S.E.Reborn
Photo
Что грозит корпорациям в 2023 году: шантаж в СМИ, фейковые утечки и атаки через облако.
Предсказания «Лаборатории Касперского» об угрозах для корпораций на 2023 год: шантаж в СМИ, фейковые утечки, атаки через облако и усложнение инструментария вымогателей.
https://securelist.ru/corporate-threat-predictions-2023/106472/
#Отчет
Предсказания «Лаборатории Касперского» об угрозах для корпораций на 2023 год: шантаж в СМИ, фейковые утечки, атаки через облако и усложнение инструментария вымогателей.
https://securelist.ru/corporate-threat-predictions-2023/106472/
#Отчет
🔥2
Forwarded from ВЧК-ОГПУ
Российский гражданин Анатолий Легкодымов (Гэндальф), владелец криптобиржи Bitzlato Ltd. (Bitzlato), был арестован прошлой ночью в Майами, и сегодня во второй половине дня он должен предстать перед Окружным судом США по Южному округу Флориды.
По версии следствия, Легкодымов помогал управлять биржей криптовалют, которая позволяла преступникам получать прибыль от своих правонарушений, включая программы-вымогатели и незаконный оборот наркотиков.
Крупнейшим контрагентом Bitzlato в транзакциях с криптовалютой был Hydra Market, анонимный незаконный онлайн-рынок наркотиков, украденной финансовой информации, поддельных документов, удостоверяющих личность, и услуг по отмыванию денег, который был крупнейшим и старейшим рынком даркнета в мире. Пользователи Hydra Market обменяли более 700 миллионов долларов в криптовалюте с Bitzlato напрямую или через посредников, пока Hydra Market не был закрыт правоохранительными органами США и Германии в апреле 2022 года.
Bitzlato также получил более 15 миллионов долларов в виде доходов от программ-вымогателей.
По версии следствия, Легкодымов помогал управлять биржей криптовалют, которая позволяла преступникам получать прибыль от своих правонарушений, включая программы-вымогатели и незаконный оборот наркотиков.
Крупнейшим контрагентом Bitzlato в транзакциях с криптовалютой был Hydra Market, анонимный незаконный онлайн-рынок наркотиков, украденной финансовой информации, поддельных документов, удостоверяющих личность, и услуг по отмыванию денег, который был крупнейшим и старейшим рынком даркнета в мире. Пользователи Hydra Market обменяли более 700 миллионов долларов в криптовалюте с Bitzlato напрямую или через посредников, пока Hydra Market не был закрыт правоохранительными органами США и Германии в апреле 2022 года.
Bitzlato также получил более 15 миллионов долларов в виде доходов от программ-вымогателей.
👏10💅3🔥2
Forwarded from SecAtor
В современных условиях безопасность информационных систем корпораций и государственных структур приобретает особую значимость, и в 2023-м - ее роль еще более возрастет.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
securelist.ru
Угрозы для корпораций: предсказания на 2023 год
Предсказания «Лаборатории Касперского» об угрозах для корпораций на 2023 год: шантаж в СМИ, фейковые утечки, атаки через облако и усложнение инструментария вымогателей.
🔥3❤1
Forwarded from Social Engineering
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности и ИТ:
👁 Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.
👨🏻💻 Mentor IT — блог с заметками репетитора по математике, физике, информатике и IT. Автор рассказывает о задачах и способах их решения. Пишет заметки о применении математики в жизни и как сквозь неудачи и вопросы идти к математическому просветлению.
🗞 Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
🐧 Черный треугольник — авторский блог с самыми актуальными новостями из мира IT.
👁 Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.
👨🏻💻 Mentor IT — блог с заметками репетитора по математике, физике, информатике и IT. Автор рассказывает о задачах и способах их решения. Пишет заметки о применении математики в жизни и как сквозь неудачи и вопросы идти к математическому просветлению.
🗞 Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
🐧 Черный треугольник — авторский блог с самыми актуальными новостями из мира IT.
Forwarded from SecAtor
Новый банковский троян Hook всего за 5000 долларов в месяц открывает злоумышленникам возможности кражи учетных записей из более чем 450 приложений интернет-банкинга и криптокошельков.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
ThreatFabric
Hook: a new Ermac fork with RAT capabilities
Hook, the latest project of the criminals behind the Ermac banking malware, adds Remote Access Tool features, allowing this variant to perform On Device Fraud.
⚡9✍5🔥2
Forwarded from быдло.jazz
Одно из лучших, если не самое.
Инструмент для создания резервных копий приложений вместе с данными. В отличие от почившего в бозе Titanium Backup, до сих пор косячащего Neo Backup и прочих аналогов, данная прога работает с любыми приложениями и данными на современных осях, включая А13.
Полная поддержка всех архитектур, резервирование и восстановление сплитов, сжатие на выбор. Есть некоторые нюансы, но это пока бетка.
Самое главное! Прога создает и восстанавливает бэки приложений user 10 из вашей песочницы. Более того, можно восстанавливать резервные копии user 0 в пространстве user 10 и наоборот.
Root, A9+
https://github.com/XayahSuSuSu/Android-DataBackup/blob/main/README_RU.md
Инструмент для создания резервных копий приложений вместе с данными. В отличие от почившего в бозе Titanium Backup, до сих пор косячащего Neo Backup и прочих аналогов, данная прога работает с любыми приложениями и данными на современных осях, включая А13.
Полная поддержка всех архитектур, резервирование и восстановление сплитов, сжатие на выбор. Есть некоторые нюансы, но это пока бетка.
Самое главное! Прога создает и восстанавливает бэки приложений user 10 из вашей песочницы. Более того, можно восстанавливать резервные копии user 0 в пространстве user 10 и наоборот.
Root, A9+
https://github.com/XayahSuSuSu/Android-DataBackup/blob/main/README_RU.md
❤5🔥2
Forwarded from быдло.jazz
DataBackup.apk
17.6 MB
DataBackup (Back up/Restore your data.)
https://f-droid.org/packages/com.xayah.databackup/
https://f-droid.org/packages/com.xayah.databackup/
⚡5❤4🔥2🥰1🤔1
S.E.Reborn
Photo
Python 3 для сетевых инженеров.pdf
3.7 MB
• Дата выхода: 2021 год.
• Рейтинг:
• VT.
• С одной стороны, книга достаточно базовая, чтобы её мог одолеть любой желающий, а с другой стороны, в книге рассматриваются все основные темы, которые позволят дальше расти самостоятельно. Книга не ставит своей целью глубокое рассмотрение Python. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования.• Данная книга предназначена главным образом для сетевых инженеров с опытом программирования и без. Все примеры и домашние задания будут построены с уклоном на сетевое оборудование. Эта книга будет полезна сетевым инженерам, которые хотят автоматизировать задачи, с которыми сталкиваются каждый день и хотели заняться программированием, но не знали, с какой стороны подойти.🧩 Софт для чтения.
2021 #RU #Python
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23🆒3🤬1
Forwarded from SecAtor
В последние годы использование Cobalt Strike и Metasploit в качестве инструментов атак на различные виды систем стали очень популярны среди злоумышленников.
Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.
Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.
Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.
Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.
Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.
Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.
Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.
Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.
С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.
Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.
Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.
Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.
Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.
В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.
Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.
Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.
Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.
Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.
Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.
Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.
Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.
Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.
С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.
Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.
Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.
Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.
Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.
В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.
Cybereason
Sliver C2 Leveraged by Many Threat Actors
Threat Research: Sliver C2 gets more and more traction from Threat Actors, often seen as an alternative from Cobalt Striker.
🔥6
Wireshark 4.0.3 Release Notes.
https://www.wireshark.org/docs/relnotes/wireshark-4.0.3.html
#Wireshark
https://www.wireshark.org/docs/relnotes/wireshark-4.0.3.html
#Wireshark
🐳13
Forwarded from vx-underground
Yesterday Yandex's Git repository was leaked. It has resulted in dozens of hardcoded credentials being exposed.
😁31💅4✍3😈2
Forwarded from ЗаТелеком 🌐
Уже неделю пытаюсь прочитать новый отчет от Citiezen Lab про то, как работает прослушка в Иране.
https://citizenlab.ca/2023/01/uncovering-irans-mobile-legal-intercept-system/
Ну, вы хотя бы почитайте. Там из «наших» упоминается Протей, кстати. Но степень их использования не очень хорошо ясна.
https://citizenlab.ca/2023/01/uncovering-irans-mobile-legal-intercept-system/
Ну, вы хотя бы почитайте. Там из «наших» упоминается Протей, кстати. Но степень их использования не очень хорошо ясна.
The Citizen Lab
You Move, They Follow
Citizen Lab examined a set of documents leaked to news outlet The Intercept that describe plans to develop and launch an Iranian mobile network, including subscriber management operations and services, and integration with a legal intercept solution. If implemented…
👀5👨💻2❤1
Forwarded from CISO on fire
Сегодня главная новость - утечка исходников Яндекса. Утекло в паблик очень много - 44 Гб в сжатом виде, 83 репозитория.
Дальше по порядку, самое интересное в конце.
1. Утекли исходники почти всех продуктов. Там есть и Почта, и Такси, и Диск, и Алиса. Врядли эти исходники кто-то сможет использовать напрямую, этого точно не стоит бояться.
2. Пользовательских данных, в первом приближении, там нет. В том смысле, что это именно исходники, конфиги, но не базы данных
3. Часто утечка исходников сильно вредит безопасности продукта, потому что там бывают захардкоженные секреты и простые уязвимости. На первый взгляд, здесь этого тоже нет, по крайней мере в сравнении с масштабом утечки. Секреты не хранятся в коде напрямую, а подтягиваются откуда-то еще - это очень правильно, так и нужно всегда делать.
4. Очень много самописных внутренних инструментов, много документации. Интересно для изучения, чтобы понимать как работают большие компании и их IT-инфраструктура. Кажется, что в Яндексе есть сильный перевес в пользу "напишем сами" даже тогда, когда другие компании обошлись бы опенсорсом.
5. Конечно, интересен репозиторий security 🙂 Там тоже внутренние инструменты, всевозможные сканеры, разбиралки тикетов, все на достаточно продвинутом уровне.
6. Дальше еще интереснее. Яндекс массово использует Телеграм в качестве рабочего мессенджера. В файлах есть куча ссылок на чатики в телеграме, по которым можно было прийти и вступить. Сразу после новости о сливе большую часть из них подчистили, но не все. Использование Телеграма - большая проблема и боль для безопасности. Правильный выход - это конечно использование корпоративного мессенджера с полным запретом личных. Но у них тоже есть свои недостатки, телеграм просто очень удобный. В Яндексе используют специального телеграм-бота, которого добавляют в чатики и он следит, чтобы там не было чужаков. Но понятно, что работает это только в тех чатиках, куда бота не забыли добавить.
7. В репозитории Алисы тоже много интересного. Именно самой говорящей модели Алисы вроде нет, но есть много разных скриптов для ее обучения, фрагментов обучающих данных и т.п. Есть выборки реальных (анонимных) запросов пользователей к Алисе, очень интересные. На скриншоте фрагмент файла с реальными призывами к Алисе замолчать. Его можно растащить на мемы буквально целиком
8. В репозитории Почты есть код, который занимается разметкой данных из писем. В том числе анализируются письма с подписками на разные онлайн-сервисы, письма с чеками. Зачем именно - неясно, возможно Яндекс так мониторит конкурентов по рынку?
9. Подход с "монорепой", когда весь код большой компании лежит в одном большом репозитории имеет и свои плюсы и минусы. Когда много сотрудников имеют доступ сразу ко всему - с одной стороны это очень удобно, а с другой, утечка становится вопросом времени. Надо быть к ней готовыми.
10. Данных очень много, это все еще только предстоит изучать. Что делать Яндексу? Да ничего, выпустить пресс-релиз, что исходники старые, данные пользователей в безопасности, взлома не было, виноват инсайдер 🙂 Ну и старательно найти и инвалидировать все секреты.
11. Можно еще сделать красивый жест, выложить официально в опенсорс часть внутренних инструментов и библиотек. Хуже уже точно не будет, а лучше будет.
@ciso_on_fire
Дальше по порядку, самое интересное в конце.
1. Утекли исходники почти всех продуктов. Там есть и Почта, и Такси, и Диск, и Алиса. Врядли эти исходники кто-то сможет использовать напрямую, этого точно не стоит бояться.
2. Пользовательских данных, в первом приближении, там нет. В том смысле, что это именно исходники, конфиги, но не базы данных
3. Часто утечка исходников сильно вредит безопасности продукта, потому что там бывают захардкоженные секреты и простые уязвимости. На первый взгляд, здесь этого тоже нет, по крайней мере в сравнении с масштабом утечки. Секреты не хранятся в коде напрямую, а подтягиваются откуда-то еще - это очень правильно, так и нужно всегда делать.
4. Очень много самописных внутренних инструментов, много документации. Интересно для изучения, чтобы понимать как работают большие компании и их IT-инфраструктура. Кажется, что в Яндексе есть сильный перевес в пользу "напишем сами" даже тогда, когда другие компании обошлись бы опенсорсом.
5. Конечно, интересен репозиторий security 🙂 Там тоже внутренние инструменты, всевозможные сканеры, разбиралки тикетов, все на достаточно продвинутом уровне.
6. Дальше еще интереснее. Яндекс массово использует Телеграм в качестве рабочего мессенджера. В файлах есть куча ссылок на чатики в телеграме, по которым можно было прийти и вступить. Сразу после новости о сливе большую часть из них подчистили, но не все. Использование Телеграма - большая проблема и боль для безопасности. Правильный выход - это конечно использование корпоративного мессенджера с полным запретом личных. Но у них тоже есть свои недостатки, телеграм просто очень удобный. В Яндексе используют специального телеграм-бота, которого добавляют в чатики и он следит, чтобы там не было чужаков. Но понятно, что работает это только в тех чатиках, куда бота не забыли добавить.
7. В репозитории Алисы тоже много интересного. Именно самой говорящей модели Алисы вроде нет, но есть много разных скриптов для ее обучения, фрагментов обучающих данных и т.п. Есть выборки реальных (анонимных) запросов пользователей к Алисе, очень интересные. На скриншоте фрагмент файла с реальными призывами к Алисе замолчать. Его можно растащить на мемы буквально целиком
8. В репозитории Почты есть код, который занимается разметкой данных из писем. В том числе анализируются письма с подписками на разные онлайн-сервисы, письма с чеками. Зачем именно - неясно, возможно Яндекс так мониторит конкурентов по рынку?
9. Подход с "монорепой", когда весь код большой компании лежит в одном большом репозитории имеет и свои плюсы и минусы. Когда много сотрудников имеют доступ сразу ко всему - с одной стороны это очень удобно, а с другой, утечка становится вопросом времени. Надо быть к ней готовыми.
10. Данных очень много, это все еще только предстоит изучать. Что делать Яндексу? Да ничего, выпустить пресс-релиз, что исходники старые, данные пользователей в безопасности, взлома не было, виноват инсайдер 🙂 Ну и старательно найти и инвалидировать все секреты.
11. Можно еще сделать красивый жест, выложить официально в опенсорс часть внутренних инструментов и библиотек. Хуже уже точно не будет, а лучше будет.
@ciso_on_fire
😁18🔥8
Forwarded from Ralf Hacker Channel (Ralf Hacker)
CVE-2023-24055 KeePass 2.5x
https://github.com/alt3kx/CVE-2023-24055_PoC
Если кратко, то имея доступ к файлу конфигураций KeePass, можно эксфильтровать хранящиеся пароли на свой сервер в открытом виде.Фишка в том, что не нужно мониторить, когда пользователь откроет менеджер.
PS: хотя способ был описан harmj0y ещё лет 7 назад))
#git #pentest #redteam #exploit
https://github.com/alt3kx/CVE-2023-24055_PoC
Если кратко, то имея доступ к файлу конфигураций KeePass, можно эксфильтровать хранящиеся пароли на свой сервер в открытом виде.Фишка в том, что не нужно мониторить, когда пользователь откроет менеджер.
PS: хотя способ был описан harmj0y ещё лет 7 назад))
#git #pentest #redteam #exploit
🔥11🐳3
This media is not supported in your browser
VIEW IN TELEGRAM
GIT — cамая большая библиотека нейросетей
Чувак с GitHub собрал 823 ИИ-проекта в одном месте, отсортировал по категориям и написал к каждому короткое описание функций.
Есть такие категории как музыка, программирование, гейминг, маркетинг и прочее. Очень удобно, понятно и бесплатно!
Обновляется ежедневно. Вот ссылка на канал, не потеряй.
Чувак с GitHub собрал 823 ИИ-проекта в одном месте, отсортировал по категориям и написал к каждому короткое описание функций.
Есть такие категории как музыка, программирование, гейминг, маркетинг и прочее. Очень удобно, понятно и бесплатно!
Обновляется ежедневно. Вот ссылка на канал, не потеряй.
🔥9🆒5🗿3🍌2