Всем привет! Время для нашего традиционного дайджеста самых громких событий информационной безопасности за последний месяц весны. В программе массовые утечки данных крупных компаний в России, крах криптовалюты Luna, злоключения Коста-Рики после атак Conti по следам их распада и многое другое. Добро пожаловать под кат и приятного чтения!
🔥5
#news Авторы неофициального патча для Follina выкатили ещё один, исправляющий другую уязвимость нулевого дня в MSDT.
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
Речь об уязвимости на выход за пределы назначенного каталога Dogwalk, позволяющей скопировать экзешник в папку автозагрузки Windows. Для этого жертве нужно лишь открыть .diagcab-файл со зловредом. Майкрософту сообщили об уязвимости ещё два года назад, но те не стали её патчить, так как Outlook блокирует файлы этого формата.
Вот только хром-браузеры, включая Chrome, Edge и Opera, без предупреждения качают эти файлы просто при посещении сайтов, а Defender их игнорирует, плюс .diagcab в исключениях для MOTW-проверок. Спецы считают уязвимость потенциально серьёзной, Мелкософт решили иначе. Ну, они и Follina проигнорировали. Вышло не очень.
@tomhunter
🔥10😱1
#news Новая малварь под Linux заражает все процессы в системе. Вместо экзешника вредонос загружается через разделяемую библиотеку, закинутую в LD_PRELOAD для повышения приоритета.
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
За счёт этого названный Symbiote вредонос почти не поддаётся обнаружению: он может угонять функции libc и libpcap и скрывать заражённые процессы и задеплоенные малварью файлы. Более того, он использует BPF-модуль для фильтрации сетевых пакетов и дальнейшей маскировки.
Малварь заточена под кражу данных доступа, а также может давать удалённый доступ к системе и рут-права. Под атакой пока финансовый сектор Латинской Америки, но дальше будет хуже. Так что берегите свои сети от зловредного симбиота.
@tomhunter
🔥6😁2🤯1😱1
#news Взломанные версии CCleaner’a, набитые вредоносом, всплывают в топе выдачи поисковиков.
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
Продвигаемые чёрной оптимизацией ссылки ведут на сайты для скачивания ломаного установщика популярного софта. А бонусом к нему идёт малварь, тянущая у жертвы пароли, данные кредиток и криптокошельков. В комплект также входит клиппер на полдюжины популярных криптоадресов и прокси, пересылающая злоумышленникам трафик с бирж.
В среднем десять тысяч потенциальных заражений в день, между прочим. Вот так жадные до халявного софта юзеры и рискуют лишиться всех средств, сэкономленных на его покупке. Что довольно иронично.
@tomhunter
🤔9🔥6❤2💩2😁1
#OSINT Новая статья вышла у меня на Хабре. В ней мы поговорим о том, какую информацию можно получить с веб-ресурса для последующего использования в OSINT. Полезная информация и методики помогут определить «на глазок» благонадежность того или иного сайта. Приятного чтения!
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/670772/
@tomhunter
🔥7❤4😢1
#news Агрегаторы Sabre и Travelport еженедельно сообщали спецслужбам США о перемещениях русского хакера, проходившего подозреваемым по делу сайта Cardplanet, в 2015-м году.
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
Как стало известно на днях, суд в штатах тогда обязал крупнейших операторов по бронированию два года предоставлять информацию по российскому гражданину Алексею Буркову, включая отчёты о перемещениях каждую неделю. Позже он был арестован, осуждён на 9 лет и возвращён в Россию в прошлом году.
С одной стороны, слежка была санкционирована судом. С другой, это закон от 1789-го года, который эксплойтят для продавливания доступа к устройствам подозреваемых. Да и слежка есть слежка, как ни крути. Радости жизни в эпоху надзорного капитализма, в общем.
@tomhunter
🤯5🔥2😢2🤬1
#news Злоумышленники используют оригинальный метод продажи декриптора. Покупать его нужно в игровом магазине Roblox за местную валюту.
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
В качестве рансомвари у них разновидность Chaos, билдер которого в ходу уже год и печально известен тем, что перезаписывает файлы больше 2MB случайным набором данных. А на роль целевой аудитории, видимо, выбрали геймеров этак 2010-го года рождения. Рансомварь-записка призывает купить Game Pass на сайте примерно за 20 баксов и прислать подтверждение на почту незадачливому взломщику.
Недалёк тот день, когда детишкам из геймифицированного будущего придётся гриндить валюту в условном Brawl Stars, чтобы разблокировать свои айфоны. Будущее безжалостно.
@tomhunter
❤4😱4
#news Исследователи провели полевой эксперимент, зафиксировав сотни тысяч тестовых запросов на подключение к Wi-Fi от прохожих, чтобы определить тип данных, передаваемых без ведома владельцев устройств. Ранее считалось, что мобильные устройства передают так только анонимные MAC-адреса, что считается совместимым с GDPR. В результате исследования оказалось, что в 23,2% запросы передавали SSID сетей, к которым устройства подключались в прошлом. В захваченных SSID исследователи обнаружили строки, соответствующие сетям Wi-Fi магазинов, 106 различных имен, три адреса электронной почты и 92 дома отдыха или жилья, ранее добавленные в качестве надежных сетей.
@tomhunter
@tomhunter
🔥8🤯2😱2
#news В пакеты Python pyanxdns, api-res-py и keep затесалась крадущая пароли малварь.
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
Речь о request, тайпсквот-версии модуля requests. Он по-прежнему доступен на зеркалах и тянет инфу с пары десятков браузеров. Пакеты местечковые, но у keep 8,000 скачиваний в неделю, request обнаружили в версии 1.2.
Создатель pyanxdns подтвердил, что это была просто опечатка, с двумя другими пока не ясно. Судя по всему, и там авторы опечатались, ненароком вписав в свои проекты реквест на малварь.
@tomhunter
🔥6🤬2
#news Исследователи из MIT нашли RCE-уязвимость в Маках на процессоре M1.
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной, смело покупайте новые М2-макбуки. Но что-то мне подсказывает, что следующий яблочный «нулевой день» рискует очень органично выстроиться с Пакманом в цепочку…
@tomhunter
Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Детальное описание атаки есть на специальном сайте. Яблоку уже обо всём рассказали, но оно в своей привычной манере пока молчит.
UPD: Яблоко сообщило, что не считает уязвимость такой уж критичной
@tomhunter
❤4🔥3🤯3
#news Цифровые отпечатки Bluetooth позволяют достаточно точно отслеживать устройства.
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
Исследователи продемонстрировали, что мелкие косяки при производстве железа делают Bluetooth-сигналы уникальными. С помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. Также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно простенького радио-сниффера. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. Решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки.
@tomhunter
🔥6😱2
#news Cloudflare сообщил о рекордной HTTPS DDoS-атаке по одному из своих клиентов. 26 миллионов запросов в секунду.
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
Что любопытно, злоумышленник использовал ботнет всего на пять с небольшим тысяч устройств. Добиться такой мощности атаки, скорее всего, удалось с помощью угнанных серверов и виртуальных машин. Для сравнения такой ботнет в пересчёте на устройство в 4,000 раз мощнее, чем простенький из сотен тысяч взломанных девайсов. И порядком затратнее.
Более того, волюметрические атаки через HTTPS также сложнее за счёт большей требовательности к вычислительным мощностям. Кто-то явно не поскупился на попытку положить неназванного пользователя Cloudflare.
@tomhunter
🔥6🤬1
#news В этот четверг, 16 июня, в 20:00 (по МСК) поговорим про инструменты и ловушки используемые кибердетективами с ребятами из @tomhunter которые, собственно и используют их на практике.
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
В гостях:
🥷 Федор Ряузов ака @CyberScoutszametki
🦜 Саид Табаев ака @volcandynamite
❤7
#news Хотите свежих оригинальных новостей? Очень жаль. Ведь эта про очередной слив от Яндекса.
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
В открытом доступе часть базы «Яндекс.Практикума» на 300 тысяч строк — имена и фамилии, адреса электронной почты, телефоны и «Яндекс ID». За сливом тот же источник, что и за полудюжиной выложенных ранее.
Складывается впечатление, что ребята просто покупают базы за мелкий прайс по сложившейся в нашем бизнесе практике и выкладывают в открытый доступ. Отсюда, глядишь, и те заходы про «конфиденциальность, которую не ценят». Дело не в деньгах, главное чтобы дошёл смысл послания, так сказать. Впрочем, вариант со сливом от самих компаний в преддверии оборотных штрафов тоже вполне актуален.
@tomhunter
😁6🔥2
#news Сервис Travis CI вновь засветил десятки тысяч токенов для доступа к GitHub, AWS и Docker.
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
Исследователи обнаружили два API-запроса, с помощью которых сервера Travis CI выдают незашифрованные логи. На платформе толком не защищены номера логов, поэтому с помощью скрипта их все удалось вытащить. В итоге у них оказались записи с 2013-го по май 2022-го года в пределах от 4.2 до 774 миллионов логов.
Проанализировав 8 миллионов записей, спецы обнаружили 70 с лишним тысяч токенов и данных доступа. И они тоже толком не шифрованы: так, github_token в логах скрыты, но их ещё 20 вариаций в открытом виде. Самая мякотка, ребята сообщили Travis CI о проблеме, но там буквально ответили, что так и задумано, и ничего править не стали. Ну, задумка весьма оригинальная.
@tomhunter
🔥9😁5
#news В ходе спецоперации First Light 2022, Интерпол конфисковал 50 миллионов долларов и арестовал 2000 социальных инженеров... Операция проводилась при содействии полиции 76 стран и была сосредоточена на преступлениях социальной инженерии, включая телефонный обман, мошенничество в романтических отношениях, мошенничество с компрометацией деловой электронной почты (BEC) и связанное с этим отмывание денег. Среди ярких случаев, представленных Интерполом, - гражданин Китая, который обманул 24 000 жертв на сумму 35 700 000 долларов, и фальшивое дело о похищении, по которому от родителей жертвы требовалось выплатить 1 575 000 долларов.
@tomhunter
@tomhunter
🔥7😁1🤯1
#news Facebook собирает личные данные на сайтах больниц в США. Трекеры Meta Pixel стоят на трети сайтов крупнейших клиник.
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Всё это вместе с другими средствами слежки делает идентификацию пациентов элементарной задачей. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
@tomhunter
🤯11🤬6😁3💩2
Media is too big
VIEW IN TELEGRAM
#OSINT Поговорили о кибердетективах и не только. Что было из интересного:
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
❤9🔥6🤬1💯1
#news В популярном WordPress-плагине Ninja Forms обнаружили критическую уязвимость, которую активно использовали хакеры: она позволяет внедрить на сайт произвольный код. В том числе есть цепочки, с помощью которых можно захватить уязвимый сайт.
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
🔥7🤬1
#news Десятки компаний зарабатывают миллиарды долларов, продавая данные о местоположении пользователей на американском частном рынке. Большинство клиентов — обычные подозреваемые в торговле данными — маркетинговые фирмы, хедж-фонды, компании по недвижимости и другие брокеры данных. Из-за слабого регулирования крайне сложно отследить как пути передачи персональных данных между частными компаниями, так и способы их использования. Компании обычно настаивают на том, чтобы данные о том, где люди живут, спят, собираются, поклоняются и протестуют, использовались исключительно в безобидных целях, таких как принятие решения о том, где построить Starbucks, или размещение целевой рекламы. Но горстка компаний (Venntel, Babel Street, Anomaly 6, X-Mode) продает данные более опасной клиентуре: федеральным правоохранительным органам, военным, спецслужбам и оборонным подрядчикам.
@tomhunter
@tomhunter
🤔4😁1🤯1