#news Вчера я писал про свежий патч к iOS, закрывающий уязвимость в IOMobileFrameBuffer. Главная угроза уязвимости — возможность исполнения произвольного кода с суперпользовательскими правами. Деталей Яблоко не опубликовало, как и всегда, чтобы не помогать хакерам.
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.
@tomhunter
#news Исследование, проведенное группой университетских исследователей в Великобритании, выявило множество проблем с конфиденциальностью, возникающих при использовании смартфонов Android.
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.
@tomhunter
12:00 | 13.10.2021
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.
♾ https://codeib.ru/event/zashchita-ot-moshennichestva-2021-10-13-43/page/sreda-codeib-13-10-2021#news В GitHub Actions есть уязвимость, позволяющая вносить изменения в код без какого-либо ревью. Злоумышленнику достаточно взломать один аккаунт с write-правами в нужном репозитории, чтобы запушить в него любой код. Почему? Потому что любой человек с write-правами может редактировать ключи в воркфлоу-файле, а значит, может изменить права, которые даются по GITHUB_TOKEN.
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.
Гитхаб уже в курсе и всё чинит.
@tomhunter
#news В прошлом месяце криптобиржа Coinbase раскрыла, что злоумышленники украли криптовалюту у 6000 клиентов после обхода двухфакторной идентификации. Однако попытки взломать аккаунты клиентов биржи продолжаются до сих пор. Для того, чтобы провести атаку преступникам нужно знать адрес электронной почты, пароль и номер телефона клиента, связанные с их счетом Coinbase, а также иметь доступ к учетной записи электронной почты жертвы. Считается, что киберпреступники получают всю эту информацию в результате фишинговых атак. Например, при помощи домена coinbase.com.password-reset [.] com
@tomhunter
@tomhunter
#OSINT #Security Сегодня изучим общедоступные источники, которые можно применять для изучения контрагентов и оценки их благонадежности. Полезно для служб безопасности, да и юристам пригодится. Начинаем...
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├integrum (онлайн-сервис)
├integrum (визуализация)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├correctiv (санкционные списки)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)
Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.
@tomhunter
❤1
#news Появился новый штамм вымогателей Yanluowang ransomware, который все еще находится в стадии разработки, но используется в узконаправленных атаках на корпоративные объекты.
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:
Создает файл .txt с количеством удаленных машин для проверки в командной строке.
Использует инструментарий управления Windows (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в файле .txt.
Записывает все процессы и имена удаленных машин в файл process.txt.
После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.
@tomhunter
#news Администрация президента США решила организовать саммит на тему борьбы с рансомварью, которой Белый дом недавно очень активно занялся. Будут обсуждать в том числе и использование преступниками криптовалюты.
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.
Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.
С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.
@tomhunter
#news Google сегодня заявила о том, что в 2021 году она разослала клиентам около 50 000 предупреждений о спонсируемых государством попытках фишинга или взлома, что на 33% больше, чем в предыдущем году. Из них, более 14 000 предупреждений по APT28. Пользователям рекомендуется серьезно отнестись к этим предупреждениям и рассмотреть возможность регистрации в программе Advanced Protection Program или включения двухфакторной аутентификации, если они еще этого не сделали.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
🔥5❤1
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
❤1
#news Самым загадочным в недавнем взломе Twitch были некие файлы, отсылающие к пицце. Пицце, да. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
#news У банка в ОАЭ украли $35 миллионов с помощью дипвойс-фейка. Мошенник подделал голос директора крупной компании, позвонил в банк и рассказал сотруднику, что его компания планирует крупную сделку, поэтому нужно перевести деньги на её новые счета. Ещё мошенники скинули ему электронных писем от «директора» про сделку. Банковский менеджер ничего не заподозрил — голос директора тот же, что и всегда, письма солидно выглядят — и перевёл деньги, куда попросили.
В интересные времена живём.
@tomhunter
В интересные времена живём.
@tomhunter
#news Группировка Desorden взломала индийские серверы Acer и похитила с них 60 гигабайт различных данных. Это финансовые и корпоративные документы, плюс данные миллионов клиентов, продавцов и дистрибьюторов. Теперь эти данные продаются.
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
#news Новая фишинговая кампания, получившая название MirrorBlast, использует документы Excel. Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI, представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart. Важно отметить, что разработчики MirrorBlast приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
@tomhunter
@tomhunter
#news VirusTotal опубликовали масштабный отчёт по вирусам-вымогателям за 2020 и первую половину 2021.
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
#news Большая часть компаний и организаций Нидерландов, задействованных в критически важной инфраструктуре, излишне уязвима для хакеров и киберпреступников. Сорок три из сотни опрошенных компаний не смогли оптимально защитить свою систему электронной почты от фишинга, спуфинга и программ-вымогателей. К ним относятся банки, производители энергии и компании по производству питьевой воды.
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
#news Возвращаемся к любимой теме! ЕС сейчас расследует Apple в рамках антимонопольного дела: нехорошо, что Яблоко разрешает скачивать приложения только из своего магазина.
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U):
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
AdSense: Pub- или ca-pub
Analytics: UA-
Amazon: &tag=
AddThis: #pubid / pubid
Metrika: mc.yandex / ym
Rambler: top100Сервисы поиска рекламных идентификаторов:
Mail.ru: Top.Mail.Ru
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
#news 13-14 октября США провели двухдневную онлайн-встречу по вопросам кибербезопасности, а если быть точным, то проблемы программ-вымогателей. Участие приняли представители 30 стран. Хотя представителей России на встречу не позвали (как и представителей Китая), было отмечено, что - "Россия сделала определенные шаги в борьбе с киберпреступностью в ответ на сигналы США, которые касаются действующих на российской территории криминальных субъектов".
@tomhunter
@tomhunter
«Основные тренды мошенничества в 2021 году».
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
YouTube
Защита от мошенничества | Безопасная среда
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия и события…