#news Гугл выбрал занятный способ бороться со статусом их магазина как крупнейшего доставщика малвари в мире. Теперь при регистрации аккаунта разработчика организации должны будут предоставлять номер DUNS. Это уникальный девятизначный код, выдаваемый компанией В&B, и международный стандарт идентификации бизнесов. Между тем его получение занимает до 30 дней.
Идентификация разработчиков по DUNS призвана решить проблему перезалива малвари в Google Store под новыми аккаунтами, которые сейчас создать после бана – дело элементарное. Кроме того, раздел «Contact details» переименуют в «App Support» и добавят в него новую информацию о разработчике – название компании, адрес офиса и сайта плюс номер телефона. Всё это удовольствие вступит в силу с 31 августа для новых аккаунтов и со временем распространится на всех. Кому нововведение создаст больше проблем – легитимным разработчикам со всего мира или злоумышленникам – пока вопрос, мягко скажем, открытый.
@tomhunter
Идентификация разработчиков по DUNS призвана решить проблему перезалива малвари в Google Store под новыми аккаунтами, которые сейчас создать после бана – дело элементарное. Кроме того, раздел «Contact details» переименуют в «App Support» и добавят в него новую информацию о разработчике – название компании, адрес офиса и сайта плюс номер телефона. Всё это удовольствие вступит в силу с 31 августа для новых аккаунтов и со временем распространится на всех. Кому нововведение создаст больше проблем – легитимным разработчикам со всего мира или злоумышленникам – пока вопрос, мягко скажем, открытый.
@tomhunter
😁7🔥4🤡2
#news Исследователи изучили Docker Hub на предмет образов, содержащих ключи. Результат немного предсказуем: репозиторий под завязку набит контейнерами со всевозможными ключами. В среднем они нашлись в около 8,5 процентов образов на платформе.
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
Масштабы утечек и перспективы для атак внушительные. Так, исследователи насчитали ключи к ~22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать. Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы в исследовании.
@tomhunter
🔥3🤯2
#news На VirusTotal случился небольшой конфуз: утечка файла с 5,600 названиями организаций, именами и почтовыми ящиками зарегистрированных пользователей. В списке работники Агентства Национальной Безопасности США, ФБР и спецслужб из других стран. А файл с базой, собственно, нечаянно залил в открытый доступ на сайте сотрудник компании. Ну, бывает.
Гугл утечку подтвердил и сообщил, что файл провисел меньше часа после залива. Также компания по следам инцидента обещает улучшить внутренние процессы и поработать над защитой информации. В общем, ответственному за этот неловкий момент сотруднику надают по рукам и лишат доступа в игровую комнату. Две недели без Плейстейшн и настольного тенниса, в следующий раз будьте внимательнее.
@tomhunter
Гугл утечку подтвердил и сообщил, что файл провисел меньше часа после залива. Также компания по следам инцидента обещает улучшить внутренние процессы и поработать над защитой информации. В общем, ответственному за этот неловкий момент сотруднику надают по рукам и лишат доступа в игровую комнату. Две недели без Плейстейшн и настольного тенниса, в следующий раз будьте внимательнее.
@tomhunter
😁16🔥2
#news Занятный привет из прошлого: в аэропорту Барселоны арестовали предполагаемого разработчика лжеантивируса, который активно распространяли с 2006-го по 2011-й год. Неназванный гражданин Украины скрывался от следствия больше десяти лет.
Подробностей ареста мало, но судя по всему, он связан с операцией «Trident Tribunal»: в 2011-м году ФБР арестовали хакеров в 12 странах — в том числе Украине, Латвии и Литве — по следам распространения лжеантивирусного софта, он же scareware. Тогда злоумышленники стригли 129 баксов с жертв, пугая их страшными компьютерными вирусами, и в итоге набрался почти миллион суммарно заплативших им 72 миллиона долларов. Ну а теперь многие годы спустя в лапы правосудия попал наш незадачливый идейный борец за денежные знаки. И где-то по российским закоулкам крепко задумались над своей судьбой нынешние неуловимые рансомварь-ковбои и будущие герои таких же новостных заголовков.
@tomhunter
Подробностей ареста мало, но судя по всему, он связан с операцией «Trident Tribunal»: в 2011-м году ФБР арестовали хакеров в 12 странах — в том числе Украине, Латвии и Литве — по следам распространения лжеантивирусного софта, он же scareware. Тогда злоумышленники стригли 129 баксов с жертв, пугая их страшными компьютерными вирусами, и в итоге набрался почти миллион суммарно заплативших им 72 миллиона долларов. Ну а теперь многие годы спустя в лапы правосудия попал наш незадачливый идейный борец за денежные знаки. И где-то по российским закоулкам крепко задумались над своей судьбой нынешние неуловимые рансомварь-ковбои и будущие герои таких же новостных заголовков.
@tomhunter
😁6🔥3
#news В сетевых дебрях новая рансомварь-как-услуга, причём не простая, а выдающая себя за олдовую инфобез-компанию. Обнаруженный в сети SophosEncrypt сначала приняли за инструмент красной команды Sophos, но компания сообщила, что отношения к нему не имеет. Помимо названия рансомварь имеет соответствующее расширение и обои с брендом, за который себя выдаёт.
Энкриптор написан на Rust c AES256-CBC шифрованием. После ввода токена жертвы из рансомварь-панели он предлагает зашифровать либо один файл, либо все разом. Ну а для связи зазывает в Jabber с заманчивым предложением поделиться биткоинами. О самой операции пока известно мало, но айпишник С2-сервера уже больше года пингуется как хост для атак через Cobalt Strike и засылки криптомайнеров. Между тем на ID Ransomware уже есть образец от жертвы, так что скоро почту Sophos могут завалить гневные письма. Ну или предложения заслать битков от не справившихся с древней жаба-технологией. Тут уж как повезёт.
@tomhunter
Энкриптор написан на Rust c AES256-CBC шифрованием. После ввода токена жертвы из рансомварь-панели он предлагает зашифровать либо один файл, либо все разом. Ну а для связи зазывает в Jabber с заманчивым предложением поделиться биткоинами. О самой операции пока известно мало, но айпишник С2-сервера уже больше года пингуется как хост для атак через Cobalt Strike и засылки криптомайнеров. Между тем на ID Ransomware уже есть образец от жертвы, так что скоро почту Sophos могут завалить гневные письма. Ну или предложения заслать битков от не справившихся с древней жаба-технологией. Тут уж как повезёт.
@tomhunter
🔥3😁2🤯1
#news Любопытное развитие истории со взломом JumpCloud. Облачная платформа формата каталог-как-услуга на днях сообщила о взломе некими госхакерами в конце июня. Точечным фишингом по сотруднику они проникли в системы, точечно же отправились по данные клиентов компании. Ну а теперь понятно, что это был за «крайне узкий набор затронутых клиентов» – за взломом стояла северокорейская Lazarus.
Исследователи прошлись по IoCs по следам атаки, и они светились в предыдущих на цепочку поставок из КНДР. Так что перед нами очередной этап увлекательной гонки на время «Помогите Ким Чен Ыну свести бюджет на 2023-й, или ваша семья отправится в ГУЛАГ», и едва ли последний в этом году. Криптостахановцам из Lazarus не позавидуешь: выполнить и перевыполнить госплан по крипте после прошлогодней рекордной кражи с моста Ronin будет совсем уж непросто. Вот и стараются, бедняги.
@tomhunter
Исследователи прошлись по IoCs по следам атаки, и они светились в предыдущих на цепочку поставок из КНДР. Так что перед нами очередной этап увлекательной гонки на время «Помогите Ким Чен Ыну свести бюджет на 2023-й, или ваша семья отправится в ГУЛАГ», и едва ли последний в этом году. Криптостахановцам из Lazarus не позавидуешь: выполнить и перевыполнить госплан по крипте после прошлогодней рекордной кражи с моста Ronin будет совсем уж непросто. Вот и стараются, бедняги.
@tomhunter
🔥5😁2
#news Злоумышленники проявляют всё больше интереса к языковым моделям. Больше 200 тысяч данных доступа к ChatGPT на продажу в дарквебе, почти 30 тысяч упоминаний модели по тематическим форумам и группам за полгода. А из новинок на хакерском рынке WormGPT – натасканный на малвари чат-бот. По заявлениям разработчика, «идеальная альтернатива ChatGPT для черношляпочников под всякое нелегальное».
Поковырявшись в инструменте, исследователь обнаружил, что WormGPT, как минимум, пишет фишинговые письма лучше среднего господина Самбубу из Нигерии. Убедительно, стратегически продуманно и без грамматических ошибок. Детали датасетов, на которых натаскивают модель, разработчик не раскрывает, так что прочий функционал ещё предстоит изучить. Но в руках не самых умелых злоумышленников, увы, инструмент уже может стать неплохим подспорьем. Ну или хотя бы грамотную рансомварь-записку за них напишет.
@tomhunter
Поковырявшись в инструменте, исследователь обнаружил, что WormGPT, как минимум, пишет фишинговые письма лучше среднего господина Самбубу из Нигерии. Убедительно, стратегически продуманно и без грамматических ошибок. Детали датасетов, на которых натаскивают модель, разработчик не раскрывает, так что прочий функционал ещё предстоит изучить. Но в руках не самых умелых злоумышленников, увы, инструмент уже может стать неплохим подспорьем. Ну или хотя бы грамотную рансомварь-записку за них напишет.
@tomhunter
🔥4😁4❤1
#news Ни дня без новостей про Lazarus! ГитХаб рапортует о небольшой кампании группировки на платформе. Цель, как обычно, разработчики в блокчейне, крипте, онлайн-казино и инфобез-среде. Со скомпрометированных аккаунтов реальных рекрутеров и разработчиков или от фейковых персон приходят предложения о сотрудничестве. А дальше в дело идёт малварь.
Втеревшись в доверие, северокорейские лазари предлагают клонировать репу на Гитхабе, ну а в ней вредоносные NPM-зависимости. Они служат в качестве загрузчика, подтягивающих неизвестную малварь. Исследователи отмечают занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
@tomhunter
Втеревшись в доверие, северокорейские лазари предлагают клонировать репу на Гитхабе, ну а в ней вредоносные NPM-зависимости. Они служат в качестве загрузчика, подтягивающих неизвестную малварь. Исследователи отмечают занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
@tomhunter
🔥10
#news По следам своего звёздного часа с MOVEit Clop ищут всё новые методы давления на взломанные компании. Так, группировка переняла тактику BlackCat и создает сайты для слива данных в верхнем интернете. Логика понятная: для дарквеба и Tor нужен, и скорости скачивания барахлят, и поисковиков для индексации нет. Среднему сотруднику такое сложно, у него лапки – искать себя во взломах Clop в соседней вкладке с фейсбуком проще и приятнее.
Впрочем, сайты эти долго не живут и их оперативно кладут и провайдеры, и дудосы от инфобез-фирм, и прочие желающие. Так что толку от новой тактики мало. В группировке это тоже, видимо, понимают: сайты поднимают на скорую руку просто со списочком архивов на скачивание. Но с учётом того, что от взломов через MOVEit клопам светит до $75-100 миллионов выплат, попытки выжать всё до последнего цента любыми доступными методами вполне ожидаемы.
@tomhunter
Впрочем, сайты эти долго не живут и их оперативно кладут и провайдеры, и дудосы от инфобез-фирм, и прочие желающие. Так что толку от новой тактики мало. В группировке это тоже, видимо, понимают: сайты поднимают на скорую руку просто со списочком архивов на скачивание. Но с учётом того, что от взломов через MOVEit клопам светит до $75-100 миллионов выплат, попытки выжать всё до последнего цента любыми доступными методами вполне ожидаемы.
@tomhunter
🔥6😁2
#news Исследователи провели анализ логов с инфостилеров и насчитали в них около двух процентов корпоративных данных доступа. На ~20 миллионов записей пришлось больше 400 тысяч логов к AWS, Okta, DocuSigh, CRM и прочему. Чемпионом здесь оказался AWS – почти половина из этих украденных инфостилерами данных от их консоли.
Резко скакнуло и число логов от OpenAI: их нашли 200 тысяч – в два раза больше от предыдущих чисел, о которых сообщали в июне. Что занятно, корпоративные логи в большом количестве засветились на русскоязычном Russian Market и в VIP-каналах в Телеграме. Так что пресловутые русские хакеры случайно или намеренно работают инфостилерами с прицелом на корпорации. Ну или дело просто в том, что средний российский работник знает об инфобезе меньше своих зарубежных коллег и чаще использует рабочий компьютер для личных нужд и прочих развесёлых ферм.
@tomhunter
Резко скакнуло и число логов от OpenAI: их нашли 200 тысяч – в два раза больше от предыдущих чисел, о которых сообщали в июне. Что занятно, корпоративные логи в большом количестве засветились на русскоязычном Russian Market и в VIP-каналах в Телеграме. Так что пресловутые русские хакеры случайно или намеренно работают инфостилерами с прицелом на корпорации. Ну или дело просто в том, что средний российский работник знает об инфобезе меньше своих зарубежных коллег и чаще использует рабочий компьютер для личных нужд и прочих развесёлых ферм.
@tomhunter
🔥4😁2❤1
#news Тренд на криптостилеры под Маки продолжается: в сети замечена новая малварь Realst с прицелом на последние версии Макоси – в свежих версиях задел под ещё не вышедшую Sonoma. Более того, исследователи насчитали 16 версий вредоноса, что говорит о его активной разработке. Подробнее о Realst в отчёте.
Распространяют его не менее масштабно вместе с привычными инфостилерами под Винду: в сети почти десяток сайтов с криптоиграми, под каждую свои аккаунты на других платформах. Злоумышленники набирают тестеров через личные сообщения, а затем те обнаруживают свои кошельки опустошёнными через 10 минут после скачивания игрульки. А на память о дорогих сердцу цифровых монетках остаются только ехидно глядящие из инсталлятора ящерки. Увы!
@tomhunter
Распространяют его не менее масштабно вместе с привычными инфостилерами под Винду: в сети почти десяток сайтов с криптоиграми, под каждую свои аккаунты на других платформах. Злоумышленники набирают тестеров через личные сообщения, а затем те обнаруживают свои кошельки опустошёнными через 10 минут после скачивания игрульки. А на память о дорогих сердцу цифровых монетках остаются только ехидно глядящие из инсталлятора ящерки. Увы!
@tomhunter
🔥4❤1😁1😢1
#news НАТО расследует взлом одного из своих интернет-ресурсов – COI Cooperation Portal, предназначенного для распространения незасекреченной информации между членами альянса. Хакеры из некой SiegedSec выложили архив на 845 метров документов и 8000 строк пользовательской инфы с портала. Имена, подразделения, должности, почты, домашние адреса и фото юзеров. Если утечку подтвердят, она затронет все 31 страну в альянсе.
Группировка хоть и хактивистская, но с текущим конфликтом свой взлом не связывает. И утверждает, что взломали они этот портал от большой нелюбви к НАТО и веселья ради. Между тем хактивисты бывают… разные. И содержимое поста со сливом вызывает острое желание, так сказать, увидеть всю военную мощь пресловутого альянса по месту жительства товарищей из SiegedSec. Борьба с фурри-угрозой требует решительных мер!
@tomhunter
Группировка хоть и хактивистская, но с текущим конфликтом свой взлом не связывает. И утверждает, что взломали они этот портал от большой нелюбви к НАТО и веселья ради. Между тем хактивисты бывают… разные. И содержимое поста со сливом вызывает острое желание, так сказать, увидеть всю военную мощь пресловутого альянса по месту жительства товарищей из SiegedSec. Борьба с фурри-угрозой требует решительных мер!
@tomhunter
😁6🤡5🔥2
#news В Ubuntu нашли пару свежих уязвимостей, позволяющих локальным юзерам повысить привилегии. И затрагивают они солидную часть пользователей – ни много ни мало 40 процентов юзеров дистрибутива. Высокая CVE-2023-2640 на недостаточную проверку разрешений в ядре и средняя CVE-2023-35929 на произвольное выполнение кода.
Ну а причиной тому опять стал модуль OverlayFS. Исследователи обнаружили, что внесённые в него изменения в самой Ubuntu конфликтуют с позже внедрёнными Linux Kernel Project и недавно добавленными в дистр. Ну и конфликты в коде привели к новым уязвимостям, а также публично доступным проверкам концепции к ним. Форки Ubuntu без модификаций OverlayFS не затронуты. Между тем разработчики уже выкатили бюллетень по уязвимостям и исправления к ним. Пришло время обновлять ядро, ядро само себя не обновит!
@tomhunter
Ну а причиной тому опять стал модуль OverlayFS. Исследователи обнаружили, что внесённые в него изменения в самой Ubuntu конфликтуют с позже внедрёнными Linux Kernel Project и недавно добавленными в дистр. Ну и конфликты в коде привели к новым уязвимостям, а также публично доступным проверкам концепции к ним. Форки Ubuntu без модификаций OverlayFS не затронуты. Между тем разработчики уже выкатили бюллетень по уязвимостям и исправления к ним. Пришло время обновлять ядро, ядро само себя не обновит!
@tomhunter
🔥5❤2
#news Про многочисленные фишинговые кампании и взломы от неутомимых ударников криптовалютного труда из Lazarus последнее время было много новостей. А где результаты? А вот они. Кражу с централизованной платформы Alphapo по обслуживанию сервисов азартных игр в прошлое воскресенье приписывают северокорейцам. По последним подсчётам с неё стянули $60 миллионов всевозможной крипты.
Судя по утёкшим с разных горячих кошельков средствам и внезапной остановке сервиса, в руки взломщикам попали приватные ключи. Так что, скорее всего, одна из недавних фишинговых шалостей Lazarus удалась и привела, так сказать, к их плодотворному сотрудничеству с очередной криптоплатформой. По крайней мере, к такому выводу пришли несколько блокчейн-аналитиков. Ну а нам остаётся делать ставки, сколько ещё несчастных платформ падут жертвой северокорейских криптостахановцев в этом году.
@tomhunter
Судя по утёкшим с разных горячих кошельков средствам и внезапной остановке сервиса, в руки взломщикам попали приватные ключи. Так что, скорее всего, одна из недавних фишинговых шалостей Lazarus удалась и привела, так сказать, к их плодотворному сотрудничеству с очередной криптоплатформой. По крайней мере, к такому выводу пришли несколько блокчейн-аналитиков. Ну а нам остаётся делать ставки, сколько ещё несчастных платформ падут жертвой северокорейских криптостахановцев в этом году.
@tomhunter
🔥5
#news Обычно об утечках волнуются простые юзеры, но не сегодня: на продажу в сети выставлена база данных почившего Breached. Вместе со всеми таблицами, включая инфу на пользователей, их приватные сообщения и платежи. С кучей всего инкриминирующего из чатиков и голыми айпишниками доморощенных хакеров. В свете последнего, напомню, база вместе с серверами с марта в руках у ФБР.
Товарищ Baphomet сообщил, что, судя по 212 тысячам юзеров, база на продажу старая – видимо, со взлома Breached в ноябре прошлого года. На момент закрытия на сайте было 336 тысяч аккаунтов. Два гига инфы уйдут с молотка одному счастливчику, и продавец сообщает о предложениях в четверть миллиона долларов. Между тем в качестве подтверждения он также поделился пользовательской базой с Have I Been Pwned. Так что все плохие мальчики и девочки могут искать себя в прохиндеях Breached на соответствующем сервисе.
@tomhunter
Товарищ Baphomet сообщил, что, судя по 212 тысячам юзеров, база на продажу старая – видимо, со взлома Breached в ноябре прошлого года. На момент закрытия на сайте было 336 тысяч аккаунтов. Два гига инфы уйдут с молотка одному счастливчику, и продавец сообщает о предложениях в четверть миллиона долларов. Между тем в качестве подтверждения он также поделился пользовательской базой с Have I Been Pwned. Так что все плохие мальчики и девочки могут искать себя в прохиндеях Breached на соответствующем сервисе.
@tomhunter
🔥6😁2
#news И снова в эфире… Lazarus. Успели соскучиться? Эстонский сервис криптоплатежей CoinsPaid обвинил группировку во взломе от 22 июля. С платформы стянули ~37 миллионов долларов, и компания заявила, что взломщики «рассчитывали на гораздо большее».
Клиентские средства не затронуты, сам сервис на несколько дней выпал из обработки платежей, а в пресс-релизе жизнерадостно расхваливают свою героическую работу по оставлению северокорейцев с рекордно низким уловом. Ещё больше амбиций у CEO компании, который заявил, что «хакеры точно не уйдут от правосудия». Снарядят ли в CoinsPaid на битки отряд головорезов для инфильтрации в КНДР или отправят запрос на экстрадицию товарищу Ким Чен Ыну, не уточняется. Между тем CoinsPaid работает в той же сфере, что и Alpapho, а это как бы намекает на цели атак северокорейских криптостахановцев в этом сезоне. В общем, Lazarus – это новая Log4j с новостями на каждый день. Оставайтесь с нами.
@tomhunter
Клиентские средства не затронуты, сам сервис на несколько дней выпал из обработки платежей, а в пресс-релизе жизнерадостно расхваливают свою героическую работу по оставлению северокорейцев с рекордно низким уловом. Ещё больше амбиций у CEO компании, который заявил, что «хакеры точно не уйдут от правосудия». Снарядят ли в CoinsPaid на битки отряд головорезов для инфильтрации в КНДР или отправят запрос на экстрадицию товарищу Ким Чен Ыну, не уточняется. Между тем CoinsPaid работает в той же сфере, что и Alpapho, а это как бы намекает на цели атак северокорейских криптостахановцев в этом сезоне. В общем, Lazarus – это новая Log4j с новостями на каждый день. Оставайтесь с нами.
@tomhunter
😁12🔥2
#news Гугл опубликовал ежегодный отчёт об уязвимостях нулевого дня под Андроид. Прошлый год отметился 41 нулевым днём с эксплойтами, что на 40% меньше рекорда 2021-го, принёсшего нам 69 (nice) . Из ключевых моментов, злоумышленники уходят в сторону атак без участия юзера из-за растущей защиты браузеров, больше 40% нулевых – варианты ранее известных уязвимостей.
Но самая мякотка отчёта – это признание, что эксплойты под 0-day и n-day под Андроид одинаковополезны опасны. Как так? А патчей-то нет. Огромные сроки исправления делают известные уязвимости не менее эффективным вектором атаки для злоумышленников. Так, от фикса CVE-2022-22706 в драйвере ARM Mali GPU до интеграции её исправления Андроидом прошло… 17 месяцев. Плюс ещё месяца три на патчи от производителей. И с такими задержками любой n-day эксплойт в сущности остаётся нулевым днём на месяцы, а то и годы. Эффективная работа экосистемы Андроида и никакого мошенничества!
@tomhunter
Но самая мякотка отчёта – это признание, что эксплойты под 0-day и n-day под Андроид одинаково
@tomhunter
🔥8😁4🤬2🤡1
#news По следам WormGPT, языковой модели, натренированной под киберпреступные нужды, всплывают всё новые клоны ChatGPT. Так, некто с говорящим ником CanadianKingpin12 продвигает два чат-бота, FraudGPT и DarkBert, с прицелом на мошенников, хакеров и спамеров.
Всплывший 25 июля FraudGPT заманивает впечатляющим функционалом: и вредоносный код напишет, и фишинговую страницу создаст, и спам-письма предоставит, и утечки с уязвимостями найдёт. В том же ключе работает и DarkBert, обещая обучить любого незадачливого злоумышленника всевозможным киберпреступным навыкам и оформить за него вредоносную кампанию любого формата. Насколько растущий рынок вредоносных чат-ботов повлияет на мир инфобеза, ещё только предстоит оценить. Но один момент некоторые восторженные покупатели киберпреступных чудо-приблуд, наверняка, забудут учесть: никакие FraudGPT с DarkBert’ами за очередного малолетнего бога хакинга сидеть не будут.
@tomhunter
Всплывший 25 июля FraudGPT заманивает впечатляющим функционалом: и вредоносный код напишет, и фишинговую страницу создаст, и спам-письма предоставит, и утечки с уязвимостями найдёт. В том же ключе работает и DarkBert, обещая обучить любого незадачливого злоумышленника всевозможным киберпреступным навыкам и оформить за него вредоносную кампанию любого формата. Насколько растущий рынок вредоносных чат-ботов повлияет на мир инфобеза, ещё только предстоит оценить. Но один момент некоторые восторженные покупатели киберпреступных чудо-приблуд, наверняка, забудут учесть: никакие FraudGPT с DarkBert’ами за очередного малолетнего бога хакинга сидеть не будут.
@tomhunter
🔥5😁4💩2❤1
#news Пока товарищ Мордекай Гури выдумывает изощрённые способы кражи данных с изолированных систем, китайские госхакеры работают по старинке – малварью через флешки. Касперский сообщает о новом китайском вредоносе группировки APT31, с прошлого апреля замеченном в атаках по промышленности в Восточной Европе.
Модульная малварь подтягивает различную нагрузку на разных стадиях. Первый модуль проводит разведку на машине жертвы, второй заражает подключённые флешки через угон DLL экзешником от McAfee и создаёт заманчивый .lnk-файл. Последний же при запуске и заражает изолированную систему, стягивая скрины, логи клавиатуры, заголовки окон, файлы и прочее. И наконец, третий имплант архивирует принесённое жертвой на флешке добро, и затем архив уходит на DropBox. Вариант первого импланта также использует облако Яндекса в качестве С2-сервера, так что малварь продолжает тренд на абьюз легитимных облачных сервисов. Подробнее о китайском поделии в отчёте.
@tomhunter
Модульная малварь подтягивает различную нагрузку на разных стадиях. Первый модуль проводит разведку на машине жертвы, второй заражает подключённые флешки через угон DLL экзешником от McAfee и создаёт заманчивый .lnk-файл. Последний же при запуске и заражает изолированную систему, стягивая скрины, логи клавиатуры, заголовки окон, файлы и прочее. И наконец, третий имплант архивирует принесённое жертвой на флешке добро, и затем архив уходит на DropBox. Вариант первого импланта также использует облако Яндекса в качестве С2-сервера, так что малварь продолжает тренд на абьюз легитимных облачных сервисов. Подробнее о китайском поделии в отчёте.
@tomhunter
🔥6
#news Продолжая тему промышленности, вышел занятный анализ уязвимостей в промышленных системах управления за первое полугодие 2023-го. Результаты, как обычно, удручающие: ~треть уязвимостей, раскрытых за этот период, не имеют исправлений. Это в сравнении с 13 процентами за прошлый год.
Всего за первые полгода сообщили о 670 уязвимостях, из которых 88 критических и 215 высоких. И, собственно, к 227 из них нет патчей. Треть из них в обрабатывающем секторе, четверть – в энергетике. Антирекорд поставила Siemens – в их оборудовании найдена 41 уязвимость. UAF, чтение и запись за пределами буфера, неправильная проверка ввода, состояние гонки – баги на любой вкус. Между тем исследователи сообщают и о росте атак по промышленным объектам: так, по ханипотам безопасников из Nozomi Networks, в среднем, стучатся 813 раз в день с Китаем в топе айпишников. Увы, инфобез в критической инфраструктуре по-прежнему находится на критическом уровне.
@tomhunter
Всего за первые полгода сообщили о 670 уязвимостях, из которых 88 критических и 215 высоких. И, собственно, к 227 из них нет патчей. Треть из них в обрабатывающем секторе, четверть – в энергетике. Антирекорд поставила Siemens – в их оборудовании найдена 41 уязвимость. UAF, чтение и запись за пределами буфера, неправильная проверка ввода, состояние гонки – баги на любой вкус. Между тем исследователи сообщают и о росте атак по промышленным объектам: так, по ханипотам безопасников из Nozomi Networks, в среднем, стучатся 813 раз в день с Китаем в топе айпишников. Увы, инфобез в критической инфраструктуре по-прежнему находится на критическом уровне.
@tomhunter
🔥6❤2
У нас в компании открылась вакансия специалиста по моделированию, сбору и анализу данных цифрового следа. В команду в Санкт-Петербурге нужен человек, не понаслышке знающий о таких вещах, как конкурентная разведка, форензика, ИСУБД и системы визуализации данных. Так что если у вас есть опыт работы в этой области и горячий интерес к OSINT и всему с ним связанному, подробности вакансии выложены на HeadHunter. Оформление по ТК, гибкий график работы, премии и прочие плюшки прилагаются.
@tomhunter
@tomhunter
🤡18💩4❤3🤔3🤬1