Darknet Methods

2023-07-30 18:31:45 Компания CoinsPaid утверждает, что северокорейские хакеры похитили у нее 37 млн долларов

Эстонский криптовалютный сервис CoinsPaid сообщил, что 22 июля 2023 года он подвергся кибератаке, в результате которой было украдено около 37 200 000 долларов в криптовалюте. CoinsPaid считает, что ответственность за эту атаку лежит на северокорейской хак-группе Lazarus.

Несмотря на значительный ущерб и тот факт, что атака негативно сказалась на доступности платежного сервиса, в компании подчеркивают, что средства клиентов в безопасности и свободно им доступны. То есть инцидент якобы не оказал влияния на работу компании.

При этом компания не предоставила никакой информации о том, как именно эту атаку удалось связать с Lazarus.

Генеральный директор CoinsPaid, Макс Крупышев, заявил, что в расследовании инцидента компании помогают Chainalysis, Binance, Crystal, Match Systems, Staked us, OKCoinJapan и Valkyrieinvest, а также о случившемся уже уведомлены правоохранительные органы Эстонии. Открыть/Комментировать

2023-07-28 17:03:14 БД хакерского форума BreachForums выставили на продажу

В даркнете продают базу данных закрытого недавно хак-форума BreachForums (он же просто Breached). Кроме того, все данные участников форума переданы специалистам агрегатора утечек Have I Been Pwned. Таким способом продавец решил доказать подлинность БД потенциальным покупателям.

Продавец пишет, что продаст базу Breached только одному человеку за 100 000–150 000 долларов, и утверждает, что дамп содержит снапшот всей БД, датированный 29 ноября 2022 года.

Напомню, что BreachForums считался одним из крупнейших хак-форумов, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для «слива» информации. Весной 2023 года ресурс закрыли правоохранители, а его создатель и администратор был арестован. Впоследствии власти сообщали, что им удалось получить доступ к БД сайта, а в июне были изъяты домены BreachForums.

Как теперь сообщает издание Bleeping Computer, со ссылкой Have I Been Pwned, утечка содержит 212 000 записей, в том числе имена пользователей, IP-адреса и email-адреса, а также личные сообщения и пароли, хранившиеся в виде хэшей argon2. Открыть/Комментировать

2023-07-26 17:32:38 Специалисты Target придумали простой инструмент для обнаружения скиммеров

ИБ-специалисты крупного американского ретейлера, компании Target, управляющей сетью магазинов розничной торговли, работающих под брендами Target и SuperTarget, создали и запатентовали инструмент EasySweep, который можно использовать для обнаружения скиммеров в платежных терминалах.

С 2021 по 2022 год количество скиммеров, обнаруженных в США, выросло на 368%, и таким способом ежегодно похищают более 161 000 карт. Поскольку скимминговые устройства становятся все более распространенными и их все труднее обнаружить, специалисты Target всерьез озадачились вопросом обнаружения скиммеров для защиты своих клиентов.

Изначально предполагалось, что обнаруживать устройства злоумышленников можно с помощью электронных девайсов, так как некоторые из скиммеров используют Bluetooth, однако вскоре от этой идеи отказались в пользу более простого варианта и физического поиска мошеннических устройств.

Еще в 2020 году, изучив устройство множество скиммеров, и даже создав на 3D-принтере макет скиммера, специалисты Target придумали EasySweep. Это решение представляет собой простую пластиковую форму, которую любой сотрудник магазина Target может вставить в гнездо для карты на платежном терминале. Если EasySweep вставится полностью, терминал «чист», а если вставить его не получилось, на терминале может быть установлен скиммер. Открыть/Комментировать

2023-07-24 17:02:26 Исходники UEFI-буткита BlackLotus опубликовали на GitHub

Исходный код UEFI-буткита BlackLotus, который ранее продавался в даркнете за 5000 долларов, был обнаружен аналитиками компании Binarly на GitHub. Исследователи говорят, что утекшие исходники не совсем полные и содержат в основном руткит и буткит для обхода Secure Boot.

Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Сообщалось, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.

Помимо этого BlackLotus способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). Открыть/Комментировать

2023-07-22 17:02:12 Сразу несколько DDoS-ботнетов атакуют устройства Zyxel

По данным компании Fortinet, как минимум три ботнета эксплуатируют уязвимость CVE-2023-28771, недавно обнаруженную в оборудовании Zyxel. Эксперты говорят, что атаки происходят в нескольких регионах, включая Центральную Америку, Северную Америку, Восточную Азию и Южную Азию.

Напомню, что исходно проблема была найдена специалистами TRAPA Security и получила рейтинг 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.

Этот баг, исправленный в конце апреля, был связан с некорректной обработкой сообщений об ошибках в некоторых версиях брандмауэра и позволял неаутентифицированному злоумышленнику «удаленно выполнять команды, отправляя кастомные пакеты на уязвимое устройство».

В прошлом месяце специалисты Shadowserver Foundation уже предупреждали о том, что уязвимость «активно используется для создания Mirai-ботнета» как минимум с 26 мая 2023 года. Открыть/Комментировать

2023-07-20 18:02:55 Уязвимость в плагине WooCommerce Payments используется для взлома сайтов

Хакеры используют уязвимость в широко распространенном WordPress-плагине WooCommerce Payments, чтобы получать на уязвимых сайтах привилегии любого пользователя, включая администратора.

WooCommerce Payments — популярный плагин для WordPress, позволяющий сайтам принимать банковские карты в качестве способа оплаты в магазинах на базе WooCommerce. Согласно официальной статистике, плагин имеет более 600 000 активных установок.

В марте текущего года разработчики выпустили обновленную версию плагина (5.6.2), в которой устранили критическую уязвимость CVE-2023-28121. Уязвимость затрагивала WooCommerce Payment версии 4.8.0 и выше и была исправлена ​​в версиях 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.

Поскольку уязвимость позволяет любому выдать себя за администратора сайта и получить полный контроль над WordPress, компания Automattic, стоящая за разработкой CMS, принудительно установила обновления на сотни тысяч сайтов, где работает популярная платежная система. Открыть/Комментировать

2023-07-07 18:31:46 У Nickelodeon похитили данные «десятилетней давности»

После того как хакеры заявили, что похитили 500 ГБ данных у американского телеканала Nickelodeon, принадлежащего Paramount, его представители сообщили, что расследуют возможную утечку. Судя по всему, циркулирующие в сети данные подлинные, но представители телеканала заявляют, что им несколько десятков лет.

Информация о взломе Nickelodeon и возможной утечке данных появилась в сети в конце прошлого месяца. Согласно сообщениям исследователей, которые пристально следили за происходящим, атака затронула отдел анимации, и коснулась таких всемирно известных продуктов, как Rugrats, Avatar: The Last Airbender, SpongeBob SquarePants, Danny Phantom, Smurfs, Monster High и так далее.

Исследователи из vx-underground и вовсе писали, что утечка насчитывает около 500 ГБ и содержит данные о ряде шоу, которые не выходили в эфир, сценарии и многое другое. Также эксперты сообщали, что юристы Nickelodeon активно используют Закон об авторском праве в цифровую эпоху (DCMA) и стараются удалить украденный контент из социальных сетей и с других сайтов. Однако, несмотря на эти усилия, скриншоты утекших данных продолжают распространяться в Twitter, на Reddit и так далее. Открыть/Комментировать

2023-07-05 17:01:37 Китайские хакеры используют технику HTML smuggling для атак на европейских дипломатов

Аналитики Check Point обнаружили вредоносную кампанию SmugX, которую связывают с активностью китайских хак-групп Mustang Panda и RedDelta. В этих атаках злоумышленники используют HTML smuggling, скрывая вредоносные полезные нагрузки в закодированных строках HTML-документов.

Атаки, начавшиеся в декабре 2022 года, нацелены на посольства и министерства иностранных дел в Великобритании, Франции, Швеции, Украине, Чехии, Венгрии и Словакии.

Свою шпионскую кампанию хакеры основывают на фишинговых письмах, к которым приложены документы-приманки, обычно посвященные европейской внутренней и внешней политике.

Техника HTML smuggling подразумевает использование легитимных функций HTML5 и JavaScript для сборки и запуска малвари, которая спрятана в документах-приманках, прикрепленных к фишинговым письмам. Открыть/Комментировать

2023-07-03 18:02:56 MITRE составила список 25 самых опасных багов

Специалисты организации MITRE опубликовали список 25 самых опасных проблем в программном обеспечение за последние два года. В него вошли самые разные недостатки, включая уязвимости и ошибки в коде, архитектуре, имплементации и дизайне софта.

Такие недостатки могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.

Для составления этого списка аналитики MITRE детально изучили 43 996 идентификаторов CVE из Национальной базы данных уязвимостей (NVD) NIST, обнаруженных и описанных в 2021 и 2022 годах. Отдельное внимание эксперты уделили тем CVE, которые были добавлены в список известных эксплуатируемых уязвимостей (KEV), который составляют аналитики Агентства кибербезопасности и безопасности инфраструктуры (CISA). Открыть/Комментировать

2023-07-01 17:03:05 На OpenAI и Microsoft подали в суд, так как они «похитили 300 миллиардов слов из интернета»

Шестнадцать анонимных истцов обратились в суд с коллективным иском против компаний OpenAI и Microsoft. Истцы требуют возмещения ущерба в размере 3 млрд долларов США, так как компании якобы похитили «огромные объемы личной информации» у интернет-пользователей, без их согласия обучая ChatGPT на их данных.

Иск был подан 28 июня 2023 года в федеральный суд Сан-Франциско, штат Калифорния. Исковое заявление гласит, что OpenAI тайно «похитила 300 миллиардов слов из интернета», при этом не регистрируясь в качестве брокера данных и не получая чьего-либо согласия. Microsoft, в свою очередь, является основным клиентом и корпоративным партнером OpenAI, лицензируя ИИ-технологии компании на миллиарды долларов.

В иске деятельность OpenAI сравнивается с другой ИИ-компанией, Clearview AI, которая ранее попала на первые полосы СМИ, так как собирала информацию о людях из интернета без их явного согласия. Напомню, что Clearview AI собирала фотографии из социальных сетей, чтобы создать на их основе инструмент для распознавания лиц для правоохранительных органов. Из-за этого на Clearview AI подали в суд сразу несколько сторон, включая Американский союз гражданских свобод (ACLU), и в итоге компаний урегулировала этот вопрос, в прошлом году прекратив предлагать услуги частным лицам и компаниям в США. Открыть/Комментировать