#news Мы тут все недавно удивились, когда пчёлы воинственно выступили против мёда: Фейсбук пообещал, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов.
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta. Это уже, разумеется, совсем другое. Понимать надо.
Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.
Подробнее об этом можно почитать в статье, в которой есть примеры концептов.
Всегда было любопытно, о чём же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.
@tomhunter
#news Пегасус долетел в Европу! Венгерское правительство сообщило, что Венгрия приобрела нашумевшую спайварь и периодически ею пользовалось.
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
Рассказал об этом глава парламентского Комитета по вопросам обороны. Он утверждает, что Пегасус использовали только с разрешения Министерства юстиции или судьи, никаких законов при этом не нарушили. Тогда, конечно, ничего страшного, а то мы уж возмущаться начали.
Всего набралось под три сотни жертв, но детали будут засекречены до 2050 года.
@tomhunter
#news За первые девять месяцев 2021 года было уже столько же сообщений о киберпреступности, сколько за весь 2020 год. Показатели киберпреступности снова сильно увеличились, в то время как киберпреступность уже сильно выросла в 2020 году из-за коронавирусных ограничений. Данная статистика Голландии, в достаточной мере, описывает общемировые тенденции.
@tomhunter
@tomhunter
#news В августе я вам рассказывал про уязвимости в Microsoft Exchange, названные ProxyShell. Потом их ещё начала использовать рансомварь LockFile, комбинируя с PetitPotam.
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
#OSINT #Board Начнем послеограничительную трудовую неделю с разговора о т.н. "детективных досках". Или "crime board" - если по-западному. Полезная вещь, поскольку помогает представить ход расследования в удобном графическом формате. В начале нашей подборки очень серьезные (и весьма дорогие) продукты, которые могут вполне поработать и за аналитика:
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
├maltego (Investigation Tool)
├i2 (Investigation Tool)
├palantir (Investigation Tool)
├lampyre (Investigation Tool)
├LinkScope (Investigation Tool)
└visallo (Visualisation Tool)
З.Ы. Из бесплатного ПО можно посоветовать следующие решения. Но тут и повозиться придется самому:
├osintcombine (CSV Visualisation)
├cosmograph (CSV Visualisation)
├vis (Visualisation Tool)
├alephdata (Visualisation Tool)
├datashare (Visualisation Tool)
├diagrams (Visualisation Tool)
├dataiku (Visualisation Tool)
├FreeMind (Mind Map)
└chart (Visualisation Tool)
@tomhunter
#news Продолжаем нашу регулярную рубрику о криптофейлах! На этот раз украли $55 миллионов у платформы bZx.
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter
В официальном сообщении о взломе компания утверждает, что сам протокол полностью безопасен. Доступ к средствам пользователей взломщики получили, добыв через фишинговую атаку ключи от кошелька одного из разработчиков.
Особых деталей об использованном фишинге нет, но bZx говорит, что он была похожа на недавнюю атаку на фирму mngr. О деталях атаки та фирма пару недель назад рассказала в твиттерском треде.
Команде прислали фишинговое письмо с ящика, замаскированного под знакомого им человека из Maple Finance. В письме был фейковый .docx, который закинул на компьютер кейлоггер. У ребят в менеджере паролей тогда лежали ключи от кошельков: они временно использовали такое решение, чтобы делиться ключами внутри команды. Конечно, кейлоггер их вытащил и отправил хакерам.
Не буду отступать от традиций криптофейловой рубрики и напомню: деньги в «горячем» кошельке = не твои деньги.
@tomhunter
#news Твич... нет, не стал героем очередной истории вида «безопасность как-нибудь сама собой обеспечится». И его даже не взломали в третий раз (напомню про первый и второй).
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
Твич появляется теперь в твоей ленте как платформа, через которую турецкие стримеры отмыли $10 миллионов.
Отчасти эта история связана с недавним громким взломом. Проанализировав слитые истории выплат, стримеры заметили, что малоизвестные каналы получали от зрителей крупные суммы, а затем отправляли от половны до ⅔ обратно.
Так отмывались деньги, полученные с краденных кредитных карт. Замешано в этом было около двух с половиной тысяч владельцев различных каналов.
Твич говорит, что принял против участников схемы меры.
@tomhunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil.
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
T.Hunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil. Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот…
#news Министерство финансов США объявило о санкциях против криптовалютной биржи Chatex за помощь бандам вымогателей в уклонении от санкций и содействие транзакциям с выкупом. Как и в случае с Suex, санкционируя Chatex, администрация США стремится перекрыть основной канал, используемый операциями вымогателей для сбора выкупа со своих жертв.
@tomhunter
@tomhunter
#news Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.
@tomhunter
#news Своим мнением о причинах использования иностранными киберпреступниками российских серверов поделился в беседе с газетой «Известия» главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров:
«Хакерские группы прекрасно осведомлены о том, что почти любая их противоправная деятельность вместо полноценного расследования будет вызывать очередную истерию под брендом «русские хакеры атакуют», которая очень выгодна западным подрядчикам, обеспечивающим информбезопасность компаний и госорганизаций. Дела «правительственных русских хакеров» забирает ЦРУ или ФБР, у которых сложности во взаимоотношениях с российскими коллегами. Подрядчика с пониманием слегка журят за «косяки» в обеспечении безопасности. Правительство выделяет еще больше денег на обеспечение кибербезопасности. Все довольны».@tomhunter
#news У Robinhood утечка, ставшая результатом успешной социнженерии на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имён. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; ещё на 10 человек получили некие «более детальные данные».
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
#news По поводу "горячей новости" о засвете пользователями Telegram своих телефонов, могу пояснить принцип его работы...
@tomhunter
https://api.telegram.org/bot{токен_бота}/sendContact?chat_id={ваш_id}&phone_number=919876543210&first_name={отображаемое_имя}
Создаёте бота. В описании оставляете данные своего фейкового аккаунта, как аккаунт техподдержки. Выполняете код. Бот вам присылает контакт. Это сообщение отправляете жертве с сообщением "Смотри, в этом боте слили твой номер телефона, чтобы его удалить, обратись к админам со скриншотом записи". Пользователь делает скриншот, где отображается его номер телефона и отправляет вам. Это социальная инженерия. Судя по всему, уязвимость работает только на официальных клиентах под Android.@tomhunter
❤1
#news Проект Tor выпустил Tor Browser 11.0 с новым дизайном пользовательского интерфейса и удалением поддержки луковых сервисов V2. Браузер представляет собой переделку Firefox ESR, которая позволяет пользователям анонимно просматривать веб-страницы и получать доступ к специальным доменам .onion, доступным только через Tor. Наиболее значительным изменением является, давно анонсированное, прекращение поддержки луковых служб V2, означающее, что URL-адреса TOR с короткими 16-символьными именами хостов больше не поддерживаются.
@tomhunter
@tomhunter
#news Забавно-интригующий апдейт по REvil: теперь их луковые сайты (блог со сливами и сервис для выплаты выкупа), которые ранее были взломаны спецслужбами, показывают вот такую страницу с заголовком «Revil это плохо».
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
#news Microsoft выпустили свежий патч, устраняющий 55 уязвимостей. 6 из них — «нулевые дни», причём две активно эксплойтят хакеры: это уязвимости в Excel и Exchange.
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
#news Исследователи заметили корейский штамм вариант Пегасуса, работающий под Android.
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
#news Исследователь из ТОП-3 гугловского Bug Bounty рассказал на днях в своём блоге о критической уязвимости, которую в 2018 нашёл в GSuite (ныне переименована в Workspace). Она позволяла получить права суперпользователя в любой организации.
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
#news Тут заметили осеннюю фишинговую email-кампанию, которая нацелена на пользователей Microsoft 365. Примечательна тем, что успешно обходит антиспам-фильтры.
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
#news Госуслуги уже два дня кто-то штурмует, причём мощно. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
#news Помимо хакерской атаки на чат-бота Госуслуг, СМИ возопили сегодня об утечке персональных данных покупателей фейковых ПЦР-тестов. Называются цифры в районе 0,5 млн. человек. И это только по столичному региону. Не буду говорить о моральной составляющей покупателей таких "тестов".
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter