32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Разработчик Curl сравнил ИИ-отчеты об уязвимостях с DDoS-атакой
Основатель проекта Curl Даниэль Стенберг (Daniel Stenberg) заявил, что сообщения об уязвимостях, сгенерированные с помощью ИИ, стали похожи на DDoS-атаку и только отнимают у мейнтейнеров время.
https://xakep.ru/2025/05/14/ai-bug-reports/
Акрибия запустила бесплатный сервис Acribia.Vulns для отслеживания уязвимостей по списку и группам ПО. Сервис присылает уведомления как только обнаружится новая уязвимость. Доступна загрузка из SBOM файла.
Данные собираются и переводятся из нескольких источников: NVD, NVD Overrides, MITRE, ФСТЭК, EPSS, KEV List. Скоро добавится OSV (GitHub, PyPI, Ubuntu, Debian, Alpine и т.д.).
Разные варианты написания ПО и вендоров объединяются в группы, чтобы при отслеживании не пропустить другое написание нужного ПО.
Если Вы регулярно сканируете уязвимости, то Acribia.Vulns будет источником Vulnerability Intelligence и поможет получать информацию о свежих критичных уязвимостях между сканированиями.
Сервис поможет без дополнительных затрат оперативно выявлять критичные уязвимости до того как это сделает нарушитель.
Реклама. ООО «Акрибия. Исследования и разработки». ИНН 7802879558.
Атаки ClickFix теперь применяют против пользователей Linux
Исследователи заметили новую вредоносную кампанию, использующую ClickFix-атаки. Теперь злоумышленники нацелены и на пользователей Linux.
https://xakep.ru/2025/05/14/clickfix-linux/
В даркнете продают 89 млн записей пользователей Steam с кодами 2ФА. Компания Twilio отрицает взлом
Хакер под ником Machine1337 выставил на продажу массив данных, якобы содержащий 89 млн записей пользователей Steam. В дампе нашли SMS-сообщения с одноразовыми кодами для Steam, а также номера телефонов их получателей. Исследователи предполагают, что это может быть связано с компрометацией компании Twilio.
https://xakep.ru/2025/05/14/steam-2fa-leak/
Для борьбы с мошенниками в Chrome будет использоваться ИИ
Google внедряет в Chrome новую защитную функцию, которая использует встроенную LLM Gemini Nano для обнаружения и блокировки мошенничества при просмотре веб-страниц.
https://xakep.ru/2025/05/13/gemini-enhanced-protection/
В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
Эта статья появилась в процессе реверса прошивок «Яндекс Станций». Я провел реверс U-Boot процессора умной колонки и создал утилиту для его извлечения из расшифрованного загрузчика. Способ универсален для всех подобных устройств и, возможно, других гаджетов с чипом Amlogic.
https://xakep.ru/2025/05/13/yandex-rabbit-hole/
Европол ликвидировал шесть сервисов для DDoS-атак по найму
Польские правоохранители задержали четырех подозреваемых, связанных с шестью платформами для DDoS-атак. Считается, что с 2022 года эти сервисы использовались для тысяч атак на школы, государственные учреждения, предприятия и игровые платформы по всему миру.
https://xakep.ru/2025/05/13/ddos-for-hire/
В «Кибердоме» пройдет третий сезон ИБ-стендапа
20 мая «Кибердом» откроет двери для поклонников кибербезопасности и юмора: на сцене представят третий сезон ИБ-стендапа. В роли комиков — настоящие ИБ-специалисты и представители IT-компаний.
https://xakep.ru/2025/05/12/ibstandup/
HTB UnderPass. Используем Mosh для получения сессии на сервере #статьи #подписчикам
Сегодня мы повысим привилегии в Linux, воспользовавшись возможностью создать сессию оболочки Mosh в привилегированном контексте. На пути к шеллу получим данные по SNMP, проникнем в установленную на сайте CMS и узнаем пароль пользователя.
https://xakep.ru/2025/05/12/htb-underpass/
Немецкие правоохранители конфисковали инфраструктуру и активы криптобиржи eXch
Федеральное ведомство уголовной полиции Германии (BKA) конфисковало серверную инфраструктуру и закрыло криптовалютную биржу eXch. Ресурс связывают с отмыванием денег, полученных от киберпреступлений.
https://xakep.ru/2025/05/12/exch-down/
Тираж нового спецвыпуска «Хакера» отпечатан
Рады сообщить, что тираж третьего бумажного спецвыпуска «Хакера», в котором мы собрали лучшие статьи 2019–2021 годов, покинул типографию. Не упусти возможность добавить этот номер в свою коллекцию!
https://xakep.ru/2025/05/08/xakep-printed/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
RDP в Windows позволяет использовать для входа старые пароли, и Microsoft не видит в этом проблемы
Исследователи обнаружили, что протокол RDP (Remote Desktop Protocol) в Windows позволяет использовать уже отозванные пароли для входа в систему. В ответ на это представители Microsoft сообщили, что такое поведение не является уязвимостью, в компании не планируют что-либо менять.
https://xakep.ru/2025/05/07/rdp-windows-problems/
Американские власти предъявили обвинения разработчику вымогателя Black Kingdom
36-летнему гражданину Йемена, которого считают разработчиком и основным оператором вымогателя Black Kingdom, предъявлены обвинения в проведении 1500 атак на серверы Microsoft Exchange.
https://xakep.ru/2025/05/07/black-kingdom-charges/
Операторы Darcula похитили данные более 884 000 банковских карт
Фишинговая платформа Darcula ответственна за хищение 884 000 банковских карт, и жертвы хакеров по всему миру 13 млн раз перешли по вредоносным ссылкам, полученным через текстовые сообщения.
https://xakep.ru/2025/05/07/darcula-report/
Группировка Core Werewolf атакует военные организации России и Беларуси
Специалисты компании F6 рассказали об активности шпионской хак-группы Core Werewolf, нацеленной на военные организации Беларуси и России.
https://xakep.ru/2025/05/06/core-werewolf-mails/
У компании Marks & Spencer похитили информацию о клиентах
Британский розничный гигант Marks & Spencer (M&S) сообщил, что в ходе вымогательской атаки, произошедшей в конце апреля 2025 года, хакеры похитили у него информацию о покупателях.
https://xakep.ru/2025/05/14/marks-spencer-hack/
Охота на «Даркулу». Заглядываем за кулисы глобального фишинга #статьи #перевод
Хочешь узнать, как выглядит фишинг мирового масштаба изнутри? В этой статье мы проведем экскурсию в закулисье одной из самых масштабных фишинговых операций последнего времени. Покажем, как устроен этот бизнес и кто стоит за нашумевшим проектом Darcula. По дороге подробно разберем инструменты, которые применяли атакующие.
https://xakep.ru/2025/05/14/darcula-phishing/
Google заплатит 1,375 млрд долларов за несанкционированный трекинг и сбор биометрических данных
Компания Google согласилась выплатить американскому штату Техас почти 1,4 млрд долларов, чтобы урегулировать два иска, в которых компанию обвиняли в отслеживании местоположения пользователей и хранении данных о распознавании их лиц без согласия.
https://xakep.ru/2025/05/14/google-privacy-violations/
Вредоносные npm-пакеты распространяли бэкдор среди пользователей Cursor AI
Обнаружен macOS-бэкдор в трех npm-пакетах, выдававших себя за инструменты для разработчиков для популярного редактора кода Cursor AI.
https://xakep.ru/2025/05/13/cursor-ai-backdoor/
Стилер Noodlophile распространяется через фальшивые ИИ-инструменты
ИБ-специалисты Morphisec обнаружили, что мошенники используют фейковые ИИ-инструменты, чтобы побудить пользователей загружать инфостилер Noodlophile.
https://xakep.ru/2025/05/13/noodlophile/
Уязвимости в Asus DriverHub позволяют выполнить произвольный код
Компания Asus выпустила патчи, исправляющие две уязвимости в Asus DriverHub. В случае успешной эксплуатации эти проблемы позволяли добиться удаленного выполнения произвольного кода.
https://xakep.ru/2025/05/13/driverhub-rce/
WordPress-плагин OttoKit стал мишенью для массовых атак
Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.
https://xakep.ru/2025/05/12/new-ottokit-bug/
ФБР: злоумышленники используют старые роутеры для создания прокси-ботнетов
Правоохранительные органы ликвидировали ботнет, который более 20 лет заражал маршрутизаторы. Ботнет поддерживал работу двух сервисов, предлагавших резидентные прокси — Anyproxy и 5socks.
https://xakep.ru/2025/05/12/anyproxy-5socks/
Npm-пакет rand-user-agent скомпрометирован в ходе атаки на цепочку поставок
В популярный пакет rand-user-agent, который загружают более 45 000 раз в неделю, внедрили обфусцированный код. Малварь активирует троян удаленного доступа (RAT) в системе пользователя.
https://xakep.ru/2025/05/12/rand-user-agent/
Админку LockBit взломали. В открытом доступе опубликован дамп БД MySQL
Вымогательская группировка LockBit пострадала от утечки данных. Некто взломал панели администратора, предназначенные для партнеров группы, похитил данные, дефейснул админку и оставил послание: «Не совершайте преступлений, ПРЕСТУПЛЕНИЯ ЭТО ПЛОХО, xoxo из Праги».
https://xakep.ru/2025/05/12/lockbit-hacked/
RCE-баг в Samsung MagicINFO используется для развертывания малвари
Компания Arctic Wolf предупреждает, что эксплуатация уязвимости в CMS Samsung MagicINFO началась через несколько дней после публикации PoC-эксплоита.
https://xakep.ru/2025/05/07/samsung-magicinfo-rce/
Уроки форензики. Создаем профиль Volatility для анализа инцидентов в Linux
Инструмент Volatility давно стал стандартом в цифровой криминалистике, но его эффективность напрямую зависит от корректного профиля операционной системы, который выступает «переводчиком» между сырыми данными памяти и понятной человеку информацией. В этой статье мы создадим такой профиль для работы в Linux.
https://xakep.ru/2025/05/07/volatility-linux/
Google исправляет активно эксплуатируемую уязвимость в Android
Компания Google выпустила ежемесячные обновления для Android, которые устранили 46 уязвимостей. Одна из этих проблем уже используется злоумышленниками и связана с выполнением произвольного кода в библиотеке FreeType.
https://xakep.ru/2025/05/07/freetype-patch/
Взломан форк Signal, которым пользуются в администрации Дональда Трампа
Издание 404 Media сообщило о взломе израильской компании TeleMessage, которая поставляет неофициальные версии приложений Telegram, WhatsApp, WeChat и Signal. Незадолго до взлома журналисты обратили внимание, что форком Signal (TM SGNL) пользовался бывший советник Дональда Трампа по национальной безопасности Майк Уолтц.
https://xakep.ru/2025/05/06/telemessage-hacked/
Сапфировый билет. Подделываем TGT с чужими привилегиями
Техники Diamond Ticket и Sapphire Ticket — новые направления в развитии атак на Active Directory. «Сапфировый» вариант — это прокачанная версия «алмазного»: если Diamond Ticket просто изменяет PAC, то Sapphire подставляет вместо него PAC другого привилегированного пользователя. В этой статье мы как следует разберем, как именно работают такие атаки.
https://xakep.ru/2025/05/06/sapphire-ticket/