#news Очередная итерация BreachedForums рождается в киберпреступных потугах, но всё никак не народится. Форумы отключатся, не успев подняться, мутные индивиды всплывают один за другим, обещая свою площадку с ханипотом и агентурой.
Из нового, некто Anastasia обещал поднять четвёртую версию Breached в прошлый четверг. Вместо этого на главной висела плашка о перехвате предыдущей инкарнации, аресте IntelBroker и ShinyHunters и… продаже базы от 10 апреля 2025 с исходниками за 2к баксов. Накладочка вышла. Следом некто Momondo заявил, что Breached быть, а предыдущие ломануло ФБР через PHP-эксплойт, и вообще они крутились на устаревшей версии MyBB. В общем, одно понятно, что ничего не понятно — творится хаос. Всё как и задумано. Так что будьте вдвойне внимательны к опсеку и сопутствующему, если окажетесь на очередном Breached, кхм, с исследовательскими целями.
@tomhunter
Из нового, некто Anastasia обещал поднять четвёртую версию Breached в прошлый четверг. Вместо этого на главной висела плашка о перехвате предыдущей инкарнации, аресте IntelBroker и ShinyHunters и… продаже базы от 10 апреля 2025 с исходниками за 2к баксов. Накладочка вышла. Следом некто Momondo заявил, что Breached быть, а предыдущие ломануло ФБР через PHP-эксплойт, и вообще они крутились на устаревшей версии MyBB. В общем, одно понятно, что ничего не понятно — творится хаос. Всё как и задумано. Так что будьте вдвойне внимательны к опсеку и сопутствующему, если окажетесь на очередном Breached, кхм, с исследовательскими целями.
@tomhunter
😁11👍2🔥2❤1
#news Есть одна удобная фича — hotpatching — для установки обновлений без перезагрузки. Особенно экономит время и нервы владельцам серверов. Microsoft не осталась в стороне: Windows Server 2025 тоже получит эту фичу, сейчас её активно тестируют. Но есть нюанс: она будет платной. По месячной подписке. За ядро.
С первого июля горячие патчи будут только по отдельной подписке на сервис Hotpatch. Крестьяне без премиума будут и дальше корпеть над установкой вручную. Админ, хочешь hotpatching и видеть свою семью по выходным вместо затяжных свиданий с Windows Server? Теперь смотреть, как система падает от очередного кривого патча из Редмонда в прямом эфире, можно всего за полтора бакса за ядро в месяц. И где-то в уголке довольно хихикает линуксоид, у которого hotpatching — опенсорсная фича с начала 2010-х.
@tomhunter
С первого июля горячие патчи будут только по отдельной подписке на сервис Hotpatch. Крестьяне без премиума будут и дальше корпеть над установкой вручную. Админ, хочешь hotpatching и видеть свою семью по выходным вместо затяжных свиданий с Windows Server? Теперь смотреть, как система падает от очередного кривого патча из Редмонда в прямом эфире, можно всего за полтора бакса за ядро в месяц. И где-то в уголке довольно хихикает линуксоид, у которого hotpatching — опенсорсная фича с начала 2010-х.
@tomhunter
😁15🤡5👍3🔥2
#news Новость для юзеров Kali Linux. Разработчики потеряли доступ к своему ключу для подписи репозитория. Его пришлось сменить. Из побочного урона — отвалились обновления. Так что если у вас не работает
Ключ не скомпрометирован и остался в связке, но его заменили на новый. Так что его нужно скачать и поставить вручную. Хорошие новости: это решается командой в одну строку. Желающие могут скачать обновлённые образы с версией дистрибутива, идентичной выпущенной в прошлом месяце, но свежим ключом. А также проверить контрольные суммы и подивиться на новый ключ на OpenPGP-сервере, подписанный несколькими разрабами. В общем, отмена тревоги, можно красноглазить дальше.
@tomhunter
apt update и пишет об отсутствии ключа для проверки подписи, не спешите нюкать систему — проблема на стороне разрабов.Ключ не скомпрометирован и остался в связке, но его заменили на новый. Так что его нужно скачать и поставить вручную. Хорошие новости: это решается командой в одну строку. Желающие могут скачать обновлённые образы с версией дистрибутива, идентичной выпущенной в прошлом месяце, но свежим ключом. А также проверить контрольные суммы и подивиться на новый ключ на OpenPGP-сервере, подписанный несколькими разрабами. В общем, отмена тревоги, можно красноглазить дальше.
@tomhunter
😁20🤡4👍3❤2🔥2
🔒 ThreatHunter DRP — качественный инструмент предупреждения киберрисков, который могут применять даже простые пользователи.
👾 ThreatHunter DRP — облачное решение для защиты IT-активов, которое предупреждает угрозы до их реализации!
✨ Почему именно ThreatHunter?
✅ Мониторинг всего: фишинговые домены, Telegram-каналы, Dark Web, GitHub, сетевой периметр.
✅ AI-анализ: автоматически определяет тон сообщений и находит угрозы, которые пропускают стандартные системы.
✅ Мгновенные оповещения: уведомления в Telegram, почту и тикет-систему. Ежемесячно отправляем клиентам 2000+ предупреждений!
✅ Российское ПО: входит в Единый реестр (№24599).
🚀 Ключевые возможности:
▪️ Выявление поддельных доменов (до 20 в тарифе).
▪️ Контроль утечек кода на GitHub (20 блоков/упоминаний).
▪️ Парсинг 1000+ закрытых каналов злоумышленников ежедневно.
▪️ Визуализация угроз через графы взаимосвязей.
🔍 Цифры говорят сами:
5 000+ угроз обнаружено нашими алгоритмами.
1 000+ учетных записей компрометируется ежедневно.
⚠️ Не ждите, пока угроза станет проблемой.
Переходите на ThreatHunter DRP — защитите бизнес от цифровых рисков уже сегодня!
👉 Узнать подробности: tomhunter.ru/threathunter
Каждый день в России взламывают более 1000 аккаунтов, а в даркнете обсуждают новые атаки. Фишинг, утечки данных, хакерские атаки — эти угрозы могут разрушить репутацию и бюджет компании за считанные часы.
✨ Почему именно ThreatHunter?
✅ Мониторинг всего: фишинговые домены, Telegram-каналы, Dark Web, GitHub, сетевой периметр.
✅ AI-анализ: автоматически определяет тон сообщений и находит угрозы, которые пропускают стандартные системы.
✅ Мгновенные оповещения: уведомления в Telegram, почту и тикет-систему. Ежемесячно отправляем клиентам 2000+ предупреждений!
✅ Российское ПО: входит в Единый реестр (№24599).
🚀 Ключевые возможности:
▪️ Выявление поддельных доменов (до 20 в тарифе).
▪️ Контроль утечек кода на GitHub (20 блоков/упоминаний).
▪️ Парсинг 1000+ закрытых каналов злоумышленников ежедневно.
▪️ Визуализация угроз через графы взаимосвязей.
🔍 Цифры говорят сами:
5 000+ угроз обнаружено нашими алгоритмами.
1 000+ учетных записей компрометируется ежедневно.
⚠️ Не ждите, пока угроза станет проблемой.
Переходите на ThreatHunter DRP — защитите бизнес от цифровых рисков уже сегодня!
👉 Узнать подробности: tomhunter.ru/threathunter
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4❤2🤡1
#news Загадочный поворот на рансомварь-сцене: фавориты 2025-го RansomHub, которым пророчили ключевую роль по атакам в этом году, внезапно пропали. Инфраструктура группировки отключена с 1 апреля.
Слухи о разборках в группировке пошли ещё в начале апреля — у части партнёров отвалился доступ к чатам с жертвами. Попутно конкуренты из DragonForce заявили, что RansomHub переезжает на их инфраструктуру, так что пошли спекуляции о перехвате. А чтобы унять тряску, партнёры разбегаются под другие бренды, и хорошего здесь мало: число атак удвоилось у Qilin. Напомню, в отличие от остальных Qilin тормозов не имеет совсем: у них в норме атаки по медучреждениям, с которыми Qilin не раз светилась в неприятных новостях. Но иронию ситуации, конечно, сложно не заметить, если вспомнить, как поднялась сама RansomHub. Такова судьба рансомвари: либо ты умираешь от внутренних дрязг и экзит-скама, либо живешь до тех пор, пока за тобой не приходит ФБР.
@tomhunter
Слухи о разборках в группировке пошли ещё в начале апреля — у части партнёров отвалился доступ к чатам с жертвами. Попутно конкуренты из DragonForce заявили, что RansomHub переезжает на их инфраструктуру, так что пошли спекуляции о перехвате. А чтобы унять тряску, партнёры разбегаются под другие бренды, и хорошего здесь мало: число атак удвоилось у Qilin. Напомню, в отличие от остальных Qilin тормозов не имеет совсем: у них в норме атаки по медучреждениям, с которыми Qilin не раз светилась в неприятных новостях. Но иронию ситуации, конечно, сложно не заметить, если вспомнить, как поднялась сама RansomHub. Такова судьба рансомвари: либо ты умираешь от внутренних дрязг и экзит-скама, либо живешь до тех пор, пока за тобой не приходит ФБР.
@tomhunter
😁8👍2🔥2💯1
#cve Опубликовали нашу традиционную подборку ключевых CVE ушедшего месяца. В апреле главным событием стала RCE в SSH-библиотеке Erlang/OTP: десяточка по CVSS, простейший эксплойт, проверки концепции в сети на следующий день.
Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте на Хабре!
@tomhunter
Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте на Хабре!
@tomhunter
👍7❤2🔥2
#news Свежий отчёт «2025 State of Open Source» навевает размышления. О чём? Кто работает с опенсорсом в крупных компаниях, тот нервно хихикнул. А остальным лучше остаться в неведении.
В четверти организаций, использующих свободное ПО, всё ещё крутится старичок CentOS. Версии не уточняют (стесняются), но они все, очевидно, достигли конца поддержки. На вопрос о планах по миграции каждый четвёртый честно отвечает: «Не знаю». Почему? Компетенции не хватает — никто не знает как умилостивить Дух Машины. Причём отвечают техотделы, а не управленцы. А что они будут делать в случае атаки? У трети ответ тот же: «Мы не знаем». Резюме обновлять, очевидно же. Трудности не только с ОС. Половина не уверена в техе, на котором у них big data. И у половины решения на JavaScript, из них 15% на каком фреймворке, угадаете?Angular.js. В общем, состояние опенсорса на местах в 2025-м такое же, как у самого опенсорса. Тяжело… Тяжело.
@tomhunter
В четверти организаций, использующих свободное ПО, всё ещё крутится старичок CentOS. Версии не уточняют (стесняются), но они все, очевидно, достигли конца поддержки. На вопрос о планах по миграции каждый четвёртый честно отвечает: «Не знаю». Почему? Компетенции не хватает — никто не знает как умилостивить Дух Машины. Причём отвечают техотделы, а не управленцы. А что они будут делать в случае атаки? У трети ответ тот же: «Мы не знаем». Резюме обновлять, очевидно же. Трудности не только с ОС. Половина не уверена в техе, на котором у них big data. И у половины решения на JavaScript, из них 15% на каком фреймворке, угадаете?
@tomhunter
😁6👍4🔥2🤡1💯1
#news К новинкам от мира информационных операций. Разработчик Claude AI раскрыл, что модель использовали для создания сервиса по продвижению политических нарративов в соцсетях. Проще говоря, ботофермы. И Claude попробовал себя в новом амплуа.
LLM’ка не только генерировала нужный контент на целевых языках и создавала промпты под изображения. Но и сама решала, как управляемым ею аккаунтам вести себя в соцсетях. Комментарии, лайки, репосты — всё это было на модели. Claude управлял сеткой аккаунтов на разных платформах с операторами в качестве супервайзеров. Судя по характеру операции, она финансово мотивированная — четыре разных кампании под запросы клиента, от пропаганды бизнес-возможностей в ОАЭ до критики политики ЕС. В общем, Botfarm-as-a-Service, запитанная от неутомимой LLM’ки. Плохие новости для представителей одной неуважаемой профессии: вам, ребята, скоро с вещами на выход. Для остальных хорошего тоже мало: разговоры с копипастой скоро станут нормой жизни в сети.
@tomhunter
LLM’ка не только генерировала нужный контент на целевых языках и создавала промпты под изображения. Но и сама решала, как управляемым ею аккаунтам вести себя в соцсетях. Комментарии, лайки, репосты — всё это было на модели. Claude управлял сеткой аккаунтов на разных платформах с операторами в качестве супервайзеров. Судя по характеру операции, она финансово мотивированная — четыре разных кампании под запросы клиента, от пропаганды бизнес-возможностей в ОАЭ до критики политики ЕС. В общем, Botfarm-as-a-Service, запитанная от неутомимой LLM’ки. Плохие новости для представителей одной неуважаемой профессии: вам, ребята, скоро с вещами на выход. Для остальных хорошего тоже мало: разговоры с копипастой скоро станут нормой жизни в сети.
@tomhunter
😁13🔥4🤯2👍1
#news Исследователи обнаружили россыпь уязвимостей в протоколе Apple AirPlay и его SDK. 23 штуки, включая RCE с нулевой интеракций и в один клик, задел под MITM-атаки и отказ в обслуживании.
В цепочке уязвимости позволяют перехватить контроль не только над устройствами Apple, но и сторонними, которые используют AirPlay SDK. Вектор атаки назвали AirBorne — как можно догадаться, атаки с потенциальном под червя. В итоге вполне реалистичен сценарий, в котором заражённый в общественной сети макбук разнесёт малварь по корпоративной через AirPlay-ресивер. Что занятно, дырявый протокол выявили случайно: скан порта 7000 в локальной сети показал, что AirPlay принимает команды при дефолтных настройках. Провели аудит, а протокол писали по принципу «И так сойдёт». Одним словом, классика. А с учётом числа устройств от Apple в мире и нулевого взаимодействия поверхность атаки получается огромная. В общем, обновляйте устройства, закрывайте порт и отключайте AirPlay.
@tomhunter
В цепочке уязвимости позволяют перехватить контроль не только над устройствами Apple, но и сторонними, которые используют AirPlay SDK. Вектор атаки назвали AirBorne — как можно догадаться, атаки с потенциальном под червя. В итоге вполне реалистичен сценарий, в котором заражённый в общественной сети макбук разнесёт малварь по корпоративной через AirPlay-ресивер. Что занятно, дырявый протокол выявили случайно: скан порта 7000 в локальной сети показал, что AirPlay принимает команды при дефолтных настройках. Провели аудит, а протокол писали по принципу «И так сойдёт». Одним словом, классика. А с учётом числа устройств от Apple в мире и нулевого взаимодействия поверхность атаки получается огромная. В общем, обновляйте устройства, закрывайте порт и отключайте AirPlay.
@tomhunter
🔥11👍6🤯4
#news В США судят кодера с историей формата «Как не надо вкатываться в киберпреступность». Райан Крамер залил на GitHub ИИ-инструмент для генерации изображений, который на деле был инфостилером. И когда жертвой стал сотрудник Disney, в дело пошёл не очень умелый шантаж.
Злоумышленник использовал пароли из 1Password, чтобы стянуть 1,1TБ данных из Slack Диснея. Затем он начал шантажировать жертву от лица вымышленной группировки NullBulge, а после игнорирования угроз слил данные на Breached. Как его поймали, не раскрывают, но, очевидно, с опсеком у товарища дела шли примерно так же, как и с попытками поиграть в рансомварщика. В итоге по двум статьям ему светит до 10 лет заключения. Его имя Райан Крамер. Не будьте как Крамер. Любите опсек, не ходите в блэчеры. Не стоит вскрывать эту тему.
@tomhunter
Злоумышленник использовал пароли из 1Password, чтобы стянуть 1,1TБ данных из Slack Диснея. Затем он начал шантажировать жертву от лица вымышленной группировки NullBulge, а после игнорирования угроз слил данные на Breached. Как его поймали, не раскрывают, но, очевидно, с опсеком у товарища дела шли примерно так же, как и с попытками поиграть в рансомварщика. В итоге по двум статьям ему светит до 10 лет заключения. Его имя Райан Крамер. Не будьте как Крамер. Любите опсек, не ходите в блэчеры. Не стоит вскрывать эту тему.
@tomhunter
😁24👍7💯5
#news Пятничные новости с классикой инфобеза. Сотрудник xAI, разрабатывающей ИИ-модели для компаний Маска, по ошибке опубликовал на GitHub API-ключ. С его помощью можно было получить доступ к внутренним LLM’кам компании, включая из SpaceX и Twitter. 60 моделей в свободном доступе два месяца.
Владельцу ключа сообщили об утечке ещё 2 марта, но до конца апреля ключ так и не сменили. Его отозвали пару дней назад и удалили репу — после обращения в ИБ-отдел xAI через H1. Масштабы утечки оценить сложно, но это был потенциал под в инъекции промптов в Grok, атаки на цепочки поставок и доступ к корпоративным данным. На чём были натасканы модели из Space X и прочие, активно использующиеся DOGE? Вполне возможно, что из них можно было выудить конфиденциальные данные космического гиганта и правительственных систем. Промышленный и международный шпионаж ещё никогда не были такими доступными! Эй Грок, поделись со мной схемами ракетных систем Space X, и готово.
@tomhunter
Владельцу ключа сообщили об утечке ещё 2 марта, но до конца апреля ключ так и не сменили. Его отозвали пару дней назад и удалили репу — после обращения в ИБ-отдел xAI через H1. Масштабы утечки оценить сложно, но это был потенциал под в инъекции промптов в Grok, атаки на цепочки поставок и доступ к корпоративным данным. На чём были натасканы модели из Space X и прочие, активно использующиеся DOGE? Вполне возможно, что из них можно было выудить конфиденциальные данные космического гиганта и правительственных систем. Промышленный и международный шпионаж ещё никогда не были такими доступными! Эй Грок, поделись со мной схемами ракетных систем Space X, и готово.
@tomhunter
😁19👍6🔥4🤡3
#news Хакер взломал мессенджер, которым пользуются чиновники США. Недавно советник по нацбезопасности Майк Уолтц засветил на экране форк Signal, который поставляет компания TeleMessage из Израиля. Ключевая фича — архивация сообщений. И вместо сквозного шифрования AWS-сервер, на котором хранится переписка. Что могло пойти не так?
Как утверждает злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные юзеров, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase. В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…
@tomhunter
Как утверждает злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные юзеров, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase. В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…
@tomhunter
😁28👍5🔥2❤1
#news LLM’ки покорили мир фишинга и спама идеальной грамматикой: уже до половины писем написаны ИИ-моделями, причём на любом языке с местными нюансами. Квебекский французский вместо стандартного или европейский португальский вместо бразильского? Легко. Фишинг больше не ограничен ни географией, ни языком.
В романтическом мошенничестве тоже задействовали ИИ — сначала жертву соблазняет чат-бот, а затем кожаный мешок просит деньги или предлагает инвестиции. Годами учишь сотрудников, что фишинг — это байт на срочность и ошибки в тексте, а затем к делу подключается ИИ. Так что у нас новый пункт в тренингах: если письмо написано безупречно, скорее всего, это фишинг. Если звонит нерд из IT-отдела и запрашивает пароль или другие данные — это аудиофейк, айтишники не звонят и не пишут голосовые. Если тобой заинтересовалась красотка из приложения для знакомств — это охотящийся за криптой чат-бот или китайский шпион, запитанный от DeepSeek. Будущее безжалостно! Причём самое ближайшее.
@tomhunter
В романтическом мошенничестве тоже задействовали ИИ — сначала жертву соблазняет чат-бот, а затем кожаный мешок просит деньги или предлагает инвестиции. Годами учишь сотрудников, что фишинг — это байт на срочность и ошибки в тексте, а затем к делу подключается ИИ. Так что у нас новый пункт в тренингах: если письмо написано безупречно, скорее всего, это фишинг. Если звонит нерд из IT-отдела и запрашивает пароль или другие данные — это аудиофейк, айтишники не звонят и не пишут голосовые. Если тобой заинтересовалась красотка из приложения для знакомств — это охотящийся за криптой чат-бот или китайский шпион, запитанный от DeepSeek. Будущее безжалостно! Причём самое ближайшее.
@tomhunter
😁14👍6🔥3🫡3
#news США планируют изменить подход к наступательным кибероперациям. Об этом сообщил крупный чиновник Совбеза: операции дестигматизируют и нормализируют против Китая и прочих оппонентов США в киберпространстве.
Согласно заявлениям, с чрезмерной осторожностью и бюрократией в наступательном кибербезе нужно прощаться — атаки по штатовской инфраструктуре должны получать симметричный ответ. Подробностей по новой политике пока нет, но курс задан, так что можно ожидать изменений. Добавятся ли к мишкам и тайфунам лихие американские орлы, в ответ на взломы устраивающие локальные инциденты формата Colonial Pipeline? А если бонусом рансомварщиков запишут в террористы и нацугрозу? И завербуют зумеров-аутистов из разных там The Com и с конф на службу в наступательные киберотряды ФБР? Да вряд ли — запала не хватит. Но веселья в ИБ-пространстве с такими вводными, конечно, прибавилось бы с запасом.
@tomhunter
Согласно заявлениям, с чрезмерной осторожностью и бюрократией в наступательном кибербезе нужно прощаться — атаки по штатовской инфраструктуре должны получать симметричный ответ. Подробностей по новой политике пока нет, но курс задан, так что можно ожидать изменений. Добавятся ли к мишкам и тайфунам лихие американские орлы, в ответ на взломы устраивающие локальные инциденты формата Colonial Pipeline? А если бонусом рансомварщиков запишут в террористы и нацугрозу? И завербуют зумеров-аутистов из разных там The Com и с конф на службу в наступательные киберотряды ФБР? Да вряд ли — запала не хватит. Но веселья в ИБ-пространстве с такими вводными, конечно, прибавилось бы с запасом.
@tomhunter
🔥10😁5👍4💯1
#news Исследователи разобрали инфраструктуру главной фишинговой платформы 2025-го — Darcula. 20 тысяч доменов, около 600 операторов, активность более чем в ста странах, 13 миллионов переходов по ссылкам за год. В свежем отчёте инсайды с проникновением в бэкенд кита и чаты группировки.
Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналички. Плюс фотографии роскошной жизни операторов. Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.
@tomhunter
Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналички. Плюс фотографии роскошной жизни операторов. Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.
@tomhunter
🔥6👍5😁4❤1
#digest Между майскими выходными самое время вспомнить ключевые ИБ-новости апреля. В прошлом месяце RansomHub внезапно отключила инфраструктуру, и пошли слухи о перехвате группировки. CVE-программа MITRE также чуть было не ушла оффлайн из-за проблем с финансированием.
В ИИ-моделях раскрыли новый вектор атаки — slopsquatting с выдуманными ими зависимостями. Попутно LLM’ки писали эксплойты и устраивали скандалы разработчикам Cursor. В протоколе Airplay от Apple нашли россыпь серьёзных уязвимостей. А РКН предложил бизнесу сообщить об утечках данных до 30 мая и спать спокойно, рассчитавшись по старому прейскуранту. Обо всём этом и других интересных новостях апреля читайте на Хабре!
@tomhunter
В ИИ-моделях раскрыли новый вектор атаки — slopsquatting с выдуманными ими зависимостями. Попутно LLM’ки писали эксплойты и устраивали скандалы разработчикам Cursor. В протоколе Airplay от Apple нашли россыпь серьёзных уязвимостей. А РКН предложил бизнесу сообщить об утечках данных до 30 мая и спать спокойно, рассчитавшись по старому прейскуранту. Обо всём этом и других интересных новостях апреля читайте на Хабре!
@tomhunter
👍6❤3🔥2
#news У CISA в США не прекращается чёрная полоса: в 2026-м ему хотят сократить бюджет на скромные 500 миллионов долларов. Это почти одна пятая годового бюджета агентства.
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
CISA попала в немилость текущей администрации, которая именует агентство «цензурным промышленным комплексом». Якобы вместо защиты систем страны CISA занимается чем-то не тем, отслеживая фейки и дезинформацию в сети. Попутно CISA пропадает с ключевых ИБ-конференций, и на них агентство называют «Министерством Правды». В общем, бюджет ключевого надзорного ИБ-органа идёт под нож, так как он заигрался в цензуру и борьбу с фейками вместо ловли китайских апэтэшечек в сетях страны. Хочешь так же? Увы, ты не в Америке. Между тем децентрализацией CVE-программы, похоже, занялись совсем не зря.
@tomhunter
😁8👍5💯3❤1😢1
#news Наметился прорыв в деле противостояния спайвари: суд обязал NSO Group выплатить известным экстремистам из WhatsApp 167 миллионов долларов за взлом аккаунтов пользователей.
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp. Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. В общем, сегодня в офисе разрабов Pegasus без праздничных танцев. А вот у любителей приватности и прочих пережитков прошлого день задался.
@tomhunter
🎉9🔥4👍2😁2
#news По следам скандала со вскрытым сервером TeleMessage исследователи изучили и исходники приложения. Результаты занятные: архив сообщений с телефонов топовых штатовских чиновников лежал на сервере… в незашифрованном виде.
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают? На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
@tomhunter
😁24👍4🔥3
#events 22-24 мая в Москве пройдёт ежегодный киберфестиваль «Positive Hack Days Fest» — одно из крупнейших ИБ-событий России. Три дня инфобеза для всех желающих и закрытая часть со спикерами из числа ключевых экспертов индустрии.
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
От T.Hunter на «Positive Hack Days Fest» 22 мая будет директор нашего департамента киберрасследований Игорь Бедеров, он примет участие в воркшопе «Как обнаруживать дипфейки». Спикеры обсудят растущую роль ИИ в киберпреступлениях, методы и инструменты для обнаружения дипфейков, а также использование OSINT для поиска их источников и смежные темы.
А 23 мая с двумя докладами выступит один из инженеров T.Hunter Кирилл Гриневич — он расскажет о принципах работы Bad USB и разберёт атаку Rowhammer. Присоединяйтесь и до встречи на конференции!
@tomhunter
👍8🤡3🔥2🤝2
#news LockBit взломали. Кого, спросите вы? Так LockBit. Все админ-панели группировки дефейснули, вместо интерфейса повесили «Don't do crime CRIME IS BAD xoxo from Prague». И бонусом шёл свежий дамп MySQL-базы админки. Сервер крутился на PHP 8.1.2 с уязвимостью под RCE.
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек. В общем, мечты о триумфальном возвращении разбились о суровую реальность. И месседж хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
@tomhunter
😁22👍6🔥3🤡2