#news Китайские «Космические Пираты» взламывают российские аэрокосмические компании.
Нет, это не сюжет комикса. Так спецы из Positive Technologies окрестили новую группировку из Китая. Среди их целей госкомпании из IT-сектора, космической и энергетической отраслей. То, что это госсектор, очевидно по достижениям хакеров: в сетях одной из неназванных компаний они имели доступ как минимум к 20 серверам в течение 10 месяцев, в другой — действовали больше года и скомпрометировали не меньше 12 корпоративных узлов в трёх регионах. Затраты на инфосек в этом году не предусмотрены, приходите в третьем квартале 2025-го.
В арсенале у группировки сборная солянка из известной и новой малвари плюс фирменный PlugX. Шпионаж, в том числе и военный, — дело для китайцев привычное, но в последнее время атаки по российскому направлению резко усилились. Казалось бы, при чём здесь геополитика…
@tomhunter
Нет, это не сюжет комикса. Так спецы из Positive Technologies окрестили новую группировку из Китая. Среди их целей госкомпании из IT-сектора, космической и энергетической отраслей. То, что это госсектор, очевидно по достижениям хакеров: в сетях одной из неназванных компаний они имели доступ как минимум к 20 серверам в течение 10 месяцев, в другой — действовали больше года и скомпрометировали не меньше 12 корпоративных узлов в трёх регионах. Затраты на инфосек в этом году не предусмотрены, приходите в третьем квартале 2025-го.
В арсенале у группировки сборная солянка из известной и новой малвари плюс фирменный PlugX. Шпионаж, в том числе и военный, — дело для китайцев привычное, но в последнее время атаки по российскому направлению резко усилились. Казалось бы, при чём здесь геополитика…
@tomhunter
🔥14🤔1
#news Злоумышленники используют фейковые криптосайты, чтобы обворовывать замечтавшихся воришек.
Потенциальная жертва получает якобы отправленное по ошибке письмо из массовой рассылки с данными к кошельку, на котором лежат 30 битков. Ссылка ведёт на липовый, но весьма убедительный сайт криптобиржи. Для доступа к почти миллиону долларов нужно всего лишь внести $180 — трюк в том, что в кошельке якобы установлена минимальная сумма для вывода в 30.006 BTC. Деньги, естественно, уходят злоумышленнику.
Такая схема старше любого криптомонетчика, но затраченные на фейковую платформу усилия впечатляют. Там и двухфакторная аутентификация, и возможность сначала вывести «в целях безопасности» 0.0001 BTС для пущей убедительности. Но бесплатный криптосыр, как водится…
@tomhunter
Потенциальная жертва получает якобы отправленное по ошибке письмо из массовой рассылки с данными к кошельку, на котором лежат 30 битков. Ссылка ведёт на липовый, но весьма убедительный сайт криптобиржи. Для доступа к почти миллиону долларов нужно всего лишь внести $180 — трюк в том, что в кошельке якобы установлена минимальная сумма для вывода в 30.006 BTC. Деньги, естественно, уходят злоумышленнику.
Такая схема старше любого криптомонетчика, но затраченные на фейковую платформу усилия впечатляют. Там и двухфакторная аутентификация, и возможность сначала вывести «в целях безопасности» 0.0001 BTС для пущей убедительности. Но бесплатный криптосыр, как водится…
@tomhunter
❤5
#OSINT #DLP Сегодня обойдем OSINT-еров и сделаем подборку для безопасников. Системы контроля сотрудников и DLP. Простые, но зато бесплатные:
├Kickidler
├File Control
├СпрутМонитор
├MyDLP
├opendlp
├StaffCounter Basic
└Stealthbits
@tomhunter
├Kickidler
├File Control
├СпрутМонитор
├MyDLP
├opendlp
├StaffCounter Basic
└Stealthbits
@tomhunter
❤8💩1
#news Миллионам государственных служащих и подрядчиков США были выданы суперзащищенные смарт-карты-удостоверения личности, которые обеспечивают физический доступ к зданиям и контролируемым пространствам, а также обеспечивают доступ к правительственным компьютерным сетям и системам с соответствующим уровнем безопасности держателя карты...
Ха! Первая же попытка обновить домашний считыватель смарт-карты привела пользователя к скачиванию вредоносного ПО, распространяемого через официальный сайт производителя Saicoo. Вредонос был идентифицирован, как Ramnit, довольно распространенный, но опасный троян.
@tomhunter
Ха! Первая же попытка обновить домашний считыватель смарт-карты привела пользователя к скачиванию вредоносного ПО, распространяемого через официальный сайт производителя Saicoo. Вредонос был идентифицирован, как Ramnit, довольно распространенный, но опасный троян.
@tomhunter
😁19🔥1🤯1
#OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS
@tomhunter
❤11🤔1
#news Conti закрывает свои операции и распределяет членов по другим хакерским группировкам.
Эксперты пишут, нашумевшая атака на правительство Коста-Рики была пиар-ходом, чтобы провернуть их уход. Теперь Conti отключила свои сервисы и объявила, что часть её участников либо вольются в другие группировки, либо будут действовать автономно. Кроме того, они заявили о перехвате управления неназванной хакерской шайкой, под брендом которой будут продолжать работу.
Напомню, громкое имя Сonti пострадало, после того как они объявили о поддержке известно каких геополитических манипуляций — один исследователь в их рядах слил переписки и исходники группировки. Что ж, операцию украинского Штирлица против Conti можно считать успешной. А смогут ли они достичь прежних результатов под новым именем, покажет время.
@tomhunter
Эксперты пишут, нашумевшая атака на правительство Коста-Рики была пиар-ходом, чтобы провернуть их уход. Теперь Conti отключила свои сервисы и объявила, что часть её участников либо вольются в другие группировки, либо будут действовать автономно. Кроме того, они заявили о перехвате управления неназванной хакерской шайкой, под брендом которой будут продолжать работу.
Напомню, громкое имя Сonti пострадало, после того как они объявили о поддержке известно каких геополитических манипуляций — один исследователь в их рядах слил переписки и исходники группировки. Что ж, операцию украинского Штирлица против Conti можно считать успешной. А смогут ли они достичь прежних результатов под новым именем, покажет время.
@tomhunter
😁8🔥2🤔1
#news На днях масштабно обновился постоянно меняющий домены сайт, созданный после мартовских утечек из Яндекса. На нём выложили данные клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна» и из других источников.
Компании, естественно, начали всё отрицать. Первым сознался Delivery Club: признали утечку телефонов и данных заказов, хотя сначала это опровергали. Цена слитой базы — глубочайшие извинения, ну и, может, символический штраф от Роскомнадзора. «Мы очень извиняемся. Мы извиняемся. Простите!» — сообщают в Delivery Club.
Авторы сайта заявляют, это такой перфоманс, так как у нас не ценят конфиденциальность. Кто в итоге победит, самопровозглашённые инфосек-Робин Гуды или сотрудники компаний, сливающие базы клиентов за мелкий прайс, — вопрос риторический.
@tomhunter
Компании, естественно, начали всё отрицать. Первым сознался Delivery Club: признали утечку телефонов и данных заказов, хотя сначала это опровергали. Цена слитой базы — глубочайшие извинения, ну и, может, символический штраф от Роскомнадзора. «Мы очень извиняемся. Мы извиняемся. Простите!» — сообщают в Delivery Club.
Авторы сайта заявляют, это такой перфоманс, так как у нас не ценят конфиденциальность. Кто в итоге победит, самопровозглашённые инфосек-Робин Гуды или сотрудники компаний, сливающие базы клиентов за мелкий прайс, — вопрос риторический.
@tomhunter
🔥8😱2💩1
#news Сбербанк отчитался о крупнейшей в его истории DDoS-атаке. В начале мая по системам банка шёл наброс в 450GB/сек. с 27 тысяч устройств.
С конца февраля банк круглосуточно находится под атакам, и злоумышленники используют новые методы. В ход идут вредонос в рекламных скриптах и расширениях для Chrome, заточенные под системы банка docker-контейнеры и другие приблуды. Директор отдела кибербезопасности Сбера утверждает, что они успешно справляются с многократно возросшими угрозами.
На фоне его радужного отчёта сегодняшние заявления из Совбеза звучат мрачно. Там официально озвучили, что на трети объектов критической инфраструктуры в России нет структурных подразделений по защите информации. А большинство систем и сетей связи в госорганах уязвимы для массированных атак. Ну, теперь дело за малым, кхм…
@tomhunter
С конца февраля банк круглосуточно находится под атакам, и злоумышленники используют новые методы. В ход идут вредонос в рекламных скриптах и расширениях для Chrome, заточенные под системы банка docker-контейнеры и другие приблуды. Директор отдела кибербезопасности Сбера утверждает, что они успешно справляются с многократно возросшими угрозами.
На фоне его радужного отчёта сегодняшние заявления из Совбеза звучат мрачно. Там официально озвучили, что на трети объектов критической инфраструктуры в России нет структурных подразделений по защите информации. А большинство систем и сетей связи в госорганах уязвимы для массированных атак. Ну, теперь дело за малым, кхм…
@tomhunter
🔥13
#news Как Facebook определяет изначальное авторство фотографии, маркирует и отслеживает загружаемый контент? Выяснилось, что Facebook потенциально может отслеживать фотографии за пределами своей собственной платформы. Для этого социальная сеть встраивает специальный код в метаданные изображения. Если вы скачаете фото с Facebook и откроете в любом 16-ричном редакторе, то сможете увидеть данные специальной инструкции IPTC (начинается с FBMD), позволяющий следить за контентом.
Официально, IPTC данные представляют собой информацию, которая добавляется в фотографию или иллюстрацию и может быть выделена из нее специальными программными средствами.
@tomhunter
Официально, IPTC данные представляют собой информацию, которая добавляется в фотографию или иллюстрацию и может быть выделена из нее специальными программными средствами.
@tomhunter
🤔17
#news Злоумышленники используют дипфейки Илона Маска и других известных любителей крипты для продвижения очередной мошеннической криптосхемы.
В ход идёт создание каналов на YouTube и взлом существующих, на которые загружают куски реальных интервью с наложенным текстом. Маска выдают за CEO криптоплатформы BitVex, манящего невиданными 30% доходности. До Луны давали двадцаточку, а до Марса и все тридцать можно выписать, значит.
Сами дипфейки и липовый сайт довольно нелепые, но готовые снова купиться на громкие имена наверняка найдутся. Так, в начале мая, прикрываясь именем Маска, скаммеры стянули около $1,5 миллионов. Нет, Илон Маск не хочет дать вам халявных денег! Duh.
@tomhunter
В ход идёт создание каналов на YouTube и взлом существующих, на которые загружают куски реальных интервью с наложенным текстом. Маска выдают за CEO криптоплатформы BitVex, манящего невиданными 30% доходности. До Луны давали двадцаточку, а до Марса и все тридцать можно выписать, значит.
Сами дипфейки и липовый сайт довольно нелепые, но готовые снова купиться на громкие имена наверняка найдутся. Так, в начале мая, прикрываясь именем Маска, скаммеры стянули около $1,5 миллионов. Нет, Илон Маск не хочет дать вам халявных денег! Duh.
@tomhunter
🔥7
#news Аккаунты пользователей на многих сайтах могут быть взломаны ещё до того, как они будут зарегистрированы.
Речь об атаках, в ходе которых на почту потенциальной жертвы заранее регистрируют аккаунт. Если в него войдёт владелец ящика, предугадливый взломщик может сохранить доступ разными методами. Самый распространённый — незаконченная сессия, но вариантов много. В некоторых случаях удаётся обойти и верификацию почты.
Из 75 популярных сервисов к разным атакам оказались уязвимы 35, в том числе Dropbox и LinkedIn. Крупные-то площадки это быстро поправят, а сколько мелких останутся с уязвимостями — не счесть. Безопасники Мелкософта также опубликовали подробную статью об этом типе атак и защите от них.
@tomhunter
Речь об атаках, в ходе которых на почту потенциальной жертвы заранее регистрируют аккаунт. Если в него войдёт владелец ящика, предугадливый взломщик может сохранить доступ разными методами. Самый распространённый — незаконченная сессия, но вариантов много. В некоторых случаях удаётся обойти и верификацию почты.
Из 75 популярных сервисов к разным атакам оказались уязвимы 35, в том числе Dropbox и LinkedIn. Крупные-то площадки это быстро поправят, а сколько мелких останутся с уязвимостями — не счесть. Безопасники Мелкософта также опубликовали подробную статью об этом типе атак и защите от них.
@tomhunter
❤8🤔1
#news Популярные библиотеки для Python и PHP подменили на содержащие вредонос для кражи переменных среды и данных доступа к Amazon Web Services.
Скомпрометировали модуль для Питона ctx и PHP-пакет hautelook/phpass. У модуля 20к скачиваний в неделю, и последние пару недель все его версии содержали зловред. Скорее всего, хакер угнал аккаунт разработчика. Пакет же заменили, пересоздав удалённый GitHub-репозиторий, но с этим обошлось, так как все давно сидят на его форке.
Стоящий за атаками злоумышленник якобы очевиден, но пока не назван. Ранее после вала похожих атак GitHub ввёл обязательную двухфакторную аутентификацию для топ-100 npm-пакетов. Другие платформы, вероятно, последуют примеру.
@tomhunter
Скомпрометировали модуль для Питона ctx и PHP-пакет hautelook/phpass. У модуля 20к скачиваний в неделю, и последние пару недель все его версии содержали зловред. Скорее всего, хакер угнал аккаунт разработчика. Пакет же заменили, пересоздав удалённый GitHub-репозиторий, но с этим обошлось, так как все давно сидят на его форке.
Стоящий за атаками злоумышленник якобы очевиден, но пока не назван. Ранее после вала похожих атак GitHub ввёл обязательную двухфакторную аутентификацию для топ-100 npm-пакетов. Другие платформы, вероятно, последуют примеру.
@tomhunter
😱7
#news С начала СВО было выявлено четыре компании по распространению RAT, имитирующих обновления Windows. Все компании были нацелены на российские правительственные организации. Во всех четырех случаях конечной целью кампаний было заражение целей пользовательским трояном удаленного доступа (RAT), который, скорее всего, использовался для слежки.
@tomhunter
@tomhunter
🤔4
#news Госдеп США создает новое разведывательное подразделение по работе с открытыми данными (OSINT). Об этом сообщил Бретт Холмгрен, помощник госсекретаря по разведке и исследованиям. Создание подразделения является частью нового стратегического плана под названием «INR 2025». В нем изложены пять основных столпов, начиная с императива «поднять стратегический анализ и переопределить разведывательную поддержку дипломатии». Стратегия INR также отдает приоритет найму людей с более разнообразным опытом и взглядами. Разнообразие продолжает оставаться проблемой для всего разведывательного сообщества.
@tomhunter
@tomhunter
🤔7❤1
#news Браузер DuckDuckGo отсылает информацию с трекеров Microsoft по соглашению между компаниями.
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
💩19🤬6😁4
#news По подменённым библиотекам на PHP и Python появилось обновление. Как и предполагали, это был белошляпочник, упражняющийся в поиске уязвимостей.
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
🤔9🤯3🔥1
#OSINT #METADATA Получаем метаданные из фотографий (различные параметры съемки и фотоаппарата):
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
❤8
#news Twitter, нагло и цинично, собрал данные о номерах телефонов и адресах электронной почты у боле чем 140 миллионов своих пользователей. Сбор данных соцсеть мотивировала необходимостью защиты учетных записей и прочими 2FA. Фактически, компания слила весь массив информации рекламодателям... Вывод прокуратуры США - штраф в 150 млн. USD и запрет вводить пользователей в заблуждение в будущем (вот тут было смешно).
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
💩5❤2😱2🤯1
#OSINT #SAFETY Сегодня будем учиться устанавливать приватную ОС TAILS — один из дистрибутивов Linux на основе Debian.
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
❤8😁3
#news К вопросу о том, почему с установкой Tails лучше не спешить. На недавнем хакерском соревновании Pwn2Own в джава-движке от Firefox обнаружили две критических уязвимости нулевого дня. Их уже поправили, но патч в дистрибутиве Tails появится только в следующей версии.
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
❤6🔥4