24510
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• «IMSI ловушки» - это устройства, маскирующие себя под базовые станции сотовой телефонной сети и позволяющие перехватывать уникальный идентификатор IMSI, прописанный в SIM-карте. После того как телефон подсоединяется к «перехватчику», устройство получает возможность его отслеживать. Плюс появляется возможность подслушивать чужие разговоры: аппарат-ретранслятор может деактивировать включенную абонентом функцию шифрования и работать с обычным открытым сигналом, передавая его дальше настоящей базовой станции. В настоящее время IMSI-ловушку можно создать всего за 10 баксов.
• Так вот, фонд электронных рубежей (EFF) выпустил бесплатный инструмент с открытым исходным кодом под названием Rayhunter, предназначенный для выявления фальшивых базовых станций. До сих пор для обнаружения IMSI-ловушек исследователям и пользователям приходилось полагаться либо на приложения Android с root правами, либо на сложные и дорогие программно-определяемые инструменты.
• Rayhunter разработан для работы на мобильной точке доступа Orbic. Инструмент работает путём перехвата, хранения и анализа трафика управления (но не пользовательского) между мобильной точкой доступа и вышкой сотовой связи, к которой он подключён. Устройство анализирует трафик в режиме реального времени и ищет подозрительные события, которые могут включать необычные запросы, в том числе попытки базовой станции понизить соединение до 2G или запрос IMSI.
• Rayhunter уведомляет пользователя об этих событиях, а сами они фиксируются в журнале. В итоге юзер может выключать свой телефон и рекомендовать другим людям в этом районе сделать то же самое. Инструмент также может загружать журналы в формате PCAP, чтобы отправить их эксперту для дальнейшей оценки.
➡️ https://www.eff.org/rayhunter
#Разное
Онлайн-конференция ИБ без фильтров
🔥Мероприятие, где говорим о реальных проблемах и ищем практические решения, возвращается!
🗓 14 августа 11:00-15:00 мск ждем на бесплатной онлайн-конференции «ИБ без фильтров»
Что будет полезного?
Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.
Кому стоит сходить?
Мероприятие для представителей бизнеса от экспертов в области информационной безопасности.
Какие темы затронем?
— Как оценить навыки ИБ-специалиста.
— Как снизить риски с помощью систем класса «менеджеры паролей».
— Как вовлечь разработчиков, сотрудников и бизнес в защиту компании.
— Чем важны разные источники данных при расследовании инцидентов ИБ.
Кто в спикерах:
— Анастасия Федорова. Руководитель образовательных программ, Positive Education
— Кира Шиянова. Менеджер продукта платформы Jet CyberCamp, «Инфосистемы Джет»
— Никита Вьюгин. Менеджер проектов «МКО Системы»
— Валерий Комягин. Генеральный директор BearPass
— и другие эксперты из крупных компаний рынка ИБ
▶️Регистрация по ссылке.
Ждем вас на самый честный диалог по теме ИБ
Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569, ОГРН 1125476195459 erid:2SDnjeHgC6a
• Скам через тестовые задания на собеседованиях уже в прошлом. Злоумышленники пошли дальше и теперь скамят в первый рабочий день 😁
• Недавно на linkedin появилась забавная история (на скриншоте), которую опубликовал Kjartan Manvelyan. Ему предложили хорошую и высокооплачиваемую работу. Он прошел собеседование, созвонился с менеджером и получил оффер. В свой первый рабочий день нашего героя пригласили в Slack, где была целая команда разработчиков и других специалистов. Они общались между собой, направляли отчеты и актуализировали статусы по проектам.
• Всё было прекрасно, пока Kjartan не начал замечать странные вещи: разработчики в Slack отвечали максимально быстро на вопросы менеджеров (в туже минуту), на идеальном английском, с идеальной грамматикой и форматированием сообщений. А еще некоторые сообщения не имели никакого смысла, как будто сообщение пишет не живой человек, а ChatGPT... Оказалось, что именно так и есть.
• Это был целый "стартап", где в Slack общались боты и симулировали рабочую деятельность, а скамеры требовали от настоящих работников установить вредоносное ПО для кражи данных и криптовалюты.
• Но в случае с нашим героем все обошлось. Он вовремя заметил неладное и начал задавать различные вопросы, которые были связаны с подписанием документов при трудоустройстве. В конечном итоге его кикнули из Slack и больше с ним никто не связывался... Такие вот дела.
#СИ #Фишинг
💻 SQL Noir.
• SQL Noir - весьма интересное решение для изучения SQL в виде текстовой игры. По сюжету вы будете выступать в роли детектива, которому необходимо решить определенный пул задач, анализируя улики в базе данных.
• Задачи разделены на три уровня: для начинающих, продолжающих и продвинутых пользователей. Сейчас доступно четыре дела, которые предстоит раскрыть. Если получается найти решение, то вы получаете баллы, которые открывают доступ к более сложным задачам. К слову, на GitHub есть подробная инструкция для тех, кто хочет разработать и опубликовать собственную задачу.
➡️ Проект полностью бесплатный: https://www.sqlnoir.com
#SQL
• Нашел очень крутой ресурс по основам Linux для начинающих. Вся соль в том, что материал представлен в виде мини-курсов, которые содержат уроки с заданиями. Если приступаете к решению задач, то сервис проверит ваши ответы автоматически. Доступно множество тем для изучения:
➡Командная строка;
➡Работа с текстом;
➡Управление пользователями;
➡Управление процессами;
➡Файловая система;
➡Ядро Linux;
➡Логирование;
➡Сети и многое другое...
➡️ https://linuxjourney.com
#Linux
• В этой статье авторы рассказывают о том, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика.
➡Массовые мошенничества с использованием QR-кодов;
➡Как устроены поддельные QR-коды;
➡Статистика;
➡Почему традиционные методы защиты не спасают;
➡Как защититься;
➡QR-коды: тест на внимательность.
➡️ https://habr.com/ru/post/882818
#ИБ #VT
Согласно свежей статистики по векторам первоначальных атак В 2024 году главным способом проникновения в системы стали эксплойты — на них приходится треть всех инцидентов (33%). Основные векторы атак: использование уязвимостей, украденные учетные данные, фишинг по электронной почте, компрометация веб-ресурсов. Большая часть первоначальной атаки - пролом внешнего периметра.
Уровень защищенности периметра необходимо проверять на регулярной основе, например, с помощь сервиса DEF.HUB.
Ребята в своем телеграм-канале поделились чек-листом того, что в первую очередь следует проверить на вашем периметре, чтобы обеспечить его безопасность, его можно забрать здесь.
Реклама. ООО "ДЕФХАБРУ". ИНН: 9718258732
🗣 Юрий Другач, StopPhish: Российские специалисты из «перфокарт и палок» могут построить целый бастион
Российский бизнес сталкивается со все новыми угрозами, что требует структурной трансформации. Эти изменения влияют и на требования к подготовке ИБ-специалистов.
➡️ Основатель компании StopPhish Юрий Другач в интервью Cyber Media рассказал:
🟢о вызовах 2025 года;
🟢локальных особенностях защиты компаний разного масштаба;
🟢об уникальных возможностях для российских специалистов.
😎 Здесь о кибербезе
Вебинар: GPU в облаке: как выжать максимум без лишних затрат ⛅️
Как выбрать облачный сервер с GPU, чтобы задачи решались быстро, а счёт не шокировал?
5 августа за один час расскажем и покажем на кейсах:
— Примеры использования GPU: какие задачи решает и сколько можно сэкономить
— В чём разница между видеокартами NVIDIA L4, A16 и L40S;
— Что учесть при запуске ML и нейросетей в облаке;
— Бенчмарки и время обработки на разных моделях.
🔗 Для участия в вебинаре зарегистрируйтесь
💸 Как мы взломали цепочку поставок и получили 50 тысяч долларов.
• История о том, как 2 специалиста обнаружили баг в цепочке поставок, который позволяет обеспечить RCE у разработчиков в конвейерах и на продакшен-серверах. За эту уязвимость ребята смогли получить 50 тыс. баксов. Вот как это было: https://habr.com/ru/post/885950/
#BB
• Нашел интересный ресурс, который содержит информацию об основных веб-уязвимостях. Особенность данной платформы в том, что каждый из перечисленных методов можно выполнить самостоятельно, следуя подсказкам и примерам. А еще каждый пример является интерактивным, поэтому вам будет легче воспринимать материал и практиковаться. Содержание следующее:
➡SQL Injection;
➡Cross-Site Scripting;
➡Command Execution;
➡Clickjacking;
➡Cross-Site Request Forgery;
➡Directory Traversal;
➡Reflected XSS;
➡DOM-based XSS;
➡File Upload Vulnerabilities;
➡Broken Access Control;
➡Open Redirects;
➡Unencrypted Communication;
➡User Enumeration;
➡Information Leakage;
➡Password Mismanagement;
➡Privilege Escalation;
➡Session Fixation;
➡Weak Session IDs;
➡XML Bombs;
➡XML External Entities;
➡Denial of Service Attacks;
➡Email Spoofing;
➡Malvertising;
➡Lax Security Settings;
➡Toxic Dependencies;
➡Logging and Monitoring;
➡Buffer Overflows;
➡Server-Side Request Forgery;
➡Host Header Poisoning;
➡Insecure Design;
➡Mass Assignment;
➡Prototype Pollution;
➡Regex Injection;
➡Remote Code Execution;
➡Cross-Site Script Inclusion;
➡Downgrade Attacks;
➡DNS Poisoning;
➡SSL Stripping;
➡Subdomain Squatting.
➡️ https://www.hacksplaining.com/lessons
#web
• А что, так можно было что ли!? Компания Clorox является крупнейшим мировым производителем бытовой химии, которому больше 100 лет. Сегодня компания оценивается примерно в 16 миллиардов баксов. И сейчас они судятся со своей IT-фирмой из-за того, что пару лет назад их систему взломали самым тупым способом...
• Хакер просто позвонил в службу поддержки, представился сотрудником Clorox, попросил сбросить пароль и отключить MFA в системах Okta и Microsoft. В тех. поддержке не стали проверять личность — не запросили ни ID, ни имя менеджера, вообще ничего. Просто выдали доступ. Ущерб от этой «хакерской атаки» составил 380 миллионов долларов. Такие вот дела...
➡️ https://arstechnica.com/Clorox
#Новости
⚡️Хаос с зависимостями может стать угрозой безопасности вашего проекта. Присоединяйтесь к открытому уроку «Страх и ненависть при работе с зависимостями (SCA)» 29 июля в 20:00 МСК и научитесь контролировать зависимости без уязвимостей.
Вы узнаете:
- Какие зависимости проходят проверки и как это влияет на инфраструктуру.
- Как правильно хранить, обновлять и обогащать список компонентов.
- Методы контроля целостности и версионности зависимостей.
Урок станет отличной подготовкой к курсу «Внедрение и работа в DevSecOps», все участники получат скидку на обучение. Научитесь управлять зависимостями эффективно и безопасно.
👉Записывайтесь на вебинар, получайте скидку и готовьтесь к углубленному изучению DevSecOps с OTUS: https://otus.pw/AjBl/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Узнайте, как защитить бизнес от простоев с помощью готового решения
29 июля в 11:00 мск beeline cloud проводит бесплатный вебинар «Как обеспечить непрерывность бизнеса и избежать миллионных убытков».
В программе:
— Цена простоя ИТ: как бизнес теряет миллионы за часы
— DR и MetroCluster: как работают и чем различаются
— Архитектура Cloud Compute MetroCluster от beeline cloud
— Преимущества, возможности, технические детали
— Ответы на вопросы участников
Не упустите шанс узнать, как минимизировать риски и гарантировать непрерывность бизнес-критичных сервисов.
Регистрируйтесь тут
#реклама
О рекламодателе
По запросу французской прокуратуры на Украине был арестован один из администраторов действующего с 2013 года русскоязычного хакерского форума XSS.
Ресурс широко известен как один из крупнейших в киберподполье: на нем зарегистрировано более 50 000 пользователей.
Как заявляют французские власти, официальное расследование было начато 02 июля 2021 года отделом по борьбе с киберпреступностью прокуратуры Парижа при поддержке местного подразделения по борьбе с киберпреступностью полиции префектуры.
Основные усилия словаков были направлены на документирование киберпреступлений, прежде всего, связанных с ransomware, даже несмотря на то, что в мае 2021 года форум публично запретил все темы по вымогательству.
Согласно сообщениям полиции, основные успехи операции обусловлены тем, что правоохранителям удалось установить контроль за коммуникациями в Jabber.
Полицейским удалось взломать сервер «thesecure.biz» и отслеживать сообщения пользователей платформы.
Перехваченные сообщения позволил выявить многочисленные эпизоды киберпреступлений и атаки с использованием программ-вымогателей, которые принесли руководству платформы не менее 7 млн. долл. в качестве прибыли.
Дальнейший контроль технических каналов связи позволил установить личность предполагаемого администратора форума, оперативная разработка которого, начиная с сентября 2024 года, проводилась уже непосредственно на месте.
Подозреваемый был арестован вчера украинской полицией с участием французских офицеров и при содействии представителей Европола.
Учитывая, что на момент всех публикаций XSS продолжал оставаться в сети, участники форума могут не сомневаться, что среди его админов вполне могли появиться люди в погонах, причем задолго до выхода официальных сообщений.
По всей видимости, XSS может ожидать схема, которую провернули с BreachForum.
Но будем посмотреть.
• Все слышали о таком инструменте как O•MG keylogger cable? Внешне устройство неотличимо от обычного USB кабеля и если оно подключению к целевой машине или смартфону, то атакующий получает в свое распоряжение устройство, которое легко управляется через веб интерфейс, имеет функционал кейлоггера и отправки полезной нагрузки.
• По внешним признакам, различить вредоносный и оригинальный адаптер для обычного пользователя не представляется возможным. Купить такую игрушку можно за 180 баксов... но это весьма дорогое развлечение и лучше собрать такое устройство самому.
• На одном хакерском ресурсе есть весьма содержательное руководство, которое описывает процесс создания такого инструмента, но с урезанным функционалом. Материал состоит из 3-х частей и представлен на английском языке. Если есть трудности с переводом, то воспользуйтесь chatgpt и deepl.
➡ Часть [1], [2], [3].
#ИБ #Пентест
Google выпустила исправления для шести уязвимостей в рамках обновлений безопасности Android за август 2025 года, включая две уязвимости Qualcomm, которые фигурировали в целевых атаках.
Они отслеживаются как CVE-2025-21479 и CVE-2025-27038, были обнаружены и раскрыли специалистами Google еще в конце января 2025 года.
Тогда Google Threat Analysis Group упоминали о получении сообщений в отношении их ограниченной таргетированной эксплуатации.
Первая из них - это некорректная авторизация графического фреймворка, которая может привести к повреждению памяти из-за несанкционированного выполнения команд в микроузле графического процессора при выполнении определённой последовательности команд.
CVE-2025-27038, с другой стороны, представляет собой уязвимость использования памяти после освобождения, которая приводит к повреждению памяти при рендеринге графики с использованием драйверов графического процессора Adreno в Chrome.
Исправления проблем, затрагивающих драйвер графического процессора Adreno (GPU), были разработаны OEM-производителям в мае вместе с настоятельной рекомендацией как можно скорее установить обновление на затронутых устройствах, а Google ретранслировала их в свои.
В представленных обновлениях Android Google также устранила критическую уязвимость в компоненте System, которую злоумышленники без привилегий могут использовать для RCE в сочетании с другими уязвимостями в атаках, не требующих взаимодействия с пользователем.
Традиционно Google выпустила два набора исправлений безопасности: от 01.08.2025 и 05.08.2025.
Последний включает в себя все исправления из первого набора, а также для компонентов ядра и сторонних разработчиков с закрытым исходным кодом, которые могут применяться не ко всем устройствам Android.
• Как думаете, как выглядела китайская клавиатура 1970-х годов? Ведь дизайн китайских компьютеров сегодня кардинально отличается от того, который существовал на заре компьютерных технологий. Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY
• Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.
• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. Это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру (на фото) для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). Вот такими были клавиатуры Китайцев в 1970-х годах...
➡️ https://spectrum.ieee.org/chinese-keyboard
#Разное
• Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jayson E. Street!
• Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, то переходите по ссылке ниже. Приятного чтения:
➡ https://habr.com/ru/post/852258/
#Пентест
🔓 Обходим BitLocker и вытягиваем из памяти ключи в Windows 11.
• В этой статье автор рассказывает о том, как можно обойти шифрование BitLocker в Windows 11 (версия 24H2) и извлечь из памяти ключи шифрования тома (full volume encryption key, FVEK) при помощи инструмента Memory-Dump-UEFI.
➡️ Читать статью [5 min], [Eng];
➡️ Перевод на RU.
#ИБ #BitLocker
• Компания Postgres Professional обновила несколько своих бесплатных книг. У брошюры «Postgres: первое знакомство» для начинающих специалистов вышло уже 11-е издание. В текущем варианте обновлена традиционная глава о новинках в PostgreSQL 17. Что касается книги «PostgreSQL 17 изнутри», то обновленное издание включает изменения в PostgreSQL 17, добавлен материал про использование ресурсов при планировании запросов.
• По этой ссылке скачать обновленный материал и ряд других бесплатных книг (их всего 6): https://postgrespro.ru/education/books
#PostgreSQL #Книга
Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.
Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до google/gemini-cli">версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
🚩 Подборка CTF площадок.
• Подборка CTF платформ, которые помогут прокачать скилл в различных аспектах информационной безопасности.
➡Attack-Defense;
➡Alert to win;
➡CryptoHack;
➡CMD Challenge;
➡Сodeby.games;
➡Cybrary;
➡CyberDefenders;
➡Defbox;
➡Dfir-Dirva;
➡Explotation Education;
➡Google CTF;
➡HackTheBox;
➡Hackthis;
➡Hacksplaining;
➡Hacker101;
➡Hacker Security;
➡Hacking-Lab;
➡ImmersiveLabs;
➡NewbieContest;
➡OverTheWire;
➡Pentestlab;
➡PicoCTF;
➡PWNABLE;
➡Root-Me;
➡SANS Challenger;
➡SmashTheStack;
➡Standoff365;
➡The Cryptopals Crypto Challenges;
➡Try Hack Me;
➡Vulnhub;
➡W3Challs;
➡WeChall;
➡websploit;
➡Zenk-Security;
➡Cyberdefenders;
➡LetsDefend;
➡Vulnmachines;
➡Rangeforce;
➡Ctftime;
➡Malware-Traffic-Analysis.net;
➡Letsdefend;
➡Underthewire;
➡Pwn college.
#CTF
Более 200 000 сайтов WordPress продолжают работать с уязвимой версией плагина Post SMTP, которая позволяет получить контроль над учетной записью администратора.
Post SMTP - популярный плагин для обработки электронной почты в WordPress с более чем 400 000 активных установок, который позиционируется как более надёжная и многофункциональная реализация стандартной функции wp_mail().
23 мая сообщение об уязвимости было направлено в PatchStack. Уязвимости был присвоен CVE-2025-24000 и оценка CVSS 8,8.
Проблема затрагивает все версии Post SMTP до 3.2.0 и вызвана некорректным механизмом контроля доступа в конечных точках REST API плагина, который проверял только, вошел ли пользователь в систему, не проверяя при этом уровень его разрешений.
Так что пользователи с низкими привилегиями (такие как подписчики), могли получить доступ к журналам электронной почты со всем ее содержимым.
Подписчик мог инициировать сброс пароля для учетной записи администратора, перехватить соответствующее электронное письмо через журналы и получить контроль над учетной записью.
Разработчики плагина представили исправление для рассмотрения Patchstack 26 мая.
Проблему удалось решить включением дополнительных проверок привилегий в get_logs_permission перед предоставлением доступа к конфиденциальным вызовам API.
Исправление было включено в версию Post SMTP 3.3.0, опубликованную 11 июня.
Тем не менее, статистика загрузок на WordPress указывает на то, что лишь менее половины пользователей плагина (48,5%) обновились до версии 3.3.
При это более 200 000 сайтов остаются уязвимы к CVE-2025-24000, а половина из них и вовсе используют версии Post SMTP из ветки 2.x, уязвимые также для ряда иных проблем, формируя практически идеальные условия для атаки на цепочку мудаков реализации масштабной кампании.
Как настроить резервное копирование в облаке?
5 августа | 12:00
Если вы уже поняли важность бэкапов и ищите способ упростить их создание, приходите на бесплатный вебинар от Selectel и Хайтекс Акура. Эксперты покажут на практике, как настроить резервное копирование виртуальных машин и облаков, создать интеграцию S3-хранилища с другими сервисами и автоматизировать бэкапы.
Регистрируйтесь на вебинар: https://slc.tl/n2cs2
Чтобы не пропустить трансляцию и узнавать о других мероприятиях, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО «Селектел», ИНН 7810962785, ERID: 2VtzqwJQjsn
📊 Process Memory Map.
• Нашел интересный софт, который очень похож на решение от Марка Руссиновича VMMap, но с некоторыми отличиями. Задача Process Memory Map проанализировать сторонний процесс и вытащить из него максимум данных, о которых она знает.
• Отображает следующие данные:
➡Данные по нитям, как то: стек, TEB, SEH фреймы и CallStack;
➡Информация по подгруженным PE файлам с разбивкой на секции, точки входа в каждый загруженный образ, их структуры;
➡Данные из PEB;
➡Данные из KUSER_SHARED_DATA;
➡Встроенный x86/x64 дизассемблер (на базе DiStorm).
• Предоставляет возможность:
➡Анализа памяти на предмет установленных перехватчиков в таблицах импорта/экспорта/отложенного импорта;
➡Анализа установленных перехватчиков в экспортируемых функциях, точках входа и TLS калбэках;
➡Анализа блоков памяти на основе их контрольных сумм (например отображение изменений во взломанном ПО);
➡Поиска в памяти процесса.
• Из дополнительных возможностей:
➡Выводит список экспортируемых функций;
➡Поддерживает отладочные MAP файлы. (влияет на список распознанных функций и выхлоп дизассемблера);
➡Отображает изменения в выделенных блоках памяти (alloc/realloc/free);
➡Быстрая подсказка по известным блокам памяти.
➡️ Вот тут более подробно: https://github.com/AlexanderBagel/ProcessMemoryMap
#ИБ #RE
Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств.
Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA.
Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке.
Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов.
UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе.
Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода.
В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу.
Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения.
Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA.
Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях.
Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва.
Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами.
Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов.
Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73.
Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача.
Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения.
Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.
🔒 Опасный QR-код: история вектора атаки.
• В мае 2013 года специалисты компании Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Когда Google узнали о данной уязвимости, то её закрыли буквально за несколько недель. К счастью, исправить успели до того, как уязвимость можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.
• В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплойт, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.
• Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов. Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button");, но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI! Более наглядно на фото выше.
• Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).
• Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Внутри QR был зашит MMI-код для сброса до заводских настроек: *2767*3855#, а также префикс tel: для совершения USSD-запроса.
• Самое опасное здесь то, что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности!
#Разное
• Мы реализовали функционал обнаружения и дешифровки QR-кодов в нашем боте S.E. Virus Detect. Теперь вы можете направить боту файл с QR-кодом и получить его содержание (текст, ссылка, другая информация). Если QR-код содержит ссылку, то вы сразу сможете осуществить проверку домена на наличие угроз (на фото). Данный функционал работает только в личных сообщениях. В публичных чатах этот функционал недоступен.
• Еще была доработана функция по сканированию ip адреса. Теперь при сканировании ip появляется кнопка "Геолокация", где вы можете получить все необходимые данные и даже точку на карте через Google Maps (фото 2).
• Весь функционал полностью бесплатный и реализован на полном энтузиазме. Надеемся, что S.E. Virus Detect поможет вам обезопасить себя и ваших близких ❤️
#VT