T.Hunter

2022-05-10 17:25:57 #news Обнаружен новый способ доставки малвари, на этот раз через логи журнала событий в винде.

Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.

Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…

@tomhunter Открыть/Комментировать

2022-05-10 11:33:02 #news RuTube лежит уже больше суток — сайт подвергся мощной хакерской атаке.

Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.

@tomhunter Открыть/Комментировать

2022-05-09 18:10:11 #news Власти Коста-Рики ввели чрезвычайное положение в связи с взломом правительственных учреждений группировкой Conti.

После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.

Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.

@tomhunter Открыть/Комментировать

2022-05-09 16:30:07 #news США наложили санкции на криптомиксер Blender, после того как северокорейцы отмыли через него украденную крипту.

Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.

Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.

@tomhunter Открыть/Комментировать

2022-05-09 14:18:03 #news Сообщается о новом критическом удаленном выполнении кода в сетевых устройствах BIG-IP, отслеживаемом как CVE-2022-1388. Уязвимость затрагивает компонент аутентификации BIG-IP iControl REST и позволяет удаленным злоумышленникам обходить аутентификацию и выполнять команды на устройстве с повышенными привилегиями. Эти типы атак могут использоваться для кражи корпоративных данных или развертывания программ-вымогателей на всех сетевых устройствах. ИТ-эксперты уже выпустили обновления для устранения новой уязвимости. Они предупредили, что все администраторы должны как можно скорее обновить свои устройства.

@tomhunter Открыть/Комментировать

2022-05-08 10:38:29 #OSINT #ARCHIVE Использование веб-архивов позволяет увидеть, как веб-страница или сайт выглядели в прошлом. Часто это бывает полезно при проведении и документировании расследования. Самые популярные и бесплатные веб-архивы:

├https://archive.org/
├https://cachedview.com/
├https://archive.is/
└http://www.cachedpages.com/

Отдельно стоит сказать о сервисе https://russia.undelete.news/ru, который позволяет эффективно отслеживать аккаунты социальных сетей.

Обратите внимание на кешированные Google версии сайтов и веб-страниц. Архивная версия страницы доступна там, нажав на ссылку http://webcache.googleusercontent.com/search?q=cache:ADD_URL_HERE.

Отметим, что веб-архивы существуют не только как онлайн-сервисы. Веб-архив также доступен в виде бесплатного трансформа в программном комплексе Maltego. Также существуют веб-архивы в виде расширений для браузеров. Например, для популярного Chrome: Go Back in Time или Wayback Machine

@tomhunter Открыть/Комментировать

2022-05-06 19:48:06 #news Облачный сервис Heroku подтвердил кражу личных данных пользователей после взлома с помощью OAuth-токенов в прошлом месяце.

Сначала компания утверждала, что злоумышленник получил доступ только к GitHub-репозиториям, а сами аккаунты не пострадали. Однако на этой неделе Heroku разослала пользователям письма о принудительной смене паролей, что как бы намекало. Ну а теперь компания раскрыла подробности.

Украденные OAuth-токены дали злоумышленнику доступ к внутренней базе аккаунтов Heroku. И, соответственно, были слиты пароли пользователей. Также злоумышленник скачал несколько приватных GitHub-репозиториев с исходниками Heroku. Произошло это, напомню, ещё месяц назад. Отличный пример того, как компании не надо реагировать на взлом.

@tomhunter Открыть/Комментировать

2022-05-06 18:14:50 #news Благодарим основательницу проекта КодИБ Ольгу Поздняк за позитивный и всегда интересный движ. Как всегда, все - супер. Поговорили о насущном: расследования, анонимность в интернете и методы ее преодоления. И не забудьте подписаться на @codeibnews




@tomhunter Открыть/Комментировать

2022-05-06 15:50:57 #news Apple, Microsoft и Google планируют внедрить единый стандарт авторизации без паролей до конца 2023-го года.

Нас ждёт аутентификация по биометрии или пин-коду устройства, которое будет защищено уникальным криптографическим токеном. Впрочем, при всей болтовне о большей безопасности, токен будет легко перенести на другое устройство, в том числе из «облака». Так что насколько это усилит защиту от удалённого взлома, неясно.

А вот что сказать можно точно, так это что подобная система приватности не прибавит. Сначала пользователь будет окончательно привязан к устройству с уникальным IMEI и геолокацией. Потом останется убрать логин по пин-коду в целях «безопасности», и мы останемся один на один с системой, войти в которую можно только по биометрии. В общем, вслед за беспарольным придёт и будущее, лишенное призрачных остатков приватности.

@tomhunter Открыть/Комментировать

2022-05-06 14:58:47 #news Стыдно, товарищи... На сайте «открытых данных России» обнаружена уязвимость. Как выяснилось, любой желающий мог разместить документы на официальном государственном портале, чтобы использовать ссылку на легитимный портал в качестве подтверждения недостоверных данных.

@tomhunter Открыть/Комментировать