#news У TikTok возникла проблема с перехватом аккаунтов: некая 0-day уязвимость с нулевой интеракцией. Злоумышленники используют её для угона аккаунтов брендов и знаменитостей, малварь присылают в личные сообщения. CNN пришлось снести свой аккаунт на несколько дней после перехвата.
Представитель TikTok сообщил, что затронуто лишь небольшое число пользователей, и вектор атаки они перекрыли, чтобы в дальнейшем такое не повторялось. Детали уязвимости и каких-либо подробностей не приводят. В общем, компания быстро выяснила, какой из встроенных бэкдоров умудрились отыскать злоумышленники, и прикрыла лавочку. До следующего раза.
@tomhunter
Представитель TikTok сообщил, что затронуто лишь небольшое число пользователей, и вектор атаки они перекрыли, чтобы в дальнейшем такое не повторялось. Детали уязвимости и каких-либо подробностей не приводят. В общем, компания быстро выяснила, какой из встроенных бэкдоров умудрились отыскать злоумышленники, и прикрыла лавочку. До следующего раза.
@tomhunter
😁12🔥3❤1
#news Курьёзный ИБ-случай из США. Старшего офицера на одном из боевых кораблей отстранили от обязанностей и понизили в звании после расследования. Причина? Дамочка тайком установила на судне Wi-Fi. Вместе с ней наказанию подверглись прочие любители развеять невыносимую скуку морских походов. Отягчающим обстоятельством же стала попытка подделать данные со Starlink, чтобы скрыть точку.
Роутер простоял на корабле с марта по август прошлого года, потенциально превращая его в рождественскую ёлку на пеленгаторах при всём прочем отключённом. 2030-й год, ты простой американский моряк посреди конфликта с Китаем. Твой корабль идёт на дно, потому что старший офицер тайком поставила в кубрике точку Wi-Fi, чтобы смотреть на досуге фильмы и постить танцульки в Тикток.
@tomhunter
Роутер простоял на корабле с марта по август прошлого года, потенциально превращая его в рождественскую ёлку на пеленгаторах при всём прочем отключённом. 2030-й год, ты простой американский моряк посреди конфликта с Китаем. Твой корабль идёт на дно, потому что старший офицер тайком поставила в кубрике точку Wi-Fi, чтобы смотреть на досуге фильмы и постить танцульки в Тикток.
@tomhunter
😁34🔥5🤬1
#news ФБР продолжает пинать немногое оставшееся от LockBit. Бюро заявило, что у них на руках 7,000 ключей шифрования группировки, и предложило жертвам обратиться за бесплатным восстановлением данных. При этом с июня 2022-го по февраль 2024-го Lockbit совершила как раз около 7,000 атак.
Ранее после перехвата серверов группировки любители чертовски хорошего кофе называли число в 2,500 попавших к ним ключей. Что LockBitSupp яростно отрицал, заявляя, что у них ничего толком нет. Впрочем, как показали последние месяцы, есть много чего и ещё с запасом. Так что на фоне этого даже воспоминания о былых победах над Boeing и редкие успешные атаки от 3,5 оставшихся в партнёрке индивидов бренду уже ничем особо не помогут.
@tomhunter
Ранее после перехвата серверов группировки любители чертовски хорошего кофе называли число в 2,500 попавших к ним ключей. Что LockBitSupp яростно отрицал, заявляя, что у них ничего толком нет. Впрочем, как показали последние месяцы, есть много чего и ещё с запасом. Так что на фоне этого даже воспоминания о былых победах над Boeing и редкие успешные атаки от 3,5 оставшихся в партнёрке индивидов бренду уже ничем особо не помогут.
@tomhunter
😁9🤡3🔥2🤬2
#news Вышла новая версия Kali Linux, 2024.2. В релиз добавили восемнадцать инструментов для безопасников и им сочувствующих, так что новых игрушек с запасом, включая autorecon, sploitscan и waybackspy. Также дистрибутив перевели на t64, чтобы закрыть вопрос Y2038. Linux Kernel 6.8 же пока обошёл релиз стороной — добавить его не успели и включат только в следующей версии.
Кроме того, как гласит теорема Попова, в каждом порядочном дистрибутиве должны быть интересные обои. С этим в свежем релизе тоже всё в порядке: подвезли Gnome 46 и новую версию Xfce desktop. В общем, раздолье и для ИБ-любителей, и для профессионалов. Полный чейнджлог по ссылке.
@tomhunter
Кроме того, как гласит теорема Попова, в каждом порядочном дистрибутиве должны быть интересные обои. С этим в свежем релизе тоже всё в порядке: подвезли Gnome 46 и новую версию Xfce desktop. В общем, раздолье и для ИБ-любителей, и для профессионалов. Полный чейнджлог по ссылке.
@tomhunter
🔥10😁6❤4💯1
ОБЪЕКТЫ ИССЛЕДОВАНИЙ:
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ:
Свидетельство о государственной регистрации программы для ЭВМ № 2022680070. Входит в Единый реестр Российских программ для электронных вычислительных машин и баз данных под номером 20601 от 14.12. 2023. Информационно-аналитическая система «ОКО» соответствует требованиям №152-ФЗ "О персональных данных".
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16🤡12🤔2🎉1💯1
#digest Подводим итоги мая дайджестом самых горячих ИБ-новостей. Последний весенний месяц выдался богатым на всевозможные интересные события. Так, СДЭК стал жертвой масштабной рансомварь-атаки. Microsoft представила фичу Recall, подвергшуюся яростной критике инфобез-сообщества. На устройствах Apple после обновления стали внезапно всплывать старые фото. А мессенджер Signal оказался в центре скандала в свете занятных подробностей финансирования и управления.
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте на Хабре!
@tomhunter
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте на Хабре!
@tomhunter
🔥6❤2😁2
#news Атака по Snowflake рискует превратиться в одну из самых масштабных утечек данных в истории. У облачного провайдера уже стянули данные компаний Ticketmaster и Santander на 560 и 30 миллионов записей о клиентах, соответственно. И прочие жертвы атаки подтягиваются.
Так, на ожившем BF всплыли данные компаний Advance Auto Parts и LendingTree — 380 и 190 клиентских записей. В первой сообщили, что расследуют возможную утечку, связанную со Snowflake. Последняя поначалу всё яростно отрицала и требовала удалить ИБ-отчёт о взломе. Затем признала, что их взломали данными с инфостилеров, но продолжает занижать масштабы произошедшего. Кто именно стоит за взломом, пока неясно. Но в перспективе данных утекло столько, что суммарно это всё может с лихвой побить слив полицейской базы на миллиард китайцев пару лет назад.
@tomhunter
Так, на ожившем BF всплыли данные компаний Advance Auto Parts и LendingTree — 380 и 190 клиентских записей. В первой сообщили, что расследуют возможную утечку, связанную со Snowflake. Последняя поначалу всё яростно отрицала и требовала удалить ИБ-отчёт о взломе. Затем признала, что их взломали данными с инфостилеров, но продолжает занижать масштабы произошедшего. Кто именно стоит за взломом, пока неясно. Но в перспективе данных утекло столько, что суммарно это всё может с лихвой побить слив полицейской базы на миллиард китайцев пару лет назад.
@tomhunter
🔥4🤯4🤬2🎉1
#news По сети разлетелись новости с заголовком «Фанаты Club Penguin взломали Confluence-сервер Disney и стянули 2,5GB данных». На 4Chan опубликовали архив на 137 PDF семилетней и больше давности по дизайну игры. Помимо этого, неизвестные злоумышленники, якобы искавшие данные Club Penguin, стянули ещё несколько гигов внутренних данных Disney.
Инфраструктура, бизнес-проекты, ранее неизвестные внутренние инструменты, API-эндпоинты, данные доступа от вёдер S3 и прочее-прочее. В отличие от данных по клубу пингвинов, это всё свежее — до начала июня. Несмотря на кликбейтный заголовок, новость типично пятничная. Пингвинчики выросли, радикализировались и взяли судьбу любимой франшизы в свои руки. Следом, должно быть, любители Team Fortress 2 отправятся на сервера Valve за исходниками, чтобы поднять свой TF2 без воллхака и ботов.
@tomhunter
Инфраструктура, бизнес-проекты, ранее неизвестные внутренние инструменты, API-эндпоинты, данные доступа от вёдер S3 и прочее-прочее. В отличие от данных по клубу пингвинов, это всё свежее — до начала июня. Несмотря на кликбейтный заголовок, новость типично пятничная. Пингвинчики выросли, радикализировались и взяли судьбу любимой франшизы в свои руки. Следом, должно быть, любители Team Fortress 2 отправятся на сервера Valve за исходниками, чтобы поднять свой TF2 без воллхака и ботов.
@tomhunter
😁10🔥1
Запись эфира на канале Полосатый ИНФОБЕЗ. Говорим о предупреждении киберугроз с основным разработчиком сервиса ThreatHunter Денисом Симоновым. Чем мониторить внешний периметр, домены, утечки, СМИ и соцмедиа, Telegram и Дарквеб...
@tomhunter
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Безопасная среда | Как происходит предупреждение киберугроз?
Для успешного предупреждения и выявления киберугроз необходимо постоянно улучшать системы мониторинга, обновлять защитные механизмы и понимать, как происходит работа изнутри. С этим вопросом отлично справляется DRP (Data Risk Protection).
В эфире мы рассмотрим…
В эфире мы рассмотрим…
🔥6❤4🤡4🎉1
#news Sticky Werewolf продолжает свои атаки по российской инфраструктуре. Целью недавней кампании стала авиационная отрасль. Злоумышленники рассылают фишинговые письма от лица ОКБ «Кристалл» с предложением поучаствовать в видеоконференции.
В архиве декой-пдфка и две .lnk-файла под видом доковских, ведущие на малварь на WebDAV-серверах. В качестве итоговой вредоносной нагрузки подтягиваются инфостилер и троян удалённого доступа. Так что группировка продолжает вести деятельность, направленную на шпионаж и стягивание данных. Судя по всему, даже без неловких конфузов с вредоносом, как у собратьев по хактивизму из Scaly Wolf. Подробнее о свежей цепочке атаки в отчёте.
@tomhunter
В архиве декой-пдфка и две .lnk-файла под видом доковских, ведущие на малварь на WebDAV-серверах. В качестве итоговой вредоносной нагрузки подтягиваются инфостилер и троян удалённого доступа. Так что группировка продолжает вести деятельность, направленную на шпионаж и стягивание данных. Судя по всему, даже без неловких конфузов с вредоносом, как у собратьев по хактивизму из Scaly Wolf. Подробнее о свежей цепочке атаки в отчёте.
@tomhunter
🤬7❤5🔥2🤡1
#news У New York Times случилась масштабная утечка: слиты исходники с их GitHub. И оказались на 4Chan. 270GB, 5000 репозиториев, 3,6 миллионов файлов. Документация, внутренние инструменты, исходный код приложений и прочее-прочее. Всё это теперь раздаётся торрентом для всех желающих.
Взлом произошёл в январе 2024-го с помощью утёкшего токена от GitHub. Между тем корпоспик от NYT как всегда демонстрирует чудеса оптимизма: проблему они быстро порешали, все нужные меры приняли, последствий для их работы не было, как и доступа к внутренним системам. Ну а то, что в открытый доступ ушли вообще все их исходники, включая несколько популярных приложений, — это так, незначительные детали.
@tomhunter
Взлом произошёл в январе 2024-го с помощью утёкшего токена от GitHub. Между тем корпоспик от NYT как всегда демонстрирует чудеса оптимизма: проблему они быстро порешали, все нужные меры приняли, последствий для их работы не было, как и доступа к внутренним системам. Ну а то, что в открытый доступ ушли вообще все их исходники, включая несколько популярных приложений, — это так, незначительные детали.
@tomhunter
😁9❤2🔥2🤯2
#news По следам единодушного выражения любви и признательности Microsoft за новую фичу, компания решила прислушаться к сообществу. Но лишь слегка: Recall не будет включён по умолчанию. Варианта «Не будет установлен вообще, нюкнет систему и дёрнет юзера током при попытке поставить» не предусмотрено. Включится ли фича нечаянно при одном из последующих обновлений? Делайте ваши ставки.
Помимо этого, Recall получит дополнительное шифрование и потребует биометрической аутентификации пользователя через Windows Hello — пока юзер не войдёт в систему, каталог фичи и сделанные ей скриншоты якобы будут зашифрованы. Вероятно, на эти подачки повлияло ИБ-сообщество, уже успевшее собрать пару инструментов для вскрытия базы Recall и её просмотра. Но с учётом того, что фичу не отозвали и не принесли извинения, триумфально провозгласить «Мы сделали это, Реддит» пока не получается.
@tomhunter
Помимо этого, Recall получит дополнительное шифрование и потребует биометрической аутентификации пользователя через Windows Hello — пока юзер не войдёт в систему, каталог фичи и сделанные ей скриншоты якобы будут зашифрованы. Вероятно, на эти подачки повлияло ИБ-сообщество, уже успевшее собрать пару инструментов для вскрытия базы Recall и её просмотра. Но с учётом того, что фичу не отозвали и не принесли извинения, триумфально провозгласить «Мы сделали это, Реддит» пока не получается.
@tomhunter
😁9💯4❤1
#news Как известно, Google требует от разработчиков приложений под Android прописывать политику конфиденциальности даже там, где данные не собирают. Товарищ Джейми Завински подошёл к задаче творчески: политика его XScreenSaver превратилась в манифест «Семьдесят вещей, которые не так с Google».
XScreenSaver в отличие от Google не собирает пользовательские данные. Не использует их, не отслеживает локацию. Не содержит скрытых микрофонов. Не записывается в военные подрядчики США и Израиля. XScreenSaver не даёт взятки правительству и не давит конкурентов. И даже к разработке WebP отношения не имеет. В общем, та политика конфиденциальности, которую интересно почитать. Google её одобрил, так что, видимо, возражений не имеется. Впрочем, чего им стесняться. Не за репутацию же мегакорпорации добра переживать.
@tomhunter
XScreenSaver в отличие от Google не собирает пользовательские данные. Не использует их, не отслеживает локацию. Не содержит скрытых микрофонов. Не записывается в военные подрядчики США и Израиля. XScreenSaver не даёт взятки правительству и не давит конкурентов. И даже к разработке WebP отношения не имеет. В общем, та политика конфиденциальности, которую интересно почитать. Google её одобрил, так что, видимо, возражений не имеется. Впрочем, чего им стесняться. Не за репутацию же мегакорпорации добра переживать.
@tomhunter
😁12💯5
#news Появляются новые подробности атаки по Snowflake, рискующей войти в историю как самая масштабная утечка данных. Компания не врала, когда заявила, что затронута лишь малая часть клиентов. 165 компаний от почти 10 тысяч — это немного. Относительно немного.
Злоумышленники, обозначенные как UNC5537, финансово мотивированы. Она базируются в Северной Америке и сотрудничают по атаке с некой группировкой в Турции. Mandiant указывает три слабых места, которые привели к эпических масштабов взлому. Вполне очевидных. Отсутствие мультифакторки, регулярной ротации данных доступа и подключений, ограниченных проверенными локациями. Между тем данные с инфостилеров, которыми ломали компании, тянутся вплоть до ноября 2020-го. Какая уж там ротация. С такими датами данные доступа можно захардкодить и клеить на мониторчики в бухгалтерии — хуже не станет.
@tomhunter
Злоумышленники, обозначенные как UNC5537, финансово мотивированы. Она базируются в Северной Америке и сотрудничают по атаке с некой группировкой в Турции. Mandiant указывает три слабых места, которые привели к эпических масштабов взлому. Вполне очевидных. Отсутствие мультифакторки, регулярной ротации данных доступа и подключений, ограниченных проверенными локациями. Между тем данные с инфостилеров, которыми ломали компании, тянутся вплоть до ноября 2020-го. Какая уж там ротация. С такими датами данные доступа можно захардкодить и клеить на мониторчики в бухгалтерии — хуже не станет.
@tomhunter
🔥5🤯1
#news Новость из серии «Стыдно быть вольным киберпреступным хабом». После рансомварь-атаки 3 июня по поставщику медицинских услуг Synnovis в Лондоне встали несколько больниц. Были перенесены или отменены несрочные операции, переливания и приёмы. А теперь в больницах заканчивается кровь.
Из-за отвалившихся систем нет возможности оперативно сопоставлять доноров и пациентов. Для переливания вынуждены использовать универсальную первую группу, её запасы иссякают. Больницы запросили её доноров срочно сдать кровь для продолжения процедур. Кто провёл атаку? Предполагают, русскоязычная RaaS-операция Qilin. Как считает британская NCSC, стоящие за атакой слабо себе представляли, какой ущерб они нанесут, и просто заинтересованы в выкупе. Так и живём.
@tomhunter
Из-за отвалившихся систем нет возможности оперативно сопоставлять доноров и пациентов. Для переливания вынуждены использовать универсальную первую группу, её запасы иссякают. Больницы запросили её доноров срочно сдать кровь для продолжения процедур. Кто провёл атаку? Предполагают, русскоязычная RaaS-операция Qilin. Как считает британская NCSC, стоящие за атакой слабо себе представляли, какой ущерб они нанесут, и просто заинтересованы в выкупе. Так и живём.
@tomhunter
🔥7🤬6🎉3😁2🤔2
#news Новые высоты в фишинговых рассылках: в Великобритании арестовали двух злоумышленников, которые вели массовую мошенническую кампанию. Но есть интересный нюанс: делали они это с помощью некой самодельной мобильной антенны. Полиция описывает её как незаконную телефонную вышку и даже смс-пушку.
Рассылка шла от лица банков, госструктур и прочего официального. Преступникам также удалось обойти защиту мобильных операторов от смишинга. Поэтому звучат предположения, что это был IMSI-перехватчик, но подтверждений нет. Также это мог быть SIM-банк или куча телефонов, заточенных под массовую рассылку. В любом случае новость занятная. За простой смской от мошенника могут скрываться и такие безумные инженерные умения.
@tomhunter
Рассылка шла от лица банков, госструктур и прочего официального. Преступникам также удалось обойти защиту мобильных операторов от смишинга. Поэтому звучат предположения, что это был IMSI-перехватчик, но подтверждений нет. Также это мог быть SIM-банк или куча телефонов, заточенных под массовую рассылку. В любом случае новость занятная. За простой смской от мошенника могут скрываться и такие безумные инженерные умения.
@tomhunter
🔥4😁2🤔2🤯2
#news Китайские госхакеры продолжают демонстрировать впечатляющие результаты: согласно новому отчёту от нидерландских безопасников, масштабы шпионской кампании китайцев по CVE-2022-42475 в FortiOS были больше, чем предполагалось. За несколько месяцев в 2022-м и 2023-м были взломаны не меньше 20 тысяч систем Fortigate.
Ещё пока уязвимость была нулевым днём, китайцы заразили 14 тысяч устройств. Десятки западных правительств, международные организации, оборонка. С учётом персистентности назвать точное число жертв невозможно, и, скорее всего, доступ ко многим систем у Китая есть до сих пор. А нидерландское Минобороны от масштабных утечек уберегла только сегментация сетей. В общем, сумрачный китайский гений в деле. Это вам не боевые канальчики в Телеграме вести.
@tomhunter
Ещё пока уязвимость была нулевым днём, китайцы заразили 14 тысяч устройств. Десятки западных правительств, международные организации, оборонка. С учётом персистентности назвать точное число жертв невозможно, и, скорее всего, доступ ко многим систем у Китая есть до сих пор. А нидерландское Минобороны от масштабных утечек уберегла только сегментация сетей. В общем, сумрачный китайский гений в деле. Это вам не боевые канальчики в Телеграме вести.
@tomhunter
🔥9😁6❤4🤯3🤬1
#news В России обсуждают создание отдельной госструктуры по кибербезопасности. У нас может появиться новый федеральный орган, занимающийся вопросами ИБ, пока идёт активное обсуждение с отраслью по теме.
Сейчас вопросами инфобеза занимаются сразу несколько структур, включая ФСБ, Минцифры и ИБ, что ведёт к рассинхрону по некоторым вопросам. Новая структура призвана стать единым центром, занимающимся регулированием, противодействием, координацией и иным сопутствующим в сфере кибербезопасности. В общем, такой вот Росинфобезнадзор получается. Станет ли новый надзорный орган с раздутым бюджетом панацеей от ИБ-бед, масштабных утечек и прочих радостей? Делайте ваши ставки.
@tomhunter
Сейчас вопросами инфобеза занимаются сразу несколько структур, включая ФСБ, Минцифры и ИБ, что ведёт к рассинхрону по некоторым вопросам. Новая структура призвана стать единым центром, занимающимся регулированием, противодействием, координацией и иным сопутствующим в сфере кибербезопасности. В общем, такой вот Росинфобезнадзор получается. Станет ли новый надзорный орган с раздутым бюджетом панацеей от ИБ-бед, масштабных утечек и прочих радостей? Делайте ваши ставки.
@tomhunter
🤡24😁6🤔5❤4
#news В сети новый фишинговый тулкит от товарища mr.d0x, на этот раз с эксплойтом прогрессивных web-приложений. Он позволяет создать окна логина в корпоративные аккаунты для кражи данных доступа.
При скачивании с условного фишингового сайта, PWA из тулкита может отобразить убедительное окно, дизайн которого ограничен только фантазией злоумышленника. На скрине фейковое окно от Microsoft 365. По аналогии с BitB-китом интегрирована фейковая адресная строка для большей убедительности. С учётом того, что фишинг через PWA — вещь относительно новая и редко упоминаемая в ИБ-программах для сотрудников компаний, у атаки есть неплохие шансы на успех. Демо от mr.d0x’a доступно на GitHub. А здесь видео с примером работы.
@tomhunter
При скачивании с условного фишингового сайта, PWA из тулкита может отобразить убедительное окно, дизайн которого ограничен только фантазией злоумышленника. На скрине фейковое окно от Microsoft 365. По аналогии с BitB-китом интегрирована фейковая адресная строка для большей убедительности. С учётом того, что фишинг через PWA — вещь относительно новая и редко упоминаемая в ИБ-программах для сотрудников компаний, у атаки есть неплохие шансы на успех. Демо от mr.d0x’a доступно на GitHub. А здесь видео с примером работы.
@tomhunter
🔥10🤯4❤2🤔1
#news Очередная поучительная ИБ-история из серии «Как не надо мстить работодателю». Или «Не забывайте отзывать данные доступа сотрудников». В Сингапуре в 2022-м был уволен QA-инженер местной компании NCS. Расстроенный увольнением товарищ Кандула Нагараджу обнаружил, что его логин всё ещё активен. И четыре месяца спустя закинул вайпер на сервера бывшего работодателя.
Скрипт потёр 180 тестовых серверов компании, с которыми ранее работал герой истории. В итоге на восстановлении NCS потеряла почти 700 тысяч долларов. А мстительный Нагараджу получил 2 года и 8 месяцев тюрьмы — на его ноуте нашли и вредоносный скрипт, и историю поиска по его использованию. На фото лицо человека, чей пранк не удался.
@tomhunter
Скрипт потёр 180 тестовых серверов компании, с которыми ранее работал герой истории. В итоге на восстановлении NCS потеряла почти 700 тысяч долларов. А мстительный Нагараджу получил 2 года и 8 месяцев тюрьмы — на его ноуте нашли и вредоносный скрипт, и историю поиска по его использованию. На фото лицо человека, чей пранк не удался.
@tomhunter
😁9🤡8🔥3❤1🤯1