14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Подводим итоги месяца нашим традиционным дайджестом самых интересных новостей. Август принёс страсти по Цукербринам: Дуров, Маск и Цукерберг дружно попали в громкие заголовки. В России же готовят проект о сборах с компаний за иностранное ПО, а в США хотят приравнять киберпреступников к террористам.
Август принёс рекорды: брокер данных в США допустил утечку 2,7 миллиардов записей на американцев, а 2024-й на пути к рекордному году по рансомварь-выплатам. Также в ушедшем месяце форум WWH Club вместе с владельцем из МММ и группировка Dispossessor отправились под нож ФБР. Об этом и другим новостях и ИБ-курьёзах последнего летнего месяца читайте на Хабре!
@tomhunter
#news Исследователь опубликовал анализ и проверку концепции к CVE-2024-38106 — нулевому дню в ядре Windows. Уязвимость на повышение привилегий до System была исправлена в августовском патче и активно эксплуатируется злоумышленниками.
Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
#news Новости из мира, где за бреши в кибербезопасности приходится платить. Производитель камер наблюдения из США Verkada выплатит $2,95 миллиона за взломы, от которых компания пострадала в 2020-м и 2021-м годах.
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
#news 27 августа на выставке «Мой Петербург» в Историческом парке «Россия – моя история» прошел Цифровой день Комитета по информатизации и связи. Гости выставки смогли побывать на презентации цифрового сервиса «Я здесь живу», где узнали о разработке приложения, технологиях и языках программирования, а также приняли участие в розыгрыше сувениров. Руководитель департамента киберрасследований T.Hunter Игорь Бедеров поделился с посетителями методами и приемами выявления технической слежки при помощи обычного смартфона. Фотографии и презентации с выставки доступны по ссылке.
@tomhunter
#news К новинкам малвари. Исследователи обнаружили необычную кампанию по распространению ранее неизвестного бэкдора, который разработчики назвали Voldemort. Доставляют его с 5 августа фишинговыми письмами под видом налоговых служб по организациям США, Европы и Азии.
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
#news В Штатах оригинальный случай суда над безопасником. Известного под псевдонимом Connor Goodwolf исследователя преследуют за публикацию данных, украденных после рансомварь-атаки у администрации города Колумбус.
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
#news Исследователи отследили новую фишинговую кампанию под видом звонков из IT-отдела. Жертвам звонят на личные телефоны и с помощью социнженерии выманивают данные доступа от VPN.
В атаке используют фейковые страницы VPN-сервисов, а целью кампании стали более 130 организаций в Штатах из разных отраслей. Злоумышленники финансово мотивированы — за атаками стоит рансомварь-группировка. Раньше в фишинге с помощью звонков была замечена BlackCat, так что, возможно, в деле перекочевавшие в другие RaaS-операции умельцы. Или просто подражатели. Исследователи отмечают, что в атаках задействованы носители английского. Оно и неудивительно: звонки из техподдержки с мощным индийским акцентом для таких высокопрофильных операций не очень подходят. Да и наших рансомварщиков билингвальными сложно назвать.
@tomhunter
#news Очередная поучительная история о попытке вымогательства в адрес работодателя. 57-летний разработчик из США зашёл в сеть своей компании под админкой и поставил запланированные задания на смену паролей админа, администраторов домена и юзеров. В прошлом ноябре в час Х он разослал по компании письма «Ваша сеть взломана».
Злоумышленник потребовал выкуп в $700 тысяч в битках и угрожал отключать по 40 серверов в день, пока его не выплатят. Под это он тоже предусмотрительно поставил задания. Увы, шалость не удалась. А на ноутбуке товарища нашли историю доступа к скрытой виртуалке, с которой он гуглил детали своего плана вплоть до «Командная строка для смены пароля администратора». На днях горе-шантажиста повязали и предъявили обвинения в вымогательстве, порче оборудования и электронном мошенничестве. Что бывает, когда почитал об успехах рансомварщиков и слишком поверил в себя.
@tomhunter
#news Лайфхак от нашего руководителя департамента расследований. Как выявлять слежку за вами при помощи BT-трекеров (AirTag и пр.)?
📱 Если Вы - владелец Android, то рекомендуем обновить свою мобильную ОС до 14 версии. Это позволит открыть в настройках возможность автоматического обнаружения BT-трекеров. Находится менюшку по адресу:
Настройки > Безопасность и экстренные ситуации > Оповещения о неизвестных трекерах
#news Алон Левиев выложил в свободный доступ инструмент Windows Downdate, позволяющий откатывать обновления Windows. C его помощью можно откатить компоненты Windows 10, 11 и Server до базовых версий, включая Hyper-V, ядро и драйверы NTFS.
На Black Hat 2024 Левиев продемонстрировал откат патчей для нескольких критических уязвимостей, обход защиты VBS и UEFI и прочие трюка формата «Назад в Будущее или как превратить тысячи исправленных уязвимостей в нулевые дни». Как сообщил исследователь, атаки с помощью инструмента EDR-решения не видят, и откат не замечает WIndows Update. Одну из уязвимостей, допускающих downgrade-атаки, Microsoft уже исправила, но вторая всё ещё ждёт патча. До его выхода есть только не очень удобные костыли. Подробнее об атаке здесь, а сам инструмент доступен на Github.
@tomhunter
#news Марк Цукерберг признал очевидное-невероятное: Facebook плотно сотрудничал с властями США по цензурированию контента на Facebook. Так, во время пандемии цензуре подверглась любая информация о ковиде, которая не вписывалась в официальную повестку.
А перед президентскими выборами 2020-го Facebook активно боролся с дезинформацией от… вездесущих русских хакеров. Ссылки на расследование о сыне Байдена активно блокировали и занижали в выдаче. Как сообщает Цукерберг, с тех пор стало понятно, что это никакая не российская дезинформация, а повседневные приключения небожителей из властных кругов США. Марк теперь ужасно раскаивается и твёрдо убеждён, что вмешиваться в выборы и поддаваться давлению любой администрации не нужно. В общем, либо пиар-отдел отрабатывает стандартную тему с извинениями, либо заранее готовятся к возможному возврату Трампа в Белый дом. Уж этому-то негодяю давить на Facebook Цукербрин не позволит.
@tomhunter
#news Прокуратура Франции выпустила пресс-релиз по задержанию Павла Дурова. В отношении него ведут расследование по 12 статьям. Уже названные отказ от сотрудничества и распространение всего возможного в Telegram. Отдельно можно отметить «Незаконное предоставление средств криптографии сверх необходимых для обеспечения конфиденциальности». Формулировка чудесная.
Дурова сейчас допрашивают следователи, очевидно, выводя на сотрудничество с французскими силовыми ведомствами и не только. Арка персонажа вышла на развилку: тварь он дрожащая, которая мигом сдаст Telegram, как VK, спасая свою шкуру, или право стать новой иконой борьбы за свободу слова имеет? Делайте ваши ставки. Идеалы шифропанка, не чуждые обоим братьям Дуровым, как водится, проверку вниманием силовиков проходят нечасто. Особенно когда на кону роскошная жизнь с частным самолётом и инстаграмными девками.
@tomhunter
#news Аудиторы обнаружили серьёзные пробелы в безопасности складов ФБР. Речь идёт о хранилищах жёстких и прочих носителей, содержащих чувствительную и засекреченную информацию.
ФБР толком не отслеживает жёсткие и флешки, попадающие на склад, так что их пропажи никто и не заметит. Этому также способствует отсутствие маркировки формата «Секретно» и «Совершенно секретно». И неработающие на складах камеры. С правилами доступа на склад всё тоже не очень, а хранятся носители под уничтожение в паллетах в открытом виде. Пример из отчёта на фото. Вот такой вот мешочек жёстких, подозрительно похожий на коробку кабелей в гараже. ФБР проблему признало и обещает поставить клетки и рабочие камеры и порешать прочие незначительные вопросики с хранением разных интересных данных, за доступ к которым можно ненароком стать врагом государства.
@tomhunter
#news В сентябре в Госдуме представят законопроект о специальном сборе с бизнеса за зарубежное ПО. Согласно планам, бизнес будет оплачивать лицензии на него на рублёвые спецсчета, а в случае отказа правообладателей от такой щедрости деньги уйдут в фонд поддержки российского IT.
Мера, как водится, непопулярная, но направлена на стимулирование перехода на российское ПО. Малый и средний бизнес, а также бюджетные организации, она не затронет. Некоторые участники рынка планируемым нововведениям не рады и не стесняются выражать обеспокоенность, ссылаясь на трудности и расходы на разработку собственного ПО. При этом каждая пятая компания, владеющая критической инфраструктурой, год назад сообщила, что к 2025-му на отечественный софт перейти не успеет. С учётом новых сборов, вероятно, некоторые решат всё же пересмотреть своё пристрастие к пережиткам однополярного мира в виде чуждого нам западного софта.
@tomhunter
#news ИБ-отдел Университета Калифорнии решил провести тренировку студентов и сотрудников по противодействию фишингу. После этого на кампусе начался сущий кошмар: согласно письму, один из коллег вернулся из Южной Африки с эболой. Для получения дополнительных данных предлагалось перейти по ссылке. Классика.
В университете такую оригинальную кампанию по борьбе с фишингом не оценили. Так что ИБ-отделу пришлось извиняться за поднятую панику и подрыв доверия не только к официальным сообщениям, но и к прекрасной далёкой Южной Африке, где случаев заражения эболой не было с 1996-го. При этом безопасники университета просто использовали в качестве шаблона реальное фишинговое письмо, полученное несколькими неделями ранее. Но как водится, что дозволено киберпреступнику, не дозволено безопаснику.
@tomhunter
#news Новые рекорды инфобеза в России, но вновь есть нюанс. В первом полугодии утёк почти миллиард строк персональных данных. Это на треть больше, чем за аналогичный период прошлого года. Количество зарегистрированных утечек выросло до 415 — их на 10% больше.
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
#news Давненько не было новостей про любимый поисковик по лицам всех спецслужб, Clearview AI. Речь, конечно же, об очередном штрафе: Нидерландская DPA выписала компании штраф в €30,5 миллионов, а за отказ прекратить нарушения обещает на сдачу выдать ещё €5,1 миллиона санкционных.
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
#article Опубликовали новую статью «Google Sheets как инструмент OSINT-детектива». В ней речь пойдёт о том, как использовать всю мощь экосистемы Google с её расширениями и скриптами и превратить Google Таблицы в незаменимое подспорье для любого OSINT-специалиста. Это первая статья из цикла, в ней мы разберём автоматизацию дорков для поиска по картинкам, никнеймам и физическим лицам. С формулами и примерами. За подробностями добро пожаловать на Хабр!
@tomhunter
#news Удивительные последствия возросшего в России числа кибератак: согласно опросам, с начала лета 85,2% организаций начали серьёзнее относиться к инфобезу. Весёлые приключения СДЭК и ретейлера «Верный» массово открыли глаза на существование ИБ по всем индустриям.
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования.
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
#news Бразилия задаёт тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
#news RansomHub обзавелась собственной страницей на сайте CISA. Как сообщает ФБР, с февраля 2024-го на счету группировки больше двухсот жертв по всей критической инфраструктуре США и не только.
Группировка в основном работает по вымогательству после кражи данных, но не стесняется и шифрования — ранее RansomHub уже обозначили как потенциальных покупателей исходников рансомвари Knight. В последнее время группировке также удалось переманить крупные фигуры из LockBit и BlackCat за счёт более чем щедрой схемы выплат по партнёрке. Что интересно, группировка также позволяет партнёрам работать в других RaaS-операциях. Так что, скорее всего, о RansomHub в ближайшие пару лет мы услышим ещё не раз. До первых визитов ФБР на их сервера. Подробнее о деятельности группировки, её TTPs и IoCs в отчёте.
@tomhunter
#news Павел Дуров освобождён под залог в $5 миллионов. Ему запретили покидать Францию, он должен дважды в неделю отмечаться в полиции. Абсурдные обвинения идут по ранее озвученным статьям, включая отказ от сотрудничества, незаконное предоставление средств криптографии и соучастие в распространении наркотиков и прочего крамольного. Так что эпопея продолжается.
Между тем для любителей OSINT на скриншоте наглядный пример, почему не надо возить с собой в деловые поездки инстаграмных девок. Они задокументируют онлайн всё. Вообще всё. Включая визиты в азербайджанский центр кибербезопасности перед полётом во Францию. С подписью «Побывали в Министерстве Кибербезопаности». Майор Вавилова по приказу прибыла, желаю здравия.
@tomhunter
#news К новинкам фишинга, на очереди инновации с QR-кодами. Злоумышленники используют оригинальный метод обхода анализа изображений: QR собирают из юникода. Несмотря на то, что они текстовые, такие QR-коды всё ещё отлично считываются камерами. Обнаружение затрудняет также и то, что простым текстом они выглядят совсем иначе, чем как отображаются на экране.
Существующие методы анализа против таких кодов неэффективны, так что новая угроза требует новых же решений. И хотя может показаться, что такой фишинг будет не особо эффективен, в конце 2023-го число атак с QR-кодами выросло на 587%, а за первые пару недель 2024-го исследователи зафиксировали 20 тысяч таких фишинговых атак. Так что не стоит недооценивать готовность среднего юзера сканировать что попало. Проверку концепции QR-кода из юникода можно подсмотреть здесь.
@tomhunter
#news Сюжет вокруг ареста Дурова продолжает лихо закручиваться. Как пишет WSJ, в 2018-м он встречался с Макроном за обедом, и тот предлагал гражданство и заодно перенести штаб-квартиру Telegram в Париж. Дуров отказался. Но гражданство-то в итоге получил.
А за год до этой встречи разведка Франции совместно со спецслужбами ОАЭ (!) взломала айфон Дурова. Французы были недовольны тем, что Telegram использовали террористы из Исламского государства. Telegram же годами игнорировал повестки и судебные постановления, требующие взаимодействия с властями. Иными словами, приключения Дурова во Франции начались явно не вчера, и закулисные отношения с французами и Эмиратами у него запутанные. Видимо, Дуров в этот раз слишком долго не отвечал на звонки Макрона. А теперь пришёл черёд людей с холодными головами сделать ему предложение, от которого невозможно отказаться.
@tomhunter
#news В июле небезызвестный хакер USDoD опубликовал полный список угроз из базы CrowdStrike. Меньше месяца спустя компания его сдеанонила, и теперь он дал интервью Hackread. И что вы думаете? Товарищ-то резко раскаялся и решил завязать с киберпреступной деятельностью.
USDoD — 33-летний Луан Г. из Бразилии, ранее известный хактивист. В интервью он признал поражение, сообщил, что готов ответить за свои действия и никуда бежать не собирается. В общем, бразильский Wazawaka занимается самопиаром. Между тем действий накопилось достаточно: только из недавнего слив данных National Public Data, а также взлом платформы ФБР InfraGard в 2022-м. Такое в Штатах не прощают. И вот незадача: между США и Бразилией действует договор об экстрадиции. Но своих граждан они выдают не всегда, да и есть много слов, чтобы описать правовую систему Бразилии, но «прозрачная» в их число не входит. Особенно когда речь о хакере с толстым криптокошельком.
@tomhunter
#news Ничто так не бодрит, как новости о малвари под Linux, которая не была обнаружена два года. Названный sedexp вредонос активен как минимум с 2022-го и избегает обнаружения с помощью техники, ещё не включённой в MITRE ATT&CK.
Sedexp использует правила udev для устойчивости и запускается, каждый раз как система подгружает /dev/random. То есть при каждом ребуте. Малварь использует реверс-шеллы для доступа к заражённому устройству и манипулирует памятью, скрывая строки «sedexp» от команд ls и find. Sedexp нашли необнаруженным во многих песочницах, а на VirusTotal только два движка помечают образцы как вредоносные. На заражённых веб-серверах же малварь использовали для скрейпинга данных банковских карт, так что операция финансово мотивированная. Подробнее о находке в отчёте.
@tomhunter
#news Внезапные ночные новости: Павел Дуров задержан в аэропорту Парижа и помещён под стражу. Его приняли прямо с трапа его частного самолёта. На Дурова, гражданина Франции с 2021-го, был выдан ордер на задержание, и сообщают, что его точно арестуют. Завтра должны предъявить обвинения. Французское ТВ утверждает, что ему грозит до 20 лет тюрьмы.
Власти Франции обвиняют Дурова в соучастии в торговле наркотиками, преступлениях против детей, терроризме, отмывании денег и мошенничестве из-за отсутствия модерации в Telegram. Также сообщают, что ордер действовал только во Франции и Дуров якобы знал, что он в стране «персона нон грата». Что это за неожиданный поворот в истории основателя Telegram и не нацелилась ли французская разведка на ключи шифрования или иные преференции от взятого за мягкое место создателя мессенджера? Станет понятнее в ближайшие дни. Пока можно спекулировать, зачем долгое время избегавший европейских силовиков Дуров отправился во Францию.
@tomhunter
#news В США судят гражданина Латвии, проживавшего в Москве, за участие в работе рансомварь-группировки Karakurt. Арестованный в Грузии в декабре прошлого года, 33-летний Денис Золотарев ранее в августе был экстрадирован в США, его обвиняют в отмывании денег, электронном мошенничестве и вымогательстве.
Согласно делу, товарищ был известен под ником Sforza_cesarini и был переговорщиком по раносмварь-висякам — случаям, где переговоры после атаки зашли в тупик. Он связан как минимум с шестью вымогательствами для группировки. Сама же Karakurt была крылом Conti, работавшим исключительно по стягиванию данных и последующим выкупам. Золотарев — первый попавшийся член Karakurt, так что у него есть все шансы получить от ФБР предложение, от которого невозможно отказаться. А следом уже и идентификация прочих членов синдиката бодрее пойдёт.
@tomhunter
#news В Enterprise Server от GitHub исправили критическую уязвимость на получение доступа к учётной записи с правами администратора. CVE-2024-6800 получила 9.5 по CVSS и связана с проверкой подписи в XML при использовании SAML-аутентификации.
Уязвимость позволяет злоумышленнику подделать SAML-ответ для доступа к учётке. Помимо неё также исправлены ещё две средних уязвимости, но они блекнут на фоне критической. Патч уже доступен и устраняет уязвимость в версиях GHES 3.13.3, 3.12.8, 3.11.14 и 3.10.16. Из хороших новостей, большая часть доступных в сети GHES-инстансов стоят в Штатах — 29, 200 из 36,500 судя по данным поисковика FOFA. Между тем парочка из поднятых в России принадлежат VK. Так что пришло время накатывать патчи.
@tomhunter