#news Злоумышленники продолжают маскировать малварь под легитимные ИИ-инструменты. От ChatGPT до видеоредакторов и B2B-ботов, вместо которых идут рансомварь CyberLock и Lucky_Gh0$t и новый вайпер Numero.
Последний взаимодействует с GUI Windows и переписывает содержимое окон и кнопок числовой последовательностью, приводя систему в негодность. CyberLock тоже оказался не без сюрприза: злоумышленник угрожает слить стянутые данные (функциональности под их кражу во вредоносе нет) и просит пожертвовать скромную сумму в $50 тысяч в Monero. И не на свои нужды, а на гуманитарную помощь Палестине, Украине, Африке и прочим нуждающимся. Желающих помочь женщинам и детям в злачных местах не хватает, так что Робин Гуд 21-го века якобы взял дело в свои руки. Но что-то подсказывает, что добровольно-принудительные пожертвования до заявленных адресатов всё же не дойдут.
@tomhunter
Последний взаимодействует с GUI Windows и переписывает содержимое окон и кнопок числовой последовательностью, приводя систему в негодность. CyberLock тоже оказался не без сюрприза: злоумышленник угрожает слить стянутые данные (функциональности под их кражу во вредоносе нет) и просит пожертвовать скромную сумму в $50 тысяч в Monero. И не на свои нужды, а на гуманитарную помощь Палестине, Украине, Африке и прочим нуждающимся. Желающих помочь женщинам и детям в злачных местах не хватает, так что Робин Гуд 21-го века якобы взял дело в свои руки. Но что-то подсказывает, что добровольно-принудительные пожертвования до заявленных адресатов всё же не дойдут.
@tomhunter
😁6👍2🔥2❤1
#news AVCheck — всё. ФБР перехватило инфраструктуру CAV-платформы путём эксплойта уязвимостей на сайте, которые обнаружили, работая под прикрытием в качестве клиентов. Также утверждают, что у них в руках пользовательская база с никнеймами, почтами и данными об оплате.
Попутно безопасники в погонах успешно потроллили юзеров AVCheck: перед ликвидацией на сайт повесили фейковую форму авторизации, и при логине злоумышленники получали предупреждение о том, что сайберкрайм — это плохо, понятненько? После такого у юзеров явно прибавилось седых волос. Помимо этого, перехвачены крипторы Cryptor[.]byz и Crypt[.]guru, связанные с операторами AVCheck. В общем, Operation Endgame продолжает приносить свои плоды. ФБР объявило неделю отключения киберпреступных сервисов, качество распространяемой малвари снизилось вдвое.
@tomhunter
Попутно безопасники в погонах успешно потроллили юзеров AVCheck: перед ликвидацией на сайт повесили фейковую форму авторизации, и при логине злоумышленники получали предупреждение о том, что сайберкрайм — это плохо, понятненько? После такого у юзеров явно прибавилось седых волос. Помимо этого, перехвачены крипторы Cryptor[.]byz и Crypt[.]guru, связанные с операторами AVCheck. В общем, Operation Endgame продолжает приносить свои плоды. ФБР объявило неделю отключения киберпреступных сервисов, качество распространяемой малвари снизилось вдвое.
@tomhunter
👍11🫡5😁4❤1🔥1😢1
#news Про утечку чатов Conti, она же ContiLeaks, и TrickLeaks уже забыли? А вот полиция Германии не забыла. И задоксила главу TrickBot, Ryuk и Conti. Утверждают, что Stern — 36-летний Виталий Николаевич Ковалёв.
Ранее Ковалёву уже предъявили обвинения в США, но как одному из операторов TrickBot — по следам утечки вскрыли личности многих из синдиката. Исследование переписки же показало, что остальные члены группировки получали у Ковалёва добро на атаки и найм адвокатов для арестованных соучастников. Так что теперь он в розыске в Германии, и на него выдали красное уведомление Интерпола — как главаря неназванной преступной организации. Иными словами, уровень розыска успешно прокачан. Полюбоваться на высокорангового соотечественника от мира киберпреступности в базе Интерпола можно здесь.
@tomhunter
Ранее Ковалёву уже предъявили обвинения в США, но как одному из операторов TrickBot — по следам утечки вскрыли личности многих из синдиката. Исследование переписки же показало, что остальные члены группировки получали у Ковалёва добро на атаки и найм адвокатов для арестованных соучастников. Так что теперь он в розыске в Германии, и на него выдали красное уведомление Интерпола — как главаря неназванной преступной организации. Иными словами, уровень розыска успешно прокачан. Полюбоваться на высокорангового соотечественника от мира киберпреступности в базе Интерпола можно здесь.
@tomhunter
😁7🔥3🤯2🤝2❤1
#cve Подводим итоги мая по линии самых интересных CVE. Последний весенний месяц выдался жарким: десяточку по CVSS выбили контроллеры Cisco с захардкоженным веб-токеном и Azure DevOps Server на повышение привилегий до System.
Критическими уязвимостями также отметились MagicINFO 9 Server от Samsung, продукты от Fortinet с нулевым днём под RCE и очередной плагин для WordPress — OttoKit. Отдельный приз уходит ASUS DriverHub — RCE от ASUS прямиком в BIOS материнок компании. Microsoft в прошлом месяце исправила пять активно эксплуатируемых нулевых дней, а в SysAid закрыли уязвимости под RCE и на доступ к локальным файлам, включая InitAccount.cmd. Об этом и других ключевых CVE мая читайте на Хабре!
@tomhunter
Критическими уязвимостями также отметились MagicINFO 9 Server от Samsung, продукты от Fortinet с нулевым днём под RCE и очередной плагин для WordPress — OttoKit. Отдельный приз уходит ASUS DriverHub — RCE от ASUS прямиком в BIOS материнок компании. Microsoft в прошлом месяце исправила пять активно эксплуатируемых нулевых дней, а в SysAid закрыли уязвимости под RCE и на доступ к локальным файлам, включая InitAccount.cmd. Об этом и других ключевых CVE мая читайте на Хабре!
@tomhunter
❤9👍2🔥2
#news Microsoft запустила инициативу по объединению наименований киберпреступных группировок. Компания намерена создать единую базу для их идентификации под известными именами. Идею поддержали Crowdstrike, Mandiant и Palo Alto Networks.
Первая версия базы доступна здесь. По разбросу можно наглядно оценить насущность проблемы: одна и та же группировка известна под десятком имён. Проблема, как водится, в том, что каждая команда исследователей отслеживает апэтэшечки под собственными позывными. В итоге время реагирования на инциденты растёт, пока отделы пытаются разобраться в стильных мишках, синих кракенах и йети на кортах. А потом проблему усугубляют остроумные дамочки, предлагающие именовать злоумышленников тощими хорьками. От амбиции продавливать свой стандарт Microsoft благоразумно отказалась — делают совместный справочник. Так что есть шанс, что взаимодействие будет продуктивным.
@tomhunter
Первая версия базы доступна здесь. По разбросу можно наглядно оценить насущность проблемы: одна и та же группировка известна под десятком имён. Проблема, как водится, в том, что каждая команда исследователей отслеживает апэтэшечки под собственными позывными. В итоге время реагирования на инциденты растёт, пока отделы пытаются разобраться в стильных мишках, синих кракенах и йети на кортах. А потом проблему усугубляют остроумные дамочки, предлагающие именовать злоумышленников тощими хорьками. От амбиции продавливать свой стандарт Microsoft благоразумно отказалась — делают совместный справочник. Так что есть шанс, что взаимодействие будет продуктивным.
@tomhunter
🔥7😁5👍3
#news В 2025-м в пентестинге наметились интересные тренды. LLM’ки сыграли на руку и синим командам, и злоумышленникам: за прошлый год автоматизация скакнула в пентесте в 2,5 раза. В то же время скорость атак за счёт ИИ-моделей начала сильно опережать возможности статического тестирования — половины уязвимостей сегодня год назад ещё не было.
Так что пентест в формате ежегодного ритуала уходит в прошлое, а непрерывное тестирование становится основным ответом на ежедневно меняющийся ландшафт угроз. Кроме того, API и облака — ключевые зоны риска: интеграция и сложность инфраструктуры растут, а пентест не поспевает — и главная угроза в кривых конфигурациях и тотальном игнорировании дырявых API. Также зря игнорируют уязвимости с низким рейтингом: по ним рост 10-кратный, и в цепочке они превращаются в серьёзные эксплойты. В общем, подходы к пентесту вчерашние, проблемы — сегодняшние. Кто перешёл на Shift-left пентест — тот и молодец, ждущие до пост-деплоя и визита ИБ-подрядчика в четвёртом квартале оказываются в проигравших. Подробнее о трендах в отчёте.
@tomhunter
Так что пентест в формате ежегодного ритуала уходит в прошлое, а непрерывное тестирование становится основным ответом на ежедневно меняющийся ландшафт угроз. Кроме того, API и облака — ключевые зоны риска: интеграция и сложность инфраструктуры растут, а пентест не поспевает — и главная угроза в кривых конфигурациях и тотальном игнорировании дырявых API. Также зря игнорируют уязвимости с низким рейтингом: по ним рост 10-кратный, и в цепочке они превращаются в серьёзные эксплойты. В общем, подходы к пентесту вчерашние, проблемы — сегодняшние. Кто перешёл на Shift-left пентест — тот и молодец, ждущие до пост-деплоя и визита ИБ-подрядчика в четвёртом квартале оказываются в проигравших. Подробнее о трендах в отчёте.
@tomhunter
🔥6👍5💯1
#news Занятные подробности недавней утечки данных клиентов Coinbase. Как известно, их слили злоумышленникам в техподдержке на аутсорсе с сидящими в Индии сотрудниками. Вот только Coinbase знала об этом ещё в январе.
Представители биржи заявили, что только после требования выкупа осознали, что проблема была серьёзнее. Проще говоря, в январе инцидент по-тихому замяли, поувольняв причастных и по привычке решив, что поймали просто очередного находчивого шельмеца на аутсорсе в диких землях, который надумал накинуть бонус к своим царским 500 баксам зарплаты. А он работал не один. Так мы с вами узнали, что между криптостартапами в СНГ и биржей в США с оборотом в $7 миллиардов много общего. По крайней мере, управление рисками и работа с инцидентами на стороне совершенно идентичные. Как и сами инциденты. Цена вопроса — до $400 миллионов ущерба. Но это, что называется, просто издержки индийского аутсорса.
@tomhunter
Представители биржи заявили, что только после требования выкупа осознали, что проблема была серьёзнее. Проще говоря, в январе инцидент по-тихому замяли, поувольняв причастных и по привычке решив, что поймали просто очередного находчивого шельмеца на аутсорсе в диких землях, который надумал накинуть бонус к своим царским 500 баксам зарплаты. А он работал не один. Так мы с вами узнали, что между криптостартапами в СНГ и биржей в США с оборотом в $7 миллиардов много общего. По крайней мере, управление рисками и работа с инцидентами на стороне совершенно идентичные. Как и сами инциденты. Цена вопроса — до $400 миллионов ущерба. Но это, что называется, просто издержки индийского аутсорса.
@tomhunter
😁10❤2👍1🤯1
#news Исследователи обнаружили, что приложения экстремистов из Meta и нашего всего из Yandex под Android следят за пользователями через localhost. Они открывают и слушают определённые порты и отслеживают веб-активность юзеров с привязкой к аккаунтам.
Механизм соединения позволяет обходить очистку куки, инкогнито-режимы и систему разрешений Android. За слежкой пойманы приложения запретных соцсетей, а также Яндекс.Метрика — приложения компании работают по этой схеме с 2017-го. Последствия интересные: от привязки юзера к веб-активности до утечки истории посещений сайтов с Метрикой и Meta Pixel. Meta после публикации оперативно порезала в своём трекере код, стучащий по localhost — у неё как раз идёт разбирательство c Google из-за «недопонимания» по скрытому сбору данных, так что исследование всплыло очень несвоевременно. Ну а наше всё к ответу призвать некому, увы. Из хороших новостей: браузеры внедряют защиту от таких выкрутасов. В Brave стук по localhost запрещён, а у DuckDuckGo оба скрипта в чёрных списках. Chrome и Firefox на очереди.
@tomhunter
Механизм соединения позволяет обходить очистку куки, инкогнито-режимы и систему разрешений Android. За слежкой пойманы приложения запретных соцсетей, а также Яндекс.Метрика — приложения компании работают по этой схеме с 2017-го. Последствия интересные: от привязки юзера к веб-активности до утечки истории посещений сайтов с Метрикой и Meta Pixel. Meta после публикации оперативно порезала в своём трекере код, стучащий по localhost — у неё как раз идёт разбирательство c Google из-за «недопонимания» по скрытому сбору данных, так что исследование всплыло очень несвоевременно. Ну а наше всё к ответу призвать некому, увы. Из хороших новостей: браузеры внедряют защиту от таких выкрутасов. В Brave стук по localhost запрещён, а у DuckDuckGo оба скрипта в чёрных списках. Chrome и Firefox на очереди.
@tomhunter
🔥10👍4😁3🤯1
#news На GitHub масштабная кампания по распространению бэкдоров под видом эксплойтов, ботов, троянов удалённого доступа и чит-кодов. Началось всё с анализа некого Sakura RAT, в итоге нашли 133 репозитория с малварью.
Сам Sakura RAT не функционирует — из рабочего в коде только подтягивание вредоносной нагрузки. Трафик на репы идёт с Discord, YouTube и киберпреступных форумов — любопытные скрипт-кидди клюют на бесплатный троянец. И получают его, но, как водится, есть нюанс. Рекламу троянца можно найти даже на LinkedIn. Что интересно, по всем репам регулярные автоматизированные коммиты: на одном, созданном в марте, их ~60 тысяч. Но здесь дурят не проджект-менеджера, а жертву, для которой создают иллюзию легитимности. Так что будьте внимательные с тем, что тянете с GitHub — не всякий опенсорс одинаково полезен. И уж тем более с тем, что постят в даркнете под видом крутых инструментов. Это, надеюсь, объяснять не надо.
@tomhunter
Сам Sakura RAT не функционирует — из рабочего в коде только подтягивание вредоносной нагрузки. Трафик на репы идёт с Discord, YouTube и киберпреступных форумов — любопытные скрипт-кидди клюют на бесплатный троянец. И получают его, но, как водится, есть нюанс. Рекламу троянца можно найти даже на LinkedIn. Что интересно, по всем репам регулярные автоматизированные коммиты: на одном, созданном в марте, их ~60 тысяч. Но здесь дурят не проджект-менеджера, а жертву, для которой создают иллюзию легитимности. Так что будьте внимательные с тем, что тянете с GitHub — не всякий опенсорс одинаково полезен. И уж тем более с тем, что постят в даркнете под видом крутых инструментов. Это, надеюсь, объяснять не надо.
@tomhunter
🔥7😁3🤯2❤1
#news ФБР пришло за ключевым игроком на рынке кардинга последних лет. Рыночек BidenCash закрылся. Перехвачены 145 доменов в верхнем и нижнем интернетах вместе с криптозапасами платформы.
BidenCash был активен с марта 2022-го после закрытия Joker’s Stash и ещё нескольких кардинговых форумов. За это время площадка набрала ~117 тысяч клиентов, через неё прошли ~15 миллионов украденных карт и личных данных, а операторы заработали не меньше $17 миллионов. Но всё нехорошее в мире киберпреступности имеет свойство заканчиваться. Сколько перехвачено в крипте и кто управлял BidenCash, безопасники в погонах не обозначили. Но операция Endgame продолжает набирать впечатляющие обороты и не спешит останавливаться. До отпусков ещё времени достаточно, так что остальным держателям даркнет-сервисов расслабляться не рекомендую. И за вами придут.
@tomhunter
BidenCash был активен с марта 2022-го после закрытия Joker’s Stash и ещё нескольких кардинговых форумов. За это время площадка набрала ~117 тысяч клиентов, через неё прошли ~15 миллионов украденных карт и личных данных, а операторы заработали не меньше $17 миллионов. Но всё нехорошее в мире киберпреступности имеет свойство заканчиваться. Сколько перехвачено в крипте и кто управлял BidenCash, безопасники в погонах не обозначили. Но операция Endgame продолжает набирать впечатляющие обороты и не спешит останавливаться. До отпусков ещё времени достаточно, так что остальным держателям даркнет-сервисов расслабляться не рекомендую. И за вами придут.
@tomhunter
😁8🔥6🫡5❤1
#news Кибербез-агентство Китая продолжает осваивать тонкое искусство троллинга оппонентов в цифровую эпоху. Авторы нетленного «Америка взламывает себя сама» теперь прошлись по Тайваню. Документ озаглавлен «Операция Бесполезность» и высмеивает местное киберподразделение.
Отчёт обвиняет Тайвань в «нелепых и неумелых» кибератаках и безуспешных попытках повредить инфраструктуру Китая. Как сообщают, их госбезопасники нулевых дней не разумеют и работают только с известными уязвимостями. А в арсенале у них опенсорс, бесплатные троянцы, фреймворки для пентеста и прочее общедоступное — свою малварь они писать не умеют. Да и фишинг у них слабоват: всё в элементарных ошибках, и отследить атаки не оставляет труда. В общем, тайваньское ИБ-подразделение — не гроза кибербеза, а «нелепый муравей, трясущий дерево». Справедливости ради, китайские апэтэшечки, которые не существуют, но работают, задают высокую планку. Но истории формата «Хилый западный ИБ-хорёк, могучий китайский кибердракон» и внутренней аудитории заходят на ура. Так что люди работают.
@tomhunter
Отчёт обвиняет Тайвань в «нелепых и неумелых» кибератаках и безуспешных попытках повредить инфраструктуру Китая. Как сообщают, их госбезопасники нулевых дней не разумеют и работают только с известными уязвимостями. А в арсенале у них опенсорс, бесплатные троянцы, фреймворки для пентеста и прочее общедоступное — свою малварь они писать не умеют. Да и фишинг у них слабоват: всё в элементарных ошибках, и отследить атаки не оставляет труда. В общем, тайваньское ИБ-подразделение — не гроза кибербеза, а «нелепый муравей, трясущий дерево». Справедливости ради, китайские апэтэшечки, которые не существуют, но работают, задают высокую планку. Но истории формата «Хилый западный ИБ-хорёк, могучий китайский кибердракон» и внутренней аудитории заходят на ура. Так что люди работают.
@tomhunter
😁15🔥2❤1👍1💯1
#news Подзабытая рубрика от Госдепа «Сдай киберпреступного друга и получи до $10 миллионов». На этот раз награду предложили за сообщников предполагаемого разработчика RedLine Stealer, Максима Александровича Рудометова.
Напомню, инфраструктуру инфостилера перехватили прошлой осенью, США считают Рудометова ключевым разработчиком и оператором RedLine. Как обычно, сообщи полезную информацию и получи денежный бонус. Но здесь всё внимание на заголовок и второй абзац: «сообщники из иностранных государств» и «использование RedLine иностранными государствами». В общем, планочка для желаемой информации задана высокая. Не всякий киберпреступник польстится на сумму со звёздочкой за коллегу по рансомварь-группировке. А здесь Госдеп тебя ещё и под госизмену услужливо пытается подвести. Так что заманчивость предложения хромает.
@tomhunter
Напомню, инфраструктуру инфостилера перехватили прошлой осенью, США считают Рудометова ключевым разработчиком и оператором RedLine. Как обычно, сообщи полезную информацию и получи денежный бонус. Но здесь всё внимание на заголовок и второй абзац: «сообщники из иностранных государств» и «использование RedLine иностранными государствами». В общем, планочка для желаемой информации задана высокая. Не всякий киберпреступник польстится на сумму со звёздочкой за коллегу по рансомварь-группировке. А здесь Госдеп тебя ещё и под госизмену услужливо пытается подвести. Так что заманчивость предложения хромает.
@tomhunter
😁10💯2👍1🤝1
#digest Подводим итоги ушедшего месяца дайджестом самых интересных ИБ-новостей. В мае прогремела история со взломом мессенджера, стоявшего на устройствах топовых чиновников США. Взломали также и инфраструктуру LockBit, добавив минусов в репутацию группировки.
Кроме того, в мае масштабная операция Endgame по перехвату киберпреступной инфраструктуры принесла неплохие результаты и всё ещё продолжается. Общедоступная ИИ-модель впервые нашла критический нулевой день. WhatsApp выиграла беспрецедентное дело против разработчика спайвари Pegasus. А исследователь публично раскрыл старую сетку сайтов для связи ЦРУ с агентурой, среди которых порталы про Star Wars и онлайн-игры в России нулевых. Об этом и других ключевых новостях последнего весеннего месяца читайте на Хабре!
@tomhunter
Кроме того, в мае масштабная операция Endgame по перехвату киберпреступной инфраструктуры принесла неплохие результаты и всё ещё продолжается. Общедоступная ИИ-модель впервые нашла критический нулевой день. WhatsApp выиграла беспрецедентное дело против разработчика спайвари Pegasus. А исследователь публично раскрыл старую сетку сайтов для связи ЦРУ с агентурой, среди которых порталы про Star Wars и онлайн-игры в России нулевых. Об этом и других ключевых новостях последнего весеннего месяца читайте на Хабре!
@tomhunter
🔥5❤1
#news Не так давно либертарианское сообщество шумно отмечало освобождение Росса Ульбрихта, создателя Silk Road. Подоспела вишенка на торте к празднеству: герой получил перевод на 300 битков, они же ~$31 миллион. От кого? Крупного игрока с AlphaBay.
Анализ блокчейна показал, что автор перевода активно пытался скрыть происхождение средств, но в итоге следы привели к кластеру адресов, связанных с AlphaBay. Предположительно, один из ключевых торговцев с площадки или админ. В общем, небольшой подарочек к освобождению от одной ни в чём не виноватой легенды даркнета другой. О назначении перевода можно спекулировать сколько угодно: от возвращения долгов до благодарности первопроходцу. Но как это выглядит не через розовые очки любителей цифрового будущего, сами понимаете. Как можно догадаться, фан-клуб Ульбрихта давать комментарии не спешит — в красивую сказочку о жертве судейского произвола золотой криптопарашют от коллег по бизнесу вписывается не очень.
@tomhunter
Анализ блокчейна показал, что автор перевода активно пытался скрыть происхождение средств, но в итоге следы привели к кластеру адресов, связанных с AlphaBay. Предположительно, один из ключевых торговцев с площадки или админ. В общем, небольшой подарочек к освобождению от одной ни в чём не виноватой легенды даркнета другой. О назначении перевода можно спекулировать сколько угодно: от возвращения долгов до благодарности первопроходцу. Но как это выглядит не через розовые очки любителей цифрового будущего, сами понимаете. Как можно догадаться, фан-клуб Ульбрихта давать комментарии не спешит — в красивую сказочку о жертве судейского произвола золотой криптопарашют от коллег по бизнесу вписывается не очень.
@tomhunter
😁13🔥4🤡4💯3
#news Кандидат на ключевую уязвимость месяца — RCE в почтовом софте Roundcube, CVE-2025-49113, 9.9 по CVSS — обзавёлся эксплойтом. Небезопасная десериализация в PHP, вызванная отсутствием санитизации на одном из параметров. Причём остававшаяся незамеченной 10 лет.
Патч вышел 1 июня, эксплойт на продажу появился в даркнете через пару дней. А за 1-day в Roundcube, как водится, в очередь мигом выстроятся все апэтэшечки, если это не какие-нибудь известные бездарности. Раскрывший уязвимость исследователь в выражениях не стесняется, называя её «Почтовым армагеддоном», а у поверхности атаки промышленные масштабы. Как обычно, вооружённые эксплойтом злоумышленники до систем доберутся гораздо раньше, чем исправления, так что можно ждать новостей от национальных кибербез-агентств, у которых организации в стране накатыванием патча озаботятся только постфактум. Видео с проверкой концепции здесь.
@tomhunter
Патч вышел 1 июня, эксплойт на продажу появился в даркнете через пару дней. А за 1-day в Roundcube, как водится, в очередь мигом выстроятся все апэтэшечки, если это не какие-нибудь известные бездарности. Раскрывший уязвимость исследователь в выражениях не стесняется, называя её «Почтовым армагеддоном», а у поверхности атаки промышленные масштабы. Как обычно, вооружённые эксплойтом злоумышленники до систем доберутся гораздо раньше, чем исправления, так что можно ждать новостей от национальных кибербез-агентств, у которых организации в стране накатыванием патча озаботятся только постфактум. Видео с проверкой концепции здесь.
@tomhunter
🔥9👍3😁2❤1
#news На npm отметилась очередная потенциально крупная атака на цепочку поставок. Она затронула Gluestack UI: 17 из 20 пакетов
Атака на вечер пятницы выпала неслучайно: расчёт был на то, что стук по мейнтейнерам утром субботы будет не очень результативным. Но обошлось — троянизированные пакеты оперативно порезали. По вектору атаки всё как обычно: скомпрометированный токен одного из мейнтейнеров. По итогам инцидента разрабы обзавелись такими чудесами инфобезной мысли как двухфакторка для доступа к GitHub и пуша изменений. Но то, что у опенсорса есть живые и активные мейнтейнеры, способные на шевеление по выходным и репорт по следам инцидента к понедельнику — это уже большой успех.
@tomhunter
@react-native-aria с >1 миллиона еженедельных загрузок обзавелись RAT 6 июня.Атака на вечер пятницы выпала неслучайно: расчёт был на то, что стук по мейнтейнерам утром субботы будет не очень результативным. Но обошлось — троянизированные пакеты оперативно порезали. По вектору атаки всё как обычно: скомпрометированный токен одного из мейнтейнеров. По итогам инцидента разрабы обзавелись такими чудесами инфобезной мысли как двухфакторка для доступа к GitHub и пуша изменений. Но то, что у опенсорса есть живые и активные мейнтейнеры, способные на шевеление по выходным и репорт по следам инцидента к понедельнику — это уже большой успех.
@tomhunter
😁6👍2💯2❤1
#news Исследователь забрутфорсил номера телефонов юзеров Google. Сделать это удалось через форму восстановления аккаунта. Отключённый JS, подтянутый botguard-токен, и форму можно было брутфорсить до получения отклика по существующей связке «Имя пользователя — телефон».
Помимо этого, в процессе исследователь обнаружил оригинальный метод утечки не только номера, но и имени пользователя для брутфорса по нему. Из незакрытых Google утечек остались документы Looker Studio, при переводе владения которыми на аккаунт отображалось его имя. По итогам в связке с ним и скрытым номером с двумя известными цифрами из формы восстановления скрипт возвращал номер, к которому привязана почта, за секунды, максимум, 20 минут. Уязвимость закрыли, багхантер добился пересмотра серьёзности уязвимости и выбил бонусные 3,5к баксов к изначальным 13 соткам, всё ответственно раскрыто, счастливый конец. Подробнее о брутфорсе в отчёте, проверка концепции здесь.
@tomhunter
Помимо этого, в процессе исследователь обнаружил оригинальный метод утечки не только номера, но и имени пользователя для брутфорса по нему. Из незакрытых Google утечек остались документы Looker Studio, при переводе владения которыми на аккаунт отображалось его имя. По итогам в связке с ним и скрытым номером с двумя известными цифрами из формы восстановления скрипт возвращал номер, к которому привязана почта, за секунды, максимум, 20 минут. Уязвимость закрыли, багхантер добился пересмотра серьёзности уязвимости и выбил бонусные 3,5к баксов к изначальным 13 соткам, всё ответственно раскрыто, счастливый конец. Подробнее о брутфорсе в отчёте, проверка концепции здесь.
@tomhunter
🔥10👍2❤1
#news Linux Foundation запустил проект по поддержке WordPress. FAIR Package Manager станет новой независимой системой для распространения доверенных плагинов и тем.
Проект появился по следам конфликта между коммерческими хостерами Automattic и WP Engine прошлой осенью. Стороны обменялись взаимными обвинениями, и WP Engine закрыли доступ к WordPress[.]org. А это, мягко говоря, не лучшим образом сказалось на стабильности и защищённости экосистемы WP, которая и без того пестрит критическими уязвимостями каждый месяц. В итоге было принято решение сделать свой хостинг со справедливостью и проверенными плагинами. Пока большие игроки обзывают друг друга «Раком Wordpress» и судятся из-за так называемого копирайта, приходят линуксоиды и безвозмездно делают хорошее дело. Много таких случаев!
@tomhunter
Проект появился по следам конфликта между коммерческими хостерами Automattic и WP Engine прошлой осенью. Стороны обменялись взаимными обвинениями, и WP Engine закрыли доступ к WordPress[.]org. А это, мягко говоря, не лучшим образом сказалось на стабильности и защищённости экосистемы WP, которая и без того пестрит критическими уязвимостями каждый месяц. В итоге было принято решение сделать свой хостинг со справедливостью и проверенными плагинами. Пока большие игроки обзывают друг друга «Раком Wordpress» и судятся из-за так называемого копирайта, приходят линуксоиды и безвозмездно делают хорошее дело. Много таких случаев!
@tomhunter
😁7👍4❤2🤝2🔥1💯1
#news LLM’ки уже повсюду, но их защищённость в плане ИБ пошла по пути облаков и API — внедряют повсеместно, а вот задумываются об их уязвимости гораздо реже. Так, согласно свежему отчёту о защите данных от Varonis, 99% из 1,000 изученных компаний дали ИИ-инструментам ненужный им доступ к чувствительным данным.
То же касается и облачной инфраструктуры, включая данные для обучения моделей. У 98% в сетях не одобренные ИБ-отделами приложения, в том числе всё те же LLM’ки. Помимо этого, у 88% в среде фантомные юзеры, а одна из семи компаний обходятся без мультифакторки на SaaS-решениях и облаках. Проще говоря, ИИ-модели оказались уязвимы у всех. Пристрастие к облегчению своей работы через услужливую LLM’ку есть, а понимания разрешений на них и поверхности атаки в целом — нет. Ещё не все бедолаги приучились двухфакторку на SaaS’ах подключать, а теперь уже и об ИИ-агентах в своих сетях нужно переживать. Помилуйте!
@tomhunter
То же касается и облачной инфраструктуры, включая данные для обучения моделей. У 98% в сетях не одобренные ИБ-отделами приложения, в том числе всё те же LLM’ки. Помимо этого, у 88% в среде фантомные юзеры, а одна из семи компаний обходятся без мультифакторки на SaaS-решениях и облаках. Проще говоря, ИИ-модели оказались уязвимы у всех. Пристрастие к облегчению своей работы через услужливую LLM’ку есть, а понимания разрешений на них и поверхности атаки в целом — нет. Ещё не все бедолаги приучились двухфакторку на SaaS’ах подключать, а теперь уже и об ИИ-агентах в своих сетях нужно переживать. Помилуйте!
@tomhunter
❤4🔥2😁2👍1
#news Недавно был перехвачен DanaBot, теперь появились подробности операции. И какие! В коде С2-протокола малвари была уязвимость: исследователи назвали её DanaBleed. Импакт был соответствующий.
Более того, уязвимость появилась ещё в июне 2022-го, и за операторами следили на протяжение трёх лет. Тысячи ответов от С2, включая логины и IP операторов, данные о жертвах, домены и айпишники серверов, криптографические ключи… вплоть до changelog’ов вредоноса. В итоге всю инфраструктуру детально замапили и успешно разобрали. Плюс теперь сам факт раскрытия нанесёт разработчикам такой удар по репутации, что под старым именем вообще не стоит рисковать работать. У вас три года С2-серверы протекали, господа нехорошие. С аналогом HeartBleed в послужном списке далеко не уедешь даже в нетребовательном к содержимому резюме мире киберпреступности.
@tomhunter
Более того, уязвимость появилась ещё в июне 2022-го, и за операторами следили на протяжение трёх лет. Тысячи ответов от С2, включая логины и IP операторов, данные о жертвах, домены и айпишники серверов, криптографические ключи… вплоть до changelog’ов вредоноса. В итоге всю инфраструктуру детально замапили и успешно разобрали. Плюс теперь сам факт раскрытия нанесёт разработчикам такой удар по репутации, что под старым именем вообще не стоит рисковать работать. У вас три года С2-серверы протекали, господа нехорошие. С аналогом HeartBleed в послужном списке далеко не уедешь даже в нетребовательном к содержимому резюме мире киберпреступности.
@tomhunter
😁7👍2🔥2🤯1
#news Интерпол не отстаёт от коллег с их операцией Endgame и также нанёс удар по инфраструктуре инфостилеров в Юго-Восточной Азии. В ходе операции Secure перехвачены 41 сервер и больше 20 тысяч доменов, арестованы 32 человека во Вьетнаме и Шри-Ланке, включая лидера некой группировки.
Подробностей об арестованных и брендах малвари мало, вскользь упомянуты RisePro, META Stealer и Lumma. Так что последнему досталось второй раз с майской операции. У META также второй перехват инфраструктуры за короткий срок — в прошлый раз её разнесли в октябре. В общем, покой операторам только снится — время поднимать серверы заново. А кому-то и осваиваться во вьетнамских застенках.
@tomhunter
Подробностей об арестованных и брендах малвари мало, вскользь упомянуты RisePro, META Stealer и Lumma. Так что последнему досталось второй раз с майской операции. У META также второй перехват инфраструктуры за короткий срок — в прошлый раз её разнесли в октябре. В общем, покой операторам только снится — время поднимать серверы заново. А кому-то и осваиваться во вьетнамских застенках.
@tomhunter
🔥4👍3❤1🎉1