#news Американцы любят рассказывать про локерские группировки "из России". А я расскажу о наиболее заметных программах-вымогателях, развернутых в этом году против российских целей (количество атак в месяц отражено в графике):
@tomhunter
BigBobRossК слову... российские компании могут предотвратить многие из этих угроз, просто заблокировав доступ по протоколу RDP, используя надежные пароли для учетных записей домена, которые регулярно меняются, и получая доступ к корпоративным сетям через VPN.
Crysis/Dharma
Phobos/Eking
Cryakl/CryLock
CryptConsole
Fonix/XINOF
Limbozar/VoidCrypt
Thanos/Hakbit
XMRLocker
@tomhunter
#OSINT #Security Разберу с вами совершенно отличную от предыдущих тему. Поговорим о бесплатных приложениях (не попавших в иные категории), которые точно стоит поставить на смартфон и компьютер корпоративному безопаснику:
├briar (Security Messenger)
├tinycammonitor (Cameras App)
├netanalyzer (Network Analyzer)
├haven (Snowden Security App)
├ripple (Panic Button)
├metal_detector (Metal Sniffer)
├sherloq (Image Forensic)
├videocleaner (Video Enhancer)
├smartdeblur (Video Enhancer)
├mobile_revelator (Smartphone Forensic)
├passware (Encryption Analyzer)
├bulk_extractor (Info Extractor)
├routerscan (Router Scanner)
├canary (IP Logger)
├exiftool (Photo Metadata)
├belkasoft (Capture RAM)
├networkminer (Network Forensic)
├lastactivityview (Windows Activity)
├usb_historian (Parse USB)
├faw (Forensic Webpages)
├foxtonforensics (Browser History)
├lazagne (Credentials Recovery)
├autopsy (Forensics Platform)
└ipvm (CCTV Calculator)
@tomhunter
├briar (Security Messenger)
├tinycammonitor (Cameras App)
├netanalyzer (Network Analyzer)
├haven (Snowden Security App)
├ripple (Panic Button)
├metal_detector (Metal Sniffer)
├sherloq (Image Forensic)
├videocleaner (Video Enhancer)
├smartdeblur (Video Enhancer)
├mobile_revelator (Smartphone Forensic)
├passware (Encryption Analyzer)
├bulk_extractor (Info Extractor)
├routerscan (Router Scanner)
├canary (IP Logger)
├exiftool (Photo Metadata)
├belkasoft (Capture RAM)
├networkminer (Network Forensic)
├lastactivityview (Windows Activity)
├usb_historian (Parse USB)
├faw (Forensic Webpages)
├foxtonforensics (Browser History)
├lazagne (Credentials Recovery)
├autopsy (Forensics Platform)
└ipvm (CCTV Calculator)
@tomhunter
#news Правитель Дубая, шейх Мохаммед бин Рашид Аль Мактум, воспользовался Пегасусом для взлома телефонов своей бывшей жены, у которой отвоёвывает общих детей. В том числе взломаны и её британские номера.
Когда это вскрылось в британском публичном поле, израильской NSO Group досталось в суде, поэтому в свою спайварь они быстренько захардкодили невозможность взлома британских номеров. Ну и поделом — удумали тоже, конечно, номера из метрополии ломать.
Получается, теперь Пегасус нельзя использовать против жертв из Израиля, США, Новой Зеландии, Канады, Австралии и Великобритании.
@tomhunter
Когда это вскрылось в британском публичном поле, израильской NSO Group досталось в суде, поэтому в свою спайварь они быстренько захардкодили невозможность взлома британских номеров. Ну и поделом — удумали тоже, конечно, номера из метрополии ломать.
Получается, теперь Пегасус нельзя использовать против жертв из Израиля, США, Новой Зеландии, Канады, Австралии и Великобритании.
@tomhunter
🔥5❤1
#news Лавры Пегасуса на дают покоя кибербезникам Индии. Так, шпионское ПО для Android оказалось связано с индийской компанией Innefu Labs, занимающейся кибербезопасностью, после того, как IP-адрес, принадлежащий компании, неоднократно использовался для распространения полезной нагрузки шпионского ПО. Однако фактическое развертывание может быть результатом работы «Donot Team» (APT-C-35), коллектива индийских хакеров, которые атакуют правительства в Юго-Восточной Азии как минимум с 2018 года. Атака нначиналась с незапрашиваемого сообщения в WhatsApp или на электронную почту, в котором предлагалось установить якобы защищенное приложение для чата под названием ChatLite. Сам ChatLite представляет собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и получать дополнительные вредоносные инструменты.
@tomhunter
@tomhunter
#OSINT #Monitoring Сегодня я расскажу о том, как наладить пассивный мониторинг юридического лица. Такой мониторинг проводят службы безопасности (хмм... проводят ли?), использующие методы OSINT в своей повседневной деятельности. Итак, регистрируй отдельную почту на gmail и поехали:
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
❤4👍1
#news Украинская полиция арестовала хакера, который контролировал ботнет из 100 000 устройств, который использовался для выполнения DDoS-атак от имени платных клиентов. Злоумышленник зарегистрировал аккаунт на Webmoney со своим реальным адресом, что и позволило украинской полиции узнать, где он живет.
@tomhunter
@tomhunter
#news Возвращаемся к нашему любимому производителю яблок. Apple выпустила экстренное обновление iOS 15.0.2 и iPadOS 15.0.2, чтобы исправить уязвимость нулевого дня CVE-2021-30883, которая активно используется в атаках на телефоны и iPad. Как мы и писали ранее, яблочники поставили на поток устранение уязвимостей, используемых Пегасусом и другими шпионскими программами.
@tomhunter
@tomhunter
#news GitHub отозвал SSH-ключи для авторизации, сгенерированные клиентом GitKraken.
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
#news Microsoft рассказала о крупнейшей зафиксированной DDoS-атаке в истории, случившейся в августе этого года.
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter
#news Вчера я писал про свежий патч к iOS, закрывающий уязвимость в IOMobileFrameBuffer. Главная угроза уязвимости — возможность исполнения произвольного кода с суперпользовательскими правами. Деталей Яблоко не опубликовало, как и всегда, чтобы не помогать хакерам.
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
#news Исследование, проведенное группой университетских исследователей в Великобритании, выявило множество проблем с конфиденциальностью, возникающих при использовании смартфонов Android.
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
12:00 | 13.10.2021
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
♾ https://codeib.ru/event/zashchita-ot-moshennichestva-2021-10-13-43/page/sreda-codeib-13-10-2021#news В GitHub Actions есть уязвимость, позволяющая вносить изменения в код без какого-либо ревью. Злоумышленнику достаточно взломать один аккаунт с write-правами в нужном репозитории, чтобы запушить в него любой код. Почему? Потому что любой человек с write-правами может редактировать ключи в воркфлоу-файле, а значит, может изменить права, которые даются по GITHUB_TOKEN.
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
#news В прошлом месяце криптобиржа Coinbase раскрыла, что злоумышленники украли криптовалюту у 6000 клиентов после обхода двухфакторной идентификации. Однако попытки взломать аккаунты клиентов биржи продолжаются до сих пор. Для того, чтобы провести атаку преступникам нужно знать адрес электронной почты, пароль и номер телефона клиента, связанные с их счетом Coinbase, а также иметь доступ к учетной записи электронной почты жертвы. Считается, что киберпреступники получают всю эту информацию в результате фишинговых атак. Например, при помощи домена coinbase.com.password-reset [.] com
@tomhunter
@tomhunter
#OSINT #Security Сегодня изучим общедоступные источники, которые можно применять для изучения контрагентов и оценки их благонадежности. Полезно для служб безопасности, да и юристам пригодится. Начинаем...
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
❤1
#news Появился новый штамм вымогателей Yanluowang ransomware, который все еще находится в стадии разработки, но используется в узконаправленных атаках на корпоративные объекты.
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
Создает файл .txt с количеством удаленных машин для проверки в командной строке.
Использует инструментарий управления Windows (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в файле .txt.
Записывает все процессы и имена удаленных машин в файл process.txt.
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
#news Администрация президента США решила организовать саммит на тему борьбы с рансомварью, которой Белый дом недавно очень активно занялся. Будут обсуждать в том числе и использование преступниками криптовалюты.
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
#news Google сегодня заявила о том, что в 2021 году она разослала клиентам около 50 000 предупреждений о спонсируемых государством попытках фишинга или взлома, что на 33% больше, чем в предыдущем году. Из них, более 14 000 предупреждений по APT28. Пользователям рекомендуется серьезно отнестись к этим предупреждениям и рассмотреть возможность регистрации в программе Advanced Protection Program или включения двухфакторной аутентификации, если они еще этого не сделали.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
🔥5❤1
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
❤1
#news Самым загадочным в недавнем взломе Twitch были некие файлы, отсылающие к пицце. Пицце, да. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.