#news Европол объявил об аресте 12 человек, которые, как считается, были связаны с атаками программ-вымогателей против 1800 жертв в 71 стране. Злоумышленники использовали штаммы вымогателей, такие как LockerGoga, MegaCortex и Dharma, а также вредоносные программы, такие как Trickbot, и инструменты для постэксплуатации, такие как Cobalt Strike. Аресты произошли в Украине и Швейцарии 26 октября 2021 года, и в результате одновременных рейдов полиция изъяла пять роскошных автомобилей, электронные устройства и 52 тысячи долларов наличными.
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
▶️ https://youtu.be/_bkuz1hobs8
@tomhunter
#news В маркетинговом WordPress-плагине OptinMonster, который используется для создания форм подписки, обнаружили критическую уязвимость. Плагин очень популярный — он установлен на более чем 1 миллионе сайтов.
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
Всё дело в не лучшим образом реализованных эндпоинтах API. Особенно проблемен /wp-json/omapp/v1/support: через него можно вытянуть кучу данных, включая ключи API. Получив ключи, злоумышленник может внедрить на сайт произвольный JavaScript-код, изменить настройки плагина, поставить зловредные редиректы и сделать много прочих неприятных вещей. Аутентификации тоже никакой не нужно — её очень просто обойти. Технические подробности есть в отчете WordFencе.
Исследовательница, заметившая уязвимость, посоветовала плагину полностью переработать API. Разработчики, к счастью, придерживаются того же мнения, поэтому займутся этим в ближайшие недели. А сейчас стоит обновить плагин до безопасной версии и сгенерировать новые API-ключи — на всякий случай.
@tomhunter
#news На орехи перепало и великовозрастным детишкам в среде офисного планктона. Chaos Ransomware шифрует устройства Windows-игроков с помощью альтернативных Minecraft-ов, продвигаемых на игровых форумах.
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
При шифровании жертв Chaos добавляет четыре случайных символа или цифры в качестве расширения к зашифрованным файлам. Он также оставляет записку под названием «ReadMe.txt», в которой требует 2000 иен (~17,56 доллара США) в качестве выкупа.
@tomhunter
#OSINT #Auto Всем счастливого Хеллоуина!!! Сегодня расскажу вам об источниках для проверки автомобилей. Акцент на российские авто и идентификацию их владельцев. Начинаем...
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter
├ AVinfoBot (Check Service)
├smartsearchbot (Check Service)
├eyeofgod (Check Service)
├@Tpoisk_Bot (Check Service)
├avtocod (Check Service)
├гибдд (Check Service)
├vin01 (VIN Check)
├autocheck (VIN Check)
├vinformer (VIN Check)
├migalki (Car Photo)
├nomerogram (Car Photo)
├@Quick_OSINT_bot (Car Photo)
├@AntiParkonBot (Сar Abuse)
├avto-nomer (Сar Abuse)
├duraki (Сar Abuse)
├osago_check (RSA)
├reestr-zalogov (Pledged Car)
├гибдд (Traffic Violation)
└sudrf (Traffic Violation)
@tomhunter
#news Практически все компиляторы - программы, преобразующие читаемый человеком исходный код в компьютерно-исполняемый машинный код - уязвимы для атаки, при которой злоумышленник может ввести целевые уязвимости в любое программное обеспечение, не будучи обнаруженным. Речь идет о компоненте стандарта кодирования цифрового текста Unicode , который позволяет компьютерам обмениваться информацией независимо от используемого языка.
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
#news Исследователи рассказали о крупнейшем ботнете за историю, в котором когда-то было более 1.6 миллиона устройств. Для сравнения, изрядно нашумевший в сентябре Meris, ответственный за рекордный в рунете ДДоС (на Яндекс), включает всего 250 тысяч девайсов. Гигантский ботнет давно ещё назвали Pink.
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
#news Российские силовики прошлись и по бывшим хакерам и по пробивщикам. Вероятно, это стало следствием "потепления" отношений между спецслужбами США и России. Известно, что ранее американская сторона передала России списки киберпреступников. Сотрудничество в области противодействия киберпреступности началось.
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
#news В GitLab есть критическая уязвимость, которую активно эксплойтят хакеры. Её уже пропатчили, но уязвимых инстансов остаётся немало.
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
А ещё я написал на Хабр краткий обзор новостей за октябрь. Заглядывайте, если вдруг решите освежить в памяти обвал околофейсбучных сервисов, на днях мутировавших в одну мегакорпорацию Meta, пламенную любовь Твитча к приплясыванию на граблях и взлом REvil.
@tomhunter
@tomhunter
#news Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 9000 поддельных тестов. Интересно, сможете вы его идентифицировать?
@tomhunter
@tomhunter
#news Гугл выпустил ноябрьское обновление Android. В него вошло 39 патчей, из которых один закрывает CVE-2021-1048: эксплуатируемую хакерами уязвимость. Не очень активно и местечково эксплуатируемую, к счастью.
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
#news Вымогатель BlackMatter якобы прекращает свою работу из-за давления со стороны властей и недавних операций правоохранительных органов. Однако, даже если BlackMatter прекратит работу, мы, скорее всего, увидим их возвращение в качестве другой группы в будущем. Когда банды вымогателей ощущают давление со стороны правоохранительных органов или нацелены на очень чувствительную организацию, они обычно прекращают свою деятельность и перезапускают ее под новым именем.
@tomhunter
@tomhunter
#OSINT #Email Сегодня я разберу тему идентификации личностей владельцев адресов электронной почты в рамках OSINT-исследований. Тема сейчас довольно актуальна. Начинаем...
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
❤2
#news Groove - это фейк! Появление новой группы вымогателей, которая призвала всех локеров объединиться для атаки на правительство США в Интернете, оказалось мистификацией. Где-то на прошлой неделе блог Groove в даркнете исчез. "Для тех, кто не понимает, что происходит: я создал поддельную банду Groove", - написал пользователь XSS с ником "Борисельцин".
@tomhunter
@tomhunter
#OSINT #Darknet Сегодня поговорю с вами об инструментах для изучения Даркнета. Список будет пополняться, поскольку тема весьма многообразна.
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
❤2
#news США наложили в штаны санкции на четыре компании за разработку шпионского ПО или продажу хакерских инструментов. Ими оказались: NSO Group и Candiru (Израиль), Positive Technologies (Россия) и Computer Security Initiative Consultancy PTE (Сингапур).
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
#news Министерство юстиции США предъявило обвинение взломщику Twitter, известному как PlugWalkJoe, в том, что он также украл криптовалюту на сумму 784 000 $ с помощью атак с заменой SIM-карты. Атаки с заменой SIM-карты - это когда злоумышленники берут под контроль телефонные номера целей, перенося их на SIM-карту своего собственного устройства. Эти атаки обычно совершаются путем социальной инженерии и выдвижения себя за цель, взлома систем операторов мобильной связи или подкупа сотрудников. Правительство США добивается экстрадиции О'Коннора, который в настоящее время находится под стражей в Испании.
@tomhunter
@tomhunter
#news В модуле TIPC линуксовского ядра обнаружили RCE-уязвимость CVE-2021-43267, которую можно использовать как локально, так и удалённо, чтобы получить права суперпользователя. Никаких данных о живом использовании в атаках, к счастью, нет.
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
#news #decoder Новая фишинговая кампания, выдавая себя за списки рассылки, заражает пользователей программой-вымогателем MirCop, которая шифрует целевую систему менее чем за пятнадцать минут. В теле письма содержится гиперссылка на URL-адрес Google Диска, при нажатии на который загружается файл MHT (архив веб-страницы) на машину жертвы. Google Диск служит для придания легитимности электронной почте и очень хорошо согласуется с обычной повседневной деловой практикой. Когда открывается файл MHT i, он загружает архив RAR, содержащий загрузчик вредоносных программ .NET, из «hXXps: // a [.] Pomf [.] Cat / gectpe.rar».
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
#OSINT #Fake Сегодня предлагаю небольшую тему создания виртуальных личностей (аватаров), которые можно использовать для регистрации в различных социальных сервисах.
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
#news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter