T.Hunter
28.04.202514:59
#news А помните была такая атака Juice Jacking с инфостойками по дефконам? В 2025-м тема снова в моде: оказывается, все эти годы защиту смартфонов с запросом на передачу данных можно было легко обойти. Встречайте ChoiceJacking и её вариации.
Свежая и похорошевшая атака направлена на эксплойт архитектуры доверия USB-протоколов. ОС считает, что устройство не может одновременно быть и хостом, и вводить команды. Но есть нюанс: может. Троянская зарядка подключается как периферия, затем становится хостом и параллельно шлёт команды через Bluetooth, обходя запрос на передачу данных. На атаку нужно 30 секунд, ей подвержены почти все популярные модели. Apple исправила уязвимость в обновлении IOS 18.4 — для передачи данных теперь нужен пин-код; в Android 15 внедрили аналогичное требование. Атака по большей части теоретическая, но напоминание о том, что совать свои USB-кабеля куда попало не стоит, всегда полезно. Мы за безопасные подключения!
@tomhunter
Свежая и похорошевшая атака направлена на эксплойт архитектуры доверия USB-протоколов. ОС считает, что устройство не может одновременно быть и хостом, и вводить команды. Но есть нюанс: может. Троянская зарядка подключается как периферия, затем становится хостом и параллельно шлёт команды через Bluetooth, обходя запрос на передачу данных. На атаку нужно 30 секунд, ей подвержены почти все популярные модели. Apple исправила уязвимость в обновлении IOS 18.4 — для передачи данных теперь нужен пин-код; в Android 15 внедрили аналогичное требование. Атака по большей части теоретическая, но напоминание о том, что совать свои USB-кабеля куда попало не стоит, всегда полезно. Мы за безопасные подключения!
@tomhunter
25.04.202512:59
#news Недавно писал про крупное обновление фишингового кита Darcula, которое не сулит ничего хорошего. В новом версии разработчики решили поднять градус мерзости в своём поделии: оно теперь запитано от ИИ-модели.
Генерация, перевод на любые языки, подгон шаблонов под целевую жертву, и всё это с помощью элементарных промптов формата «Сделай мне красиво и чтобы мне кидали битки, буду жить как LockBitSupp в его письмах ФБР». Иными словами, барьер для входа в фишинг теперь не просто низкий — он ниже плинтуса. Так что резкий скачок по числу фишинговых кампаний с максимально упрощённым и масштабированным до небес деплоем уже скоро. С марта 2024-го сеть почистили от 25 тысяч страниц и 90 тысяч доменов, завязанных на Darcula. Дальше — больше. Может быть придёт час, когда каждый день не будет днём новостей про LLM’ки. Но только не сегодня, увы.
@tomhunter
Генерация, перевод на любые языки, подгон шаблонов под целевую жертву, и всё это с помощью элементарных промптов формата «Сделай мне красиво и чтобы мне кидали битки, буду жить как LockBitSupp в его письмах ФБР». Иными словами, барьер для входа в фишинг теперь не просто низкий — он ниже плинтуса. Так что резкий скачок по числу фишинговых кампаний с максимально упрощённым и масштабированным до небес деплоем уже скоро. С марта 2024-го сеть почистили от 25 тысяч страниц и 90 тысяч доменов, завязанных на Darcula. Дальше — больше. Может быть придёт час, когда каждый день не будет днём новостей про LLM’ки. Но только не сегодня, увы.
@tomhunter
23.04.202514:29
#news Роскомнадзор рекомендует бизнесу сообщить об известных утечках данных до 30 мая. В таком случае можно будет отделаться мерами в соответствии с действующим законодательством. А меры, как все помнят, щадящие.
А вот после 30 мая ждёт полный пакет со штрафами за неуведомление РКН и оборотными. Как доверительно сообщает РКН, датой правонарушения считается момент, когда подтверждена утечка. Можно подтвердить самостоятельно и жить спокойно. А можно дождаться публикации утёкшей базы в каком-нибудь канальчике после тридцатого и фиксировать убытки от общения с надзорным органом. В общем, отсрочка на память о прежней вольнице, когда можно было слить вообще всё и ничего тебе за это не будет. А дальше уже выкручиваться по-новому. Ну что, товарищи безопасники, утечки информации у клиентов есть? А если в TG найду?
@tomhunter
А вот после 30 мая ждёт полный пакет со штрафами за неуведомление РКН и оборотными. Как доверительно сообщает РКН, датой правонарушения считается момент, когда подтверждена утечка. Можно подтвердить самостоятельно и жить спокойно. А можно дождаться публикации утёкшей базы в каком-нибудь канальчике после тридцатого и фиксировать убытки от общения с надзорным органом. В общем, отсрочка на память о прежней вольнице, когда можно было слить вообще всё и ничего тебе за это не будет. А дальше уже выкручиваться по-новому. Ну что, товарищи безопасники, утечки информации у клиентов есть? А если в TG найду?
@tomhunter
22.04.202513:59
#news В WinZip обнаружили нулевой день. Причём на обход Mark-of-the-Web в Windows. Так что у нас в 2025-м бинго из трёх архиваторов с 0-day такого плана — недавно обход MotW исправили в 7-Zip и WinRar.
Уязвимость затрагивает версии архиватора до 29.0. Причём никаких технических знаний для её эксплойта не нужно: WinZip просто не вешает плашку MotW на файлы при их распаковке из архива. Проще говоря, после того как аналогичные CVE исправили в других архиваторах, кому-то в голову пришла в голову светлая идея проверить, как с этим обстоят дела у WinZip. Как оказалось, пропатченная ранее CVE-2024-8811 в нём была исправлена только частично. Обновления пока нет, так что имейте это в виду, чтобы потом не удивляться полученным от бухгалтерии письмам формата «Я что-то распаковала, и всё пропало».
@tomhunter
Уязвимость затрагивает версии архиватора до 29.0. Причём никаких технических знаний для её эксплойта не нужно: WinZip просто не вешает плашку MotW на файлы при их распаковке из архива. Проще говоря, после того как аналогичные CVE исправили в других архиваторах, кому-то в голову пришла в голову светлая идея проверить, как с этим обстоят дела у WinZip. Как оказалось, пропатченная ранее CVE-2024-8811 в нём была исправлена только частично. Обновления пока нет, так что имейте это в виду, чтобы потом не удивляться полученным от бухгалтерии письмам формата «Я что-то распаковала, и всё пропало».
@tomhunter
18.04.202513:59
#news Пятничные новости от Cursor. У редактора кода компании появилось новое правило: пользоваться им можно только на одном устройстве, на другие нужна отдельная подписка. В итоге пошла волна возмущений в сети и отписок от сервиса. Панчлайн? Правило выдумал чат-бот.
Ответ бота техподдержки был убедительным, многие отменили подписки и критиковали компанию за ограничение кроссплатформенного доступа. Получивший ответ даже заявил, что его компания отказалась от услуг Cursor. К тому моменту, когда к ситуации подключили кожаного мешка, уже было немного поздно. А разгадка проста: запитанный от ИИ бот не знал ответ и пустился галлюцинировать во все тяжкие. Раньше Air Canada получила судебное дело, когда её чат-бот сочинил политику возврата билетов. А один юзер ChatGPT не попал в Чили, так как модель выдала ему ложную информацию, что ему не нужна виза для поездки. Старый мир мёртв, новый рождается в страшных муках. Наступило время <strike>чудовищ</strike> курьёзов!
@tomhunter
Ответ бота техподдержки был убедительным, многие отменили подписки и критиковали компанию за ограничение кроссплатформенного доступа. Получивший ответ даже заявил, что его компания отказалась от услуг Cursor. К тому моменту, когда к ситуации подключили кожаного мешка, уже было немного поздно. А разгадка проста: запитанный от ИИ бот не знал ответ и пустился галлюцинировать во все тяжкие. Раньше Air Canada получила судебное дело, когда её чат-бот сочинил политику возврата билетов. А один юзер ChatGPT не попал в Чили, так как модель выдала ему ложную информацию, что ему не нужна виза для поездки. Старый мир мёртв, новый рождается в страшных муках. Наступило время <strike>чудовищ</strike> курьёзов!
@tomhunter
16.04.202515:59
#news К оригинальным находкам от мира рансомвари. Модифицированная версия энкриптора Fog, с вполне приличным кодом, но с неожиданным брендингом: назван вредонос DOGE BIG BALLS. Кто следит за свежим лором из США, вспомнит, что это никнейм 19-летнего дарования из DOGE с киберпреступным прошлым.
Рансомварь не только получила название в его честь, но и содержит в записке имя — Эдвард Користин — и его домашний адрес с номером телефона, а также приписывает ему авторство энкриптора. В общем, попытка юного хакера очернить. И судя по тому, насколько она тупая, за ней стоят малолетние друзья товарища Big Balls по сетке The Com. Ранее в их логах уже светились намерения испортить Користину жизнь. В общем, комментарии здесь излишни. Недавно писал, что цирк в нынешней администрации продлится всю каденцию Трампа, и явно не прогадал. Пока из-за действий DOGE без финансирования остаётся MITRE, по сети гуляют вот такие поделия с детскими атаками на кулхацкера Голова-брокколи из этой самой DOGE. Так и живём.
@tomhunter
Рансомварь не только получила название в его честь, но и содержит в записке имя — Эдвард Користин — и его домашний адрес с номером телефона, а также приписывает ему авторство энкриптора. В общем, попытка юного хакера очернить. И судя по тому, насколько она тупая, за ней стоят малолетние друзья товарища Big Balls по сетке The Com. Ранее в их логах уже светились намерения испортить Користину жизнь. В общем, комментарии здесь излишни. Недавно писал, что цирк в нынешней администрации продлится всю каденцию Трампа, и явно не прогадал. Пока из-за действий DOGE без финансирования остаётся MITRE, по сети гуляют вот такие поделия с детскими атаками на кулхацкера Голова-брокколи из этой самой DOGE. Так и живём.
@tomhunter
28.04.202510:59
#news Софт для мониторинга производительности WorkComposer допустил утечку 21 миллиона скриншотов в открытый доступ. Неизвестная уязвимость, обскурная ошибка в API? А вот и нет — просто открытое всем желающим S3-ведро. Классика.
У WorkComposer 200 тысяч клиентов, и скриншоты рабочих столов их сотрудников были в сети в прямом эфире. А вместе с ними страницы входа, данные доступа, ключи API, конфиденциальные документы с рабочими переписками… Иными словами, золотая жила для киберпреступлений, промышленного шпионажа и прочих запретных удовольствий. Брешь компания закрыла (спустя полтора месяца после раскрытия), но комментариев давать не спешит. Оно и понятно — здесь никаким корпоспиком не отделаешься. А у нас в сухом остатке отличный аргумент для споров на тему софта для слежения за корпоративными дронами: один косяк от команды разработки, и твой экран видит не только лишь менеджер среднего звена.
@tomhunter
У WorkComposer 200 тысяч клиентов, и скриншоты рабочих столов их сотрудников были в сети в прямом эфире. А вместе с ними страницы входа, данные доступа, ключи API, конфиденциальные документы с рабочими переписками… Иными словами, золотая жила для киберпреступлений, промышленного шпионажа и прочих запретных удовольствий. Брешь компания закрыла (спустя полтора месяца после раскрытия), но комментариев давать не спешит. Оно и понятно — здесь никаким корпоспиком не отделаешься. А у нас в сухом остатке отличный аргумент для споров на тему софта для слежения за корпоративными дронами: один косяк от команды разработки, и твой экран видит не только лишь менеджер среднего звена.
@tomhunter
24.04.202514:59
#news Ещё один тревожный пример победной поступи ИИ-моделей: GPT на пару с Cursor успешно написали эксплойт к недавней критической CVE в SSH-сервере Erlang/OTP. И всё это до появления проверок концепции в публичном доступе.
LLM’кам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. А следом написать PoC, протестировать и отладить. У исследователя на это ушёл один вечер и набор базовых промптов. С одной стороны, какой восторг! С другой, что ждёт среду исследования уязвимостей (и реагирования на них) с такими перспективами — представить нетрудно. Здесь, конечно, можно отмахнуться, заявив, что эксплойт этой CVE элементарный, и с ним справится любой кожаный мешок — PoC появились уже на следующий день. Но пока ты занимаешься нетворкингом под градусом по митапам и прочим человеческим, LLM’ка качается. Так что то ли ещё будет.
@tomhunter
LLM’кам хватило описания CVE, чтобы понять проблему, найти коммит с патчем и сопоставить его с уязвимым кодом. А следом написать PoC, протестировать и отладить. У исследователя на это ушёл один вечер и набор базовых промптов. С одной стороны, какой восторг! С другой, что ждёт среду исследования уязвимостей (и реагирования на них) с такими перспективами — представить нетрудно. Здесь, конечно, можно отмахнуться, заявив, что эксплойт этой CVE элементарный, и с ним справится любой кожаный мешок — PoC появились уже на следующий день. Но пока ты занимаешься нетворкингом под градусом по митапам и прочим человеческим, LLM’ка качается. Так что то ли ещё будет.
@tomhunter
22.04.202518:13
Реальные кейсы — лучший способ понять, как работают технологии в условиях, приближённых к боевым.
Приглашаем вас на вебинар, на котором эксперты из Ideco и T.Hunter, а также представитель заказчика, поделятся опытом масштабного проекта по защите распределённой промышленной инфраструктуры с помощью 😍Ideco NGFW.
Мы обсудим как защищать сеть сотни объектов по всей России без потери управляемости и гибкости, а также с какими вызовами сталкиваются компании при переходе на новые ИБ-решения.
На вебинаре расскажем:
🟠Как выбрать NGFW-решение для инфраструктуры с множеством объетов
🟠Как обеспечить стабильную работу и централизованное управление на 300+ площадках
🟠Подводные камни интеграции в существующую ИТ-инфраструкуру
🟠Как организована поддержка и контроль качества внедрения
📆 24 апреля в 11:00 (Мск)
Регистрация
Приглашаем вас на вебинар, на котором эксперты из Ideco и T.Hunter, а также представитель заказчика, поделятся опытом масштабного проекта по защите распределённой промышленной инфраструктуры с помощью 😍Ideco NGFW.
Мы обсудим как защищать сеть сотни объектов по всей России без потери управляемости и гибкости, а также с какими вызовами сталкиваются компании при переходе на новые ИБ-решения.
На вебинаре расскажем:
🟠Как выбрать NGFW-решение для инфраструктуры с множеством объетов
🟠Как обеспечить стабильную работу и централизованное управление на 300+ площадках
🟠Подводные камни интеграции в существующую ИТ-инфраструкуру
🟠Как организована поддержка и контроль качества внедрения
📆 24 апреля в 11:00 (Мск)
Регистрация
21.04.202515:59
#news На npm три вредоносных тайпсквот-пакета, маскирующихся под Telegram Bot API. C копией кода и readme оригинала и угоном рейтинга оригинального репозитория через starjacking — всё как полагается.
Вредоносный код проверяет, запущен ли он в Linux, и внедряет два SSH-ключа злоумышленника для доступа к системе, а также отсылает имя юзера и айпишник для подтверждения заражения. Всего 40 строк в остальном неотличимом от оригинала пакете. У подменышей 300 скачиваний, что на первый взгляд немного, но в среде разработки и пары удачных компрометаций будет вполне достаточно для хорошей такой атаки на цепочку поставок. Подробнее о пакетах в отчёте. Всё ещё висят на npm, между прочим. Уже два месяца.
@tomhunter
Вредоносный код проверяет, запущен ли он в Linux, и внедряет два SSH-ключа злоумышленника для доступа к системе, а также отсылает имя юзера и айпишник для подтверждения заражения. Всего 40 строк в остальном неотличимом от оригинала пакете. У подменышей 300 скачиваний, что на первый взгляд немного, но в среде разработки и пары удачных компрометаций будет вполне достаточно для хорошей такой атаки на цепочку поставок. Подробнее о пакетах в отчёте. Всё ещё висят на npm, между прочим. Уже два месяца.
@tomhunter
18.04.202511:59
#news После перехвата LabHost в 2024-м на рынке PhaaS-сервисов, работающих по Северной Америке, образовалась брешь. Год спустя можно с уверенностью говорить, что солидную часть рынка отхватил SheByte.
SheByte появился в мае 2024-го, и первое время его активность пошла на спад — конкуренты с Frappo активно пытались задавить новичка. Но на март этого года у SheByte в активе два десятка шаблонов под банки плюс россыпь под email-сервисы, телеком-операторов и криптобиржи. И всё это за 200 баксов в месяц. Так что SheByte — главный претендент на ключевую роль на рынке. Между тем разработчик ставит себе в плюс, что сервис он держит в одиночку — LabHost перехватили из-за утечек в раздутой команде с арестами ~40 человек. Но сам-себе-маркетолог, конечно, не упомянет, что с ним в качестве единой точки отказа хватит одного ареста, чтобы положить платформу и резко усложнить клиентам жизнь. В конце концов, не утечками едиными живёт Европол.
@tomhunter
SheByte появился в мае 2024-го, и первое время его активность пошла на спад — конкуренты с Frappo активно пытались задавить новичка. Но на март этого года у SheByte в активе два десятка шаблонов под банки плюс россыпь под email-сервисы, телеком-операторов и криптобиржи. И всё это за 200 баксов в месяц. Так что SheByte — главный претендент на ключевую роль на рынке. Между тем разработчик ставит себе в плюс, что сервис он держит в одиночку — LabHost перехватили из-за утечек в раздутой команде с арестами ~40 человек. Но сам-себе-маркетолог, конечно, не упомянет, что с ним в качестве единой точки отказа хватит одного ареста, чтобы положить платформу и резко усложнить клиентам жизнь. В конце концов, не утечками едиными живёт Европол.
@tomhunter
15.04.202513:00
#news Китай обвинил США в кибератаках во время Азиатских зимних игр в феврале. И не простых, а с применением «встроенных в Windows бэкдоров». Доставайте свои шапочки из фольги и подшивку разоблачительных постов с обскурных форумов — время пришло. Снова.
Целью была система регистрации участников, похищение данных спортсменов и информации по организации соревнований. И в ход пошли бэкдоры в Windows, активированные на устройствах в регионе. В атаке якобы участвовали два штатовских вуза, Калифорнийский и Вирджиния Тех — кузницы кадров для АНБ. Трём предполагаемым агентам последней также предъявили обвинения: им приписывают многочисленные атаки по критической инфраструктуре Китая, включая по Huawei. Всё это для подрыва стабильности, кражи данных и создания хаоса. В общем, увидеть достопримечательности Пекина и восход над Жёлтым морем им уже не светит.
@tomhunter
Целью была система регистрации участников, похищение данных спортсменов и информации по организации соревнований. И в ход пошли бэкдоры в Windows, активированные на устройствах в регионе. В атаке якобы участвовали два штатовских вуза, Калифорнийский и Вирджиния Тех — кузницы кадров для АНБ. Трём предполагаемым агентам последней также предъявили обвинения: им приписывают многочисленные атаки по критической инфраструктуре Китая, включая по Huawei. Всё это для подрыва стабильности, кражи данных и создания хаоса. В общем, увидеть достопримечательности Пекина и восход над Жёлтым морем им уже не светит.
@tomhunter
28.04.202506:49
#hr Мы ищем таланты, которые ищут интересную работу!
🔵Инженер внедрения
🔴Руководитель проектов ИТ / IT Project Manager
🔵Аналитик по информационной безопасности
🔴Специалист тендерно-договорного отдела
🔵Менеджер по продажам решений информационной безопасности
@tomhunter
🔵Инженер внедрения
🔴Руководитель проектов ИТ / IT Project Manager
🔵Аналитик по информационной безопасности
🔴Специалист тендерно-договорного отдела
🔵Менеджер по продажам решений информационной безопасности
@tomhunter
24.04.202512:59
#news 2024-й принёс ещё один рекорд, и вновь не там, где хотелось бы. Хотя некоторые из вас будут довольны: США потеряли рекордные 16,6 миллиардов долларов из-за киберпреступности.
При этом отчётные цифры далеки от реальных: учитывают только известные органам случаи и те, о которых жертвы сообщают напрямую. Часть пролетают мимо отчётности, так как о них сообщают по другим каналам или не сообщают вовсе. Кроме того, по рансомвари считают только выплаты — издержки, которые несут компании, не учитывают. Так что даже внушительные цифры — лишь часть ежегодного оборота киберпреступного рыночка. Это к извечному спору белошляпочников со склизкими обитателями даркнета на тему «Где деньги, блэчеры?» Да вот они. А то, что они пролетают мимо рядового кулхацкера, начитавшегося флекса от редкого паровозика, который смог <strike>найти себе хорошую крышу</strike>, — это уже другой вопрос.
@tomhunter
При этом отчётные цифры далеки от реальных: учитывают только известные органам случаи и те, о которых жертвы сообщают напрямую. Часть пролетают мимо отчётности, так как о них сообщают по другим каналам или не сообщают вовсе. Кроме того, по рансомвари считают только выплаты — издержки, которые несут компании, не учитывают. Так что даже внушительные цифры — лишь часть ежегодного оборота киберпреступного рыночка. Это к извечному спору белошляпочников со склизкими обитателями даркнета на тему «Где деньги, блэчеры?» Да вот они. А то, что они пролетают мимо рядового кулхацкера, начитавшегося флекса от редкого паровозика, который смог <strike>найти себе хорошую крышу</strike>, — это уже другой вопрос.
@tomhunter
22.04.202516:00
#news Минцифры вспомнило об одном небольшом нюансе недавно принятого закона об утечках данных. С ИБ-отраслью пошли обсуждения о выведении их расследования из-под уголовной ответственности.
Согласно предлагаемым изменениям, действие закона не будет распространяться на организации, расследующие утечки данных клиентов. ИБ-компании под это тоже попадают: есть лицензия на защиту конфиденциальной информации — можно <strike>немного пошалить</strike> делать свою работу. Но планируют ввести ценз по размеру капитала, так что сами понимаете, куда ветер дует. В текущем виде, как обычно, проект требует доработки, но по итогам есть шанс, что расследования сливов не уйдут на дно серых схем. И можно будет открывать дампы без того, чтобы прежде крепко задуматься о своём выборе профессии и планах на ближайшие года четыре. В конце концов, турецкого сценария очень хотелось бы избежать.
@tomhunter
Согласно предлагаемым изменениям, действие закона не будет распространяться на организации, расследующие утечки данных клиентов. ИБ-компании под это тоже попадают: есть лицензия на защиту конфиденциальной информации — можно <strike>немного пошалить</strike> делать свою работу. Но планируют ввести ценз по размеру капитала, так что сами понимаете, куда ветер дует. В текущем виде, как обычно, проект требует доработки, но по итогам есть шанс, что расследования сливов не уйдут на дно серых схем. И можно будет открывать дампы без того, чтобы прежде крепко задуматься о своём выборе профессии и планах на ближайшие года четыре. В конце концов, турецкого сценария очень хотелось бы избежать.
@tomhunter
21.04.202511:29
#news Чудеса инфобеза оболочки One UI от Samsung: пользователи обнаружили, что содержимое буфера на устройствах не очищается. Вообще. И хранится простым текстом. А вместе с ним, соответственно, и попавшие в буфер пароли, банковские данные и прочее чувствительное.
А разгадка проста: функции автоочистки буфера в One UI нет. А с учётом того, что она работает на уровне системы, настройки сторонних клавиатур оболочка игнорирует. Samsung проблему признала и передала инженерам. Говорят, хорошо бы обзавестись автоочисткой и блоком на хранение конфиденциального в буфере. А пока, дорогие юзеры, очищайте буфер устройства вручную и надейтесь, что на него не залетит RAT или инфостилер с соответствующей функциональностью. История, конечно, удивительная. Всё же таких просчётов в разработке ждёшь от китайских поделий, а не от флагмана от мира андроидов.
@tomhunter
А разгадка проста: функции автоочистки буфера в One UI нет. А с учётом того, что она работает на уровне системы, настройки сторонних клавиатур оболочка игнорирует. Samsung проблему признала и передала инженерам. Говорят, хорошо бы обзавестись автоочисткой и блоком на хранение конфиденциального в буфере. А пока, дорогие юзеры, очищайте буфер устройства вручную и надейтесь, что на него не залетит RAT или инфостилер с соответствующей функциональностью. История, конечно, удивительная. Всё же таких просчётов в разработке ждёшь от китайских поделий, а не от флагмана от мира андроидов.
@tomhunter
17.04.202515:09
#news SSH-библиотека Erlang/OTP отметилась критической уязвимостью на десяточку по CVSS. Как можно догадаться, это произвольный код без аутентификации. Затронуты все версии, использующие уязвимую библиотеку.
Проблема CVE-2025-32433 в некорректной обработке протокольных сообщений SSH. Это позволяет злоумышленнику отправить специально созданные сообщения и добиться RCE в процессе SSH-сервера. Если же на SSH-демоне root-права, также можно получить полный контроль над системой, а там и доступ к данным, и отказ в обслуживании. Между тем на Erlang/OTP крутятся многие устройства от Cisco и Ericsson в критической инфраструктуре. Патчи доступны, но, как водится, злоумышленники добираются до целевых систем гораздо раньше. Так что у нас кандидат на самую горячую уязвимость для рансомвари и апэтэшечек сезона весна 2025.
@tomhunter
Проблема CVE-2025-32433 в некорректной обработке протокольных сообщений SSH. Это позволяет злоумышленнику отправить специально созданные сообщения и добиться RCE в процессе SSH-сервера. Если же на SSH-демоне root-права, также можно получить полный контроль над системой, а там и доступ к данным, и отказ в обслуживании. Между тем на Erlang/OTP крутятся многие устройства от Cisco и Ericsson в критической инфраструктуре. Патчи доступны, но, как водится, злоумышленники добираются до целевых систем гораздо раньше. Так что у нас кандидат на самую горячую уязвимость для рансомвари и апэтэшечек сезона весна 2025.
@tomhunter
14.04.202516:59
#news По сетевым дебрям распространяются какие-то не очень вразумительные слухи о возвращении рансомвари HelloKitty. Последняя ушла со сцены год назад, заявив о ребрендинге. Теперь же якобы засветились новые варианты под Windows, Linux и ESXi, свежие образцы от февраля 2025-го.
Речь может идти о перезапуске инфраструктуры, но пока сайтов в TOR не видно. Из интересного, многие образцы были загружены с китайских айпишников. В коде также обнаружили артефакты на китайском, включая язык во внутренних файлах и упоминания китайских сервисов. В общем, происхождение новинок неочевидное. Здесь, впрочем, не стоит забывать о том, что разраб слил билдер в 2023-м. Так что вполне возможно, что никакого секрета во внезапном возвращении нет, как в случае с многочисленными энкрипторами, собранными на коленке из исходников LockBit Black или Babuk.
@tomhunter
Речь может идти о перезапуске инфраструктуры, но пока сайтов в TOR не видно. Из интересного, многие образцы были загружены с китайских айпишников. В коде также обнаружили артефакты на китайском, включая язык во внутренних файлах и упоминания китайских сервисов. В общем, происхождение новинок неочевидное. Здесь, впрочем, не стоит забывать о том, что разраб слил билдер в 2023-м. Так что вполне возможно, что никакого секрета во внезапном возвращении нет, как в случае с многочисленными энкрипторами, собранными на коленке из исходников LockBit Black или Babuk.
@tomhunter
25.04.202515:29
#news Google представила новый инструмент для отправки писем со сквозным шифрованием. А вместе с ним и потенциальный вектор атаки для фишинга. Проблема сводится к планам добавить возможность отправки таких писем на сторонние ящики.
В случае если зашифрованное письмо приходит адресату не на Gmail, он получает приглашение перейти по ссылке в гостевой аккаунт и просмотреть письмо. Сценарий атаки представили? Вместе с релизом фичи в общий доступ можно ждать появления тулкитов для создания фишинговых приглашений, замаскированных под письма с Gmail. Google уверяет, что потенциальные угрозы учтены системой оповещений, аналогичной Google Drive. Вот только что происходит вне их экосистемы (если это, конечно, не рекламная — там можно всё) гугл-шерифа не интересует. Так что между тем, чтобы ограничить фичу Gmail’ом или создать новый вектор атаки, Google, конечно, выбирает второе. А вы как думали?
@tomhunter
В случае если зашифрованное письмо приходит адресату не на Gmail, он получает приглашение перейти по ссылке в гостевой аккаунт и просмотреть письмо. Сценарий атаки представили? Вместе с релизом фичи в общий доступ можно ждать появления тулкитов для создания фишинговых приглашений, замаскированных под письма с Gmail. Google уверяет, что потенциальные угрозы учтены системой оповещений, аналогичной Google Drive. Вот только что происходит вне их экосистемы (если это, конечно, не рекламная — там можно всё) гугл-шерифа не интересует. Так что между тем, чтобы ограничить фичу Gmail’ом или создать новый вектор атаки, Google, конечно, выбирает второе. А вы как думали?
@tomhunter
23.04.202515:59
#news AgeoStealer продолжают распространять по геймерскому коммьюнити под видом бета-теста игр. В начале года он уже светился в этой схеме, и, видимо, она оказалась эффективной.
Жертва получает в Discord и на аналогичных площадках предложение, от которого невозможно отказаться: ранний доступ к свежей пиксельной индюшке. Инфостилер замаскирован под архив с игрой на Unity; на деле же это NSIS-файл, запускающий вредоносный JS-скрипт. Устойчивость, обфускация, проверка на виртуалки и дебаг — всё как полагается. По краже данных тоже всё стандартно: браузеры, логины, куки и криптокошельки плюс выгрузка файлов с основных папок. Так что не спешите покупаться на заманчивое предложение: с такими заходами вред от поделия на Unity может быть и похуже, чем превращение любимой игровой машины в хлебопечку.
@tomhunter
Жертва получает в Discord и на аналогичных площадках предложение, от которого невозможно отказаться: ранний доступ к свежей пиксельной индюшке. Инфостилер замаскирован под архив с игрой на Unity; на деле же это NSIS-файл, запускающий вредоносный JS-скрипт. Устойчивость, обфускация, проверка на виртуалки и дебаг — всё как полагается. По краже данных тоже всё стандартно: браузеры, логины, куки и криптокошельки плюс выгрузка файлов с основных папок. Так что не спешите покупаться на заманчивое предложение: с такими заходами вред от поделия на Unity может быть и похуже, чем превращение любимой игровой машины в хлебопечку.
@tomhunter
Reposted from:
Cyberwave 2025
22.04.202515:00
#speakers Следующий спикер на Cyberwave 2025 — Сергей Буреев, начальник отдела тестирования на проникновение компании T.Hunter. И содержание доклада максимально интригующее.
✍️ Атака на защиту: лик хэшей и данных
Сергей расскажет о coerce-атаках и том как с их помощью можно получить не только NetNTLM-хэши, но и другие данные. Речь также пойдёт о coerce-атаках от NT AUTHORITY\LOCAL SERVICE, которые часто недооценивают из-за низких прав доступа.
Почему атаки от LOCAL SERVICE игнорируют совершенно напрасно и как это всё увязывается с EDR-решениями? Кто уверенно ответил на вопрос, тот и пентестер со звёздочкой. А всем желающим подробнее узнать об этом менее известном векторе атаки добро пожаловать на Cyberwave 2025!
@cyberwave_sec
✍️ Атака на защиту: лик хэшей и данных
Сергей расскажет о coerce-атаках и том как с их помощью можно получить не только NetNTLM-хэши, но и другие данные. Речь также пойдёт о coerce-атаках от NT AUTHORITY\LOCAL SERVICE, которые часто недооценивают из-за низких прав доступа.
Почему атаки от LOCAL SERVICE игнорируют совершенно напрасно и как это всё увязывается с EDR-решениями? Кто уверенно ответил на вопрос, тот и пентестер со звёздочкой. А всем желающим подробнее узнать об этом менее известном векторе атаки добро пожаловать на Cyberwave 2025!
@cyberwave_sec
20.04.202509:25
👾 Поздравляем со светлой Пасхой!
С любовью и заботой о вашей цифровой безопасности.
В качестве пасхального подарка мы обновили Opera-OSINT — нашу версию браузера для расследователей. Скачать его можно бесплатно. Как и список полезных источников для импорта в альтернативные браузеры.
Христос Воскрес! 🐣🔒
@tomhunter
Пусть этот праздник принесёт в ваш дом радость, обновление и уверенность в завтрашнем дне — как надёжный шифр защищает данные. Мы желаем вам ярких моментов без вирусов сомнений, крепких «паролей» благополучия и только безопасных решений!
С любовью и заботой о вашей цифровой безопасности.
В качестве пасхального подарка мы обновили Opera-OSINT — нашу версию браузера для расследователей. Скачать его можно бесплатно. Как и список полезных источников для импорта в альтернативные браузеры.
Христос Воскрес! 🐣🔒
@tomhunter
17.04.202510:59
#news По MITRE можно убирать успокоительное: финансирование программы продлили. Так что идея навести шуму в прессе явно сработала — деньги на контракт CISA резко нашло.
За день успело многое произойти. В Штатах заявили о создании CVE Foundation, некоммерческого фонда для поддержания программы CVE в свете возможных проблем у MITRE. В Европе также подняли GCVE — Global CVE Allocation System, ещё одну децентрализованную программу для поддержки CVE и совместимую с ней. А также Vulnerability Lookup. В общем, можно выдыхать и попутно присмотреться к этим двум инициативам. Если запал после возврата MITRE онлайн у них не иссякнет, глядишь, будет решена проблема митревской базы как единой точки отказа. Поют ли дифирамбы безопасники-поклонники Трампа про его 4D-шахматы по неконвенциональному улучшению качества глобального инфобеза? Хочется надеяться, что нет.
@tomhunter
За день успело многое произойти. В Штатах заявили о создании CVE Foundation, некоммерческого фонда для поддержания программы CVE в свете возможных проблем у MITRE. В Европе также подняли GCVE — Global CVE Allocation System, ещё одну децентрализованную программу для поддержки CVE и совместимую с ней. А также Vulnerability Lookup. В общем, можно выдыхать и попутно присмотреться к этим двум инициативам. Если запал после возврата MITRE онлайн у них не иссякнет, глядишь, будет решена проблема митревской базы как единой точки отказа. Поют ли дифирамбы безопасники-поклонники Трампа про его 4D-шахматы по неконвенциональному улучшению качества глобального инфобеза? Хочется надеяться, что нет.
@tomhunter
Reposted from:Cyberwave 2025
14.04.202516:00
#cyberwave2025 29 апреля в Санкт-Петербурге впервые пройдёт конференция Cyberwave 2025. Уникальная локация, Планетарий №1, на день соберёт под крупнейшим в мире проекционным куполом экспертов по кибербезопасности, начинающих ИБ-специалистов в поисках полезных связей и бизнес, нуждающийся в талантливых кадрах.
🔤🔤🔤🔤🔤🔤🔤🔤🔤 2️⃣0️⃣2️⃣5️⃣ — это:
✍️ Выступления ведущих исследователей от мира инфобеза. От пентеста и работы с уязвимостями до утечек информации и антифрода — реальные кейсы, практический опыт и никаких скучных лекций.
😎 CTF Battle, Online Hack Quest и Hardware Hack Zone. Классика ИБ с захватом флага, хак-квестом и воркшопом по взлому железа для всех желающих показать свои навыки форензики, реверс-инжиниринга и криптографии.
☺️ Интерактивная выставка ретротехники от RetroTech Squad. Тёплые ламповые компьютеры и легендарные консоли с турнирами по Ultimate Mortal Kombat 3 на Sega, Tekken 3 на PS1 и привкусом ностальгии.
☺️ Афтепати. С обменом впечатлениями, общением с единомышленниками, нетворкингом и возможностью на других посмотреть и себя показать.
Ты пентестер, этичный хакер, багхантер, разработчик средств защиты или исследователь уязвимостей? Cyberwave 2025 — событие для тебя.
Ты студент-безопасник, ждавший возможности помахать сертификатом с CTF-батла перед потенциальными рекрутерами? На Cyberwave 2025 тебе будут рады.
Ты представитель бизнеса, заинтересованный в повышении киберустойчивости своей компании? На Cyberwave 2025 соберутся люди, которые знают об этом всё.
Участие в конференции бесплатное, зарегистрироваться можно здесь. Количество мест ограничено! Вся информация о Cyberwave 2025 доступна на сайте, а пока подписывайтесь на канал — мы подробнее расскажем о конференции, наших спикерах и ключевых событиях дня.
Санкт-Петербург, 29 апреля, Планетарий №1. Присоединяйтесь, будет интересно!
@cyberwave_sec
🔤🔤🔤🔤🔤🔤🔤🔤🔤 2️⃣0️⃣2️⃣5️⃣ — это:
✍️ Выступления ведущих исследователей от мира инфобеза. От пентеста и работы с уязвимостями до утечек информации и антифрода — реальные кейсы, практический опыт и никаких скучных лекций.
😎 CTF Battle, Online Hack Quest и Hardware Hack Zone. Классика ИБ с захватом флага, хак-квестом и воркшопом по взлому железа для всех желающих показать свои навыки форензики, реверс-инжиниринга и криптографии.
☺️ Интерактивная выставка ретротехники от RetroTech Squad. Тёплые ламповые компьютеры и легендарные консоли с турнирами по Ultimate Mortal Kombat 3 на Sega, Tekken 3 на PS1 и привкусом ностальгии.
☺️ Афтепати. С обменом впечатлениями, общением с единомышленниками, нетворкингом и возможностью на других посмотреть и себя показать.
Ты пентестер, этичный хакер, багхантер, разработчик средств защиты или исследователь уязвимостей? Cyberwave 2025 — событие для тебя.
Ты студент-безопасник, ждавший возможности помахать сертификатом с CTF-батла перед потенциальными рекрутерами? На Cyberwave 2025 тебе будут рады.
Ты представитель бизнеса, заинтересованный в повышении киберустойчивости своей компании? На Cyberwave 2025 соберутся люди, которые знают об этом всё.
Участие в конференции бесплатное, зарегистрироваться можно здесь. Количество мест ограничено! Вся информация о Cyberwave 2025 доступна на сайте, а пока подписывайтесь на канал — мы подробнее расскажем о конференции, наших спикерах и ключевых событиях дня.
Санкт-Петербург, 29 апреля, Планетарий №1. Присоединяйтесь, будет интересно!
@cyberwave_sec
Shown 1 - 24 of 81
Log in to unlock more functionality.