‼️ Специалисты T.Hunter регулярно выступают экспертами в СМИ, дают комментарии по актуальным вопросам на тему информационной безопасности.
Для информационного сотрудничества и получения экспертных комментариев обращайтесь, пожалуйста, по следующим контактам:
📱 +7 (812) 640-92-48
📧 pr@tomhunter.ru
Для информационного сотрудничества и получения экспертных комментариев обращайтесь, пожалуйста, по следующим контактам:
📱 +7 (812) 640-92-48
📧 pr@tomhunter.ru
❤7
#OSINT Где можно потренироваться в OSINT?
https://tryhackme.com/
https://www.hackthebox.com/
https://investigator.cybersoc.wales/
@tomhunter
https://tryhackme.com/
https://www.hackthebox.com/
https://investigator.cybersoc.wales/
@tomhunter
🔥4❤2🤬2
#news REvil снова с нами: анализ шифровальщика от предполагаемых продолжателей REvil подтвердил возвращение группировки на хакинг-сцену.
Спецы подтвердили, что используемый шифровальщик собран из оригинальных исходников — в отличие от патченных, которыми пользуются сторонние группировки. Это говорит о том, что за новой операцией стоит, как минимум, один из ключевых разработчиков REvil, имеющий доступ к исходному коду и сайтам в Торе.
Новый шифровальщик содержит настройки, подразумевающие целевые атаки на ту или иную компанию. Из странного, отмечают публичность возвращения группировки вместо попытки скрыться под новой вывеской. Возможно, это просто расчёт на громкое имя.
@tomhunter
Спецы подтвердили, что используемый шифровальщик собран из оригинальных исходников — в отличие от патченных, которыми пользуются сторонние группировки. Это говорит о том, что за новой операцией стоит, как минимум, один из ключевых разработчиков REvil, имеющий доступ к исходному коду и сайтам в Торе.
Новый шифровальщик содержит настройки, подразумевающие целевые атаки на ту или иную компанию. Из странного, отмечают публичность возвращения группировки вместо попытки скрыться под новой вывеской. Возможно, это просто расчёт на громкое имя.
@tomhunter
🔥7💩1
#news В штатах предъявлены обвинения жителю Калифорнии, пытавшемуся стянуть у Министерства Обороны $23.5 миллиона.
В сентябре 2018-го года некто Серкан Оюнтур с помощью фишинговых писем и подставного сайта получил доступ к аккаунтам компаний, работавших на США. С их помощью злоумышленник подменил реквизиты в одном из контрактов на поставку авиационного топлива. Затем он по телефону убедил сотрудников МО США в обоснованности смены платёжных данных и пытался вывести деньги через фиктивную компанию сообщника.
Однако система безопасности всё же засекла транзакцию как подозрительную, так как фирма-однодневка не была подрядчиком по госконтракту, и обман вскрылся. Ценой блестяще срежиссированной фишинговой атаки для умельца могут стать до 30 лет в тюрьме.
@tomhunter
В сентябре 2018-го года некто Серкан Оюнтур с помощью фишинговых писем и подставного сайта получил доступ к аккаунтам компаний, работавших на США. С их помощью злоумышленник подменил реквизиты в одном из контрактов на поставку авиационного топлива. Затем он по телефону убедил сотрудников МО США в обоснованности смены платёжных данных и пытался вывести деньги через фиктивную компанию сообщника.
Однако система безопасности всё же засекла транзакцию как подозрительную, так как фирма-однодневка не была подрядчиком по госконтракту, и обман вскрылся. Ценой блестяще срежиссированной фишинговой атаки для умельца могут стать до 30 лет в тюрьме.
@tomhunter
🔥11❤1🤔1
#news Сервис Bankoff объявил о приостановке обслуживания клиентов из России. Средства на их счетах заморожены.
Из рассылки компании сегодня стало известно, что Visa и Stripe перестали обслуживать их карты, а все денежные средства заморожены на американском счёте. Bankoff пытается решить проблему, но вот увидят ли одураченные клиенты свои деньги — большой вопрос.
В сервис с пополняемыми криптой зарубежными картами, напомню, многие россияне ломанулись после блокировки Visa и Mastercard. Поучительная история для всех, кто слепо рассчитывает на надёжность сомнительных финансовых платформ. В копилку к криптобиржам, ещё пару месяцев назад клятвенно заверявшим, что кошельки клиентов из России трогать никто не будет. И потрогают, и деньги под шумок отожмут.
@tomhunter
Из рассылки компании сегодня стало известно, что Visa и Stripe перестали обслуживать их карты, а все денежные средства заморожены на американском счёте. Bankoff пытается решить проблему, но вот увидят ли одураченные клиенты свои деньги — большой вопрос.
В сервис с пополняемыми криптой зарубежными картами, напомню, многие россияне ломанулись после блокировки Visa и Mastercard. Поучительная история для всех, кто слепо рассчитывает на надёжность сомнительных финансовых платформ. В копилку к криптобиржам, ещё пару месяцев назад клятвенно заверявшим, что кошельки клиентов из России трогать никто не будет. И потрогают, и деньги под шумок отожмут.
@tomhunter
😱8🔥5😢3😁2🤬1
#news В апреле 2022 года произошел внезапный всплеск злоумышленников, злоупотребляющих службой ретрансляции SMTP Google. В новых фишинговых кампаниях используется SMTP-сервер smtp-relay.gmail.com, который является доверенным сервером и поэтому обычно помещается в списки разрешенных почтовыми шлюзами и службами фильтрации спама.
▶️ https://vimeo.com/705387326
@tomhunter
▶️ https://vimeo.com/705387326
@tomhunter
Vimeo
Gmail SMTP relay attack demo
Gmail SMTP relay attack demo from Avanan.
❤4
Наша регулярная рубрика на Хабре о наиболее интересных уязвимостях за прошедший месяц. В топ десять самых горячих CVE за апрель попали лазейки в архиваторе 7-Zip и популярном движке JavaScript V8, ворох уязвимостей в McAfee Agent и Cisco и многое другое. Приятного чтения!
🔥6
#news Mozilla опубликовала отчёт об исследовании приватности 32 приложений для поддержки психического здоровья. Результаты, мягко говоря, удручающие.
Почти все изученные приложения получили пометку как небезопасные. Более того, 25 из них даже под минимальные стандарты безопасности от Мозиллы не прошли. Речь о самых элементарных вещах: больше полдюжины приложений банально допускали пароли в духе 1 и 1111.
Более того, часть приложений собирают данные пользователей и передают на сторону. Политики конфиденциальности у многих толком нет, а в одном прописано согласие на отправку записей о терапии и здоровье маркетологам. Как это всё может сказаться на и без того уязвимых людях, доверяющих приблудам на телефоне самое личное, — вопрос открытый.
@tomhunter
Почти все изученные приложения получили пометку как небезопасные. Более того, 25 из них даже под минимальные стандарты безопасности от Мозиллы не прошли. Речь о самых элементарных вещах: больше полдюжины приложений банально допускали пароли в духе 1 и 1111.
Более того, часть приложений собирают данные пользователей и передают на сторону. Политики конфиденциальности у многих толком нет, а в одном прописано согласие на отправку записей о терапии и здоровье маркетологам. Как это всё может сказаться на и без того уязвимых людях, доверяющих приблудам на телефоне самое личное, — вопрос открытый.
@tomhunter
😢5🤯2😱2🤔1
#news В сеть утекли данные клиентов лаборатории «Гемотест». Речь идёт о 31 миллионе записей, включающих в себя имя и фамилию, дату рождения, физический и электронный адрес, телефон, а также серию и номер паспорта. Это жители разных регионов России, включая Москву и Московскую область.
Базу продают на форуме в даркнете с начала весны. Судя по предоставленным торгашом образцам, утечка свежая — данные были выгружены не раньше 22 апреля. Так что речь может идти о до сих пор не исправленной уязвимости в системах лаборатории. В общем, если база подлинная, сданный как-то раз в «Гемотесте» ПЦР, как в случае с вашим покорным слугой, ненароком мог стоить утекших в сеть личных данных.
UPD: во второй базе на продажу ещё и 554 миллиона заказов с данными клиентов, датой и составом заказа. Потенциал для мошеннических схем солидный.
@tomhunter
Базу продают на форуме в даркнете с начала весны. Судя по предоставленным торгашом образцам, утечка свежая — данные были выгружены не раньше 22 апреля. Так что речь может идти о до сих пор не исправленной уязвимости в системах лаборатории. В общем, если база подлинная, сданный как-то раз в «Гемотесте» ПЦР, как в случае с вашим покорным слугой, ненароком мог стоить утекших в сеть личных данных.
UPD: во второй базе на продажу ещё и 554 миллиона заказов с данными клиентов, датой и составом заказа. Потенциал для мошеннических схем солидный.
@tomhunter
😱9😁4🔥1🤬1
#news Согласно отчёту ФБР, BEC-атаки (Business Email Compromise) уверенно держат первое место в мире киберпреступности. И финансовые потери от них с 2019-го года выросли на 65 процентов.
За 2021-й год зарегистрировано почти 20 тысяч заявлений на общую сумму $2.4 миллиарда. Ближайший конкурент, мошенничество с инвестициями, за тот же период принесло злоумышленникам на миллиард меньше. Всего же с 2016-го года BEC-атаки стоили их жертвам почти $50 миллиардов. Масштабы впечатляющие.
Популярность BEC-атак обусловлена их технической простотой и эффективностью социнженерии. Так как их невозможно выявить традиционными методами, лучшей защитой по-прежнему остаётся обучать сотрудников тщательно проверять все финансовые письма и выявлять такие атаки. Предупреждён — значит, вооружён, в общем.
@tomhunter
За 2021-й год зарегистрировано почти 20 тысяч заявлений на общую сумму $2.4 миллиарда. Ближайший конкурент, мошенничество с инвестициями, за тот же период принесло злоумышленникам на миллиард меньше. Всего же с 2016-го года BEC-атаки стоили их жертвам почти $50 миллиардов. Масштабы впечатляющие.
Популярность BEC-атак обусловлена их технической простотой и эффективностью социнженерии. Так как их невозможно выявить традиционными методами, лучшей защитой по-прежнему остаётся обучать сотрудников тщательно проверять все финансовые письма и выявлять такие атаки. Предупреждён — значит, вооружён, в общем.
@tomhunter
❤5😱1
#OSINT Новая статья вышла у меня на Хабре. Речь пошла о многообразных расширениях для браузера Chrome, которые позволяют превратить его в достаточно эффективный инструмент OSINT-расследователя.
Читать: https://habr.com/ru/company/tomhunter/blog/664482/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/664482/
@tomhunter
❤8🔥5
#news Стыдно, товарищи... На сайте «открытых данных России» обнаружена уязвимость. Как выяснилось, любой желающий мог разместить документы на официальном государственном портале, чтобы использовать ссылку на легитимный портал в качестве подтверждения недостоверных данных.
@tomhunter
@tomhunter
🤔11🤯10😁6
#news Apple, Microsoft и Google планируют внедрить единый стандарт авторизации без паролей до конца 2023-го года.
Нас ждёт аутентификация по биометрии или пин-коду устройства, которое будет защищено уникальным криптографическим токеном. Впрочем, при всей болтовне о большей безопасности, токен будет легко перенести на другое устройство, в том числе из «облака». Так что насколько это усилит защиту от удалённого взлома, неясно.
А вот что сказать можно точно, так это что подобная система приватности не прибавит. Сначала пользователь будет окончательно привязан к устройству с уникальным IMEI и геолокацией. Потом останется убрать логин по пин-коду в целях «безопасности», и мы останемся один на один с системой, войти в которую можно только по биометрии. В общем, вслед за беспарольным придёт и будущее, лишенное призрачных остатков приватности.
@tomhunter
Нас ждёт аутентификация по биометрии или пин-коду устройства, которое будет защищено уникальным криптографическим токеном. Впрочем, при всей болтовне о большей безопасности, токен будет легко перенести на другое устройство, в том числе из «облака». Так что насколько это усилит защиту от удалённого взлома, неясно.
А вот что сказать можно точно, так это что подобная система приватности не прибавит. Сначала пользователь будет окончательно привязан к устройству с уникальным IMEI и геолокацией. Потом останется убрать логин по пин-коду в целях «безопасности», и мы останемся один на один с системой, войти в которую можно только по биометрии. В общем, вслед за беспарольным придёт и будущее, лишенное призрачных остатков приватности.
@tomhunter
🤔10😱5
#news Благодарим основательницу проекта КодИБ Ольгу Поздняк за позитивный и всегда интересный движ. Как всегда, все - супер. Поговорили о насущном: расследования, анонимность в интернете и методы ее преодоления. И не забудьте подписаться на @codeibnews
▶️ https://youtu.be/6XD_oE-K8Gc
@tomhunter
▶️ https://youtu.be/6XD_oE-K8Gc
@tomhunter
YouTube
Интервью с Игорем Бедеровым, T.Hunter
Игорь Бедеров - эксперт в области безопасности бизнеса, бывший сотрудник специальных служб.
#Интервью #codeib #ИгорьБедеров #T.Hunter
КОД ИБ: семейство проектов, главная миссия которых — делать мир информационной безопасности простым и понятным
Здесь вы…
#Интервью #codeib #ИгорьБедеров #T.Hunter
КОД ИБ: семейство проектов, главная миссия которых — делать мир информационной безопасности простым и понятным
Здесь вы…
❤4💩2🔥1
#news Облачный сервис Heroku подтвердил кражу личных данных пользователей после взлома с помощью OAuth-токенов в прошлом месяце.
Сначала компания утверждала, что злоумышленник получил доступ только к GitHub-репозиториям, а сами аккаунты не пострадали. Однако на этой неделе Heroku разослала пользователям письма о принудительной смене паролей, что как бы намекало. Ну а теперь компания раскрыла подробности.
Украденные OAuth-токены дали злоумышленнику доступ к внутренней базе аккаунтов Heroku. И, соответственно, были слиты пароли пользователей. Также злоумышленник скачал несколько приватных GitHub-репозиториев с исходниками Heroku. Произошло это, напомню, ещё месяц назад. Отличный пример того, как компании не надо реагировать на взлом.
@tomhunter
Сначала компания утверждала, что злоумышленник получил доступ только к GitHub-репозиториям, а сами аккаунты не пострадали. Однако на этой неделе Heroku разослала пользователям письма о принудительной смене паролей, что как бы намекало. Ну а теперь компания раскрыла подробности.
Украденные OAuth-токены дали злоумышленнику доступ к внутренней базе аккаунтов Heroku. И, соответственно, были слиты пароли пользователей. Также злоумышленник скачал несколько приватных GitHub-репозиториев с исходниками Heroku. Произошло это, напомню, ещё месяц назад. Отличный пример того, как компании не надо реагировать на взлом.
@tomhunter
😢5😱1
#OSINT #ARCHIVE Использование веб-архивов позволяет увидеть, как веб-страница или сайт выглядели в прошлом. Часто это бывает полезно при проведении и документировании расследования. Самые популярные и бесплатные веб-архивы:
├https://archive.org/
├https://cachedview.com/
├https://archive.is/
└http://www.cachedpages.com/
Отдельно стоит сказать о сервисе https://russia.undelete.news/ru, который позволяет эффективно отслеживать аккаунты социальных сетей.
Обратите внимание на кешированные Google версии сайтов и веб-страниц. Архивная версия страницы доступна там, нажав на ссылку http://webcache.googleusercontent.com/search?q=cache:ADD_URL_HERE.
Отметим, что веб-архивы существуют не только как онлайн-сервисы. Веб-архив также доступен в виде бесплатного трансформа в программном комплексе Maltego. Также существуют веб-архивы в виде расширений для браузеров. Например, для популярного Chrome: Go Back in Time или Wayback Machine
@tomhunter
├https://archive.org/
├https://cachedview.com/
├https://archive.is/
└http://www.cachedpages.com/
Отдельно стоит сказать о сервисе https://russia.undelete.news/ru, который позволяет эффективно отслеживать аккаунты социальных сетей.
Обратите внимание на кешированные Google версии сайтов и веб-страниц. Архивная версия страницы доступна там, нажав на ссылку http://webcache.googleusercontent.com/search?q=cache:ADD_URL_HERE.
Отметим, что веб-архивы существуют не только как онлайн-сервисы. Веб-архив также доступен в виде бесплатного трансформа в программном комплексе Maltego. Также существуют веб-архивы в виде расширений для браузеров. Например, для популярного Chrome: Go Back in Time или Wayback Machine
@tomhunter
🔥6
#news Сообщается о новом критическом удаленном выполнении кода в сетевых устройствах BIG-IP, отслеживаемом как CVE-2022-1388. Уязвимость затрагивает компонент аутентификации BIG-IP iControl REST и позволяет удаленным злоумышленникам обходить аутентификацию и выполнять команды на устройстве с повышенными привилегиями. Эти типы атак могут использоваться для кражи корпоративных данных или развертывания программ-вымогателей на всех сетевых устройствах. ИТ-эксперты уже выпустили обновления для устранения новой уязвимости. Они предупредили, что все администраторы должны как можно скорее обновить свои устройства.
@tomhunter
@tomhunter
❤4
#news США наложили санкции на криптомиксер Blender, после того как северокорейцы отмыли через него украденную крипту.
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
🤔6😁4
#news Власти Коста-Рики ввели чрезвычайное положение в связи с взломом правительственных учреждений группировкой Conti.
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
🔥7
#news RuTube лежит уже больше суток — сайт подвергся мощной хакерской атаке.
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
😁16🤔8🎉3💩3
#news Обнаружен новый способ доставки малвари, на этот раз через логи журнала событий в винде.
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
❤8🔥2🤬1