#news Пока мы все находимся в перманентном ожидании запуска эпического NASHSTORE, Анатолий Сморгонский, предприниматель и генеральный директор российского подразделения Gett, запустил свой российский аналог Google Play - российский магазин приложений для пользователей Android под названием RuMarket.

Давайте вспомним, какие уже есть альтернативы Google Play. Их в достатке: APK Pure, F-Droid, Aptoide, Yalp, APKUpdater, APKMirror, другие... Вот и возникает вопрос, а нафига?

@tomhunter | атакующая безопасность

#PENTEST Начинаем новую рублику - про пентест (тестирование на проникновение). Начать предлагаю с перечисления тех операционных систем, которые используются пентестерами (вдруг, кто не знает):
1️⃣ KALI LINUX
2️⃣ PARROT
3️⃣ FEDORA
4️⃣ BLACKBOX
5️⃣ BLACKARCH
6️⃣ DRACOS LINUX
7️⃣ CAINE
8️⃣ NST (Network Security Toolkit)
9️⃣ BUGTRAQ

@tomhunter | атакующая безопасность

#OSINT #Discord Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования пользовательского профиля в Discord:

├login (Restore Access)
├id (User Info)
├creation data (User Info)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├discordleaks (Leaks)
├discordhub (Servers List)
├discordservers (Servers List)
├center (Servers List)
├servers (Servers List)
├disboard (Servers List)
├discordbee (Servers List)
├chylex (Parser)
├exportcomments (Parser)
├History-Tracker (Save History)
├canarytokens (Check IP)
└iplogger (Check IP)

@tomhunter | атакующая безопасность

#PENTEST А вот где можно бесплатно поучиться этичному хакингу (кроме YouTube):
1️⃣ https://www.cybrary.it/
2️⃣ https://www.coursera.org/
3️⃣ https://www.edx.org/
4️⃣ https://www.udemy.com/
5️⃣ http://www.securitytube.net/
6️⃣ https://www.sans.org/emea/
7️⃣ https://www.hackthebox.com/

@tomhunter | атакующая безопасность

#news В ходе декомпиляции российскими реверс инженерами (https://rozetked.me/news/23040-razrabotchik-obnaruzhil-chto-otechestvennyy-magazin-prilozheniy-rumarket-osnovan-na-kataloge-f-droid) новоявленного магазина приложений RuMarket выяснилось, что приложение эксплуатирует исходный код каталога программ F-Droid. Что и требовалось доказать... очковтирательство продолжается.

@tomhunter | атакующая безопасность

#OSINT #GitHub Разберем еще основные источники данных, которые используются при проведении OSINT-исследований в сервисе GitHub:

├login (Restore Access)
├gitcolombo (User Info)
├socid-extractor (Find ID)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search_social (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├thedatapack (Find Email)
├Zen (Find Email)
├https://api.github.com/users/USERNAME/events/public (Find Email)
├https://gitlab.com/USERNAME.keys (Find SSH-Keys)
├phantombuster (Parser)
├github-chart (User Analytics)
├coderstats (User Analytics)
├canarytokens (Check IP)
└iplogger (Check IP)

@tomhunter | атакующая безопасность

#PENTEST Основные хакерские техники:
1️⃣ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
2️⃣ БРУТ-ФОРС
3️⃣ ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТЕЙ ПЛАГИНОВ
4️⃣ DDOS-АТАКИ
5️⃣ ВНЕДРЕНИЕ КОДА
6️⃣ КРАЖА COOKIE
7️⃣ АТАКИ XSS
8️⃣ DNS-СПУФИНГ
9️⃣ SQL-ИНЪЕКЦИИ

@tomhunter | атакующая безопасность

#OSINT #GOOGLE Сегодня изучим возможность идентификации владельца документов Google. В самом простом варианте достаточно лишь открыть свойства файла и навести курсор на аватарку владельца.

Если же документ у вас представлен в формате редактирования, то работа усложняется. Перейдите в свой Google Drive, откройте вкладку "Доступные мне". Нажмите F12, переведя браузер в режим просмотра кода. Выберите вкладку "Network", ниже "Fetch/XHR". Теперь кликните на исследуемый файл в Google Drive. В коде откройте пункт "v2internal?%24ct=..." и найдите там указание на почту @gmail.com. Постарался проиллюстрировать это на скрине.

Также для идентификации Google Docs можно использовать опенсорсный инструмент https://github.com/Malfrats/xeuledoc

@tomhunter | атакующая безопасность

#OSINT #BIGDATA Системы позволяющие анализировать большие массивы данных, содержащихся в файлах различных форматов. Пригодится для поиска по разрозненным базам данных, выделения сущностей (телефонов, электронных ящиков, IP-адресов и т.п.) из групп файлов. Весьма полезное приобретение.

├datashare на GitHub
├Архивариус 3000
├dtsearch
├Доктор Ватсон
├docfetcher
├ДСПИ Cros в демо
└astrogrep

@tomhunter | атакующая безопасность

#news Недавно было опубликовано любопытное исследование приложений для видеозвонков и их функции «‎Mute».

Результаты неутешительные: пока большая часть пользователей уверена, что их микрофон отключён, буквально все изученные приложения, включая Zoom, Slack и Discord, так или иначе продолжают передавать аудиоданные на сервера. Даже там, где передача ограничена, с помощью машинного обучения в 82% случаев спецам удалось определить, чем именно занят пользователь.

Таким образом, единственным надёжным методом сохранения приватности остаётся физическое отключение микрофона или его входного канала через настройки операционки. А лучше по старинке и самого устройства.

@tomhunter

#news #OSINT Google Maps снял гриф секретности с военных и стратегических объектов России. В открытом доступе с высоким разрешением оказались межконтинентальные баллистические ракеты, командные пункты и многие другие объекты. А что есть по Западу из спутников:

├Observer
├USGS Earth Explorer
├Landviewer
├Copernicus Open Access Hub
├Sentinel Hub EO Browser
├Sentinel Hub Playground
├NASA Earthdata Search
├INPE Image Catalog
├NOAA Data Access Viewer
├NASA WorldView
├ALOS
└Bhuvan

@tomhunter | атакующая безопасность

#news 21 апреля с 09:30 присоединяйтесь к конференции Код ИБ в Санкт-Петербурге, чтобы во время докладов и в кулуарах получить максимум информации для поддержания максимального уровня защищенности вашей компании. Или просто приходите пообщаться со специалистами T.Hunter...

ЗАРЕГИСТРИРОВАТЬСЯ

#news Обнаружен новый эксплойт iMessage, используемый для установки шпионского ПО от NSO Group на iPhone. Он использовался в кампании, нацеленной не менее чем на 65 человек в период с 2017 по 2020 год. А сколько их еще будет обнаружено...

@tomhunter | атакующая безопасность

#news К новостям из серии «‎С ИБ-днища постучали». Оказывается, при включённых резервных копиях в iCloud в облако сохраняются сид-фразы от горячих криптокошельков. Ага.

Это оказалось верно для кошелька MetaMask, и пользователи, не добавившие его в исключения для яблочного облака, рискуют криптой в случае взлома их аккаунта. Один бедолага так уже лишился $655 тысяч после простенькой фишинговой атаки: пара смс и подставной звонок с просьбой сменить пароль от «‎скомпрометированного» Apple-аккаунта, и злоумышленники вытащили из его хранилища сид-фразу от кошелька.

Спецы ожидают взрывного роста таких атак на пользователей MetaMask, рекомендуют отключать кошелёк от облака и не распространяться о своих цифровых капиталах. Молчи, скрывайся и таи все крипто-ассеты свои, так сказать. В цифровую эпоху деньги по-прежнему любят тишину.

@tomhunter

#news Децентрализованная финансовая платформа Beanstalk сообщила о взломе. Атака через флэш-кредит обошлась компании в $182 миллиона. На фоне этого стоимость их стейблкойна просела с доллара до пяти центов.

Злоумышленник использовал уязвимость в новом протоколе ликвидности и, взяв флэш-кредит, закупил токены управления Stalk на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Токены, использующиеся для голосования на платформе, можно было получить таким флеш-кредитом, и на их силу для голосования это не влияло, что и сделало атаку возможной.

Атаки на DeFi-платформы всё так же в тренде, и будущее Beanstalk довольно туманно. Что занятно, хакер пожертвовал 250 тысяч долларов на криптосчёт Украины. Такой вот, кхм, этичный хакинг.

@tomhunter

#news А мы начинаем КодИБ. От T.Hunter в мероприятии участвует Владимир Макаров, главный специалист департамента аудита ИБ. В холле есть наш стенд, будем рады пообщаться.

@tomhunter

Новая статья о нетипичных приемах логирования и идентификации пользователей сети Интернет. Приемы всегда привлекали особе внимание со стороны правоохранительных органов, частных детективов и представителей служб безопасности. Сегодня мы расскажем о них. Приятного чтения!

#news Совершив недавнюю рекордную криптокражу, корейцы из Lazarus не собираются останавливаться на достигнутом. Сейчас они ведут рассылку троянцев в фишинговых атаках на работников блокчейн- и крипто-компаний.

Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под винду и макось — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.

Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года.

@tomhunter

#news ФБР выпустило предупреждение об активности рансомварь-группировки Black Cat. Согласно отчёту, этим хакерам удалось взломать 60 организаций меньше чем за последние полгода.

Группировка, судя по всему, является BlackMatter под новой вывеской, ушедшей в тень, после того как в конце 2021-го в их рансомвари нашли уязвимость и выкатили декриптор. Из примечательного, используемый ими зловред написан на RUST, первый в своём роде. Спецы отмечают высокую адаптируемость приблуды от Black Cat и несколько методов шифрования. Так что, глядишь, в этот раз они не сольются так же быстро, как в прошлый.

ФБР традиционно призывает не выплачивать выкупы злоумышленникам и помочь любителям чертовски хорошего кофе поймать чёрную кошку в тёмном мире киберпреступности.

@tomhunter

#news Возвращение, которого никто не хотел, но многие ждали. Тор-сервера REvil ожили и ведут на новый сайт. И на нём набирают русских хакеров!

Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылочек на фишки других группировок. Пока не проведён анализ рансомвари, впрочем, невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Никаких заявлений от них также не было.

Так что пока остаётся лишь спекулировать: либо это и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора. Будем следить за развитием событий.

@tomhunter

#news Неутешительные новости для пользователей криптобиржи Binance. На Reuters вышла обзорная статья по истории работы биржи в России. А приурочена она к тому, что, судя по всему, Binance решил выдать Росфинмониторингу данные пользователей из России.

В статье утверждается, что представитель биржи Глеб Костарев по требованию Росфина согласился передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора.

Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для манёвра у рядового криптомонетчика остаётся всё меньше.

@tomhunter