32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
В даркнете продают 89 млн записей пользователей Steam с кодами 2ФА. Компания Twilio отрицает взлом
Хакер под ником Machine1337 выставил на продажу массив данных, якобы содержащий 89 млн записей пользователей Steam. В дампе нашли SMS-сообщения с одноразовыми кодами для Steam, а также номера телефонов их получателей. Исследователи предполагают, что это может быть связано с компрометацией компании Twilio.
https://xakep.ru/2025/05/14/steam-2fa-leak/
Для борьбы с мошенниками в Chrome будет использоваться ИИ
Google внедряет в Chrome новую защитную функцию, которая использует встроенную LLM Gemini Nano для обнаружения и блокировки мошенничества при просмотре веб-страниц.
https://xakep.ru/2025/05/13/gemini-enhanced-protection/
В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
Эта статья появилась в процессе реверса прошивок «Яндекс Станций». Я провел реверс U-Boot процессора умной колонки и создал утилиту для его извлечения из расшифрованного загрузчика. Способ универсален для всех подобных устройств и, возможно, других гаджетов с чипом Amlogic.
https://xakep.ru/2025/05/13/yandex-rabbit-hole/
Европол ликвидировал шесть сервисов для DDoS-атак по найму
Польские правоохранители задержали четырех подозреваемых, связанных с шестью платформами для DDoS-атак. Считается, что с 2022 года эти сервисы использовались для тысяч атак на школы, государственные учреждения, предприятия и игровые платформы по всему миру.
https://xakep.ru/2025/05/13/ddos-for-hire/
В «Кибердоме» пройдет третий сезон ИБ-стендапа
20 мая «Кибердом» откроет двери для поклонников кибербезопасности и юмора: на сцене представят третий сезон ИБ-стендапа. В роли комиков — настоящие ИБ-специалисты и представители IT-компаний.
https://xakep.ru/2025/05/12/ibstandup/
HTB UnderPass. Используем Mosh для получения сессии на сервере #статьи #подписчикам
Сегодня мы повысим привилегии в Linux, воспользовавшись возможностью создать сессию оболочки Mosh в привилегированном контексте. На пути к шеллу получим данные по SNMP, проникнем в установленную на сайте CMS и узнаем пароль пользователя.
https://xakep.ru/2025/05/12/htb-underpass/
Немецкие правоохранители конфисковали инфраструктуру и активы криптобиржи eXch
Федеральное ведомство уголовной полиции Германии (BKA) конфисковало серверную инфраструктуру и закрыло криптовалютную биржу eXch. Ресурс связывают с отмыванием денег, полученных от киберпреступлений.
https://xakep.ru/2025/05/12/exch-down/
Тираж нового спецвыпуска «Хакера» отпечатан
Рады сообщить, что тираж третьего бумажного спецвыпуска «Хакера», в котором мы собрали лучшие статьи 2019–2021 годов, покинул типографию. Не упусти возможность добавить этот номер в свою коллекцию!
https://xakep.ru/2025/05/08/xakep-printed/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
RDP в Windows позволяет использовать для входа старые пароли, и Microsoft не видит в этом проблемы
Исследователи обнаружили, что протокол RDP (Remote Desktop Protocol) в Windows позволяет использовать уже отозванные пароли для входа в систему. В ответ на это представители Microsoft сообщили, что такое поведение не является уязвимостью, в компании не планируют что-либо менять.
https://xakep.ru/2025/05/07/rdp-windows-problems/
Американские власти предъявили обвинения разработчику вымогателя Black Kingdom
36-летнему гражданину Йемена, которого считают разработчиком и основным оператором вымогателя Black Kingdom, предъявлены обвинения в проведении 1500 атак на серверы Microsoft Exchange.
https://xakep.ru/2025/05/07/black-kingdom-charges/
Операторы Darcula похитили данные более 884 000 банковских карт
Фишинговая платформа Darcula ответственна за хищение 884 000 банковских карт, и жертвы хакеров по всему миру 13 млн раз перешли по вредоносным ссылкам, полученным через текстовые сообщения.
https://xakep.ru/2025/05/07/darcula-report/
Группировка Core Werewolf атакует военные организации России и Беларуси
Специалисты компании F6 рассказали об активности шпионской хак-группы Core Werewolf, нацеленной на военные организации Беларуси и России.
https://xakep.ru/2025/05/06/core-werewolf-mails/
Модули Go доставляют Linux-малварь, стирающую все данные с дисков
Исследователи предупредили о трех вредоносных модулях Go, которые содержат обфусцированный код для получения полезной нагрузки. Такая малварь способна безвозвратно перезаписать данные на основном диске Linux-системы.
https://xakep.ru/2025/05/06/go-wiper/
Вредоносные пакеты из PyPI используют Gmail и веб-сокеты
Эксперты обнаружили в PyPI семь вредоносных пакетов, использующих SMTP-серверы Gmail и вебсокеты для кражи данных и удаленного выполнения команд.
https://xakep.ru/2025/05/06/pypi-malware-gmail/
❓ DevSecOps, AppSec, Pentest, Audit, Compliance — кто чем занимается?
Границы между направлениями в информационной безопасности размываются, а вопросы только множатся.
📆 7 мая в 20:00 МСК на открытом уроке разложим всё по полочкам. Вы узнаете:
— чем DevSecOps отличается от AppSec и Pentest;
— где заканчивается работа одного специалиста и начинается зона ответственности другого;
— какие роли актуальны сегодня и зачем их столько.
👨💻 Спикер Артем Бердашкевич — руководитель направления DevSecOps в Positive Technologies.
💡 Полезно начинающим ИБ-специалистам, тимлидам, менеджерам и инженерам.
➡️ Регистрируйтесь и получите скидку на программу обучения "Внедрение и работа в DevSecOps": https://vk.cc/cLDdMP
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Вредоносные npm-пакеты распространяли бэкдор среди пользователей Cursor AI
Обнаружен macOS-бэкдор в трех npm-пакетах, выдававших себя за инструменты для разработчиков для популярного редактора кода Cursor AI.
https://xakep.ru/2025/05/13/cursor-ai-backdoor/
Стилер Noodlophile распространяется через фальшивые ИИ-инструменты
ИБ-специалисты Morphisec обнаружили, что мошенники используют фейковые ИИ-инструменты, чтобы побудить пользователей загружать инфостилер Noodlophile.
https://xakep.ru/2025/05/13/noodlophile/
Уязвимости в Asus DriverHub позволяют выполнить произвольный код
Компания Asus выпустила патчи, исправляющие две уязвимости в Asus DriverHub. В случае успешной эксплуатации эти проблемы позволяли добиться удаленного выполнения произвольного кода.
https://xakep.ru/2025/05/13/driverhub-rce/
WordPress-плагин OttoKit стал мишенью для массовых атак
Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.
https://xakep.ru/2025/05/12/new-ottokit-bug/
ФБР: злоумышленники используют старые роутеры для создания прокси-ботнетов
Правоохранительные органы ликвидировали ботнет, который более 20 лет заражал маршрутизаторы. Ботнет поддерживал работу двух сервисов, предлагавших резидентные прокси — Anyproxy и 5socks.
https://xakep.ru/2025/05/12/anyproxy-5socks/
Npm-пакет rand-user-agent скомпрометирован в ходе атаки на цепочку поставок
В популярный пакет rand-user-agent, который загружают более 45 000 раз в неделю, внедрили обфусцированный код. Малварь активирует троян удаленного доступа (RAT) в системе пользователя.
https://xakep.ru/2025/05/12/rand-user-agent/
Админку LockBit взломали. В открытом доступе опубликован дамп БД MySQL
Вымогательская группировка LockBit пострадала от утечки данных. Некто взломал панели администратора, предназначенные для партнеров группы, похитил данные, дефейснул админку и оставил послание: «Не совершайте преступлений, ПРЕСТУПЛЕНИЯ ЭТО ПЛОХО, xoxo из Праги».
https://xakep.ru/2025/05/12/lockbit-hacked/
RCE-баг в Samsung MagicINFO используется для развертывания малвари
Компания Arctic Wolf предупреждает, что эксплуатация уязвимости в CMS Samsung MagicINFO началась через несколько дней после публикации PoC-эксплоита.
https://xakep.ru/2025/05/07/samsung-magicinfo-rce/
Уроки форензики. Создаем профиль Volatility для анализа инцидентов в Linux
Инструмент Volatility давно стал стандартом в цифровой криминалистике, но его эффективность напрямую зависит от корректного профиля операционной системы, который выступает «переводчиком» между сырыми данными памяти и понятной человеку информацией. В этой статье мы создадим такой профиль для работы в Linux.
https://xakep.ru/2025/05/07/volatility-linux/
Google исправляет активно эксплуатируемую уязвимость в Android
Компания Google выпустила ежемесячные обновления для Android, которые устранили 46 уязвимостей. Одна из этих проблем уже используется злоумышленниками и связана с выполнением произвольного кода в библиотеке FreeType.
https://xakep.ru/2025/05/07/freetype-patch/
Взломан форк Signal, которым пользуются в администрации Дональда Трампа
Издание 404 Media сообщило о взломе израильской компании TeleMessage, которая поставляет неофициальные версии приложений Telegram, WhatsApp, WeChat и Signal. Незадолго до взлома журналисты обратили внимание, что форком Signal (TM SGNL) пользовался бывший советник Дональда Трампа по национальной безопасности Майк Уолтц.
https://xakep.ru/2025/05/06/telemessage-hacked/
Сапфировый билет. Подделываем TGT с чужими привилегиями
Техники Diamond Ticket и Sapphire Ticket — новые направления в развитии атак на Active Directory. «Сапфировый» вариант — это прокачанная версия «алмазного»: если Diamond Ticket просто изменяет PAC, то Sapphire подставляет вместо него PAC другого привилегированного пользователя. В этой статье мы как следует разберем, как именно работают такие атаки.
https://xakep.ru/2025/05/06/sapphire-ticket/
Cloudflare: в первом квартале 2025 года DDoS-атак стало на 198% больше
Компания Cloudflare сообщает, что предотвратила рекордное количество DDoS-атак в 2024 году. Количество инцидентов увеличилось на 358% по сравнению с предыдущим годом и на 198% по сравнению с предыдущим кварталом.
https://xakep.ru/2025/05/06/cloudflare-q1-2025/
Функциями IPv6 злоупотребляют для компрометации обновлений
Связанная с Китаем APT-группировка TheWizards использует сетевую функциональность IPv6 для проведения атак типа man-in-the-middle, которые перехватывают обновления ПО для установки Windows-малвари.
https://xakep.ru/2025/05/05/spellbinder/
HTB BigBang. Эксплуатируем баг в glibc для получения RCE #статьи #подписчикам
В этом райтапе я покажу, как получить удаленное выполнение кода на сервере через уязвимость функции iconv в библиотеке GNU C Library (glibc). На пути к этой уязвимости проэксплуатируем LFI в плагине BuddyForms для WordPress и проанализируем код мобильного приложения.
https://xakep.ru/2025/05/05/htb-bigbang/