#news Практически все компиляторы - программы, преобразующие читаемый человеком исходный код в компьютерно-исполняемый машинный код - уязвимы для атаки, при которой злоумышленник может ввести целевые уязвимости в любое программное обеспечение, не будучи обнаруженным. Речь идет о компоненте стандарта кодирования цифрового текста Unicode , который позволяет компьютерам обмениваться информацией независимо от используемого языка.
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
В частности, слабость заключается в двунаправленном алгоритме Unicode или алгоритме Bidi, который обрабатывает отображение текста, включающего смешанные скрипты с разным порядком отображения, например арабский, который читается справа налево, и английский (слева направо). Переопределения двунаправленного текста позволяют отображать даже символы одного скрипта в порядке, отличном от их логической кодировки. Как отмечают исследователи, этот факт ранее использовался для маскировки расширений файлов вредоносных программ, распространяемых по электронной почте.
@tomhunter
#news Исследователи рассказали о крупнейшем ботнете за историю, в котором когда-то было более 1.6 миллиона устройств. Для сравнения, изрядно нашумевший в сентябре Meris, ответственный за рекордный в рунете ДДоС (на Яндекс), включает всего 250 тысяч девайсов. Гигантский ботнет давно ещё назвали Pink.
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.
Вендор роутеров выпускал несколько фиксов, которые должны были перекрыть ботнету кислород, но получилось не очень — тот быстро адаптировался.
Ботнет сильно сдулся со времён своего золотого века. Исследователи говорят, что сейчас в нём осталось порядка 100 тысяч заражённых устройств, и он до сих пор активен. Всего на его счету больше сотни ДДоСов.
@tomhunter
#news Российские силовики прошлись и по бывшим хакерам и по пробивщикам. Вероятно, это стало следствием "потепления" отношений между спецслужбами США и России. Известно, что ранее американская сторона передала России списки киберпреступников. Сотрудничество в области противодействия киберпреступности началось.
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
▶️ https://youtu.be/aiuj2OH_kis
@tomhunter
#news В GitLab есть критическая уязвимость, которую активно эксплойтят хакеры. Её уже пропатчили, но уязвимых инстансов остаётся немало.
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
Из-за уязвимости CVE-2021-22205 загруженные пользователем изображения могут неверно валидироваться; это позволяет удалённо выполнить произвольный код. Проблема затрагивает все версии, начиная с 11.9. В опасности все Гитлаб-инстансы, открытые для общего доступа. А больше технических деталей можно посмотреть в анализе от исследователей.
Полноценный патч доступен уже полгода, но из 60 тысяч уязвимых инстансов полностью обновлен лишь 21%. 50% не защищены совсем, а остальные поставили только частично помогающие старые патчи.
Исследователи советуют обновиться до последней версии, а публично доступные инстансы защищать VPN.
@tomhunter
А ещё я написал на Хабр краткий обзор новостей за октябрь. Заглядывайте, если вдруг решите освежить в памяти обвал околофейсбучных сервисов, на днях мутировавших в одну мегакорпорацию Meta, пламенную любовь Твитча к приплясыванию на граблях и взлом REvil.
@tomhunter
@tomhunter
#news Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 9000 поддельных тестов. Интересно, сможете вы его идентифицировать?
@tomhunter
@tomhunter
#news Гугл выпустил ноябрьское обновление Android. В него вошло 39 патчей, из которых один закрывает CVE-2021-1048: эксплуатируемую хакерами уязвимость. Не очень активно и местечково эксплуатируемую, к счастью.
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
CVE-2021-1048 — это Use-after-Free уязвимость в ядре системы. Она позволяет хакеру, нашедшему висячий указатель на уже освободившийся кусочек памяти, заполнить тот своим зловредным кодом.
Именно эту можно использовать, чтобы локально повысить свои привилегии. Если добавить RCE-уязвимость и чуть перемешать, выйдут админские права. А подходящие RCE-уязвимости, между прочим, среди патчей тоже наблюдаются.
Особых деталей Гугл по очевидным причинам не предоставляет, но обновиться определённо стоит.
@tomhunter
#news Вымогатель BlackMatter якобы прекращает свою работу из-за давления со стороны властей и недавних операций правоохранительных органов. Однако, даже если BlackMatter прекратит работу, мы, скорее всего, увидим их возвращение в качестве другой группы в будущем. Когда банды вымогателей ощущают давление со стороны правоохранительных органов или нацелены на очень чувствительную организацию, они обычно прекращают свою деятельность и перезапускают ее под новым именем.
@tomhunter
@tomhunter
#OSINT #Email Сегодня я разберу тему идентификации личностей владельцев адресов электронной почты в рамках OSINT-исследований. Тема сейчас довольно актуальна. Начинаем...
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
├zerobounce (SMTP)
├mailboxlayer (SMTP)
├epieos (Gmail Check)
├GHunt (Gmail Check)
├@UniversalSearchRobot (Yandex Check)
├@yandexidbot (Yandex Phone)
├ProtOSINT (Protonmail Check)
├intelx (Dorks)
├epieos (Skype Check)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├isphere (Service)
└AVinfoBot (Service)
‼️ Не забывай проверять адрес электронной почты в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на важность работы с утечками паролей от электронной почты, поиска совпадений никнеймов и установления геолокации владельца email.
@tomhunter
❤2
#news Groove - это фейк! Появление новой группы вымогателей, которая призвала всех локеров объединиться для атаки на правительство США в Интернете, оказалось мистификацией. Где-то на прошлой неделе блог Groove в даркнете исчез. "Для тех, кто не понимает, что происходит: я создал поддельную банду Groove", - написал пользователь XSS с ником "Борисельцин".
@tomhunter
@tomhunter
#OSINT #Darknet Сегодня поговорю с вами об инструментах для изучения Даркнета. Список будет пополняться, поскольку тема весьма многообразна.
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
├torproject (Get TOR)
├geti2p (Get I2P)
├zeronet (Get Zeronet)
├freenet (Get Freenet)
├tornodes (IP Check)
├exonerator (IP Check)
├darktracer (IP Check)
├oniontree (TOR Services)
├iaca (Search Framework)
├Katana (Search Engine)
├OnionSearch (Search Engine)
├Darkdump (Search Engine)
├Ahmia (Search Engine) +web
├DarkSearch (Search Engine) +web
├Hunchly (Get Links)
├thedevilseye (Get Links)
├H-Indexer (Get Links)
├Onionscan (Scan Links)
├Onioff (Scan Links)
├Onion-nmap (Scan Links)
├Fresh Onions (Links Catalog)
├Deep Link (Links Catalog)
├TorBot (Crawl Data)
├TorCrawl (Crawl Data)
├VigilantOnion (Crawl Data)
├OnionIngestor (Crawl Data)
├DeepDarkCTI (Threat Intelligence)
├tor66 (New Sites)
├freshoni (New Sites)
├darkowl (Intelligence Service)
├cobwebs (Intelligence Service)
├falcon-x (Intelligence Service)
└darktracer (Intelligence Service)
@tomhunter
❤2
#news США наложили в штаны санкции на четыре компании за разработку шпионского ПО или продажу хакерских инструментов. Ими оказались: NSO Group и Candiru (Израиль), Positive Technologies (Россия) и Computer Security Initiative Consultancy PTE (Сингапур).
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
Украина, на удивление общественности, наложила свои санкции - на Group-IB и REG.RU. Странные они, конечно...
@tomhunter
#news Министерство юстиции США предъявило обвинение взломщику Twitter, известному как PlugWalkJoe, в том, что он также украл криптовалюту на сумму 784 000 $ с помощью атак с заменой SIM-карты. Атаки с заменой SIM-карты - это когда злоумышленники берут под контроль телефонные номера целей, перенося их на SIM-карту своего собственного устройства. Эти атаки обычно совершаются путем социальной инженерии и выдвижения себя за цель, взлома систем операторов мобильной связи или подкупа сотрудников. Правительство США добивается экстрадиции О'Коннора, который в настоящее время находится под стражей в Испании.
@tomhunter
@tomhunter
#news В модуле TIPC линуксовского ядра обнаружили RCE-уязвимость CVE-2021-43267, которую можно использовать как локально, так и удалённо, чтобы получить права суперпользователя. Никаких данных о живом использовании в атаках, к счастью, нет.
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
Касается уязвимость нового типа сообщений, «MSG_CRYPTO», который появился прошлой осенью. Он позволяет нодам в кластере пересылать криптографические ключи.
Встроенная проверка всё валидирует: смотрит на размер хедера и сообщения, выделяя под них память. Но вот длину ключа, появившегося в MSG_CRYPTO, она не проверяет. Таким образом, злоумышленник смог бы создать пакет, вызывающий переполнение кучи, и передать произвольный код. Создаёшь пакет на 20 байтов, указывая, что там всего 10, и проходишь проверку.
Справедливости ради, для этого нужно, чтобы TIPC был включен. Он хоть и идёт из коробки, по дефолту как раз выключен.
Касается уязвимость версии 5.10 и 5.15. В новом обновлении, вышедшем в конце октября, всё уже пропатчено.
@tomhunter
#news #decoder Новая фишинговая кампания, выдавая себя за списки рассылки, заражает пользователей программой-вымогателем MirCop, которая шифрует целевую систему менее чем за пятнадцать минут. В теле письма содержится гиперссылка на URL-адрес Google Диска, при нажатии на который загружается файл MHT (архив веб-страницы) на машину жертвы. Google Диск служит для придания легитимности электронной почте и очень хорошо согласуется с обычной повседневной деловой практикой. Когда открывается файл MHT i, он загружает архив RAR, содержащий загрузчик вредоносных программ .NET, из «hXXps: // a [.] Pomf [.] Cat / gectpe.rar».
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
Декриптор для старой версии вредоносного ПО. Декрипторы для других локеров.
@tomhunter
#OSINT #Fake Сегодня предлагаю небольшую тему создания виртуальных личностей (аватаров), которые можно использовать для регистрации в различных социальных сервисах.
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
├randus (Bio Generation)
├verif (Docs Generation)
├prepostseo (CC Generation)
└vccgenerator (CC Generation)
Инструкция по установке анонимной ОС Tails.
@tomhunter
#news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
#news Оборонный подрядчик из США Electronic Warfare Associates (EWA) раскрыл утечку данных после того, как злоумышленники 2 августа взломали их почтовую систему и украли файлы, содержащие личную информацию. Фирма заметила проникновение, когда хакер предпринял попытку мошенничества с использованием электронных средств, что, по всей видимости, является основной целью исполнителя.
@tomhunter
@tomhunter
#news ФБР зафиксировало рост числа мошенников, побуждающих жертв использовать физические банкоматы с криптовалютой и цифровые QR-коды для совершения платежных транзакций.
@tomhunter
@tomhunter
#OSINT #Sources Подборки источников для OSINT-исследований от различных специалистов.
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
├osintframework (OSINT Sources)
├map.malfrats (OSINT Sources)
├intelx (OSINT Sources)
├osintessentials (OSINT Sources)
├toddington (OSINT Sources)
├awesome (OSINT Sources)
├technisette (OSINT Sources)
├infosecurity (OSINT Sources)
├osint.link (OSINT Sources)
└tomhunter (OSINT Sources)
P.S. Создавайте собственную облачную рабочую среду, включающую новостные ленты, дашборды и списки полезных источников для OSINT. Все в одном месте, все под рукой с любого компьютера.
├start.me (Create Startpage)
├пример подборки по форензике (Startpage)
└примеры подборок OSINT-специалистов (Startpages)
@tomhunter
👍1💯1
#news В мире npm всё бушуют зловреды.
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter
Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.
Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.
Взлом сломал React-проекты, которые зависят от coa — они начали массово выдавать различные ошибки. Скопрометированные версии: 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 и 3.1.3.
Таким же образом ещё взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю.
Сейчас все зловредные обновления, к счастью, npm уже убрал.
@tomhunter