32261
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Shedding Zmiy использует руткит Puma для атак на российские организации
Аналитики Solar 4RAYS ГК «Солар» предупредили, что одна из самых активных проукраинских группировок последних лет, Shedding Zmiy, стала использовать в атаках руткит Puma, целью которого является перехват управления атакованной системой. За счет сложных механизмов заражения, присутствие Puma практически невозможно обнаружить.
https://xakep.ru/2025/03/28/shedding-zmiy-puma/
Завершается прием предзаказов на третий бумажный спецвыпуск «Хакера»
1 апреля завершится прием предварительных заказов на третий бумажный спецвыпуск «Хакера», в который войдут лучшие статьи 2019–2021 годов с уникальными комментариями авторов и редакторов. Успей оформить предзаказ по минимальной цене, близкой к себестоимости!
https://xakep.ru/2025/03/28/special3-preorders-over/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Роскомнадзор предлагает усовершенствовать законодательство для борьбы с DDoS-атаками
После мощной DDoS-атаки на интернет-провайдера Lovit, произошедшей в конце прошлой недели, в Роскомнадзоре сообщили, что необходимо закрепить требования к устойчивости и живучести сетей связи, чтобы операторы связи и провайдеры были обязаны обеспечивать не только их защиту, но и возможность быстрого восстановления после атак.
https://xakep.ru/2025/03/27/lovit-ddos-rkn/
Вредоносные пакеты из npm заражают локальные пакеты бэкдорами
В npm обнаружены два вредоносных пакета, которые скрытно модифицируют легитимные, локально установленные пакеты, чтобы внедрить в них устойчивый реверс-шелл бэкдор. В результате, даже если жертва удалит сами вредоносные пакеты, бэкдор останется в системе.
https://xakep.ru/2025/03/27/npm-backdoor/
СМИ: инфраструктура «Лукойл» пострадала от атаки шифровальщика
Вчера, 26 марта 2025 года, компания «Лукойл» подверглась хакерской атаке, из-за которой пользователи сообщали о проблемах с безналичными расчетами за топливо. По информации СМИ, компания пострадала от атаки шифровальщика, но критическая инфраструктура не затронута.
https://xakep.ru/2025/03/27/lucoil-attack/
Основатель Have I Been Pwned попался на удочку фишеров, и они взломали его Mailchimp
Известный ИБ-эксперт и основатель агрегатора утечек Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что стал жертвой фишинговой атаки. Злоумышленники получили доступ к списку рассылки в Mailchimp и данным 16 000 человек.
https://xakep.ru/2025/03/26/troy-hunt-phishing-attack/
Blizzard меняет правила для хардкорного режима World of Warcraft после мощных DDoS-атак
В World of Warcraft Classic есть хардкорный режим, где смерть персонажа является окончательной. Несколько лет компания Blizzard не допускала никаких апелляций и откатов в случае смерти в хардкорном режиме, даже если гибель персонажа была результатом отключения сервера или геймплейного бага. Теперь Blizzard изменит эту политику из-за череды «беспрецедентных DDoS-атак».
https://xakep.ru/2025/03/26/wow-hardcore-ddos/
В Chrome исправили 0-day уязвимость, которая использовалась в атаках на российские организации
Разработчики Google Chrome исправили уязвимость нулевого дня (CVE-2025-2783), которая позволяла осуществить побег из песочницы браузера. Проблему выявили специалисты «Лаборатории Касперского», которые пишут, что уязвимость была связана с операцией «Форумный тролль», APT-атакой, использовавшей цепочку эксплоитов нулевого дня.
https://xakep.ru/2025/03/26/operation-forumtroll/
Два расширения VSCode развертывали в системах жертв вымогательскую малварь
В VSCode Marketplace были обнаружены сразу два вредоносных расширения, которые скрывали в себе вымогательское ПО. Одно из них появилось в магазине Microsoft еще в октябре прошлого года и долго оставалось незамеченным.
https://xakep.ru/2025/03/25/vscode-ransomware/
Маршрутизаторы DrayTek по всему миру уходят в бесконечную перезагрузку
Многие интернет-провайдеры по всему миру оповестили своих клиентов о сбоях, начавшихся в минувшие выходные и вызванных проблемами в работе маршрутизаторов DrayTek. Устройства разных серий периодически теряют связь и уходят в цикличную перезагрузку.
https://xakep.ru/2025/03/25/draytek-reboots/
⚡️ Ток-шоу "Безопасная среда" в новом формате: разбор инцидента вместе с CISO крупных компаний!
🗓 26 марта в 12:00 по мск
Запускаем ток-шоу "Безопасная среда" в обновленном формате. Вместе с экспертами разберем реальный киберинцидент из практики "Кибериспытаний" — проекта фонда "Сайберус".
Кейс: реализация НС (полная имитация взлома)
Цель: Остановка производства — ключевой ERP системы.
СЗИ: Исключительно антивирусное ПО.
Вводные:
— Компания с полным циклом производства, дистрибьюции и услуг, связанных с этим производством
— Имеет разветвленную инфраструктуру, связанную с большим физическим присутствием
— Обрабатывает ПДн и имеет в штате несколько сотен сотрудников
— Собственная ИБ-команда отсутствует
— Много лет на рынке
RCE-уязвимость в Veeam RCE позволяет взламывать серверы резервного копирования
Разработчики Veeam патчат критическую уязвимость удаленного выполнения кода (CVE-2025-23120) в Backup & Replication. Проблема затрагивает domain-joined установки.
https://xakep.ru/2025/03/24/backup-replication-rce/
Власти США сняли санкции с криптомиксера Tornado Cash
Министерство финансов США объявило о снятии санкций с децентрализованного криптовалютного миксера Tornado Cash, который власти ранее связывали с северокорейскими хакерами из группировки Lazarus и отмыванием сотен миллионов долларов.
https://xakep.ru/2025/03/24/tornado-cash-sanctions/
Интернет-провайдер Lovit подвергся мощной DDoS-атаке
В минувшие выходные жители домов крупнейшего российского застройщика «ПИК» в Москве и Санкт-Петербурге остались без домашнего интернета. Причиной стала масштабная DDoS-атака, направленная на провайдера Lovit, который обслуживает эти дома.
https://xakep.ru/2025/03/24/nelovit/
СМИ: Роскомнадзор потребовал удалить из Google Play 47 VPN-приложений
Издание «Русбейс» сообщает, что за последнюю неделю Роскомнадзор направил компании Google запросы на удаление десятков VPN-сервисов из магазина Google Play. По данным издания, некоторые из этих VPN используют инфраструктуру Cloudflare.
https://xakep.ru/2025/03/21/rkn-google-play/
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей
ИБ-эксперты сообщили о новой уязвимости нулевого дня в Windows, которая позволяет удаленным злоумышленникам похищать учетные данные NTLM, обманом заставляя жертв просматривать вредоносные файлы в проводнике (Windows Explorer).
https://xakep.ru/2025/03/28/windows-ntlm-0day/
В CrushFTP исправили критическую уязвимость неавторизованного доступа
Разработчики CrushFTP предупреждают клиентов о критической уязвимости неавторизованного доступа к порту HTTP(S) и призывают немедленно установить исправления на серверы.
https://xakep.ru/2025/03/27/crushftp-critical-bug/
Одной кнопки хватит всем! Делаем простейшие устройства на ESP32 и Raspberry Pi
Не так давно для одного из проектов мне понадобилась Большая Красивая Кнопка (БКК). Проект я благополучно реализовал, но с кнопкой можно сделать еще массу всего интересного. Сегодня на ее примере я покажу тебе, как мастерить свои девайсы на Arduino и Raspberry Pi, причем один из них мы подключим к умному дому.
https://xakep.ru/2025/03/27/esp32-raspberry-button/
Клиенты Oracle подтверждают, что их данные действительно украдены
Хотя компания Oracle отрицает факт взлома федеративных SSO-логин-серверов Oracle Cloud и кражи данных 6 млн клиентов, СМИ сообщают, что в нескольких компаниях уже подтвердили подлинность образцов данных, предоставленных злоумышленником.
https://xakep.ru/2025/03/27/oracle-leak/
Игроки Counter-Strike 2 становятся мишенями для атак типа browser-in-the-browser
Специалисты Silent Push заметили новую фишинговую кампанию, направленную на игроков Counter-Strike 2. Мошенники используют атаки browser-in-the-browser, которые отображают реалистично выглядящее окно, имитирующее страницу входа в Steam.
https://xakep.ru/2025/03/26/new-browser-in-the-browser-campaign/
I2P в 2025-ом. Изучаем возможности и настраиваем скрытую сеть #статьи #подписчикам
I2P — это не просто «глубинный интернет», это полноценный андеграунд для тех, кто желает избежать слежки, предлагающий анонимность без компромиссов. В этой статье мы разберем, что творится сегодня в этой сети, как ее ломают и стоит ли нырять в эту кроличью нору. Готовь терминал — будет жарко!
https://xakep.ru/2025/03/26/i2p-2025/
Cloudflare блокирует весь незашифрованный трафик к своим API
Компания Cloudflare объявила, что теперь принимает только защищенные HTTPS-соединения к api.cloudflare.com, а все HTTP-порты будут закрыты.
https://xakep.ru/2025/03/26/cloudflare-http/
Атака на популярный обработчик GitHub Actions привела к раскрытию секретов 218 репозиториев
Специалисты пришли к выводу, что каскадная атака на цепочку поставок в GitHub Actions, связанная со взломом tj-actions/changed-files и reviewdog/action-setup@v1, затронула лишь 218 репозиториев из 23 000, использующих tj-actions/changed-files. При этом основной целью злоумышленников эксперты называют криптобиржу Coinbase.
https://xakep.ru/2025/03/25/github-actions-coinbase/
Cloudflare запустила бесконечный лабиринт для ИИ-ботов
На прошлой неделе компания Cloudflare анонсировала новую функцию под названием «ИИ лабиринт» (AI Labyrinth), которая направлена на борьбу с несанкционированным сбором данных и предоставление ботам фальшивого ИИ-контента. Инструмент призван помешать ИИ-компаниям, краулеры которых без разрешения посещают сайты и собирают данные для обучения больших языковых моделей.
https://xakep.ru/2025/03/25/cloudflare-ai-labyrinth/
CyberNews: утечка Keenetic раскрыла более миллиона записей
Анонимный источник передал изданию CyberNews образцы данных, которые утекли у компании Keenetic еще в 2023 году. Журналисты подтвердили, что утечка включает в себя все: от паролей для Wi-Fi, до конфигураций маршрутизаторов и подробных логов.
https://xakep.ru/2025/03/25/keenetic-leak-details/
Российский брокер уязвимостей предлагает до 4 млн долларов за zero-click эксплоиты для Telegram
Компания Operation Zero, которая позиционирует себя как российская платформа, занимающаяся приобретением и продажей 0-day эксплоитов для российского правительства и местных компаний, объявила, что ищет эксплоиты для мессенджера Telegram и готова предложить за них до 4 млн долларов США.
https://xakep.ru/2025/03/24/operation-zero-telegram/
HTB Alert. Эксплуатируем XSS и LFI для получения доступа на сервер
Сегодня я покажу типичный случай эксплуатации двух распространенных веб‑уязвимостей — XSS (межсайтовый скриптинг) и LFI (локальное включение файлов). Примером нам послужит уязвимая форма обработки файлов в формате Markdown, а затем получим исходные коды мониторинга и сделаем себе веб‑шелл в привилегированном контексте.
https://xakep.ru/2025/03/24/htb-alert/
Хакеры заявляют, что украли у Oracle 6 млн записей. В компании отрицают взлом
Хакеры утверждают, что похитили 6 млн записей с федеративных SSO-логин-серверов Oracle Cloud. Представители компании отрицают факт взлома и заявили, что клиенты не пострадали.
https://xakep.ru/2025/03/24/oracle-cloud-sso-leak/
Хакеры․RU. Глава 0х14. Игра на опережение #подписчикам
Это двадцать первая глава приключенческо‑фантастической истории «Хакеры.RU», которая выходит в виде сериала по субботам специально для подписчиков «Хакера». Если ты еще не читаешь, начинай с первой главы!
https://xakep.ru/2025/03/22/hackers-story-14/
Компания Keenetic сообщила об утечке данных пользователей
Производитель сетевого оборудования, компания Keenetic, предупреждает пользователей, зарегистрировавшихся до 16 марта 2023 года, о несанкционированном доступе к БД своего мобильного приложения. Сообщается, что часть данных могла быть скомпрометирована.
https://xakep.ru/2025/03/21/keenetic-leak/