#news Никого уже не удивишь хакерами, которые атакуют других хакеров. А вот как вам хакеры, которые атакуют сами себя?
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
#news Тут вот Microsoft рассказывает, что в macOS была уязвимость, позволявшая получить полный доступ к пользовательским данным — то есть, обойти защиту Transparency, Consent, and Control (TCC).
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
#news В конце 2021 года увеличилось количество распределенных отказов в обслуживании, связанных с требованием выкупа со стороны злоумышленников. В четвертом квартале прошлого года около четверти клиентов Cloudflare, подвергшихся DDoS-атаке, заявили, что получили от злоумышленника записку с требованием выкупа. DDoS-атаки с вымогательством или вымогательством (RDDoS) стали новой угрозой в августе 2020 года и с тех пор стали более масштабными и сложными. Судя по IP-адресам, большинство этих DDoS-инцидентов происходят из Китая, США, Бразилии и Индии и развернуты такими ботнетами, как Meris.
@tomhunter
@tomhunter
#news Заразившись собственным трояном (RAT) индийские кибершпионы PatchWork (они же Dropping Elephant, Chinastrats или Quilted Tiger) раскрыли данные о своих операциях... В результате самозаражения были захвачены нажатия клавиш и скриншоты их собственного компьютера и виртуальных машин. Известно, что злоумышленники использовали вредоносные RTF-документы, выдавая себя за пакистанские власти, для заражения целей новым вариантом BADNEWS RAT, известным как Ragnatela.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах Республики Беларусь. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
#news Петербургские суды снова минируют по электронной почте. Я уже разбирал то, как была организована работа "WEX-овского минёра", на деле имеющего отношение к иностранной спецслужбе. Вероятно, потребуется еще пара-тройка расследований, чтобы все поняли кто дразнит спящего медведя.
@tomhunter
@tomhunter
#news Исследователи из Check Point рассказали, что в 2021 было на 50% больше кибератак, чем в 2020. Не последнюю роль в этом сыграл декабрь, отметившийся той-самой-уязвимостью: на этот месяц пришёлся исторический рекорд по количеству атак.
Что имеем:
⋅ По подсчётам исследователей, на одну организацию на пике в среднем приходилось по 925 атак в неделю.
⋅ Больше всего атаковали образовательные и исследовательские институты: по 1605 атак на организацию в неделю.
⋅ Больше всего атак было в Африке и Азиатско-Тихоокеанском регионе. Во второй, напомню, традиционно включают Россию.
Ох и весёлый нас год ждёт, похоже.
@tomhunter
Что имеем:
⋅ По подсчётам исследователей, на одну организацию на пике в среднем приходилось по 925 атак в неделю.
⋅ Больше всего атаковали образовательные и исследовательские институты: по 1605 атак на организацию в неделю.
⋅ Больше всего атак было в Африке и Азиатско-Тихоокеанском регионе. Во второй, напомню, традиционно включают Россию.
Ох и весёлый нас год ждёт, похоже.
@tomhunter
#news Я недавно писал о приложении Life360, которое поймали на сборе и продаже данных о геолокации детей. А теперь обнаружилась компания Vista Equity Partners, которая скупила множество сервисов, выстроила в США целую образовательную империю и собирает масштабные объёмы данных.
Vista Equity Partners принадлежит, например, PowerSchool, лидер аналитики данных по школьникам. PowerSchool утверждает, что у неё есть данные более 45 миллионов человек, в том числе 75% нынешних американских школьников. При этом родителям уже два года отказываются подробно объяснить, какие именно данные об их детях компании собирают и как именно их используют.
Журналисты проанализировали публично доступные данные PowerSchool сами, чтобы примерно оценить масштабы. Итак, компания собирает о школьниках: все базовые демографические данные, гражданство, религию, наличие дисциплинарных провинностей, медицинские диагнозы, скорость чтения и печати, полные тексты их ответов из тестов, их рисунки из заданий, полная ли у них семья, были ли они жертвами преступлений, пробовали ли наркотики… И ещё сотня параметров набирается.
Это всё как минимум — из того, что можно понять по публичным отчётам. Всё это добро используется для рекламы и алгоритмов, которые оценивают шансы ребёнка на успех в учёбе и экзаменах: например, на основе уровня дохода его семьи.
Больше деталей по ссылке.
@tomhunter
Vista Equity Partners принадлежит, например, PowerSchool, лидер аналитики данных по школьникам. PowerSchool утверждает, что у неё есть данные более 45 миллионов человек, в том числе 75% нынешних американских школьников. При этом родителям уже два года отказываются подробно объяснить, какие именно данные об их детях компании собирают и как именно их используют.
Журналисты проанализировали публично доступные данные PowerSchool сами, чтобы примерно оценить масштабы. Итак, компания собирает о школьниках: все базовые демографические данные, гражданство, религию, наличие дисциплинарных провинностей, медицинские диагнозы, скорость чтения и печати, полные тексты их ответов из тестов, их рисунки из заданий, полная ли у них семья, были ли они жертвами преступлений, пробовали ли наркотики… И ещё сотня параметров набирается.
Это всё как минимум — из того, что можно понять по публичным отчётам. Всё это добро используется для рекламы и алгоритмов, которые оценивают шансы ребёнка на успех в учёбе и экзаменах: например, на основе уровня дохода его семьи.
Больше деталей по ссылке.
@tomhunter
The Markup
This Private Equity Firm Is Amassing Companies That Collect Data on America’s Children
Vista Equity Partners has been buying up software used in schools. Parents want to know what the companies do with kids’ data
#news Хакеры — похоже, из Северной Кореи — взломали почту работника российского МИДа и разослали фишинговые письма дипломатам в других регионах.
Кампания началась как минимум 19 октября 2021. На связь с севернокорейской группировкой APT37 указывает использование RAT-малвари Konni.
Как можно заметить из скрина, особо с фишингом не изощрялись. Когда жертва открывает архив с весёлой поздравительной картинкой, она заражается малварью Konni. Письма приходили, например, в посольства РФ в Индонезии и Сербии.
@tomhunter
Кампания началась как минимум 19 октября 2021. На связь с севернокорейской группировкой APT37 указывает использование RAT-малвари Konni.
Как можно заметить из скрина, особо с фишингом не изощрялись. Когда жертва открывает архив с весёлой поздравительной картинкой, она заражается малварью Konni. Письма приходили, например, в посольства РФ в Индонезии и Сербии.
@tomhunter
#news Чтобы помочь ФБР идентифицировать пользователя Tor в 2017 году, Facebook заплатил фирме, занимающейся кибербезопасностью, за использование эксплойта нулевого дня в супербезопасной ОС Tails. Компания заплатила консалтинговой фирме по кибербезопасности шестизначную сумму за создание хакерского инструмента, который воспользовался уязвимостью в видеоплеере, поставляемом с операционной системой Tails. В 2017 году ФБР получило от судьи разрешение на развертывание технологии сетевых расследований (NIT). ФБР описало решение как настоящий видеофайл с прикрепленным к нему вредоносным ПО, позволяющим получать настоящий IP-адрес пользователя Tails.
@tomhunter
@tomhunter
#news Хакеры OceanLotus используют формат файла веб-архива (.MHT и .MHTML) для развертывания бэкдоров на скомпрометированных системах. Цепочка атак начинается со сжатия RAR большого файла веб-архива размером 35-65 МБ, содержащего вредоносный документ Word. Чтобы обойти защиту Microsoft Office, злоумышленники установили для свойства ZoneID в метаданных файла значение «2», благодаря чему файл выглядит так, как будто он был загружен из надежного источника. При открытии файла веб-архива с помощью Microsoft Word зараженный документ предлагает жертве «Включить содержимое», что открывает путь к выполнению вредоносного кода макроса VBA. После выполнения полезной нагрузки код VBA удаляет исходный файл Word и открывает документ-приманку, который выдает жертве фиктивную ошибку.
@tomhunter
@tomhunter
#news Мошенники активно пользуются желанием граждан инвестировать. За последние девять месяцев было зарегистрировано на 163% больше фейковых инвестиционных проектов (около 6 тысяч), чем за предыдущие годы. Все фейковые инвестпроекты действуют по трем популярным схемам. В первом случае вкладчикам обещают невероятные доходы, во втором - деньги от торговли нефти и газом, а в третьем - доступ к закрытым для большинства инвесторов инструментам финансовых организаций.
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
#OSINT #Security Привет. Давайте сегодня поговорим об источниках информации, предназначенных для сбора данных о гражданах Украины.
├interpol (Police Wanted)
├ssu (Police Wanted)
├mvs (Police Wanted)
├myrotvorets (Wanted)
├fiu (Wanted Terrorists)
├dmsu (Check Passport)
├erb (Debt)
├asvpweb (Debt)
├court (Forensic History)
├reyestr (Forensic History)
├youcontrol (Business Participation)
├ligazakon (Business Participation)
├edbo (Check Diploma)
├kap (Check Property)
├hsc (Check Property)
└search_social (Social Accounts)
@tomhunter
├interpol (Police Wanted)
├ssu (Police Wanted)
├mvs (Police Wanted)
├myrotvorets (Wanted)
├fiu (Wanted Terrorists)
├dmsu (Check Passport)
├erb (Debt)
├asvpweb (Debt)
├court (Forensic History)
├reyestr (Forensic History)
├youcontrol (Business Participation)
├ligazakon (Business Participation)
├edbo (Check Diploma)
├kap (Check Property)
├hsc (Check Property)
└search_social (Social Accounts)
@tomhunter
#news Украинские полицейские арестовали аффилированную группу вымогателей, ответственную за атаки по меньшей мере на 50 компаний в США и Европе. Неясно, какой штамм вымогателей использовала банда для шифрования данных на компьютерах жертв, но они доставляли вредоносное ПО через спам-письма.
Помимо программ-вымогателей, злоумышленники также использовали сервисы, подобные VPN, которые позволяли другим киберпреступникам выполнять незаконные действия, начиная от загрузки вредоносного ПО и заканчивая взломом.
Расследование показало, что эти службы использовались для компрометации систем, принадлежащих государственным и коммерческим организациям, с целью кражи конфиденциальных данных, развертывания программ-вымогателей или запуска распределенных атак типа «отказ в обслуживании» (DDoS).
@tomhunter
Помимо программ-вымогателей, злоумышленники также использовали сервисы, подобные VPN, которые позволяли другим киберпреступникам выполнять незаконные действия, начиная от загрузки вредоносного ПО и заканчивая взломом.
Расследование показало, что эти службы использовались для компрометации систем, принадлежащих государственным и коммерческим организациям, с целью кражи конфиденциальных данных, развертывания программ-вымогателей или запуска распределенных атак типа «отказ в обслуживании» (DDoS).
@tomhunter
#news Хакерская группа «BlueNoroff», была замечена в атаке на криптовалютные стартапы с помощью зараженных документов и поддельных расширений браузера MetaMask. Последние атаки направлены на криптовалютные стартапы, расположенные в США, России, Китае, Индии, Великобритании, Украине, Польше, Чехии, ОАЭ, Сингапуре, Эстонии, Вьетнаме, Мальте, Германии и Гонконге. Первая цепочка заражения использует документы, содержащие сценарии VBS, использующие старую уязвимость удаленного внедрения шаблонов (CVE-2017-0199). Вторая цепочка заражения основана на отправке архива, содержащего файл ярлыка и защищенный паролем документ (Excel, Word или PDF).
@tomhunter
@tomhunter
#news ФСБ арестовала хакеров из REvil по запросу США. Американские спецслужбы предоставили данные о потенциальном лидере группировки, и ФСБ организовала спецоперацию по аресту.
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter
#news Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров прокомментировал в беседе с РЕН ТВ задержание хакеров из группировки REvil...
"Ситуация с поимкой хакеров иллюстрирует то, что у России нет позиции не ловить хакеров на своей территории, если они не делают ничего вредоносного инфраструктуре РФ. Если группировка действительно нанесла вред другой стране, и она сейчас находится на территории России, то правоохранители не останутся в стороне. Все рассказы про то, что Россия кого-то покрывает, в итоге оказываются ложью".
@tomhunter
"Ситуация с поимкой хакеров иллюстрирует то, что у России нет позиции не ловить хакеров на своей территории, если они не делают ничего вредоносного инфраструктуре РФ. Если группировка действительно нанесла вред другой стране, и она сейчас находится на территории России, то правоохранители не останутся в стороне. Все рассказы про то, что Россия кого-то покрывает, в итоге оказываются ложью".
@tomhunter
РЕН ТВ
IT-специалист о поимке REvil: у России нет позиции не ловить хакеров
Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров прокомментировал в беседе с РЕН ТВ задержание хакеров из группировки REvil. "Насколько мне известно, эта группировка предоставляла вирус-вымогатель как услугу, в том числе они занимались…
#news На Украине в ночь на пятницу, 14 января, произошла глобальная хакерская атака на сайты министерств и кабмина. Якобы утекли личные данные украинцев...
Специалист компании T.Hunter Владимир Макаров в беседе с «Известиями» отметил, что, в данном случае речь идет скорее всего о проявлении «хактивизма» (взлом за идею). Он также отметил, что фактически какая-то информация не была украдена и куда-либо выложена.
«Это может быть обусловлено тем, что с момента атаки прошло еще слишком мало времени. Если судить по общему итогу атаки, то это явно есть или пытается казаться атакой, направленной на ухудшение украино-польских отношений. Причем якобы инициированной со стороны неких польских националистов», — сказал он.
@tomhunter
Специалист компании T.Hunter Владимир Макаров в беседе с «Известиями» отметил, что, в данном случае речь идет скорее всего о проявлении «хактивизма» (взлом за идею). Он также отметил, что фактически какая-то информация не была украдена и куда-либо выложена.
«Это может быть обусловлено тем, что с момента атаки прошло еще слишком мало времени. Если судить по общему итогу атаки, то это явно есть или пытается казаться атакой, направленной на ухудшение украино-польских отношений. Причем якобы инициированной со стороны неких польских националистов», — сказал он.
@tomhunter
#OSINT #news По стране прокатилась череда задержаний членов хакерской группы "REvil". Предлагаем содрать маску Гая Фокса с такого активного участника форумов по киберпреступности, как "Wasawaka".
Wasawaka специализировался на предоставлении доступов группировкам-вымогателям к организациям и базам данных, украденным у взломанных компаний. С его слов, он даже объединился с "DarkSide", партнерской группой вымогателей, ответственной за шестидневное отключение трубопровода "Colonial Pipeline" в прошлом году, которое вызвало общенациональную нехватку топлива и скачки цен.
Wasawaka - опаснейший хакер и, безусловно, профессионал в своей области. Но его явно погубит повторное использование одних и тех же телефонных номеров и адресов электронной почты.
@tomhunter
Wasawaka специализировался на предоставлении доступов группировкам-вымогателям к организациям и базам данных, украденным у взломанных компаний. С его слов, он даже объединился с "DarkSide", партнерской группой вымогателей, ответственной за шестидневное отключение трубопровода "Colonial Pipeline" в прошлом году, которое вызвало общенациональную нехватку топлива и скачки цен.
Wasawaka - опаснейший хакер и, безусловно, профессионал в своей области. Но его явно погубит повторное использование одних и тех же телефонных номеров и адресов электронной почты.
@tomhunter