32261
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Новые уязвимости в OpenSSH могут привести к MiTM- и DoS-атакам
В OpenSSH исправили две уязвимости, эксплуатация которых может привести к атакам man-in-the-middle и отказу в обслуживании (DoS). Причем одна из этих проблем появилась в коде более 10 лет назад.
https://xakep.ru/2025/02/19/openssh-cves/
Малварь FinalDraft использует Outlook для сокрытия своих коммуникаций
Аналитики Elastic Security Labs рассказали о новой малвари FinalDraft, которая использует черновики писем в Outlook для маскировки своих C&C-коммуникаций.
https://xakep.ru/2025/02/17/finaldraft/
Relay again. Изучаем актуальные техники атак NTLM Relay через SCCM
Думаю, ты уже много раз слышал, что поддержку NTLM Relay в Windows вот‑вот отключат. Я тоже слышал это не раз, но сейчас начало 2025 года, и почти на каждом проекте я до сих пор встречаю NTLM Relay. Сегодня я расскажу про актуальные техники Relay-атак, связанные с SCCM, а также методы защиты от них.
https://xakep.ru/2025/02/14/relay-sccm/
Шесть уязвимостей исправили в российском менеджере паролей Passwork
Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям.
https://xakep.ru/2025/02/14/passwork-flaws/
Пышки и Telegram. Пишем клиент Telegram на PHP #статьи #подписчикам
Библиотека MadelineProto позволяет с легкостью написать собственный Telegram-клиент, который можно использовать по‑разному — от отправки сообщения всему контакт‑листу до взлома Telegram-аккаунтов. При этом библиотека не использует Bot API, что значительно упрощает разработку. В этой статье мы разберем базовые функции клиента: авторизацию, получение списка контактов, извлечение информации о пользователях и отправку им сообщений.
https://xakep.ru/2025/02/13/php-telegram/
2,8 млн IP-адресов используются для брутфорса сетевых устройств
The Shadowserver Foundation предупреждает о масштабной брутфорс-кампании, в которой задействованы почти 2,8 млн IP-адресов. Неизвестные злоумышленники стремятся подобрать учетные данные для широкого спектра сетевых девайсов, включая устройства Palo Alto Networks, Ivanti и SonicWall.
https://xakep.ru/2025/02/12/bruteforce-campaign/
PT DEPHAZE: запуск нового продукта для автопентеста
Когда: 27 февраля в 14:00
Positive Technologies запускает новый продукт для тестирования на проникновение в автоматическом режиме — PT Dephaze. Он основан на многолетнем опыте компании в проведении пентестов и знаниях о том, как защищаться от киберугроз.
PT Dephaze непрерывно находит недостатки безопасности инфраструктуры, используя популярный инструментарий, тактики и техники реальных APT-группировок до того, как злоумышленники реализуют недопустимые для бизнеса события.
Мы запустим атаку от PT Dephaze в прямом эфире, чтобы показать, почему он всегда достигает цели и получает привилегии в системе. А реальный белый хакер прокомментирует все действия продукта, и расскажет, как на его месте действовал бы человек.
Присоединяйтесь!
Зарегистрироваться
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
COM в ловушке. Атакуем Windows через объекты Trapped COM #статьи #переводы
COM-объекты в Windows могут застревать в неожиданных местах — и это не баг, а фича, которой можно воспользоваться. Через интерфейс IDispatch и библиотеки типов можно не просто управлять удаленными объектами, а внедрять код в защищенные процессы (PPL), обходя механизмы безопасности Microsoft. Последнее исследование Project Zero рассказывает, как это сделать.
https://xakep.ru/2025/02/11/trapped-com/
Более 3000 раскрытых ключей ASP.NET используются хакерами
Специалисты Microsoft предупредили, что в ходе атак с инъекцией кода через ViewState злоумышленники внедряют малварь и используют для этого статические ключи ASP.NET, найденные в интернете.
https://xakep.ru/2025/02/10/asp-net-attacks/
Хакеры․RU. Глава 0х0E. Следующий уровень #подписчикам
Это пятнадцатая глава приключенческо‑фантастической истории «Хакеры.RU», которая выходит в виде сериала по субботам специально для подписчиков «Хакера». Если ты еще не читаешь, начинай с первой главы!
https://xakep.ru/2025/02/08/hackers-story-0e/
Следующая глава — 15 февраля.
В рамках защиты от буткита BlackLotus Microsoft выпустила PowerShell-скрипт
Компания Microsoft продолжает бороться с UEFI-буткитом BlackLotus и выпустила PowerShell-скрипт, который поможет пользователям Windows обновить загрузочные носители, чтобы те использовали новый сертификат Windows UEFI CA 2023.
https://xakep.ru/2025/02/07/blacklotus-script/
Вредоносный Go-пакет оставался незамеченным три года
Исследователь обнаружил бэкдор, маскирующийся под легитимный Go-пакет, который используют тысячи организаций. Вредонос оставался незамеченным несколько лет и сохранился в кеше Go Module Mirror.
https://xakep.ru/2025/02/05/fake-boltdb/
🛡Ваш Python-код может быть надежным и безопасным!
На открытом уроке «Безопасная разработка Python» вы узнаете, как защитить свои проекты от уязвимостей и критических ошибок.
Что вы освоите:
— Как находить и устранять уязвимости в Python-коде.
— Как безопасно работать с зависимостями и окружением.
— Какие инструменты помогут вам писать надежный код.
Встречаемся 6 февраля в 20:00 мск. Урок проводится в преддверии старта курса «Внедрение и работа в DevSecOps», а участники получат скидку на обучение.
👉Узнайте, как защитить свои проекты, пока другие теряют данные и репутацию: https://otus.pw/MPJD/?erid=2SDnjdvKSgC
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Google: хакеры используют Gemini AI для своих атак
Аналитики Google Threat Intelligence Group (GTIG) сообщили, что более 57 «правительственных» хак-групп экспериментируют с использованием Gemini AI для повышения эффективности своих кампаний. Так, ИИ применяют для изучения целевой инфраструктуры и проведения разведывательных операций.
https://xakep.ru/2025/02/03/gemini-ai-abuse/
Операция Talent: закрыты хак-форумы Cracked и Nulled
Правоохранители из США, Италии, Испании, Франции, Греции, Австралии и Румынии провели совместную международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked[.]io, cracked[.]to, nulled [.]to, starkrdp[.]io, mysellix[.]io и sellix[.]io. Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов.
https://xakep.ru/2025/01/31/cracked-nulled-down/
Атаки на брандмауэры SonicWall начались сразу после появления PoC-эксплоита
Эксперты предупреждают, что злоумышленники уже атакуют уязвимость обхода аутентификации, затрагивающую брандмауэры SonicWall. Дело в том, что для этой проблемы недавно появился proof-of-concept эксплоит.
https://xakep.ru/2025/02/18/sonicwall-exploit/
Создатель BTC-e Александр Винник вернулся в Россию
В ответ на освобождение бывшего американского дипломата Марка Фогеля из российской тюрьмы, американские власти освободили одного из создателей и руководителя криптобиржи BTC-e Александра Винника.
https://xakep.ru/2025/02/14/vinnik-back-in-russia/
Атака whoAMI позволяла выполнить код в Amazon EC2
Специалисты DataDog рассказали об атаке типа name confusion, которая получила название whoAMI. Любой, кто публиковал образ Amazon Machine Image (AMI) с определенным именем, мог получить доступ к учетной записи Amazon Web Services.
https://xakep.ru/2025/02/14/whoami/
Valve удалила из Steam игру, содержавшую малварь
Компания Valve удалила из Steam игру PirateFi и уведомила пользователей о том, что та могла содержать вредоносное ПО. В своем сообщении Valve отметила, что пользователям, загрузившим игру, стоит «подумать о полном переформатировании операционной системы».
https://xakep.ru/2025/02/14/piratefi/
Закрученный Python. Используем instld, чтобы ставить пакеты на лету #статьи #подписчикам
Как думаешь, можно ли прямо в рантайме установить пакет Python и воспользоваться им? Меня этот вопрос заинтересовал, так как он потенциально связан с обходом детекта вредоносного кода. Как оказалось, можно! На основе своих экспериментов я создал инструмент instld, о котором сейчас расскажу.
https://xakep.ru/2025/02/12/python-instld/
Арестованы участники группировки 8Base, связанной с шифровальщиком Phobos
Министерство юстиции США предъявило обвинения двум россиянам, арестованным в Таиланде в ходе операции Phobos Aetor. Их связывают с вымогателем Phobos и участием в более чем 1000 вымогательских атак. Также правоохранители заявили о захвате инфраструктуры группировки 8Base.
https://xakep.ru/2025/02/12/8base-phobos-arrests/
Apple исправила 0-day уязвимость, использовавшуюся в «чрезвычайно сложных» атаках
Компания Apple выпустила экстренные патчи для исправления уязвимости нулевого дня, которая использовалась в таргетированных и «чрезвычайно сложных» атаках. В компании объяснили, что физическая атака позволяла отключить USB Restricted Mode на заблокированном устройстве.
https://xakep.ru/2025/02/11/usb-restricted-mode-bypass/
За один день группа TA558 разослала более 76 000 фишинговых писем
Аналитики компании FACCT обнаружили новую масштабную фишинговую атаку хак-группы ТА558. Всего за один день злоумышленники разослали фишинговые письма более чем 76 000 целей в 112 странах мира.
https://xakep.ru/2025/02/11/new-ta558-activity/
Приложение DeepSeek для iOS передает конфиденциальные данные без шифрования
Исследователи из компании NowSecure начали аудит мобильного приложения DeepSeek для iOS и обнаружили серьезные проблемы с безопасностью. Главная из них заключается в том, что приложение передает конфиденциальные данные без какого-либо шифрования, подвергая их риску перехвата и манипуляций.
https://xakep.ru/2025/02/10/deepseek-ios/
Доходы видеопиратов упали на 4,2%
Специалисты компании FACCT оценили объем рынка онлайн-пиратства в России в 2024 году в 36,4 млн долларов США (3,36 млрд рублей по среднему номинальному курсу ЦБ РФ за год). При этом доходы нелегальных распространителей видеоконтента упали на 4,2%. Аналитики связывают это с успешной блокировкой пиратских сайтов, удалением ссылок из поисковой выдачи и снижением количества трафика на такие ресурсы.
https://xakep.ru/2025/02/07/piracy-2024/
Множество мошеннических сайтов маскируется под DeepSeek
Исследователи предупреждают, что в сети появились сотни фальшивых сайтов, выдающих себя за DeepSeek. Злоумышленники используют такие ресурсы для фишинговых атак, кражи учетных данных, криптовалюты и так далее.
https://xakep.ru/2025/02/07/deepseek-fake/
22 новых семейства малвари для macOS появились за последний год
Известный специалист по безопасности macOS Патрик Уордл (Patrick Wardle) сообщил, что в 2024 году было обнаружено более 20 новых семейств малвари, ориентированных на macOS. В их числе: стилеры, вымогатели, бэкдоры и загрузчики.
https://xakep.ru/2025/02/05/mac-malware-2024/
Малварь в PyPI маскировалась под DeepSeek
Специалисты Positive Technologies обнаружили вредоносную кампанию в PyPI, паразитирующую на популярности DeepSeek. Атака была нацелена на разработчиков, ML-специалистов и обычных пользователей, которые хотели интегрировать DeepSeek в свои системы.
https://xakep.ru/2025/02/04/fake-deepseek/
Для борьбы с вредоносными обновлениями в PyPI появится система архивации
В Python Package Index (PyPI) появится система «Архивации проектов» (Project Archival), которая позволит архивировать проекты, предупреждая пользователей о том, что обновлений ожидать не стоит.
https://xakep.ru/2025/02/03/project-archival/
Syncjacking использует расширения Chrome для захвата устройств
Новая атака Syncjacking, разработанная специалистами SquareX, использует якобы безобидные расширения для Chrome для захвата устройств жертвы.
https://xakep.ru/2025/01/31/browser-syncjacking/