🔍 KYC-фрод на FinTech-платформе

Когда система верификации работает «по верхам», злоумышленники это чувствуют.

На одной платформе за неделю появилось сотни новых «нормальных» аккаунтов: документы в порядке, KYC пройден, транзакции чистые. Через пару дней — всплыли связи с отмыванием средств и фрод-цепочками.

Как это делали:

➡️ Синтетические личности — смесь реальных и поддельных данных.

➡️ Боты, проходящие формы KYC автоматически.

➡️ Фриланс-операторы, доводящие аккаунты до статуса «верифицирован».

Финал предсказуем:

финансовые потери, блокировки, проблемы с регулятором и репутационные дыры.

💡 Что помогает защититься:

— многоуровневая верификация (авто → поведенческая → усиленная),

— анализ поведенческих сигналов (скорость, шаблоны, IP),

— проверка документов и метаданных фото,

— антибот-механизмы и лимиты,

— ручная проверка по триггерам,

— интеграция сигналов в AML-процессы.

KYC-фрод — не вопрос «если», а вопрос «когда».

🐸 Библиотека хакера

#breach_breakdown

🔒 Как один бакет открыл всю инфраструктуру

Нашли публичный бакет с бэкапами/логами → в файлах DB_HOST, API_KEY, redis_password → доступ к staging API → эскалация до prod и утечка PII за <48ч.

Почему сработало:

— публичный ACL + plaintext секреты
— имена файлов с env/сервисами
— нет алертов на массовые скачивания

Быстрый финиш:

🔴 закрыть бакеты и включить объектное шифрование

🔴 секреты в Secret Manager, не в бэкапах

🔴 алерты на массовые GET + least-privilege IAM

🐸 Библиотека хакера

#breach_breakdown

❗️ CVE-2025-32463: эскалация через sudo --chroot

Клиент: приватный CI-сервер с несколькими dev-учётками.

Исследователь: получил доступ к обычной учётке и нашёл, что sudo старой версии позволяет --chroot без защиты. Через контролируемое окружение он подменил NSS/библиотеки внутри chroot и добыл root.

🔤 Ход атаки:

1. Локальный user запускает `sudo --chroot` с контролируемым деревом.

2. Подмена NSS/libc-файлов в chroot.

3. Выполнение кода с правами root → full compromise CI, кража токенов и подпись/публикация артефактов.

🅰️ Полный контроль над сервером, утечка CI-секретов, вредоносные сборки в продакшне.

🛡️ Что сделали мгновенно:

— Обновили sudo до патченной версии.

— Временно запретили --chroot в sudoers для не-админов.

— Удалили/ограничили компиляторы и инструменты сборки на рабочих машинах.

— Провели аудит sudoers/LDAP и убрали shared-правила.

📎 Источник

🐸 Библиотека хакера

#breach_breakdown

🔍 Log4Shell: как один логгер открыл дверь в прод

Клиент: публичное веб‑приложение с микросервисами.

Исследователь: заметил, что Log4j парсит все строки и выполняет JNDI‑lookup. Через специально сформированную строку он получил удалённое исполнение кода в JVM.

🔤 Ход атаки:

1. Пользовательский ввод попадает в лог.

2. JNDI‑lookup загружает контролируемый класс.

3. RCE → кража секретов, боковое движение, вредоносные сборки.

🔴 Последствия: полный контроль над сервисом, утечка данных, компрометация интеграций.

🔴 Меры: обновили Log4j, заблокировали исходящие соединения, санитизировали логируемые поля, проверили IOC.

🐸 Библиотека хакера

#breach_breakdown

🔍 Target: как кондиционер открыл проход в кассы

Клиент: крупная сеть розничных магазинов с тысячами POS-терминалов.

Исследователь/атакующие: взломали сетевые учётки подрядчика по HVAC (системам отопления/вентиляции), у которого был доступ в корпоративную сеть Target для удаленного управления термостатами.

🔤 Ход атаки:

1. Учетные данные подрядчика — слабые/перепользуемые — дали вход в сеть.

2. Злоумышленники переместились латентно по внутренней сети, нашли сегменты с POS.

3. Загружен и запущен POS-малварь, перехватывавший данные карт из памяти (RAM scraping).

4. Экфильтрация — данные собирались и отправлялись на внешние C2-серверы.

🔴 Последствия:

Компрометация ≈110 млн записей (платежи, контактные данные), подорвано доверие клиентов, многомиллионные убытки и юридические издержки; перестановки в руководстве и пересмотр практик безопасности в ритейле.

🔴 Меры, которые спасли бы (и потом ввели)

Жёсткая сегментация сети, MFA и уникальные учетные данные для подрядчиков, мониторинг east-west трафика, контроль доступа по принципу least-privilege, защита памяти POS-процессов (tokenization), быстрый инцидент-ответ и уведомление клиентов.

🐸 Библиотека хакера

#breach_breakdown

⚠️ Confluence 0-day в действии

Исследователи заметили всплеск подозрительных запросов к /rest/api/latest/... на honeypot-серверах. Позже выяснилось: это эксплуатация новой 0-day уязвимости в Atlassian Confluence — CVE-2023-22515. Баг в контроле доступа позволял обойти аутентификацию и получить системные права.

➕ Через пару дней после публикации патча эксплойт разошёлся по GitHub и Telegram, а начались массовые компрометации: на серверах запускались bash-скрипты с установкой криптомайнеров.

📉 За считанные сутки — сотни заражённых инстансов.

💡 Atlassian выпустила фикс, но многие компании обновились слишком поздно.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

😈 Хакерские атаки через рекламу в соцсетях

Positive Technologies обнаружили вредоносную кампанию против стран MENA.

Схема проста ⬇️

Хакеры создают фейковые новостные группы, публикуют рекламные посты со ссылками на файлообменники или Telegram.

Там скрывается модифицированный AsyncRAT — троян для кражи криптокошельков.

🔴 Пик таких атак пришёлся на 2018-2020 гг. Злоумышленники маскировали вредоносы под «взломанные» приложения в Telegram-группах и продвигали через рекламу. Сейчас мессенджер активно борется с проблемой, но угроза остаётся.

Всегда проверяйте файлы из неизвестных источников ❗️

🔗 Читать подробнее

🐸 Библиотека хакера

#breach_breakdown