T.Hunter | информационная безопасность

#news Больше креатива от мира ClickFix-атак. В свежей вариации засветилась стеганография для доставки, но интереснее в ней новинка по части социнженерии. Атака замаскирована под экран обновления Windows. В этом варианте вместо капчи полноэкранные окна. Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы...

#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах. Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение...

#news CrowdStrike поймала у себя инсайдера. Человек с сомнительной рабочей этикой и плохо просчитанными рисками сдал злоумышленникам скриншоты внутренних систем и не только. Они ранее вспыли в чатиках неугомонного хакерского тройничка из ShinyHunters, Scattered Spider и Lapsus$. Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов...

#news Яндекс с утра решил косплеить Cloudflare с AWS. Потому как чем мы хуже? Так что понедельник начался со сбоев: часть сайтов и сервисов, висящих на Yandex Cloud, оказались недоступны в некоторых регионах. Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков...

#news Mozilla объявила о сворачивании программы Monitor Plus по удалению данных юзеров с брокерских сайтов. Той самой, которую обслуживала белорусская OneRep, и выяснилось, что её владелец параллельно держит те самые сайты брокеров данных. Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества...

#news Максимально неловкий момент для Oracle: Cl0p закинула на свой сайт пост о взломе компании. Собственно, через уязвимость в Oracle EBS — ту самую, эксплойт которой шёл месяцы до патчей. Круг замкнулся. Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle...

#news Юные дарования из ShinyHunters обещали свою собственную RaaS-операцию с энкриптором и выкупами, и, похоже, она на подходе. На VT залетели сэмплы шифровальщика. Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран...

#news США, Великобритания и Австралия обложили санкциями российский хостинг Media Land и связанные с ним компании. Вместе с ними под санкции улетели гендиректор и ещё пара аффилированных с сервисом лиц, чьи лица теперь украшают сайт Минфина США. По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group...

#news Вчера у Cloudflare был крупнейший перебой в работе систем с 2019-го. Как и следовало ожидать, постинцидентный отчёт прекрасен. Сбой был вызван… изменением в контроле доступа к базе данных. Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare...

#news Исследователи проверили, как у экстремистов из WhatsApp с ограничением запросов на поиск контактов. Оказалось, не очень. И перебором номеров удалось вытянуть базу пользователей — на 3,5 миллиарда номеров. Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов...

#news На ВВС интервью с Вячеславом Пенчуковым, он же Танк и DJ Slava Rich. Первое, эксклюзивное, с заголовком про раскрытые тайны его кибербанды и всё прочее. На деле же по тексту нового мало. Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки...

#news Если у вас опять отвалилась половина интернета, не спешите ругаться на наше всё и подключать что-нибудь этакое. Тот редкий случай, когда проблема за кордоном: прилёг Cloudflare. Причём прилёг масштабно. Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов...