T.Hunter

2021-10-25 12:45:03 #news Критическая уязвимость Discourse CVE-2021-41163 удаленного выполнения кода (RCE), была исправлена ​​с помощью срочного обновления в пятницу. Уязвимые версии - 2.7.8 и старше, и лучший способ снизить риск - обновить до 2.7.9 или более поздней версии.

Shodan выявил 8 641 развертывание Discourse, многие из которых все еще могут быть подвержены риску компрометации. Всем, кто не может обновиться до последней версии, рекомендуется блокировать запросы с путем, начинающимся с '/ webhooks / aws', на прокси-сервере верхнего уровня. 

@tomhunter Открыть/Комментировать

2021-10-25 10:33:07 #OSINT #Password Всех с началом трудовой недели. Сегодня я расскажу об источниках, которые использую для идентификации пользователей по их паролю. В сети есть несколько ресурсов, которые позволяют искать связанные никнеймы и адреса электронной почты по утекшим паролям. Ими и воспользуемся:

├leaklookup (Need Registration)
├leakpeek (Free)
├eyeofgod (Command /pas)
├leakcheck (Enterprise Plan)
├karma (GitHub)
└darknet (Need TOR)

@tomhunter Открыть/Комментировать

2021-10-24 20:09:03 #news Оказывается, компания Emsisoft с этого лета тайно расшифровывала жертв вымогателя BlackMatter. Поскольку жертвы начали отказываться платить, BlackMatter стала более подозрительной. Это вылилось в прямые угрозы жертвам. К сожалению, BlackMatter узнала о дешифраторе в конце сентября и смогла исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.

#tomhunter Открыть/Комментировать

2021-10-24 14:50:43 #news На днях, житель Петербурга отбрил телефонного мошенника. В ответ мошенник, используя "служебное положение", подделал номер телефона петербуржца и "заминировал" с него здание Петроградского УМВД. Очевидно, что "сваттинг" (ложное сообщение о минировании от лица конкретного человека) берут на вооружение не только "виртуальные минёры". Он позволяет оттянуться оскорбленным мошенникам за счет недокументированного использования силовиков.

@tomhunter Открыть/Комментировать

2021-10-24 12:51:33 #news Allianz Global Corporate & Specialty (AGCS) отметила, что число киберпреступлений выросло на 125% в первой половине 2021 года по сравнению с предыдущим годом. Наибольший рост произошел за счет инцидентов с программами-вымогателями, число которых увеличились на 62%. По различным оценкам, только атаки вымогателей принесли киберпреступникам около 20 млрд $.

@tomhunter Открыть/Комментировать

2021-10-24 12:23:29 #news Возвращаюсь к своей излюбленной теме. Команда китайских хакеров взломала последнюю версию операционной системы Apple на iPhone 13 Pro. Хотя iOS 15.0.2 была доступна всего неделю, хакерам удалось взломать телефон за 15 секунд. Произошло это во время соревнований по кибербезопасности в Чэнду, Китай. Взломщики не раскрыли свою методику. А что же Apple? Продолжает нахваливать защищенность своих устройств.

@tomhunter Открыть/Комментировать

2021-10-23 19:52:20 #news "Многие поставщики интернет-услуг (ISP) собирают и передают гораздо больше данных о своих клиентах, чем многие потребители могут ожидать, включая доступ ко всему их интернет-трафику и данным о местоположении в реальном времени" - неожиданно прозрела Федеральная торговая комиссия (FTC) США.

Госведомство отметило, что рекламодатели и технологические компании демонстрирует абсолютное презрение к идее пользовательского контроля за своими персональными данными. Фактически невозможно противопоставить что-либо бесконтрольному сбору пользовательских данных ИТ-корпорациями.

@tomhunter Открыть/Комментировать

2021-10-23 15:36:32 #news На днях писал о том, что в трёх npm-библиотеках нашли криптомайнеры. Неприятно, конечно, но могло быть хуже: у них там загрузки всего десятками измерялись.

Теперь установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за последнюю неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это очень удобная почва для достраивания малвари.

Патч уже есть. Скомпрометированы версии 0.7.29, 0.8.0 и 1.0.0; их нужно как можно сокрее обновить до 0.7.30, 0.8.1 и 1.0.1 соответственно.

А Гитхаб-тред с деталями можно почитать тут.

@tomhunter Открыть/Комментировать

2021-10-23 13:02:37 #news Ещё немного про свежие руткиты. Исследователи заметили, что у руткита FiveSys есть цифровая подпись Microsoft, позволяющая ему незаметно проникать в Windows-системы. Он активен уже больше года и целится в китайских геймеров, у которых ворует различные данные.

FiveSys через прокси перенаправляет трафик на зловредные домены под управлением хакеров, а также блокирует загрузку драйверов конкурирующей малвари. Ещё в малварь включили список из 300 с хвостиком случайно генерируемых запасных доменов, чтобы усложнить его выпиливание из системы.

Microsoft ранее вводила крайне строгие требования к своей подписи, чтобы помешать хакерам. Кажется, не очень работает: это далеко не первый обошедший ограничения руткит. Сразу вспоминается июньский Netfilter (Microsoft его называл Retliften), с которым FiveSys объединяет интерес к китайским геймерам. Конечно же, подпись у нового руткита уже забрали, но появление следующего, похоже, только вопрос времени.

@tomhunter Открыть/Комментировать

2021-10-23 12:40:36 #news Evil Corp запустила новую программу-вымогатель под названием Macaw Locker, чтобы обойти санкции США, которые не позволяют жертвам выплачивать выкуп. Программа-вымогатель Macaw Locker шифрует файлы жертв и добавляет расширение .macaw к имени файла при проведении атак. При шифровании файлов программа-вымогатель также создает заметки о выкупе в каждой папке с именем macaw_recover.txt. Для каждой атаки записка с требованием выкупа содержит уникальную страницу переговоров жертвы на сайте Tor в Macaw Locker и связанный с ней идентификатор дешифрования или идентификатор кампании. Теперь, когда Macaw Locker был разоблачен как вариант Evil Corp, мы, вероятно, увидим, как злоумышленники снова ребрендируют свои программы-вымогатели.

@tomhunter Открыть/Комментировать