Сегодня у нас в офисе побывала съемочная бригада телеканала «Санкт-Петербург», взяв комментарий для передачи «Зона особого внимания». Тема выпуска — мошенническая схема с маркетплейсами.
Злоумышленники создали клон одной из крупнейших российских площадок и предлагают гражданам заработать, покупая на ней товары и оставляя отзывы. В действительности жертвы переводят деньги на карты физлиц, ответственных за схему, а на лицевом счёте в личном кабинете рисуют суммы, «заработанные» попавшимися на удочку мошенников. В общем, аналог распространённой схемы с криптоинвестициями, вариант для обывателя. Расследование выйдет в эфир в августе, а пока будьте внимательны, если родственники заговорят о прибыльном заработке на маркетплейсах в интернете.
@tomhunter
Злоумышленники создали клон одной из крупнейших российских площадок и предлагают гражданам заработать, покупая на ней товары и оставляя отзывы. В действительности жертвы переводят деньги на карты физлиц, ответственных за схему, а на лицевом счёте в личном кабинете рисуют суммы, «заработанные» попавшимися на удочку мошенников. В общем, аналог распространённой схемы с криптоинвестициями, вариант для обывателя. Расследование выйдет в эфир в августе, а пока будьте внимательны, если родственники заговорят о прибыльном заработке на маркетплейсах в интернете.
@tomhunter
🔥15🤡10❤4🎉1
#news В OpenSSH исправили критическую уязвимость, которая ведёт к RCE с root-правами в системах Linux на основе glibc. Так что затронуты почти все крупные дистрибутивы. BSD
RegreSSHion — уязвимость типа Race Condition в sshd. Как следует из названия, у нас регрессия уже исправленного бага. И не просто старого, а из 2006-го года,
@tomhunter
CVE-2024-6387 обошла стороной, также не затронут Alpine. Пока нет подтверждений, что эксплойт возможен на macOS и Windows.RegreSSHion — уязвимость типа Race Condition в sshd. Как следует из названия, у нас регрессия уже исправленного бага. И не просто старого, а из 2006-го года,
CVE-2006-5051. Затронуты версии от 8.5p1 и до 9.7p1, версии старше 4.4p1 также пострадали, если в них не пропатчены CVE-2006-5051 и CVE-2008-4109. Так что пора накатывать патчи и ограничивать доступ к SSH. В качестве костыля можно поставить LoginGraceTime на 0, но это сделает сервера уязвимыми к DDoS-атакам. Но дудос всё же лучше произвольного кода. Подробнее об атаке в техотчёте.@tomhunter
🔥4🤯3❤1
#news Занимательная история с node-ip последних дней вновь подняла проблему ложных репортов CVE. Разработчик библиотеки, Фёдор Индутный, перевёл в ридонли репозиторий с проектом. Это произошло после того как последний столкнулся с проблемами по следам отчёта о CVE, серьёзность которой Индутный безуспешно пытался оспорить несколько месяцев.
После публикации число скачиваний node-ip сократилось с 30 до 17 миллионов в неделю, а из-за ложной CVE при сборке проектов шло предупреждение, о чём начали массово сообщать пользователи. В итоге проект улетел в архив, тем самым засветился в новостях, и от GitHub наконец удалось добиться снижения рейтинга. Доступ к репозиторию теперь восстановлен, появились желающие помочь отозвать CVE. Но проблема злоумышленников, начинающих исследователей, набирающих уязвимости в портфолио сомнительными методами, и лага во взаимодействии между участниками индустрии осталась. И, скорее всего, будет только расти, продолжая выматывать нервы разработчикам.
@tomhunter
После публикации число скачиваний node-ip сократилось с 30 до 17 миллионов в неделю, а из-за ложной CVE при сборке проектов шло предупреждение, о чём начали массово сообщать пользователи. В итоге проект улетел в архив, тем самым засветился в новостях, и от GitHub наконец удалось добиться снижения рейтинга. Доступ к репозиторию теперь восстановлен, появились желающие помочь отозвать CVE. Но проблема злоумышленников, начинающих исследователей, набирающих уязвимости в портфолио сомнительными методами, и лага во взаимодействии между участниками индустрии осталась. И, скорее всего, будет только расти, продолжая выматывать нервы разработчикам.
@tomhunter
❤6💯3👍1🤡1
#cve Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным.
Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать на Хабр!
@tomhunter
Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать на Хабр!
@tomhunter
🔥6❤2😢1
#news Телефоны серии Google Pixel 6 начали превращаться в кирпич после сброса до заводских настроек. После запуска телефон сообщает о повреждённых данных и уходит в луп сбросов. Ну а в отсутствии заводской разблокировки траблшутингом не займёшься.
Поначалу владельцы получали неоднозначные ответы: так, одному юзеру в сервисе предложили замену материнки почти по цене нового телефона. Но затем проблему признали. Тем, кто ещё не превратил телефон в кирпич, советуют дать телефону полежать 15 минут после обновления или делать сброс до установки последнего. А менее удачливым предлагают терпеливо ждать решения от разработчиков. Между тем в посте забавные формулировки: «Сброс до заводских настроек мало кто из пользователей делает регулярно, но мы о вас заботимся, так что вот апдейт». Превратил свой телефон в кирпич, юзер? Так уж и быть, мы порешаем твою проблему. Но в следующий раз всё же накати GrapheneOS.
@tomhunter
Поначалу владельцы получали неоднозначные ответы: так, одному юзеру в сервисе предложили замену материнки почти по цене нового телефона. Но затем проблему признали. Тем, кто ещё не превратил телефон в кирпич, советуют дать телефону полежать 15 минут после обновления или делать сброс до установки последнего. А менее удачливым предлагают терпеливо ждать решения от разработчиков. Между тем в посте забавные формулировки: «Сброс до заводских настроек мало кто из пользователей делает регулярно, но мы о вас заботимся, так что вот апдейт». Превратил свой телефон в кирпич, юзер? Так уж и быть, мы порешаем твою проблему. Но в следующий раз всё же накати GrapheneOS.
@tomhunter
🔥8😁6🤯1🤡1
#news Proton запускает новый сервис: альтернативу Google Docs. Бесплатно, приватно, на опенсорсе и со сквозным шифрованием. С интеграцией в прочие продукты от Proton для большего удобства. Россыпь фич внушительная, данные обещают не собирать, и впереди регулярные независимые аудиты открытого кода.
Как сообщает product lead, целью нового сервиса является развеять опасения юзеров в отношении подобных облачных решений. Пока бигтех нарушает приватность и сомнительно обращается с пользовательскими данными, юзеры продуктов от Proton могут быть уверены в защищенности своих данных и завтрашнем дне. Подробнее о Proton Docs читайте в анонсе. А в соседней вкладке балансу ради можно открыть старое-доброе «Who does that server really serve?» от одного большого любителя облачных сервисов.
@tomhunter
Как сообщает product lead, целью нового сервиса является развеять опасения юзеров в отношении подобных облачных решений. Пока бигтех нарушает приватность и сомнительно обращается с пользовательскими данными, юзеры продуктов от Proton могут быть уверены в защищенности своих данных и завтрашнем дне. Подробнее о Proton Docs читайте в анонсе. А в соседней вкладке балансу ради можно открыть старое-доброе «Who does that server really serve?» от одного большого любителя облачных сервисов.
@tomhunter
🤡11😁10❤3🔥3
#news Кребс раскрывает личность очередного российского злоумышленника. На этот раз речь о брокере начального доступа x999xx, Maxnm. В отличие от многих собратьев по преступной деятельности, этот, как и Wazawaka, совсем не заморачивается сокрытием идентичности. В миру это 32-летний Кривцов Максим Георгиевич из Озёрска.
Кривцов активен на киберпреступных форумах с 2009-го года — за ту дату профиль на Verified. На него нашлось всё вплоть до аккаунта на Imageshack со скриншотами логов с форумов и взломанных сайтов. Кребс связался с Кривцовым и последний подтвердил, что он и есть x999xx. Настолько товарищ уверен в своей неприкосновенности. При этом он заявил, что «считает себя столь же приверженным этическим практикам, как и Кребс». И цели вредить системе здравоохранения (к которой продавал доступ) у него нет — он заинтересован только в краже её данных. Вот такие они, доморощенные этические хакеры из Озёрска.
@tomhunter
Кривцов активен на киберпреступных форумах с 2009-го года — за ту дату профиль на Verified. На него нашлось всё вплоть до аккаунта на Imageshack со скриншотами логов с форумов и взломанных сайтов. Кребс связался с Кривцовым и последний подтвердил, что он и есть x999xx. Настолько товарищ уверен в своей неприкосновенности. При этом он заявил, что «считает себя столь же приверженным этическим практикам, как и Кребс». И цели вредить системе здравоохранения (к которой продавал доступ) у него нет — он заинтересован только в краже её данных. Вот такие они, доморощенные этические хакеры из Озёрска.
@tomhunter
😁15🤡3🔥2
#news Недавно запущенное приложение ChatGPT под macOS шло с серьёзной уязвимостью: чаты хранились на компьютерах в незашифрованном виде. То есть любой злоумышленник с доступом к устройству мог получить и доступ к данным.
Исследователь заинтересовался вопросом, когда OpenAI отказалась использовать песочницу под ChatGPT. А следом обнаружил логи чатов простым текстом и собрал на коленке приложение для их чтения. После того как журналисты начали стучать в компанию с вопросами, та оперативно выпустила обновление, которое логи шифрует. Так что теперь у злоумышленников доступа к ним нет, только у самой OpenAI. У которой никаких недобросовестных намерений в отношении пользовательских данных, конечно же, нет, а из песочницы ChatGPT вывели без всякого злого умысла. Но по крайней мере, теперь переписку с искусственным болванчиком не просмотрят все желающие с инфостилером. И на том спасибо.
@tomhunter
Исследователь заинтересовался вопросом, когда OpenAI отказалась использовать песочницу под ChatGPT. А следом обнаружил логи чатов простым текстом и собрал на коленке приложение для их чтения. После того как журналисты начали стучать в компанию с вопросами, та оперативно выпустила обновление, которое логи шифрует. Так что теперь у злоумышленников доступа к ним нет, только у самой OpenAI. У которой никаких недобросовестных намерений в отношении пользовательских данных, конечно же, нет, а из песочницы ChatGPT вывели без всякого злого умысла. Но по крайней мере, теперь переписку с искусственным болванчиком не просмотрят все желающие с инфостилером. И на том спасибо.
@tomhunter
😁8❤2💯1
#news Коллекция утёкших паролей RockYou2021 получила обновление. На одном небезызвестном форуме выложили новую компиляцию. И соответственно, у нас новый рекордсмен — база данных почти на 10 миллиардов паролей.
За три года содержимое компиляции подросло на 15 процентов — в файл добавили 1,5 миллиарда записей из свежих утечек. Судя по анализу, в нём пароли из четырёх тысяч слитых баз данных за последние двадцать с лишним лет. В сухом остатке у нас ультимативный инструмент для атак на подстановку учётных данных и второй рекорд за год. Ранее в сети всплыла Мать-Всех-Утечек на 12 терабайт данных и 26 миллиардов утёкших записей. Между тем RockYou2024 опубликовал 4 июля товарищ с ником ObamaCare. Такой вот своеобразный подарок киберпреступному сообществу в честь праздничной даты.
@tomhunter
За три года содержимое компиляции подросло на 15 процентов — в файл добавили 1,5 миллиарда записей из свежих утечек. Судя по анализу, в нём пароли из четырёх тысяч слитых баз данных за последние двадцать с лишним лет. В сухом остатке у нас ультимативный инструмент для атак на подстановку учётных данных и второй рекорд за год. Ранее в сети всплыла Мать-Всех-Утечек на 12 терабайт данных и 26 миллиардов утёкших записей. Между тем RockYou2024 опубликовал 4 июля товарищ с ником ObamaCare. Такой вот своеобразный подарок киберпреступному сообществу в честь праздничной даты.
@tomhunter
🔥8😁3🤯2🎉2
#news Интересные результаты опроса ИБ-специалистов касаемо низкой культуры инфобеза в их компаниях. Из очевидных вещей критические нарушения: переход по ссылкам в почте, утечки корпоративных данных и передача данных доступа третьим лицам.
Из неочевидного, больше трети безопасников сомневаются в эффективности ИБ-программ по обучению сотрудников. И больше половины сообщили, что они проходят лишь раз в несколько месяцев, а то и раз в год. Больше трети считают, что кроме ИБ-отдела и директоров до кибербезопасности в компании никому дела нет. А половина опрошенных опасается сообщать об ошибках в ИБ, опасаясь последствий. В общем, страх и замалчивание в инфобезе. У нас было 2 тренинга в год, 75 переходов по фишинговым ссылкам, 5 критических уязвимостей, пол-отдела с паролями на листочках и гора утёкших данных. Единственное, что меня беспокоило — это доклад начальству...
@tomhunter
Из неочевидного, больше трети безопасников сомневаются в эффективности ИБ-программ по обучению сотрудников. И больше половины сообщили, что они проходят лишь раз в несколько месяцев, а то и раз в год. Больше трети считают, что кроме ИБ-отдела и директоров до кибербезопасности в компании никому дела нет. А половина опрошенных опасается сообщать об ошибках в ИБ, опасаясь последствий. В общем, страх и замалчивание в инфобезе. У нас было 2 тренинга в год, 75 переходов по фишинговым ссылкам, 5 критических уязвимостей, пол-отдела с паролями на листочках и гора утёкших данных. Единственное, что меня беспокоило — это доклад начальству...
@tomhunter
😁16❤4😢1
#news Злоумышленники используют оригинальную точку входа для взлома российских компаний. В ход идут серверы на контроллерах лифтового оборудования от «Текон-Автоматика». Работа самих лифтов не затронута, так что целью, видимо, была маскировка операций.
Группировка получила название Лифтовый Змей, работает через терминалы Starlink. Так что геолоцировать страну её происхождения в «Восточной Европе» несложно. Между тем «Текон-Автоматика» в 2022-м исправила на своих контроллерах уязвимость в виде дефолтных учётных данных. То есть злоумышленники либо заходят на устройства, не получившие обновлений, либо брутфорсят оборудование с новыми настройками безопасности. В общем, интернет вещей превратил в поверхность атаки и подъездные лифты: цена удобства для диспетчерской — висящий на контроллере вредоносный сервер.
@tomhunter
Группировка получила название Лифтовый Змей, работает через терминалы Starlink. Так что геолоцировать страну её происхождения в «Восточной Европе» несложно. Между тем «Текон-Автоматика» в 2022-м исправила на своих контроллерах уязвимость в виде дефолтных учётных данных. То есть злоумышленники либо заходят на устройства, не получившие обновлений, либо брутфорсят оборудование с новыми настройками безопасности. В общем, интернет вещей превратил в поверхность атаки и подъездные лифты: цена удобства для диспетчерской — висящий на контроллере вредоносный сервер.
@tomhunter
🔥4😁3😢2
#digest Опубликовали наш традиционный дайджест ключевых новостей ушедшего месяца. Июнь выдался богатым на события. Так, китайская CDN-фирма выкупила опенсорс-проект и устроила атаку на цепочку поставок, которая могла затронуть сотни миллионов сайтов. А взлом облачного провайдера Snowflake рискует стать самой масштабной утечкой данных в истории.
В июне по следам всеобщего выражения признательности Microsoft за планируемую фичу Recall компания отложила её релиз на неопределённый срок. Приключения «Лаборатории Касперского» на западном рынке достигли кульминации, эпопея Джулиана Ассанжа внезапно подошла к концу, а LockBit заявила о взломе ФРС США. Об этом и других громких событиях первого летнего месяца читайте на Хабре!
@tomhunter
В июне по следам всеобщего выражения признательности Microsoft за планируемую фичу Recall компания отложила её релиз на неопределённый срок. Приключения «Лаборатории Касперского» на западном рынке достигли кульминации, эпопея Джулиана Ассанжа внезапно подошла к концу, а LockBit заявила о взломе ФРС США. Об этом и других громких событиях первого летнего месяца читайте на Хабре!
@tomhunter
❤3🔥2😢1
#news В популярном опенсорс-сервисе для хостинга репозиториев Gogs обнаружили четыре уязвимости, три из них критические. На инъекцию аргументов, удаление файлов и произвольные команды. При этом все четыре уязвимости требуют аутентификации от злоумышленника, и одна из них — дополнительные условия. Так что 9.9 по CVSS для критических звучит натянуто.
Между тем исследователи привели таймлайн взаимодействия с разработчиками Gogs, и выглядит он не очень. Об уязвимостях им сообщили ещё в апреле 2023-го, и с тех пор добиться ни внятной коммуникации, ни исправления багов не удалось. В итоге информация о CVE ушла на публикацию, а авторы исследования не только привели костыли для митигации, но и выпустили собственный патч. Поведение разработчиков, конечно, сомнительное, но с учётом того, что это опенсорс, можно предположить, что команда выглядит как на картинке. Это многое бы объяснило. Подробнее об уязвимостях в отчёте.
@tomhunter
Между тем исследователи привели таймлайн взаимодействия с разработчиками Gogs, и выглядит он не очень. Об уязвимостях им сообщили ещё в апреле 2023-го, и с тех пор добиться ни внятной коммуникации, ни исправления багов не удалось. В итоге информация о CVE ушла на публикацию, а авторы исследования не только привели костыли для митигации, но и выпустили собственный патч. Поведение разработчиков, конечно, сомнительное, но с учётом того, что это опенсорс, можно предположить, что команда выглядит как на картинке. Это многое бы объяснило. Подробнее об уязвимостях в отчёте.
@tomhunter
😁8🔥2💯2
#news К оригинальным утечкам и методам шантажа от киберпреступников. В процессе вымогательства $2 миллионов у Ticketmaster за украденные данные ShinyHunters уже слили 166 тысяч штрихкодов на концерты Тейлор Свифт. Теперь к ним добавились ещё почти 40 тысяч билетов формата Ticketfast с инструкцией для их печати.
Среди 154 концертов Aerosmith, Red Hot Chili Peppers, Metallica и прочие известные имена. Изначально Ticketmaster заявила, что её технология SafeTix сбрасывает штрихкоды каждые несколько секунд, так что их не украсть. Но с учётом того, что Ticketfast — это билеты для печати, ротацию здесь не устроишь, и их нужно отзывать. ShinyHunters же грозят сливом штрихкодов на все события компании. Такой вот занимательный эффект инфобез-бабочки: на компьютер сотрудника EPAM в Украине попадает инфостилер, а следом в руки ушлого юзера нижнего интернета на другом конце света — бесплатный билет на Металлику.
@tomhunter
Среди 154 концертов Aerosmith, Red Hot Chili Peppers, Metallica и прочие известные имена. Изначально Ticketmaster заявила, что её технология SafeTix сбрасывает штрихкоды каждые несколько секунд, так что их не украсть. Но с учётом того, что Ticketfast — это билеты для печати, ротацию здесь не устроишь, и их нужно отзывать. ShinyHunters же грозят сливом штрихкодов на все события компании. Такой вот занимательный эффект инфобез-бабочки: на компьютер сотрудника EPAM в Украине попадает инфостилер, а следом в руки ушлого юзера нижнего интернета на другом конце света — бесплатный билет на Металлику.
@tomhunter
😁8🔥2
#news В зоне конфликта очередная APT-группировка, атакующая российские госучреждения. Она получила название CloudSorcerer. Как следует из названия, в атаке используют облачные сервисы: Microsoft Graph, Yandex Cloud и Dropbox в качестве C2-серверов.
В роли начального С2 идут репозиторий на GitHub или фотохостинг от Mail[.]ru — вредонос подтягивает с них hex-строку. Репа на GitHub была создана в мае 2024-го, так что активность свежая. Как отмечают исследователи, активность группировки схожа с CloudWizard, светившейся годом ранее. Но малварь в операции новая, так что звучат предположения, что это новая же APT, и злоумышленники просто используют облака в том же ключе. А адаптивность вредоноса и скрытая коммуникация с серверами делают группировку серьёзной угрозой. Подробнее об облачном колдуне в отчёте.
@tomhunter
В роли начального С2 идут репозиторий на GitHub или фотохостинг от Mail[.]ru — вредонос подтягивает с них hex-строку. Репа на GitHub была создана в мае 2024-го, так что активность свежая. Как отмечают исследователи, активность группировки схожа с CloudWizard, светившейся годом ранее. Но малварь в операции новая, так что звучат предположения, что это новая же APT, и злоумышленники просто используют облака в том же ключе. А адаптивность вредоноса и скрытая коммуникация с серверами делают группировку серьёзной угрозой. Подробнее об облачном колдуне в отчёте.
@tomhunter
🔥6❤2😢2🤡2😁1
#news Исследователи обнаружили сетку мошеннических сайтов по продаже билетов на Олимпийские Игры и иные спортивные и музыкальные события. Операция получила название Ticket Heist и нацелена в основном на Россию: большая часть сайтов на русском, остальные — с кривоватым переводом с него.
В кампании задействованы больше 700 доменов. Часть из них были созданы в 2022-м, и злоумышленники добавляют в среднем по 20 в месяц. Помимо спорта фейковые билеты идут на концерты в Москве и других крупных российских городах. Судя по анализу операции, её целью является именно кража средств с карт, а не только их данных. При этом пока билет на официальном портале стоит $100, цены у мошенников доходят до $1000. Исследователи предположили, такой ценник может убедить жертв, что они покупают билеты у спекулянтов или даже получают премиальный сервис. В таком контексте социнженерия под логику российского толстосума, отправляющегося за хлебом и зрелищами в Париж, настроена очень точно.
@tomhunter
В кампании задействованы больше 700 доменов. Часть из них были созданы в 2022-м, и злоумышленники добавляют в среднем по 20 в месяц. Помимо спорта фейковые билеты идут на концерты в Москве и других крупных российских городах. Судя по анализу операции, её целью является именно кража средств с карт, а не только их данных. При этом пока билет на официальном портале стоит $100, цены у мошенников доходят до $1000. Исследователи предположили, такой ценник может убедить жертв, что они покупают билеты у спекулянтов или даже получают премиальный сервис. В таком контексте социнженерия под логику российского толстосума, отправляющегося за хлебом и зрелищами в Париж, настроена очень точно.
@tomhunter
😁6🔥1
#news Cisco Talos опубликовала анализ ключевых рансомварь-группировок и их активности за последний год. Из основных трендов рост числа атак по известным уязвимостям: в топе Zerologon, GoAnywhere MFT и FortiOS SSL VPN для начального доступа и повышения привилегий.
Также заметна тенденция использовать коммерческие инструменты, такие как AnyDesk и ScreenConnect. В то же время отдельные группировки работают над собственными инфостилерами — кастомное ПО замечено в арсенале BlackByte и LockBit. Кроме того, фокус заметно сместился с эксплойтов на легитимные данные доступа, так что отслеживание аномалий в логинах становится более важным. И рансомварщики уделяют всё больше внимания обходу защиты для продления пребывания в сети. Бонусом горькая правда рансомварь-сцены: пока нет массовых арестов и всякие Вазаваки путешествуют локально, остаётся только минимизировать риски. Подробнее в отчёте, также к нему идёт видеоверсия с настоящей живой инфобез-женщиной в качестве ведущей. Спешите видеть!
@tomhunter
Также заметна тенденция использовать коммерческие инструменты, такие как AnyDesk и ScreenConnect. В то же время отдельные группировки работают над собственными инфостилерами — кастомное ПО замечено в арсенале BlackByte и LockBit. Кроме того, фокус заметно сместился с эксплойтов на легитимные данные доступа, так что отслеживание аномалий в логинах становится более важным. И рансомварщики уделяют всё больше внимания обходу защиты для продления пребывания в сети. Бонусом горькая правда рансомварь-сцены: пока нет массовых арестов и всякие Вазаваки путешествуют локально, остаётся только минимизировать риски. Подробнее в отчёте, также к нему идёт видеоверсия с настоящей живой инфобез-женщиной в качестве ведущей. Спешите видеть!
@tomhunter
❤4😁4💯2
#news В мае 2023-го власти США объявили о конце группировки Fin7 после посадки трёх связанных с ней человек. Но преждевременно: в апреле этого года злоумышленники взялись за старое и восстанавливают сетку сайтов. Причём в качестве поставщика BPH у них не кто иные как братья Некулицы из Stark Industries Solutions — на куче их айпишников висит инфраструктура Fin7.
Группировка активно поднимает домены — исследователи насчитали больше 4 тысяч. Тайпсквоттинг, вредоносные расширения и реклама, сайты под целевой фишинг, спуфинг брендов и софта от Netflix и AIMP до Dropbox и AnyDesk — найдётся всё. В общем, Fin7 стремительно возвращается в киберпреступный бизнес, и замеченные с апреля кампании без атрибуции вполне могут быть связаны с ней. Даже сайт фейковой инфобез-фирмы снова подвезли, Cybercloudsec. Так что запомните это название, чтобы ненароком не подписаться на рансомварь-атаки под видом работы пентестером.
@tomhunter
Группировка активно поднимает домены — исследователи насчитали больше 4 тысяч. Тайпсквоттинг, вредоносные расширения и реклама, сайты под целевой фишинг, спуфинг брендов и софта от Netflix и AIMP до Dropbox и AnyDesk — найдётся всё. В общем, Fin7 стремительно возвращается в киберпреступный бизнес, и замеченные с апреля кампании без атрибуции вполне могут быть связаны с ней. Даже сайт фейковой инфобез-фирмы снова подвезли, Cybercloudsec. Так что запомните это название, чтобы ненароком не подписаться на рансомварь-атаки под видом работы пентестером.
@tomhunter
🔥5🤯2❤1
#news Патчевый вторник от Microsoft в июле принёс занятное исправление: в Windows 10 и 11 был нулевой день под RCE, а эксплойтили его… через Microsoft Explorer. Вредоносный url-файл под видом pdf-ки запускался с параметрами «mhtml:» и «!x-usc:», что и вело к вызову почётного забагованного пенсионера.
Если пользователь проваливал проверку на внимательность, в итоге Microsoft Explorer открывал hta-файл с вредоносным кодом. Причём связанные с атакой файлы светились в сети с января 2023-го по май этого года — соответственно, эксплойт был в ходу продолжительное время. В общем, древняя атака через древний же браузер, который злоумышленники всё никак не оставят в покое. И спустя два года после отключения IE в Windows как суслик: юзер его не видит, а он есть. И по заявлениям Microsoft, обновления ископаемое получает, так что известных уязвимостей в нём нет. А вот неизвестные есть.
@tomhunter
Если пользователь проваливал проверку на внимательность, в итоге Microsoft Explorer открывал hta-файл с вредоносным кодом. Причём связанные с атакой файлы светились в сети с января 2023-го по май этого года — соответственно, эксплойт был в ходу продолжительное время. В общем, древняя атака через древний же браузер, который злоумышленники всё никак не оставят в покое. И спустя два года после отключения IE в Windows как суслик: юзер его не видит, а он есть. И по заявлениям Microsoft, обновления ископаемое получает, так что известных уязвимостей в нём нет. А вот неизвестные есть.
@tomhunter
😁11❤2🤔2😢1
#news Ростелеком выпустил занятное информационное сообщение. Как доверительно сообщает компания, у Google возникли технические проблемы в работе оборудования. И из-за этого у россиян может тормозить YouTube. В общем, по официальной версии кэширующие сервера с нами в силу тех или иных причин прощаются. Из-за естественного износа или не очень — здесь уже можно строить гипотезы.
В свою очередь Роскомнадзор сообщил, что ему «нечего добавить» к сообщению оператора. Что уж здесь добавишь, действительно. С возможностями расширения оборудования в России у Google последние годы и правда туговато. И вот половина кэширующих серверов в стране отвалилась, оставшиеся пошли в разнос с опережением, и теперь Ростелекому за них краснеть приходится. Хорошо хоть, у нас есть своя… платформа. И не одна. Не пропадём?
@tomhunter
В свою очередь Роскомнадзор сообщил, что ему «нечего добавить» к сообщению оператора. Что уж здесь добавишь, действительно. С возможностями расширения оборудования в России у Google последние годы и правда туговато. И вот половина кэширующих серверов в стране отвалилась, оставшиеся пошли в разнос с опережением, и теперь Ростелекому за них краснеть приходится. Хорошо хоть, у нас есть своя… платформа. И не одна. Не пропадём?
@tomhunter
🤡26🤬4🎉4😁2
#news По следам скандалов Signal всё продолжает отрабатывать восстановление репутации. На этот раз взялись за уязвимость из 2018-го: в настольной версии приложения SQLite-база с сообщениями шифруется ключом из локального файла. А сам он хранится простым текстом.
Шесть лет спустя в «самом защищённом мессенджере» проблему всё же исправят: в бета-версию внедрят поддержку API SafeStorage Electron, шифрующего ключи средствами операционки — Keychan в macOS, kwallet в Linux и, увы, DPAPI под Windows. В 2018-м агент поддержки Signal заявил, что безопасность базы данных их приоритетом не является. Но в свете недавних событий такую наглость компания себе больше позволить не может. Впрочем, и здесь сначала понадобилась драма в Твиттере с попыткой занизить значимость проблемы, прежде чем её порешали. С подачи стороннего разработчика, который принёс Signal код с внедрением SafeStorage ещё в апреле. В общем, дела у Signal идут хорошо.
@tomhunter
Шесть лет спустя в «самом защищённом мессенджере» проблему всё же исправят: в бета-версию внедрят поддержку API SafeStorage Electron, шифрующего ключи средствами операционки — Keychan в macOS, kwallet в Linux и, увы, DPAPI под Windows. В 2018-м агент поддержки Signal заявил, что безопасность базы данных их приоритетом не является. Но в свете недавних событий такую наглость компания себе больше позволить не может. Впрочем, и здесь сначала понадобилась драма в Твиттере с попыткой занизить значимость проблемы, прежде чем её порешали. С подачи стороннего разработчика, который принёс Signal код с внедрением SafeStorage ещё в апреле. В общем, дела у Signal идут хорошо.
@tomhunter
😁8🔥3💯3