#news Шикарный баг обнаружили в Хондах и Акурах. Уязвимость под атаки повторного воспроизведения позволяет удалённо открыть машины и даже завести.
Перехватив сигнал с ключа, злоумышленник может повторно отправить его позже. Из забавного, Honda официально заявила, что старые модели, даже если они уязвимы к атаке, обновлять не будут. Мол ничего страшного, как-нибудь обойдётся. Из оригинальных решений спецами предложено носить ключ от авто в кустарном мешочке Фарадея.
В общем, если ваша старенькая Хонда внезапно сама покатится в никуда, агрессивно мигая фарами — не бойтесь, ещё не началось.
@tomhunter | атакующая безопасность
Перехватив сигнал с ключа, злоумышленник может повторно отправить его позже. Из забавного, Honda официально заявила, что старые модели, даже если они уязвимы к атаке, обновлять не будут. Мол ничего страшного, как-нибудь обойдётся. Из оригинальных решений спецами предложено носить ключ от авто в кустарном мешочке Фарадея.
В общем, если ваша старенькая Хонда внезапно сама покатится в никуда, агрессивно мигая фарами — не бойтесь, ещё не началось.
@tomhunter | атакующая безопасность
🔥13
#news Эстонец Максим Березан, ответственный за 13 рансомварных атак на $53 миллиона, сегодня отправился в США в тюрьму на 5 с лишним лет. Как сообщается, он был активным участником форума DirectConnection (закрылся в 2015).
Березан специализировался на дропах и выводе денег с украденных счетов. Специализировался весьма успешно, судя по тому, что у него конфисковали две Porsche и крипты с наличкой на почти $2 млн.
Разбор увлекательной истории со слезами ностальгии по ссылочке выше.
@tomhunter | атакующая безопасность
Березан специализировался на дропах и выводе денег с украденных счетов. Специализировался весьма успешно, судя по тому, что у него конфисковали две Porsche и крипты с наличкой на почти $2 млн.
Разбор увлекательной истории со слезами ностальгии по ссылочке выше.
@tomhunter | атакующая безопасность
🔥7🎉1
#news Ещё на днях писал про впечатляющие успехи Lapsus$ на киберпреступных фронтах. А теперь в Лондоне арестовали семерых её предположительных членов, включая лидера группировки.
Так вот… Фильм «Хакеры» все помнят? Лидеру группировки 16 лет. У мальчика аутизм. И 300 биткоинов в загашнике ака 14 миллионов долларов. Остальным от 16 до 21 года. Юного преступного гения якобы сдали обиженные на него подельники, слив все явки и пароли. Может, ещё и ехидный дисс на него в ТикТоке записали или чем там сейчас подростки промышляют.
Впрочем, выслеживавшие Lapsus$ спецы утверждают, что вышли на след пацана уже давно, и пока не ясно, действительно ли его компания юных и находчивых ответственна за все взятые на себя взломы. Так что, глядишь, айти-колоссам на глиняных ногах пока расслабляться рано. Хотя история уже огонь. Жизнь имитирует искусство!
@tomhunter | атакующая безопасность
Так вот… Фильм «Хакеры» все помнят? Лидеру группировки 16 лет. У мальчика аутизм. И 300 биткоинов в загашнике ака 14 миллионов долларов. Остальным от 16 до 21 года. Юного преступного гения якобы сдали обиженные на него подельники, слив все явки и пароли. Может, ещё и ехидный дисс на него в ТикТоке записали или чем там сейчас подростки промышляют.
Впрочем, выслеживавшие Lapsus$ спецы утверждают, что вышли на след пацана уже давно, и пока не ясно, действительно ли его компания юных и находчивых ответственна за все взятые на себя взломы. Так что, глядишь, айти-колоссам на глиняных ногах пока расслабляться рано. Хотя история уже огонь. Жизнь имитирует искусство!
@tomhunter | атакующая безопасность
🔥12
#news В ближайшее время нам, вероятно, будет преподнесена новость о взломе/утечке 100 с лишним миллионов данных пользователей российской соцсети ВКонтакте. По крайней мере, именно с таким посылом, в Telegram-каналах распространяется некие базы данных... По моей оценке, актуальность этих баз - где-то 2009-2010 год... псссс, знаю где свежее лежит))). Странное время... фейковые новости, фейковые хакеры...
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥11🎉4🤮4
#news Всего пару недель назад в канале был пост о проникновении малвари Racoon Stealer в Телеграм. И если помните, спецы считали, что создатели енота-воришки базируются на территории СНГ. Ну, всё так. Вчера они сообщили о том, что сворачивают работу. Главный разработчик погиб. Сами догадаетесь где.
Racoon Stealer распространялся по схеме MaaS (Вредоносное ПО как услуга) и был крайне популярен в силу своей универсальности. Создатели трояна планируют позже вернуться на рынок, а пока их клиенты массово переходят на аналог, Mars Stealer. Так что теперь о нём будете слышать гораздо чаще. Здесь можно глянуть подробный техразбор малвари.
@tomhunter | атакующая безопасность
Racoon Stealer распространялся по схеме MaaS (Вредоносное ПО как услуга) и был крайне популярен в силу своей универсальности. Создатели трояна планируют позже вернуться на рынок, а пока их клиенты массово переходят на аналог, Mars Stealer. Так что теперь о нём будете слышать гораздо чаще. Здесь можно глянуть подробный техразбор малвари.
@tomhunter | атакующая безопасность
🔥11😱4🤮2❤1💩1
#news Метод рендеринга более 3-х лет позволял злоумышленникам создавать фишинговые сообщения в Instagram, iMessage, WhatsApp, Signal и Facebook Messenger, выглядящие вполне легальными. Уязвимости представляла собой ошибки рендеринга, в результате чего интерфейс приложений неправильно отображает URL-адреса с внедренными управляющими символами Unicode RTLO.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🤔6❤2🤮1
#OSINT Решил немного отойти от правил и разместил новость на Телеграфе. Расскажу все о том же, об идентификации пользователей сети интернет при помощи общедоступного ПО и сервисов.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥13🤬6💩6❤2🤔1🤮1
#news Свежий патч для Sophos Firewall исправляет критическую уязвимость с заходом на RCE. Баг позволял обойти аутентификацию в интерфейсах User Portal и Webadmin и выполнить вредоносный код.
Уязвимость серьёзная, так что устройства нуждаются в срочном обновлении. Старым версиям повезло меньше, в отношении них предложено вручную убедиться, что к этим интерфейсам нет доступа извне. Это уже третья крупная уязвимость, исправленная Sophos за неделю, чьи продукты злоумышленники постоянно тестируют на прочность.
@tomhunter | атакующая безопасность
Уязвимость серьёзная, так что устройства нуждаются в срочном обновлении. Старым версиям повезло меньше, в отношении них предложено вручную убедиться, что к этим интерфейсам нет доступа извне. Это уже третья крупная уязвимость, исправленная Sophos за неделю, чьи продукты злоумышленники постоянно тестируют на прочность.
@tomhunter | атакующая безопасность
🔥9
#news Идёт массовая рассылка банковского трояна IceID через угнанные цепочки писем в Microsoft Exchange. Хакеры маскируют письма с малварьной нагрузкой под продолжение дискуссии, чтобы ввести жертв атаки в заблуждение.
Между тем прошёл уже почти год с тех пор как мелкософт выпустил патчи для Proxylogon/ProxyShell уязвимостей, используемых в атаке. И идёт она через общедоступные, непропатченные сервера. Казалось бы, при чём здесь информационная безопасность?
@tomhunter | атакующая безопасность
Между тем прошёл уже почти год с тех пор как мелкософт выпустил патчи для Proxylogon/ProxyShell уязвимостей, используемых в атаке. И идёт она через общедоступные, непропатченные сервера. Казалось бы, при чём здесь информационная безопасность?
@tomhunter | атакующая безопасность
🔥10🤔2
#news Хакеры вставляют в сайты WordPress вредоносный скрипт, который использует браузеры посетителей для выполнения DDOS-атак. Атаки DDoS происходят в фоновом режиме, и пользователь не узнает об этом, за исключением замедления работы браузера. При исследовании скрипта для поиска других зараженных сайтов было обнаружено, что тот же скрипт используется проукраинским сайтом https://stop-russian-desinformation.near.page, который используется для координации атак на российские сайты. При посещении этого сайта браузеры пользователей используются для проведения DDoS-атак на 67 российских сайтов.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥11❤3🤬3🤔1
Санкции-санкциями... делать нечего, будем развивать сообщество в отечественной социальной сети. В общем, присоединяйтесь к нам во ВКонтакте. Будет интересно, познавательно и стильно-модно.
▪️ https://vk.com/tomhunter
▪️ https://vk.com/tomhunter
💩38🔥10🤮8
#news К новостям о рансомварь-пионерах так называемого тройного вымогательства. Спецы сообщают, что авторы SunCrypt, ребята совсем без чести и совести, отличившиеся взломом школьных систем, всё ещё в деле. Под лупой новый вариант их вредоносного кода.
SunCrypt версии 2022-го года может похвастаться разве что способностью вырубать процессы и сервисы да подтирать за собой логи. Он всё также шифрует и локальные, и сетевые папки, не трогая винду и прочее сопутствующее для работы системы.
Стоящие за Suncrypt люди предпочитают не светиться, и ещё только предстоит увидеть, насколько серьёзную угрозу они способны представлять в будущем.
@tomhunter
SunCrypt версии 2022-го года может похвастаться разве что способностью вырубать процессы и сервисы да подтирать за собой логи. Он всё также шифрует и локальные, и сетевые папки, не трогая винду и прочее сопутствующее для работы системы.
Стоящие за Suncrypt люди предпочитают не светиться, и ещё только предстоит увидеть, насколько серьёзную угрозу они способны представлять в будущем.
@tomhunter
🔥10
#news Symantec рапортует об относительно новом загрузчике малвари Verblecon. Его используют для установки криптомайнеров.
Verblecon написан на джаве и наиболее примечателен полиморфизмом своего кода, что позволяет обходить многие антивирусные проверки. Кроме того, его пока использовали для малоприбыльных атак, так что пристального внимания удавалось избегать. Такой вот неуловимый джава-ковбой.
Спецы предполагают, что автор загрузчика не осознаёт вредоносный потенциал своего творения. Так что если Verblecon попадёт в более квалифицированные руки, проблем он сможет доставить гораздо больше.
@tomhunter
Verblecon написан на джаве и наиболее примечателен полиморфизмом своего кода, что позволяет обходить многие антивирусные проверки. Кроме того, его пока использовали для малоприбыльных атак, так что пристального внимания удавалось избегать. Такой вот неуловимый джава-ковбой.
Спецы предполагают, что автор загрузчика не осознаёт вредоносный потенциал своего творения. Так что если Verblecon попадёт в более квалифицированные руки, проблем он сможет доставить гораздо больше.
@tomhunter
🔥10
#news Некий хакер украл почти $620 миллионов в криптовалюте с моста Ronin, принадлежащего игре Axie Infinity. Кажется, теперь это рекордная кража крипты, побившая прошлый рекорд с $611 млн в августе 2021.
Украли 173,600 ETH и 2,5 млн USDC-токенов двумя транзакциями — первая, вторая.
Хакер смог установить контроль над 5 из 9 валидаторов, подтверждавших транзакции в сети, что и позволило ему вывести крипту. Большая часть пока так и остаётся на его балансе, хоть и есть небольшие подвижки с выводом денег в обменники и на другие адреса.
Атака случилась ещё 23 февраля, но узнали о ней только сейчас: пользователь безуспешно пытался вывести 5000 ETH. Неловко вышло.
@tomhunter
Украли 173,600 ETH и 2,5 млн USDC-токенов двумя транзакциями — первая, вторая.
Хакер смог установить контроль над 5 из 9 валидаторов, подтверждавших транзакции в сети, что и позволило ему вывести крипту. Большая часть пока так и остаётся на его балансе, хоть и есть небольшие подвижки с выводом денег в обменники и на другие адреса.
Атака случилась ещё 23 февраля, но узнали о ней только сейчас: пользователь безуспешно пытался вывести 5000 ETH. Неловко вышло.
@tomhunter
🔥13❤2
#OSINT Вчера начал обновлять наше новое сообщество во ВКонтакте. Запилил статью о простых методах и приемах идентификации криптовалютных кошельков. Напоминаю, что все источники, предназначенные для исследования криптовалют я собрал по этой ссылке.
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
VK
Поговорим об идентификации криптовалютных кошельков
Как известно, крупнейшими криптовалютами являются Bitcoin и Ethereum. На них и акцентируем внимание. Сразу скажу, что мы не будем погружа..
💩8🔥3🤮3
#news Не успела отгреметь панихида по еноту-воришке, как пошли первые новости по его аналогу Mars Stealer. Хакеры используют рекламу в гугле для продвижения подставных сайтов Open Office, на которых сидит шоколадная малварь. Почувствовали вкус к жизни, так сказать. И крипте.
Из забавного, стоящий за атакой умудрился заразить свою машину во время дебага, это позволило спецам отследить неудачливого воришку, найти его аккаунт на гитлабе и многое другое. Что-то мне подсказывает, у такого криворукого умельца вряд ли всё будет в шоколаде. Но за ним валом последуют и другие. В общем, берегите свои устройства, в этот раз шоколад к успеху идёт.
@tomhunter
Из забавного, стоящий за атакой умудрился заразить свою машину во время дебага, это позволило спецам отследить неудачливого воришку, найти его аккаунт на гитлабе и многое другое. Что-то мне подсказывает, у такого криворукого умельца вряд ли всё будет в шоколаде. Но за ним валом последуют и другие. В общем, берегите свои устройства, в этот раз шоколад к успеху идёт.
@tomhunter
❤7🔥4
#news Европол сообщает об аресте более ста человек в Литве и Латвии в связи с крупной мошеннической схемой формата липовый инвестиционный колл-центр.
Мультиязычная группировка, насчитывавшая двести подставных брокеров, звонила жертвам с предложениями инвестировать в крипту, валюту и товарные активы. Оборот впечатляющий — как минимум три миллиона евро в месяц. Сколько начинающих польских бизнесменов пало жертвой мошенников, не сообщается.
По ссылке выше видео с экшеном и штурмом офисов. Эх, где же Европол, когда звонят из поддержки Сбербанка... Увы, офисы этой децентрализированной группировки охраняются гораздо более надёжно.
@tomhunter
Мультиязычная группировка, насчитывавшая двести подставных брокеров, звонила жертвам с предложениями инвестировать в крипту, валюту и товарные активы. Оборот впечатляющий — как минимум три миллиона евро в месяц. Сколько начинающих польских бизнесменов пало жертвой мошенников, не сообщается.
По ссылке выше видео с экшеном и штурмом офисов. Эх, где же Европол, когда звонят из поддержки Сбербанка... Увы, офисы этой децентрализированной группировки охраняются гораздо более надёжно.
@tomhunter
🔥9
#news В интернет-камерах от фирмы Wyze была уязвимость, позволявшая получить доступ к видео и фото с SD-карт, а также логам с ключами и идентификаторами. Её наконец исправили! Вот только спецы из Bitdefender сообщили им об этом баге ещё в марте 2019-го.
Счастливым пользователям предлагают вспомнить о стоящих у них устройствах и обновиться. Более того, первая версия камер от Wyze, поддерживать которые прекратили ещё в 2020-м, апдейта вообще не получит, так что на них уязвимость никуда не денется. Bitfender прямо советует выкинуть старые модели в печь.
Три года на фикс уязвимости с неограниченным удалённым доступом к камерам юзеров! Ну, лучше поздно, чем никогда. Наверное.
@tomhunter
Счастливым пользователям предлагают вспомнить о стоящих у них устройствах и обновиться. Более того, первая версия камер от Wyze, поддерживать которые прекратили ещё в 2020-м, апдейта вообще не получит, так что на них уязвимость никуда не денется. Bitfender прямо советует выкинуть старые модели в печь.
Три года на фикс уязвимости с неограниченным удалённым доступом к камерам юзеров! Ну, лучше поздно, чем никогда. Наверное.
@tomhunter
🔥8
#OSINT Ловите еще одну мою статью из нашего сообщества во ВКонтакте. Разобрал тему идентификации пользователей популярного мессенджера Skype.
♾ https://vk.com/@tomhunter-deanonimizaciya-profilya-skype
@tomhunter | атакующая безопасность
♾ https://vk.com/@tomhunter-deanonimizaciya-profilya-skype
@tomhunter | атакующая безопасность
💩10❤3🤮1
#news Спецы из SysDig пророчат явление нового Log4Shell, берегите свои джава-поделки!
Уязвимость с рабочим названием Spring4Shell может скрываться в каком угодно приложении, использующем фреймворк Spring Cloud.
Как и нашумевший Log4Shell, абьюзится она элементарнейшим образом: одна вредоносная строчка, и готово. Так что новый всадник джава-апокалипсиса также рискует пронестись неудержимым багожеребцом по всему многострадальному жаба-миру. Остаётся лишь поскорее накатывать патчи и шерстить свои устройства на предмет пропущенного эксплойта уязвимости.
@tomhunter
Уязвимость с рабочим названием Spring4Shell может скрываться в каком угодно приложении, использующем фреймворк Spring Cloud.
Как и нашумевший Log4Shell, абьюзится она элементарнейшим образом: одна вредоносная строчка, и готово. Так что новый всадник джава-апокалипсиса также рискует пронестись неудержимым багожеребцом по всему многострадальному жаба-миру. Остаётся лишь поскорее накатывать патчи и шерстить свои устройства на предмет пропущенного эксплойта уязвимости.
@tomhunter
🔥8
#news При анализе рансомвари от группировки Hive спецы обнаружили новый, весьма занятный метод запутывания кода.
Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, неблагозвучные айпифускация или айпипутывание, если по-нашему. По ссылке выше техразбор используемых манипуляций.
Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!
@tomhunter
Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, неблагозвучные айпифускация или айпипутывание, если по-нашему. По ссылке выше техразбор используемых манипуляций.
Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!
@tomhunter
❤9🤯5