TheHackestEver

2022-04-22 08:04:01 Наступний пост про дослідження набору методів, які можна використовувати для обходу провідних рішень з захисту кінцевих точок (EDR). При атаці ключовою проблемою на етапі "початкового доступу" є обхід EDR рішень. За словами автора, поєднання цих методів дозволяє обійти (серед інших) Microsoft Defender for Endpoint і CrowdStrike Falcon (перевірено в середині квітня 2022 року), які разом із SentinelOne лідирують у галузі захисту кінцевих точок. Відкрити / Коментувати

2022-04-21 19:37:01 Google Project Zero назвав 2021 рік «рекордним роком для in-the-wild 0-days», оскільки протягом року було виявлено та розкрито 58 вразливостей. З 58 0-days лише 5 мають зразок експлоїту у публічному доступі. Для порівняння, лише 25 0-days було виявлено у 2020 році. Відкрити / Коментувати

2022-04-20 17:34:01 Експерти Citizen Lab у співпраці з каталонськими групами громадянського суспільства розкрили атаки шпигунського програмного забезпечення Pegasus і Candiru проти щонайменше 65 каталонських політиків та активістів.

Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.

Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності. Відкрити / Коментувати

2022-04-20 16:47:52 Channel photo removed Відкрити / Коментувати

2022-04-19 17:42:01 Після зливу внутрішніх переписок та ресурсів українським учасником групи, Conti змогла оговтатись і схоже перебуває на тій стадії, коли угруповання є занадто великим, щоб провалитись через такий злив даних. Менше ніж через неділю після зливу переписок, нові жертви угруповання були виставлені на сайті ContiNews. Російський уряд чітко усвідомлює діяльність Conti та дозволяє їм діяти безкарно.

Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців. Відкрити / Коментувати

2022-04-16 19:39:01 Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою RuRansom.

Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.

При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.

Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає.. Відкрити / Коментувати

2022-04-16 14:42:42 Інтерв'ю з власником vx-underground, найбільшої колекції семплів, вихідних кодів та статей з дослідження малварі. З понад 35 000 000 семплів малварі, vx-underground є раєм для хакерів. Найціннішими знахідками бібліотеки малварі є зразки APT груп, включаючи Lazarus, FIN7, Ferocious Kitten, Nobelium і не тільки. Відкрити / Коментувати