#news Чего у киберпреступников не отнять, так это неиссякаемой фантазии в отношении векторов атаки. На этот раз под доставку малвари приспособили игровой движок. Вредоносный код выполняет GDScript на Godot Gaming Engine.
Опенсорс, гибкость, широкий набор инструментов — всё при нём. В том числе фреймворк под атаки. На языке движка написали мультиплатформенный загрузчик GodLoader, за три месяца заражены 17 тысяч устройств геймеров и разрабов. Потенциальный охват — 1,2 миллиона игроков. Вредонос встроен в файлы с игровыми ресурсами .pck, за счёт этого идёт обход обнаружения. Распространяют GodLoader под видом легитимных GitHub-репозиториев. Разработчики движка отметили, что их язык — просто инструмент, как и любой другой. В общем-то, справедливо. Особенно с учётом того, что вредонос пакуют вместе со средой, и юзер запускает его ручками. Подробнее об атаке в отчёте.
@tomhunter
Опенсорс, гибкость, широкий набор инструментов — всё при нём. В том числе фреймворк под атаки. На языке движка написали мультиплатформенный загрузчик GodLoader, за три месяца заражены 17 тысяч устройств геймеров и разрабов. Потенциальный охват — 1,2 миллиона игроков. Вредонос встроен в файлы с игровыми ресурсами .pck, за счёт этого идёт обход обнаружения. Распространяют GodLoader под видом легитимных GitHub-репозиториев. Разработчики движка отметили, что их язык — просто инструмент, как и любой другой. В общем-то, справедливо. Особенно с учётом того, что вредонос пакуют вместе со средой, и юзер запускает его ручками. Подробнее об атаке в отчёте.
@tomhunter
🔥5❤2👍2🤯2
#news Исследователи обнаружили первый UEFI-буткит под Линукс. Названный Bootkitty, он всплыл в ноябре на VT. Сырой, забагованный, на самоподписанном сертификате и работающий на отдельных версиях GRUB и ядра. Но он есть, и звоночек тревожный.
Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий. Подробнее о Bootkitty в отчёте.
@tomhunter
Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий. Подробнее о Bootkitty в отчёте.
@tomhunter
🔥13👍1🤝1
#news Австралия вновь впереди планеты всей по драконовским законам с сомнительным для приватности душком: в стране запретили пользоваться соцсетями до 16 лет. К концу 2025-го платформы должны внедрить систему проверки возраста.
Как это будет работать, пока неизвестно, внятных критериев по реализации в законе нет. Оно и понятно: задача чиновника — создавать проблемы, а как их решать — думайте сами. В последний момент в закон внесли поправки об альтернативной верификации без документов. Сегодня без цифровых паспортов, но завтра — кто знает. Особенно когда это всё под предлогом заботы о детях. В текущем виде формата «Блокировай давай» помимо издержек для сервисов основным достижением закона будет разве что рост технической грамотности у австралийской молодёжи, которой придётся подключать VPN до соседнего материка, чтобы запостить танцульки в Тик Ток. Что тоже в какой-то мере плюс.
@tomhunter
Как это будет работать, пока неизвестно, внятных критериев по реализации в законе нет. Оно и понятно: задача чиновника — создавать проблемы, а как их решать — думайте сами. В последний момент в закон внесли поправки об альтернативной верификации без документов. Сегодня без цифровых паспортов, но завтра — кто знает. Особенно когда это всё под предлогом заботы о детях. В текущем виде формата «Блокировай давай» помимо издержек для сервисов основным достижением закона будет разве что рост технической грамотности у австралийской молодёжи, которой придётся подключать VPN до соседнего материка, чтобы запостить танцульки в Тик Ток. Что тоже в какой-то мере плюс.
@tomhunter
😁10👍5🤡3👎2💯2
Поможем всем! Кидайте заявку на страницу услуги или связывайтесь с нами по контактам: +78126771705, contact@tomhunter.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡16🔥9👍5❤2🎉2👎1😁1
#news МВД Калининграда сообщило о передаче в суд дела «программиста, обвиняемого в создании вредоносной программы». Обыденная, казалось бы, ситуация, но пикантности ей добавляет личность обвиняемого. Согласно источникам, зовут его Михаил Павлович Матвеев. Он же Wazawaka.
Обвиняют его по части 1 статьи 273 УК РФ, подлец разработал некое вредоносное ПО, предназначенное для шифрования, собрана достаточная доказательственная база — всё как полагается. Пока по сути происходящего информации мало, но можно занести в копилку симптоматичных арестов вместе с Cryptex. Как бы то ни было, развитие событий интересное несмотря на то, что пока Wazawaka, судя по всему, отделался лёгким испугом. Все прочие неуловимые Джо крепко задумаются о своих перспективах на фоне пощипывания собратьев по киберпреступной сцене за неприлично жирные по меркам текущей геополитической обстановочки криптобока.
@tomhunter
Обвиняют его по части 1 статьи 273 УК РФ, подлец разработал некое вредоносное ПО, предназначенное для шифрования, собрана достаточная доказательственная база — всё как полагается. Пока по сути происходящего информации мало, но можно занести в копилку симптоматичных арестов вместе с Cryptex. Как бы то ни было, развитие событий интересное несмотря на то, что пока Wazawaka, судя по всему, отделался лёгким испугом. Все прочие неуловимые Джо крепко задумаются о своих перспективах на фоне пощипывания собратьев по киберпреступной сцене за неприлично жирные по меркам текущей геополитической обстановочки криптобока.
@tomhunter
😁8🤡6💯3🔥2
#news К новинкам фишинга. Злоумышленники используют повреждённые документы Word в качестве вложений для обхода обнаружения. В результате файл проходит через фильтры, но успешно запускается у жертвы за счёт средств восстановления.
Файлы повреждены таким образом, что их легко восстанавливают встроенные механизмы Word. При этом по результатам скана файлов на VirusTotal почти у всех нулевое обнаружение, и идущая с августа кампания в целом довольно успешная. В файлах QR-коды на страницы для стягивания данных. В фишинге здесь ничего оригинального, но сам по себе метод тянет на нулевой день. Подробнее об атаке с примерами файлов здесь.
@tomhunter
Файлы повреждены таким образом, что их легко восстанавливают встроенные механизмы Word. При этом по результатам скана файлов на VirusTotal почти у всех нулевое обнаружение, и идущая с августа кампания в целом довольно успешная. В файлах QR-коды на страницы для стягивания данных. В фишинге здесь ничего оригинального, но сам по себе метод тянет на нулевой день. Подробнее об атаке с примерами файлов здесь.
@tomhunter
👍7🔥4🤝1
#news Хакеры из MASSGRAVE заявили о масштабном прорыве в деле взлома продуктов Microsoft. Они утверждают, что разработали новый метод обхода лицензирования, который позволяет навсегда активировать почти любую версию Windows и Office, включая те, с которыми у взломщиков традиционно были сложности.
От Vista до свежей версии Windows 11 и Server 2025, включая CSVLK и лицензии ESU. При этом всё это без сторонних инсталляторов, модификации системных файлов и вмешательства в систему. Из подтверждений пока скриншоты активированных версий Windows c ESU и обещания выпустить инструмент через пару месяцев. Если заявления группировки подтвердятся, намечается праздник для всего восточно-европейского пространства и серьёзная головная боль для Microsoft, которой в таком случае придётся переписывать DRM и систему активации, чего компания все эти годы избегала с оглядкой на издержки. С учётом репутации MASSGRAVE, новость любопытная.
@tomhunter
От Vista до свежей версии Windows 11 и Server 2025, включая CSVLK и лицензии ESU. При этом всё это без сторонних инсталляторов, модификации системных файлов и вмешательства в систему. Из подтверждений пока скриншоты активированных версий Windows c ESU и обещания выпустить инструмент через пару месяцев. Если заявления группировки подтвердятся, намечается праздник для всего восточно-европейского пространства и серьёзная головная боль для Microsoft, которой в таком случае придётся переписывать DRM и систему активации, чего компания все эти годы избегала с оглядкой на издержки. С учётом репутации MASSGRAVE, новость любопытная.
@tomhunter
🔥20🤔5👍2😁1
#news В Южной Корее арестовали CEO и пятерых сотрудников компании, производящей спутниковые ресиверы. Обвинения занятные: в приёмники была встроена функциональность под DDoS-атаки.
В течение 5 лет компания поставила по заказу другой неназванной из-за рубежа 240 тысяч устройств; ~100 тысяч из них шли с DDoS-модулем из коробки, остальные получили его с обновлением прошивки. Схему раскрыли с подачи Интерпола, в неё вовлечён некий подозреваемый из списка международно разыскиваемых преступников. Конкретики в пресс-релизе мало, но схема интересная: зачем собирать ботнеты, которые регулярно сносят назойливые федералы, если можно получить сетку устройств под атаки прямиком с конвейера. Впрочем, ещё интереснее, что ресиверы отгружали пять лет, а покупатели всё ещё на свободе.
@tomhunter
В течение 5 лет компания поставила по заказу другой неназванной из-за рубежа 240 тысяч устройств; ~100 тысяч из них шли с DDoS-модулем из коробки, остальные получили его с обновлением прошивки. Схему раскрыли с подачи Интерпола, в неё вовлечён некий подозреваемый из списка международно разыскиваемых преступников. Конкретики в пресс-релизе мало, но схема интересная: зачем собирать ботнеты, которые регулярно сносят назойливые федералы, если можно получить сетку устройств под атаки прямиком с конвейера. Впрочем, ещё интереснее, что ресиверы отгружали пять лет, а покупатели всё ещё на свободе.
@tomhunter
🔥7🤯5😁1😱1
Media is too big
VIEW IN TELEGRAM
4-5 декабря уже в пятый раз проходит онлайн-форум «КОНТРАГЕНТЫ-2024: Требования. Сервисы. Аналитика». Он посвящён теме сервисов по проверке контрагентов и других инструментов для автоматизации работы с данными для обеспечения безопасности компании.
В первый день с докладом выступил директор департамента информационно-аналитических исследований T.Hunter Игорь Бедеров. Тема актуальная: как классическим службам безопасности защищаться от рисков цифрового мира, при этом работая в рамках правового поля с оглядкой на новый закон о персональных данных. Подробнее в записи выступления с форума!
@tomhunter
В первый день с докладом выступил директор департамента информационно-аналитических исследований T.Hunter Игорь Бедеров. Тема актуальная: как классическим службам безопасности защищаться от рисков цифрового мира, при этом работая в рамках правового поля с оглядкой на новый закон о персональных данных. Подробнее в записи выступления с форума!
@tomhunter
👍4❤3🔥1🤡1
#news Знали ли вы, что несмотря на то, что они составляют всего 11% рынка, новые домены верхнего уровня ответственны за 37% процентов киберпреступлений? И это не вредные стереотипы об этих доменах, а вполне себе бьющаяся с данными статистика.
В топе за 2024-й домены .top, .xyz и .shop. Ключевой момент для мошенников — щадящая KYS-политика и низкая цена: у самых проблемных доменов ценник на регистрацию всего 1$; для сравнения на .com она обойдётся почти в 6$. Несмотря на проблему, регулятор ICANN планирует одобрить ещё пачку новых доменов — регистрация на их ввод в 2026-м уже открыта. Так что голоса безопасников, скептически настроенных к идее «Мультидоменность — это наша сила», остаются неуслышанными. При этом бизнес по продаже доменов киберпреступникам не особо выгоден: подписки-то они не продлевают. Но число фишинговых атак за прошедший год выросло на 40% — и инфраструктуру им в значительной степени обеспечивают новые TLDs.
@tomhunter
В топе за 2024-й домены .top, .xyz и .shop. Ключевой момент для мошенников — щадящая KYS-политика и низкая цена: у самых проблемных доменов ценник на регистрацию всего 1$; для сравнения на .com она обойдётся почти в 6$. Несмотря на проблему, регулятор ICANN планирует одобрить ещё пачку новых доменов — регистрация на их ввод в 2026-м уже открыта. Так что голоса безопасников, скептически настроенных к идее «Мультидоменность — это наша сила», остаются неуслышанными. При этом бизнес по продаже доменов киберпреступникам не особо выгоден: подписки-то они не продлевают. Но число фишинговых атак за прошедший год выросло на 40% — и инфраструктуру им в значительной степени обеспечивают новые TLDs.
@tomhunter
😁6👍3🤯1
#news Европол положил ещё одну платформу защищённой связи для преступников: в этот раз досталось Matrix. Только по инвайтам, с качественным шифрованием. Но, видимо, недостаточно качественным. Сервера перехвачены, трое подозреваемых задержаны, включая предполагаемого владельца, гражданина Литвы.
Деталей не раскрывают, но утверждают, что есть доступ к перепискам. А это 2,3 миллиона сообщений на 33 языках от ~8 тысяч клиентов по всему миру. Перехват EncroChat в 2020-м привёл к задержанию почти семи тысяч человек и изъятию ~$800 миллионов. Так что задел под аресты хороший. А вместе с недавним перехватом Ghost рынок защищённой связи изрядно поредел и окончательно рассыплется на местечковые сервисы. Между тем заглушку для Matrix оформили в соответствующем стиле, но без тематических шуточек. Это, конечно, недоработка интерна: легла целая платформа под наркотрафик, а в заглушке ни одной подколки про красные таблетки и поимевший всех Европол.
@tomhunter
Деталей не раскрывают, но утверждают, что есть доступ к перепискам. А это 2,3 миллиона сообщений на 33 языках от ~8 тысяч клиентов по всему миру. Перехват EncroChat в 2020-м привёл к задержанию почти семи тысяч человек и изъятию ~$800 миллионов. Так что задел под аресты хороший. А вместе с недавним перехватом Ghost рынок защищённой связи изрядно поредел и окончательно рассыплется на местечковые сервисы. Между тем заглушку для Matrix оформили в соответствующем стиле, но без тематических шуточек. Это, конечно, недоработка интерна: легла целая платформа под наркотрафик, а в заглушке ни одной подколки про красные таблетки и поимевший всех Европол.
@tomhunter
😁8🔥4🤝2🤡1
#news Сюжет вокруг взлома операторов в Штатах продолжает закручиваться. В свежем брифинге сообщили о восьми взломанных компаниях против четырёх ранее озвученных. Более того, представитель Белого дома утверждает, что китайские тайфуны провернули то же самое в «десятках других стран». При этом операция идёт уже минимум год-два.
По следам атаки администрация США планирует потребовать у операторов ввода хотя бы минимальной ИБ, как то отсутствие небезопасных конфигураций и слабого управления ключами. А пока американцам предлагают переходить на мессенджеры с шифрованием, чтобы ушлые китайцы не читали их переписки. Подробностей по десяткам взломанных стран нет, как и уверенности в том, что тайфуны не бродят ещё по каким-то штатовским системам. Отсюда, в общем-то, и взялись десятки других стран: внимание от своих опсосов, вскрытых словно почта провинциального бухгалтера скучающим сисадмином, нужно всеми силами отвести.
@tomhunter
По следам атаки администрация США планирует потребовать у операторов ввода хотя бы минимальной ИБ, как то отсутствие небезопасных конфигураций и слабого управления ключами. А пока американцам предлагают переходить на мессенджеры с шифрованием, чтобы ушлые китайцы не читали их переписки. Подробностей по десяткам взломанных стран нет, как и уверенности в том, что тайфуны не бродят ещё по каким-то штатовским системам. Отсюда, в общем-то, и взялись десятки других стран: внимание от своих опсосов, вскрытых словно почта провинциального бухгалтера скучающим сисадмином, нужно всеми силами отвести.
@tomhunter
👍3😁3💯2❤1
#news Solana попала под крупную атаку на цепочку поставок: злоумышленники скомпрометировали популярную библиотеку solana/web3.js для работы с JavaScript SDK платформы. 350 тысяч скачиваний в неделю.
Аккаунт разработчика перехватили и добавили в него функцию, отправляющую ключи от кошельков на сервер злоумышленников. Громких заголовков удалось избежать, потому как скомпрометированные версии провисели в доступе всего пять часов, и крупные кошельки и приложения вроде Coinbase и Exodus атака затронуть не успела. Но если бы её оперативно не засекли, ущерб был бы сильно выше текущих оценок в $130-160 тысяч. Сегодня без очередной кражи сотен миллионов долларов, но до конца года ещё почти месяц, так что держите свои ожидания низкими, ключи — в надёжных местах, а крипту — желательно на холодных кошельках.
@tomhunter
Аккаунт разработчика перехватили и добавили в него функцию, отправляющую ключи от кошельков на сервер злоумышленников. Громких заголовков удалось избежать, потому как скомпрометированные версии провисели в доступе всего пять часов, и крупные кошельки и приложения вроде Coinbase и Exodus атака затронуть не успела. Но если бы её оперативно не засекли, ущерб был бы сильно выше текущих оценок в $130-160 тысяч. Сегодня без очередной кражи сотен миллионов долларов, но до конца года ещё почти месяц, так что держите свои ожидания низкими, ключи — в надёжных местах, а крипту — желательно на холодных кошельках.
@tomhunter
🔥5👍3😁3🫡2
#digest Опубликовали наш традиционный дайджест самых интересных новостей ушедшего месяца. В ноябре закрутился сюжет вокруг прослушки телефонов политиков в США, а судебный разборки Whatsapp против Pegasus пролили свет на внутреннюю кухню разработчика спайвари.
В сеть утекли документы по возможностям Graykey — софта для взлома смартфонов криминалистами. Также у нас засветился первый UEFI-буткит под Linux, игровой движок Godot приспособили под доставку малвари, а повреждённые файлы Word стали новым перспективным методом обхода обнаружения в фишинге. Об этом и других горячих событиях промозглого ноября читайте на Хабре!
@tomhunter
В сеть утекли документы по возможностям Graykey — софта для взлома смартфонов криминалистами. Также у нас засветился первый UEFI-буткит под Linux, игровой движок Godot приспособили под доставку малвари, а повреждённые файлы Word стали новым перспективным методом обхода обнаружения в фишинге. Об этом и других горячих событиях промозглого ноября читайте на Хабре!
@tomhunter
👍5❤2
#news iVerify, разработавшая софт для обнаружения спайвари, делится результатами работы. Из 2,500 проверенных ими устройств 7 оказались скомпрометированы Pegasus. Число может показаться невысоким, особенно с учётом целевой аудитории софта, но сам факт того, что невыборочный скан нашёл заражения, уже тревожный.
Самое интересное в отчёте другое. Среди жертв оказались не только журналисты и оппозиция, но и бизнесмены, управленцы, госслужащие. Иными словами, грязная репутация «спайвари по найму, которую абьюзят для слежки за активистами» — это ещё не предел для NSO Group. И по итогам анализа вполне может оказаться, что профиль работы Pegasus в сущности ничем не отличается от средней госхакерской группировки или MaaS-операции. Как водится, дно — это новый фронтир. Впрочем, поднимите руку, кого удивит, если «бывшие» разведчики на коротком поводке у Моссада работают в формате APT.
@tomhunter
Самое интересное в отчёте другое. Среди жертв оказались не только журналисты и оппозиция, но и бизнесмены, управленцы, госслужащие. Иными словами, грязная репутация «спайвари по найму, которую абьюзят для слежки за активистами» — это ещё не предел для NSO Group. И по итогам анализа вполне может оказаться, что профиль работы Pegasus в сущности ничем не отличается от средней госхакерской группировки или MaaS-операции. Как водится, дно — это новый фронтир. Впрочем, поднимите руку, кого удивит, если «бывшие» разведчики на коротком поводке у Моссада работают в формате APT.
@tomhunter
😁4🔥1
#cve По итогам ноября у нас снова россыпь серьёзных уязвимостей. Десяточкой по CVSS отметился Cisco Unified Industrial Wireless Software, поставив под угрозу промышленные системы. Критическая уязвимость на обход аутентификации также была исправлена в PAN-OS.
Microsoft в свой патчевый вторник исправила четыре нулевых дня, в 7-Zip обнаружили уязвимость на произвольный код, а в OC Android — на повышение привилегий. В нескольких устройствах от D-Link критические и высокие уязвимости; исправлений ввиду EOL не планируется, а эксплойт уже идёт. За подробностями об этих и других интересных CVE ноября добро пожаловать на Хабр!
@tomhunter
Microsoft в свой патчевый вторник исправила четыре нулевых дня, в 7-Zip обнаружили уязвимость на произвольный код, а в OC Android — на повышение привилегий. В нескольких устройствах от D-Link критические и высокие уязвимости; исправлений ввиду EOL не планируется, а эксплойт уже идёт. За подробностями об этих и других интересных CVE ноября добро пожаловать на Хабр!
@tomhunter
👍4🔥1
#news Пятничная схема криптоджекинга от человека из Небраски. Товарищ решил подзаработать на угоне вычислительных мощностей под майнинг, но вместо скучных методов со взломом и опсеком просто выкупал их у Amazon и Microsoft под подставными именами. И использовал не по назначению.
Известный как CP3O майнер выбивал новые ресурсы и отсрочки платежей, попутно уклоняясь от ответа на вопросы о подозрительном использовании данных и неоплаченных счетах. Полученную крипту он отмывал через биржи, NFT-маркетплейсы и платёжные сервисы, тратя на роскошную жизнь. В результате намайнил он 970 тысяч долларов. А неоплаченных счетов набежало на 3,5 миллиона. Просчитался, но где? Где-то в хитрую схему закралась неувязочка. Остап Джекер был арестован и признал вину, свои несколько лет заключения он по итогам, скорее всего, получит.
@tomhunter
Известный как CP3O майнер выбивал новые ресурсы и отсрочки платежей, попутно уклоняясь от ответа на вопросы о подозрительном использовании данных и неоплаченных счетах. Полученную крипту он отмывал через биржи, NFT-маркетплейсы и платёжные сервисы, тратя на роскошную жизнь. В результате намайнил он 970 тысяч долларов. А неоплаченных счетов набежало на 3,5 миллиона. Просчитался, но где? Где-то в хитрую схему закралась неувязочка. Остап Джекер был арестован и признал вину, свои несколько лет заключения он по итогам, скорее всего, получит.
@tomhunter
😁3🤡1
#news Оригинальный случай кибермошенничества из Казани: злоумышленник использовал уязвимость на сайте сети доставки цветов «Русский букет» для занижения стоимости товаров и их последующей перепродажи. Причём делал он это с рабочего компьютера.
Эксплойт был элементарный: при оплате мошенник возвращался на предыдущую страницу, останавливал загрузку страницы и менял стоимость заказа. В итоге на сайт уходили данные о полной оплате, а списывались символические суммы. До поимки злоумышленник успел оформить больше полусотни покупок. По итогам он признал вину, выплатил ущерб в миллион рублей и получил год условно. Плюс увольнение по собственному желанию за оригинальный подход к рабочему времени. Цветочный барон легко отделался: за мошенничество в особо крупном размере ему грозило до 10 лет. Но в сухом остатке у нас просто забавная история про миллион алых роз из эксплойта.
@tomhunter
Эксплойт был элементарный: при оплате мошенник возвращался на предыдущую страницу, останавливал загрузку страницы и менял стоимость заказа. В итоге на сайт уходили данные о полной оплате, а списывались символические суммы. До поимки злоумышленник успел оформить больше полусотни покупок. По итогам он признал вину, выплатил ущерб в миллион рублей и получил год условно. Плюс увольнение по собственному желанию за оригинальный подход к рабочему времени. Цветочный барон легко отделался: за мошенничество в особо крупном размере ему грозило до 10 лет. Но в сухом остатке у нас просто забавная история про миллион алых роз из эксплойта.
@tomhunter
😁15❤1👍1🤡1
#news В сетевых дебрях ещё одна оперативно замеченная атака на цепочку поставок: на этот раз скомпрометировали популярную ИИ-модель Ultralytics YOLO11. В код двух версий затесался майнер XMRig.
Расследование инцидента пока идёт, при этом неясно, не перепал ли юзерам попутно и инфостилер. Что занятно, на этом атака не закончилась: пока разработчики разбирались в произошедшем, угнали ещё пару версий. Судя по всему, разрабы забыли отозвать токены после первой атаки, да и та была банальным перехватом плохо защищённого аккаунта. В комментариях на Гитхабе тоже классика опенсорса: помогите разрабу понять, как злоумышленник скомпрометировал код, прежде чем заражённые версии уйдут на PyPI в третий раз. В сущности последние несколько дней YOLO — это присказка скачивающих свежие релизы.
@tomhunter
Расследование инцидента пока идёт, при этом неясно, не перепал ли юзерам попутно и инфостилер. Что занятно, на этом атака не закончилась: пока разработчики разбирались в произошедшем, угнали ещё пару версий. Судя по всему, разрабы забыли отозвать токены после первой атаки, да и та была банальным перехватом плохо защищённого аккаунта. В комментариях на Гитхабе тоже классика опенсорса: помогите разрабу понять, как злоумышленник скомпрометировал код, прежде чем заражённые версии уйдут на PyPI в третий раз. В сущности последние несколько дней YOLO — это присказка скачивающих свежие релизы.
@tomhunter
😁5👍2🔥1
#news В Канаде арестовали хакера из группировки «Com», связанной с нашумевшим взломом 165 компаний через облачный сервис Snowflake весной, а также сваттингом, криптограбежами и прочими развлечениями западной киберпреступной молодёжи. За онлайн-персоной Waifu скрывался 25-летний канадец.
Профиль как и в случае с многими другими западными киберпреступниками говорящий. Аутист, школу не окончил из-за травли, жил с дедушкой. Там, где в СНГ средний киберпреступник — это уважаемый кабанчик с вертолётом, Ламборджини и связями, англоязычные сплошь и рядом оказываются трудными подростками, сидящими на горе крипты перед двумя мониторами. Товарищ Waifu отметился ещё и тем, что до самой поимки вёл регулярную переписку с Кребсом, предлагая обыграть его в шахматы в обмен на честный разговор. По следам ареста WSJ вспоминает глубинный лор Кребса, включая то, как Вовненко героин ему присылал. Самое время освежить в памяти классику.
@tomhunter
Профиль как и в случае с многими другими западными киберпреступниками говорящий. Аутист, школу не окончил из-за травли, жил с дедушкой. Там, где в СНГ средний киберпреступник — это уважаемый кабанчик с вертолётом, Ламборджини и связями, англоязычные сплошь и рядом оказываются трудными подростками, сидящими на горе крипты перед двумя мониторами. Товарищ Waifu отметился ещё и тем, что до самой поимки вёл регулярную переписку с Кребсом, предлагая обыграть его в шахматы в обмен на честный разговор. По следам ареста WSJ вспоминает глубинный лор Кребса, включая то, как Вовненко героин ему присылал. Самое время освежить в памяти классику.
@tomhunter
😁7❤2🔥2
#news Октябрьский взлом DeFi-платформы Radiant Capital приписали северокорейским хакерам. Так что это ещё $50 миллионов на закрытие бюджета стратегических братушек в стремительно приближающемся 2025-м.
По итогам взлома выяснили, что устройства трёх разработчиков были заражены вредоносом, с помощью которого подписали мошеннические транзакции. Radiant перекладывает вину на «безупречную, технически сложную атаку», которую не смогли остановить даже их первоклассные методы защиты с симуляцией транзакций и прочими проверками. Впрочем, сам вектор атаки назвать сложным язык не повернётся: банальная социнженерия по разрабу от лица бывшего подрядчика, который затем ещё и разослал вредоносный архив по коллегам, тоже словившим бэкдор, через который шла атака. Так что самым слабым звеном привычно оказался кожаный мешок на ножках, а не недостаточная защита транзакций.
@tomhunter
По итогам взлома выяснили, что устройства трёх разработчиков были заражены вредоносом, с помощью которого подписали мошеннические транзакции. Radiant перекладывает вину на «безупречную, технически сложную атаку», которую не смогли остановить даже их первоклассные методы защиты с симуляцией транзакций и прочими проверками. Впрочем, сам вектор атаки назвать сложным язык не повернётся: банальная социнженерия по разрабу от лица бывшего подрядчика, который затем ещё и разослал вредоносный архив по коллегам, тоже словившим бэкдор, через который шла атака. Так что самым слабым звеном привычно оказался кожаный мешок на ножках, а не недостаточная защита транзакций.
@tomhunter
😁5👍2💯1