T.Hunter

2022-05-25 08:11:19 #news С начала СВО было выявлено четыре компании по распространению RAT, имитирующих обновления Windows. Все компании были нацелены на российские правительственные организации. Во всех четырех случаях конечной целью кампаний было заражение целей пользовательским трояном удаленного доступа (RAT), который, скорее всего, использовался для слежки.

@tomhunter Открыть/Комментировать

2022-05-24 19:18:57 #news Популярные библиотеки для Python и PHP подменили на содержащие вредонос для кражи переменных среды и данных доступа к Amazon Web Services.

Скомпрометировали модуль для Питона ctx и PHP-пакет hautelook/phpass. У модуля 20к скачиваний в неделю, и последние пару недель все его версии содержали зловред. Скорее всего, хакер угнал аккаунт разработчика. Пакет же заменили, пересоздав удалённый GitHub-репозиторий, но с этим обошлось, так как все давно сидят на его форке.

Стоящий за атаками злоумышленник якобы очевиден, но пока не назван. Ранее после вала похожих атак GitHub ввёл обязательную двухфакторную аутентификацию для топ-100 npm-пакетов. Другие платформы, вероятно, последуют примеру.

@tomhunter Открыть/Комментировать

2022-05-24 14:59:54 #news Аккаунты пользователей на многих сайтах могут быть взломаны ещё до того, как они будут зарегистрированы.

Речь об атаках, в ходе которых на почту потенциальной жертвы заранее регистрируют аккаунт. Если в него войдёт владелец ящика, предугадливый взломщик может сохранить доступ разными методами. Самый распространённый — незаконченная сессия, но вариантов много. В некоторых случаях удаётся обойти и верификацию почты.

Из 75 популярных сервисов к разным атакам оказались уязвимы 35, в том числе Dropbox и LinkedIn. Крупные-то площадки это быстро поправят, а сколько мелких останутся с уязвимостями — не счесть. Безопасники Мелкософта также опубликовали подробную статью об этом типе атак и защите от них.

@tomhunter Открыть/Комментировать

2022-05-23 14:20:06 #news Злоумышленники используют дипфейки Илона Маска и других известных любителей крипты для продвижения очередной мошеннической криптосхемы.

В ход идёт создание каналов на YouTube и взлом существующих, на которые загружают куски реальных интервью с наложенным текстом. Маска выдают за CEO криптоплатформы BitVex, манящего невиданными 30% доходности. До Луны давали двадцаточку, а до Марса и все тридцать можно выписать, значит.

Сами дипфейки и липовый сайт довольно нелепые, но готовые снова купиться на громкие имена наверняка найдутся. Так, в начале мая, прикрываясь именем Маска, скаммеры стянули около $1,5 миллионов. Нет, Илон Маск не хочет дать вам халявных денег! Duh.

@tomhunter Открыть/Комментировать

2022-05-23 12:57:18 #news Как Facebook определяет изначальное авторство фотографии, маркирует и отслеживает загружаемый контент? Выяснилось, что Facebook потенциально может отслеживать фотографии за пределами своей собственной платформы. Для этого социальная сеть встраивает специальный код в метаданные изображения. Если вы скачаете фото с Facebook и откроете в любом 16-ричном редакторе, то сможете увидеть данные специальной инструкции IPTC (начинается с FBMD), позволяющий следить за контентом.

Официально, IPTC данные представляют собой информацию, которая добавляется в фотографию или иллюстрацию и может быть выделена из нее специальными программными средствами.

@tomhunter Открыть/Комментировать

2022-05-20 21:10:54 #news Сбербанк отчитался о крупнейшей в его истории DDoS-атаке. В начале мая по системам банка шёл наброс в 450GB/сек. с 27 тысяч устройств.

С конца февраля банк круглосуточно находится под атакам, и злоумышленники используют новые методы. В ход идут вредонос в рекламных скриптах и расширениях для Chrome, заточенные под системы банка docker-контейнеры и другие приблуды. Директор отдела кибербезопасности Сбера утверждает, что они успешно справляются с многократно возросшими угрозами.

На фоне его радужного отчёта сегодняшние заявления из Совбеза звучат мрачно. Там официально озвучили, что на трети объектов критической инфраструктуры в России нет структурных подразделений по защите информации. А большинство систем и сетей связи в госорганах уязвимы для массированных атак. Ну, теперь дело за малым, кхм…

@tomhunter Открыть/Комментировать

2022-05-20 19:09:01 #news На днях масштабно обновился постоянно меняющий домены сайт, созданный после мартовских утечек из Яндекса. На нём выложили данные клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна» и из других источников.

Компании, естественно, начали всё отрицать. Первым сознался Delivery Club: признали утечку телефонов и данных заказов, хотя сначала это опровергали. Цена слитой базы — глубочайшие извинения, ну и, может, символический штраф от Роскомнадзора. «Мы очень извиняемся. Мы извиняемся. Простите!» — сообщают в Delivery Club.

Авторы сайта заявляют, это такой перфоманс, так как у нас не ценят конфиденциальность. Кто в итоге победит, самопровозглашённые инфосек-Робин Гуды или сотрудники компаний, сливающие базы клиентов за мелкий прайс, — вопрос риторический.

@tomhunter Открыть/Комментировать

2022-05-20 14:53:04 #news Conti закрывает свои операции и распределяет членов по другим хакерским группировкам.

Эксперты пишут, нашумевшая атака на правительство Коста-Рики была пиар-ходом, чтобы провернуть их уход. Теперь Conti отключила свои сервисы и объявила, что часть её участников либо вольются в другие группировки, либо будут действовать автономно. Кроме того, они заявили о перехвате управления неназванной хакерской шайкой, под брендом которой будут продолжать работу.

Напомню, громкое имя Сonti пострадало, после того как они объявили о поддержке известно каких геополитических манипуляций — один исследователь в их рядах слил переписки и исходники группировки. Что ж, операцию украинского Штирлица против Conti можно считать успешной. А смогут ли они достичь прежних результатов под новым именем, покажет время.

@tomhunter Открыть/Комментировать

2022-05-20 11:38:59 #OSINT #Maltego Наиболее полная подборка бесплатных трансформов для программного комплекса Maltego:

├Hacker Target IP
├Nmap (parsing xml results)
├ThreatCrowd search API
├OpenCTI
├OpenDNS Investigate API
├Nextego v1.0
├Recon NG
├Internet archive (webarchive.org)
├Abusix.com
├BreachAlarm
├Clearbit
├Facebook
├FullContact
├Github
├Gravatar
├I Have Been Pwned
├Host.io
├Greynoise
├Hunchly
├MaltegoAliasToEmail
├Domaintools
├Fofa.so
├cqfd-maltego
├Holehe
├Hunter.io
├Keskivonfer
├nqntnqnqmb-maltego
├Phoneinfoga
├Quidam
├Toutatis
├VirusTotal (Public API v2.0)
├Custom transforms
├MISP-maltego
├Censys (SSL and IP info)
├Skype
├Interpol
├NessusScan
├Maigret
├Binaryedge
├True People Search
├Blockchain DNS
├Twint
├Steam
├IntelX
└OpenDNS

@tomhunter Открыть/Комментировать

2022-05-20 11:08:10 #news Миллионам государственных служащих и подрядчиков США были выданы суперзащищенные смарт-карты-удостоверения личности, которые обеспечивают физический доступ к зданиям и контролируемым пространствам, а также обеспечивают доступ к правительственным компьютерным сетям и системам с соответствующим уровнем безопасности держателя карты...

Ха! Первая же попытка обновить домашний считыватель смарт-карты привела пользователя к скачиванию вредоносного ПО, распространяемого через официальный сайт производителя Saicoo. Вредонос был идентифицирован, как Ramnit, довольно распространенный, но опасный троян.

@tomhunter Открыть/Комментировать