#news Ещё один криптомиксер пал смертью храбрых проводников цифрового будущего. Европол и компания сообщили о перехвате платформы, известной под оригинальным названием Cryptomixer.
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
🔥6😁4👍2🫡2
#news Подзабытая в наших широтах тема. TryHackMe под огнём из-за вопиющих нарушений современных порядков на своём декабрьском курсовом ивенте. Гендерного баланса не подвезли: на 18 наставников не нашлось ни одной женщины. Зэ хоррор.
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
😁17👍5
#news YouTube-клиент SmartTube был недавно скомпрометирован. Приложение обзавелось вредоносной библиотекой, на неё начал ругаться Play Protect. Судя по содержимому, инфра под ботнет.
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
😁11👍3🔥2
#news У 404 Media интервью с Майклом Боббиттом, бывшим сотрудником ФБР, работавшим на операции Trojan Shield. Также известной как Anom или как перестать бояться и начать снабжать организованную преступность “зашифрованной” связью.
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
👍6❤4
#news Исследователи подводят итоги сиквела Shai-Hulud 2 на npm. Атака охватила около 30 тысяч репозиториев, из которых утекли 400 тысяч секретов. Из них ~10 тысяч валидны. И на 1 декабря валидными оставались больше 60 процентов.
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
😁3❤2👍2🔥2
#news Чёрный день для детишек в России: с утра прилегла их любимая платформа Roblox. Тысячи жалоб, сотни тысяч затронутых пользователей, открывается платформа только с помощью инструментов, которые нельзя называть. Всё как полагается.
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,но пока официальных заявлений нет уже есть. Блокировка за экстремизм разного рода, а дальше как пойдёт — почистят в Roblox свои игровые конюшни от непотребного, может, и сменится гнев на милость. В общем, ничего неожиданного. Наследие советского мехмата дало нам поколения блестящих айтишников и киберпреступников, а РКН оставит страну с поколением обывателей, разбирающихся в сетевых протоколах лучше китайской тиктокерши. Есть, наверное, и в этом определённая доля положительного.
@tomhunter
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,
@tomhunter
😁11👍5🔥3🤬2💯1
#news Google проводит безжалостные эксперименты над юзерами Google Discover. Вместо оригинальных новостных заголовков, которые скрапит ИИ-агент, пользователи видят переписанные LLM’кой.
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
😁5❤3🤯3👍2
#news Жаркий декабрь для React и Next.js: в React Server Components исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.Спасайте свои интернеты, глупцы!
@tomhunter
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.
@tomhunter
🔥7😱4❤3👍3
#сve Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
👍7
#news Исследователи заманили северокорейского рекрутера в ханипот. Товарищ из Лучшей Кореи отвечает за рекрутинг айтишников из западных стран, чтобы те сдавали свои идентичности в аренду, под которыми затем работают IT-солдаты. Подопытный, конечно, интересный.
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
🔥9😁3👍1
#news Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
👍6🔥1
#digest Ноябрь выдался богатым на интересные события, так что давайте подводить его итоги. Прошлый месяц принёс крупнейший сбой в работе Cloudflare с 2019-го, а также массовые заражения пакетов в экосистеме npm свежей версией червя Shai-Hulud, оказавшимся мощнее и продвинутее прежнего.
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
Кроме того, было опубликовано расследование о роли Meta* в обслуживании экосистемы вредоносной рекламы, граничащим с соучастием. Кибератака по Jaguar привела к падению ВВП Великобритании, из крупной китайской ИБ-фирмы произошла утечка, а ClickFix обзавёлся интересными вариантами. Об этом и других горячих новостях инфобеза за последний осенний месяц читайте на Хабре!
@tomhunter
👍10❤3
#news Живучести некоторых рансомварь-группировок можно только позавидовать, но путь к триумфальному возвращению тернист. У LockBit утёкли айпи и домен. От той самой новой инфраструктуры с защитой от всемогущих агентов ФБР. А вот защита от случайного исследователя подвела, увы.
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
Айпишник с доменом на скрине. Название в точку, да и сама страница говорящая. Висит сервер на BPH PonyNet. И на слитом домене неловкие моменты не заканчиваются: судя по скану, на айпи несколько открытых портов, включая уязвимые к удалённому доступу — RDP на 3389-м, например. Так что амбиций с запасом, а вот с опсеком туговато. Каждый раз, как у RaaS вскрывают инфру, плачет половина партнёрки. Бонусом, пишут, из 23 новых взломов, залитых в блог 4 декабря, 11 старые и 2 чужие. Мигрировать инфру — дело, конечно, элементарное, можно даже успеть до того, как по ней постучали, но осадочек-то останется. Репутацию нарабатывают годами, а вот одна опсек-ошибка, и ты ошибся. Можно даже сказать, промахнулся.
@tomhunter
😁9💯4👍3❤2🔥1
#news Увлекательная история от GrapheneOS для поднятия боевого духа в начале недели. На днях юзер начал разгонять по сети, что GOS его подвёл: якобы он сдал пин-код для вайпа, а тот не сработал. Сдал он его на допросе. По подозрению в предумышленном убийстве.
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
Персонаж и без того своеобразный. Мелкий скамер, открыто хвастающийся кражами и роскошной жизнью за чужой счёт. И теперь в послужном списке попытки очернить опенсорс. В доказательствах ордер на арест и утверждения "Берегитесь GrapheneOS, они сотрудничают с полицией, это ханипот”. Разрабы, конечно, знатно подудивились и резонно отвечают: “Пруфов нет, клиентов у нас тоже нет, наш проект — не опенсорсный An0m для скамеров и убийц”. В общем, на поверхности преступный гений с IQ89 решил сэкономить на защищённой связи, но что-то пошло не так. При этом не сдаётся, разгоняет историю, и некоторые довольно хавают. Не хватает только французского следа. Бонусом видео для серьёзных дискуссий о GOS. Самое то взбодриться в промозглый понедельник.
@tomhunter
😁9👍3🔥3❤1😢1
#news Исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь. Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. Последствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — пришла и по их нишевое хобби безжалостная ИИ-машина.
@tomhunter
🔥10❤3😁2🤬1
#news У FinCEN, бюро в составе Минфина США, свежий отчёт по рансомварь-сцене. Цифры интересные: с 2022-го по 2024-й годы выплаты достигли ~$2,1 миллиардов. Почти столько же, сколько за восемь лет до этого. Всего с 2013-го по 2024-й выкупов было на ~$4,5 миллиарда.
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
За два года бюро отследило 4,194 инцидента и 267 рансомварь-брендов. Но к успеху здесь приходят примерно так же часто, как в криптотрейдинге, так что в топе знакомые имена с Akira на вершине. Что интересно, в 2024-м выплаты сильно просели, и бюро приписывает это операциям против BlackCat и LockBit. Как водится, если сам себя не похвалишь… Циферки и графики здесь (PDF). Если кратко, золотые годы рансомвари. Уже скоро седовласые рансомварщики из тех, кто не выиграл путёвку на пенитенциарные курорты США, начнут ностальгировать на форумчиках. И будут примерно такими же невыносимыми, как кардеры из нулевых и прочие динозавры из старого ЖЖ. “А вот в мои-то дни на CarderPlanet..." Окей, дедуля, закрывай Jabber и давай уложим тебя спать.
@tomhunter
😁6👍1
#news У Sophos отчёт по трендовому пакеру 2025-го — Shanya. Он появился в конце 2024-го и в этом году набрал обороты, потеснив HeartCrypt. Образцы от Shanya светятся регулярно, и пакер вошёл в арсенал Qilin, Medusa и Akira.
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
Shanya работает по принципу Package-as-a-Service: пришли малварь, получи её запакованной и бонусом обходящей EDR. Шаня — река в Калужской области, к слову. Здесь главное свою разработку не топографической ностальгии ради назвать, а то завтра Кребс твоё родное село по слитому нику и отключённому школьному форуму из нулевых найдёт. Прецеденты-то имеются. Обещают относительно уникальный стаб и нестандартную загрузку модуля в память, в комплекте идёт EDR-киллер через BYOVD c ThrottleStop.sys и второй вредоносный драйвер. Активнее всего Shanya в ходу у Akira, популярен и у других операций, и его сэмплы засветились в ClickFix-атаках — куда уж без них в 2025-м. Теханализ образцов здесь, на GitHub залиты IoC.
@tomhunter
😁5❤1👍1
#news У “Лаборатории Касперского” небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным. В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы. Иными словами, пока репутационные издержки Франции от взятия Дурова за колокольчики перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
@tomhunter
😁10🔥2😢1🤡1💯1
#news Аналитики из консалтинговой фирмы Gartner в США призвали отказаться от использования ИИ-браузеров. По их мнению, они несут слишком много рисков, и до поры до времени в защищённых средах существовать не должны. Очевидное-невероятное.
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.А идея-то неплохая. В принципе, думаю, здесь никому не нужно объяснять, что ИИ-браузеры бегут впереди паровоза, и ИБ в них сильно отстаёт. Но что очевидно любому вменяемому человеку в индустрии, неочевидно пиджакам в высоких кабинетах. Глядишь, отчётик от уважаемых людей поспособствует.
@tomhunter
Речь идёт о браузерах в духе Comet и ChatGPT Atlas и прочих собранных на коленке хромиумных поделиях. Отчёт в выражениях не стесняется: идёт он под заголовком “Кибербез пока должен заблокировать ИИ-браузеры”, и по содержанию каждый порядочный CISO должен доступ к таким игрушкам обрубить. Из угроз приводят известные поверхности атаки и недобросовестных сотрудников, которые будут использовать ИИ для автоматизации тренингов по ИБ.
@tomhunter
👍7😁2🤡1
#news К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций. Которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит. Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
@tomhunter
😁7❤3🔥2😱2👍1
#news В Gogs, сервисе для селфхоста Git-репозиториев, нулевой день под произвольный код. Уязвимы доступные в сети инстансы с открытой регистрацией — а это настройка по умолчанию. Кто сервисом пользуется, мог догадаться: это обход ранее исправленной уязвимости на path traversal.
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
PutContents API в Gogs допускал запись за пределы репозитория, это закрыли, а вот про символьные ссылки в Git забыли. Отсюда и обход. Активный эксплойт идёт давно: исследователи случайно наткнулись на первый кейс ещё в июле. На текущий момент скомпрометированы ~700 инстансов — больше половины доступных в сети, и эксплойт активно идёт. Об уязвимости сообщили разрабам, но это, извините, опенсорс. Раскрыли в июле, мейнтейнеры пинганулись в конце октября, и вот уж праздник к нам приходит, а CVE и ныне там. Так что работа над фиксом идёт, но когда он будет — здесь как повезёт. А с оглядкой на процент компрометаций, скорее уж, не повезёт.
@tomhunter
😁6👍1🔥1