T.Hunter

2021-10-15 08:04:59 #OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...

├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp (розыск)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├гибдд (нарушения ПДД)
├zachestnyibiznes (связь с бизнесом)
├nel (связь с бизнесом)
├search_social (социальные сети)
└obrnadzor (проверка диплома)

@tomhunter Открыть/Комментировать

2021-10-14 21:46:47 #news Google сегодня заявила о том, что в 2021 году она разослала клиентам около 50 000 предупреждений о спонсируемых государством попытках фишинга или взлома, что на 33% больше, чем в предыдущем году. Из них, более 14 000 предупреждений по APT28. Пользователям рекомендуется серьезно отнестись к этим предупреждениям и рассмотреть возможность регистрации в программе Advanced Protection Program или включения двухфакторной аутентификации, если они еще этого не сделали.

@tomhunter Открыть/Комментировать

2021-10-14 19:03:13 #news Администрация президента США решила организовать саммит на тему борьбы с рансомварью, которой Белый дом недавно очень активно занялся. Будут обсуждать в том числе и использование преступниками криптовалюты.

Пригласили на саммит 30 стран, но вы и так знаете, кого не позвали.

Россию продолжают обвинять в покрывательстве киберпреступников, атакующих американскую инфраструктуру. США заявляют, что обсуждали с Кремлём этот вопрос.

С учётом всего этого двухдневный онлайн-саммит куда уж больше отдаёт напыщенными политическими игрищами, чем надеждой куда-то продвинуться в решении каких-либо проблем.

@tomhunter Открыть/Комментировать

2021-10-14 16:23:23 #news Появился новый штамм вымогателей Yanluowang ransomware, который все еще находится в стадии разработки, но используется в узконаправленных атаках на корпоративные объекты.

Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:

Создает файл .txt с количеством удаленных машин для проверки в командной строке.
Использует инструментарий управления Windows (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в файле .txt.
Записывает все процессы и имена удаленных машин в файл process.txt.

После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.

@tomhunter Открыть/Комментировать

2021-10-14 09:51:52 #OSINT #Security Сегодня изучим общедоступные источники, которые можно применять для изучения контрагентов и оценки их благонадежности. Полезно для служб безопасности, да и юристам пригодится. Начинаем...

├pb.nalog (прозрачный бизнес ФНС)
├nel (онлайн-сервис)
├zachestnyibiznes (онлайн-сервис)
├bo.nalog (финансовый анализ)
├testfirm (финансовый анализ)
├fedresurs (существенные факты)
├bi.do (приостановление по счетам)
├fssp (задолженности)
├arbitr (арбитражные суды)
├sudact (гражданские суды)
└sudrf (гражданские суды)

Как организовать бесплатный пассивный мониторинг российского контрагента - читайте на нашем канале.

@tomhunter Открыть/Комментировать

2021-10-14 09:36:41 #news В прошлом месяце криптобиржа Coinbase раскрыла, что злоумышленники украли криптовалюту у 6000 клиентов после обхода двухфакторной идентификации. Однако попытки взломать аккаунты клиентов биржи продолжаются до сих пор. Для того, чтобы провести атаку преступникам нужно знать адрес электронной почты, пароль и номер телефона клиента, связанные с их счетом Coinbase, а также иметь доступ к учетной записи электронной почты жертвы. Считается, что киберпреступники получают всю эту информацию в результате фишинговых атак. Например, при помощи домена coinbase.com.password-reset [.] com

@tomhunter Открыть/Комментировать

2021-10-13 19:55:45 #news В GitHub Actions есть уязвимость, позволяющая вносить изменения в код без какого-либо ревью. Злоумышленнику достаточно взломать один аккаунт с write-правами в нужном репозитории, чтобы запушить в него любой код. Почему? Потому что любой человек с write-правами может редактировать ключи в воркфлоу-файле, а значит, может изменить права, которые даются по GITHUB_TOKEN.

Поигравшись с правами, хакер создаёт вредоносный пулл-реквест. Ну, создаёт и создаёт: казалось бы, тот будет мирненько висеть да ждать, пока его снесут, да вот нет. Воркфлоу срабатывает, и бот GitHub Actions, которому и принадлежит GITHUB_TOKEN, радостно принимает этот ПР. Вуаля.

Гитхаб уже в курсе и всё чинит.

@tomhunter Открыть/Комментировать

2021-10-13 09:17:50 12:00 | 13.10.2021
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия, исходящие и от сотрудников, и извне?
Эти вопросы, и не только, обсудим с экспертом компании T.Hunter Владимиром Макаровым.

https://codeib.ru/event/zashchita-ot-moshennichestva-2021-10-13-43/page/sreda-codeib-13-10-2021 Открыть/Комментировать

2021-10-13 09:04:44 #news Исследование, проведенное группой университетских исследователей в Великобритании, выявило множество проблем с конфиденциальностью, возникающих при использовании смартфонов Android.

Как видно из сводной таблицы, конфиденциальные пользовательские данные, такие как постоянные идентификаторы, сведения об использовании приложений и телеметрическая информация, не только передаются поставщикам устройств, но также передаются различным третьим сторонам, таким как Microsoft, LinkedIn и Facebook.

@tomhunter Открыть/Комментировать

2021-10-12 18:53:58 #news Вчера я писал про свежий патч к iOS, закрывающий уязвимость в IOMobileFrameBuffer. Главная угроза уязвимости — возможность исполнения произвольного кода с суперпользовательскими правами. Деталей Яблоко не опубликовало, как и всегда, чтобы не помогать хакерам.

А независимый исследователь взял да и изучил эту уязвимость. И не только изучил, но ещё и опубликовал PoC к ней, а также технический обзор. Посмотреть их можно здесь. Справедливости ради, с публикацией PoC'а исследователь честно ждал до выпуска патча.

@tomhunter Открыть/Комментировать