До ZeroNights осталось 2 дня!

Конференция по практическим аспектам ИБ ZeroNights пройдет уже в 11-й раз! И случится это уже послезавтра.

➡️Дата: 26 ноября 2025
➡️Место: Санкт-Петербург, LOFT HALL #7

В духе лучших традиций на ZeroNights будут представлены доклады по различным темам ИБ, включая изощренные техники взлома систем, неочевидные, но наболевшие проблемы кибербезопасности и действенные методы предотвращения угроз.

Кроме того, гости конференции смогут прослушать доклады, совмещённые с воркшопами и мастер-классами, а также поучаствовать в технических активностях!

Время осталось мало!
Приобрести билеты еще можно ➡️ тут

Наш TG-канал с актуальными новостями

Читать полностью…

В России началась блокировка популярного VPN-протокола XRay/VLESS

Проблемы с подключением наблюдаются в течение последних дней во многих регионах, включая Новосибирск, Екатеринбург, Казань, Волгоград, Красноярск, Татарстан, Удмуртию, Приморский край и Нижегородскую область.

Что происходит с VLESS в России?
Трафик на основе VLESS в последние месяцы стал более заметным для российских фильтрующих систем. Хотя протокол остаётся эффективным и гибким, его поведение становится уязвимым. Причины лежат в изменении поведения сетевых алгоритмов, перегрузке узлов и устаревших конфигурациях.

Что ждать дальше?
Эксперты предполагают, что алгоритмы анализа трафика будут периодически обновляться, и подобные перебои могут повторяться. Особенно это касается протоколов, которые активно используют шифрование и нестандартные маршруты. Поэтому пользователям важно иметь рабочие альтернативы.

Источник: экстремистски-террористический Твиттер*

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Сервис заметок
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - ByteNews
🔵OSINT - Переписка

Приятного хакинга!

Читать полностью…

ZeroNights — 11-я конференция по практической кибербезопасности

Конференция по практическим аспектам ИБ ZeroNights возвращается после перерыва и готова к покорению вершин кибербезопасности с новыми силами и неизменной преданностью традициям.

➡️Дата: 26 ноября 2025
➡️Место: Санкт-Петербург, LOFT HALL #7

ZeroNights пройдет в одиннадцатый раз! В этом году мы вновь собираем на площадке лучшее — общение с профессиональным комьюнити, обсуждение актуальных тем кибербезопасности и только беспристрастно отобранные доклады о проблемах ИБ.

3 тематических трека с докладами:

🔅Offensive Track — две сцены (Heap Stage и Stack Stage) с докладами про использование современных техник взлома для проведения продвинутых кибератак, обнаружение уязвимостей в устройствах и приложениях, а также про способы их эксплуатации.
🔅SecOps Track — о реальных кейсах SecOps, о стратегии AppSec и о рабочих подходах к безопасной разработке.
🔅Community Track — секция интерактивных докладов от ИБ-сообществ.

До конференции остались считанные дни! 🤝
Купить билеты онлайн ➡️ тут
Наш TG-канал с актуальными новостями

Читать полностью…

Ошибки в Microsoft Teams позволяют злоумышленникам выдавать себя за коллег и редактировать сообщения незаметно

Исследователи кибербезопасности раскрыли подробности четырёх уязвимостей безопасности Microsoft Teams, которые могли подвергнуть пользователей серьёзным атакам с использованием имперсонации и социальной инженерии.

Эти уязвимости «позволяли злоумышленникам манипулировать разговорами, выдавать себя за коллег и использовать уведомления», — говорится в отчёте Check Point, опубликованном The Hacker News.

После ответственного раскрытия информации в марте 2024 года некоторые из проблем были устранены Microsoft в августе 2024 года под идентификатором CVE-2024-38197. Последующие исправления были выпущены в сентябре 2024 и октябре 2025 года.

Вкратце, эти уязвимости позволяют изменять содержимое сообщений, не оставляя метки «Изменено» и идентификатора отправителя, а также изменять входящие уведомления, изменяя предполагаемого отправителя сообщения, что позволяет злоумышленнику обманным путём заставить жертв открыть вредоносные сообщения, создавая видимость их отправки от доверенного источника, включая высокопоставленных руководителей высшего звена.

Атака, охватывающая как внешних гостевых пользователей, так и внутренних злоумышленников, представляет серьёзную угрозу, поскольку она нарушает границы безопасности и позволяет потенциальным жертвам совершать непреднамеренные действия, такие как переход по вредоносным ссылкам в сообщениях или обмен конфиденциальными данными.

Кроме того, уязвимости также позволяли изменять отображаемые имена в личных чатах, изменяя тему разговора, а также произвольно изменять отображаемые имена, используемые в уведомлениях о вызовах и во время самого вызова, что позволяет злоумышленнику подделывать личность звонящего.

«Эти уязвимости бьют по самому сердцу цифрового доверия», — заявил Одед Вануну, руководитель отдела исследований уязвимостей продуктов Check Point, в заявлении для The Hacker News. «Платформы для совместной работы, такие как Teams, теперь так же важны, как электронная почта, и так же уязвимы».

«Наши исследования показывают, что злоумышленникам больше не нужно взламывать системы; им достаточно подорвать доверие. Теперь организации должны защищать то, во что верят люди, а не только то, что обрабатывают системы. Увидеть — значит поверить, значит проверить»

Читать полностью…

BrutDroid

BrutDroid 2.0 — это мощный набор инструментов, разработанный специально для Android Studio и упрощающий организацию лаборатории по тестированию на проникновение для мобильных устройств. Он разработан для упрощения тестирования на проникновение в Android и автоматизирует создание эмулятора, получение root-доступа, настройку сервера Frida и установку сертификатов Burp Suite. Благодаря новому яркому интерфейсу и поддержке пользовательских скриптов Frida, BrutDroid позволяет специалистам по безопасности сосредоточиться на тестировании, а не на настройке.

📕Характеристики:
1️⃣Оптимизировано для Windows и Android Studio: легко интегрируется с Windows Terminal и Android Studio для удобного тестирования на проникновение.
2️⃣Получение прав root в один клик: автоматически получает права root для эмуляторов (API 31, x86_64/arm64) с помощью Magisk и rootAVD, устраняя необходимость в ручной настройке.
3️⃣Интеграция Burp Suite: упрощает перехват трафика HTTPS за счет установки доверенных системных сертификатов Burp CA через модули Magisk.
4️⃣Пользовательские скрипты Frida: добавляйте и запускайте собственные скрипты Frida вместе со встроенными функциями закрепления SSL и обхода обнаружения root-доступа.
5️⃣Frida Powerhouse: Простое управление сервером Frida, просмотр приложений и выполнение скриптов для динамического инструментирования.

📌Установка:

git clone https://github.com/Brut-Security/BrutDroid.git

cd BrutDroid

pip install -r requirements.txt

🚀Запуск:

python3 BrutDroid.py

Читать полностью…

Тссс… Хотите узнать, как превратить киберугрозы в конкурентное преимущество?

Кибератаки происходят каждый день — под ударом любая компания.

Цифровая устойчивость сегодня — это не только IT, но и репутация, доверие и сила бренда.

Рекомендуем посмотреть видео, если вы хотите узнать:

· Почему внутренняя команда может не видеть «слепые зоны» безопасности.

· Какие риски скрываются во внешнем периметре.

· Как Индекс кибербезопасности показывает уязвимости глазами злоумышленника.

· Какие сигналы в даркнете предвещают атаку и зачем нужна независимая аналитика.

Индекс кибербезопасности от F6 превращает разрозненные риски в ясную картину и помогает укрепить защиту компании.

Не ждите атаки — узнайте, где уязвимости, и закройте их заранее.

Смотреть видео

#реклама
О рекламодателе

Читать полностью…

⚠️ Глобальный сбой Cloudflare

18 ноября 2025 года Cloudflare столкнулась с масштабным техническим сбоем, который затронул ключевые интернет-сервисы по всему миру, включая X (Twitter), ChatGPT, Spotify, Facebook и множество других. У пользователей массово возникали ошибки «Internal Server Error», а многие сайты оказались недоступны.

Cloudflare заявила, что причина инцидента — «необычный всплеск трафика», и компания расследует проблему и постепенно восстанавливает работу сервисов. Масштаб сбоя подтверждён ведущими СМИ и официальными заявлениями компании.

Подробнее: сбой затронул не только глобальные платформы, но и менее крупные сайты, работающие через Cloudflare.

Читать полностью…

⚡️ Ищем контент-мейкера для Академии Кодебай
Reels • TikTok • Shorts

Codeby — это экосистема, где информационная безопасность перестаёт быть теорией. Мы учим тому, что реально работает: практикующие эксперты, пентест-лабы, CTF, симуляции атак. Настоящая ИБ, без сухих лекций.

Сейчас нам нужен тот, кто умеет превращать технологии, хакинг и карьеру в короткие цепляющие видео. Если ты живёшь в TikTok, знаёшь тренды ещё до того, как они становятся трендами — тебе сюда.

🔐 Что предстоит

• Делать короткие ролики (15–60 секунд): мемы, обучающие вставки, лайфхаки, мотивация, закулисье Академии
• Придумывать концепции: идея → сценарий → референсы → настроение → итоговый ролик
• Работать в фирменной стилистике Codeby (киберпанк, техно-вибы, темные тона)
• Предлагать свои форматы — мы любим эксперименты и сами часто их запускаем
• Следить за TikTok/Instagram/Shorts и адаптировать тренды под наш стиль
• Конвертировать экспертный материал в визуальный сторителлинг, который цепляет даже новичков

💻 Что важно

• Портфолио с Reels/Shorts/TikTok — без этого никуда
• Чувство визуального языка ИБ: dark-mode, green-terminal, киберпанк-палитры
• Умение работать в разных жанрах — от фана до серьёзных кейсов
• Навыки монтажа (CapCut / Premiere / DaVinci / любой твой инструмент)
• Погружённость в digital — нужно чувствовать платформы, а не просто знать их

⚡️ Что даём

• Удалённая работа (если ты в Москве — welcome в офис)
• Гибкий график: важен результат, а не часы
• Работа с одной из самых сильных команд в ИБ-образовании
• Свобода творчества — нам нужны идеи, а не исполнители по ТЗ
• Доступ ко всем курсам Академии — отличный бонус для развития

💰 Оплата: по опыту + KPI за просмотры и охват

Откликнуться: https://hh.ru/vacancy/127735360

Читать полностью…

У всех, кто сейчас работает в ИБ, тоже был первый шаг. Вот твой.

👢 Новинка от Codeby — курс «Основы кибербезопасности»

Старт потока: 24 ноября 2025 года
🔺Сразу к обучению

🔺Кибербезопасность — это больше, чем просто защита данных. Курс даст фундамент, с которого начинают карьеру в ИБ. Linux, сети, атаки, защита — всё, без чего не попасть в профессию.

Что вас ждёт:
🔺32 практических занятия с разбором реальных кейсов.
🔺Наставник, который помогает весь путь — не только по технике, но и по карьерным вопросам.
🔺 5,5 месяцев интенсивного обучения с фокусом на практику.

Вы научитесь:
• работать в Linux и Windows с прицелом на ИБ, строить и атаковать сети,
• понимать PowerShell, Wireshark, Kali Linux,
• проводить первые pentest-атаки, разбираться в SOC, SIEM и логах.

Курс подойдёт, если вы:
🔺 новичок в ИБ и не знаете, с чего начать,
🔺 IT-специалист, которому нужно усилить компетенции,
🔺 студент, тестировщик или системный админ — и хотите расти.

«Вы получите мышление безопасника. И это имеет ценность в 2025 году» — автор курса.

Готовы стать частью команды, которая 5 раз выиграла The Standoff?

Программа, наставник, скидки 🔺 Хочу узнать всё
✈️ @CodebyManagerBot

Читать полностью…

Microsoft прекращает поддержку KMS - популярного бесплатного способа активации Windows.
🖥 На этой неделе Microsoft сделала пару важных объявлений, касающихся Windows.
🟧Windows 11 становится «агентской» ОС, что вызвало массовое недовольство.
🟧Прекратила поддержку Windows 11 версии 23H2 и добавила, что все устройства скоро получат новое функциональное обновление 25H2 — но только при одном условии: система должна быть поддерживаемой.

📕 Microsoft также внесла ещё одно незадокументированное в официальных примечаниях изменение — убрала популярный офлайн-способ активации Windows 11 и 10, который использовался нелегально. Метод назывался KMS38 и распространялся проектом MASSGRAVE.

MASSGRAVE (где MAS означает Microsoft Activation Scripts) — это проект, предлагающий различные неофициальные сервисы активации Windows и Office.

🟧 KMS38 был автономным методом активации, который работал путём обмана EXE-файла GatherOSstate, чтобы продлить период активации KMS (службы управления ключами) до 19 января 2038 года, 03:14:07 UTC, вместо стандартных 180 дней. С более подробной информацией почему был использован именно данный период можно ознакомиться здесь. Файл GatherOSstate фактически определял, может ли ОС в текущем состоянии быть обновлена.

❗️Автор MASSGRAVE подтвердил, что метод больше не работает с ноябрьским обновлением Patch Tuesday 2025 (KB5068861, KB5067112).

🟧 Вероятно, это было ожидаемо, поскольку MASSGRAVE сообщает, что в сборке Windows 26040 (выпущенной в январе 2024 года) файл gatherosstate.exe был удалён из установочного образа. То есть, обновления на месте и функциональные обновления сбрасывали льготный период до нуля, требуя повторного подключения к KMS-серверу. А с вышедшим в прошлом месяце необязательным обновлением Windows 11 (KB5067036) Microsoft полностью прекратила поддержку функциональности GatherOSstate, сделав KMS38 непригодным для использования.

🟧Альтеранатива
В последней версии скрипта MAS поддержка KMS38 была полностью прекращена.
MASSGRAVE сообщает, что пользователям следует переходить на методы активации HWID (Hardware ID) или TSforge, которые всё ещё работают.

Не рекомендуется использование неофициальных и пиратских способов активации систем.

Читать полностью…

Компания Anthropic сообщила о первом официально задокументированном случае масштабной кибератаки, в которой основная работа была выполнена агентной ИИ-моделью. Инцидент произошёл в середине сентября 2025 года и стал частью изощрённой шпионской кампании, предположительно организованной группой, поддерживаемой китайским государством.

🌀Злоумышленники использовали модель Claude Code не как вспомогательный инструмент, а как автономного агента. Чтобы обойти защитные механизмы, они применили джейлбрейк: разбили вредоносные задачи на множество небольших, внешне безобидных инструкций и внушили модели роль сотрудника легитимной компании в сфере кибербезопасности.

Таким образом Claude выполнял отдельные фрагменты атаки, не видя их общего вредоносного контекста.

Благодаря этому подходу ИИ самостоятельно:
🔅Проводил разведку систем целевых организаций
🔅Определял ценные базы данных
🔅Выявлял уязвимости и создавал эксплойты
🔅Собирал логины и пароли
🔅Формировал бэкдоры
🔅Сортировал похищенные данные по уровню ценности

Модель работала с колоссальной скоростью, делая тысячи запросов в секунду — темп, с которым человеческая команда не способна конкурировать.

🌀Этапы атаки
🔅Операторы определяли, какие компании или госучреждения нужно взломать, и настраивали атакующий фреймворк, в котором Claude должен был действовать практически автономно.
🔅Claude вводили в роль «специалиста по кибербезопасности», якобы выполняющего тестирование.
Через джейлбрейк-промпты задачи дробили на безвредные фрагменты, чтобы модель не распознала злонамеренность действий.
🔅Claude Code исследовал сети, выявлял ключевые сервисы и определял базы данных, представляющие наибольшую ценность.
🔅Модель создавала эксплойты, тестировала уязвимости, собирала учётные данные, получала привилегии и создавала бэкдоры.

В этот момент она уже фактически проводила полноценную операцию по проникновению.

🔅Claude скачивал конфиденциальную информацию, сортировал её по важности и автоматически формировал отчёты — подробные файлы для дальнейших операций злоумышленников.

🌀Кибератака охватила около 30 глобальных организаций, включая технологические компании, финансовые учреждения, химические предприятия и государственные структуры. В ряде случаев ИИ действительно получил доступ к закрытой информации.
При этом участие человека было минимальным: на одну серию взлома операторы принимали лишь 4–6 ключевых решений, тогда как 80–90% всей операции выполнял ИИ.

🌀После обнаружения подозрительной активности Anthropic оперативно начала расследование. В течение 10 дней компания: блокировала связанные аккаунты, уведомляла затронутые организации, передавала данные государственным структурам, анализировала собранные материалы с помощью собственной команды Threat Intelligence, активно используя Claude в роли инструмента защиты.

Anthropic

призывает индустрию усиливать кибербезопасность, обмениваться информацией об угрозах и применять

ИИ

в оборонительных целях — для автоматизации SOC-процессов, обнаружения угроз, анализа уязвимостей и реагирования на инциденты.

Читать полностью…

Kraken

Kraken — мощный инструмент на основе Python, разработанный для централизации и оптимизации различных задач подбора паролей. Kraken предоставляет специалистам по кибербезопасности набор инструментов для эффективного проведения атак методом подбора паролей по различным протоколам и сервисам.

Kraken предлагает ряд инструментов для брутфорса:
1️⃣Сетевые инструменты - FTP, Kubernetes, LDAP, SSH
2️⃣Инструменты веб-приложений - CPanel, Drupal, Joomla
3️⃣Инструменты поиска - Admin Panel Finder, Directory Finder, Subdomain Finder

💻Установка:

git clone https://github.com/jasonxtn/kraken.git

cd kraken

pip3 install -r requirements.txt

📌Использование:

python3 kraken.py

Читать полностью…

💻 OpenCTI

🔎 OpenCTI — это открытая платформа для управления и анализа информации о киберугрозах. Она помогает хранить, систематизировать, визуализировать и обмениваться данными о цифровых атаках, угрозах и злоумышленниках для повышения эффективности реагирования на инциденты.

🔗 OpenCTI интегрируется с другими инструментами безопасности, включая поддержку стандартов TAXII и STIX, что упрощает обмен актуальной информацией в экосистеме кибербезопасности.

Основные функции OpenCTI:
🔺 Централизованное хранение и управление данными о киберугрозах.
🔺 Анализ и визуализация связей между угрозами, атаками и группами злоумышленников.
🔺 Совместная работа и обмен знаниями в команде.
🔺 Интеграция с другими инструментами и стандартами киберразведки для автоматизации обнаружения и реагирования.

Архитектура и стек технологий:
🔺 Backend написан на Node.js и использует GraphQL API для взаимодействия и запросов.
🔺 Данные хранятся в графовой базе данных, обычно используется Elasticsearch и/или Redis для обеспечения быстрого поиска и кэширования.
🔺 Визуализация и пользовательский интерфейс построены на React, что обеспечивает удобную и интерактивную работу с данными.
🔺 Платформа поддерживает микросервисную архитектуру, что облегчает масштабирование и интеграцию с другими инструментами.

📍 Используете ли вы в своей работе OpenCTI и что можете о нем рассказать?

Читать полностью…

👩‍💻 Apple отозвала сертификаты у российских разработчиков DLP-систем

Apple лишила российских компаний, занимающихся разработкой DLP-решений (систем мониторинга и предотвращения утечек данных), корпоративных сертификатов, необходимых для подтверждения подлинности приложений на macOS.

🔹 Что это значит:
Без этих сертификатов разработчики больше не смогут официально распространять или обновлять свои программы — в том числе через App Store и корпоративные каналы установки.

🔹 Последствия:
– Уже установленные версии продолжат работать,
– Но обновления, патчи и новые функции теперь недоступны,
– Это повышает риск уязвимостей и нарушает целостность систем защиты.

🔹 Эксперты считают, что это может быть как «очередным витком ограничений против российских компаний», так и результатом обычного бюрократического процесса.

Среди затронутых вендоров называют «Серчинформ», InfoWatch, Solar Security и «Гарду».
В Solar заявили, что продолжат обеспечивать защиту пользователей, несмотря на ограничения.

Источник: «Forbes»

Читать полностью…

OpenSCAP — это набор открытых инструментов и библиотек, реализующих стандарт SCAP (Security Content Automation Protocol). SCAP — это спецификация, разработанная Национальным институтом стандартов и технологий США (NIST), которая объединяет множество компонентов (языки проверки, перечни уязвимостей, репозитории и т.д.) в единый комплекс для автоматизации управления безопасностью.

Архитектура OpenSCAP построена вокруг нескольких ключевых компонентов:
1⃣Библиотека libopenscap - ядро системы, написанное на C. Обеспечивает парсинг SCAP-контента, выполнение проверок и генерацию отчетов в соответствии со стандартами.
2⃣Утилиты командной строки:
🔹oscap - основной инструмент для сканирования системы, валидации контента и генерации отчетов (HTML, PDF, CSV)
🔹oscap-ssh - инструмент для удаленного сканирования через SSH
3⃣Содержит политики безопасности и правила проверки:
🔹Benchmark - базовые стандарты (CIS, STIG)
🔹Профили - специализированные подмножества эталонов
🔹XCCDF - язык описания чек-листов
🔹OVAL - язык определения логики проверок
🔹CPE - стандарт идентификации ПО и оборудования

➡️Установка

sudo apt install openscap-scanner

Проверка

oscap -h

‼️Типичный рабочий процесс включает несколько шагов.
1. Проверка установленных SCAP-файлов

find /usr/share -name "*.xml" | grep scap | grep -i debian

2. Запуск сканирования с тестовым файлом

sudo oscap xccdf eval \
    --profile test_profile \
    --results results.xml \
    --report report.html \
    test.xml

Здесь:
--profile test_profile — указывает профиль для проверки.
--results results.xml — файл с детальными результатами.
--report report.html — удобный для чтения HTML-отчет.

3. Проверка результатов

ls -la results.xml report.html

4. Генерация исправлений

sudo oscap xccdf generate fix \
    --output fix.sh \
    results.xml

Читать полностью…

Как злоумышленники используют инструменты искусственного интеллекта❓ На основе недавнего анализа широкого спектра угроз специалисты по анализу угроз из Google (GTIG) выявили изменения, произошедшие за последний год: злоумышленники больше не используют искусственный интеллект только для повышения эффективности, они внедряют новые вредоносные программы с поддержкой ИИ в активные операции.

🙈Ключевые выводы
1️⃣Первое использование ИИ «Just-in-Time» в ВПО: GTIG впервые выявила семейства вредоносного ПО, такие как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) во время исполнения. Эти инструменты динамически генерируют вредоносные скрипты, обфусцируют собственный код, чтобы избежать обнаружения, и привлекают модели ИИ для создания вредоносных функций по требованию, вместо того чтобы жёстко программировать их в самом ПО. Хотя это явление ещё на ранней стадии, оно представляет собой значительный шаг к более автономному и адаптивному вредоносному ПО.

2️⃣Социальная инженерия для обхода защит: Злоумышленники всё чаще используют в запросах предлоги, похожие на приёмы социальной инженерии, чтобы обойти защитные барьеры ИИ. Наблюдались случаи, когда злоумышленники выдавали себя за студентов на CTF-соревнованиях или за исследователей по кибербезопасности, чтобы убедить Gemini предоставить информацию, которая в противном случае была бы заблокирована, что облегчало разработку вредоносных инструментов.

3️⃣Зрелый подпольный рынок преступных AI-инструментов: Подпольный рынок нелегитимных AI-инструментов в 2025 году стал более зрелым. Выявлены многочисленные предложения многофункциональных инструментов, предназначенных для фишинга, разработки вредоносного ПО и поиска уязвимостей, что снижает барьер входа для менее опытных атакующих.

4️⃣Дальнейшее расширение всего жизненного цикла атаки: Спонсируемые государствами APT, в том числе из Северной Кореи, Ирана и КНР, продолжают злоупотреблять Gemini для усиления всех этапов своих операций — от разведки и создания фишинговых приманок до разработки систем командования и управления и эксфильтрации данных.

👻ВПО, написанные с использованием ИИ
🔴FRUITSHELL - публично доступный реверсшелл, написанный на PowerShell, устанавливающий удалённое соединение с настроенным С2 сервером и позволяющий злоумышленнику выполнять произвольные команды во взломанной системе. Семейство кодов содержит жёстко запрограммированные подсказки, предназначенные для обхода обнаружения или анализа системами безопасности на базе LLM.

🔴PROMPTFLUX - Dropper, написанный на VBScript, расшифровывает и запускает встроенный установщик-приманку, чтобы замаскировать свою активность. Его основная функция — регенерация, которую он выполняет с помощью Google Gemini API. Он запрашивает у языковой модели переписать его собственный исходный код и сохраняет новую, запутанную версию в папке автозагрузки для обеспечения постоянства. PROMPTFLUX также пытается распространяться, копируя себя на съемные диски и подключенные сетевые ресурсы.

🔴PROMPTLOCK - кроссплатформенная программа-вымогатель, написанная на Go, представляет собой экспериментальный образец. Она использует большую языковую модель для динамической генерации и выполнения вредоносных скриптов на языке Lua во время работы. Её возможности включают в себя разведку файловой системы, кражу данных и шифрование файлов в системах Windows и Linux.

🔴PROMPTSTEAL - программа для сбора данных, написанная на Python и упакованная с помощью PyInstaller. Она содержит скомпилированный скрипт, который использует API Hugging Face для запроса к языковой модели Qwen2.5-Coder-32B-Instruct для генерации однострочных команд Windows. Подсказки, используемые для генерации команд, указывают на то, что программа предназначена для сбора системной информации и документов в определённых папках. Затем PROMPTSTEAL выполняет команды и отправляет собранные данные на сервер, контролируемый злоумышленником.

Читать полностью…

🚩 Киберколизей IV — международные CTF-соревнования по кибербезопасности!

⏰ Старт: 13 декабря в 10:00. Продолжительность 24 часа.

👥 Формат: Jeopardy (Classic) - участвуй в команде до 5 человек.

🏆 Призы для команд-победителей:
1 место — 45.000 руб
2 место — 30.000 руб
3 место — 15.000 руб
4-10 места — электронный сертификат участника, подписка Plus на HackerLab

Также первая тройка победителей получит 50% скидку на любой курс Академии Кодебай, месяц подписки PRO на HackerLab, а так же промокоды на скидку в 50% на годовую подписку.

И это еще не всё, будут дополнительные призы от наших партнёров!

➡️ Подробности и регистрация команд: https://cybercoliseum.hackerlab.pro/

Принять участие могут все желающие, независимо от уровня подготовки. Пригласите друзей и вместе завоюйте победу!

Читать полностью…

🐝 TheHive

TheHive — платформа с открытым исходным кодом для управления инцидентами безопасности (Security Incident Response Platform, SIRP), предназначенная для облегчения работы команд реагирования на инциденты (CSIRT, SOC). Она масштабируемая, ориентирована на совместную работу и помогает централизованно регистрировать, анализировать, распределять задачи и эффективно расследовать инциденты безопасности.

Основные особенности TheHive:
🔺 Централизованное ведение инцидентов, включая классификацию (низкий, средний, высокий) и использование протокола TLP для управления конфиденциальностью информации.
🔺 Создание и управление задачами внутри каждого инцидента, что обеспечивает структурированный подход к реагированию.
🔺 Интеграция с такими инструментами, как Cortex для автоматизированного анализа и обогащения данных, а также с MISP для обмена индикаторами компрометации и изучения угроз.
🔺 Пользовательские информационные панели для мониторинга текущих инцидентов и выявления трендов в режиме реального времени.
🔺 Поддержка совместной работы команды в режиме реального времени, что помогает оперативно обмениваться информацией и координировать действия.
🔺 Наличие RESTful API для интеграции с другими системами безопасности, SIEM и платформами обработки тикетов.
🔺 Система управления доступом на основе ролей и полный аудит всех действий для соответствия нормативным требованиям и последующего анализа.

🌐 Благодаря открытому коду и активному сообществу, TheHive легко расширяется и кастомизируется под нужды конкретной организации.

📔 Также у TheHive имеются готовые плейбуки для реагирования на инциденте, а также их можно создавать самостоятельно, используя определенные шаблоны. Ниже представлен пример созданного плейбука для реагирования на активность Ransomware:

name: Ransomware_Containment
trigger: ransomware_behavior_detected
conditions:
  - multiple_file_modifications
  - encryption_patterns_detected
immediate_actions:
  - isolate_host:  # изоляция зараженной машины
  - kill_process:  # завершение подозрительных процессов
  - snapshot_vm:  # создание снимка виртуальной машины
  - collect_forensics:  # сбор артефактов для анализа

Читать полностью…

Кто идёт на Kuber Conf by AOT 4 декабря? Разыгрываем 2 билета!

👩‍💻 Kuber Conf by AOT — первая комьюнити-конференция по K8s в России, которая пройдет 4 декабря в Москве. Никакой воды — только хардкор и кейсы от команд Avito, Т-Банк, Vitastor, Beget, VK Cloud, Yandex Cloud, Selectel и других.

В программе:
🔵Изменения в Cluster API без пересоздания машин
🔵Как строили платформу деплоя в Т-Банке
🔵Практический deep-dive в CNI chaining
🔵Безопасный Gatekeeper в архитектуре k8s-in-k8s
🔵Поддержка Kubernetes в Vitastor
🔵Karpenter-провайдер своими руками — что внутри

Это отличный шанс:
— прокачать продовые навыки по K8s
— подсмотреть идеи для своей платформы
— пообщаться с инженерами из крупных команд

❕ Розыгрыш 2 билетов
24 ноября в 12:00 выберем 2 самых правильных и подробных ответа

Чтобы участвовать, ответь на вопрос в комментариях:
В прод-кластере Kubernetes все Pod’ы по умолчанию получают service account, который имеет права get/list на все Secret в namespace. Почему это серьёзный риск для безопасности и как минимум двумя разными стандартными механизмами Kubernetes можно его уменьшить/устранить?

Если Kubernetes — часть твоей работы или инфраструктуры, мимо проходить нельзя!

➡️ Программа и билеты

Читать полностью…

Исследователи Oligo Security обнаружили целую цепочку опасных RCE-уязвимостей, объединив их под названием ShadowMQ. Под удар попали важнейшие движки инференса, которые используют крупные компании, облачные провайдеры и исследовательские центры.
Суть проблемы в том, что многие ИИ-сервера принимают сообщения через ZeroMQ и сразу же десериализуют их с помощью небезопасного Python pickle. Если злоумышленник может достучаться до такого сокета, он получает возможность выполнить любой код на сервере.

🕖 История началась с того, что исследователи обнаружили уязвимость в Meta* Llama Stack — одном из наиболее популярных стеков для развёртывания LLM в продакшене. Во время анализа они заметили, что опасный вызов recv_pyobj() из ZeroMQ, который автоматически десериализует входящие данные через Python pickle, используется без каких-либо проверок и аутентификации.

Это уже само по себе серьёзная проблема: любой полученный объект может превращаться в исполняемый код.

Однако самое любопытное началось позже. Когда специалисты сравнили найденный у Meta* код с реализациями других инференс-серверов, стало очевидно, что дело не в случайном совпадении. Конкретные файлы и целые модули практически один в один повторяли структуру и логику уязвимого фрагмента. Линии, функции, вызовы — всё совпадало почти побитно.
Так выяснилось, что при создании инфраструктуры многие разработчики ориентировались на открытые примеры и использовали готовые шаблоны ZeroMQ для коммуникации между процессами.

И вместо того, чтобы адаптировать их или усилить безопасность, эти примеры переносились напрямую — вместе с уязвимостью.

В результате ShadowMQ «перекочевал» в другие крупные проекты:
🔅NVIDIA TensorRT-LLM — высокопроизводительная платформа инференса на GPU
🔅vLLM — один из самых популярных серверов LLM благодаря скорости и оптимизации памяти
🔅SGLang — крайне востребованный фреймворк, который используют крупнейшие техкомпании и облачные провайдеры
🔅Modular Max Server — часть новой многообещающей экосистемы Modular
🔅Microsoft Sarathi-Serve — серверная инфраструктура Microsoft для LLM

Распространение оказалось настолько широким, что исследователи сравнили его с

вирусом

, который «передаётся» через копипасту исходников. Не через зависимости, не через сторонние библиотеки, а через прямое использование одного и того же шаблонного кода, который считался безопасным, но оказался критически уязвимым.

⚡️ Почему это так опасно
Инференс-сервера — это не «второстепенные компоненты», а ядро современной AI-инфраструктуры:
🔅Они управляют вычислениями на мощных GPU-кластерах
🔅Обслуживают высоконагруженные модели
🔅Работают внутри корпоративных и облачных систем
🔅Обрабатывают пользовательские данные и результаты моделей

RCE

в такой точке превращается в серьёзную угрозу: доступ к модели, краже данных, внедрение вредоносных нагрузок, полный захват хоста. Дополнительный риск — десятки и сотни

ZMQ-сокетов

, обнаруженных открытыми в интернет без аутентификации.

🔔 Что уже исправлено, а что нет
Несколько проектов выпустили патчи достаточно быстро: Meta*, NVIDIA, vLLM и Modular закрыли уязвимости.
Но:
🔅Microsoft Sarathi-Serve до сих пор без исправления
🔅У SGLang фикс признан частичным, уязвимость остаётся в актуальной версии
И это особенно тревожно, учитывая, что SGLang используют компании масштаба AMD, NVIDIA, Intel, LinkedIn, Oracle Cloud, а также крупнейшие облака — Google Cloud, AWS и Azure.

➡️ Что делать организациям
Чтобы исключить риск эксплуатации ShadowMQ, специалисты рекомендуют: обновить затронутые компоненты до версий с патчами, закрыть ZMQ-сокеты от внешнего доступа и ограничить их внутренними сетями, включить аутентификацию сообщений, отказаться от использования pickle для обработки данных из сети.

*Meta признана экстремисской организацией на територии Российской Федерации

Читать полностью…

🟧Cutter

Бесплатная настраиваемая платформа для реверс-инжиниринга с открытым исходным кодом. Создана реверс-инженерами для реверс-инженеров. Позволяет анализировать двоичные файлы, создавая высокоуровневое представление машинного кода, содержащегося в них, то есть восстанавливает исходный код, на основе которого был скомпилирован двоичный файл.

🟧Бинарные файлы Cutter для всех основных платформ (Linux, macOS, Windows) можно загрузить с GitHub Releases. Также можно собрать Cutter из исходного кода:

git clone --recurse-submodules https://github.com/rizinorg/cutter
cd cutter
sudo apt install build-essential cmake meson pkgconf libzip-dev zlib1g-dev qt6-base-dev qt6-tools-dev qt6-tools-dev-tools libqt6svg6-dev libqt6core5compat6-dev libqt6svgwidgets6 qt6-l10n-tools
mkdir build && cd build
cmake ..
cmake --build .

🟧Cutter поддерживает плагины как на Python, так и на C++. C официальными плагинами и плагинами сообщества можно ознакомиться здесь. Плагины загружаются из каталога пользовательского уровня, зависящего от операционной системы. Чтобы узнать расположение этого каталога и список загруженных в данный момент плагинов, перейдите в меню Edit -> Preferences -> Plugins. В каталоге плагинов есть два подкаталога: native и python для плагинов на C++ и Python соответственно, которые будут автоматически созданы Cutter.

🟧Параметры командной строки
Инструмент поддерживает как графический интерфейс, так и работу из командной строки.

Cutter [options] [<filename> | –project <project>]

<filename> - Имя файла для открытия. Если не указано, будет показано диалоговое окно выбора файла.

Ниже перечислены некоторые возможные флаги:
🟧-A, --analysis <level> - при открытии файла автоматически выполняется анализ на заданном уровне (1 из 3 возможных);
🟧-a, --arch <arch> - конкретное название архитектуры;
🟧-b, --bits <bits> - установка определённых бит архитектуры;
🟧-c, --cpu <cpu> - установка конкретного процессора;
🟧-e, --endian <big|little> - устанавка порядка байтов (прямой или обратный);
🟧-F, --format <name> - принудительное использование определенного формата файла;
🟧-w, --writemode - открытие файла в режиме записи, а не в режиме только для чтения, который используется по умолчанию;
🟧-P, --phymode - отключение виртуальной адресации;
🟧--no-plugins - запуск со всеми отключенными плагинами.

Читать полностью…

🪲GEOINT по звуку от жука и ещё 15 инструментов OSINT, которые мы заслужили.

Когда классические методы OSINT не срабатывают, на помощь приходят нестандартные подходы.

В новой статье разбираем неочевидные, но рабочие инструменты, которые меняют представление о расследованиях:
🔅Определяем местоположение по звуку насекомых
🔅Анализируем инфраструктуру через мусорные баки
🔅Рассчитываем возможные маршруты перемещения
🔅Изучаем базы НЛО, тоннелей и общественных туалетов
🔅Работаем с реестрами собак, могил и последних слов

Это те самые кейсы, когда неожиданные источники дают реальные результаты.

🌀В статье делимся подробным обзором и прямыми ссылками на все инструменты.

Читать полностью…

Новый эксплойт «Brash» мгновенно выводит из строя браузеры Chromium с помощью одного вредоносного URL-адреса.

Эксплуатация серьезной уязвимости, обнаруженной в движке рендеринга Blink в Chromium, может привести к сбою многих браузеров на базе Chromium в течение нескольких секунд. Исследователь по безопасности Хосе Пино, раскрывший подробности уязвимости, дал ей кодовое название Brash.

В основе уязвимости Brash лежит отсутствие ограничения частоты обновлений API «document.title», что, в свою очередь, позволяет бомбардировать сайт миллионами мутаций [объектной модели документа] в секунду, вызывая сбой в работе веб-браузера, а также снижая производительность системы из-за чрезмерной нагрузки на процессор.

➖Атака проводится в три этапа:
1️⃣Фаза генерации хеша или подготовки, на которой злоумышленник предварительно загружает в память 100 уникальных шестнадцатеричных строк по 512 символов, которые служат затравкой для изменения заголовков вкладок браузера за интервал времени, чтобы максимизировать эффективность атаки.
2️⃣Фаза пакетного внедрения, на которой выполняются пакеты из трёх последовательных обновлений document.title, внедряя примерно 24 миллиона обновлений в секунду в конфигурации по умолчанию (пакет: 8000, интервал: 1 мс).
3️⃣Фаза насыщения потока пользовательского интерфейса, на которой непрерывный поток обновлений перегружает основной поток браузера, что приводит к его зависанию и требует принудительного завершения.

Уязвимость затрагивает Google Chrome и все веб-браузеры на базе Chromium, включая Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, OpenAI ChatGPT Atlas и Perplexity Comet. Mozilla Firefox и Apple Safari, как и все сторонние браузеры для iOS, основанные на WebKit, так же имеют эту уязвимость.

Читать полностью…

ScanKDea

ScanKDea — это усовершенствованный сканер безопасности на Python, разработанный для профессионалов кибербезопасности и этических аудиторий. Имеются возможности по поиску дверей, обнаружению услуг, снятию отпечатков пальцев операционных систем и анализу базовых уязвимостей.

📕Характиристики:
1️⃣Быстрое и эффективное сканирование портов с использованием различных методов: TCP, SYN, UDP, TCP+UDP.
2️⃣Определение операционной системы на основе сигнатур
3️⃣Сканирование диапазона IP-адресов (CIDR) и списка портов
4️⃣Подробная статистика сканирования
5️⃣Многопоточность для быстрого сканирования

📌Установка:

git clone https://github.com/kdea1/ScanKDea.git

cd scankdea

🚀Запуск:
Сканирование одной цели:

python3 scankdea.py 192.168.1.1

Сканирование с определенными портами:

python3 scankdea.py example.com -p 80,443,8080

Сканирование диапазона портов с большим количеством потоков:

python3 scankdea.py 192.168.1.0/24 -p 1-1024 -t 200

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Какой-то ZIP
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠OSINT - Потерянный кошелек

Приятного хакинга!

Читать полностью…

↗️ Начало карьеры в кибербезопасности: как преодолеть страх перед собеседованием

Многие, кто только задумываются о старте карьеры в кибербезопасности, сталкиваются с ощущением, что отрасль недоступна новичкам. Кажется, что собеседования требуют огромного багажа знаний, что все кандидаты - гении, а любое промедление с ответом равнозначно провалу.

Эти опасения естественны, но важно понимать: это психологический барьер, а не объективная реальность.

В статье:
🔵Чего на самом деле ждут работодатели
🔵Реальные примеры вопросов
🔵Психологические барьеры и как с ними справляться
🔵Почему начинать реально

➡️ Читать статью

Читать полностью…

Исследователи Сингапурского технологического университета продемонстрировали атаку SNI5GECT, работающую в 5G-сетях.

🛜Как работает атака?
📌Данная атака перехватывает сообщения, передаваемые в рамках предварительной аутентификации в сетях 5G между абонентом и базовой станцией, в режиме реального времени и внедряет целевую полезную нагрузку для переключения жертвы на более старый стандарт 4G.

💬В отличие от использования мошеннической базовой станции, которая ограничивает эффективность многих атак на сети 5G, SNI5GECT выступает в качестве третьей стороны в процессе передачи данных, незаметно перехватывает сообщения и отслеживает состояние протокола, расшифровывая перехваченные сообщения во время процедуры подключения пользовательского оборудования. Затем информация о состоянии используется для внедрения полезной нагрузки целевой атаки при передаче данных по нисходящей линии связи.

Оценка специалистов показывает, что атака работает внедряет с вероятностью успеха 70–90 % на расстоянии до 20 метров между злоумышленником и жертвой.

🔒Текущие ограничения
Массовость такой атаки вряд ли возможна, так как требуется два необходимых условия, а именно расстояние между злоумышленником и жертвой не более 20 метров и начало установки соединения с базовой станцией вследствие перемещения жертвы, так как атака работает до установки соединения.

🛡️Меры защиты
Гарантированной защиты от 5G атак на данный момент не существует, но следующие действия помогут снизить риски:
🟠регулярное обновление прошивки телефона;
🟠заранее включение на телефоне авиарежима перед конфиденциальными встречами;
🟠отключить на телефоне старые стандарты связи (2G/3G).

Читать полностью…

Happy Hunter

Happy Hunter — это скрипт на языке Python, который автоматизирует обнаружение и перечисление баз данных, уязвимых для SQL-инъекций, с помощью sqlmap, облегчая пентестинг и аудит безопасности.

📕Характеристики:
1️⃣Автоматически определяет СУБД целевого URL.
2️⃣Перечисляет доступные базы данных и таблицы.
3️⃣Простота использования с минимальным количеством аргументов.
4️⃣Вывод в консоли с цветовой маркировкой для удобства чтения.
5️⃣Основан на мощности sqlmap.

💻Установка:

git clone https://github.com/HackingTeamOficial/HappyHunter.git

cd HappyHunter

📌Запуск:

python3 HappyHunter.py

Читать полностью…

🧠 На HackerLab появился Alex - персональный ИИ-помощник, который будет сопровождать тебя во время обучения!

Он поможет разобраться в теории, объяснит сложные темы простыми словами и ответит на вопросы по материалам курса. Alex не решит задания за тебя, но сделает обучение продуктивнее и понятнее.

Всё работает прямо в интерфейсе курса: задаешь вопрос по материалу и сразу получаешь пояснение.

Alex уже доступен пользователям подписки PRO на курсах «Введение в ИБ» и «SQL Injection Master».

➡️ Попробуй пообщаться с ним прямо сейчас

Читать полностью…