Microsoft обнаружила бэкдор «SesameOp», используя API OpenAI в качестве скрытого канала управления

Microsoft раскрыла подробности о новом бэкдоре, получившем название SesameOp, который использует API OpenAI Assistants для связи с командным центром (C2).

«Вместо того, чтобы полагаться на более традиционные методы, злоумышленник, стоящий за этим бэкдором, использует OpenAI в качестве канала C2 для скрытого взаимодействия и организации вредоносных действий в скомпрометированной среде», — говорится в техническом отчёте, опубликованном в понедельник, группы обнаружения и реагирования (DART) службы реагирования на инциденты Microsoft.

«Для этого компонент бэкдора использует API OpenAI Assistants в качестве механизма хранения или ретрансляции для получения команд, которые затем выполняет вредоносное ПО»
Технологический гигант заявил, что обнаружил имплант в июле 2025 года в рамках сложного инцидента безопасности, в ходе которого неизвестным злоумышленникам удалось сохранять присутствие в целевой среде в течение нескольких месяцев. Имя пострадавшей жертвы не было названо.

Дальнейшее расследование инцидента привело к обнаружению так называемой «сложной структуры» внутренних веб-оболочек, предназначенных для выполнения команд, передаваемых «постоянно действующими, стратегически размещёнными» вредоносными процессами. Эти процессы, в свою очередь, используют утилиты Microsoft Visual Studio, скомпрометированные вредоносными библиотеками. Этот подход называется внедрением AppDomainManager.

SesameOp — это специальный бэкдор, разработанный для обеспечения устойчивости и позволяющий злоумышленнику скрытно управлять скомпрометированными устройствами. Это указывает на то, что главной целью атаки было обеспечение долгосрочного доступа для шпионажа.

По данным Microsoft, цепочка заражения включает в себя компонент-загрузчик (Netapi64.dll) и бэкдор на базе .NET (OpenAIAgent.Netapi64), который использует API OpenAI в качестве канала управления (C2) для получения зашифрованных команд, которые затем декодируются и выполняются локально.

В настоящее время неясно, кто стоит за этим вредоносным ПО, но его разработка демонстрирует продолжающееся злоупотребление легитимными инструментами в вредоносных целях, позволяющее им слиться с обычной сетевой активностью и обойти систему обнаружения. Microsoft заявила, что поделилась своими результатами с OpenAI, которая выявила и заблокировала ключ API и связанную с ним учётную запись, предположительно использовавшиеся злоумышленником.

Читать полностью…

WebSift

WebSift — это мощный инструмент для этического хакинга и OSINT (Open-Source Intelligence), предназначенный для извлечения адресов электронной почты, номеров телефонов, ссылок на социальные сети и других ссылок с веб-сайтов. Этот инструмент идеально подходит для специалистов по безопасности и исследователей, которым необходимо собирать общедоступную информацию в этических и законных целях.

📕Характеристики:
1️⃣Извлекает адреса электронной почты с заданного веб-сайта.
2️⃣Извлекает телефонные номера в стандартных форматах.
3️⃣Извлекает ссылки на социальные сети и другие URL-адреса с веб-сайтов для расширения возможностей OSINT.
4️⃣Сохраняет извлеченную информацию для дальнейшего анализа.
5️⃣Автоматически проверяет и устанавливает отсутствующие зависимости (curl, grep, wget).

💻Установка:

git clone https://github.com/s-r-e-e-r-a-j/WebSift.git

cd WebSift/WebSift

📌Запуск:

bash websift.sh

Читать полностью…

🚀Awesome OSINT For Everything

Делимся с вами большим списком инструментов/сайтов OSINT для тестирования на проникновение, обратного поиска, операций Red Team, сбора информации, bugbounty и почти всего в одном репозитории.

➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything
➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything
➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything

Читать полностью…

👩‍💻 Linux для хакера: базовые команды и скрипты, которые нужно знать

Linux - это не только серверная ОС и среда для разработки, но и инструмент, который позволяет исследовать систему глубоко: найти слабые места, автоматизировать рутинные задачи и быстро получить «снимок» состояния хоста.

Для практической безопасности важно владеть не только отдельными командами, но и умением быстро собирать информацию, автоматизировать повторяющиеся действия и применять безопасные методики.

В статье:
🔵Навигация и управление файлами
🔵Понимание прав доступа и владельцев
🔵Процессы
🔵Сеть
🔵Логи и systemd
🔵Диагностика

➡️ Читать статью

Читать полностью…

Microsoft теперь будет определять, где вы, дома или в офисе?

Microsoft готовит обновление Teams, которое может сильно ударить по любителям тихой удалёнки. По плану на декабрь 2025 года платформа начнёт автоматически определять, находится ли сотрудник в офисе, используя подключение к корпоративной Wi-Fi сети. Если устройство подключилось к офисной сети, Teams помечает, что вы на месте.

В дорожной карте Microsoft 365 сказано, что при подключении к Wi-Fi организации Teams автоматически выставит рабочую локацию пользователя, отражая здание, где он находится. Обновление статуса будет происходить без участия сотрудника, как только устройство окажется в сети компании. Функция появится на Windows и macOS, развёртывание начнётся в конце года.

По умолчанию нововведение выключено, включать его будут администраторы аренды, а конечным пользователям, как ожидается, предложат отдельное согласие. Для руководителей это удобный способ понять, кто действительно в офисе. Для тех, кто ценит тишину и продуктивность дома, это скорее предупреждение, что Teams может «сдавать» ваше местоположение.

Приложение способно сопоставлять адреса и другие сетевые признаки с инфраструктурой компании, а не полагаться только на название сети.

Читать полностью…

Друзья, напоминаем, на каких курсах начинается обучение в ноябре⤵

Старт 10 ноября:
🔵Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин 💸68 990 ₽ 78 990₽
🔵Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках 💸55 990 ₽ 63 990 ₽

Старт 20 ноября:
🔵Курс «Администрирование ОС Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes

Старт 24 ноября:
🔵Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин

Успейте записаться на первые потоки новых курсов по специальным условиям⤵

Старт 10 ноября:
🔵Курс «Профессия DevSecOps - инженер: безопасная разработка» - освоите DevSecOps-инженерию: от автоматизации безопасности до работы с Kubernetes и Terraform. Запись на первый поток с выгодой 10%

Старт 24 ноября:
🔵Курс «Антифрод-аналитик» - освоите антифрод-анализ для защиты финансовых операций. Запись на первый поток с выгодой до 18%

🔵Курс «Основы кибербезопасности» - освоите ключевые навыки информационной безопасности: от основ Linux до проведения пентестов. Запись на первый поток с выгодой до 18%

✅Запишитесь у нашего менеджера @CodebyManagerBot 🚀или узнайте подробности на сайте!

Читать полностью…

📱 OpenAI представила Aardvark — автономного агента безопасности на базе искусственного интеллекта (GPT-5). В настоящее время инструмент доступен в режиме закрытой бета-версии. Его цель — помочь разработчикам и командам безопасности находить и устранять уязвимости в масштабе, смещая баланс сил в сторону защитников.

Рабочий процесс строится на четырёх ключевых этапах:
🔺Aardvark анализирует все хранилище кода, чтобы создать модель угроз, отражающую цели безопасности и дизайн проекта.
🔺Проверяет изменения на уровне коммитов и сверяет новый код с моделью угроз. При первом подключении сканируется вся история репозитория. Найденные уязвимости подробно объясняются с аннотацией кода для удобства проверки человеком.
🔺Обнаруженные потенциальные уязвимости Aardvark пытается воспроизвести в изолированной среде, чтобы подтвердить их эксплуатацию. Это позволяет минимизировать ложные срабатывания и обеспечивать точность данных.
🔺Интегрируясь с OpenAI Codex, Aardvark помогает исправить уязвимости. К каждому отчету прикрепляет сгенерированный и проверенный патч для удобного человеческого обзора и быстрого внедрения.

За несколько месяцев работы во внутренних репозиториях OpenAI и у внешних партнеров Aardvark выявил критические уязвимости, включая сложно обнаруживаемые. В тестах на эталонных репозиториях инструмент показал 92% эффективности, обнаружив подавляющее большинство известных и синтетических уязвимостей.

➡️При применении к open-source проектам Aardvark обнаружил множество уязвимостей, десять из которых получили идентификаторы CVE. Планируется предоставление бесплатного сканирования для избранных некоммерческих open-source репозиториев.

Обновленная политика раскрытия информации делает акцент на сотрудничестве с разработчиками, а не на жестких сроках, что способствует долгосрочной устойчивости по мере роста возможностей инструментов обнаружения.

Доступ к Aardvark открывается в рамках частной беты для избранных партнеров. Участники получат ранний доступ к инструменту и возможность совместной работы над улучшением его точности и рабочих процессов. Организации и open-source проекты могут подать заявку на участие в тестировании можно тут.

🔥А что думаете вы? Пользовались бы таким помощником?

Читать полностью…

С выходом iOS 26 Apple внесла, на первый взгляд, незаметное техническое изменение, но для мира кибербезопасности оно прозвучало как выстрел. Пропал ключевой свидетель — системный журнал shutdown.log, который годами был незаменимым инструментом в охоте на самых изощренных цифровых хищников: шпионские программы вроде Pegasus и Predator.

➡️Раньше файл shutdown.log работал как подробный бортовой самописец вашего iPhone. При каждой перезагрузке он дописывал новые данные в конец, сохраняя историю процессов, включая аномалии, характерные для взлома.

В iOS 26 логика изменилась кардинально. Теперь при каждой перезагрузке система не дополняет, а полностью перезаписывает этот файл. Проще говоря, старые записи бесследно исчезают.

🧷Этот журнал был не просто логом, а детектором лжи для устройства.
🟡Даже если шпионское ПО пыталось замести следы, сам факт его вмешательства в системные процессы оставлял артефакты в структуре файла.
🟡Журнал позволял установить не только факт заражения, но и его примерную дату, что было критически важно для расследований.

Яркий пример —

в 2021 году

именно анализ

shutdown.log

позволил независимым экспертам подтвердить массовое заражение телефонов журналистов и правозащитников программой

Pegasus

.

🔖 Кто в выигрыше?
🟡Разработчики шпионского ПО (такие как NSO Group) - теперь одна перезагрузка устройства после атаки уничтожает критически важные доказательства. Это значительно усложняет доказательство взлома и снижает риски для самих злоумышленников.
🟡Активисты, журналисты и политики, чьи телефоны были заражены до обновления, после перехода на iOS 26 и перезагрузки потеряют возможность это обнаружить. Они останутся в неведении под колпаком.

‼️ Версии и последствия
Эксперты строят два основных предположения:
🟡Радикальное улучшение производительности и стабильности системы. Упрощение работы с логами могло быть частью общей оптимизации iOS.
🟡Apple годами ведет юридические баталии с правительствами, требующими доступа к данным. Возможно, это шаг к усложнению независимого анализа, который часто становился основой для громких судебных исков.

Читать полностью…

Kali Linux: как с нуля собрать рабочий инструмент пентестера

Полный гид по Kali Linux — от выбора дистрибутива до готовой рабочей станции. Узнайте, почему все рекомендуют именно Kali и как избежать типичных ошибок при установке.

В статье рассказываем:
🟧Kali vs обычный Linux: когда без спецдистрибутива не обойтись
🟧Пошаговая установка — от создания VM до первого входа в систему
🟧Must-have настройки для комфортной работы
🟧Решение частых проблем, с которыми сталкиваются новички

🟧Сохраняйте гайд, который сэкономит вам часы на поиск информации и установку Kali Linux!

Читать полностью…

🏆FuzzForge

Инструмент на основе искусственного интеллекта для автоматизации рабочих процессов и управления AI-агентами в областях AppSec, фаззинга и наступательной безопасности.

Особенности
🤖 AI-агенты для безопасности — специализированные агенты для AppSec, реверс-инжиниринга и фаззинга.
🛠 Автоматизация рабочих процессов — определяйте и запускайте AppSec-процессы как код.
📈 Исследование уязвимостей в масштабах — с помощью автоматизации можно повторно обнаружить известные уязвимости 1-day а также новые 0-day уязвимости.
🔗 Интеграция с фаззерами — поддержка Atheris (Python), cargo-fuzz (Rust).
🔒Готово для корпоративного использования — облачные тарифы для команд и компаний, позволяющие повышать уровень безопасности.

⬇️Установка и использование
1️⃣Клонируйте репозиторий.

git clone https://github.com/fuzzinglabs/fuzzforge_ai.git
cd fuzzforge_ai

2️⃣Далее необходимо создать файл конфигурации среды. Этот файл необходим для запуска FuzzForge. Если вы используете только базовые рабочие процессы, можете оставить значения по умолчанию.
Отредактируйте файл volumes/env/.env и добавьте свои ключи API (OpenAI, Anthropic, Google и т. д.).

cp volumes/env/.env.example volumes/env/.env

❗️Рабочие процессы, не требующие API-ключей: security_assessment, gitleaks_detection, trufflehog_detection, atheris_fuzzing, cargo_fuzzing.

3️⃣Запустите все службы FuzzForge и затем Python Worker.

docker-compose -f docker-compose.yml up -d
docker compose up -d worker-python

4️⃣Опциональный шаг - установка интерфейса командной строки FuzzForge для более удобного управления рабочим процессом.

cd cli
pip install -e .
# or
uv tool install .
#запуск
fuzzforge config set-server http://localhost:8000

5️⃣Теперь необходимо запустить нужный вам рабочий процессс.

cd test_projects/vulnerable_app/
fuzzforge init 
ff workflow run security_assessment .

#мониторинг результатов
fuzzforge workflow status <run-id>

#показать результаты по завершению
fuzzforge finding <run-id>

6️⃣Для тестового проекта результаты будут в формате SARIF в следующем виде:

{
"workflow": "security_assessment",
"status": "completed",
"total_findings": 18,
"scan_status": {
"file_scanner": "success",
"security_analyzer": "success"
},
"severity_counts": {
"high": 6,
"medium": 5,
"low": 7
}
}

Также можно отслеживать выполнение рабочих процессов в режиме реального времени с помощью Temporal Web UI через http://localhost:8080 в браузере из раздела «Рабочие процессы».

Читать полностью…

Brainstorm — инструмент для фазинга директорий с интеграцией локальных LLM

Brainstorm — это лёгкий CLI‑инструмент от Invicti Security для оптимизации поиска скрытых директорий, файлов и эндпоинтов в веб‑приложениях. В отличие от классических инструментов для фазинга, Brainstorm комбинирует традиционный ffuf‑фазинг с генерацией гипотез о путях при помощи локальных крупных языковых моделей (через Ollama). Это превращает фазинг в итеративный «мозговой штурм»: модель предлагает умные догадки → ffuf проверяет → результаты используются для следующего круга генерации.

⚡️ Ключевые возможности
⏺️ Комбинация LLM (локально через Ollama) + ffuf для более целевых и релевантных словарей путей.
⏺️ Итеративный процесс: извлечение ссылок → генерация путей моделью → фазинг → обучение на результатах → повтор.
⏺️ Две утилиты: fuzzer.py (общий поиск путей) и fuzzer_shortname.py (специализирован для коротких имён, legacy 8.3 и т.п.).
⏺️ Поддержка выбора модели Ollama (по умолчанию qwen2.5-coder:latest) и конфигурируемых подсказок (prompts).
⏺️ Бенчмаркинг моделей (benchmark.py) и отчёты (HTML/MD) для оценки, какая локальная модель даёт лучшие результаты.
⏺️ Настраиваемые коды ответа, циклы фазинга, файл подсказок и пр.

⬇️ Установка и запуск

git clone https://github.com/Invicti-Security/brainstorm.git
cd brainstorm
pip install -r requirements.txt

ollama pull qwen2.5-coder:latest

🖥 Запуск

# базовый фазинг (по умолчанию)
python fuzzer.py "ffuf -w ./fuzz.txt -u http://example.com/FUZZ"

# короткие имена (8.3) — укажите целевой файл в конце
python fuzzer_shortname.py "ffuf -w ./fuzz.txt -u http://example.com/FUZZ" "BENCHM~1.PY"

⚙️ Преимущества Brainstorm
➡️ Умные, контекстные догадки от LLM уменьшают шум и увеличивают релевантность найденных путей.
➡️ Локальная архитектура (Ollama) — без передачи чувствительных данных в облако.
➡️ Быстрое прототипирование и возможность подгонять промпты под конкретное приложение.
➡️ Бенчмаркинг позволяет выбрать оптимальную локальную модель под ваши задачи.

Читать полностью…

Можно ли полагаться на методологию оценки ландшафта угроз, когда одно правило корреляции равно закрытая техника на матрице MITRE ATT&CK?

О проактивной защите на рынке кибербеза говорят давно, но каждый заказчик понимает понятие по-своему, часто неверно, покупая какое либо защитное решение, не получая роста уровня защиты.

«Лаборатория Касперского» решила поменять правила игры и поставила вопрос по-новому: «Насколько эффективно наши продукты закрывают актуальные угрозы?».

«Лаборатория Касперского» предлагает новый, более комплексный подход к оценке эффективности защиты на основе той же MITRE ATT&CK. Вместо простой бинарной покраски кубиков теперь используется многофакторная методология, позволяющая глубже понять, насколько полно и эффективно продукты компании обнаруживает актуальные киберугрозы.

🌎 Присоединяйтесь к стриму 30 октября — разберём, как построить действительно проактивную оборону.

Темы стрима:
🟢 EDR или NDR? Почему не существует универсального решения и как грамотно сочетать технологии.
🟢 MITRE ATT&CK без иллюзий: как отличить реальные результаты от маркетинга.
🟢 Бюджет с пользой: какие инструменты внедрить первыми, чтобы перекрыть самые критичные векторы атак.

Остались вопросы? 🟥
Задайте их в коммьюнити Kaspersky Threat Intelligence заранее или во время эфира — эксперты разберут самые интересные.

▶️ Регистрируйтесь на стрим по ссылке!

Читать полностью…

Microsoft только что исправила критическую уязвимость WSUS (CVE-2025-59287) — и злоумышленники уже используют ее.

В четверг Microsoft выпустила внеплановые обновления безопасности для исправления критически важной уязвимости службы обновления Windows Server (WSUS) с помощью эксплойта Proof-of-Concept (Poc), который был доступен публично и активно эксплуатировался в реальных условиях.

Уязвимость, о которой идёт речь, — CVE-2025-59287 (оценка CVSS: 9,8). Это уязвимость удалённого выполнения кода в WSUS, которая была первоначально исправлена ​​технологическим гигантом в рамках обновления «Вторник исправлений», опубликованного на прошлой неделе.

Недостаток связан со случаем десериализации ненадёжных данных в WSUS, что позволяет неавторизованному злоумышленнику выполнить код по сети. Стоит отметить, что уязвимость не затрагивает серверы Windows, на которых не активирована роль сервера WSUS.

В гипотетическом сценарии атаки удалённый злоумышленник, не прошедший аутентификацию, может отправить специально созданное событие, которое запускает небезопасную десериализацию объекта с использованием «устаревшего механизма сериализации», что приводит к удалённому выполнению кода.

По словам исследователя безопасности HawkTrace Батухана Эра, проблема «возникает из-за небезопасной десериализации объектов AuthorizationCookie, отправляемых на конечную точку GetCookie(), где зашифрованные данные cookie расшифровываются с помощью AES-128-CBC и затем десериализуются через BinaryFormatter без надлежащей проверки типа, что позволяет удалённо выполнять код с привилегиями SYSTEM».

Стоит отметить, что сама Microsoft ранее рекомендовала разработчикам прекратить использование BinaryFormatter для десериализации, поскольку этот метод небезопасен при использовании с недоверенными входными данными. Реализация BinaryFormatter была впоследствии удалена из .NET 9 в августе 2024 года.

Читать полностью…

🐷Rusty Hog - инструмент, состоящий из набора сканеров, основанный на инструменте TruffleHog, но написанный на языке Rust для повышения производительности. Использует регулярные выражения для поиска конфиденциальной информации, такой как ключи API, пароли и личные данные.

📝Возможности
Инструмент предоставляет возможность пользователям указывать путь к собственному файлу JSON с регулярными выражениями, которые соответствуют конфиденциальным данным. Любой указанный файл заменяет, а не дополняет регулярные выражения по умолчанию. На вход инструмент ожидает, что файл будет представлять собой один объект JSON.

Стоит отметить, что сканеры поддерживают функцию списка разрешённых элементов, то есть можно указать список регулярных выражений для каждого шаблона, которые будут игнорироваться сканером.

⬇️Установка
Скачать последнюю версию инструмента можно со страницы релизов. На странице представлены ZIP-файлы которые необходимо распаковать.

Пример установки zip-файла с модулем choctaw_hog.

wget https://github.com/newrelic/rusty-hog/releases/download/v1.0.11/rustyhogs-darwin-choctaw_hog-1.0.11.zip
unzip rustyhogs-darwin-choctaw_hog-1.0.11.zip
darwin_releases/choctaw_hog -h

Rusty Hog предоставляет следующие исполняемые модули:
🔴Ankamali Hog — сканирует Google Docs на наличие секретов.

ankamali_hog [FLAGS] [OPTIONS] <GDRIVEID>

🔴Berkshire Hog — сканирует хранилища S3 на наличие секретов.

berkshire_hog [FLAGS] [OPTIONS] <S3URI> <S3REGION>

🔴Choctaw Hog — сканирует Git-репозитории на наличие секретов.

choctaw_hog [FLAGS] [OPTIONS] <GITPATH>

🔴Duroc Hog — сканирует каталоги, файлы и архивы на наличие секретов.

duroc_hog [FLAGS] [OPTIONS] <FSPATH>

🔴Essex Hog — сканирует страницы Confluence Wiki на наличие секретов.

essex_hog [FLAGS] [OPTIONS] <PAGEID> <URL>

🔴Gottingen Hog — сканирует задачи (issues) в JIRA на наличие секретов.

gottingen_hog [FLAGS] [OPTIONS] <JIRAID>

🔴Slack Hog — сканирует каналы Slack на наличие секретов.

hante_hog [FLAGS] [OPTIONS] --authtoken <BEARERTOKEN> --channelid <CHANNELID> --url <SLACKURL>

Читать полностью…

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — NoSecList

Приятного хакинга!

Читать полностью…

Этичный хакинг: первый шаг к практике на специальных площадках

Есть площадки, где можно оттачивать свои навыки, не нарушая закон. Одна из них — HackerLab. Это среда, созданная хакерами для хакеров, где вы легально «взламываете» то, к чему лежит душа.

В статье разбираем:
🔵Как устроена платформа
🔵Как зарегистрироваться и решить свою первую задачу (на примере уязвимости в PDF-библиотеке).

Покажем, что начать — проще, чем кажется.

🚩Ваш первый флаг ждёт, когда его найдут, а наш гайд поможет вам до него добраться!

Читать полностью…

🧠 ChatGPT - В С Ё!

👩‍💻 Новая уязвимость браузера ChatGPT Atlas позволяет злоумышленникам внедрять скрытые команды.

❗️ Исследователи кибербезопасности обнаружили новую уязвимость в веб-браузере ChatGPT Atlas компании OpenAI, которая может позволить злоумышленникам внедрять вредоносные инструкции в память помощника на базе искусственного интеллекта (ИИ) и запускать произвольный код.

💻 В основе атаки лежит уязвимость CSRF, которую можно эксплуатировать для внедрения вредоносных инструкций в постоянную память ChatGPT. Повреждённая память затем может сохраняться на разных устройствах и в разных сеансах, позволяя злоумышленнику выполнять различные действия, включая захват контроля над учётной записью пользователя, браузером или подключёнными системами, когда вошедший в систему пользователь пытается использовать ChatGPT в законных целях.

Атака происходит следующим образом:
🔺 Пользователь входит в ChatGPT
🔺 Пользователя обманным путем заставляют запустить вредоносную ссылку с помощью социальной инженерии.
🔺 Вредоносная веб-страница инициирует CSRF-запрос, используя тот факт, что пользователь уже аутентифицирован, чтобы внедрить скрытые инструкции в память ChatGPT без его ведома.
🔺 Когда пользователь использует ChatGPT с законной целью, испорченные воспоминания будут вызваны, что приведет к выполнению кода.

📍 А как часто вы используете ChatGPT в работе или учебе?

Читать полностью…

Эксперты Лаборатории Касперского провели сложную атрибуцию и обнаружили коммерческое ВПО уровня спецслужб Dante.

В марте 2025 года специалисты Лаборатории Касперского выявили волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Эта атака проводилась APT-группой ForumTroll и использовала уязвимость нулевого дня в браузере на базе Chromium CVE-2025-2783.

Цепочка атаки
💬Заражение происходило после того, как жертва переходила по ссылке из фишингового письма и попадала на вредоносный веб-сайт, который проводил ряд проверок и запускал эксплойт, а позже шпионское ПО LeetAgent.

1️⃣Перед запуском эксплойта скрипт проводил ряд проверок для того чтобы убедиться, что сайт открыт в реальном браузере реальным пользователем, а не почтовым сервером, который может перейти по ссылке, произвести эмуляцию скрипта и загрузить настоящий эксплойт. Результаты проверки валидатор отправлял на C2-сервер вместе с идентификатором инфекции и сгенерированным публичным ключом.

2️⃣Закрепление в системе происходило при помощи техники Component Object Model (COM) hijacking. В ее основе лежат особенности порядка поиска объектов COM в системе. Злоумышленник использовали ее для подмены записей CLSID библиотеки twinapi.dll и для того, чтобы заставить системные процессы и браузеры загружать вредоносную DLL, которая является загрузчиком LeetAgent.

3️⃣Шпионское ПО LeetAgent получило свое название, так как всего его команды написаны на Leet, что является редким явлением среди ВПО. Вредоносное ПО подключается к одному из серверов C2, указанных в конфигурации, и использует протокол HTTPS для получения и выполнения команд, идентифицируемых уникальными числовыми значениями. Кроме того, в фоновом режиме выполняет задачи по отслеживанию нажатий клавиш и краже файлов.

📕Атрибуция Dante
🔴Эксперты проследили активность LeetAgent до первого использования в 2022 году и обнаружили другие атаки APT-группы ForumTroll на организации и частных лиц в России и Беларуси.

🔴Изучив это ранее шпионское ПО, специалисты пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (бывшая Hacking Team).

Hacking Team (или HackingTeam) — один из старейших и самых известных поставщиков шпионского ПО. Компания была основана в 2003 году и стала известна благодаря шпионскому ПО Remote Control Systems (RCS), которым пользовались государственные органы по всему миру, и его противоречивой репутации.

Ниже представлены некоторые характеристики Dante:
🔴Упакована с помощью VMProtect, который обфусцирует поток управления, скрывает импортированные функции и добавляет проверки на запуск в отладочной среде. Также использует распространенные методы обнаружения дебаггеров.

👀Для защиты от обнаружения Dante ищет в логах событий Windows события, которые могут указывать на использование инструментов анализа или виртуальных машин (на уровне хоста или гостя).

Читать полностью…

Digler

Digler — это инструмент для криминалистического анализа дисков и восстановления файлов. Он разработан, чтобы помочь вам восстановить потерянные или удалённые данные с различных образов дисков и устройств RAW.

Несмотря на то, что существует множество инструментов для восстановления данных, лишь немногие из них сочетают в себе простоту, гибкость и современный дизайн с глубоким анализом диска и эффективным удалением файлов.
Созданный на Go, Digler использует сильные стороны этого языка в плане производительности, кроссплатформенной поддержки и удобства обслуживания, чтобы предоставить быстрое и надежное решение для современных задач по восстановлению данных.

📕Характиристики:
1️⃣Широкая поддержка образов дисков и необработанных устройств: анализируйте широкий спектр форматов образов дисков (.dd, .img и т. д.) или обращайтесь напрямую к физическим дискам.

2️⃣Анализ, не зависящий от файловой системы: восстанавливайте удалённые файлы независимо от используемой файловой системы (например, NTFS, FAT32, ext4), даже при потере метаданных.

3️⃣Расширяемость с помощью плагинов: поддержка пользовательских сканеров файлов через плагины, упрощающая интеграцию с новыми форматами файлов.

4️⃣Возможности составления отчётов: создавайте подробные отчёты в формате Digital Forensics XML (DFXML) о восстановленных данных и результатах анализа.

5️⃣Восстановление данных после сканирования: используйте созданные отчёты DFXML для точного восстановления определённых файлов.

💻Установка:

git clone https://github.com/ostafen/digler.git

cd digler/bin

📌Запуск:
Сканирование дискогого образа или устройства:

./digler-linux-amd64 scan <ОБРАЗ_ИЛИ_УСТРОЙСТВО>

Монтировать результаты сканирования как файловую систему:

./digler-linux-amd64 mount <ОБРАЗ_ИЛИ_УСТРОЙСТВО> <ОТЧЁТ.xml> --mountpoint /mnt

Восстановление файлов на основе отчета о сканировании:

./digler-linux-amd64 recover <ОБРАЗ_ИЛИ_УСТРОЙСТВО> <ОТЧЁТ.xml> --dir /path/to/dir

Читать полностью…

🛍 Пакеты воруют!

🚛 Исследователи кибербезопасности обнаружили набор из 10 вредоносных пакетов npm, предназначенных для доставки вредоносного ПО для кражи информации, нацеленного на системы Windows, Linux и macOS.

🖥 «Вредоносное ПО использует четыре уровня обфускации для сокрытия своей полезной нагрузки, отображает поддельную CAPTCHA, чтобы казаться подлинным, идентифицирует жертв по IP-адресу и загружает упакованный в PyInstaller похититель информации размером 24 МБ, который собирает учетные данные из системных связок ключей, браузеров и служб аутентификации в Windows, Linux и macOS», — сообщил исследователь безопасности Socket Куш Пандья .

➡️ Пакеты npm были загружены в реестр 4 июля 2025 года и, в общей сложности, были загружены более 9900 раз.

deezcord.js
dezcord.js
dizcordjs
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
typescriptjs
zustand.js

📚 Многоступенчатая операция по краже учетных данных проявилась в виде различных typosquatted пакетов, выдававших себя за популярные библиотеки npm, такие как TypeScript, discord.js, ethers.js, nodemon, react-router-dom и zustand.

🦠 После установки вредоносная программа выдаёт поддельный запрос CAPTCHA и отображает реалистичный вывод, имитирующий установку легитимных пакетов, создавая впечатление, что процесс установки идёт по плану. Однако в фоновом режиме пакет захватывает IP-адрес жертвы, отправляет его на внешний сервер («195.133.79[.]43»), а затем устанавливает основную вредоносную программу.

❗️ Будьте внимательны и осторожны!

Читать полностью…

➡️ Антифрод — ваш невидимый цифровой телохранитель, который 24/7 защищает финансы от мошенников.

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — HackerTube2

🔎 Категория OSINT — Его сыграл Ричард Гир
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Криптография - Четырёхслойный шифр

Приятного хакинга!

Читать полностью…

Антифрод-аналитик: почему эта профессия стартует от 150К для джунов

Финансовый фрод ежегодно «съедает» сотни миллиардов рублей, и банки буквально дерутся за специалистов, которые умеют «видеть» мошенников среди тысяч транзакций за миллисекунды.

Антифрод-аналитик — профессия на стыке информационной безопасности, машинного обучения и продуктовой аналитики. И она вышла из тени: штатные вакансии уже стартуют от 150 000 рублей для джунов, а через пару лет реально вырасти до двухсот с лишним.

Выпустили большой материал на форуме. Разобрали:

→ Какие скиллы делают специалиста «золотой жилой»: SQL для витрин данных, Python для автоматизации, фича-инжиниринг для ML-моделей, базовое понимание fraud rule-engines

→ Какие кейсы сейчас в приоритете: скоринг транзакций в реальном времени, когортный анализ живучести клиентов, auto-ML модели против социальной инженерии

→ Типовые ошибки джунов, которые моментально вычисляет руководитель на интервью (спойлер: проблема не в знании SQL, а в понимании баланса между точностью и полнотой детекции)

Материал будет полезен трём аудиториям:

- Аналитикам и ИБ-специалистам, которые думают о смене профиля на более оплачиваемый
- Менеджерам и тимлидам, которые комплектуют антифрод-команды и ищут, где искать таланты
- Студентам и джунам, которые выбирают, куда двигаться в аналитике данных

Кстати, охоту за антифрод-талантами начали уже все крупные банки и финтехи — окно возможностей открыто, но быстро закрывается.

Читать полный разбор на форуме →
https://codeby.net/threads/antifrod-analitika-pochemu-etot-defitsitnyi-spetsialist-na-styke-ib-i-dannykh-stoit-ot-150-000-rublei.91105

Читать полностью…

🇺🇳 Конвенция ООН против киберпреступности

🔺 В Ханое прошла историческая церемония подписания Конвенции ООН против киберпреступности — первого глобального юридически значимого договора в области кибербезопасности. Документ, разработанный под эгидой ООН, призван укрепить международное сотрудничество в борьбе с растущими угрозами в цифровом пространстве.

Целями Конвенции являются:
🔺 содействие принятию и укрепление мер, направленных на повышение эффективности и результативности предупреждения киберпреступности и борьбы с ней;
🔺 поощрение, облегчение и укрепление международного сотрудничества в предупреждении киберпреступности и борьбе с ней;
🔺 поощрение, облегчение и поддержка технической помощи и создания потенциала в целях предупреждения киберпреступности и борьбы с ней, особенно в интересах развивающихся стран.

🇷🇺 Конвенцию подписали 64 государства, в том числе Российская Федерация, а также Европейский союз. Конвенция открыта для подписания вплоть до 31 декабря 2026 года. Она вступит в силу, после того как к ней присоединятся 40 государств, на 90-й день после того, как будет сдана на хранение 40-я ратификационная грамота.

📍 Как думаете, будет ли практическая ценность от данного документа?

Читать полностью…

📱 Новый Android-троян «Herodotus» обходит системы защиты от мошенничества, печатая как человек.

🏦 Исследователи по кибербезопасности раскрыли подробности о новом банковском трояне для Android под названием Herodotus , который был замечен в активных кампаниях, нацеленных на Италию и Бразилию, с целью проведения атак по захвату устройств (DTO).

📱 «Herodotus предназначен для осуществления захвата устройства, одновременно предпринимая первые попытки имитировать поведение человека и обходить поведенческую биометрию», — говорится в отчете ThreatFabric.

😡 Новое вредоносное ПО выделяется своей способностью «очеловечивать» мошенничество и обходить системы обнаружения, основанные на временных факторах. В частности, это включает в себя возможность вносить случайные задержки при выполнении удалённых действий, таких как ввод текста на устройстве. По словам ThreatFabric, это попытка злоумышленников создать видимость того, что данные вводит реальный пользователь.

⚠️ Будьте осторожны!

Читать полностью…

Хакеры превратили YouTube в фабрику вредоносного ПО. Более 3000 поддельных «уроков» скрывают мошенников, таких как Lumma и Rhadamanthys.

Была замечена вредоносная сеть аккаунтов YouTube, публикующая и продвигающая видеоролики, ведущие к загрузке вредоносного ПО, что по сути злоупотребляет популярностью и доверием, связанными с платформой видеохостинга, для распространения вредоносных полезных данных.

Действуя с 2021 года, эта сеть опубликовала более 3000 вредоносных видеороликов, а с начала года их количество утроилось. Компания Check Point дала ей кодовое название YouTube Ghost Network. С тех пор Google вмешалась и удалила большую часть этих видеороликов.

Кампания использует взломанные аккаунты и заменяет их контент «вредоносными» видеороликами, посвященными пиратскому программному обеспечению и читам для игр Roblox, чтобы заразить ничего не подозревающих пользователей, которые ищут их, вредоносным ПО для кражи данных. Некоторые из этих видеороликов набрали сотни тысяч просмотров, от 147 000 до 293 000.

Читать полностью…

💻Пользовательский контроль над формами и скрытыми элементами на сайте

Вот набор полезных букмарклетов для тестирования интерфейсов, обхода визуальных блокировок и поиска багов на веб-страницах.

1️⃣Включить все disabled и readonly поля:

javascript:(function(){document.querySelectorAll('[disabled],[readonly]').forEach(el=>{el.removeAttribute('disabled');el.removeAttribute('readonly');});})()

2️⃣Показать скрытые элементы (display: none):

javascript:(function(){document.querySelectorAll('[style*="display: none"]').forEach(el=>{el.style.display='block';});})()

3️⃣Вернуть кликабельность (pointer-events: none):

javascript:(function(){document.querySelectorAll('[style*="pointer-events: none"]').forEach(el=>{el.style.pointerEvents='auto';el.style.opacity='1';});})()

4️⃣Универсальный букмарклет (сочитает в себе предыдущие):

javascript:eval(atob("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"))

Добавьте любой из них в ваши закладки и активируйте на любой странице.

Читать полностью…

Курс по реагированию на киберинциденты — завтра последний день по старой цене! Следующий поток через 2 месяца!

РКИ — это не теория. Это практический курс, после которого вы будете:
🟧 собирать дампы с Windows/Linux,
🟧 анализировать логи и вредоносное ПО,
🟧 работать с SIEM и проводить Threat Hunting,
🟧 грамотно реагировать на атаки и искать следы проникновения.

🟧 До 1 декабря 🟧 85 990 ₽ 77 990 ₽ 🟧 Сертификат

🟧🟧🟧🟧 Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию!

Если хотите попасть на поток по старой цене — успейте до конца дня.
🟧 Начать обучение сегодня

🚀 @CodebyManagerBot

Читать полностью…

⚡Ребусы, которые заставят ваш мозг работать в режиме Security! Готовы принять вызов?

P.S. Тема - DevSecOps

Пишите свои идеи в комментариях🔽

Читать полностью…

Контроль за работой «белых» хакеров предложили передать ФСБ, ФСТЭК и НКЦКИ. По данным РБК разработана новая версия законопроекта о легализации «белых» хакеров, готовящаяся для внесения в Госдуму.

❗️Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей.

Согласно проекту, под это определение могут попасть:
🟧коммерческие bug bounty;
🟧внутренние bug bounty (self-hosted);
🟧любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;
🟧пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Регуляторы могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей.
К ним относятся:
🟧обязательная идентификация и верификация «белых» хакеров;
🟧правила аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей;
🟧правила, регулирующие обработку и защиту данных о найденных уязвимостях;
🟧регламент, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

🟧Списки операторов, которые соответствуют этим требованиям, будут публиковаться на сайтах силовых ведомств, а работа вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена. Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам.

🟧Кроме того, обсуждалось создание реестра «белых» хакеров для «легализации» их деятельности.

Читать полностью…