#news С интересом и огоньком провели в четверг очередной конкурс по информационной безопасности Zero-Day. Участвовало 9 команд из различных учебных заведений Санкт-Петербурга. Конкурсанты испытали свои навыки в CTF и OSINT, а также послушали опытных спикеров.
@tomhunter
@tomhunter
#news Недавно Брайан Кребс рассказал о новых фишках американских «служб безопасности» Сбербанка JP Morgan Chase.
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
#news Серверы Microsoft Exchange взломаны в результате атак с внутренней цепочкой ответов. Считается, что за этой атакой стоит «TR», известный злоумышленник, который рассылает электронные письма с вредоносными вложениями, которые сбрасывают вредоносные программы, включая полезные нагрузки Qbot, IcedID, Cobalt Strike и SquirrelWaffle. Чтобы заставить корпоративные цели открыть вредоносные вложения, злоумышленник использует серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogon.
@tomhunter
@tomhunter
#news Несколько дней назад в Канаде арестовали семнадцатилетнего парня, который украл у американца (американки?) почти $37 миллионов в крипте. Американских долларов.
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
Спецслужбы сообщают, что для атаки парень перевыпустил сим-карту жертвы — это позволило ему перехватить смски для двухфакторки и забрать крипту. Видимо, речь о кастодиальном кошельке; для таких сумм выбор ну очень загадочный. Горе-хакера вычислили, когда он попытался часть украденной суммы потратить на покупку редкого ника в игре.
Это не первая такая история, конечно. В конце октября, например, другой семнадцатилетний парень наскамил почти 350 тысяч долларов в ETH и всё вернул, назвав шуткой, когда твиттерские интернет-сыщики начали операцию по его поимке. Тут, правда, иные масштабы.
Ну и детки сейчас пошли…
@tomhunter
#news Как это по-русски... Комиссия по ценным бумагам и биржам (SEC) предупредила американских инвесторов о мошенниках, выдающих себя за должностных лиц SEC в схемах выдачи себя за другое лицо посредством телефонных звонков, голосовой почты, электронных писем и писем. Летом аналогичное предупреждение выходило от ФБР и FINRA.
@tomhunter
@tomhunter
#anon #app Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части — альтернативные ОС для смартфонов. В третьей части — браузеры и поисковики повышенной анонимности. Сегодня поговорим о прочем ПО...
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter
Мессенджер:
├signal
├briar
├jabber
└element
Электронная почта:
├runbox
├preveil
└zoho
Файлообменник:
├dropmefiles
├reeves
├privatlab
├onionshare
└sync
Облачное хранилище:
├mega
├nextcloud
└nordlocker
Что мы получили? Избавление от следящих модулей, встроенных в популярные приложения. А также минимизацию рисков передачи ваших данных третьим лицам.
@tomhunter
#news Как часто ИТ-компании "шепчутся" с российскими государственными органами? Не так давно, Apple опубликовала отчет о раскрытии информации за период с июля по декабрь 2020 года. Мы решили расширить его, дополнив информацией о Google и Яндекс...
⬆️ Apple
Всего запросов: 1123 (1055 за прошлый период)
Положительные ответы в 85% случаев
⬆️ Яндекс
Всего запросов: 16874 (15376 за прошлый период)
Положительные ответы в 78% случаев
⬇️ Google
Всего запросов: 497 (710 за прошлый период)
Положительные ответы в 18% случаев
@tomhunter
⬆️ Apple
Всего запросов: 1123 (1055 за прошлый период)
Положительные ответы в 85% случаев
⬆️ Яндекс
Всего запросов: 16874 (15376 за прошлый период)
Положительные ответы в 78% случаев
⬇️ Google
Всего запросов: 497 (710 за прошлый период)
Положительные ответы в 18% случаев
@tomhunter
❤1
T.Hunter
#OSINT #Logger Логирование или установление сведений об устройстве и соединении пользователя сети интернет - это важная часть процесса деанонимизации. ├canarytokens (Logger Files/Link + mask) ├@FakeSMI_bot (Logger News + mask) ├iplogger (Logger Link + mask)…
#OSINT 😇 Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
... решать задачу по идентификации пользователей сети приходится не только сотрудникам органов, но и службам безопасности, детективам, да и OSINT-исследователям. В связи с этим, предлагаю разобраться с понятиями, а также основными методами и приемами логирования пользователей...
@tomhunter
... решать задачу по идентификации пользователей сети приходится не только сотрудникам органов, но и службам безопасности, детективам, да и OSINT-исследователям. В связи с этим, предлагаю разобраться с понятиями, а также основными методами и приемами логирования пользователей...
@tomhunter
#news Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub. Напомню, что используя cookies, злоумышленники могут без логина и пароля зайти в сервисы, которые посещали их владельцы. Чтобы избежать подобных рисков, пользователям стоит регулярно очищать cookies и не сохранять пароли в сервисах.
@tomhunter
@tomhunter
#news Из-за влома GoDaddy произошла утечка данных, коснувшаяся 1.2 миллиона пользователей.
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
Взлом затронул продукт Managed WordPress: это платформа для создания сайта на WP, берущая на себя админскую рутину вроде обновлений и бэкапов.
Атаку в GoDaddy заметили лишь 17 ноября, но хакеры имели доступ к внутренним системам и данным аж с начала сентября этого года.
Итак, для 1.2 миллионов пользователей Managed WordPress слиты:
⋅ номера клиента и почтовые адреса: широкий простор для фишинговых атак;
⋅ пароль от админки, выбранный при установке — справедливости ради, GoDaddy хотя бы посбрасывали такие пароли, как только заметили взлом;
⋅ пароли от sFTP, а также имена пользователя и пароли от баз данных — тоже сброшены.
Для части активных клиентов слиты ещё и SSL-ключи. GoDaddy постепенно выпускает новые.
Едва ли любой безопасник станет связываться с таким вот сторонним коробочным решением, поэтому не буду об этом и рассуждать. Но иллюстрация того, почему связываться не стоит, вышла хорошая.
@tomhunter
#news Исследователи продемонстрировали, что отпечатки пальцев можно клонировать для биометрической аутентификации всего за 5 долларов без использования каких-либо сложных или необычных инструментов. Полученный отпечаток пальца может обмануть современные датчики отпечатков пальцев, такие как тот, который используется в последнем MacBook Pro.
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
▶️ https://youtu.be/VYI9XNO4XzU
@tomhunter
#news Национальный центр кибербезопасности Великобритании (NCSC) сообщает, что предупредил владельцев 4151 интернет-магазина о том, что их сайты были взломаны в результате атак Magecart (веб-скимминг) с целью кражи платежной информации клиентов.
@tomhunter
@tomhunter
#news Возвращаемся к яблочной компании! Но с неожиданной стороны — на сей раз речь не об уязвимостях.
Apple подала в суд на NSO Group, обвинив её в применении спайвари Pegasus против пользователей iOS. Компания говорит, что намерена положить атакам на её пользователей конец, потому что слежка подобного рода недопустима в свободном обществе.
Всех будущих потенциальных жертв Apple будет уведомлять о присутствии на их устройстве Пегасуса,как только если его распознает.
@tomhunter
Apple подала в суд на NSO Group, обвинив её в применении спайвари Pegasus против пользователей iOS. Компания говорит, что намерена положить атакам на её пользователей конец, потому что слежка подобного рода недопустима в свободном обществе.
Всех будущих потенциальных жертв Apple будет уведомлять о присутствии на их устройстве Пегасуса,
@tomhunter
#news В Windows Installer есть активно эксплуатируемый «нулевой день», позволяющий получить админские права в Windows 10, Windows 11 и Windows Server.
На выходных независимый исследователь обнаружил, что ноябрьский патч Microsoft не слишком удачно закрывает одну из уязвимостей. Речь о CVE-2021-41379: это уязвимость повышения привилегий в Windows Installer. Чуть позже он выложил на Гитхабе и PoC, названный InstallerFileTakeOver.
В лаборатории Cisco Talos подтвердили работоспособность PoC’a и рассказали о том, что уже находили в реальных условиях малварь, которая эту уязвимость эксплойтит.
@tomhunter
На выходных независимый исследователь обнаружил, что ноябрьский патч Microsoft не слишком удачно закрывает одну из уязвимостей. Речь о CVE-2021-41379: это уязвимость повышения привилегий в Windows Installer. Чуть позже он выложил на Гитхабе и PoC, названный InstallerFileTakeOver.
В лаборатории Cisco Talos подтвердили работоспособность PoC’a и рассказали о том, что уже находили в реальных условиях малварь, которая эту уязвимость эксплойтит.
@tomhunter
#news Служба безопасности Украины (СБУ) арестовала пятерых членов международной хакерской группы «Феникс», которая специализируются на удаленном взломе мобильных устройств. Для кражи мобильных учетных записей пользователей мобильных устройств злоумышленники использовали фишинговые сайты, являющиеся клонами порталов входа в систему Apple и Samsung.
▶️ https://youtu.be/o4WiC1ViUuI
@tomhunter
▶️ https://youtu.be/o4WiC1ViUuI
@tomhunter
YouTube
СБУ викрила міжнародну хакерську групу
Кіберфахівці Служби безпеки України припинили протиправну діяльність групи хакерів. Зловмисники позиціонували себе як учасники міжнародного хакерського угруповання «Phoenix». «Спеціалізувалися» на дистанційному зламуванні мобільних пристроїв та незаконному…
#news Новый скрытый загрузчик JavaScript под названием RATDispenser используется для заражения устройств различными троянами удаленного доступа (RAT) при фишинговых атаках.
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
Заражение начинается с фишингового письма, содержащего вредоносное вложение JavaScript с двойным расширением .TXT.js. Поскольку Windows по умолчанию скрывает расширения, если получатель сохраняет файл на свой компьютер, он будет отображаться как безобидный текстовый файл. После запуска загрузчик запишет файл VBScript в папку% TEMP%, который затем будет запущен для загрузки полезной нагрузки вредоносной программы (RAT).
@tomhunter
#news Хакеры используют ошибку Microsoft MSHTML, чтобы украсть учетки Google и Instagram. Для этого используется стилер на основе PowerShell, получивший название PowerShortShell. Атаки нацелены на пользователей Windows с помощью вредоносных вложений Winword, которые используют ошибку удаленного выполнения кода (RCE) Microsoft MSHTML CVE-2021-40444.
▶️ https://vimeo.com/603308077
@tomhunter
▶️ https://vimeo.com/603308077
@tomhunter
#OSINT #Facebook Сегодня я разберу основные источники данных, которые я применяю при проведении OSINT-исследований в соцсети Facebook:
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
├login (Restore Access)
├lookup-id (Find ID)
├@usersbox_bot (Search by VK)
├@getfb_bot (Search by Phone)
├whopostedwhat (Find Posts)
├sowdust (Find Posts)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├phantombuster (Parser)
├archive (Archive Page)
├fuckfacebook (Find Phone)
├eyeofgod (Find Phone)
├canarytokens (Check IP)
└iplogger (Check IP)
Несколько приемов поиска информации через гиперссылки:
facebook.com/browse/fanned_pages/?id=USERID (Find Likes)
facebook.com/friendship/USERID/USERID (Users Connections)
@tomhunter
#anon #wipe И снова к вопросам анонимности. Допустим, вы паритесь за то, что ваш смартфон физически достанется "врагу". Значит нужно предусмотреть возможности для очистки информации, которая на нем содержится. Первое, что приходит в голову, это блокировка и очистка смартфона, предусмотренная Android и iOS...
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
Вы также можете воспользоваться приложениями для Android, позволяющими стирать данные со смартфона:
├AutoWipe
├SecAddon
└Ripple
Что мы получили? Возможность тотально зачистить свой телефон в случае кражи, изъятия или попадания в руки супруги 😉
@tomhunter
#news Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах, запланированных для выполнения на несуществующий день, 31 февраля. Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter
Отмечу от себя, что CronRAT связывается с сервером управления и контроля, расположенным по адресу 47.115.46.167. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH. Попробуете прокачать данный IP при помощи моего инструментария?
@tomhunter