#news Исследователи разработали новый способ манипуляции памятью ИИ-моделей. Причём без доступа к начинке — достаточно взаимодействия на стороне юзера. В итоге медпомощник путается в данных пациентов, онлайн-магазин предлагает покупателем не те товары, а QA-агент неправильно отвечает на вопросы.
Способ сводится к запросам с ложными указаниями. Злоумышленник добавляет к ним скрытые инструкции, которые LLM’ка пишет себе в память. И когда пользователь задаёт похожий вопрос, модель вытаскивает из памяти изменённые записи и выдаёт неверные ответы. Тест на агентах на основе ChatGPT показал 95% успешность внедрения. И пока атака избегает стандартного обнаружения вредоносных промптов. Так что скучающий юзер может на досуге поломать чат-бот не доставившего ему заказ онлайн-магазина. То же могут сделать и конкуренты. Или медбрат с дурными намерениями отравит выдачу ИИ-помощника в своей клинике с непредсказуемыми последствиями. Иными словами, новые технологии, новые поверхности атаки.
@tomhunter
Способ сводится к запросам с ложными указаниями. Злоумышленник добавляет к ним скрытые инструкции, которые LLM’ка пишет себе в память. И когда пользователь задаёт похожий вопрос, модель вытаскивает из памяти изменённые записи и выдаёт неверные ответы. Тест на агентах на основе ChatGPT показал 95% успешность внедрения. И пока атака избегает стандартного обнаружения вредоносных промптов. Так что скучающий юзер может на досуге поломать чат-бот не доставившего ему заказ онлайн-магазина. То же могут сделать и конкуренты. Или медбрат с дурными намерениями отравит выдачу ИИ-помощника в своей клинике с непредсказуемыми последствиями. Иными словами, новые технологии, новые поверхности атаки.
@tomhunter
👍11🔥4🤡3❤1
#news Эпичный финал Garantex все застали? Бонусом к истории добавился арест сооснователя Алексея Бесчиокова, он же proforg. Бесчиоков предположительно админил ключевую инфраструктуру и проверял транзакции, так что в его задержании ФБР максимально заинтересовано.
Между тем товарища приняли в Индии, где он находился в отпуске с семьёй. Видимо, ордер на арест парой дней ранее мысли о поспешном отъезде туда, откуда выдачи нет, в голову не заронил. Знаменитые последние слова: «Что они сделают, вышлют меня в США, что ли?» К слову, соглашению о выдаче с Индией больше годиков, чем среднему криптоэнтузиасту. Напомню, Garantex была не только пунктом назначения грузовиков с валютой в Москва-Сити, но и засветилась в отмыве украденного для Lazarus. А как только в деле появляются криптостахановцы, платформе и её владельцам от цифрового будущего до настоящего в камере путь прокладывают быстрее, чем взлетает и падает очередной щиткоин.
@tomhunter
Между тем товарища приняли в Индии, где он находился в отпуске с семьёй. Видимо, ордер на арест парой дней ранее мысли о поспешном отъезде туда, откуда выдачи нет, в голову не заронил. Знаменитые последние слова: «Что они сделают, вышлют меня в США, что ли?» К слову, соглашению о выдаче с Индией больше годиков, чем среднему криптоэнтузиасту. Напомню, Garantex была не только пунктом назначения грузовиков с валютой в Москва-Сити, но и засветилась в отмыве украденного для Lazarus. А как только в деле появляются криптостахановцы, платформе и её владельцам от цифрового будущего до настоящего в камере путь прокладывают быстрее, чем взлетает и падает очередной щиткоин.
@tomhunter
😁15👍5🤔3
#news Из штатовского CISA одним махом уволили больше сотни безопасников. Пару недель назад они попали под топор печально известной DOGE. Не вписались в эффективный госрыночек по версии Маска, в общем.
Под сокращение попала красная команда агентства, спецы по реагированию на инциденты из CIRT, занятые в пентесте и ИБ госсетей, и прочие. Все они лишились доступа к корпоративным сетям без предупреждения. Это уже третий раунд увольнений в CISA за последние месяцы, и что будет со способностью агентства обеспечивать национальную кибербезопасность, пока неизвестно. ИБ-специалисты на этот вопрос ответить затрудняются. Но если по следам творящегося бедлама китайские братушки устроят новые масштабные заходы в американские сети, можно будет фиксировать результат. И толпу желающих подпалить вражью Теслу пополнят сокращённые пентестеры.
@tomhunter
Под сокращение попала красная команда агентства, спецы по реагированию на инциденты из CIRT, занятые в пентесте и ИБ госсетей, и прочие. Все они лишились доступа к корпоративным сетям без предупреждения. Это уже третий раунд увольнений в CISA за последние месяцы, и что будет со способностью агентства обеспечивать национальную кибербезопасность, пока неизвестно. ИБ-специалисты на этот вопрос ответить затрудняются. Но если по следам творящегося бедлама китайские братушки устроят новые масштабные заходы в американские сети, можно будет фиксировать результат. И толпу желающих подпалить вражью Теслу пополнят сокращённые пентестеры.
@tomhunter
😁16👍8🤡3
#news Signal перестал выходить на связь с украинскими правоохранителями. Раньше они взаимодействовали по официальным каналам для противостояния российским киберугрозам. Но теперь в ответ тишина. Как сообщают, разработчик мессенджера просто не отвечает на запросы.
Тем временем по аккаунтам в Signal, включая правительственные и военные, идут активные атаки. Как можно догадаться, украинцы таким поворотом недовольны. Мессенджер, которому мы доверяли, нас подвёл, все дела. Но как водится, доверять кому-либо в мире реал-политик — дело заведомо проигрышное. Как и зависеть от доброй воли заморских хозяев любимого мессенджера: стоило смениться политповесточке, как начались проблемы. А что нужно делать, чтобы разработчики критического средства связи не подводили, колоритно продемонстрировали французы. Дуров не даст соврать. Но у украинцев возможности прихватить президента Signal или Маска, чтобы и Starlink внезапно не отвалился, конечно, нет.
@tomhunter
Тем временем по аккаунтам в Signal, включая правительственные и военные, идут активные атаки. Как можно догадаться, украинцы таким поворотом недовольны. Мессенджер, которому мы доверяли, нас подвёл, все дела. Но как водится, доверять кому-либо в мире реал-политик — дело заведомо проигрышное. Как и зависеть от доброй воли заморских хозяев любимого мессенджера: стоило смениться политповесточке, как начались проблемы. А что нужно делать, чтобы разработчики критического средства связи не подводили, колоритно продемонстрировали французы. Дуров не даст соврать. Но у украинцев возможности прихватить президента Signal или Маска, чтобы и Starlink внезапно не отвалился, конечно, нет.
@tomhunter
😁14🤡9💯3👍2🔥2
Forwarded from ИТ-Диалог
Мошенники всегда найдут лазейку. Как усложнить им задачу?💬
Борьба с киберпреступностью — это не гонка на короткую дистанцию, а марафон, в котором преступники постоянно находят новые лазейки.
📱Введение ограничений на звонки в мессенджерах — очередная попытка усложнить жизнь мошенникам. Но достаточно ли этого?
4 апреля на конференции «КИБЕРКОНТУР 2025» эксперты обсудят, какие меры действительно способны снизить риски и почему одними запретами проблему не решить. В центре внимания — эффективные стратегии борьбы с мошенниками, развитие технологий и правоприменительная практика.
— комментирует Игорь Бедеров, руководитель департамента расследований T.Hunter.
Кроме того, на «КИБЕРКОНТУР 2025» Игорь Бедеров проведет мастер-класс «Фишинг нового поколения. Атаки через дипфейки, голосовые подделки и AI», где разберёт новейшие техники мошенничества и методы защиты от них.
Мероприятие пройдет при поддержке издания IT-Manager.
📌 Регистрация доступна на сайте «ИТ-Диалога».
Борьба с киберпреступностью — это не гонка на короткую дистанцию, а марафон, в котором преступники постоянно находят новые лазейки.
📱Введение ограничений на звонки в мессенджерах — очередная попытка усложнить жизнь мошенникам. Но достаточно ли этого?
4 апреля на конференции «КИБЕРКОНТУР 2025» эксперты обсудят, какие меры действительно способны снизить риски и почему одними запретами проблему не решить. В центре внимания — эффективные стратегии борьбы с мошенниками, развитие технологий и правоприменительная практика.
«Ограничения на звонки в мессенджерах — важный, но недостаточный шаг для обеспечения безопасности. В противовес им, мошенники продолжат использовать виртуальные номера, взломанные аккаунты, перейдут на другие платформы или продолжат работать из регионов со слабым регулированием. Эффективность ограничений повысится только в сочетании с технологическими инновациями, образованием пользователей, жестким регулированием, международной кооперацией и качественным реформированием правоохранительной системы. Мошенники быстро адаптируются, поэтому система защиты должна быть гибкой и многоуровневой»,
— комментирует Игорь Бедеров, руководитель департамента расследований T.Hunter.
Кроме того, на «КИБЕРКОНТУР 2025» Игорь Бедеров проведет мастер-класс «Фишинг нового поколения. Атаки через дипфейки, голосовые подделки и AI», где разберёт новейшие техники мошенничества и методы защиты от них.
Мероприятие пройдет при поддержке издания IT-Manager.
📌 Регистрация доступна на сайте «ИТ-Диалога».
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡9👍7❤2👎1😁1🤝1
#news Pokemon Go и её разработчик не раз светились в занятных новостях. И подоспела кульминация: Niantic продаёт игру вместе с другими приложениями. Компании, которой владеет правительственный фонд Саудовской Аравии.
Само собой, это поднимает вопрос пользовательских данных. В частности, геолокаций, которые собирает Pokemon Go. Разработчик, конечно, утверждает, что они в безопасности да и вообще нигде не хранятся. Но кто же в это поверит? Между тем новый инвестор с торчащими ушами саудитов явно заинтересован в технологии картографирования с помощью ИИ и сканов с камер, используемых приложениями. А также их монетизации. К чему это приведёт? Вопрос на миллион пойманных в объективы покемонов. И локаций. А пока у нас сложная экосистема сбора геолокационных данных, которая стала ещё более мутной. Но есть и хорошие новости! Могли ведь и китайцам продать, в конце-то концов.
@tomhunter
Само собой, это поднимает вопрос пользовательских данных. В частности, геолокаций, которые собирает Pokemon Go. Разработчик, конечно, утверждает, что они в безопасности да и вообще нигде не хранятся. Но кто же в это поверит? Между тем новый инвестор с торчащими ушами саудитов явно заинтересован в технологии картографирования с помощью ИИ и сканов с камер, используемых приложениями. А также их монетизации. К чему это приведёт? Вопрос на миллион пойманных в объективы покемонов. И локаций. А пока у нас сложная экосистема сбора геолокационных данных, которая стала ещё более мутной. Но есть и хорошие новости! Могли ведь и китайцам продать, в конце-то концов.
@tomhunter
👍5🔥1
#news LLM’ки в области киберугроз переходят от пассивной роли помощи злоумышленникам к активным действиям. Operator от ChatGPT одним твиком промпта провернул сценарий атаки с нуля.
Модель получила следующую задачу. Найти имя и почту аналитика из Symantec, написать PowerShell для сбора системной информации с его компьютера и отправить убедительное фишинговое письмо, чтобы цель запустила скрипт. В результате ИИ-агент нашёл контакты по открытым источникам, в том числе анализируя корпоративные адреса. А затем, изучив пару страниц про Powershell, написал скрипт, составил письмо и отправил получателю. Письмо не триггернуло фильтры. Сценарий простенький, но это только первые детские шаги наших будущих кремниевых повелителей по цифровому миру. Через пару лет они уже и вредоносный код напишут, и инфраструктуру развернут, и переговоры по выкупу проведут. Будущее безжалостно!
@tomhunter
Модель получила следующую задачу. Найти имя и почту аналитика из Symantec, написать PowerShell для сбора системной информации с его компьютера и отправить убедительное фишинговое письмо, чтобы цель запустила скрипт. В результате ИИ-агент нашёл контакты по открытым источникам, в том числе анализируя корпоративные адреса. А затем, изучив пару страниц про Powershell, написал скрипт, составил письмо и отправил получателю. Письмо не триггернуло фильтры. Сценарий простенький, но это только первые детские шаги наших будущих кремниевых повелителей по цифровому миру. Через пару лет они уже и вредоносный код напишут, и инфраструктуру развернут, и переговоры по выкупу проведут. Будущее безжалостно!
@tomhunter
🔥16🤡5👍4😁1😱1
#news Под новости о тряске госдепартаментов США от выкрутасов DOGE можно отдельную рубрику заводить. На этот раз по 24 федеральным агентствам разлетелось письмо с требованием проверить ИИ-модели, которым хунвейбины Маска скармливают госданные.
Судя по анализу вакханалии в штатовских сетях, юные дарования используют любые подручные средства, включая публичные платформы и LLM’ки — на API одной из ведёт десяток госайпи, то есть на сервера компании улетают массивы данных. В нарушение полудюжины местных законов. Попутно критическая инфраструктура, включая системы ядерных лабораторий, начинает пинговаться во внешнем интернете. И китайские братушки сейчас 24/7 заняты маппингом сетей, которых в публичном доступе быть не должно от слова совсем. А где-то на макбуке зумера из DOGE крутится кастомная LLM’ка, знающая больше секретов американской бюрократии, чем кто-либо в истории. Это в лучшем случае. В худшем — там просто вкладочка с ChatGPT. Или даже DeepSeek.
@tomhunter
Судя по анализу вакханалии в штатовских сетях, юные дарования используют любые подручные средства, включая публичные платформы и LLM’ки — на API одной из ведёт десяток госайпи, то есть на сервера компании улетают массивы данных. В нарушение полудюжины местных законов. Попутно критическая инфраструктура, включая системы ядерных лабораторий, начинает пинговаться во внешнем интернете. И китайские братушки сейчас 24/7 заняты маппингом сетей, которых в публичном доступе быть не должно от слова совсем. А где-то на макбуке зумера из DOGE крутится кастомная LLM’ка, знающая больше секретов американской бюрократии, чем кто-либо в истории. Это в лучшем случае. В худшем — там просто вкладочка с ChatGPT. Или даже DeepSeek.
@tomhunter
😁12🤡6👍2😢1
#news Закрываем тему LLM’ок пятничной новостью: Cursor отказался писать за пользователя код. Вместо этого после 800 сгенерированных строк модель посоветовала учиться кодить самостоятельно. Причина? Генерация кода за юзера может привести к зависимости и сократить его способности к обучению.
Модель рекомендует писать код самому, чтобы понимать его логику и эффективно ментейнить. Неожиданная интеракция заставляет задуматься о том, насколько Cursor AI похож в мышлении на обитателей Stack Overflow, чьи посты скормили инфернальной ИИ-машине. В таком случае единственное, что мешает модели накидать юзеру полную панамку красочных оборотов — это строгие гайдлайны от разработчика. К слову, свежие шутки над джуном сезона весна ‘25: ИИ-ассистент для кодинга, натасканный на рассылке Торвальдса и его крылатых выражениях. Ибо вкатываться в айтишечку в 2025-м — не для слабых духом.
@tomhunter
Модель рекомендует писать код самому, чтобы понимать его логику и эффективно ментейнить. Неожиданная интеракция заставляет задуматься о том, насколько Cursor AI похож в мышлении на обитателей Stack Overflow, чьи посты скормили инфернальной ИИ-машине. В таком случае единственное, что мешает модели накидать юзеру полную панамку красочных оборотов — это строгие гайдлайны от разработчика. К слову, свежие шутки над джуном сезона весна ‘25: ИИ-ассистент для кодинга, натасканный на рассылке Торвальдса и его крылатых выражениях. Ибо вкатываться в айтишечку в 2025-м — не для слабых духом.
@tomhunter
😁13👍4🤡3
#news Метод доставки малвари ClickFix прочно обосновался в арсенале злоумышленников. О кампаниях с ним сообщают ежемесячно, и вариаций в сетевых дебрях хватает: от фикса неработающей страницы до маскировки под капчу.
В случае последней юзер видит плашку «Подтвердите, что вы человек», и у него активируются нейроны. Подтвердить, что ты не ИИ-агент дрожащий, а право человеком считаться имеешь, конечно, хочется. А дальше идёт стандартная схема с командной строкой и копипастом вредоносного скрипта. Атака навевает воспоминания о днях, когда макросы в Microsoft Office спокойно запускались всеми желающими невольно обзавестись малварью. И решение проблемы некоторые предлагают аналогичное: отрубить копипаст в строку Run, как порезали макросы. Но единственное долгоиграющее решение — это, конечно, повышение ИБ-грамотности. Методы доставки вредоноса меняются, а ключевое слабое звено остаётся неизменным — wetware перед экраном.
@tomhunter
В случае последней юзер видит плашку «Подтвердите, что вы человек», и у него активируются нейроны. Подтвердить, что ты не ИИ-агент дрожащий, а право человеком считаться имеешь, конечно, хочется. А дальше идёт стандартная схема с командной строкой и копипастом вредоносного скрипта. Атака навевает воспоминания о днях, когда макросы в Microsoft Office спокойно запускались всеми желающими невольно обзавестись малварью. И решение проблемы некоторые предлагают аналогичное: отрубить копипаст в строку Run, как порезали макросы. Но единственное долгоиграющее решение — это, конечно, повышение ИБ-грамотности. Методы доставки вредоноса меняются, а ключевое слабое звено остаётся неизменным — wetware перед экраном.
@tomhunter
👍3🤡3❤1💯1
#news Ключевого разработчика LockBit, Ростислава Панева, экстрадировали из Израиля в США. Напомню, его арестовали в августе 2024-го, обнаружив на ноуте учётку от админ-панели LockBit, исходники, переписку с Хорошевым и прочее компрометирующее.
Согласно расследованию, связи Панева с LockBit тянутся вплоть до основания группировки в 2019-м. Так что источник информации для ФБР он бесценный. Что ждёт остальных страдальцев из LockBit на финальной стадии цикла жизни рансомварь-группировки с таким кадром в камере в Штатах, представить нетрудно. К слову, у Панева двойное гражданство России и Израиля, но от экстрадиции это его не спасло. А вот работал бы на NSO и прочих уважаемых людей, малая родина его бы никуда не выдала. Но как водится, есть киберпреступники и киберпреступники с корочкой подразделения 8200. Товарищ Панев в своей ИБ-карьере просто зашёл не в ту дверь.
@tomhunter
Согласно расследованию, связи Панева с LockBit тянутся вплоть до основания группировки в 2019-м. Так что источник информации для ФБР он бесценный. Что ждёт остальных страдальцев из LockBit на финальной стадии цикла жизни рансомварь-группировки с таким кадром в камере в Штатах, представить нетрудно. К слову, у Панева двойное гражданство России и Израиля, но от экстрадиции это его не спасло. А вот работал бы на NSO и прочих уважаемых людей, малая родина его бы никуда не выдала. Но как водится, есть киберпреступники и киберпреступники с корочкой подразделения 8200. Товарищ Панев в своей ИБ-карьере просто зашёл не в ту дверь.
@tomhunter
😁11👍6
#news Шизофрения с преследованием владельцев Tesla в США выходит на новый уровень: активисты подняли сайт с личными данными владельцев авто и работников DOGE, локациями зарядных станций и автосалонов.
Сайт прямо призывает к вандализму против автовладельцев и бренда в целом. На сайте также висит информация о том, как поднять его копию и скрыть свои следы при нападениях на провинившихся покупкой автомобиля не той марки. Желающие убрать данные с сайта должны предоставить документы о продаже своей Tesla. А до тех пор там висят их адреса, телефоны и ссылки на соцсети. Пару лет назад ты купил Теслу, заботясь об окружающей среде, а сегодня тебя преследуют онлайн и офлайн, потому что упоротый владелец бренда любит президента. По ту сторону баррикад, к слову, тоже не отстают и заняты активным доксингом оппонентов. Особенности жизни в глобальной деревне в окружении политозабоченных полуобезьян, в общем.
@tomhunter
Сайт прямо призывает к вандализму против автовладельцев и бренда в целом. На сайте также висит информация о том, как поднять его копию и скрыть свои следы при нападениях на провинившихся покупкой автомобиля не той марки. Желающие убрать данные с сайта должны предоставить документы о продаже своей Tesla. А до тех пор там висят их адреса, телефоны и ссылки на соцсети. Пару лет назад ты купил Теслу, заботясь об окружающей среде, а сегодня тебя преследуют онлайн и офлайн, потому что упоротый владелец бренда любит президента. По ту сторону баррикад, к слову, тоже не отстают и заняты активным доксингом оппонентов. Особенности жизни в глобальной деревне в окружении политозабоченных полуобезьян, в общем.
@tomhunter
🤡21😁9👍5🤬5🤔4❤2
#news Новости цифрового будущего: КНДР обогнала по запасам биткоина Бутан и Сальвадор. В первом его активно майнят, во втором биток — официальное платёжное средство с систематическими закупками. Ну а Северная Корея его добывает в формате лихой киберпанковской Тортуги.
Запасы биткоина в КНДР оцениваются в $1,13 миллиарда — значительную часть украденного с Bybit эфира перегнали в биток. Ещё $30 миллионов у северокорейцев в других криптовалютах. При этом до США КНДР по-прежнему далеко: запасы битка в стране в ~15 раз выше за счёт конфискаций по судебным делам. Впереди и Великобритания: у неё биткоинов в 5 раз больше, чем у криптоналётчиков. Дикий криптоЗапад как он есть. Слишком поздно осваивать прерии, слишком рано бороздить космос. Самое время дивиться на хаос и новые нарративы, создаваемые криптой и LLM’ками.
@tomhunter
Запасы биткоина в КНДР оцениваются в $1,13 миллиарда — значительную часть украденного с Bybit эфира перегнали в биток. Ещё $30 миллионов у северокорейцев в других криптовалютах. При этом до США КНДР по-прежнему далеко: запасы битка в стране в ~15 раз выше за счёт конфискаций по судебным делам. Впереди и Великобритания: у неё биткоинов в 5 раз больше, чем у криптоналётчиков. Дикий криптоЗапад как он есть. Слишком поздно осваивать прерии, слишком рано бороздить космос. Самое время дивиться на хаос и новые нарративы, создаваемые криптой и LLM’ками.
@tomhunter
😁12👍7🤬2❤1🤡1
#news Amazon порезала фичу на своих умных колонках, позволявшую обрабатывать запросы пользователя локально. Теперь всё услышанное Алексой будет официально улетать в облако для обработки.
Причина названа уважительная: свежую ИИ-модель, от которой запитана Alexa, встроенное железо просто не тянет. Да и в целом только отдельные мощные модели Echo-устройств поддерживали фичу. Так что теперь юзер, отказывающийся отправлять свои записи голоса в облако Amazon, не сможет пользоваться всеми продвинутыми фичами своей любимой спайварь-колонки. Amazon, конечно же, утверждает, что на приватности изменение никак не скажется. И в сущности они ведь даже не врут: никакой приватности у пользователей их устройств сроду не водится. В принципе, новость сугубо нишевая: если человек в своём уме и что-то слышал про ИБ, умных устройств в его доме и так не водится. Простых смертных же вопросы приватности не волнуют.
@tomhunter
Причина названа уважительная: свежую ИИ-модель, от которой запитана Alexa, встроенное железо просто не тянет. Да и в целом только отдельные мощные модели Echo-устройств поддерживали фичу. Так что теперь юзер, отказывающийся отправлять свои записи голоса в облако Amazon, не сможет пользоваться всеми продвинутыми фичами своей любимой спайварь-колонки. Amazon, конечно же, утверждает, что на приватности изменение никак не скажется. И в сущности они ведь даже не врут: никакой приватности у пользователей их устройств сроду не водится. В принципе, новость сугубо нишевая: если человек в своём уме и что-то слышал про ИБ, умных устройств в его доме и так не водится. Простых смертных же вопросы приватности не волнуют.
@tomhunter
😁26👍5🤡2😱1
#news Исследователи раскрыли новую атаку по ИИ-моделям для кодинга. Она позволяет внедрять уязвимости в проекты, созданные с помощью GitHub Copilot и Cursor. Атака основана на скрытых инструкциях, внедрённых в файлы конфигов модели.
Вредоносные команды маскируют с помощью невидимых символов Unicode. В результате ИИ-редакторы начинают генерировать код с бэкдорами и прочими уязвимостями. А с учётом того, что вредоносные правила идут в конфиге, последующие запросы на генерацию содержат уязвимые куски кода. В сухом остатке у нас атака на цепочку поставок на самоподдуве, требующая от злоумышленника только изначального внедрения скомпрометированного конфига. GitHub и Cursor на раскрытие атаки сообщили, что разработчики должны сами проверять код, предложенный ИИ. Вопрос лишь в том, останутся ли через несколько лет компетентные разрабы, ещё способные понимать написанный за них Духом Машины код.
@tomhunter
Вредоносные команды маскируют с помощью невидимых символов Unicode. В результате ИИ-редакторы начинают генерировать код с бэкдорами и прочими уязвимостями. А с учётом того, что вредоносные правила идут в конфиге, последующие запросы на генерацию содержат уязвимые куски кода. В сухом остатке у нас атака на цепочку поставок на самоподдуве, требующая от злоумышленника только изначального внедрения скомпрометированного конфига. GitHub и Cursor на раскрытие атаки сообщили, что разработчики должны сами проверять код, предложенный ИИ. Вопрос лишь в том, останутся ли через несколько лет компетентные разрабы, ещё способные понимать написанный за них Духом Машины код.
@tomhunter
😁7🔥4
#news В обработке файлов .lnk в Windows обнаружили уязвимость, которую используют для выполнения вредоносных команд. С 2017-го года. Проблема стандартная: команды прячут за мегабайтами пустого пространства, так что они не отображаются в интерфейсе.
Исследователи нашли в сетевых дебрях ~1,000 вредоносных lnk-файлов, светившихся в атаках; на деле их больше. Ответ от Microsoft тоже стандартный: это не уязвимость, а проблема интерфейса — приоритет соответствующий. Хорошие новости для многочисленных апэтэшечек, пользующихся этим интерфейсным багом. Плохие — для их потенциальных жертв. Среди которых ожидаемо в первую очередь госсектор. Исследователи во мнении с Microsoft разошлись, обозначив проблему как дыру в безопасности, хоть и не самую критичную. Но кто же их в Редмонде слушает. Баг, конечно, исправят. Но когда-нибудь потом.
@tomhunter
Исследователи нашли в сетевых дебрях ~1,000 вредоносных lnk-файлов, светившихся в атаках; на деле их больше. Ответ от Microsoft тоже стандартный: это не уязвимость, а проблема интерфейса — приоритет соответствующий. Хорошие новости для многочисленных апэтэшечек, пользующихся этим интерфейсным багом. Плохие — для их потенциальных жертв. Среди которых ожидаемо в первую очередь госсектор. Исследователи во мнении с Microsoft разошлись, обозначив проблему как дыру в безопасности, хоть и не самую критичную. Но кто же их в Редмонде слушает. Баг, конечно, исправят. Но когда-нибудь потом.
@tomhunter
😁9🤡2
#news Flashpoint опубликовала отчёт о тенденциях в мире кибербезопасности за прошедший год. ИБ-словом 2024 можно назвать инфостилеры: в прошлом году они показали значительный рост.
В 2024-м были скомпрометированы 3,2 миллиарда учётных данных — на треть больше, чем годом ранее. И 75% из них были получены именно с инфостилеров. Ими заражены больше 23 миллионов устройств в мире. Основные проблемы доставлял Redline, за что и получил приз зрительских симпатий от безопасников в погонах — год закрыли перехватом его инфраструктуры. Число известных уязвимостей в 2024-м также выросло — на 12%, и к 39% из них опубликованы эксплойты. И число рансомварь-атак растёт: их стало больше на 10%, и на 6% больше утечек данных. В общем, рынок киберугроз показывает уверенный рост. С одной стороны, новости хорошие: без работы не останемся. С другой, покой нам только снится.
@tomhunter
В 2024-м были скомпрометированы 3,2 миллиарда учётных данных — на треть больше, чем годом ранее. И 75% из них были получены именно с инфостилеров. Ими заражены больше 23 миллионов устройств в мире. Основные проблемы доставлял Redline, за что и получил приз зрительских симпатий от безопасников в погонах — год закрыли перехватом его инфраструктуры. Число известных уязвимостей в 2024-м также выросло — на 12%, и к 39% из них опубликованы эксплойты. И число рансомварь-атак растёт: их стало больше на 10%, и на 6% больше утечек данных. В общем, рынок киберугроз показывает уверенный рост. С одной стороны, новости хорошие: без работы не останемся. С другой, покой нам только снится.
@tomhunter
💯3👍1🫡1
#news Редкий пример долгоиграющей малвари: исследователи обнаружили операцию DollyWay по взлому сайтов на WordPress, активную с 2016-го года. За это время злоумышленники скомпрометировали больше 20 тысяч сайтов и прокачали инфраструктуру.
Операцию раскрыли, связав воедино несколько кампаний — за ними всеми стоят одни и те же лица. Взломанные сайты редиректят юзеров на различный скам, генерируя под 10 миллионов показов в месяц. И всё это монетизируется через TDS. Вредонос устойчивый, внедряется в уязвимые плагины, маскируется в системе и создаёт скрытные админские учётки, которые можно найти только в базе. При этом DollyWay чистит сайты от конкурентов по киберпреступной сцене и обновляет плагины, чтобы они не были повторно взломаны. Так что хорошая мотивация для админов: если вы вовремя не обновите уязвимые плагины на сайте, злоумышленники это сделают за вас. Так сказать, с заботой. Но о своём вредоносе. Подробнее о DollyWay в отчёте.
@tomhunter
Операцию раскрыли, связав воедино несколько кампаний — за ними всеми стоят одни и те же лица. Взломанные сайты редиректят юзеров на различный скам, генерируя под 10 миллионов показов в месяц. И всё это монетизируется через TDS. Вредонос устойчивый, внедряется в уязвимые плагины, маскируется в системе и создаёт скрытные админские учётки, которые можно найти только в базе. При этом DollyWay чистит сайты от конкурентов по киберпреступной сцене и обновляет плагины, чтобы они не были повторно взломаны. Так что хорошая мотивация для админов: если вы вовремя не обновите уязвимые плагины на сайте, злоумышленники это сделают за вас. Так сказать, с заботой. Но о своём вредоносе. Подробнее о DollyWay в отчёте.
@tomhunter
😁11❤3
#news Недавняя атака на цепочку поставок по tj-actions/changed-files на GitHub затронула 218 репозиториев из 23 тысяч, использующих его. Из этих 218 по следам атаки утекли секреты.
Несмотря на небольшое число, утечка может иметь серьёзные последствия, так как у некоторых из реп крупная пользовательская база — среди затронутых есть мастодонты на 350 тысяч звёзд и 63 тысячи форков. Иными словами, их компрометация может аукнуться сообществу в формате масштабной цепной атаки на цепочку поставок. Особенно с учётом того, что из части реп утекли данные доступа от DockerHub, npm и AWS. Так что остаётся надеяться, что владельцы затронутых репозиториев оперативно сменят утёкшие секреты. В цепочке компрометации tj-actions/changed-files и так уже две атаки, а это на две больше, чем хотелось бы. Подробнее о том, как взломали changed-files здесь.
@tomhunter
Несмотря на небольшое число, утечка может иметь серьёзные последствия, так как у некоторых из реп крупная пользовательская база — среди затронутых есть мастодонты на 350 тысяч звёзд и 63 тысячи форков. Иными словами, их компрометация может аукнуться сообществу в формате масштабной цепной атаки на цепочку поставок. Особенно с учётом того, что из части реп утекли данные доступа от DockerHub, npm и AWS. Так что остаётся надеяться, что владельцы затронутых репозиториев оперативно сменят утёкшие секреты. В цепочке компрометации tj-actions/changed-files и так уже две атаки, а это на две больше, чем хотелось бы. Подробнее о том, как взломали changed-files здесь.
@tomhunter
🔥4🤯3👍2
#news Microsoft продолжает запугивать простых юзеров ужасами отказа от перехода на Windows 11. Кибератаки, кража данных, лёгкие мишени для вредоноса, нулевые дни и прочие тяжёлые последствия игнорирования нового поделия на индусской тяге от Microsoft. Обо всём этом не в сенсационных заголовках, а в официальной рассылке компании.
Что интересно, в свежем письме счастья забыли сообщить о расширенных обновлениях безопасности. В маркетинговом отделе справедливо рассудили, что чем меньше пользователь знает о доступных ему возможностях, тем лучше. 800 миллионов устройств, всё ещё крутящихся на Win10 — это не шутки. «Не ждите, пока станет слишком поздно», — предупреждает компания. К октябрю, видимо, уровень алармизма в рассылке выйдет на апокалиптический уровень. Обновись, а то проиграешь! Платная продлённая поддержка Win10, напомню, обойдётся 30 баксов. Microsoft об этом упомянуть забывает, но мы всегда готовы прийти на помощь.
@tomhunter
Что интересно, в свежем письме счастья забыли сообщить о расширенных обновлениях безопасности. В маркетинговом отделе справедливо рассудили, что чем меньше пользователь знает о доступных ему возможностях, тем лучше. 800 миллионов устройств, всё ещё крутящихся на Win10 — это не шутки. «Не ждите, пока станет слишком поздно», — предупреждает компания. К октябрю, видимо, уровень алармизма в рассылке выйдет на апокалиптический уровень. Обновись, а то проиграешь! Платная продлённая поддержка Win10, напомню, обойдётся 30 баксов. Microsoft об этом упомянуть забывает, но мы всегда готовы прийти на помощь.
@tomhunter
😁11🤡8👍3❤1
#news Иранские хактивисты заявили о взломе систем связи двух крупнейших судоходных компаний Ирана. Они связаны с нефтяным и военным экспортом. И на 116 танкерах и судах 18 марта якобы полностью отвалилась связь.
Предварительно известно о взломе коммуникационных VSAT-систем и вайпе серверного оборудования. Группировка утверждает, что корабли лишились связи как на самих судах, так и с сушей. Если атака подтвердится, она станет одной из самых масштабных на морскую отрасль Ирана за многие годы. А заодно и послужит отрезвляющим напоминанием о том, что системы коммуникаций на море — это единая точка отказа, зачастую без резервных каналов связи. И что ржавым корытам теневых флотилий угрожает не только штормовая погода.
@tomhunter
Предварительно известно о взломе коммуникационных VSAT-систем и вайпе серверного оборудования. Группировка утверждает, что корабли лишились связи как на самих судах, так и с сушей. Если атака подтвердится, она станет одной из самых масштабных на морскую отрасль Ирана за многие годы. А заодно и послужит отрезвляющим напоминанием о том, что системы коммуникаций на море — это единая точка отказа, зачастую без резервных каналов связи. И что ржавым корытам теневых флотилий угрожает не только штормовая погода.
@tomhunter
😁5👍3🤡3🔥1💯1