#news В репозитории npm нашли пару свежих вредоносных пакетов под видом инструментов для блокчейна Solana. Внутри инфостилеры под крипту. Всё вроде стандартно, но есть сюжетный поворот: С2-на штатовских айпишниках, а среди предполагаемых жертв — российские разработчики.
Операция в целом не особо впечатляющая: инфостилер простенький, нагрузку писали с помощью ИИ-модели, и C2 с открытыми логами — заходите, кто хотите. Но с хостингом в США и жертвами в России пошли спекуляции, что это апэтэшечка, а у некоторых фантазия совсем разгулялась — рансомварщиков ловят. Собранные на коленке кибероперации в стиле BlackOps с экспроприацией экспроприированного неуловимыми русскими хакерами — это, конечно, захватывающий сюжет для эпизода сериала аля Mr. Robot. Но в реальности, увы, всё обычно гораздо скучнее.
@tomhunter
Операция в целом не особо впечатляющая: инфостилер простенький, нагрузку писали с помощью ИИ-модели, и C2 с открытыми логами — заходите, кто хотите. Но с хостингом в США и жертвами в России пошли спекуляции, что это апэтэшечка, а у некоторых фантазия совсем разгулялась — рансомварщиков ловят. Собранные на коленке кибероперации в стиле BlackOps с экспроприацией экспроприированного неуловимыми русскими хакерами — это, конечно, захватывающий сюжет для эпизода сериала аля Mr. Robot. Но в реальности, увы, всё обычно гораздо скучнее.
@tomhunter
😁9💯3❤1🔥1
#news К реальным перехватам рансомварь-средств: Минюст США заявил об изъятии $2,8 миллионов в крипте с кошельков, связанных с рансьмварью Zeppelin, и её оператором, неким Янисом Антропенко. Бонусом изъяты 70к долларов наличных и премиальный авто.
Кейс интересен тем, что Zeppelin давно свернулась: операция неактивна с конца 2022-го, исходники ушли с молотка. Даже миксера, через который прогоняли крипту, давно нет — ChipMixer был перехвачен в 2023-м. Zeppelin в целом была не особо примечательной, но здесь дело не бренде, главное — чтобы дошёл смысл послания. Отсидеться с отдыхающей на кошельках криптой не получится — и блокчейн всё помнит, и вооружённый LLM’кой и архивами бюро интерн горит желанием откопать что-нибудь этакое, пока весь энтузиазм не повыветрился от столкновения с реалиями на киберпреступной земле. Впрочем, с учётом активов в Штатах Антропенко явно был из тех, кто любит риск. На том и погорел.
@tomhunter
Кейс интересен тем, что Zeppelin давно свернулась: операция неактивна с конца 2022-го, исходники ушли с молотка. Даже миксера, через который прогоняли крипту, давно нет — ChipMixer был перехвачен в 2023-м. Zeppelin в целом была не особо примечательной, но здесь дело не бренде, главное — чтобы дошёл смысл послания. Отсидеться с отдыхающей на кошельках криптой не получится — и блокчейн всё помнит, и вооружённый LLM’кой и архивами бюро интерн горит желанием откопать что-нибудь этакое, пока весь энтузиазм не повыветрился от столкновения с реалиями на киберпреступной земле. Впрочем, с учётом активов в Штатах Антропенко явно был из тех, кто любит риск. На том и погорел.
@tomhunter
👍8😁4🔥2
#news Хроники борьбы с интернетом в Европе: в Германии снова дали ход делу медиа-гиганта Axel Springer против Eyeo — разработчика Adblock Plus. Mozilla нагнетает, что итогом дела может стать запрет адблокеров. Сначала в Германии, а там как пойдёт.
Корпорация (уже десятилетие) жалуется, что адблокеры мешают получать ей прибыль с рекламы, и, главное... нарушают авторские права. HTML/CSS сайта защищены святым копирайтом, адблокеры же вмешиваются в их работу и незаконно модифицируют. Прежде суд этот полёт корпоративной мысли отклонил, но теперь дело переоткрыл федеральный верховный. Результатом решения в пользу Axel Springer может стать запрет как самих блокировщиков, так и ограничение работы кучи других расширений. В общем, бедные угнетённые корпорации и альтернативно теходарённые в высоких кабинетах соревнуются за право активно делать этот наш интернет хуже. К началу тридцатых останется только поминать окончательно утраченную сетевую вольницу добрым словом.
@tomhunter
Корпорация (уже десятилетие) жалуется, что адблокеры мешают получать ей прибыль с рекламы, и, главное... нарушают авторские права. HTML/CSS сайта защищены святым копирайтом, адблокеры же вмешиваются в их работу и незаконно модифицируют. Прежде суд этот полёт корпоративной мысли отклонил, но теперь дело переоткрыл федеральный верховный. Результатом решения в пользу Axel Springer может стать запрет как самих блокировщиков, так и ограничение работы кучи других расширений. В общем, бедные угнетённые корпорации и альтернативно теходарённые в высоких кабинетах соревнуются за право активно делать этот наш интернет хуже. К началу тридцатых останется только поминать окончательно утраченную сетевую вольницу добрым словом.
@tomhunter
🤬15💯5😁3🤝2😢1🤡1
#news Исследователь обнаружил сотни незащищённых инстансов TeslaMate — опенсорсного софта для мониторинга авто. GPS-данные, координаты машин, адреса, история поездок и прочее конфиденциальное. Всё это в открытом доступе.
TeslaMate стучит по API Tesla и собирает все эти данные. Дашборды Grafana на порту 3000, веб-интерфейс на порту 4000, страница настроек — все эндпоинты открытые, максимум есть дефолтные данные доступа на Grafana. Соответственно, всё это удовольствие нашлось банальным сканом порта 4000. Разработчик проблему признал, обещает исправить, но потом. Ждать от юзеров, что они будет убирать своих теслодружков за прокси, файерволы и прочее на нердовом, тоже не стоит. Так что можно полюбоваться на карту уязвимых инстансов. В Китае и Южной Корее их число зашкаливает. Нашлись несколько и в России, например, Тесла по имени Бэйба с “Острова Мечты” в Москве. Романтика.
@tomhunter
TeslaMate стучит по API Tesla и собирает все эти данные. Дашборды Grafana на порту 3000, веб-интерфейс на порту 4000, страница настроек — все эндпоинты открытые, максимум есть дефолтные данные доступа на Grafana. Соответственно, всё это удовольствие нашлось банальным сканом порта 4000. Разработчик проблему признал, обещает исправить, но потом. Ждать от юзеров, что они будет убирать своих теслодружков за прокси, файерволы и прочее на нердовом, тоже не стоит. Так что можно полюбоваться на карту уязвимых инстансов. В Китае и Южной Корее их число зашкаливает. Нашлись несколько и в России, например, Тесла по имени Бэйба с “Острова Мечты” в Москве. Романтика.
@tomhunter
😁9🔥6👍4❤2🤡1
#news На PyPi добавили проверку истёкших почтовых доменов. Репозиторий будет проверять домены через Fastly Status API каждые 30 дней и отзывать доступ к пакетам с истёкших почтовых ящиков.
Всё это, как водится, для борьбы с атаками на цепочку поставок. В случае истёкшего домена злоумышленнику достаточно приобрести его, поднять почтовый сервер, запросить восстановление пароля к пакету, и готово — вы ослепительны. И можете публиковать троянизированные версии. Как было, скажем, с ctx в 2022-м. С июня PyPi отозвал доступ уже с ~1,800 почтовых ящиков. Разработчикам рекомендуют вешать на свои пакеты запасной ящик, желательно, на человеческом домене вроде Gmail, а не на кастомном, который крутится на серверах где-то в пещерах под Афганистаном. Ну и вопрос заброшенных пакетов нововведение решит. Разраб давно всё понял и живёт в глуши со швейцарским ножом в качестве самого продвинутого устройства в его арсенале. А вектор атаки-то вот он.
@tomhunter
Всё это, как водится, для борьбы с атаками на цепочку поставок. В случае истёкшего домена злоумышленнику достаточно приобрести его, поднять почтовый сервер, запросить восстановление пароля к пакету, и готово — вы ослепительны. И можете публиковать троянизированные версии. Как было, скажем, с ctx в 2022-м. С июня PyPi отозвал доступ уже с ~1,800 почтовых ящиков. Разработчикам рекомендуют вешать на свои пакеты запасной ящик, желательно, на человеческом домене вроде Gmail, а не на кастомном, который крутится на серверах где-то в пещерах под Афганистаном. Ну и вопрос заброшенных пакетов нововведение решит. Разраб давно всё понял и живёт в глуши со швейцарским ножом в качестве самого продвинутого устройства в его арсенале. А вектор атаки-то вот он.
@tomhunter
❤6🔥4😁4
#news Европол подключился к игре “Сдай кибепреуступного друга и получили бонус”. Под прицел попала рансомварь-группировка Qilin — награду предлагают за двух её админов. Вот только сумма подкачала. Дают 50к долларов.
Qilin — одна из самых одиозных группировок на текущий момент; в новости они залетают в основном с очередным взломом медучреждений. Двое ключевых операторов группировки обозначены под никами Haise и XORacle, награда предложена за информацию, которая позволит их идентифицировать и определить местонахождение. Но сумма, конечно, сомнительная. Европолу стоит поучиться у коллег из США с их золотым стандартом соблазнительных предложений — “до 10 миллионов долларов”. Судя по утёкшим чатикам Black Basta, даже круглая сумма со звёздочкой от штатовских бюро не каждого злоумышленника впечатляет. А уж скромные 50к большинство и просто за оскорбление сочтут.
@tomhunter
Qilin — одна из самых одиозных группировок на текущий момент; в новости они залетают в основном с очередным взломом медучреждений. Двое ключевых операторов группировки обозначены под никами Haise и XORacle, награда предложена за информацию, которая позволит их идентифицировать и определить местонахождение. Но сумма, конечно, сомнительная. Европолу стоит поучиться у коллег из США с их золотым стандартом соблазнительных предложений — “до 10 миллионов долларов”. Судя по утёкшим чатикам Black Basta, даже круглая сумма со звёздочкой от штатовских бюро не каждого злоумышленника впечатляет. А уж скромные 50к большинство и просто за оскорбление сочтут.
@tomhunter
😁7💯4❤1🔥1
#news В США задержали 22-летнего оператора DDoS-сервиса RapperBot. В документах дела занятные подробности того, как злоумышленник берёг свой бизнес от преследования: никаких атак по KrebsOnSecurity.
В RapperBot на пике были ~65 тысяч устройств, в марте с него дудосли eX-Твиттер, но в целом двое операторов держались в тени — атаки дольше минуты только для премиальных клиентов, и сайт Кребса под запретом. После атаки ботнета Aisuru по нему 20 мая на внушительные 6,3 терабит в секунду, держащие RapperBot обсуждали конкурентов в красочных выражениях. “Им теперь [бранное слово]”, “Кребс — это про месть”, “Никто не хочет, чтобы под них копал Кребс. Он не сдастся, пока тебя не [бранное слово] [бранное слово]”. Одним словом, Р — репутация. Прожить свою ИБ-жизнь надо так, чтобы маленькие киберпреступники пугали друг друга твоим именем.
@tomhunter
В RapperBot на пике были ~65 тысяч устройств, в марте с него дудосли eX-Твиттер, но в целом двое операторов держались в тени — атаки дольше минуты только для премиальных клиентов, и сайт Кребса под запретом. После атаки ботнета Aisuru по нему 20 мая на внушительные 6,3 терабит в секунду, держащие RapperBot обсуждали конкурентов в красочных выражениях. “Им теперь [бранное слово]”, “Кребс — это про месть”, “Никто не хочет, чтобы под них копал Кребс. Он не сдастся, пока тебя не [бранное слово] [бранное слово]”. Одним словом, Р — репутация. Прожить свою ИБ-жизнь надо так, чтобы маленькие киберпреступники пугали друг друга твоим именем.
@tomhunter
😁12❤2😱2
#news Сломать что-нибудь в системе свежим апдейтом — добрая традиция Microsoft, но на этот раз компания превзошла себя. Недавно выпущенные обновления Windows 11 24H2 KB5063878 и KB5062660, судя по всему, корраптят жёсткие диски.
Жёсткие отваливаются при записи крупных файлов (на десятки гигабайт). Заметивший проблему юзер пишет, что где-то на 50 GB записи сыпятся разделы, в худшем случае намертво. Проблема затронула SSD, особенно с контроллерами от Phison (это условно каждый пятый жёсткий), есть репорты и по HDD. Спекулируют, что проблема в утечке памяти в буфере ОС. Официальных комментариев пока нет, но Phison подтвердила, что работает с Microsoft над проблемой, так что это вжжж неспроста. Ну а пока счастливым пользователям Windows 11 рекомендуют не писать и не разархивировать крупные файлы. Для верности можно и вредоносные обновления откатить.
@tomhunter
Жёсткие отваливаются при записи крупных файлов (на десятки гигабайт). Заметивший проблему юзер пишет, что где-то на 50 GB записи сыпятся разделы, в худшем случае намертво. Проблема затронула SSD, особенно с контроллерами от Phison (это условно каждый пятый жёсткий), есть репорты и по HDD. Спекулируют, что проблема в утечке памяти в буфере ОС. Официальных комментариев пока нет, но Phison подтвердила, что работает с Microsoft над проблемой, так что это вжжж неспроста. Ну а пока счастливым пользователям Windows 11 рекомендуют не писать и не разархивировать крупные файлы. Для верности можно и вредоносные обновления откатить.
@tomhunter
🔥10🤯5🤝2👎1
#news Grok от xAI пополнил список ИИ-моделей, чьи чаты проиндексированы поисковиками. Около 370 тысяч чатов попали в выдачу и находятся в одном клике для всех желающих их наскрапить.
Принцип тот же, что и с прочими LLM’ками: юзеры делились чатами в личной переписке, и через созданные ссылки делали их открытыми для индексации. Некоторые глубоко шокированы. Особенно с оглядкой на то, что несколько недель назад, после того как ChatGPT залетел в новости с аналогичным инфоповодом, твиттерный кремниевый болванчик с апломбом заявил, что у Grok такой фичи нет, и вообще у них в приоритете приватность — читайте их политику. Вокруг заявления победный танец сплясал Маск, а теперь выясняется, что и фича есть, и индексация аналогичная. Вышло, конечно, неловко, но через неделю об этом уже всё равно никто не вспомнит, переключившись на свежую сенсацию дня. Так что чего переживать.
@tomhunter
Принцип тот же, что и с прочими LLM’ками: юзеры делились чатами в личной переписке, и через созданные ссылки делали их открытыми для индексации. Некоторые глубоко шокированы. Особенно с оглядкой на то, что несколько недель назад, после того как ChatGPT залетел в новости с аналогичным инфоповодом, твиттерный кремниевый болванчик с апломбом заявил, что у Grok такой фичи нет, и вообще у них в приоритете приватность — читайте их политику. Вокруг заявления победный танец сплясал Маск, а теперь выясняется, что и фича есть, и индексация аналогичная. Вышло, конечно, неловко, но через неделю об этом уже всё равно никто не вспомнит, переключившись на свежую сенсацию дня. Так что чего переживать.
@tomhunter
😁16👍3🔥1
#news Занятный поворот по вчерашним новостям о награде за Qilin от Европола. Выглядело это крайне подозрительно не просто так: в службе информацию опровергли — и наград они не предлагали, и аккаунты в Telegram не их.
Проще говоря, это фейк от коллег Qilin по бизнесу. Вопрос только в том, это просто psyop, чтобы напугать партнёров группировки на раздухарившейся в последние месяцы рансомварь-сцене, или реальная попытка получить информацию на операторов под видом Европола. В любом случае, опять же, нужно было не скупиться на сумму — если хочешь посеять панику среди конкурентов, такими скромными выплатами их не напугаешь. Да и не перекупишь. В общем, троллинг на троечку одним днём. С другой стороны, задумка-то отличная: если рансомварщики начнут активно деанонить друг друга и сдавать трёхбуквенным агентствам (привет, REvil!), я вижу это как абсолютный win-win.
@tomhunter
Проще говоря, это фейк от коллег Qilin по бизнесу. Вопрос только в том, это просто psyop, чтобы напугать партнёров группировки на раздухарившейся в последние месяцы рансомварь-сцене, или реальная попытка получить информацию на операторов под видом Европола. В любом случае, опять же, нужно было не скупиться на сумму — если хочешь посеять панику среди конкурентов, такими скромными выплатами их не напугаешь. Да и не перекупишь. В общем, троллинг на троечку одним днём. С другой стороны, задумка-то отличная: если рансомварщики начнут активно деанонить друг друга и сдавать трёхбуквенным агентствам (привет, REvil!), я вижу это как абсолютный win-win.
@tomhunter
🔥4😁3💯2
#news Браузерные плагины популярных менеджеров паролей оказались уязвимы к кликджекинг-атакам. А именно к эксплойту функциональности автозаполнения — юзер рискует в один клик не туда слить данные доступа злоумышленнику.
Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.
@tomhunter
Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.
@tomhunter
👍9🔥3🤝1
#article В нашей сегодняшней статье мы разберём, как собрать свой личный мини-SOC для мониторинга доменов. Для этого нам понадобятся Google Таблицы, несколько скриптов и никаких вложений.
Просроченный SSL, утечка данных партнера, внезапно оживший киберсквоттинг-домен — всё это реальные риски, которые можно выявить и предотвратить до атаки, используя OSINT и немного автоматизации. И создать инструмент для мониторинга безопасности доменов можно за 15 минут. За подробностями добро пожаловать на Хабр!
@tomhunter
Просроченный SSL, утечка данных партнера, внезапно оживший киберсквоттинг-домен — всё это реальные риски, которые можно выявить и предотвратить до атаки, используя OSINT и немного автоматизации. И создать инструмент для мониторинга безопасности доменов можно за 15 минут. За подробностями добро пожаловать на Хабр!
@tomhunter
👍8🔥4🤡2🤝2
#news Пятничные новости из нестареющей рубрики "Мстительные сотрудники". Разработчик из США получил 4 года заключения за кастомную малварь и kill switch в сетях бывшего работодателя.
Дэвис Лу работал в крупной корпорации в Огайо 12 лет, но попал под понижение и в итоге был уволен. К мести он подошёл изобретательно: после понижения он закинул на серверы вредонос на Java, который крашил их бесконечным циклом. А к увольнению подготовил скрипт, который заблокировал тысячи аккаунтов сотрудников, как только его аккаунт в Active Directory отключили. И назвал его “IsDLEnabledinAD”. По итогам Лу попался на банальных опсек-ошибках, но план-то был с огоньком. Я не боюсь разраба, который уволился из 12 компаний за год. Я боюсь разраба, которого уволили из одной компании спустя 12 лет.
@tomhunter
Дэвис Лу работал в крупной корпорации в Огайо 12 лет, но попал под понижение и в итоге был уволен. К мести он подошёл изобретательно: после понижения он закинул на серверы вредонос на Java, который крашил их бесконечным циклом. А к увольнению подготовил скрипт, который заблокировал тысячи аккаунтов сотрудников, как только его аккаунт в Active Directory отключили. И назвал его “IsDLEnabledinAD”. По итогам Лу попался на банальных опсек-ошибках, но план-то был с огоньком. Я не боюсь разраба, который уволился из 12 компаний за год. Я боюсь разраба, которого уволили из одной компании спустя 12 лет.
@tomhunter
😁17👍2🔥2
#news Хроники торжества ClickFix в сетевых дебрях. Через атаку распространяют новый вариант Atomic macOS Stealer. И вариации социнженерии интересные.
Один из вариантов — вредоносные репозитории на GitHub. Жертве предлагают закинуть команду в терминал для установки софта; вместо этого она подтягивает инфостилер. Не обошлось и без классики: вредоносная реклама от Google. Юзер гуглит решение распространённых проблем в духе очистки DNS-кэша или подключения принтера к любимому Маку. И получает инструкцию по установке малвари, проспонсированную Гуглом. Так что любимым коллегам можно отправить ссылку на адблокер, если в 2025-м есть живущие без него, и объяснить, что не нужно совать что попало в терминал.А нелюбимым выслать инструкцию со скрина.
@tomhunter
Один из вариантов — вредоносные репозитории на GitHub. Жертве предлагают закинуть команду в терминал для установки софта; вместо этого она подтягивает инфостилер. Не обошлось и без классики: вредоносная реклама от Google. Юзер гуглит решение распространённых проблем в духе очистки DNS-кэша или подключения принтера к любимому Маку. И получает инструкцию по установке малвари, проспонсированную Гуглом. Так что любимым коллегам можно отправить ссылку на адблокер, если в 2025-м есть живущие без него, и объяснить, что не нужно совать что попало в терминал.
@tomhunter
😁11❤2👍2🔥1
#news Классика оффенсив-инструментов из случайной гитхабной подворотни. Исследователи наткнулись на модуль на Go для брутфорса по SSH, который на первой же удачной паре отсылает айпишник и данные пользователя в Telegram оператору и сворачивается.
Модуль простенький: генерирует случайные IPv4-адреса, стучится по порту 22 и перебирает данные доступа по куцому root/admin словарю. Профиль на GitHub недоступен, а вот на pkg[.]go[.]dev пакет всё ещё лежит. С 2022-го. И токен от бота в Telegram всё ещё активен. Автор пакета — русскоязычный разработчик с набором схожих инструментов с аналогичной же функциональностью. Товарищ занимается просвещением самых маленьких безопасников, в общем. Кто качает краснокомандные утилиты и прочие смс-бомберы от анимешных девочек с Github, не проверяя код под лупой на изолированной от сети песочнице, того ждут много открытий чудных.
@tomhunter
Модуль простенький: генерирует случайные IPv4-адреса, стучится по порту 22 и перебирает данные доступа по куцому root/admin словарю. Профиль на GitHub недоступен, а вот на pkg[.]go[.]dev пакет всё ещё лежит. С 2022-го. И токен от бота в Telegram всё ещё активен. Автор пакета — русскоязычный разработчик с набором схожих инструментов с аналогичной же функциональностью. Товарищ занимается просвещением самых маленьких безопасников, в общем. Кто качает краснокомандные утилиты и прочие смс-бомберы от анимешных девочек с Github, не проверяя код под лупой на изолированной от сети песочнице, того ждут много открытий чудных.
@tomhunter
😁17👍2🤯1
#news Исследователи представили атаку на внедрение промптов в LLM’ки с помощью изображений. Она эксплойтит уменьшение разрешения моделями, чтобы скрывать инструкции на безобидных на первый взгляд картинках.
В зависимости от алгоритма даунскейлинга, изображение, которое в результате видит модель, может стать светлее. На скрине пример оригинала и результата уменьшения. Из митигаций рекомендуют порезать даунскейлинг как таковой, а лучше закрыть моделям чтение промптов с изображений по умолчанию. Бонусом доступна утилита для генерации вредоносных изображений — желающие могут [этично] потестировать любимые LLM’ки. Что для Кикиморы Морозовой (имя исследовательницы, между прочим) — способ удовлетворения своего запущенного аутизма, то для разработчиков моделей — головная боль по закрытию очередной гипотетической уязвимости. Подробнее об атаке здесь.
@tomhunter
В зависимости от алгоритма даунскейлинга, изображение, которое в результате видит модель, может стать светлее. На скрине пример оригинала и результата уменьшения. Из митигаций рекомендуют порезать даунскейлинг как таковой, а лучше закрыть моделям чтение промптов с изображений по умолчанию. Бонусом доступна утилита для генерации вредоносных изображений — желающие могут [этично] потестировать любимые LLM’ки. Что для Кикиморы Морозовой (имя исследовательницы, между прочим) — способ удовлетворения своего запущенного аутизма, то для разработчиков моделей — головная боль по закрытию очередной гипотетической уязвимости. Подробнее об атаке здесь.
@tomhunter
😁7❤2🔥2👍1
#news Новости из мира любительской спайвари, она же сталкерварь. В печально известном TheTruthSpy обнаружили критическую уязвимость, позволяющую сбросить пароль к любому аккаунту. И, соответственно, получить доступ к данным жертв слежки.
TheTruthSpy регулярно отмечается багами и утечками — разрабам полулегального софта для сомнительных целей не до аудитов и прочих развлечений от мира разработки. Свежую уязвимость разработчик признал, но исправлять не планирует. Почему? А исходники частично утрачены, ничего не поделаешь. Так что угон аккаунтов так и останется в этом поделии и его многочисленных форках. Включая под новым брендом PhoneParental, в который перекочевал забагованный код. Есть определённая доля иронии в дырявой спайвари. Впрочем, стимула заботиться о ИБ у создателей TheTruthSpy и аналогов нет — клиенты-то с тобой судиться не пойдут, так что чего переживать. Это тебе не Pegasus, где ставочки повыше будут.
@tomhunter
TheTruthSpy регулярно отмечается багами и утечками — разрабам полулегального софта для сомнительных целей не до аудитов и прочих развлечений от мира разработки. Свежую уязвимость разработчик признал, но исправлять не планирует. Почему? А исходники частично утрачены, ничего не поделаешь. Так что угон аккаунтов так и останется в этом поделии и его многочисленных форках. Включая под новым брендом PhoneParental, в который перекочевал забагованный код. Есть определённая доля иронии в дырявой спайвари. Впрочем, стимула заботиться о ИБ у создателей TheTruthSpy и аналогов нет — клиенты-то с тобой судиться не пойдут, так что чего переживать. Это тебе не Pegasus, где ставочки повыше будут.
@tomhunter
🔥3😁2👍1
#news ESET обнаружила первую запитанную от LLM’ки рансомварь. Образец использует модель, чтобы на ходу генерировать вредоносные Lua-скрипты из захардкоженных промптов.
Малварь получила название PromptLock, написана на Go и использует локальную модель gpt-oss-20b c доступом к ней через API Ollama для генерации скриптов на устройствах жертвы. Те в свою очередь работают по файловой системе, проверяют целевые файлы и шифруют их. В функциональности также задел под стягивание данных и вайпер, есть варианты под Windows, Linux и macOS. Пока это только проверка концепции, но что будет дальше — сами понимаете. Неизбежный расцвет автоматизированной кремниевым болванчиком рансомвари и переквалификация скрипт-кидди в промпт-кидди. Будущее, как водится, безжалостно.
@tomhunter
Малварь получила название PromptLock, написана на Go и использует локальную модель gpt-oss-20b c доступом к ней через API Ollama для генерации скриптов на устройствах жертвы. Те в свою очередь работают по файловой системе, проверяют целевые файлы и шифруют их. В функциональности также задел под стягивание данных и вайпер, есть варианты под Windows, Linux и macOS. Пока это только проверка концепции, но что будет дальше — сами понимаете. Неизбежный расцвет автоматизированной кремниевым болванчиком рансомвари и переквалификация скрипт-кидди в промпт-кидди. Будущее, как водится, безжалостно.
@tomhunter
🔥8🤬3😁2👍1😱1
#news Недавно на r/cybersecurity отметился юзер с интересным сетапом. Некая компания платила ему 250 баксов в месяц за подключение пары ноутбуков к своей сети. Огоньку добавило, что он был военным с доступом к сверхсекретным сведениям.
Компанией оказалась DSLRoot — один из старейших сервисов резидентных прокси от двух братьев из Беларуси. На этом пост можно заканчивать: кто знает, что такое белорусская айтишечка, тот знает. Исследователи в итоге насчитали 300 активных устройств компании в 20+ штатах в США — порядочные американцы годами хостят у себя сомнительные прокси c BlackHatWorld за мелкий прайс. Что может пойти не так? Между тем пойти может многое прямиком через их домашние сети. Ну а когда айпишники залетят в достаточное количество мошеннических логов, в качестве приза можно выбить дружеский визит из ФБР. Подробнее о владельцах DSLRoot в расследовании Кребса. Адварь, ботнеты через крякнутый софт, интересная репутация на BHW — всё в лучших традициях соседского айти.
@tomhunter
Компанией оказалась DSLRoot — один из старейших сервисов резидентных прокси от двух братьев из Беларуси. На этом пост можно заканчивать: кто знает, что такое белорусская айтишечка, тот знает. Исследователи в итоге насчитали 300 активных устройств компании в 20+ штатах в США — порядочные американцы годами хостят у себя сомнительные прокси c BlackHatWorld за мелкий прайс. Что может пойти не так? Между тем пойти может многое прямиком через их домашние сети. Ну а когда айпишники залетят в достаточное количество мошеннических логов, в качестве приза можно выбить дружеский визит из ФБР. Подробнее о владельцах DSLRoot в расследовании Кребса. Адварь, ботнеты через крякнутый софт, интересная репутация на BHW — всё в лучших традициях соседского айти.
@tomhunter
👍8😁6❤1
#news По системе сборки NX прошлась атака на цепочку поставок. Вредоносные пакеты опубликовали на npm 26 августа, в них был код под стягивание данных доступа от разных платформ.
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
👍4🔥3
#news Новости борьбы за свободу интернета, которые мы заслужили. 4chan и Kiwi Farms судятся с Великобританией из-за свежего закона о верификации возраста. Дело пошло в федеральный суд США.
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британскийобком офком активно наезжает на них за отсутствие верификации: так, 4chan’у выписывают штраф в 20 тысяч фунтов в день, фермам грозят тем же. А американские граждане, как известно, свои конституционные права не сдают. В общем, Форчонг с Кивифермами борются за приватность против британских госцензоров. Такой вот проклятый таймлайн.
@tomhunter
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британский
@tomhunter
😁8❤3👍1