#news ESET возложила декабрьскую атаку по польским энергосетям России — со "средней уверенностью" утверждают, что это была приписываемая к ГРУ Sandworm. Пишут про новый вайпер DynoWiper и спекулируют, что атака была привязана к десятой годовщине атак SandWiper’ом.
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
🤡9❤2😁2💯2👍1🤔1
#news Увлекательные приключения русского рансомварщика в Америке. Янис Антропенко, по документам суда гражданин России, признал вину по делу рансомвари Zeppelin, активной с 2018-го по 2022-й.
Оператора Zeppelin приняли спустя несколько лет, после того как операция свернулась. Из интересного, сид-фразу от кошелька с 40 битками нашли у его жены в яблочном хранилище, там же налоговые декларации и фото с пачками кэша. О — опсек. Жинка Беднарчик, согласно суду, была сообщницей Антропенко и отмывала деньги — такие себе крипто-Бонни и Клайд на минималках аля Лихтенштейн. При этом Беднарчик обвинения не предъявили, и сам Антропенко был под залогом, хотя трижды нарушал условия и попадался в пьяном виде. Видимо, хорошо посотрудничал на благо новой родины. Но пункт финального назначения близок, увы: сроки и штрафы солидные, в перспективе депортация.
@tomhunter
Оператора Zeppelin приняли спустя несколько лет, после того как операция свернулась. Из интересного, сид-фразу от кошелька с 40 битками нашли у его жены в яблочном хранилище, там же налоговые декларации и фото с пачками кэша. О — опсек. Жинка Беднарчик, согласно суду, была сообщницей Антропенко и отмывала деньги — такие себе крипто-Бонни и Клайд на минималках аля Лихтенштейн. При этом Беднарчик обвинения не предъявили, и сам Антропенко был под залогом, хотя трижды нарушал условия и попадался в пьяном виде. Видимо, хорошо посотрудничал на благо новой родины. Но пункт финального назначения близок, увы: сроки и штрафы солидные, в перспективе депортация.
@tomhunter
❤4👍4😁3🫡2
#news ClickFix настолько хорош, что по нему можно изучать методы доставки малвари и обхода обнаружения — скоро вариации соберут их все. В свежем варианте запуск через скрипт Microsoft Application Virtualization в Win Enterprise — редкая диковинка.
App-V скрипты в таком контексте часто не встретишь: Enterprise мало где найдёшь, и нормальный SOC шум от него всё равно словит. Абьюз App-V светился у китайских умельцев — они любят всё обскурное в винде. Но ClickFix теперь вместо учебника: есть и крутая социнженерия, и нишевые вещи на любой вкус. Бонусом в этом варианте стеганография и подтягивание конфигурации из Google Calendar — а почему бы и нет? В сухом остатке ещё один подписанный скрипт, который надо порезать. И напоминание о том, что если Майкрософт что-то релизит, это кто-нибудь обязательно заабьюзит.
@tomhunter
App-V скрипты в таком контексте часто не встретишь: Enterprise мало где найдёшь, и нормальный SOC шум от него всё равно словит. Абьюз App-V светился у китайских умельцев — они любят всё обскурное в винде. Но ClickFix теперь вместо учебника: есть и крутая социнженерия, и нишевые вещи на любой вкус. Бонусом в этом варианте стеганография и подтягивание конфигурации из Google Calendar — а почему бы и нет? В сухом остатке ещё один подписанный скрипт, который надо порезать. И напоминание о том, что если Майкрософт что-то релизит, это кто-нибудь обязательно заабьюзит.
@tomhunter
😁3👍2
#news У нас первое решение по делу о рекламе VPN-сервисов: вологодское УФАС признало её ненадлежащей и рассматривает административку для какого-то несчастного страдальца с Telegram-каналом, продвигавшим надёжный® и проверенный™ за мелкий прайс.
Аналогичных решений пока не видать, но это пока: второе дело уже возбудилось в Хабаровском крае. Здесь у нас каталог в WhatsApp со ссылкой на бот в Telegram с доступом к сервису для совершения всякого экстремистского в этих ваших интернетах. Аккаунт в свободном доступе, а это уже, как водится, реклама… В общем, раскочегарились спустя полгода после принятия — теперь увидим закон на практике. Юристы нагнетают, что независимо от формулировок за упоминания VPN будет а-та-та — они ведь по природе своей созданы для обхода ограничений. А порядочный человек, как известно, ограничения обходить не станет, не так ли, юзернейм?
@tomhunter
Аналогичных решений пока не видать, но это пока: второе дело уже возбудилось в Хабаровском крае. Здесь у нас каталог в WhatsApp со ссылкой на бот в Telegram с доступом к сервису для совершения всякого экстремистского в этих ваших интернетах. Аккаунт в свободном доступе, а это уже, как водится, реклама… В общем, раскочегарились спустя полгода после принятия — теперь увидим закон на практике. Юристы нагнетают, что независимо от формулировок за упоминания VPN будет а-та-та — они ведь по природе своей созданы для обхода ограничений. А порядочный человек, как известно, ограничения обходить не станет, не так ли, юзернейм?
@tomhunter
🤬12😁3👍2😱2💯1
#news К вопросу о британцах и их ИБ. Telegraph выступил с “расследованием”, что у китайских APT был доступ к разговорам высших должностных лиц. И всё это как минимум с 2021-го по 2024-й год.
Упомянуты помощники Джонсона, Трасс и Сунака — вплоть до ключевых коммуникаций на Даунинг-стрит. Скомпрометированы, возможно, звонки и сообщения, а также метаданные. Расследование в кавычках: деталей не приводят, и многое неясно. Взлом вскрыли в 2024-м, но предполагают, что доступ был и позже, атаки шли много и со вкусом, MI5 било тревогу в ноябре, но публично масштабы не раскрывает... Похоже, просто набрасывают политических интрижек ради перед поездкой премьер-министра в Китай по чувствительным вопросам. Но сам факт зафиксирован: китайские апэтэшечки щупают UK за самые мягкие места. Глядишь, застанем и подробности, если их сольют прессе — потеха будет не хуже штатовских телекомов.
@tomhunter
Упомянуты помощники Джонсона, Трасс и Сунака — вплоть до ключевых коммуникаций на Даунинг-стрит. Скомпрометированы, возможно, звонки и сообщения, а также метаданные. Расследование в кавычках: деталей не приводят, и многое неясно. Взлом вскрыли в 2024-м, но предполагают, что доступ был и позже, атаки шли много и со вкусом, MI5 било тревогу в ноябре, но публично масштабы не раскрывает... Похоже, просто набрасывают политических интрижек ради перед поездкой премьер-министра в Китай по чувствительным вопросам. Но сам факт зафиксирован: китайские апэтэшечки щупают UK за самые мягкие места. Глядишь, застанем и подробности, если их сольют прессе — потеха будет не хуже штатовских телекомов.
@tomhunter
👍6😁3💯1
#news Google наносит ответный удар по резидентским прокси: компания шатает одну из их крупнейших сетей IPIDEA. Десятки доменов перехвачены, заявляют о серьёзном ущербе. Сомнительно, но окэй.
IPIDEA — масштабная китайская сетка проксей: 6 миллионов ежедневных айпи. Гугл утверждает, что на момент перехвата сервисом пользовались ~550 разных группировок, от сайберкрайма до APT со всего мира. Его же абьюзили самые горячие ботнеты сезона Kimwolf и Aisuru. Инфра IPIDEA повсюду: от предустановленной на девайсах из Китая и SDK до приложений за мелкий прайс и троянизированных версий. А также в народных ускорителях ютуба: проверяйте устройства на наличие Galleon *** и Radish ***. По итогам, как обычно, у нас кратковременный удар по операции, пускай и с миллионами отвалившихся эндпоинтов. Но заголовки-то какие: “Мощный удар по китайскому кибероружию!” Для человека, далёкого от индустрии, она полна романтики.
@tomhunter
IPIDEA — масштабная китайская сетка проксей: 6 миллионов ежедневных айпи. Гугл утверждает, что на момент перехвата сервисом пользовались ~550 разных группировок, от сайберкрайма до APT со всего мира. Его же абьюзили самые горячие ботнеты сезона Kimwolf и Aisuru. Инфра IPIDEA повсюду: от предустановленной на девайсах из Китая и SDK до приложений за мелкий прайс и троянизированных версий. А также в народных ускорителях ютуба: проверяйте устройства на наличие Galleon *** и Radish ***. По итогам, как обычно, у нас кратковременный удар по операции, пускай и с миллионами отвалившихся эндпоинтов. Но заголовки-то какие: “Мощный удар по китайскому кибероружию!” Для человека, далёкого от индустрии, она полна романтики.
@tomhunter
😁5👍1💯1
#news Исполняющий обязанности руководителя штатовской CISA попался на пикантном: товарищ загрузил конфиденциальные документы в ChatGPT. Ничего секретного, только служебные. Но это как бы глава CISA…
На попытку скормить LLM’ке документы триггернулась СБ, и неудачливого креслогрея при главном агентстве кибербезопасности США поймали с поличным. То, что всё слитое ИИ-моделям останется на серверах, к этому есть доступ их сотрудников, и оно может банально утечь, господина Мадху Готтумуккала не смутило. Вероятно, это как-то связано с тем, что до назначения опыта в ИБ у него особо не было. Как такое возможно? С нынешней штатовской администрацией и не такое возможно! Бонусом Мадху недавно провалил полиграф и начал от обиды кошмарить сотрудников. Что-то подсказывает, с противостоянием хакерской угрозе из-за океана у CISA в ближайшие годы всё будет складываться не очень.
@tomhunter
На попытку скормить LLM’ке документы триггернулась СБ, и неудачливого креслогрея при главном агентстве кибербезопасности США поймали с поличным. То, что всё слитое ИИ-моделям останется на серверах, к этому есть доступ их сотрудников, и оно может банально утечь, господина Мадху Готтумуккала не смутило. Вероятно, это как-то связано с тем, что до назначения опыта в ИБ у него особо не было. Как такое возможно? С нынешней штатовской администрацией и не такое возможно! Бонусом Мадху недавно провалил полиграф и начал от обиды кошмарить сотрудников. Что-то подсказывает, с противостоянием хакерской угрозе из-за океана у CISA в ближайшие годы всё будет складываться не очень.
@tomhunter
😁10❤1
#news В Китае радикально решают вопрос скам-центров: 11 членов криминальной семьи, ответственной за рассадник онлайн-мошенничества, казнили. Мошенник не нажмёт на кнопку, если вы лишите его руки! И не только руки.
Преступный клан Мин родом из Мьянмы, у них в послужном списке те самые скам-центры, про которые разносят хоррор-истории по сети: с вовлечением в мошенничество, рабством и вплоть до убийств бегущих. Китайские СМИ утверждают, что на пике в центрах держали 10 тысяч человек. Мин схватили ещё в 2023-м и передали Китаю, в прошлом сентябре их приговорили к высшей мере. Сообщают, что исполнили. При этом это далеко не единственная группировка, ждущая казни — коллег по бизнесу из городка Лауккаинг ждёт та же судьба. Представитель МИД подтвердил, что Пекин наращивает усилия по борьбе с мошенничеством — специфика региона такая, что и в скам-центрах адок, и меры соответствуют. Это вам не уютный офис под Днепром.
@tomhunter
Преступный клан Мин родом из Мьянмы, у них в послужном списке те самые скам-центры, про которые разносят хоррор-истории по сети: с вовлечением в мошенничество, рабством и вплоть до убийств бегущих. Китайские СМИ утверждают, что на пике в центрах держали 10 тысяч человек. Мин схватили ещё в 2023-м и передали Китаю, в прошлом сентябре их приговорили к высшей мере. Сообщают, что исполнили. При этом это далеко не единственная группировка, ждущая казни — коллег по бизнесу из городка Лауккаинг ждёт та же судьба. Представитель МИД подтвердил, что Пекин наращивает усилия по борьбе с мошенничеством — специфика региона такая, что и в скам-центрах адок, и меры соответствуют. Это вам не уютный офис под Днепром.
@tomhunter
❤5👍5😱3🤡3🔥2
#news Очередная ИИ-платформа засветилась в абьюзе и доставке малвари. На Hugging Face масштабная кампания по хостингу инфостилера под Android и его доставке через CDN сервиса.
На Hugging Face раньше попадали вредоносные ИИ-модели, но здесь интереснее. Начинается всё со scareware про компрометацию устройства, затем с HF тянется APK с малварью. При этом на стороне сервера полиморфизм с новыми вариантами APK каждые 15 минут — ~6,000 коммитов меньше чем за месяц. И после удаления с платформы злоумышленники тут же подняли операцию под другим именем. В общем, дивный новый ИИ-мир не поспевает за привычными угрозами и в их ландшафт вписывается с большим скрипом. Хотя здесь, конечно, больше доверенная платформа пополняет список на абьюз под вредонос. Всё бывает в первый раз — особенно у сервиса без толковых фильтров на загрузку.
@tomhunter
На Hugging Face раньше попадали вредоносные ИИ-модели, но здесь интереснее. Начинается всё со scareware про компрометацию устройства, затем с HF тянется APK с малварью. При этом на стороне сервера полиморфизм с новыми вариантами APK каждые 15 минут — ~6,000 коммитов меньше чем за месяц. И после удаления с платформы злоумышленники тут же подняли операцию под другим именем. В общем, дивный новый ИИ-мир не поспевает за привычными угрозами и в их ландшафт вписывается с большим скрипом. Хотя здесь, конечно, больше доверенная платформа пополняет список на абьюз под вредонос. Всё бывает в первый раз — особенно у сервиса без толковых фильтров на загрузку.
@tomhunter
👍2🔥2😁2❤1
#news В n8n закрыли ещё пару уязвимостей, критическую и высокую, обе под RCE. А вы думали, Ni8mare для сервиса закончился? На то он и ночной кошмар. Из плюсов, обе с auth.
@tomhunter
CVE-2026-1470 с аутентификацией, но от любого юзера и достаточно серьёзная, чтобы выбить 9.9 по CVSS; вторая CVE-2026-0863 на 8.5. Обе уязвимости на внедрение вредоносного кода и побег из песочницы, первая допускает полную компрометацию инстанса на internal-конфигах. По сути привычные питонопроблемы в песочнице: из-за мелкого изменения в интерпретаторе в Python 3.10 санитизация малость поломалась. Подробнее в отчёте. Всё это, как водится, ответственное раскрытие, и патчи уже доступны в свежих версиях. Так что если кого из юзеров и Ni8mare не впечатлила, есть отличный повод запоздало обновиться по итогам января.@tomhunter
👍5😁3🔥2
#news В новую неделю с радостными новостями для юзеров винды: разгоняют инсайдерские слухи, что Microsoft сдалась на ИИ-фронте. Подход к интеграции LLM-продукта, идентичного натуральному, станет более сдержанным.
Это должно коснуться ключевых ИИ-продуктов Microsoft — Copilot и Recall. Недовольство пользователей стало таким массовым, что дошло до пиджаков в высоких кабинетах: графики показали стрелочки вниз, важные ладошки начали нервно потеть, и в команды спустили директиву прикрутить любовь к ИИ. Деталей пока нет, но утверждают, что ИИ-фичи перестанут пихать во всевозможный софт, сократят интеграции и сделают менее инвазивными там, где их наличие имеет смысл. В целом неудивительно: скрипты для их удаления уже пиарят и в профильных, и в общечеловеческих изданиях. Так что мы победили, чат! Но вряд ли надолго — Copilot ещё нанесёт ответный удар.
@tomhunter
Это должно коснуться ключевых ИИ-продуктов Microsoft — Copilot и Recall. Недовольство пользователей стало таким массовым, что дошло до пиджаков в высоких кабинетах: графики показали стрелочки вниз, важные ладошки начали нервно потеть, и в команды спустили директиву прикрутить любовь к ИИ. Деталей пока нет, но утверждают, что ИИ-фичи перестанут пихать во всевозможный софт, сократят интеграции и сделают менее инвазивными там, где их наличие имеет смысл. В целом неудивительно: скрипты для их удаления уже пиарят и в профильных, и в общечеловеческих изданиях. Так что мы победили, чат! Но вряд ли надолго — Copilot ещё нанесёт ответный удар.
@tomhunter
😁6🔥3🎉2👍1
#news Разработчик Notepad++ раскрывает подробности недавней загадочной компрометации их системы обновлений. Загадка решалась просто: скомпрометировали её госхакеры. Угадайте, чьи — здесь всё очевидно.
У апэтэшечки был доступ к инфраструктуре хостера, на которой висели серверы обновлений, и трафик перенаправили на инфру злоумышленников для доставки вредоноса. Масштабы и таймлайн компрометации соответствуют: взлом произошёл в июне 2025-го — за полгода до того, как о нём стало известно. Хостинг был открыт до 2 сентября, но за счёт кредов к внутренним сервисам доступ сохранили до 2 декабря. На тот момент провайдер решил стать хозяином своей судьбы и инфры, принял меры, и лавочку прикрыли. Расследование идёт, так что, глядишь, на этом откровения не закончились. Но уже сейчас картина максимально говорящая — нефритовый стержень поднебесного кибербеза крепок как никогда.
@tomhunter
У апэтэшечки был доступ к инфраструктуре хостера, на которой висели серверы обновлений, и трафик перенаправили на инфру злоумышленников для доставки вредоноса. Масштабы и таймлайн компрометации соответствуют: взлом произошёл в июне 2025-го — за полгода до того, как о нём стало известно. Хостинг был открыт до 2 сентября, но за счёт кредов к внутренним сервисам доступ сохранили до 2 декабря. На тот момент провайдер решил стать хозяином своей судьбы и инфры, принял меры, и лавочку прикрыли. Расследование идёт, так что, глядишь, на этом откровения не закончились. Но уже сейчас картина максимально говорящая — нефритовый стержень поднебесного кибербеза крепок как никогда.
@tomhunter
🔥6🤬2🤡1
#news Не Notepad++’ом единым живут APT: атака на цепочку поставок через инфраструктуру для обновлений также затронула антивирус eScan. Инцидент произошёл пару недель назад, источник не называют.
Активность заметили в Morphisec и заявили о компрометации инфры eScan для доставки малвари по эндпоинтам компаний и юзеров по всему миру. И здесь алармизм исследователей резко расходится с официальными заявлениями eScan: у этих ничего серьёзного не произошло, они всё сами оперативно засекли и предотвратили ещё до того, как какие-то там охочие до сенсаций персонажи пришли им об этом сообщить. Ситуация малость выходит из-под контроля: eScan требует от Morphisec удалить порочащие её репутацию посты в соцсетях и перестать раздувать масштабы, на подходе юротдел. Никогда такого не было, и вот опять: исследователь с вендором сцепились из-за инцидента, и после этого в инфобез-твиттере начался сущий кошмар.
@tomhunter
Активность заметили в Morphisec и заявили о компрометации инфры eScan для доставки малвари по эндпоинтам компаний и юзеров по всему миру. И здесь алармизм исследователей резко расходится с официальными заявлениями eScan: у этих ничего серьёзного не произошло, они всё сами оперативно засекли и предотвратили ещё до того, как какие-то там охочие до сенсаций персонажи пришли им об этом сообщить. Ситуация малость выходит из-под контроля: eScan требует от Morphisec удалить порочащие её репутацию посты в соцсетях и перестать раздувать масштабы, на подходе юротдел. Никогда такого не было, и вот опять: исследователь с вендором сцепились из-за инцидента, и после этого в инфобез-твиттере начался сущий кошмар.
@tomhunter
😁5👍3❤1
#news В ЕС есть инициатива по регуляции спайвари, Pall Mall Process — за всё хорошее против всего плохого в мире коммерческого шпионского ПО. Недавно серый чиновничий процесс взбодрился — к делу подключилась NSO Group, и обсуждения пошли с огоньком.
Пошли с подачи борцов за приватность: NSO выпустила “отчёт о прозрачности” и с ноги ворвалась в дискуссию. Правозащитники резонно указывают, что никакой прозрачности у NSO нет: сидят в Израиле, судебные дела саботируют, доказательств отказа от сотрудничества с интересными режимами не предоставляют и активно их обслуживают. И вообще разраб лезет в процесс, чтобы отмыть репутацию и препятствовать регуляциям. NSO хлопает глазами, UK с Францией пожимают плечами и говорят, что их не звали и им не обязательно уважать эти ваши права человека для участия. В общем, обычный бюрократический цирк, но как зарисовочка на пути к прекрасному цифровому будущему забавно. Кто победит, многомиллиардная индустрия или здравый смысл? Ответ очевиден.
@tomhunter
Пошли с подачи борцов за приватность: NSO выпустила “отчёт о прозрачности” и с ноги ворвалась в дискуссию. Правозащитники резонно указывают, что никакой прозрачности у NSO нет: сидят в Израиле, судебные дела саботируют, доказательств отказа от сотрудничества с интересными режимами не предоставляют и активно их обслуживают. И вообще разраб лезет в процесс, чтобы отмыть репутацию и препятствовать регуляциям. NSO хлопает глазами, UK с Францией пожимают плечами и говорят, что их не звали и им не обязательно уважать эти ваши права человека для участия. В общем, обычный бюрократический цирк, но как зарисовочка на пути к прекрасному цифровому будущему забавно. Кто победит, многомиллиардная индустрия или здравый смысл? Ответ очевиден.
@tomhunter
❤5😁2👍1
#cve Открываем год большой подборкой самых интересных CVE месяца. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE.
Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых уязвимостях первого месяца 2026-го читайте на Хабре!
@tomhunter
Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых уязвимостях первого месяца 2026-го читайте на Хабре!
@tomhunter
👍3🔥1
#news Оригинальный кейс маркетинга на приватности: вендор обещает не хранить логи — но не трёхбуквенный, а сотовой связи. Речь про Cape, американского телеком-провайдера, торгующего приватностью для особо в ней нуждающихся.
Новая фича обещает удалять логи звонков каждые 24 часа, раньше хранили 60 дней — в сравнении со стандартом в индустрии с хранением годами звучит освежающе. Но не всё так радужно: партнёры Cape, на чьих сетях они сидят, могут часть логов перехватить сами. Говорят, что органы о новой фиче не предупреждали — узнают как и все остальные. Где такое видано? Также утверждают, что они не ханипот, честно-честно; при этом CEO у них родом из Palantir… В целом сомнительно, но окэй. Здесь как с любым аналогичным сервисом: вот когда к вам придут с ордером, а логов нет, тогда и поговорим. Пока эту проверку торговцы приватностью проваливают один за другим.
@tomhunter
Новая фича обещает удалять логи звонков каждые 24 часа, раньше хранили 60 дней — в сравнении со стандартом в индустрии с хранением годами звучит освежающе. Но не всё так радужно: партнёры Cape, на чьих сетях они сидят, могут часть логов перехватить сами. Говорят, что органы о новой фиче не предупреждали — узнают как и все остальные. Где такое видано? Также утверждают, что они не ханипот, честно-честно; при этом CEO у них родом из Palantir… В целом сомнительно, но окэй. Здесь как с любым аналогичным сервисом: вот когда к вам придут с ордером, а логов нет, тогда и поговорим. Пока эту проверку торговцы приватностью проваливают один за другим.
@tomhunter
😁6💯2👍1🤡1
#news Профильное издание провело опрос среди ибшников по угрозам в их адрес за раскрытия, исследования и прочую деятельность. Результаты говорящие: с угрозами сталкивались 75% опрошенных. Живём опасно!
Половина специалистов получала как минимум одно письмо счастья от юротделов. Но есть и хорошие новости: опросили и журналистов, и и хотя они видят юридические угрозы так же часто, на них давят ещё и криминалом. Так что минивэн без опознавательных знаков под окнами и надписи на двери “Скотина, отзови отчёт!” восходящей звезде пентеста не грозят — и на том спасибо. При этом большинство заявили, что не сломались под угрозами и не редактировали свои исследования — честь им и хвала. Но тема остаётся чувствительной, и специалистов, конечно, надо беречь. Например, не регистрируя их в реестр, чтобы разные нехорошие компании с дырявой инфрой не узнали, где находится заветная дверь.
@tomhunter
Половина специалистов получала как минимум одно письмо счастья от юротделов. Но есть и хорошие новости: опросили и журналистов, и и хотя они видят юридические угрозы так же часто, на них давят ещё и криминалом. Так что минивэн без опознавательных знаков под окнами и надписи на двери “Скотина, отзови отчёт!” восходящей звезде пентеста не грозят — и на том спасибо. При этом большинство заявили, что не сломались под угрозами и не редактировали свои исследования — честь им и хвала. Но тема остаётся чувствительной, и специалистов, конечно, надо беречь. Например, не регистрируя их в реестр, чтобы разные нехорошие компании с дырявой инфрой не узнали, где находится заветная дверь.
@tomhunter
💯4😁2❤1👍1🔥1
#news Новость из серии “Награда нашла героя”. Владельца наркомаркета Incognito, тайванца Руй-Сян Линя, посадили. И посадили надолго: сразу на 30 лет. Мальчику 24 года, и новый Ульбрихт из него вряд ли получится.
Incognito в моменте был одним из крупнейших маркетов: по документам, через него прошло больше тонны веществ от более 1,800 торговцев и к 400 тысячам клиентов. ~$105 миллионов транзакций и скромные $4,1 миллиона оператору. Линь запомнился тем, что пытался выйти из бизнеса с огоньком: экзит-скамом и шантажом поставщиков и юзеров на площадке. Большой любви ему это не принесло, вплоть до угроз от картеля, и через сколько прилетит пламенный привет под ребро от благодарных клиентов — вопрос хороший. Здесь можно посмотреть разбор того, как Линь попался органам. Как можно догадаться по хитрой схемке “Плати или сдам тебя ФБР”, с мозгами у него было туговато и в плане опсека.
@tomhunter
Incognito в моменте был одним из крупнейших маркетов: по документам, через него прошло больше тонны веществ от более 1,800 торговцев и к 400 тысячам клиентов. ~$105 миллионов транзакций и скромные $4,1 миллиона оператору. Линь запомнился тем, что пытался выйти из бизнеса с огоньком: экзит-скамом и шантажом поставщиков и юзеров на площадке. Большой любви ему это не принесло, вплоть до угроз от картеля, и через сколько прилетит пламенный привет под ребро от благодарных клиентов — вопрос хороший. Здесь можно посмотреть разбор того, как Линь попался органам. Как можно догадаться по хитрой схемке “Плати или сдам тебя ФБР”, с мозгами у него было туговато и в плане опсека.
@tomhunter
😁4🎉1
#news Не устали от критических уязвимостей в n8n? Потому что их есть ещё. CVE-2026-25049, 9.4 по CVSS, обход исправленной в конце декабря CVE-2025-68613. Закрыта в патче от 12 января — кто обновился, тот и молодец.
Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти. Благодарны ли разрабы за вал репортов за последние месяцы или просто рады, что жаркий январь закончился — история умалчивает. А юзерам n8n всё так и шлёт криптичные послания. Что они могут значить? Юзер, если ты читаешь это, у нас уже десятая CVE за январь. Мы пробуем новый метод. Мы не знаем, где это сообщение тебя настигнет, но надеемся, что это сработает. Пожалуйста, накати патчи.
@tomhunter
Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти. Благодарны ли разрабы за вал репортов за последние месяцы или просто рады, что жаркий январь закончился — история умалчивает. А юзерам n8n всё так и шлёт криптичные послания. Что они могут значить? Юзер, если ты читаешь это, у нас уже десятая CVE за январь. Мы пробуем новый метод. Мы не знаем, где это сообщение тебя настигнет, но надеемся, что это сработает. Пожалуйста, накати патчи.
@tomhunter
😁4🔥3👍1
#news Из Италии приходят тревожные вести об атаке русских хакеров в честь Зимней Олимпиады. Враг хитёр, но инфраструктура крепка, разрушительные кибератаки не пройдут и были отражены! Заглядываем внутрь. Это Дудосия.
Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев. Прилёгшие на полчаса сайтики с билетами на игры и бронью отелей на национальную трагедию всё же не тянут, как ни крути. Но громких заголовков о страшной русской киберугрозе хочется, так что 3,5 хактивиста с дудос-шарманкой на дисконтном пека волшебным образом превращаются чуть ли не в целую подведомственную APT.
@tomhunter
Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев. Прилёгшие на полчаса сайтики с билетами на игры и бронью отелей на национальную трагедию всё же не тянут, как ни крути. Но громких заголовков о страшной русской киберугрозе хочется, так что 3,5 хактивиста с дудос-шарманкой на дисконтном пека волшебным образом превращаются чуть ли не в целую подведомственную APT.
@tomhunter
😁12👍1🤬1
#news Пиара яблочной техники пост. ФБР не сумело вскрыть iPhone 13, который был в режиме Lockdown. Телефон изъяли в рамках обыска, но, по документам суда, доступ к нему получить не удалось.
Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает. Но основной вывод — Lockdown работает: поверхность атаки порезана IRL, а не только на маркетинговых слайдах. Впрочем, журналистке это несильно помогло: на требование разблокировать Макбук она заявила, что биометрией не пользуется, но ей предложили попробовать — а в ордере прописано такое требование. Сработало. В этот раз опсек провалился, впредь будьте осторожней.
@tomhunter
Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает. Но основной вывод — Lockdown работает: поверхность атаки порезана IRL, а не только на маркетинговых слайдах. Впрочем, журналистке это несильно помогло: на требование разблокировать Макбук она заявила, что биометрией не пользуется, но ей предложили попробовать — а в ордере прописано такое требование. Сработало. В этот раз опсек провалился, впредь будьте осторожней.
@tomhunter
😁9👍6