#news Разработчик популярных библиотек NPM с открытым исходным кодом «colors.js» и «faker.js» намеренно ввел в них вредоносные коммиты, которые влияют на тысячи приложений, использующих эти библиотеки. Пользователи этих библиотек были ошеломлены, увидев свои приложения, печатающие тарабарщину.
@tomhunter
@tomhunter
#news На хакерских форумах продают 3.7 миллионов логов из FlexBooker, сервиса для записи к различным специалистам (в парикмахерские, например). Среди слитой информации почты, имена, телефонные номера и — для некоторых аккаунтов — частичные данные карточек.
В который раз убеждаюсь в том, что в такие вот виджеты записей куда уж лучше вводить виртуальный номер.
@tomhunter
В который раз убеждаюсь в том, что в такие вот виджеты записей куда уж лучше вводить виртуальный номер.
@tomhunter
#news С начала февраля Salesforce сделает MFA (мультифакторную авторизацию) обязательной для всех клиентов. Давно бы так!
К вопросу подошли основательно — простецкую 2FA через смски организовать не получится. Можно логиниться через одноразовый пароль из приложения Salesforce или всяких сторонних Google Authenticator, а также через аппаратные ключи или биометрию, например Touch ID.
Руководство по настройке и FAQ уже есть.
@tomhunter
К вопросу подошли основательно — простецкую 2FA через смски организовать не получится. Можно логиниться через одноразовый пароль из приложения Salesforce или всяких сторонних Google Authenticator, а также через аппаратные ключи или биометрию, например Touch ID.
Руководство по настройке и FAQ уже есть.
@tomhunter
#news Никого уже не удивишь хакерами, которые атакуют других хакеров. А вот как вам хакеры, которые атакуют сами себя?
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
За метким выстрелом себе в ногу заметили индийскую группировку Patchwork, которая с 2015 известна фишинговыми атаками на пакистанские цели.
Пару месяцев назад они распространяли RAT Ragnatela («паутина» с итальянского). При этом хакеры впервые нацелились на исследователей, занимающихся биологией и молекулярной медициной. Пострадали в итоге Министерство обороны и несколько крупнейших университетов страны.
А теперь в Malwarebytes Labs заметили, что Patchwork случайно впутали в эту паутину свою же тестовую машину. Теперь мы знаем, что эти ребята любят виртуалки VirtualBox и VMware, не обновили Java, а IP-адреса прячут с помощью VPN Secure и CyberGhost. Ещё ожидаемо используют англо-индийскую раскладку клавиатуры.
Далеко этим ребятам до изящности недавних хакеров, которые случайно взломали полицейский департамент и предложили им бесплатный декриптор, в общем.
@tomhunter
#news Тут вот Microsoft рассказывает, что в macOS была уязвимость, позволявшая получить полный доступ к пользовательским данным — то есть, обойти защиту Transparency, Consent, and Control (TCC).
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс. Кто не обновился — советую это сделать.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
@tomhunter
#news В конце 2021 года увеличилось количество распределенных отказов в обслуживании, связанных с требованием выкупа со стороны злоумышленников. В четвертом квартале прошлого года около четверти клиентов Cloudflare, подвергшихся DDoS-атаке, заявили, что получили от злоумышленника записку с требованием выкупа. DDoS-атаки с вымогательством или вымогательством (RDDoS) стали новой угрозой в августе 2020 года и с тех пор стали более масштабными и сложными. Судя по IP-адресам, большинство этих DDoS-инцидентов происходят из Китая, США, Бразилии и Индии и развернуты такими ботнетами, как Meris.
@tomhunter
@tomhunter
#news Заразившись собственным трояном (RAT) индийские кибершпионы PatchWork (они же Dropping Elephant, Chinastrats или Quilted Tiger) раскрыли данные о своих операциях... В результате самозаражения были захвачены нажатия клавиш и скриншоты их собственного компьютера и виртуальных машин. Известно, что злоумышленники использовали вредоносные RTF-документы, выдавая себя за пакистанские власти, для заражения целей новым вариантом BADNEWS RAT, известным как Ragnatela.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах Республики Беларусь. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
├interpol (Police Wanted)
├mvd (Police Wanted)
├bankrot (Bankrupt status)
├debtors (Debt)
├nalog (Debt)
├egrn (Business Participation)
├court (Forensic History)
└search_social (Social Accounts)
@tomhunter
#news Петербургские суды снова минируют по электронной почте. Я уже разбирал то, как была организована работа "WEX-овского минёра", на деле имеющего отношение к иностранной спецслужбе. Вероятно, потребуется еще пара-тройка расследований, чтобы все поняли кто дразнит спящего медведя.
@tomhunter
@tomhunter
#news Исследователи из Check Point рассказали, что в 2021 было на 50% больше кибератак, чем в 2020. Не последнюю роль в этом сыграл декабрь, отметившийся той-самой-уязвимостью: на этот месяц пришёлся исторический рекорд по количеству атак.
Что имеем:
⋅ По подсчётам исследователей, на одну организацию на пике в среднем приходилось по 925 атак в неделю.
⋅ Больше всего атаковали образовательные и исследовательские институты: по 1605 атак на организацию в неделю.
⋅ Больше всего атак было в Африке и Азиатско-Тихоокеанском регионе. Во второй, напомню, традиционно включают Россию.
Ох и весёлый нас год ждёт, похоже.
@tomhunter
Что имеем:
⋅ По подсчётам исследователей, на одну организацию на пике в среднем приходилось по 925 атак в неделю.
⋅ Больше всего атаковали образовательные и исследовательские институты: по 1605 атак на организацию в неделю.
⋅ Больше всего атак было в Африке и Азиатско-Тихоокеанском регионе. Во второй, напомню, традиционно включают Россию.
Ох и весёлый нас год ждёт, похоже.
@tomhunter
#news Я недавно писал о приложении Life360, которое поймали на сборе и продаже данных о геолокации детей. А теперь обнаружилась компания Vista Equity Partners, которая скупила множество сервисов, выстроила в США целую образовательную империю и собирает масштабные объёмы данных.
Vista Equity Partners принадлежит, например, PowerSchool, лидер аналитики данных по школьникам. PowerSchool утверждает, что у неё есть данные более 45 миллионов человек, в том числе 75% нынешних американских школьников. При этом родителям уже два года отказываются подробно объяснить, какие именно данные об их детях компании собирают и как именно их используют.
Журналисты проанализировали публично доступные данные PowerSchool сами, чтобы примерно оценить масштабы. Итак, компания собирает о школьниках: все базовые демографические данные, гражданство, религию, наличие дисциплинарных провинностей, медицинские диагнозы, скорость чтения и печати, полные тексты их ответов из тестов, их рисунки из заданий, полная ли у них семья, были ли они жертвами преступлений, пробовали ли наркотики… И ещё сотня параметров набирается.
Это всё как минимум — из того, что можно понять по публичным отчётам. Всё это добро используется для рекламы и алгоритмов, которые оценивают шансы ребёнка на успех в учёбе и экзаменах: например, на основе уровня дохода его семьи.
Больше деталей по ссылке.
@tomhunter
Vista Equity Partners принадлежит, например, PowerSchool, лидер аналитики данных по школьникам. PowerSchool утверждает, что у неё есть данные более 45 миллионов человек, в том числе 75% нынешних американских школьников. При этом родителям уже два года отказываются подробно объяснить, какие именно данные об их детях компании собирают и как именно их используют.
Журналисты проанализировали публично доступные данные PowerSchool сами, чтобы примерно оценить масштабы. Итак, компания собирает о школьниках: все базовые демографические данные, гражданство, религию, наличие дисциплинарных провинностей, медицинские диагнозы, скорость чтения и печати, полные тексты их ответов из тестов, их рисунки из заданий, полная ли у них семья, были ли они жертвами преступлений, пробовали ли наркотики… И ещё сотня параметров набирается.
Это всё как минимум — из того, что можно понять по публичным отчётам. Всё это добро используется для рекламы и алгоритмов, которые оценивают шансы ребёнка на успех в учёбе и экзаменах: например, на основе уровня дохода его семьи.
Больше деталей по ссылке.
@tomhunter
The Markup
This Private Equity Firm Is Amassing Companies That Collect Data on America’s Children
Vista Equity Partners has been buying up software used in schools. Parents want to know what the companies do with kids’ data
#news Хакеры — похоже, из Северной Кореи — взломали почту работника российского МИДа и разослали фишинговые письма дипломатам в других регионах.
Кампания началась как минимум 19 октября 2021. На связь с севернокорейской группировкой APT37 указывает использование RAT-малвари Konni.
Как можно заметить из скрина, особо с фишингом не изощрялись. Когда жертва открывает архив с весёлой поздравительной картинкой, она заражается малварью Konni. Письма приходили, например, в посольства РФ в Индонезии и Сербии.
@tomhunter
Кампания началась как минимум 19 октября 2021. На связь с севернокорейской группировкой APT37 указывает использование RAT-малвари Konni.
Как можно заметить из скрина, особо с фишингом не изощрялись. Когда жертва открывает архив с весёлой поздравительной картинкой, она заражается малварью Konni. Письма приходили, например, в посольства РФ в Индонезии и Сербии.
@tomhunter
#news Чтобы помочь ФБР идентифицировать пользователя Tor в 2017 году, Facebook заплатил фирме, занимающейся кибербезопасностью, за использование эксплойта нулевого дня в супербезопасной ОС Tails. Компания заплатила консалтинговой фирме по кибербезопасности шестизначную сумму за создание хакерского инструмента, который воспользовался уязвимостью в видеоплеере, поставляемом с операционной системой Tails. В 2017 году ФБР получило от судьи разрешение на развертывание технологии сетевых расследований (NIT). ФБР описало решение как настоящий видеофайл с прикрепленным к нему вредоносным ПО, позволяющим получать настоящий IP-адрес пользователя Tails.
@tomhunter
@tomhunter
#news Хакеры OceanLotus используют формат файла веб-архива (.MHT и .MHTML) для развертывания бэкдоров на скомпрометированных системах. Цепочка атак начинается со сжатия RAR большого файла веб-архива размером 35-65 МБ, содержащего вредоносный документ Word. Чтобы обойти защиту Microsoft Office, злоумышленники установили для свойства ZoneID в метаданных файла значение «2», благодаря чему файл выглядит так, как будто он был загружен из надежного источника. При открытии файла веб-архива с помощью Microsoft Word зараженный документ предлагает жертве «Включить содержимое», что открывает путь к выполнению вредоносного кода макроса VBA. После выполнения полезной нагрузки код VBA удаляет исходный файл Word и открывает документ-приманку, который выдает жертве фиктивную ошибку.
@tomhunter
@tomhunter
#news Мошенники активно пользуются желанием граждан инвестировать. За последние девять месяцев было зарегистрировано на 163% больше фейковых инвестиционных проектов (около 6 тысяч), чем за предыдущие годы. Все фейковые инвестпроекты действуют по трем популярным схемам. В первом случае вкладчикам обещают невероятные доходы, во втором - деньги от торговли нефти и газом, а в третьем - доступ к закрытым для большинства инвесторов инструментам финансовых организаций.
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
#OSINT #Security Привет. Давайте сегодня поговорим об источниках информации, предназначенных для сбора данных о гражданах Украины.
├interpol (Police Wanted)
├ssu (Police Wanted)
├mvs (Police Wanted)
├myrotvorets (Wanted)
├fiu (Wanted Terrorists)
├dmsu (Check Passport)
├erb (Debt)
├asvpweb (Debt)
├court (Forensic History)
├reyestr (Forensic History)
├youcontrol (Business Participation)
├ligazakon (Business Participation)
├edbo (Check Diploma)
├kap (Check Property)
├hsc (Check Property)
└search_social (Social Accounts)
@tomhunter
├interpol (Police Wanted)
├ssu (Police Wanted)
├mvs (Police Wanted)
├myrotvorets (Wanted)
├fiu (Wanted Terrorists)
├dmsu (Check Passport)
├erb (Debt)
├asvpweb (Debt)
├court (Forensic History)
├reyestr (Forensic History)
├youcontrol (Business Participation)
├ligazakon (Business Participation)
├edbo (Check Diploma)
├kap (Check Property)
├hsc (Check Property)
└search_social (Social Accounts)
@tomhunter
#news Украинские полицейские арестовали аффилированную группу вымогателей, ответственную за атаки по меньшей мере на 50 компаний в США и Европе. Неясно, какой штамм вымогателей использовала банда для шифрования данных на компьютерах жертв, но они доставляли вредоносное ПО через спам-письма.
Помимо программ-вымогателей, злоумышленники также использовали сервисы, подобные VPN, которые позволяли другим киберпреступникам выполнять незаконные действия, начиная от загрузки вредоносного ПО и заканчивая взломом.
Расследование показало, что эти службы использовались для компрометации систем, принадлежащих государственным и коммерческим организациям, с целью кражи конфиденциальных данных, развертывания программ-вымогателей или запуска распределенных атак типа «отказ в обслуживании» (DDoS).
@tomhunter
Помимо программ-вымогателей, злоумышленники также использовали сервисы, подобные VPN, которые позволяли другим киберпреступникам выполнять незаконные действия, начиная от загрузки вредоносного ПО и заканчивая взломом.
Расследование показало, что эти службы использовались для компрометации систем, принадлежащих государственным и коммерческим организациям, с целью кражи конфиденциальных данных, развертывания программ-вымогателей или запуска распределенных атак типа «отказ в обслуживании» (DDoS).
@tomhunter
#news Хакерская группа «BlueNoroff», была замечена в атаке на криптовалютные стартапы с помощью зараженных документов и поддельных расширений браузера MetaMask. Последние атаки направлены на криптовалютные стартапы, расположенные в США, России, Китае, Индии, Великобритании, Украине, Польше, Чехии, ОАЭ, Сингапуре, Эстонии, Вьетнаме, Мальте, Германии и Гонконге. Первая цепочка заражения использует документы, содержащие сценарии VBS, использующие старую уязвимость удаленного внедрения шаблонов (CVE-2017-0199). Вторая цепочка заражения основана на отправке архива, содержащего файл ярлыка и защищенный паролем документ (Excel, Word или PDF).
@tomhunter
@tomhunter
#news ФСБ арестовала хакеров из REvil по запросу США. Американские спецслужбы предоставили данные о потенциальном лидере группировки, и ФСБ организовала спецоперацию по аресту.
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter
Говорят, наконец-таки установили полный состав. Ещё по результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
@tomhunter