#news Apple разослала уведомления пользователям в 92 странах о попытках взлома их устройств с помощью «спайвари по найму». Что интересно, раньше уведомления шли с пометкой «спонсируемые государством атаки», но теперь компания предпочла обойтись нейтральными формулировками.
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давлениеиндусского девелоперского лобби индийских чиновников и исправила текст уведомлений и статьи о них. Теперь по версии Apple остались только загадочные злоумышленно-нейтральные атаки, которые Apple «не привязывает к конкретным лицам и регионам». В общем, спайварь есть, а заказчика нет. Возможно, это всё как-то связано с тем, что продажи Apple в Индии бьют рекорды. Но это неточно.
@tomhunter
А разгадка проста: прежние не понравились индийскому правительству. Прошлой осенью оппозиция Индии обвинила правительство в слежке после получения уведомлений от Apple. В итоге компания попала под давление
@tomhunter
😁5🔥1
#news Пятничные чудеса инфобеза от eX-Твиттера. 8 апреля платформа начала автоматически изменять ссылки с упоминанием twitter[.]com на x[.]com. Но в последующие 48 часов на волне изменений сеть заполонили десятки примеров фишинговых ссылок.
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
А всё почему? На платформе шёл редирект всех ссылок, оканчивающихся на twitter[.]com. Вообще всех. Просто по строчкам. Таким образом, условная spacex[.]com могла перенаправить на spacetwitter[.]com и далее по списку. Заходы под фишинговые страницы ограничивались только креативностью: Xerox, Xbox, Rolex… Linux. На волне поднявшейся шумихи компания такую оригинальную инновацию быстренько поправила. Но осадочек остался. И где-то вдалеке хихикает товарищ Mudge, тихонько радуясь, что ИБ в Твиттере он уже давно не занимается.
@tomhunter
😁15💯2❤1
#news Telegram исправил нулевой день в своём десктопном приложении. Изначально по сети ходили слухи о RCE с нулевой интеракцией, но всё оказалось проще. Уязвимость позволяла обходить предупреждения системы безопасности и запускать скрипты на Питоне, если пользователь откроет файл.
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
А разгадка совсем проста: в код клиента закралась опечатка в списке расширений, ассоциируемых с опасными файлами. Вместо блокировки питоновских .pyzw стоял блок на неведомый .pywz. Немного социнженерии и маскировка под видео интересного содержания — и юзер получает вредоносный скрипт. В грядущей версии приложения опечатка поправлена, а пока добавлен костыль со стороны сервера, вешающий расширение .untrusted на .pyzw-файлы, чтобы охочие до пикантных видео юзеры не запускали что попало. В принципе, это даже надёжнее, чем скромное, ни к чему не обязывающее уведомление.
@tomhunter
🔥7😁7🤡3
#news Бэкдор в XZ Utils продолжает страшить линуксоидов: его вредоносные файлы просочились в пакет liblzma-sys, широко используемые разработчиками на Rust. Версия от 5 апреля апреля содержала тестовые файлы для XZ, в которых сидел бэкдор.
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
В пакете от 10 апреля они уже удалены, а его предыдущую версию убрали из реестра. Более того, инструкций по сборке в репозиторий не подвезли, так что вредонос не выполнялся. Но почти 7 тысяч раз версию с бэкдором скачать успели, так что теперь кому-то вычищать свои среды от остатков несостоявшейся атаки на цепочку поставок таких масштабов, что о ней писали бы не меньше, чем о Heartbleed. Остались только вот такие неприятные напоминания. А всё благодаря одному героическому разработчику и его бенчмарку. Спасибо, Андрес.
@tomhunter
❤3🔥2🤡1
#news Palo Alto Networks начала выпускать хотфиксы под нулевой день в своих файрволах. Выбившая десяточку по CVSS уязвимость на RCE через внедрение команд активно эксплойтили с конца марта для установки бэкдоров на устройства. Судя по характеру атак и целям, действовала госгруппировка.
CVE-2024-3400 затронула файрволы PAN-OS 10.2, PAN-OS 11.0, и PAN-OS 11.1. Хотфиксы станут постепенно доступны для систем в ближайшие дни. Админы в ожидании исправлений могут отключить телеметрию на устройствах. Между тем анализ показал 82 тысячи уязвимых файрволов в сети, из них 300 в России. Гораздо хуже дела в Штатах, где почти 33 тысячи устройств, открытых для бэкдоров от трудолюбивых китайских и не только хакеров.
@tomhunter
CVE-2024-3400 затронула файрволы PAN-OS 10.2, PAN-OS 11.0, и PAN-OS 11.1. Хотфиксы станут постепенно доступны для систем в ближайшие дни. Админы в ожидании исправлений могут отключить телеметрию на устройствах. Между тем анализ показал 82 тысячи уязвимых файрволов в сети, из них 300 в России. Гораздо хуже дела в Штатах, где почти 33 тысячи устройств, открытых для бэкдоров от трудолюбивых китайских и не только хакеров.
@tomhunter
🤯3❤2🔥2
#news TrustWallet призвал отключить iMessage на фоне слухов о нулевом дне в яблочных устройствах. Директор компании ссылается на уязвимость с нулевой интеракцией для перехвата контроля над устройством.
При этом речь идёт об эксплойте, который выставлен на продаже в даркнете за $2 миллиона. А в качестве доказательства его существования приведён скриншот с сайта. Ни демоверсии, ни подтверждения подлинности, ни какой-либо известности у продавца. Иными словами, пока вероятно, что это просто мошенники. Директор TrustWallet же ссылается на достоверную информацию от команды безопасности и на то, что у них самое популярное криптоприложение на 90 миллионов скачиваний и самый активный соцаккаунт от мира кошельков. Уберегут ли их эти занимательные факты от конфуза с разгоном паники на ровном месте? Скоро узнаем.
@tomhunter
При этом речь идёт об эксплойте, который выставлен на продаже в даркнете за $2 миллиона. А в качестве доказательства его существования приведён скриншот с сайта. Ни демоверсии, ни подтверждения подлинности, ни какой-либо известности у продавца. Иными словами, пока вероятно, что это просто мошенники. Директор TrustWallet же ссылается на достоверную информацию от команды безопасности и на то, что у них самое популярное криптоприложение на 90 миллионов скачиваний и самый активный соцаккаунт от мира кошельков. Уберегут ли их эти занимательные факты от конфуза с разгоном паники на ровном месте? Скоро узнаем.
@tomhunter
🔥4😁4🤔1
#news Группировка RansomHub, под крыло которой перебрался партнёр Black Cat, взломавший Change Healthcare, начала сливать данные. Напомню, недовольный злоумышленник, оставшийся без выкупа после экзит-скама, но с украденными данными, предсказуемо снова начал вымогать деньги у компании.
Change Healthcare, выплатившая $22 миллиона Black Cat, такого поворота явно не ожидала. В утечке 4 TB данных (по другой информации, 6 TB), внутренние документы компании и данные пациентов. И через несколько дней всё это уйдёт на продажу. Компания комментариев не даёт и факт выплаты первого выкупа не подтверждает. Но пока сохраняется интрига, ведут ли они переговоры о компенсации для товарища Notchy, которого Black Cat оставила без незаконно нажитых средств. Так или иначе, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень.
@tomhunter
Change Healthcare, выплатившая $22 миллиона Black Cat, такого поворота явно не ожидала. В утечке 4 TB данных (по другой информации, 6 TB), внутренние документы компании и данные пациентов. И через несколько дней всё это уйдёт на продажу. Компания комментариев не даёт и факт выплаты первого выкупа не подтверждает. Но пока сохраняется интрига, ведут ли они переговоры о компенсации для товарища Notchy, которого Black Cat оставила без незаконно нажитых средств. Так или иначе, Change Healthcare довелось познакомиться с двойным вымогательством, вышедшим на качественно иной уровень.
@tomhunter
🤯9🔥3
#news По следам истории с XZ Utils всплывают тревожные инциденты аналогичного содержания. Вчера OpenJS Foundation, мониторящая проекты на JavaScript, получила несколько подозрительных писем. Отправители писали о необходимости срочно обновить один популярный проект и исправить критические уязвимости. И запросили права мейнтейнера.
Кроме того, такую же активность отследили в паре других проектов на OpenJS. Во всех случаях подход напоминал перехват управления XZ Utils — в ход шла социнженерия, настойчивые попытки попасть в мейнтейнеры и фейки, с которых поддерживали запрос потенциального крота. В общем, инцидент с XZ Utils явно не разовый. В лучшем случае это имитаторы, стремящиеся повторить нашумевший сценарий. В худшем — опенсорс пестрит такими трудолюбивыми кротами, за персоной которых скрывается госгруппировка с далеко идущими планами.
@tomhunter
Кроме того, такую же активность отследили в паре других проектов на OpenJS. Во всех случаях подход напоминал перехват управления XZ Utils — в ход шла социнженерия, настойчивые попытки попасть в мейнтейнеры и фейки, с которых поддерживали запрос потенциального крота. В общем, инцидент с XZ Utils явно не разовый. В лучшем случае это имитаторы, стремящиеся повторить нашумевший сценарий. В худшем — опенсорс пестрит такими трудолюбивыми кротами, за персоной которых скрывается госгруппировка с далеко идущими планами.
@tomhunter
🔥8😁2
#news К уязвимости в файрволах от Palo Alto Networks на произвольное выполнение кода опубликовали рабочую проверку концепции. Плохие новости для 82 тысяч уязвимых устройств, из которых 40% в Штатах и их часть — в засекреченных и госсетях. CISA требует у госструктур поставить патчи до 19 апреля. Что довольно оптимистично — исправления пока ещё доступны не для всех сборок. Одна получит хотфикс аккурат девятнадцатого.
Более того, внезапно обнаружилось, что отключение телеметрии и функции GlobalProtect на митигацию не тянет — устройства по-прежнему уязвимы. Так что единственным вариантом остаётся накатывать хотфиксы. И не затягивать с этим: с учётом публично доступной PoC к эксплойту от госгруппировки теперь могут присоединиться все желающие. Между тем это уже четвёртая уязвимость в SSL VPN за 2024-й. По одной на каждый месяц. Так и живём.
@tomhunter
Более того, внезапно обнаружилось, что отключение телеметрии и функции GlobalProtect на митигацию не тянет — устройства по-прежнему уязвимы. Так что единственным вариантом остаётся накатывать хотфиксы. И не затягивать с этим: с учётом публично доступной PoC к эксплойту от госгруппировки теперь могут присоединиться все желающие. Между тем это уже четвёртая уязвимость в SSL VPN за 2024-й. По одной на каждый месяц. Так и живём.
@tomhunter
🔥7😁1
#news Неутешительные новости из ежегодного отчёта Imperva Bad Bot: в 2023-м почти половина (49,6%) трафика в сети вновь пришлась на боты. Годом ранее было на 2% меньше. Кроме того, вырос трафик вредоносных ботов: теперь это треть от всего объёма, рост пятый год подряд. Их источник предсказуемый: языковые ИИ-модели способствуют генерации простых ботов.
Однако растёт и число продвинутых ботов, имитирующих поведение реальных людей и обходящих защиту. Также выросло число атак на перехват аккаунта, почти половина идёт по API-интерфейсам. А вот доля реальных пользователей ожидаемо снижается. Так что вскоре боты могут уже существенно превзойти долю трафика, приходящуюся на людей. В общем, конспирологическая теория мёртвого интернета не существует, но продолжает активно воплощаться в реальность.
@tomhunter
Однако растёт и число продвинутых ботов, имитирующих поведение реальных людей и обходящих защиту. Также выросло число атак на перехват аккаунта, почти половина идёт по API-интерфейсам. А вот доля реальных пользователей ожидаемо снижается. Так что вскоре боты могут уже существенно превзойти долю трафика, приходящуюся на людей. В общем, конспирологическая теория мёртвого интернета не существует, но продолжает активно воплощаться в реальность.
@tomhunter
😁4🔥3💯3🤬1
#news UnitedHealth Group подсчитывает убытки после рансомварь-атаки Black Cat по своим системам. Суммы впечатляющие: на текущий момент это $872 миллиона, $593 миллиона на устранение последствий атаки и $279 миллионов из-за нарушения работы.
Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года. Потенциальный слив украденных данных медгиганта также вряд ли добавит веса его акциям. Как сообщает гендиректор, реагирование на атаку было быстрым и эффективным. Формулировка интересная: быстро и эффективно разве что весь финсектор здравоохранения целой страны впал в кому, и последствия атаки всё ещё устраняют два месяца спустя. Но что ещё может сказать CEO многомиллиардной компании. Не про вложения полпроцента от доходов в инфобез, чтобы инциденты таких космических пропорций не повторялись, ему говорить.
@tomhunter
Ожидается, что общая сумма убытков превысит миллиард долларов, а её последствия будут сказываться на финансах компании вплоть до конца года. Потенциальный слив украденных данных медгиганта также вряд ли добавит веса его акциям. Как сообщает гендиректор, реагирование на атаку было быстрым и эффективным. Формулировка интересная: быстро и эффективно разве что весь финсектор здравоохранения целой страны впал в кому, и последствия атаки всё ещё устраняют два месяца спустя. Но что ещё может сказать CEO многомиллиардной компании. Не про вложения полпроцента от доходов в инфобез, чтобы инциденты таких космических пропорций не повторялись, ему говорить.
@tomhunter
🔥6🤯3😁2
#news В платформе OpenMetadata нашли пять уязвимостей, которые эксплойтят для обхода аутентификации и RCE. Конечной целью является доступ к Kubernetes и установка криптомайнеров с сервера в Китае. Атаки идут с начала апреля.
Microsoft рекомендует проверить кластеры с OpenMetadata на предмет подозрительной активности и накатить свежую версию. Анализ атаки здесь. Между тем злоумышленник оставляет записку интересного содержания. В ней он доверительно сообщает, что не хочет никому вредить, но ничего не может поделать — жильё в Китае ему не по карману, да и машину хочется купить. Проникшимся его бедой кубовладельцам предлагает прислать Monero в помощь бедному китайскому хакеру. Заманчиво, не правда ли?
@tomhunter
Microsoft рекомендует проверить кластеры с OpenMetadata на предмет подозрительной активности и накатить свежую версию. Анализ атаки здесь. Между тем злоумышленник оставляет записку интересного содержания. В ней он доверительно сообщает, что не хочет никому вредить, но ничего не может поделать — жильё в Китае ему не по карману, да и машину хочется купить. Проникшимся его бедой кубовладельцам предлагает прислать Monero в помощь бедному китайскому хакеру. Заманчиво, не правда ли?
@tomhunter
😁10🔥5❤2
#news К оригинальным новинкам инфоброкерства: сервис Spy Pet скрапит сообщения пользователей Discord на серверах, собирает их в файл и предоставляет всем желающим. В базе 3 миллиарда сообщений от 600 миллионов пользователей с 14 тысяч серверов. Цены более чем демократичные: поиск по одному юзеру обойдётся всего в 10 центов.
Запрос в базу отображает сервера, в которых состоит пользователь, привязанные аккаунты с других сайтов и таблицу с сообщениями. Инструмент несовершенный, так как он охватывает лишь часть серверов. Разработчики же с маркетингом совсем не стесняются: «федеральные агенты в поисках новых источников информации, пишите». И ведь напишут. Discord уже сообщил, что ведёт расследование в отношении Spy Pet. С одной стороны, идут жалобы на грубое нарушение приватности. С другой, находчивые инфоцыгане в сущности просто прикрутили к Дискорду рабочий поиск.
@tomhunter
Запрос в базу отображает сервера, в которых состоит пользователь, привязанные аккаунты с других сайтов и таблицу с сообщениями. Инструмент несовершенный, так как он охватывает лишь часть серверов. Разработчики же с маркетингом совсем не стесняются: «федеральные агенты в поисках новых источников информации, пишите». И ведь напишут. Discord уже сообщил, что ведёт расследование в отношении Spy Pet. С одной стороны, идут жалобы на грубое нарушение приватности. С другой, находчивые инфоцыгане в сущности просто прикрутили к Дискорду рабочий поиск.
@tomhunter
😁8❤3🔥3
#news У российских архитекторов добавилось седых волос: AutoCAD перестал запускаться в России. Причём, похоже, и пиратские версии — пользователи видят плашку «Используемая лицензия недействительна». Так что кто-то плохо читал на Рутрекере, какие айпишники нужно блокировать, чтобы AutoCAD не стучал по серверам. А кто-то надеялся, что «бессрочную» лицензию не отзовут по айпи.
Напомню, Autodesk ушла из России в конце 2022-го, а в марте этого года разослала письма бывшим клиентам с требованием прекратить пользоваться софтом. Ну а теперь его массово отключили даже тем, кто с ехидным подхихиком качал пиратские версии, приговаривая что-то там про санкции. Как обычно, западные компании на острие импортозамещения. Увы, юзеры переходить на отечественное не спешат и мгновенно нашли несколько костылей, чтобы продолжать пользоваться недружественным софтом.
@tomhunter
Напомню, Autodesk ушла из России в конце 2022-го, а в марте этого года разослала письма бывшим клиентам с требованием прекратить пользоваться софтом. Ну а теперь его массово отключили даже тем, кто с ехидным подхихиком качал пиратские версии, приговаривая что-то там про санкции. Как обычно, западные компании на острие импортозамещения. Увы, юзеры переходить на отечественное не спешат и мгновенно нашли несколько костылей, чтобы продолжать пользоваться недружественным софтом.
@tomhunter
😁14🔥4💯3💩2🤡1
#news В отсутствие прежних антигероев рансомварь-сцены время обратить внимание на потенциальных кандидатов в топ. ФБР и компания обновили информацию о группировке Akira и сообщают, что уже на 1 января 2024-го связанные с ней злоумышленники взломали больше 250 организаций и получили около $42 миллионов выкупа.
Akira всплыла в марте 2023-го и быстро обрела известность. Ранние версии энкриптора были на C++, но уже с прошлого августа у них код на Rust. В арсенале группировки также версия под VMware ESXi. А запрашиваемые выкупы разнятся от $200 тысяч до нескольких миллионов. С учётом образовавшегося в рансомварь-мире вакуума после приключений LockBit и BlackCat, у Akira есть все шансы переманить разбежавшихся партнёров последних и пробиться на вершину. Подробнее об активности группировки в отчёте от безопасников в погонах.
@tomhunter
Akira всплыла в марте 2023-го и быстро обрела известность. Ранние версии энкриптора были на C++, но уже с прошлого августа у них код на Rust. В арсенале группировки также версия под VMware ESXi. А запрашиваемые выкупы разнятся от $200 тысяч до нескольких миллионов. С учётом образовавшегося в рансомварь-мире вакуума после приключений LockBit и BlackCat, у Akira есть все шансы переманить разбежавшихся партнёров последних и пробиться на вершину. Подробнее об активности группировки в отчёте от безопасников в погонах.
@tomhunter
🔥3❤2🎉1
#news По сети гуляет новый вариант Redline Stealer под видом читкодов для популярных игрушек. Он использует LuaJIT-байткод для обхода обнаружения — в ZIP-архиве MSI-установочник и компилятор под байткод в текстовом файле. А лежит всё это по ссылкам, связанным с репозиторием Microsoft «vcpkg» на GitHub — видимо, для придания легитимности.
В комплекте идёт и интересная социнженерия. «Поделись программой с другом, чтобы разблокировать полную версию». Иными словами, поучаствуй в распространении вредоноса. Как сообщают злоумышленники, его распространение помогает им развивать софт, и они за это будут очень благодарны. Благодарим за поддержку, извините за неудобства. В сущности даже ведь и не врут. Но друзья спасибо за такое письмо счастья, конечно, не скажут.
@tomhunter
В комплекте идёт и интересная социнженерия. «Поделись программой с другом, чтобы разблокировать полную версию». Иными словами, поучаствуй в распространении вредоноса. Как сообщают злоумышленники, его распространение помогает им развивать софт, и они за это будут очень благодарны. Благодарим за поддержку, извините за неудобства. В сущности даже ведь и не врут. Но друзья спасибо за такое письмо счастья, конечно, не скажут.
@tomhunter
🔥3💯3😁2
Разговор о важном с пентестером нашей компании на тему «Где хранятся ваши секреты?»
📲 https://youtu.be/ED6AY-pf75Y
@tomhunter
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
«Где хранятся ваши секреты?»/ Ларин Александр, Специалист по выявлению уязвимостей компании T.Hunter
Разговор о важном с разработчиком пентестов «Где хранятся ваши секреты?»
❤9🔥4🤡4😁1
#news К вопросу о том, как Redline Stealer обзавёлся ссылками с репозиториев Microsoft. Прикреплённые в комментариях на GitHub файлы грузятся в CDN платформы и получают связанную с проектом ссылку с указанием репозитория и её владельца.
Более того, ссылка генерируется сразу после прикрепления. То есть злоумышленнику даже не нужно оставлять комментарий. Спуфинг здесь ограничен только фантазией. А вот с митигацией не очень: нет ни возможности проверить, какие файлы прикреплены к проекту, ни убрать их. Максимум, владелец репы может временно закрыть комментарии, что на жизни проекта скажется не в лучшую сторону. В общем, интересный нишевый баг в ожидании фикса. Ну или не менее занятная фича, столкнувшаяся с абьюзом. Кому какой вариант больше нравится. Пока в виде костыля, судя по сообщениям юзеров, на GitHub поставили удаление файлов из CDN из неотправленных комментов через пять минут.
@tomhunter
Более того, ссылка генерируется сразу после прикрепления. То есть злоумышленнику даже не нужно оставлять комментарий. Спуфинг здесь ограничен только фантазией. А вот с митигацией не очень: нет ни возможности проверить, какие файлы прикреплены к проекту, ни убрать их. Максимум, владелец репы может временно закрыть комментарии, что на жизни проекта скажется не в лучшую сторону. В общем, интересный нишевый баг в ожидании фикса. Ну или не менее занятная фича, столкнувшаяся с абьюзом. Кому какой вариант больше нравится. Пока в виде костыля, судя по сообщениям юзеров, на GitHub поставили удаление файлов из CDN из неотправленных комментов через пять минут.
@tomhunter
🔥9🤯3😁1
#news Ещё одно громкое имя с рансомварь-сцены уходит в прошлое. А точнее, в ребрендинг: операторы HelloKitty сменили название и теперь будут известны как HelloGookie. В честь предполагаемого разработчика под ником Gookee/kapuchin0.
В честь запуска новой операции злоумышленники слили несколько ключей, стянутые у Cisco в 2022-м внутренние данные, а также пароли к исходникам Gwent, Witcher 3 и Red Engine. Энтузиасты уже скомпилировали Ведьмака из 450 GB утёкших данных и получили девелоперский билд симулятора восточноевропейской глубинки. Атака по CD Project в феврале 2021-го стала первым крупным взломом группировки и на его релизе история бренда и заканчивается. Добьются ли злоумышленники тех же успехов под новым именем, покажет время. Пока новых жертв на свежем сайте группировки нет.
@tomhunter
В честь запуска новой операции злоумышленники слили несколько ключей, стянутые у Cisco в 2022-м внутренние данные, а также пароли к исходникам Gwent, Witcher 3 и Red Engine. Энтузиасты уже скомпилировали Ведьмака из 450 GB утёкших данных и получили девелоперский билд симулятора восточноевропейской глубинки. Атака по CD Project в феврале 2021-го стала первым крупным взломом группировки и на его релизе история бренда и заканчивается. Добьются ли злоумышленники тех же успехов под новым именем, покажет время. Пока новых жертв на свежем сайте группировки нет.
@tomhunter
🔥7😁2🤔1
#news В январе этого года госгруппировка скомпрометировала 1,700 компаний с помощью двух нулевых дней в Ivanti VPN. И среди них оказалась, предположительно, самая подготовленная к атакам: MITRE. Происшествие из ряда вон выходящее, так что от MITRE поступило видеопослание.
В нём представитель компании сообщает, что они приняли все предложенные поставщиком меры по митигации, а также следовали всем указаниям от госрегуляторов. Но этого оказалось недостаточно. По итогам MITRE призывает налегать на принцип «secure by design», повышать безопасность цепочек поставок и переходить на архитектуру нулевого доверия, особенно на микросегментацию сетей. Также активное противостояние атакам, оно же adversary engagement, должно стать рутинной частью ИБ. В общем, повод, конечно, неприятный, но месседж более чем уместный. Кто бы ещё его на практике начал применять.
@tomhunter
В нём представитель компании сообщает, что они приняли все предложенные поставщиком меры по митигации, а также следовали всем указаниям от госрегуляторов. Но этого оказалось недостаточно. По итогам MITRE призывает налегать на принцип «secure by design», повышать безопасность цепочек поставок и переходить на архитектуру нулевого доверия, особенно на микросегментацию сетей. Также активное противостояние атакам, оно же adversary engagement, должно стать рутинной частью ИБ. В общем, повод, конечно, неприятный, но месседж более чем уместный. Кто бы ещё его на практике начал применять.
@tomhunter
❤5😁3🔥2🤔2
#article Опубликовали подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
❤9🔥4🎉1