#news Хакерская группа Turla APT использовали новое вредоносное ПО, получившее название TinyTurla из-за его ограниченной функциональности и несложного стиля кодирования, также возможности использования в качестве скрытого дроппера вредоносных программ второго уровня. Бэкдор используется, как минимум, с 2020 года. Все это время он не попадал в поле зрения средств автоматического обнаружения уязвимостей. Как сообщают исследователи, TinyTurla был нацелен на инфраструктуру США, Германии и Афганистана.
@tomhunter
@tomhunter
#news Netgear устранил уязвимость удаленного выполнения кода (CVE-2021-40847) почти на десятке современных маршрутизаторов компании для малых и домашних офисов. Получив root-доступ, злоумышленник может полностью контролировать сетевой трафик, проходящий через скомпрометированный маршрутизатор, что позволяет считывать зашифрованные данные, которыми обмениваются с другими устройствами, в том числе в корпоративной сети жертвы. Чтобы загрузить и установить последнюю версию прошивки для вашего устройства Netgear - перейдите на сайт их технической поддержки.
@tomhunter
@tomhunter
#news Упс... Министерство финансов США объявило о первых в истории санкциях против криптовалютной биржи (а никто не верил) SUEX за содействие операциям с выкупом для банд вымогателей и помощь им в уклонении от санкций. Как сообщил сегодня Chainalysis, с момента запуска в феврале 2018 года Suex получила более 481 миллиона долларов только в биткойнах, включая средства, полученные от киберпреступников: почти 13 миллионов долларов от операторов программ-вымогателей, включая Ryuk, Conti, Maze; более 24 миллионов долларов от операторов мошенничества с криптовалютой, включая мошенников, стоящих за Finiko; более 20 миллионов долларов на рынках даркнета (Hydra).
@tomhunter
@tomhunter
#OSINT #Crypto Сегодня поразбираем с вами ресурсы, которые я применяю при проведении OSINT-исследований, связанных с анализом криптовалютных транзакций.
├BTC-ETH-XRP-BCH-LTC-XLM-DASH-ZEC-XMR-TON (Blockchain)
├Google Dorks (Change Wallet)
├blockchair (Explorer) + Chrome
├breadcrumbs (Visualization) + Chrome
├shard (Visualization)
├blockpath (Visualization)
├oxt (Visualization)
├graphsense (Visualization)
├ethtective (Visualization ETH)
├walletexplorer (Grouping)
├bitinfocharts (Grouping)
├bitcoinabuse (Abuse)
├bitcoinwhoswho (Abuse)
├checkbitcoinaddress (Abuse)
├scamalert (Abuse)
├cryptscam (Abuse)
├ransomwhe (Abuse)
├badbitcoin (Abuse)
├bitcoinais (Abuse)
├cryptoblacklist (Abuse)
├bitrankverified (Scoring)
├vivigle (Scoring)
├antinalysis (Scoring TOR)
├cryptocurrencyalerting (Monitoring)
├cryptotxalert (Monitoring)
├kycp (Block Analysis)
├blockstream (Block Analysis)
├fragment (TON market)
└btcrecover (Wallet Brute)
@tomhunter
├BTC-ETH-XRP-BCH-LTC-XLM-DASH-ZEC-XMR-TON (Blockchain)
├Google Dorks (Change Wallet)
├blockchair (Explorer) + Chrome
├breadcrumbs (Visualization) + Chrome
├shard (Visualization)
├blockpath (Visualization)
├oxt (Visualization)
├graphsense (Visualization)
├ethtective (Visualization ETH)
├walletexplorer (Grouping)
├bitinfocharts (Grouping)
├bitcoinabuse (Abuse)
├bitcoinwhoswho (Abuse)
├checkbitcoinaddress (Abuse)
├scamalert (Abuse)
├cryptscam (Abuse)
├ransomwhe (Abuse)
├badbitcoin (Abuse)
├bitcoinais (Abuse)
├cryptoblacklist (Abuse)
├bitrankverified (Scoring)
├vivigle (Scoring)
├antinalysis (Scoring TOR)
├cryptocurrencyalerting (Monitoring)
├cryptotxalert (Monitoring)
├kycp (Block Analysis)
├blockstream (Block Analysis)
├fragment (TON market)
└btcrecover (Wallet Brute)
@tomhunter
🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
#news Раскрыта новая 0day уязвимость в MacOS Finder от Apple, которая позволяет запускать произвольные команды на компьютерах Mac с любой версией macOS до Big Sur. В macOS файлы местоположений в Интернете с расширениями .inetloc представляют собой общесистемные закладки, которые можно использовать для открытия сетевых ресурсов (news: //, ftp: //, afp: //) или локальных файлов (file: //). Уязвимость в macOS Finder позволяет файлам с расширением inetloc выполнять произвольные команды. Эти файлы могут быть встроены в электронные письма, которые, если пользователь нажимает на них, будут выполнять команды, встроенные в них, без предоставления пользователю подсказки или предупреждения. Остается добавить, что файл .inetloc с кодом PoC не обнаружился при проверке на VirusTotal.
@tomhunter
@tomhunter
#news Доля финансовых организаций в фишинговых атаках по всему миру в августе увеличилась на 15,3%. При этом, в подавляющем большинстве случаев злоумышленники, нацеленные на финансовые учреждения, пользуются бесплатными инструментами для создания фишинговых сайтов. В 80,6% они пользуются бесплатным хостингом. Из этого можно сделать вывод о том, что злоумышленники, злоупотребляющие услугами бесплатного хостинга, в большей степени полагаются на объем и скорость для сбора учетных данных, чем на надежность и длительность "жизни" домена.
@tomhunter
@tomhunter
12:00 | 22/09/2021
Вся ИТ-индустрия движется к сервисной модели, и сегмент ИБ - не исключение. Как службе ИБ начать предоставлять свои услуги внутри компании как сервис и каковы перспективы аутсорсинга в ИБ? Присоединяйтесь к живому эфиру, чтобы иметь возможность задать вопросы экспертам, среди которых оказался и специалист компании T.Hunter Владимир Макаров.
♾ https://events.webinar.ru/18342227/7818625
Вся ИТ-индустрия движется к сервисной модели, и сегмент ИБ - не исключение. Как службе ИБ начать предоставлять свои услуги внутри компании как сервис и каковы перспективы аутсорсинга в ИБ? Присоединяйтесь к живому эфиру, чтобы иметь возможность задать вопросы экспертам, среди которых оказался и специалист компании T.Hunter Владимир Макаров.
♾ https://events.webinar.ru/18342227/7818625
#news Неизвестные хакеры взломали DeFi-платформу Vee.Finance и украли крипты на $35 миллионов. Всего утащили 8804.7 ETH на $26 миллионов и 213.93 BTC на $9 миллионов. Это уже вторая такая атака за этот месяц на Avalanche, которой и принадлежит Vee.Finance: парой недель ранее с другой платформы их экосистемы украли $3.2 миллиона крипты.
Теперь платформа пытается достучаться до хакера и предложить ему мировую — говорят, что готовы заплатить за найденный баг, если тот с ними свяжется. Может, надеются повторить опыт Poly Network, у которой некий хакер в начале августа украл рекордные $600 миллионов, а затем начал постепенно возвращать.
@tomhunter
Теперь платформа пытается достучаться до хакера и предложить ему мировую — говорят, что готовы заплатить за найденный баг, если тот с ними свяжется. Может, надеются повторить опыт Poly Network, у которой некий хакер в начале августа украл рекордные $600 миллионов, а затем начал постепенно возвращать.
@tomhunter
#news Несколько дней назад в результате разногласий по поводу справедливости распределения преступных доходов от программ-вымогателей в киберпреступном сообществе Conti одно из филиалов группы опубликовало около 60 файлов, содержащих руководства и ресурсы для операторов программ-вымогателей Conti.
Программа-вымогатель Conti активна с лета этого года, а недавно она даже запустила собственный сайт утечки данных Conti.News. На этом сайте перечислены двадцать шесть жертв, некоторые из которых являются крупными и известными компаниями.
@tomhunter
Программа-вымогатель Conti активна с лета этого года, а недавно она даже запустила собственный сайт утечки данных Conti.News. На этом сайте перечислены двадцать шесть жертв, некоторые из которых являются крупными и известными компаниями.
@tomhunter
#OSINT #Site Давайте разберем сегодня еще тему источников информации для OSINT-исследований вебсайтов. Чаще всего, меня интересует тут возможность идентификации лиц, стоящих за сайтами или анализ их технологий:
├hostingchecker (Hosting)
├domaintools (Whois)
├whoisxmlapi (Whois History)
├whoishistory (Whois History)
├domainbigdata (Find Contacts)
├phonebook (Find Contacts)
├hunter (Find Contacts)
├mailshunt (Find Contacts)
├blacklight (User Trackers)
├intelx (User Trackers)
├spyonweb (User Trackers)
├archive (Archive Page)
├virustotal (Virus Check)
├dnsdumpster (DNS Recon)
├sitetechnologies (CMS Check)
├2ip (CMS Check)
├CrimeFlare + UI (IP behind CloudFlare)
├urlscan (Framework)
├osint (Framework)
├pulsedive (Framework)
├investigator (Framework)
├spyse (Framework)
├robtex (Framework)
└spiderfoot (Best Framework)
З.Ы. Источники и приемы для работы с рекламными идентификаторами на исследуемом сайте.
@tomhunter
├hostingchecker (Hosting)
├domaintools (Whois)
├whoisxmlapi (Whois History)
├whoishistory (Whois History)
├domainbigdata (Find Contacts)
├phonebook (Find Contacts)
├hunter (Find Contacts)
├mailshunt (Find Contacts)
├blacklight (User Trackers)
├intelx (User Trackers)
├spyonweb (User Trackers)
├archive (Archive Page)
├virustotal (Virus Check)
├dnsdumpster (DNS Recon)
├sitetechnologies (CMS Check)
├2ip (CMS Check)
├CrimeFlare + UI (IP behind CloudFlare)
├urlscan (Framework)
├osint (Framework)
├pulsedive (Framework)
├investigator (Framework)
├spyse (Framework)
├robtex (Framework)
└spiderfoot (Best Framework)
З.Ы. Источники и приемы для работы с рекламными идентификаторами на исследуемом сайте.
@tomhunter
#news Ой! Теневой форум и маркетплейс RaidForums засветил информацию о "сотрудниках". Некоторые частные страницы их приватного раздела "Staff General" 20 сентября были проиндексированы Google. Темы, которые можно было увидеть в разделе, включали в себя обсуждения запретов, место для размещения чата с персоналом и другие "хозяйственные" вопросы.
@tomhunter
@tomhunter
T.Hunter
#news Несколько дней назад в результате разногласий по поводу справедливости распределения преступных доходов от программ-вымогателей в киберпреступном сообществе Conti одно из филиалов группы опубликовало около 60 файлов, содержащих руководства и ресурсы…
#news Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) зафиксировали рост использования вымогателей Conti в более чем 400 атаках на американские и международные организации... Они бы лучше вовремя декрипторы публиковали.
@tomhunter
@tomhunter
#news Министерство обороны Литвы изучило три популярных китайских смартфона: в двух из них обнаружились скрытые механизмы цензуры и проблемы с конфиденциальностью.
В Xiaomi Mi 10T нашли скрытый модуль цензуры, который искал и цензурировал 449 фраз и выражений вроде «Да здравствует независимость Тайваня» и «Голос Америки». На территории ЕС модуль отключен, но компания может активировать его в любой момент, не уведомляя пользователя.
Кроме того, смартфоны Xiaomi отправляют на сервера компании некие скрытые зашифрованные смски всякий раз, как владелец устройства взаимодействует с Xiaomi Cloud. Что в этих сообщениях, исследователи так и не выяснили: они, однако ж, скрыты и зашифрованы. Ещё Mi Browser собирает более 60 параметров различных данных о пользователе устройства, а результат передаёт на китайские сервера и в Google Analytics.
Такое себе.
@tomhunter
В Xiaomi Mi 10T нашли скрытый модуль цензуры, который искал и цензурировал 449 фраз и выражений вроде «Да здравствует независимость Тайваня» и «Голос Америки». На территории ЕС модуль отключен, но компания может активировать его в любой момент, не уведомляя пользователя.
Кроме того, смартфоны Xiaomi отправляют на сервера компании некие скрытые зашифрованные смски всякий раз, как владелец устройства взаимодействует с Xiaomi Cloud. Что в этих сообщениях, исследователи так и не выяснили: они, однако ж, скрыты и зашифрованы. Ещё Mi Browser собирает более 60 параметров различных данных о пользователе устройства, а результат передаёт на китайские сервера и в Google Analytics.
Такое себе.
@tomhunter
#news Киберпреступники вовсю нацеливаются на те сервера VMware vCenter, на которых не была исправлена уязвимость CVE-2021-22005. По данным поисковой системы Shodan, прямо сейчас тысячи потенциально уязвимых серверов vCenter доступны через Интернет и подвержены атакам. VMware опубликовала подробный FAQ относительно выявленной уязвимости.
@tomhunter
@tomhunter
#OSINT #Telegram Сегодня разбираю с вами знаковую тему проведения OSINT-исследований в мессенджере Telegram:
├@userinfobot (Find ID)
├@CheckID_AIDbot (Find ID)
├@username_to_id_bot (Find ID)
├checker (Checker)
├t.me/+79000000000 (Checker)
├@TgAnalyst_bot (Find Phone)
├eyeofgod (Find Phone)
├@anonimov_bot (Find Phone)
├@maigret_osint_bot (Find Nickname)
├whatsmyname (Find Nickname)
├mail (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├@telesint_bot (Find Chats)
├@tgscanrobot (Find Chats)
├TelegramScraper (Chats Parser)
├TeleParser (Chats Parser)
├TG-Parser (Chats Parser)
├tg-archive (Chat Export)
├commentgram (Find Messages)
├telegago (Find Messages)
├@locatortlrm_bot (Check Location)
├telegram-nearby (Check Location)
├@FindStickerCreatorBot (Sticker Author)
├canarytokens (Check IP)
└iplogger (Check IP)
P.S. Инструкция по исследованию Telegram-каналов. Установление привязанного телефона при помощи ботов. Сервис для создания ботов-ловушек Dnnme2.
@tomhunter
├@userinfobot (Find ID)
├@CheckID_AIDbot (Find ID)
├@username_to_id_bot (Find ID)
├checker (Checker)
├t.me/+79000000000 (Checker)
├@TgAnalyst_bot (Find Phone)
├eyeofgod (Find Phone)
├@anonimov_bot (Find Phone)
├@maigret_osint_bot (Find Nickname)
├whatsmyname (Find Nickname)
├mail (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├@telesint_bot (Find Chats)
├@tgscanrobot (Find Chats)
├TelegramScraper (Chats Parser)
├TeleParser (Chats Parser)
├TG-Parser (Chats Parser)
├tg-archive (Chat Export)
├commentgram (Find Messages)
├telegago (Find Messages)
├@locatortlrm_bot (Check Location)
├telegram-nearby (Check Location)
├@FindStickerCreatorBot (Sticker Author)
├canarytokens (Check IP)
└iplogger (Check IP)
P.S. Инструкция по исследованию Telegram-каналов. Установление привязанного телефона при помощи ботов. Сервис для создания ботов-ловушек Dnnme2.
@tomhunter
❤9😱2🔥1🤬1💩1
#news Компания Mozilla, разработчик браузера Firefox, раскритиковала браузер Chrome 94, выпущенный Google 21 сентября 2021 г. Mozilla назвала шпионской функцию Idle Detection API, которая используется в Chrome 94 для обнаружения бездействия или простоя браузера. Она позволяет веб-сайтам «просить» Chrome уведомлять их, когда пользователь начинает бездействовать.
Для отключения Idle Detection API необходимо запустить Chrome, предварительно обновленный до версии 94, и перейти по адресу «chrome://settings/content/idleDetection» без кавычек, где деактивировать функцию.
@tomhunter
Для отключения Idle Detection API необходимо запустить Chrome, предварительно обновленный до версии 94, и перейти по адресу «chrome://settings/content/idleDetection» без кавычек, где деактивировать функцию.
@tomhunter
#news REVil добавила бэкдор к своему вымогателю... Киберпреступники дотумкали, что операторы их программ-вымогателей, вполне могут заниматься сбором средств самостоятельно, игнорируя отстюжку в коллектив. Все, как в 90-е - "как представляться - так все тамбовские, а как занести в общак - то у всех свой коллектив". Впрочем, бэкдор дает и REVil возможность перехватывать работу у своих партнеров, оставляя их без выкупа. Практически песня - "о жадинах, хвастунах и дураках".
@tomhunter
@tomhunter
T.Hunter
Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров прокомментировал Российской Газете новость о том, что Apple выпустила очередное обновление iOS, которое должно защитить пользователей от слежки при помощи программы Pegasus…
#news☝️😉 Apple выпустила очередное обновления безопасности, чтобы исправить еще три уязвимости нулевого дня (как-то слишком для супер-защищенного смартфона), которые использовала шпионская программа Pegasus. Скрупулёзно подсчитав, я понял, что за два месяца компания исправила 6 ошибок. Много это или мало, пока непонятно. Также непонятно то, сколько еще уязвимостей продолжает эксплуатировать Pegasus.
Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания (как и раньше) не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
Зато Apple додумалась выдумать сказку о разработке ей инструмента для удаленной диагностики психического здоровья пользователей. А значит - ещё больше личных данных вскоре попадет к рекламодателям. Занавес...
@tomhunter
Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания (как и раньше) не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
Зато Apple додумалась выдумать сказку о разработке ей инструмента для удаленной диагностики психического здоровья пользователей. А значит - ещё больше личных данных вскоре попадет к рекламодателям. Занавес...
@tomhunter
#news Microsoft опубликовала расследование крупной Phishing-as-a-service платформы BulletProofLink. Клиентам доступны «фишинг-киты» с готовыми шаблонами фишинговых писем и сайтов. Кроме того, они могут оплатить подписку и получить хостинг, рассылку фишинговых писем и прочие услуги. Клиенту в таком случае и делать ничего не надо, только заплатить. Фишинговые атаки BulletProofLink строятся на взломанных сайтах и генерации сотен тысяч уникальных поддоменов. В одной кампании исследователи насчитали использование 300 тысяч за раз.
Забавный бонус: собранные для клиентов данные BulletProofLink потом сама продаёт в даркнете. Что ж, бизнес бизнесом, а денежка лишней не бывает.
@tomhunter
Забавный бонус: собранные для клиентов данные BulletProofLink потом сама продаёт в даркнете. Что ж, бизнес бизнесом, а денежка лишней не бывает.
@tomhunter
#news Находчивые хакеры рассылают американцам и канадцам смски про ковид: рассказывают про «новые регуляции» в их регионе или приглашают получить ту или иную компоненту вакцины, прикладывая ссылку. По ссылке пользователю советуют обновить флеш-плеер и заботливо делятся соответствующим приложением. Там, конечно, троян, названный TangleBot, который запросит разрешения на всё на свете. В основном он нацелен на хищение персональных данных и создание фишинговых оверлеев в банковских приложениях.
@tomhunter
@tomhunter
#OSINT #Email Всем удачной тяпницы. Сегодня поговорим с вами об отслеживании электронных почтовых отправлений. Т.е. о возможности примерно сказать где находится отправитель или получатель электронного письма:
├analyzeheader (Header)
├mailheader (Header)
├emailheaders (Header)
├traceemail (Header)
├emailheader (Header)
├azurewebsites (Header)
├suip (Header)
├domaintools (WHOIS)
├emailtracker (Tracking)
├emailtrackerpro (Tracking)
├getnotify (Tracking)
├readnotify (Tracking)
├didtheyreadit (Tracking)
├mailtracking (Tracking)
├canarytokens (Logging)
├grabify (Logging)
├iplogger (Logging)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для мобильных телефонов.
@tomhunter
├analyzeheader (Header)
├mailheader (Header)
├emailheaders (Header)
├traceemail (Header)
├emailheader (Header)
├azurewebsites (Header)
├suip (Header)
├domaintools (WHOIS)
├emailtracker (Tracking)
├emailtrackerpro (Tracking)
├getnotify (Tracking)
├readnotify (Tracking)
├didtheyreadit (Tracking)
├mailtracking (Tracking)
├canarytokens (Logging)
├grabify (Logging)
├iplogger (Logging)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для мобильных телефонов.
@tomhunter