🕵‍♂️ DeepSeek допустил deep leak: миллион записей в открытом доступе

👀 Исследователи Wiz Research нашли незащищённую базу ClickHouse с миллионом записей, включая историю чатов и API-ключи DeepSeek, доступную без пароля и логина.

☠️ База позволяла выполнять любые SQL-запросы, что открывало путь к внутренней информации серверов, паролям и файловой системе компании.

🧐 Всё началось с простой проверки 30 поддоменов DeepSeek, где обнаружились открытые порты 8123 и 9000, раскрывающие внутреннюю информацию.

В погоне за конкуренцией с OpenAI китайский AI-гигант DeepSeek забыл закрыть парадную дверь, оставив ключи под ковриком. Такая «прозрачность» в кибербезопасности может дорого обойтись амбициозному стартапу.

#AI #DeepSeek #CyberSecurity #DataBreach

@SecLabNews

🕵‍♂️Browser Syncjacking: хакеры взламывают Chrome через функцию синхронизации

🔍 Исследователи выявили новую технику кибератаки «Browser Syncjacking», использующую уязвимости в системе синхронизации Chrome. Атака требует минимального взаимодействия с жертвой — достаточно установки вредоносного расширения из Chrome Web Store.

🎯 Злоумышленники создают корпоративный домен в Google Workspace и публикуют вредоносное расширение под видом полезного инструмента. После установки расширение тайно авторизует пользователя в подготовленном профиле Google и внедряет фальшивое сообщение о включении синхронизации.

⚠️ После активации синхронизации атакующие получают доступ ко всем данным пользователя и могут полностью контролировать браузер. Единственным признаком взлома является малозаметный статус «Управляется вашей организацией» в настройках Chrome.

#BrowserSecurity #Chrome #Cybersecurity #Hacking

@SecLabNews

🕵‍♂️Flesh Stealer: троян-невидимка крадёт пароли из защищённых браузеров

🔒 Flesh Stealer — это новое вредоносное ПО на базе .NET, написанное на C#. Программа оснащена продвинутыми механизмами защиты, включая обход шифрования Chrome и антиотладку.

🌐 Вредонос способен извлекать пароли, куки и историю из Chrome, Firefox, Edge и Opera. Дополнительно он крадёт данные из Signal и Telegram, игнорируя при этом системы с языками стран СНГ.

🕸 Программа использует сложные методы обнаружения виртуальных машин и отладчиков. При выявлении VMware, VirtualBox или Hyper-V выполнение кода автоматически прекращается.

#cybersecurity #malware #infosec #dataprotection

@SecLabNews

🔒 79 млн загрузок в неделю: российский код в американских военных системах

Библиотека fast-glob используется более чем в 5 тысячах публичных проектов и более чем в тридцати системах Министерства обороны США. Её загружают свыше 79 миллионов раз в неделю, а с учётом закрытых систем число зависимых решений может быть гораздо выше.

Единственным автором оказался российский программист Денис Малиночкин, сотрудник «Яндекса», который разрабатывает проект уже более семи лет. Американская компания Hunted Labs подчеркнула, что никаких связей разработчика с хакерскими группировками не выявлено.

Хотя у библиотеки нет зарегистрированных уязвимостей, эксперты указывают на теоретические риски из-за широкого доступа к файловым системам. Сам Малиночкин подтвердил авторство и подчеркнул, что утилита работает исключительно локально без сетевых функций.

#OpenSource #CyberSecurity #NodeJS

@SecLabNews

🕵‍♂️Kali Linux 2025.3: прощай ARMel, здравствуй RISC-V

Проект Kali Linux выпустил новый релиз 2025.3, который привносит важные изменения в дистрибутив. Разработчики сфокусировались на оптимизации и расширении функционала, чтобы сделать работу специалистов по безопасности ещё эффективнее. Одним из ключевых нововведений стала полная переработка системы создания виртуальных образов. Благодаря обновлённой интеграции с HashiCorp Packer и Vagrant развертывание тестовых сред теперь происходит быстрее и с минимальным участием пользователя.

Важным дополнением является возвращение поддержки драйверов Nexmon для чипов Broadcom и Cypress, включая Raspberry Pi 5. Этот патч даёт возможность активировать режимы мониторинга и инъекции пакетов на устройствах, где это было недоступно. В то же время, команда прекратила поддержку устаревшей архитектуры ARMel, чтобы направить ресурсы на будущую интеграцию RISC-V.

В состав дистрибутива добавлено десять новых инструментов, среди которых Caido для аудита веб-безопасности, Gemini CLI с ИИ-агентом и krbrelayx для атак на Kerberos. Обновления также затронули мобильную платформу Kali NetHunter и автомобильный модуль CARsenal.

#KaliLinux #Pentest #Cybersecurity

@SecLabnews

🫡США объявили о новой киберстратегии против Китая

«США должны перенастроить кибербаланс» — так обозначил приоритеты новой политики Вашингтона Шон Кэрнкросс, национальный директор по кибербезопасности. Выступая на саммите Meridian 2025, он заявил, что Китай продвигает модель цифрового контроля, а США должны противопоставить ей собственный «чистый технологический стек».

По словам Кэрнкросса, Пекин действует безнаказанно: вмешивается в критические системы, раскачивает инфраструктуру и создаёт искусственные кризисы. В ответ США намерены действовать более жёстко, укрепив ONCD — ведомство, созданное по рекомендациям Комиссии по киберпространству. Новый документ по киберстратегии будет короче, но конкретнее, а ONCD получит реальный вес в системе управления.

Кэрнкросс также призвал продлить действие закона о киберобмене (CISA) ещё на десять лет. Его истечение в октябре, отметил он, поставило под угрозу юридические гарантии для компаний, делящихся данными об угрозах. Без него в системе киберобороны США может возникнуть правовой вакуум.

#cybersecurity #Meridian2025 #ONCD
@SecLabNews

🤗Mandiant открыла «радугу»: Взлом Net-NTLMv1 теперь доступен всем

Mandiant опубликовала гигантский набор радужных таблиц для расшифровки Net-NTLMv1. Этот небезопасный протокол из 90-х до сих пор встречается в корпоративных сетях из-за технической инерции. Публикация призвана лишить организации оправданий для использования уязвимой технологии, сделав её эксплуатацию максимально простой и дешевой.

Для атаки больше не нужны облачные сервисы или суперкомпьютеры. Теперь подобрать ключ можно за пару часов на обычном ПК дешевле $600. С помощью Responder и новых таблиц злоумышленник восстанавливает NT-хеш, что позволяет провести атаку DCSync и получить полный контроль над всеми учетными данными в Active Directory.

Необходимо немедленно отключить Net-NTLMv1 через групповые политики Windows. Также эксперты рекомендуют настроить мониторинг события 4624 в журналах системы, чтобы вовремя заметить использование типов «LM» или «NTLMv1». Это поможет выявить попытки принудительного отката системы к уязвимому состоянию.

#Mandiant #CyberSecurity #ActiveDirectory
@SecLabNews

Массовый сбой сервисов охранной системы DELTA

26 января пользователи охранной системы DELTA сообщили о проблемах с доступом к онлайн-сервисам. По сообщениям в соцсетях, некоторые клиенты столкнулись с неполадками при попытке управления автомобилями через приложение, а также были недоступны телефоны компании и веб-сайт DELTA.

DELTA опубликовала официальное заявление, согласно которому произошло «масштабное внешнее воздействие на IT-инфраструктуру», направленное на нарушение работы сервисов. Компания уточнила, что охранные системы в автомобилях продолжили работать в автономном режиме без ограничений, а признаков компрометации персональных данных выявлено не было.

Инцидент затрагивал серверы онлайн-доступа, но не коснулся устройств в автомобилях. DELTA сообщила, что архитектура системы исключает возможность удалённого несанкционированного доступа.

#DELTA #Cybersecurity #ТехническийСбой

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🧑‍💻Связь через «рубильник»: как иранский «Принц Персии» выдал себя тишиной

SafeBreach Labs детально разобрали эволюцию группировки «Принц Персии» после недавних разоблачений. Пытаясь скрыть следы, хакеры полностью сменили инфраструктуру: от Telegram-аккаунтов до алгоритмов генерации доменов. Масштабная зачистка логов и использование фейковых IP не помогли — исследователи зафиксировали переход группы на новую, более гибкую модель управления и маскировки.

Главной новинкой стал софт Tornado v51, использующий блокчейн и Telegram для связи с серверами. Группа активно эксплуатирует уязвимости WinRAR для закрепления в автозагрузке и даже атакует самих ИБ-специалистов. Под видом ценных дампов в каналах распространялись ZIP-архивы с ZZ Stealer. Это прямой ответный удар по аналитикам, пытающимся деанонимизировать участников кампании.

Связь с госсектором Ирана выдал график работы. Исследователи зафиксировали полную остановку активности с 8 по 24 января — именно в этот период в Иране произошел общенациональный блэкаут интернета. Как только доступ к сети восстановили, группировка вернулась к подготовке серверов буквально на следующий день.

#APT #Iran #CyberSecurity

SecurityLab в Telegram | MAX | Поддержите нас «бустами»