#news Лавры Пегасуса на дают покоя кибербезникам Индии. Так, шпионское ПО для Android оказалось связано с индийской компанией Innefu Labs, занимающейся кибербезопасностью, после того, как IP-адрес, принадлежащий компании, неоднократно использовался для распространения полезной нагрузки шпионского ПО. Однако фактическое развертывание может быть результатом работы «Donot Team» (APT-C-35), коллектива индийских хакеров, которые атакуют правительства в Юго-Восточной Азии как минимум с 2018 года. Атака нначиналась с незапрашиваемого сообщения в WhatsApp или на электронную почту, в котором предлагалось установить якобы защищенное приложение для чата под названием ChatLite. Сам ChatLite представляет собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и получать дополнительные вредоносные инструменты.
@tomhunter
@tomhunter
#OSINT #Monitoring Сегодня я расскажу о том, как наладить пассивный мониторинг юридического лица. Такой мониторинг проводят службы безопасности (хмм... проводят ли?), использующие методы OSINT в своей повседневной деятельности. Итак, регистрируй отдельную почту на gmail и поехали:
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
├nalog (изменения в ЕГРЮЛ)
├arbitr (арбитражные суды)
├fssp (исполнительные производства)
├fedresurs (существенные факты)
├alerts (упоминания в СМИ)
├followthatpage (изменения на сайте)
├changedetection (изменения на сайте)
├fetcher (изменения соцстраниц)
├@AximoBot (изменения соцстраниц)
├nel (комплексный мониторинг)
└zachestnyibiznes (комплексный мониторинг)
Для мониторинга упоминаний в СМИ:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
Мониторинг соцстраниц:
├Distill
├Visualping
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
@tomhunter
❤4👍1
#news Украинская полиция арестовала хакера, который контролировал ботнет из 100 000 устройств, который использовался для выполнения DDoS-атак от имени платных клиентов. Злоумышленник зарегистрировал аккаунт на Webmoney со своим реальным адресом, что и позволило украинской полиции узнать, где он живет.
@tomhunter
@tomhunter
#news Возвращаемся к нашему любимому производителю яблок. Apple выпустила экстренное обновление iOS 15.0.2 и iPadOS 15.0.2, чтобы исправить уязвимость нулевого дня CVE-2021-30883, которая активно используется в атаках на телефоны и iPad. Как мы и писали ранее, яблочники поставили на поток устранение уязвимостей, используемых Пегасусом и другими шпионскими программами.
@tomhunter
@tomhunter
#news GitHub отозвал SSH-ключи для авторизации, сгенерированные клиентом GitKraken.
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
В сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
Гитхаб говорит, что разрабатывает дополнительную защиту, чтобы уязвимые версии не добавляли новые слабые ключи.
@tomhunter
#news Microsoft рассказала о крупнейшей зафиксированной DDoS-атаке в истории, случившейся в августе этого года.
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter
Атака была направлена на европейского клиента Microsoft Azure, длилась 10 минут и достигала на пике мощности в аж 2,4 Тбит/с. Это на 140% больше, чем у предыдущей атаки, зафиксированной Microsoft в 2020 году. Запросы шли из 70 тысяч источников и нескольких азиатско-тихоокеанских стран — США, Японии, Китая, Вьетнама и прочих. Атаку сервер успешно выдержал.
Всё старые проделки легендарного Meris'а?
@tomhunter
#news Вчера я писал про свежий патч к iOS, закрывающий уязвимость в IOMobileFrameBuffer. Главная угроза уязвимости — возможность исполнения произвольного кода с суперпользовательскими правами. Деталей Яблоко не опубликовало, как и всегда, чтобы не помогать хакерам.
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
#news Исследование, проведенное группой университетских исследователей в Великобритании, выявило множество проблем с конфиденциальностью, возникающих при использовании смартфонов Android.
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
12:00 | 13.10.2021
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
♾ https://codeib.ru/event/zashchita-ot-moshennichestva-2021-10-13-43/page/sreda-codeib-13-10-2021#news В GitHub Actions есть уязвимость, позволяющая вносить изменения в код без какого-либо ревью. Злоумышленнику достаточно взломать один аккаунт с write-правами в нужном репозитории, чтобы запушить в него любой код. Почему? Потому что любой человек с write-правами может редактировать ключи в воркфлоу-файле, а значит, может изменить права, которые даются по GITHUB_TOKEN.
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
#news В прошлом месяце криптобиржа Coinbase раскрыла, что злоумышленники украли криптовалюту у 6000 клиентов после обхода двухфакторной идентификации. Однако попытки взломать аккаунты клиентов биржи продолжаются до сих пор. Для того, чтобы провести атаку преступникам нужно знать адрес электронной почты, пароль и номер телефона клиента, связанные с их счетом Coinbase, а также иметь доступ к учетной записи электронной почты жертвы. Считается, что киберпреступники получают всю эту информацию в результате фишинговых атак. Например, при помощи домена coinbase.com.password-reset [.] com
@tomhunter
@tomhunter
#OSINT #Security Сегодня изучим общедоступные источники, которые можно применять для изучения контрагентов и оценки их благонадежности. Полезно для служб безопасности, да и юристам пригодится. Начинаем...
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
❤1
#news Появился новый штамм вымогателей Yanluowang ransomware, который все еще находится в стадии разработки, но используется в узконаправленных атаках на корпоративные объекты.
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
Создает файл .txt с количеством удаленных машин для проверки в командной строке.
Использует инструментарий управления Windows (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в файле .txt.
Записывает все процессы и имена удаленных машин в файл process.txt.
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
#news Администрация президента США решила организовать саммит на тему борьбы с рансомварью, которой Белый дом недавно очень активно занялся. Будут обсуждать в том числе и использование преступниками криптовалюты.
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
#news Google сегодня заявила о том, что в 2021 году она разослала клиентам около 50 000 предупреждений о спонсируемых государством попытках фишинга или взлома, что на 33% больше, чем в предыдущем году. Из них, более 14 000 предупреждений по APT28. Пользователям рекомендуется серьезно отнестись к этим предупреждениям и рассмотреть возможность регистрации в программе Advanced Protection Program или включения двухфакторной аутентификации, если они еще этого не сделали.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
🔥5❤1
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
❤1
#news Самым загадочным в недавнем взломе Twitch были некие файлы, отсылающие к пицце. Пицце, да. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
#news У банка в ОАЭ украли $35 миллионов с помощью дипвойс-фейка. Мошенник подделал голос директора крупной компании, позвонил в банк и рассказал сотруднику, что его компания планирует крупную сделку, поэтому нужно перевести деньги на её новые счета. Ещё мошенники скинули ему электронных писем от «директора» про сделку. Банковский менеджер ничего не заподозрил — голос директора тот же, что и всегда, письма солидно выглядят — и перевёл деньги, куда попросили.
В интересные времена живём.
@tomhunter
В интересные времена живём.
@tomhunter
#news Группировка Desorden взломала индийские серверы Acer и похитила с них 60 гигабайт различных данных. Это финансовые и корпоративные документы, плюс данные миллионов клиентов, продавцов и дистрибьюторов. Теперь эти данные продаются.
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
#news Новая фишинговая кампания, получившая название MirrorBlast, использует документы Excel. Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI, представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart. Важно отметить, что разработчики MirrorBlast приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
@tomhunter
@tomhunter