Несусь к тебе в ночи с ещё одним чтивом на тему того, почему не стоит пускать в жилище разнообразные не в меру умные штуки и пихать в свои устройства что попало.

ИБ-компания MG сделала новую версию кабеля, который выглядит как обычный провод, но на самом деле может собирать всё, что вводится на клавиатуре, и тотчас же удалённо — на расстоянии до примерно 1.5 км — отправлять всё хакеру. Пароли, конечно, собирать тоже можно. Создатели провода язвят: кто-то, мол, заявлял, что в Type C-кабели такие зловреды не засунешь, места мало. Им, разумеется, нужно было доказать, что это вовсе не так.

Вредоносная часть провода, как говорят исследователи, занимает примерно его половинку. Кабели создают Wi-Fi точку, к которой хакер может подключиться и начать логировать данные с клавиатуры. В новых версиях можно и вовсе «обезвредить» кабель на основе геолокации через тот же интерфейс: злоумышленник может так сделать, если жертва и кабель вышли из-под контроля.

В общем, будь начеку и помни, что безопасности слишком много не бывает.

https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning

Какой-то год киберпреступных стахановцев выдался — то крипты на 600 с хвостиком миллионов долларов украдут, то вот теперь это. На минувших выходных инфраструктура Яндекса подверглась крупнейшему ДДоСу за всю историю рунета. Атака продолжается до сих пор; компания её сдерживает, хоть и с большим трудом.

Неделей ранее Сбер выдержал похожую атаку, ставшую крупнейшей в истории финансового сектора. Через пару дней напали на ВК, который всё-таки свалился на некоторое время.

Гендиректор Qrator Labs говорит, что они уже несколько недель исследуют ботнет, использовавшийся для этих атак. Ботнет распространяется через некую уязвимость в прошивках и включает около сотни тысяч заражённых устройств. Судя по всему, он базируется на роутерах латвийской MikroTik: в 2018 году у них была уязвимость, которую своевременно устранили, но множество устройств всё ещё работает на древнем ПО.

Qrator Labs говорят, что ботнет амбициозный: орудует по всему миру, не только в РФ. Добрался и до Европы, и до США, и до Индии с Ближним Востоком, и куда только не. Успел наделать ущерба уже на миллиарды рублей, а по числу запросов в секунду — десятки миллионов — ставит абсолютные рекорды. Атаки при этом совсем не топорно-неотёсанные: ботовый трафик маскируется под обычных пользователей, да так, что многие противоДДоСные решения его спокойно пропускают.

https://www.vedomosti.ru/technology/articles/2021/09/07/885664-yandeks-ddos-atake

Тот самый ботнет, названный Meris, всё продолжает свирепствовать по всему миру. Яндекс, Cloudflare, Хабр, теперь вот KrebsOnSecurity: один из крупнейших западных блогов про ИБ, который ведёт Брайан Кребс.

Ранее Cloudflare рассказывали, что Meris посылал им 17 миллионов запросов в секунду. Для оценки, обычно Cloudflare обрабатывает суммарно 25 миллионов в секунду. С Яндексом прямо разошлись — там под 20-21 миллион ежесекундно приходило.

На Кребса напали с меньшими мощностями — ботнет кидал всего-то навсего 2 миллиона запросов в секунду. Он вспомнил, как в 2016 его блог уронил на четыре дня легендарный ботнет Mirai, атаковавший раза в четыре легче. Исходники Mirai, тогдашнего рекордсмена, позднее были слиты авторами и подхвачены кучей ботнетов-последователей. Похоже, новый Meris отдаёт честь своему прародителю: он начал свирепствовать ровно на пять лет позже.

Кребс считает, что ДДоСу за эти пять лет научились противостоять получше, но IoT-ботнеты мы продолжим видеть и дальше. Плодятся они, в сущности, в основном благодаря тому, что куча производителей сетевого оборудования просто лепит свои логотипы на устройства с сомнительной безопасностью, сделанные кем-то там кое-где, а потом софт на этом всём никто не обновляет. Дешевле выходит, понимать надо.

https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/

На подъёме новый банковский троян S.O.V.A. Разработка и улучшения пока ведутся, но от открытой, так сказать, беты уже пострадали банковские приложения, криптокошельки и приложения интернет-магазинов из США и Испании.

Примечателен троян тем, что это настоящий швейцарский нож: он и кейлоггер, и персональные данные через оверлеи ворует, и уведомления прячет, и в буфер обмена втихую подставляет адреса мошенников, как только пользователь заходит в криптокошелёк и пытается кому-то перевести деньги. Планы у разработчиков амбициозные: планируют дополнить эту машину перехватом кодов для двухфакторки, ДДоСом и атакой Man-in-the-Middle.

Пока, кажется, эта штука в основном перекрывает легитимные приложения своими оверлеями. Через оверлеи уже ворует куки с идентификаторами сессии или просто фишингом выманивает логин-пароль из пользователя. Неприятно, но бывает. А вот планы мощные, конечно. Если всё сделают, получится один из самых продвинутых ботов на рынке: такие швейцарские ножики не каждый день попадаются. Пока что разработчики набирают тестеров на свою бету, а мы готовимся, куда деваться.

https://threatpost.com/sova-sophisticated-android-trojan/169366/

Добрейшего тебе утра! У нас тут новости воскресного отечественного активизма. Анонимные хакеры, назвавшиеся группой пентестеров из СНГ, взломали всю инфраструктуру хостинга MskHost. Говорят, устали от того, что МскХост никак не реагировал на жалобы о мошеннических сайтах, которые у него размещали: там и кардинг, и ботнеты, и фишинг, и чего только не было. После взлома хакеры обнаружили почтовый ящик abuse@msk.host с сотней непрочитанных писем с теми самыми жалобами.

https://www.securitylab.ru/news/524339.php

На сайте провайдера была ссылка на Телеграм-канал хакеров, в котором они рассказывают, что и почему сделали. В канал уже слит список клиентов, больше всех отличившихся в публикации незаконного контента. Скоро хотят выложить тот самый ящик с жалобами, которые МскХост игнорировал.

Сейчас хакеры подчистую снесли большую часть чёрных серверов, а содержимое одного даже выложили для наглядности на свой канал. Говорят, что копии всех удалённых серверов с чернухой, айпи входов и прочие данные скоро передадут в правоохранительные органы. То же сделают и для данных сотрудников хостинга, который обвиняют в покровительстве мошенникам.

Хостинг сначала объявил о закрытии, но очень быстро передумал и решил всё восстанавливать «назло хакерам». Будут в ближайшую пару дней возвращать клиентам образы серверов.

Сегодня СМИ обсуждают уязвимость на портале госуслуг, связанную с Covert Redirect (скрытой переадресацией). Отметим, что Covert Redirect не является особенно значимой уязвимостью, хотя и позволяет воровать пользовательские данные, а также закачивать им вредоносное программное обеспечение. Скорее речь тут идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. Ссылке, по которой пользователя еще необходимо перейти. Возможно, по этой причине Госуслуги отреагировали на новость сдержанно, закрыв возможность редиректа через несколько часов после ее появления.

Впрочем, некоторые популярные российские онлайн-сервисы все еще позволяют делать редирект. Хотите пример? Щелкните на ссылку https://vk.com/ и попадете на мой сайт.

@tomhunter

Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров прокомментировал Российской Газете новость о том, что Apple выпустила очередное обновление iOS, которое должно защитить пользователей от слежки при помощи программы Pegasus, разработанной израильской NSO Group.

Эксперт отметил, что в начале августа Apple уже выпускала обновление 14.7.1, которое якобы устранило эксплойт, используемый Pegasus для слежки за пользователями iPhone. В новом обновлении компания исправляет уязвимости во фреймворке CoreGraphics и браузерном движке WebKit, которые также применялись при внедрения Pegasus.

Очевидно, что Apple пошла по пути постепенного выпуска заплаток, закрывающих дырки в программном обеспечении, эксплуатируемые Pegasus. Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.

@tomhunter

#news #decoder Вечер в киберхату... В начале сентября хакерская группа REvil опять взялась за старое. Спустя почти два месяца после своего исчезновения, группировка возобновила свое присутствие в сети. Начались атаки шифровальщиков. Зато теперь жертвы программы-вымогателя REvil могут загрузить дешифратор, а также инструкцию к нему, чтобы расшифровать свои компьютеры. Правда работает этот дешифратор только на машинах, которые были зашифрованы до 13 июля, т.е. на момент исчезновения REvil.

@tomhunter

#news На этой неделе оказалось, что APT-группировки активнее стали применять критическую уязвимость в решении для единого входа и управления паролями Zoho. Причем, отрабатывают они ее на американских клиентах компании, в число которых входят «три из пяти компаний из списка Fortune 500», включая Apple, Intel, Nike, PayPal, HBO и многие другие. Уязвимость, отслеживаемая как CVE-2021-40539, была обнаружена в программном обеспечении Zoho ManageEngine ADSelfService Plus и позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации.

Поспешите скачать обновление ManageEngine ADSelfService Plus, которое устраняет уязвимость CVE-2021-40539. Кроме того, рекомендуется сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), если будет обнаружено какое-либо указание на то, что файл NTDS.dit был скомпрометирован - предлагают в ФБР.

@tomhunter

#news MikroTik таки созналась во взломе своих роутеров, который произошел аж в 2018 году. Разумеется, компания долго распиналась в своем блоге на тему того, как сложно уговорить клиентов обновить роутер, а то и просто сменить на нем пароль. Впрочем, уже неважно...

За последние пять лет практически не было глобальных атак на уровне приложений. И именно роутеры MikroTik "прославились" тем, что стали основой того мощнейшего ботнета, который атаковал Яндекс в начале сентября. Атака достигала 21,8 млн. обращений в секунду, но Яндекс выдержал.

Счастливым обладателям роутеров MikroTik могу посоветовать почитать рекомендации по устранению уязвимостей своих устройств, а также проверить, участвовал ли ваш ip-адрес в хакерской атаке.

@tomhunter

#news В прошлом году на нескольких правительственных сайтах США, с доменами .gov и .mil, был размещен контент, содержащий порнографию или спам. Причина крылась в уязвимости одного из государственных подрядчиков - компании Laserfiche, которая оказывала услуги ФБР, ЦРУ, Казначейству США и военным.

"Эта уязвимость создавала фишинговые приманки для доменов .gov и .mil, которые подталкивали посетителей к злонамеренным перенаправлениям и потенциально нацеливали этих жертв с помощью других эксплойтов" - сообщают исследователи. В результате посторонние могли использовать Laserfiche Forms для временного размещения загруженных файлов. Laserfiche выпустила исправления для своих клиентов, но осадочек остался...

@tomhunter

#news #ransomware На днях исследователи составили список уязвимостей, которые используются шифровальщиками для доступа к сетям и компьютерам своих жертв. Я поместил его на слайде выше. Шифровальщики фактически признаны американцами общемировым бедствием. CISA США выпустило сервис оценки готовности к атаке шифровальщиков (RRA), являющийся дополнением CSET. Организация также предлагает свои рекомендации относительно предупреждения рисков, связанных с шифровальщиками, а также специальный Ransomware FAQ. Мне, однако, больше всего понравились рекомендации CERT Новой Зеландии.

@tomhunter

#news Исследователи из Lumen Black Lotus Labs обнаружили Linux-бинарники с эксплойтами для Windows Subsystem for Linux.

Подход новаторский — о теоретической возможности грузить в систему пейлоады через WSL раньше рассуждали, но в бою это что-то новенькое. Да и этот вариант малвари пока только в разработке: используется он очень ограниченно. Самые первые версии были замечены в начале мая и раз в пару недель давали о себе знать всё лето. Судя по изученным образцам, разработчики старались сделать их максимально незаметными и сложными для обнаружения привычными средствами.

А ещё в одном из файлов исследователи нашли тестовый код, выдававший «Пивет Саня». Что ж, передаём п[р]ивет загадочному Сане.

@tomhunter

#OSINT #Skype Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования (не путать со взломом!) пользовательского профиля в Skype:

├login (Restore Access)
├skypli (User Info)
├SkypeSearch (User Info)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├intelx (Google Dorks)
├dorksdb (Google Dorks)
├epieos (Check Phone/Email)
├cyberhubarchive (Find IP)
├webresolver (Find IP)
├vedbex (Find IP)
├canarytokens (Check IP)
└iplogger (Check IP)

@tomhunter

#news Лавры Pegasus и NSO Group не дают покоя "следильщикам" по всему миру. На этой неделе отметились американцы, опубликовав один прелюбопытный приговор. Пакистанец Мухаммад Фахд подкупил нескольких сотрудников AT&T, которые предоставили ему возможность разблокировать телефоны, получать данные пользователей и загружать на устройства приложения удаленного контроля. Причем делал он это начиная с 2012 года. В итоге заговорщики незаконно разблокировали 1 900 033 сотовых телефона, что привело к убыткам для AT&T в размере 201 497 430,94 $ из-за потерянных платежей. А вы говорите, что в России - бардак!

@tomhunter

#OSINT #Geolocation Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования данных геолокации.

├Jeffrey's (Metadata Viewer)
├pic2map (Metadata Viewer)
├exiftool (Metadata Viewer)
├mattw (YouTube)
├meedan (YouTube)
├skylens (Twitter, Youtube, Instagram, Flickr, VK и Weibu)
├vk (VK)
├photo-map (VK)
├snradar (VK)
├twitter (ex: geocode:13.08,80.27,100km)
├tigmint (Twitter)
├onemilliontweetmap (Twitter)
├birdhunt (Twitter)
├twimap (Twitter)
├geOSINT (Twitter, FourSquare, Flickr)
├geo-lens (Twitter, Facebook, Instagram)
├osintcombine (Instagram)
├explore (Instagram)
├instahunt (Instagram)
├instmap (Instagram)
├instaloctrack (Instagram)
├whopostedwhat (Facebook)
├snapchat (SnapChat)
├@locatortlrm_bot (Telegram)
├telegram-nearby (Telegram)
├geocreepy (Framework)
├@UniversalSearchRobot (Framework)
├quickgeolocationsearch (Maps Services)
└intelx (Maps Services)

@tomhunter

#news Пока в мире безнаказанно буйствует да ДДоСит ботнет-рекордсмен Meris, суд Калифорнии признал виновным Мэтью Гатрела, администратора сервисов DownThem и Ampnode. Первый сервис предлагал своим клиентам DDoS на конкурентов по подписке, второй — пуленепробиваемый хостинг с серверами, на которых лежат готовые скрипты для DDoS-атак.

У DownThem было несколько вариантов подписки, предполагавших разные продолжительность и силу атаки. Сервисом на протяжении 10 лет воспользовалось около двух тысяч клиентов, которые в сумме заказали 200 тысяч ДДоСов. Цели самые разные, от школ и университетов до местных органов власти.

Помощник Гатрела, в отличие от него, уже признал себя виновным, ему грозит до 10 лет заключения. Сам Гатрел может получить до 35: приговор выясним в январе.

@tomhunter

#news Почтовый сервер Республиканской ассоциации губернаторов (RGA) взломали хакеры. В результате использования четырех уязвимостей, известных как ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), содержащихся в локальных серверах Microsoft Exchange, злоумышленники получили доступ к электронной переписке RGA в период с февраля 2021 года по март 2021 года.

Ранее Microsoft обнаружила спонсируемую китайским государством хакерскую группу, Hafnium, которая использовала уязвимости ProxyLogon против американских организаций для кражи информации. Получая доступ к серверу Microsoft Exchange, Hafnium устанавливали веб-оболочку, которая позволяет им красть данные, загружать файлы и выполнять практически любую команду в скомпрометированной системе. Впрочем, не только китайцы атаковали США через уязвимости в Microsoft Exchange. Компания ESET обнаружила по меньшей мере десять APT-групп, атакующих уязвимые серверы Exchange.

@tomhunter

#news Личные данные регистрантов на виртуальные мероприятия, доступные через платформу EventBuilder, остаются доступными в общедоступном Интернете, открытыми для индексации различными механизмами. EventBuilder - это программное решение для создания виртуальных мероприятий (вебинары, обучение, онлайн-обучение, конференции) с использованием технологий Microsoft и интегрируется с расширением Microsoft Teams и Teams Live Events.

Публично раскрытая информация (более миллиона файлов CSV и JSON с личной информацией) включала полные имена, адреса электронной почты, названия компаний и должность регистранта, номера телефонов и отзывы на анкету. Данные были обнаружены с помощью поисковой системы Grayhat Warfare.

@tomhunter

#news Киберпреступники вымогают деньги у компании VoIP.ms, которая занимается предоставлением недорогих услуг IP-телефонии. , угрожая ей массированной DDoS-атакой. Атаки на компанию начались 16 сентября. DDoS-атака нарушила работу телефонных служб, не позволив им принимать или совершать телефонные звонки. А 18 сентября некто с псевдонимом REvil взял на себя ответственность за атаку и опубликовал ссылку на записку с требованием выкупа в 100 Биткоинов или (4,3 млн. $).

Неужели хакерская группа REvil сменила профиль работы? Она известна своими атаками, использующими программы-вымогатели. Но она никогда не была связана с DDoS. Вымогательский метод этой атаки заставляет нас поверить в то, что злоумышленники просто выдают себя за вымогателя, чтобы еще больше запугать VoIP.ms.

@tomhunter

#news Европол объявил о задержании сотни человек, связанных с итальянской мафией. Их обвиняют в различных киберпреступлениях, в том числе подмене SIM-карт и крупном фишинге. Действовали масштабно и по всей Европе: суммарно украли и отмыли более 10 миллионов евро.

За группировкой испанская и итальянская полиции наблюдали давно и отметили чёткую пирамидальную структуру: в самой верхушке мафиози, а к низам отмывальщики денег. Ещё в группировке были ответственные за фишинг, рекрутеры, отмывальщики денег в крипту и множество прочих персонажей самых разных классов.

106 задержанных, 16 домашних обысков, 118 замороженных банковских счетов, а ещё изъяты 224 банковские карты, множество электроники, марихуана с принадлежавшей группировке плантации и прочая, прочая, прочая.

@tomhunter