до RCE. Риск не теоретический — эксплойт светится в атаках. При этом Mozilla об уязвимости сообщили ещё в 2006-м, и все эти годы мейнтейнеры закрывали-переоткрывали репорт и спорили: «Это баг? Это фича? Ни то, ни другое?» Теперь вопрос закрыт: разработчики браузеров проблему признали, и в ближайших версиях будут фиксы с блокировкой доступа к 0.0.0.0. А пока доступны костыли. Подробнее о проблеме в отчёте.
@tomhunter
#news Небезызвестный даркнет-форум WWH Club был перехвачен ФБР, во Флориде арестован его владелец. Очередной наш соотечественник, Павел Кублицкий. Другим администратором назван Александр Ходырев из Казахстана. Из дела неясно, был ли он задержан.
WWH Club был хабом для всевозможных киберпреступных активностей и насчитывал 170 тысяч юзеров. Согласно иску, ФБР получили доступ к админке и базе данных сайта. И разбирали её с гуглтранслейтом, так как админка была на русском. Кублицкий и Ходырев объявились в США в декабре 2022-го, подали на убежище, но жили на широкую ногу, соря деньгами. Между тем из дела известен адрес почты Кублицкого. И благодаря ему выяснилось, что товарищ из Омска, на него открыто несколько производств приставами, и он был одним из руководителей МММ-2011, заведовал омским филиалом. Как водится, привычка — вторая натура. От одной масштабной мошеннической операции в другую и по следам своего идейного лидера — за решётку.
@tomhunter
#news В США в работе любопытный законопроект. Сенатская комиссия по разведке предлагает приравнять рансомварь-атаки к терроризму. Злоумышленники в таком случае станут «враждебными иностранными киберпреступниками», а укрывающие их страны — «государственными спонсорами программ-вымогателей».
Сторонники закона считают, что он пошлёт важный сигнал о намерении бороться с киберпреступностью. В то же время часть экспертов сомневаются, что от него будет толк: уже обложенные санкциями страны новые вряд ли заметят, а скрывающиеся по ним злоумышленники поведения не изменят. Да и большие дяди, занимающиеся риал политик, лейблами «государство — спонсор [кибер]терроризма» разбрасываться не станут — борьба борьбой, а закулисные переговоры важнее. Так что станет ли закон переломным моментом в войне с киберпреступностью или всего лишь даст возможность товарищу Wazawaka и компании флексить статусом международного кибертеррориста, пока сказать сложно.
@tomhunter
#news ФБР на пару с немецкой полицией на выходных перехватили очередную сомнительную криптоплафторму. На этот раз под раздачу попал старичок Cryptonator. Как обычно, через него шла крипта в подсанкционные режимы, украденные киберпреступниками деньги и платежи с маркетов в даркнете.
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
#digest Опубликовали наш традиционный дайджест ключевых ИБ-новостей прошлого месяца. Главным событием июля, несомненно, стал инцидент с CrowdStrike, приведший к одному из крупнейших падений систем по всему миру в истории.
Прошлый месяц принёс и другие рекорды. Крупнейшую выплату после рансомварь-атаки, уязвимость с компрометацией Secure Boot на миллионах устройств с 2012-го года и мировое лидерство России по числу выложенных в даркнет баз данных. В июле «Лаборатория Касперского» ушла с рынка в США, а печально известная FIN7 активно прокладывала путь обратно на киберпреступную сцену. Об этом и других интересных новостях инфобеза выдавшегося очень горячим летнего месяца читайте на Хабре!
@tomhunter
#news Пятничные новости из серии «Как один маленький файлик похоронил многомиллиардную компанию». К многочисленным искам против CrowdStrike ожидаемо присоединились инвесторы: падение акций почти на 40% стоило им серьёзных финансовых потерь.
Согласно иску, компания обманула инвесторов касаемо качества софта, его надёжности и адекватности тестирования. По некоторым оценкам, дефектное обновление обошлось бизнесу в $5,4 миллиарда. Так что желающих компенсировать убытки достаточно: Delta Airlines, потерявшая полмиллиарда на отменённых рейсах, рассчитывает на компенсацию и от CrowdStrike, и от Microsoft. И хотя засудить последнюю за чужой кривой софт едва ли получится, в памяти широкой публики инцидент с Falcon Sensor, видимо, так и останется как «Упала Windows, и всё сломалось». CrowdStrike же разблокировала плохую концовку, и на горизонте маячит потенциальное банкротство. Модуль ядра и автоматическое тестирование — что могло пойти не так?
@tomhunter
#news В США хакер нашёл оригинальный способ не платить алименты: он взломал регистрационную систему и подделал своё свидетельство о смерти. Используя украденную учётку врача, злоумышленник создал фиктивное дело, внёс данные для свидетельства и заверил цифровой подписью врача. Документы были заполнены верно, так что во многих государственных базах данных взломщик был отмечен как умерший.
В итоге товарищ избежал возврата долгов по алиментам и дальнейших выплат. На этом его хакерская карьера не закончилась, и он продолжил взламывать сети, подрабатывая брокером начального доступа. Увы, многоходовочку в итоге раскрыли, и героя истории приговорили почти к 7 годам тюрьмы и $195 тысячам штрафа. В которые входят в том числе и пропущенные выплаты по алиментам. Остап Бендер от мира киберпреступности упустил важный шаг в инсценировке собственной смерти — побег в далёкие тёплые края.
@tomhunter
#news Toyota в очередной раз подверглась взлому. На этот раз пострадало отделение в США. Деталями утечки и числом затронутых ею клиентов компания не делится, указывая лишь, что проблема ограничена в масштабах и не затронула системы целиком. Ограничена же она 240GB данных в открытом доступе.
Злоумышленники утверждают, что в сливе контакты, финансовые данные, информация по клиентам и сотрудникам, почты, данные доступа и многое другое. На файлах даты от декабря 2022-го, так что, возможно, пострадал сервер с бэкапом. В прошлом году Toyota уже светилась в утечках с неверно настроенных облаков и тогда пообещала ввести автоматический мониторинг настройки облачных серверов, чтобы избежать подобных инцидентов в будущем. Вероятно, до американского отделения нововведения напополам с аудитом добраться не успели. В таких корпорациях дела быстро не делаются.
@tomhunter
#news Рансомварь-группировка Qilin пробивает очередное дно. Целью злоумышленников стала некоммерческая организация Promises2Kids в США, помогающая детям из детских домов, жертвам жестокого обращения в семьях. Группировка зашифровала системы фонда и шантажирует сливом конфиденциальных данных в рамках двойного вымогательства.
Qilin, она же Agenda, активна с 2022-го года и атак по здравоохранению не стесняется. В июне группировка уже отметилась шифрованием поставщика медицинских услуг в Лондоне, создав критическую ситуацию в местных больницах. А теперь добавила в свой послужной список детский благотворительный фонд. Не ленитесь распространить — страна должна знать своих героев рансомварь-сцены. А потенциальные партнёры — с каким отребьем предстоит сотрудничать.
@tomhunter
#news 2024-й на пути к тому, чтобы стать рекордсменом по рансомварь-выплатам: за первую половину года злоумышленникам выплатили более $459 миллионов. Несмотря на то, что число компаний, готовых платить выкупы по следам шифрования, снизилось почти на треть, растут медианные выплаты и число атак. И злоумышленники чаще атакуют крупный бизнес и критическую инфраструктуру, готовые выплатить большой куш.
При этом в сравнении с аналогичным периодом прошлого года рост общих выплат небольшой — всего 2%. Криптовалютные кражи показали гораздо более впечатляющий рост: сумма почти удвоилась — с $857 миллионов до $1,58 миллиардов. Также почти вдвое выросла и средняя сумма краж, достигнув $10,6 миллионов. Частично за это ответственен выросший курс биткоина; по той же причине криптоворы возвращаются к корням — атакам по централизованным платформам, где торговля битком более популярна. Подробнее о тренда и рекордах 2024-го в отчёте.
@tomhunter
#news Патчевый вторник августа принёс продуктам Microsoft исправление девяти нулевых дней, шесть из которых эксплойтят, и ещё один нулевой день пока без патча. Из исправленных выделяется CVE-2024-38063, критическая уязвимость в IPv6 под произвольный код. С нулевой интеракцией.
Уязвимость связана с целочисленным переполнением, ведёт к переполнению буфера и, соответственно, RCE. Затронуты Windows 10, 11 и Server, и, как утверждает исследователь, блокировка IPv6 в качестве костыля не сработает — ошибка возникает до обработки пакетов брандмауэром. Сложность эксплуатации низкая, такие баги ранее эксплойтили, так что опасность не теоретическая. И уязвимость, что называется, wormable. В общем, в августе она ожидаемое занимает почётное место одной из самых серьёзных из исправленных. Так что кто поленится накатывать патчи, сам виноват.
@tomhunter
#news Анализ первого полугодия 2024-го в мире рансомвари показывает устойчивый рост активности несмотря на успехи правоохранительных органов. И больше половины инцидентов пришлись на 6 группировок.
С уходом BlackCat и серьёзными проблемами у LockBit позиции укрепили Play, Akira и 8Base. В топ-6 также пробились BlackBasta и Medusa, а из новичков отметились RansomHub и DragonForce. Больше всего пострадал производственный сектор — на него пришлись 16,4% атак, следом идут здравоохранение и строительная отрасль с 9,6% и 9.4% атак по ним, соответственно. Из стран же абсолютным лидером по числу инцидентов ожидаемо являются США — 52% атак пришлись по Штатам, 917 зафиксированных инцидентов. Следом идёт Канада, 109 атак. Так что США продолжают быть основным спонсором рансомварь-сцены стран СНГ с мечтами о яхтах и роскошной жизни. Подробнее о трендах первого полугодия в отчёте.
@tomhunter
#news Чудеса инфобеза от оборонной промышленности Южной Кореи. Правящая партия страны сообщила, что КНДР получила доступ к секретной информации о танке K2 и разведывательных самолётах. И если в случае последних был взлом, инфу по танку южнокорейцы умудрились слить сами.
Утечка данных по танку K2 произошла, после того как инженеры одного из поставщиков ушли к конкуренту и унесли с собой на внешних носителях чертежи и отчёты. Вот так просто. Новый же работодатель решил экспортировать технологию на Ближний Восток и, соответственно, допустил утечку за пределы страны. В случае же с самолётами северокорейские госхакеры взломали подрядчика и стянули свежие техданные. Так или иначе, оба инцидента ставят оборонку Южной Кореи под серьёзный удар. Партия уже призвала срочно пересмотреть законодательство в сфере ИБ и шпионажа во избежание повторения утечек. Но судя по масштабам произошедшего, одной законодательной бюрократией здесь не отделаешься.
@tomhunter
12-13 сентября в Москве пройдёт восьмая ежегодная конференция «MOSCOW FORENSICS DAY 2024». Два дня, посвящённых цифровой криминалистике и информационной безопасности, и возможность встретиться со специалистами со всей России и из стран СНГ.
От T.Hunter в конференции примет участие Игорь Бедеров, руководитель нашего департамента расследований, с докладом «Криминалистическое исследование Telegram-каналов». С полной программой можно ознакомиться здесь. Участие бесплатное, по регистрации. Присоединяйтесь, будет интересно!
@tomhunter
#news Исследователь Вангелис Стикас, выступая на BlackHat 2024, поделился успехами контррансомварь-деятельности. У группировки Everest был уязвимый сайт на WordPress. У BlackCat — незащищённые API, позволившие дампнуть команды и документацию с серверов. А в случае с Mallox с помощью IDOR был получен доступ к сообщениям в чате администратора. Итог ста часов свободного времени — деанон части злоумышленников, пара ключей шифрования для жертв и предотвращение нескольких готовившихся в январе BlackCat атак.
Стикас также отметил интересную вещь: из 135 протестированных им сайтов рансомварь-группировок уязвимы были только 3. То есть меньше 3%, в то время как у бизнеса баги он находит в 40-50%. Так что киберпреступники относятся к ИБ гораздо серьёзнее простых смертных. Понимают, шельмецы, с чем имеют дело. При этом Стикас получил предупреждения от Google, что им начали интересоваться госхакеры — это ли не лучшее признание своей работы для безопасника?
@tomhunter
#news В начале года в новостях светился оригинальный персонаж: рэппер Punchmade Dev, воспевающий киберпреступность и держащий платформу с продажей украденных аккаунтов и финансовых данных. История получила продолжение. Теперь он судится с банком, заморозившим его счёт.
Как Punchmade Dev указал в заявлении, банк незаконно отнял его 500 тысяч долларов, и всё это одна большая ошибка, включая отметку банка, что счётом интересуются правоохранительные органы. И ничем незаконным невинный клиент не занимается. Но есть нюанс. В заявлении Punchmade Dev указал свой номер телефона. И на него же зарегистрирован домен, на котором висит его новый киберпреступный магазин. Товарищ продаёт курсы по опсеку, но не в состоянии обзавестись анонимным доменом. В общем, не все киберпреступники одинаковы опасны. Некоторые существуют просто для того, чтобы Кребсу было чем развлечься в свободное от серьёзного OSINT’a время.
@tomhunter
#news CrowdStrike наняла две фирмы независимых аудиторов, чтобы проверить свой кривой код. Есть ли среди них разработчики, которых CrowdStrike уволила в начале года, прежде чем перевести разработку в Индию, не уточняется. Но результаты аудита симптоматичные.
Вкратце, в файле обновления был 21 входный параметр, в то время как код, загоняющий его в интерпретатор, поддерживал только 20. Несовпадение числа параметров пропустили при тестировании, валидации билда, стресс-тестах и предыдущих успешных случаях деплоя таких обновлений. Пока 19 июля апдейт не проинструктировал интерпретатор обратиться к отсутствующему параметру. В итоге выход за пределы массива и упавшие системы. Анализ первопричины инцидента доступен здесь. Последний оставшийся вопрос: будет ли CrowdStrike ещё существовать через полгода? McAfee после схожего инцидента в 2010-м в итоге была продана Intel.
@tomhunter
#news Proton VPN добавил оригинальную фичу в свои приложения под Android. Пользователи смогут сменить иконку на нейтральную, маскирующую приложение под погодное, записки или калькулятор. Помимо этого, под Windows перекочевала уже стандартная фича маскировки VPN-трафика под обычный. А в страны на дне списка свобод и демократии отправятся дополнительные сервера.
Сделано это всё, как водится, для помощи пользователям, обитающим в таких светочах цивилизации как Эфиопия, Йемен, Судан и прочих злачных местах. Но и тем, кому в жизни повезло чуть больше, нововведения тоже могут пригодиться. А то вдруг вы там ютубчик на непозволительных скоростях смотреть отказываетесь и занимаетесь прочими неблагонадёжными вещами, не желая на VK Видео переходить. Всё для вас, мои маленькие любители бытового экстремизма.
@tomhunter
#news В апреле брокер данных в США под брендом National Public Data, занимающийся аналогом проверок СБ, допустил масштабную утечку: 2,9 миллиарда записей на американцев. Тогда базу выставили на продажу за $3,5 миллиона, а теперь злоумышленники планируют её слить.
Журналисты запросили доступ к базе, файл массивный — 277,1GB. И предварительно данные по базе бьются, так что утечка реальна. ФИО, адреса за 30+ лет, страховые номера. В базе также информация на родителей и ближайших родственников и многое другое. Потенциально это может стать одной из крупнейших утечек в истории. По масштабам она вполне может сравниться со взломом Yahoo в 2013-м, когда утечка затронула все три миллиарда пользовательских аккаунтов на платформе. Тогда это обошлось Yahoo в $150 миллионов по судебным делам. Допустившему эту утечку брокеру данных, судя по всему, тоже стоит морально готовиться.
@tomhunter
#news Китайские госхакеры продолжают демонстрировать смекалочку в деле доставки малвари. На этот раз группировка StormBamboo скомпрометировала неназванного интернет-провайдера и отравила DNS-запросы автообновлений софта.
Группировка использовала плохо защищённые механизмы обновлений, не проверяющие цифровые подписи, и HTTP-запросы перенаправлялись на C2-сервер злоумышленников, с которого подтягивался вредонос. Инструментом для атаки стали несколько производителей софта. Так, в случае с 5KPlayer на С2 лежал модифицированный Youtube.config, сообщивший о доступном обновлении youtube-dl, которое шло с бэкдором. Отравление DNS от китайских умельцев не первый раз светится в сетевых дебрях, но механизм интересный. Подробнее об атаке в отчёте.
@tomhunter
#cve Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем.
Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте на Хабре!
@tomhunter