#news Исследователи из Lumen Black Lotus Labs обнаружили Linux-бинарники с эксплойтами для Windows Subsystem for Linux.
Подход новаторский — о теоретической возможности грузить в систему пейлоады через WSL раньше рассуждали, но в бою это что-то новенькое. Да и этот вариант малвари пока только в разработке: используется он очень ограниченно. Самые первые версии были замечены в начале мая и раз в пару недель давали о себе знать всё лето. Судя по изученным образцам, разработчики старались сделать их максимально незаметными и сложными для обнаружения привычными средствами.
А ещё в одном из файлов исследователи нашли тестовый код, выдававший «Пивет Саня». Что ж, передаём п[р]ивет загадочному Сане.
@tomhunter
Подход новаторский — о теоретической возможности грузить в систему пейлоады через WSL раньше рассуждали, но в бою это что-то новенькое. Да и этот вариант малвари пока только в разработке: используется он очень ограниченно. Самые первые версии были замечены в начале мая и раз в пару недель давали о себе знать всё лето. Судя по изученным образцам, разработчики старались сделать их максимально незаметными и сложными для обнаружения привычными средствами.
А ещё в одном из файлов исследователи нашли тестовый код, выдававший «Пивет Саня». Что ж, передаём п[р]ивет загадочному Сане.
@tomhunter
#OSINT #Skype Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования (не путать со взломом!) пользовательского профиля в Skype:
├login (Restore Access)
├skypli (User Info)
├SkypeSearch (User Info)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├intelx (Google Dorks)
├dorksdb (Google Dorks)
├epieos (Check Phone/Email)
├cyberhubarchive (Find IP)
├webresolver (Find IP)
├vedbex (Find IP)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
├login (Restore Access)
├skypli (User Info)
├SkypeSearch (User Info)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├intelx (Google Dorks)
├dorksdb (Google Dorks)
├epieos (Check Phone/Email)
├cyberhubarchive (Find IP)
├webresolver (Find IP)
├vedbex (Find IP)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
#news Лавры Pegasus и NSO Group не дают покоя "следильщикам" по всему миру. На этой неделе отметились американцы, опубликовав один прелюбопытный приговор. Пакистанец Мухаммад Фахд подкупил нескольких сотрудников AT&T, которые предоставили ему возможность разблокировать телефоны, получать данные пользователей и загружать на устройства приложения удаленного контроля. Причем делал он это начиная с 2012 года. В итоге заговорщики незаконно разблокировали 1 900 033 сотовых телефона, что привело к убыткам для AT&T в размере 201 497 430,94 $ из-за потерянных платежей. А вы говорите, что в России - бардак!
@tomhunter
@tomhunter
#OSINT #Geolocation Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования данных геолокации.
├Jeffrey's (Metadata Viewer)
├pic2map (Metadata Viewer)
├exiftool (Metadata Viewer)
├mattw (YouTube)
├meedan (YouTube)
├skylens (Twitter, Youtube, Instagram, Flickr, VK и Weibu)
├vk (VK)
├photo-map (VK)
├snradar (VK)
├twitter (ex: geocode:13.08,80.27,100km)
├tigmint (Twitter)
├onemilliontweetmap (Twitter)
├birdhunt (Twitter)
├twimap (Twitter)
├geOSINT (Twitter, FourSquare, Flickr)
├geo-lens (Twitter, Facebook, Instagram)
├osintcombine (Instagram)
├explore (Instagram)
├instahunt (Instagram)
├instmap (Instagram)
├instaloctrack (Instagram)
├whopostedwhat (Facebook)
├snapchat (SnapChat)
├@locatortlrm_bot (Telegram)
├telegram-nearby (Telegram)
├geocreepy (Framework)
├@UniversalSearchRobot (Framework)
├quickgeolocationsearch (Maps Services)
└intelx (Maps Services)
@tomhunter
├Jeffrey's (Metadata Viewer)
├pic2map (Metadata Viewer)
├exiftool (Metadata Viewer)
├mattw (YouTube)
├meedan (YouTube)
├skylens (Twitter, Youtube, Instagram, Flickr, VK и Weibu)
├vk (VK)
├photo-map (VK)
├snradar (VK)
├twitter (ex: geocode:13.08,80.27,100km)
├tigmint (Twitter)
├onemilliontweetmap (Twitter)
├birdhunt (Twitter)
├twimap (Twitter)
├geOSINT (Twitter, FourSquare, Flickr)
├geo-lens (Twitter, Facebook, Instagram)
├osintcombine (Instagram)
├explore (Instagram)
├instahunt (Instagram)
├instmap (Instagram)
├instaloctrack (Instagram)
├whopostedwhat (Facebook)
├snapchat (SnapChat)
├@locatortlrm_bot (Telegram)
├telegram-nearby (Telegram)
├geocreepy (Framework)
├@UniversalSearchRobot (Framework)
├quickgeolocationsearch (Maps Services)
└intelx (Maps Services)
@tomhunter
❤1
#news Пока в мире безнаказанно буйствует да ДДоСит ботнет-рекордсмен Meris, суд Калифорнии признал виновным Мэтью Гатрела, администратора сервисов DownThem и Ampnode. Первый сервис предлагал своим клиентам DDoS на конкурентов по подписке, второй — пуленепробиваемый хостинг с серверами, на которых лежат готовые скрипты для DDoS-атак.
У DownThem было несколько вариантов подписки, предполагавших разные продолжительность и силу атаки. Сервисом на протяжении 10 лет воспользовалось около двух тысяч клиентов, которые в сумме заказали 200 тысяч ДДоСов. Цели самые разные, от школ и университетов до местных органов власти.
Помощник Гатрела, в отличие от него, уже признал себя виновным, ему грозит до 10 лет заключения. Сам Гатрел может получить до 35: приговор выясним в январе.
@tomhunter
У DownThem было несколько вариантов подписки, предполагавших разные продолжительность и силу атаки. Сервисом на протяжении 10 лет воспользовалось около двух тысяч клиентов, которые в сумме заказали 200 тысяч ДДоСов. Цели самые разные, от школ и университетов до местных органов власти.
Помощник Гатрела, в отличие от него, уже признал себя виновным, ему грозит до 10 лет заключения. Сам Гатрел может получить до 35: приговор выясним в январе.
@tomhunter
#news Почтовый сервер Республиканской ассоциации губернаторов (RGA) взломали хакеры. В результате использования четырех уязвимостей, известных как ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), содержащихся в локальных серверах Microsoft Exchange, злоумышленники получили доступ к электронной переписке RGA в период с февраля 2021 года по март 2021 года.
Ранее Microsoft обнаружила спонсируемую китайским государством хакерскую группу, Hafnium, которая использовала уязвимости ProxyLogon против американских организаций для кражи информации. Получая доступ к серверу Microsoft Exchange, Hafnium устанавливали веб-оболочку, которая позволяет им красть данные, загружать файлы и выполнять практически любую команду в скомпрометированной системе. Впрочем, не только китайцы атаковали США через уязвимости в Microsoft Exchange. Компания ESET обнаружила по меньшей мере десять APT-групп, атакующих уязвимые серверы Exchange.
@tomhunter
Ранее Microsoft обнаружила спонсируемую китайским государством хакерскую группу, Hafnium, которая использовала уязвимости ProxyLogon против американских организаций для кражи информации. Получая доступ к серверу Microsoft Exchange, Hafnium устанавливали веб-оболочку, которая позволяет им красть данные, загружать файлы и выполнять практически любую команду в скомпрометированной системе. Впрочем, не только китайцы атаковали США через уязвимости в Microsoft Exchange. Компания ESET обнаружила по меньшей мере десять APT-групп, атакующих уязвимые серверы Exchange.
@tomhunter
#news Личные данные регистрантов на виртуальные мероприятия, доступные через платформу EventBuilder, остаются доступными в общедоступном Интернете, открытыми для индексации различными механизмами. EventBuilder - это программное решение для создания виртуальных мероприятий (вебинары, обучение, онлайн-обучение, конференции) с использованием технологий Microsoft и интегрируется с расширением Microsoft Teams и Teams Live Events.
Публично раскрытая информация (более миллиона файлов CSV и JSON с личной информацией) включала полные имена, адреса электронной почты, названия компаний и должность регистранта, номера телефонов и отзывы на анкету. Данные были обнаружены с помощью поисковой системы Grayhat Warfare.
@tomhunter
Публично раскрытая информация (более миллиона файлов CSV и JSON с личной информацией) включала полные имена, адреса электронной почты, названия компаний и должность регистранта, номера телефонов и отзывы на анкету. Данные были обнаружены с помощью поисковой системы Grayhat Warfare.
@tomhunter
#news Киберпреступники вымогают деньги у компании VoIP.ms, которая занимается предоставлением недорогих услуг IP-телефонии. , угрожая ей массированной DDoS-атакой. Атаки на компанию начались 16 сентября. DDoS-атака нарушила работу телефонных служб, не позволив им принимать или совершать телефонные звонки. А 18 сентября некто с псевдонимом REvil взял на себя ответственность за атаку и опубликовал ссылку на записку с требованием выкупа в 100 Биткоинов или (4,3 млн. $).
Неужели хакерская группа REvil сменила профиль работы? Она известна своими атаками, использующими программы-вымогатели. Но она никогда не была связана с DDoS. Вымогательский метод этой атаки заставляет нас поверить в то, что злоумышленники просто выдают себя за вымогателя, чтобы еще больше запугать VoIP.ms.
@tomhunter
Неужели хакерская группа REvil сменила профиль работы? Она известна своими атаками, использующими программы-вымогатели. Но она никогда не была связана с DDoS. Вымогательский метод этой атаки заставляет нас поверить в то, что злоумышленники просто выдают себя за вымогателя, чтобы еще больше запугать VoIP.ms.
@tomhunter
#news Европол объявил о задержании сотни человек, связанных с итальянской мафией. Их обвиняют в различных киберпреступлениях, в том числе подмене SIM-карт и крупном фишинге. Действовали масштабно и по всей Европе: суммарно украли и отмыли более 10 миллионов евро.
За группировкой испанская и итальянская полиции наблюдали давно и отметили чёткую пирамидальную структуру: в самой верхушке мафиози, а к низам отмывальщики денег. Ещё в группировке были ответственные за фишинг, рекрутеры, отмывальщики денег в крипту и множество прочих персонажей самых разных классов.
106 задержанных, 16 домашних обысков, 118 замороженных банковских счетов, а ещё изъяты 224 банковские карты, множество электроники, марихуана с принадлежавшей группировке плантации и прочая, прочая, прочая.
@tomhunter
За группировкой испанская и итальянская полиции наблюдали давно и отметили чёткую пирамидальную структуру: в самой верхушке мафиози, а к низам отмывальщики денег. Ещё в группировке были ответственные за фишинг, рекрутеры, отмывальщики денег в крипту и множество прочих персонажей самых разных классов.
106 задержанных, 16 домашних обысков, 118 замороженных банковских счетов, а ещё изъяты 224 банковские карты, множество электроники, марихуана с принадлежавшей группировке плантации и прочая, прочая, прочая.
@tomhunter
#OSINT #VKontakte Сегодня я разберу основные источники данных, которые я применяю при проведении OSINT-исследований в соцсети ВКонтакте. Чаще всего, меня интересует возможность идентификации пользователей или наблюдения за ними:
├login (Restore Access)
├220vk (Framework)
├city4me (Framework)
├analyze24 (Framework)
├byratino (Framework)
├@FindNameVk_bot (Change Name)
├@InfoVkUser_bot (Friends Analysis)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├yasiv (Visualization)
├vkfeed (Mentioning)
├archive (Archive Page)
├@UniversalSearchRobot (Find Phone)
├barkov (Find Phone)
├isphere (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
├login (Restore Access)
├220vk (Framework)
├city4me (Framework)
├analyze24 (Framework)
├byratino (Framework)
├@FindNameVk_bot (Change Name)
├@InfoVkUser_bot (Friends Analysis)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├yasiv (Visualization)
├vkfeed (Mentioning)
├archive (Archive Page)
├@UniversalSearchRobot (Find Phone)
├barkov (Find Phone)
├isphere (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter
❤3🤯2
#news Крупные компаний все чаще принимают Security.txt - новый стандарт, позволяющий организациям описывать свои методы и предпочтения по раскрытию уязвимостей. Это позволяет внешним исследователям уязвимостей иметь возможность связаться с организацией, информационная безопасность которой оказалась под угрозой. Если коротко, то это визитка с контактами лиц, ответственных за ИБ внутри компании, которую могут найти белые хакеры. Возможностями данного решения уже воспользовались Alphabet, Amazon, Facebook, HCA Healthcare, Kroger, Procter & Gamble, USAA и Walmart.
@tomhunter
@tomhunter
#news Американский фермерский кооператив NEW Cooperative подвергся атаке программы-вымогателя BlackMatter, потребовавшей 5,9 миллиона долларов для предотвращения утечки украденных данных и предоставления дешифратора. Считается, что BlackMatter является ребрендингом вымогателя DarkSide, исчезнувшего после атаки на Colonial Pipeline. Исследователи подтверждают, что BlackMatter использует те же уникальные методы шифрования, что и DarkSide в своих атаках (включая специальную матрицу Salsa20, уникальную для DarkSide).
@tomhunter
@tomhunter
#news На выходных банда вымогателей BlackMatter обрушилась и на Marketron, поставщика программных решений для бизнеса, обслуживающего более 6000 клиентов в медиаиндустрии. В настоящее время все сервисы Marketron отключены. Руководство компании заявило, что не знает, как хакеры взломали сеть, поскольку они недавно вложили значительные средства в обеспечение кибербезопасности.
@tomhunter
@tomhunter
#news Ох и изворотлив народ хакерский... на днях стало известно, что киберпреступники взламывают серверы Windows IIS, чтобы добавить страницы с уведомлением об истекшем сертификате, предлагающие посетителям затем загрузить вредоносный поддельный установщик. Полезная нагрузка, сбрасываемая на зараженные системы, - это TVRAT (он же TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT), вредоносная программа, предназначенная для предоставления операторам полного удаленного доступа к зараженным узлам.
@tomhunter
@tomhunter
#news В 46% боевых баз данных есть уязвимости — у средней базы их 26, из которых половина очень серьёзная. К такому выводу пришло исследование Imperva, занявшее 5 лет и включившее 27000 баз данных.
Главная проблема ожидаема: софт никто не обновляет. Некоторые просканированные Imperva базы не обновлялись годами. Так и получается — вливают кучу денег в безопасность, а самое очевидное и базовое бесконечно откладывают. Занятно, что от региона к региону ситуация разнится: в средней французской базе 72 уязвимости, в средней американской — 25.
На таком фоне, пожалуй, не особо и удивительно, что я почти каждый день сюда возвращаюсь с очередными новостями о сливе очередной базы. Не забудь обновиться!
@tomhunter
Главная проблема ожидаема: софт никто не обновляет. Некоторые просканированные Imperva базы не обновлялись годами. Так и получается — вливают кучу денег в безопасность, а самое очевидное и базовое бесконечно откладывают. Занятно, что от региона к региону ситуация разнится: в средней французской базе 72 уязвимости, в средней американской — 25.
На таком фоне, пожалуй, не особо и удивительно, что я почти каждый день сюда возвращаюсь с очередными новостями о сливе очередной базы. Не забудь обновиться!
@tomhunter
#news Хакерская группа Turla APT использовали новое вредоносное ПО, получившее название TinyTurla из-за его ограниченной функциональности и несложного стиля кодирования, также возможности использования в качестве скрытого дроппера вредоносных программ второго уровня. Бэкдор используется, как минимум, с 2020 года. Все это время он не попадал в поле зрения средств автоматического обнаружения уязвимостей. Как сообщают исследователи, TinyTurla был нацелен на инфраструктуру США, Германии и Афганистана.
@tomhunter
@tomhunter
#news Netgear устранил уязвимость удаленного выполнения кода (CVE-2021-40847) почти на десятке современных маршрутизаторов компании для малых и домашних офисов. Получив root-доступ, злоумышленник может полностью контролировать сетевой трафик, проходящий через скомпрометированный маршрутизатор, что позволяет считывать зашифрованные данные, которыми обмениваются с другими устройствами, в том числе в корпоративной сети жертвы. Чтобы загрузить и установить последнюю версию прошивки для вашего устройства Netgear - перейдите на сайт их технической поддержки.
@tomhunter
@tomhunter
#news Упс... Министерство финансов США объявило о первых в истории санкциях против криптовалютной биржи (а никто не верил) SUEX за содействие операциям с выкупом для банд вымогателей и помощь им в уклонении от санкций. Как сообщил сегодня Chainalysis, с момента запуска в феврале 2018 года Suex получила более 481 миллиона долларов только в биткойнах, включая средства, полученные от киберпреступников: почти 13 миллионов долларов от операторов программ-вымогателей, включая Ryuk, Conti, Maze; более 24 миллионов долларов от операторов мошенничества с криптовалютой, включая мошенников, стоящих за Finiko; более 20 миллионов долларов на рынках даркнета (Hydra).
@tomhunter
@tomhunter
#OSINT #Crypto Сегодня поразбираем с вами ресурсы, которые я применяю при проведении OSINT-исследований, связанных с анализом криптовалютных транзакций.
├BTC-ETH-XRP-BCH-LTC-XLM-DASH-ZEC-XMR-TON (Blockchain)
├Google Dorks (Change Wallet)
├blockchair (Explorer) + Chrome
├breadcrumbs (Visualization) + Chrome
├shard (Visualization)
├blockpath (Visualization)
├oxt (Visualization)
├graphsense (Visualization)
├ethtective (Visualization ETH)
├walletexplorer (Grouping)
├bitinfocharts (Grouping)
├bitcoinabuse (Abuse)
├bitcoinwhoswho (Abuse)
├checkbitcoinaddress (Abuse)
├scamalert (Abuse)
├cryptscam (Abuse)
├ransomwhe (Abuse)
├badbitcoin (Abuse)
├bitcoinais (Abuse)
├cryptoblacklist (Abuse)
├bitrankverified (Scoring)
├vivigle (Scoring)
├antinalysis (Scoring TOR)
├cryptocurrencyalerting (Monitoring)
├cryptotxalert (Monitoring)
├kycp (Block Analysis)
├blockstream (Block Analysis)
├fragment (TON market)
└btcrecover (Wallet Brute)
@tomhunter
├BTC-ETH-XRP-BCH-LTC-XLM-DASH-ZEC-XMR-TON (Blockchain)
├Google Dorks (Change Wallet)
├blockchair (Explorer) + Chrome
├breadcrumbs (Visualization) + Chrome
├shard (Visualization)
├blockpath (Visualization)
├oxt (Visualization)
├graphsense (Visualization)
├ethtective (Visualization ETH)
├walletexplorer (Grouping)
├bitinfocharts (Grouping)
├bitcoinabuse (Abuse)
├bitcoinwhoswho (Abuse)
├checkbitcoinaddress (Abuse)
├scamalert (Abuse)
├cryptscam (Abuse)
├ransomwhe (Abuse)
├badbitcoin (Abuse)
├bitcoinais (Abuse)
├cryptoblacklist (Abuse)
├bitrankverified (Scoring)
├vivigle (Scoring)
├antinalysis (Scoring TOR)
├cryptocurrencyalerting (Monitoring)
├cryptotxalert (Monitoring)
├kycp (Block Analysis)
├blockstream (Block Analysis)
├fragment (TON market)
└btcrecover (Wallet Brute)
@tomhunter
🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
#news Раскрыта новая 0day уязвимость в MacOS Finder от Apple, которая позволяет запускать произвольные команды на компьютерах Mac с любой версией macOS до Big Sur. В macOS файлы местоположений в Интернете с расширениями .inetloc представляют собой общесистемные закладки, которые можно использовать для открытия сетевых ресурсов (news: //, ftp: //, afp: //) или локальных файлов (file: //). Уязвимость в macOS Finder позволяет файлам с расширением inetloc выполнять произвольные команды. Эти файлы могут быть встроены в электронные письма, которые, если пользователь нажимает на них, будут выполнять команды, встроенные в них, без предоставления пользователю подсказки или предупреждения. Остается добавить, что файл .inetloc с кодом PoC не обнаружился при проверке на VirusTotal.
@tomhunter
@tomhunter
#news Доля финансовых организаций в фишинговых атаках по всему миру в августе увеличилась на 15,3%. При этом, в подавляющем большинстве случаев злоумышленники, нацеленные на финансовые учреждения, пользуются бесплатными инструментами для создания фишинговых сайтов. В 80,6% они пользуются бесплатным хостингом. Из этого можно сделать вывод о том, что злоумышленники, злоупотребляющие услугами бесплатного хостинга, в большей степени полагаются на объем и скорость для сбора учетных данных, чем на надежность и длительность "жизни" домена.
@tomhunter
@tomhunter