🤨 Громкое возвращение

ZeroNights, тихо затаившаяся с 2021 года, возвращается в 2025!

Конференция по информационной безопасности объявляет Call for Papers и открывает приём заявок на доклады. ZeroNights собирает специалистов, чтобы делиться практическими исследованиями, кейсами и опытом с активным комьюнити.

▎ Интересуют доклады:
➡️Offensive — вопросы об актуальных техниках атак, а также темы, связанные с этичным хакингом, аспектами выявления уязвимостей и их эксплуатации;
➡️AppSec/SecOps — доклады о практической защите на всех уровнях: от кода до инфраструктуры;
➡️Эксклюзивные материалы особо ценятся.

Заявки принимаются до 12 октября 2025. Продолжительность доклада — 30 или 45 минут.

Подробности и форма подачи доступны на сайте конференции.
Смело делитесь своим опытом и исследованиями! 😉

🗣 Всем привет!

Закончился мой потрясающий отпуск, возвращаюсь к созданию контента.

Сложа руки не сидел, вместе с коллегой делали классный инструмент для 100% пассивной разведки на внешнем периметре. Сейчас он готов для локального использования, но у меня есть планы опубликовать его на этом канале. Как только всё сложится и будет готово, обязательно сообщу!

Всем добра)

💻 Вы действуете под давлением?

ЦБ назвал признаки мошеннических операций при снятии наличных в банкоматах: если операция выглядит подозрительной, банк введёт временный лимит на снятие наличных — максимум 50 тыс. руб. в сутки на 48 часов. Больше — только через отделение.

▎ Что может насторожить банк:
➡️Снятие в непривычное время или месте;
➡️Нетипичная сумма или способ (QR-код, виртуальная карта);
➡️Резкая смена активности телефона: новые СМС, звонки, странные мессенджеры;
➡️Снятие денег вскоре после кредита, изменения лимита или крупных поступлений;
➡️Перевод себе по СБП >200 тыс. из другого банка или досрочное закрытие вклада;
➡️Смена номера для интернет-банка, изменения характеристик телефона, наличие вредоноса;
➡️Ответ банкомата идёт дольше, чем обычно в платёжной системе;
➡️Запрос пришёл способом, которым клиент раньше не пользовался;
➡️Платёжная система пометила операцию как подозрительную;
➡️Пять и больше неуспешных попыток снять деньги;
➡️Данные клиента совпали с базами мошенников.

Последний признак в данном списке будет применяться с 1 марта 2026 года. Все остальные признаки — с 1 сентября 2025 года.

Фактически банк строит поведенческую модель клиента и сравнивает её с текущими действиями. Если есть отклонения — вводится защита от возможного социального инжиниринга: ситуации, когда мошенники убеждают человека снять и отдать деньги.

#новость

💻 Первая кровь пролита

Специалисты из ESET сообщили об обнаружении первого AI-вымогателя PromptLock. Вредоносное ПО работает необычно: оно не хранит заранее прописанный код, а запускает у жертвы локальную модель GPT-OSS:20B, которая прямо на лету генерирует скрипты на языке Lua.

▎ Что эти скрипты умеют:
➡️Перебирать файлы на диске;
➡️Отправлять данные злоумышленникам;
➡️Шифровать их с помощью алгоритма Speck 128;
➡️В будущем — возможно и уничтожать (функция пока не реализована).

Сам вирус написан на Go, работает и на Windows, и на Linux, и на macOS. Его особенность — очень маленький размер на этапе заражения: всё "умное" поведение подгружается уже потом, за счёт LLM.

ESET считает, что пока это скорее прототип, чем реально развернутая атака. Но факт остаётся фактом: это первый случай, когда малварь использует генеративный ИИ локально, а не в облаке.

Почему это тревожно?

▎ Такая схема даёт вредоносу:
➡️Меньше шансов попасть под сигнатуры антивирусов (код генерируется динамически);
➡️Больше гибкости при атаках (скрипты адаптируются под конкретную машину);
➡️Возможность обходить стандартные методы защиты.

PromptLock — скорее "первый звонок", чем массовая угроза. Но очевидно, что в будущем ИБ-специалистам придётся противостоять не только хакерам, но и их "искусственным помощникам".

Теперь мы официально вошли в эпоху, где твой ноутбук может сам себе придумать, как именно тебя ограбить.

#новость

Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности

3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или, как принято говорить в отечественных стандартах, тестирования на проникновение).

🎙 Вебинар пройдет в формате диалога, будет наполнен практическими кейсами и инсайтами.

Вебинар поможет заинтересованным участникам найти свой ответ на вопрос: зачем нужна информационная безопасность, как устроены распространенные хакерские атаки и что можно сделать, чтобы не пополнить ряды тех, кто был «зашифрован», столкнулся с утечкой персональных данных клиентов или привлек внимание правоохранительных органов.

↕️Что обсудим:

— Краткий ликбез по ключевым терминам, ИТ и ИБ концепциям, которые определяют контекст хакерских атак и их последствий для собственников, государства, пользователей/клиентов/сотрудников;
— Уязвимости API и логики работы веб-приложений, которые статистически часто лежат в основе успешных атак и приводят к утечкам данных, нарушениям работоспособности организаций;
— Социальную инженерию, сценарии которой задействованы в половине корпоративных атак, включая целевой фишинг и мошенничество с установлением физического контакта с жертвой;
— Защищённость внутреннего периметра: локальная сеть и инфраструктура организации, которые могут быть недоступны извне, и в атаках на которые часто играют свою роль инсайдеры и безалаберные сотрудники с удаленным доступом;
— Первопричины и риски, которые стоят за этими уязвимостями, как через подход «люди-процессы-технологии» можно приоритезировать соответствующие задачи, и в чем сходство управления уязвимостями и тайм-менеджмента.

⚙️ Вы научитесь:

— Базовым терминам и ключевым концепциям ИТ и ИБ необходимым для понимания проблематики компьютерных атак;
— Распознавать ключевые уязвимости и их первопричины;
— Оценивать риски, которые несут конкретные сценарии атак;
— Выстраивать внутренние процессы, чтобы снизить уязвимость и повысить устойчивость.

🤝 Кому полезен вебинар:

Техническим специалистам блоков ИТ и ИБ, топ-менеджменту и собственникам организаций, иным лицам интересующимся в информационной безопасности, которые хотят лучше разбираться в проблематике хакерских атак, рисков, в сценариях нападения и методологии выстраивания защиты через приоритезацию и управление.

Дата и время: 3 сентября 17.00

Ссылка для регистрации — https://my.mts-link.ru/j/tmliga/2728011485

Присоединяйтесь, если готовы трансформировать проблемы в преимущества ваших организаций вместе с РАД КОП 🤝

#Вебинар #Пентест

🤨 Крыса!

Несколько дней подряд мой сервер обстреливали запросами с разных IP. Узнал я об этом совершенно случайно, когда зашёл через SSH по другой причине и решил посмотреть логи. И тут я просто выпал.

Какой-то упёртый товарищ через веб-страницу долбил админку одного сервиса из трёх букв (название опустим, но суть поняли), пытаясь перебрать логины и пароли. Причём без капли стеснения он это делал с 30 запросами в секунду (108к запросов в час). Продолжалось это без остановки с 28 августа 04:09:44 по 2 сентября 12:33:35, а далее затишье.

Я сразу решил, что так оставлять нельзя. Вечером того же дня поставил Fail2ban, прописал фильтр и подключил его к логам. И, как по заказу, атакующий снова вылез 2-го сентября в 23:07:56. Но на этот раз всё закончилось для него быстро и печально. Даже секунды не прошло, как IPS повязал ему ручонки (см. скриншот). Ну и я подумал, что из этого можно было бы выкатить простой гайд по установке и настройке Fail2ban.

Fail2Ban – программа для защиты серверов от атак методом грубой силы.

Если кому интересно, как настроить Fail2ban в пару кликов под X-UI (как в моём случае), держите гайд.

➡️1) Обновляем пакеты

sudo apt update

➡️2) Устанавливаем Fail2ban

sudo apt install fail2ban -y

➡️3) Проверяем установку — должно выдать версию Fail2ban

fail2ban-client --version

➡️4) Запускаем сервис и смотрим статус

sudo systemctl enable --now fail2ban

sudo systemctl status fail2ban

➡️5) Fail2ban будет смотреть логи и искать неудачные попытки входа по фильтру. Создаем фильтр в "/etc/fail2ban/filter.d/x-ui.conf"

[Definition]
failregex = WARNING - wrong username: ".*", password: ".*", secret: ".*", IP: "<HOST>"
ignoreregex =

Вставляем как есть, ничего менять не надо.

➡️6) Создаём или редактируем "/etc/fail2ban/jail.local"

[x-ui]
enabled = true
filter = x-ui
logpath = /var/log/kern.log
maxretry = 5
findtime = 600
bantime = 3600
action = iptables[name=x-ui, port=PORT, protocol=tcp]
ignoreip = 127.0.0.1/8 YOUR_IP YOUR_VPN_IP

Пояснение:

logpath — файл с логами, куда пишутся предупреждения о неверно введённом логине/пароле.
port=PORT — сетевой порт, к которому будет применяться правило блокировки IP через iptables. Здесь ставьте порт, на котором открывается форма авторизации в личный кабинет X-UI.
maxretry = 5 — после 5+ провальных попыток выдаётся бан.
findtime = 600 — считаем попытки за 10 минут.
bantime = 3600 — бан на 1 час.
ignoreip — добавляем сюда свой IP и VPN, чтобы случайно не заблокироваться.

➡️7) Перезагружаем службу Fail2ban

sudo systemctl restart fail2ban

➡️8) Смотрим статус Fail2ban. Если запущен, значит ошибок нет и всё работает. Радуемся жизни

sudo systemctl status fail2ban

Теперь можно отслеживать статус Fail2ban, в котором в том числе пишется количество блокировок и какие именно IP-адреса были заблокированы:

sudo fail2ban-client status x-ui

Защищайте свои сервера и будьте здоровы! 😉

И не забудьте перевернуть календарь.

💻 Письмо счастья

8 сентября 2025 года Aikido Security сообщила о крупнейшей supply-chain атаке на JavaScript. Всё началось с фишингового письма: злоумышленники угнали аккаунт мейнтейнера npm и выложили заражённые версии 18 ключевых пакетов. Суммарно их скачивают более 2,6 млрд раз в неделю.

Вредоносный код срабатывал только в браузере и перехватывал Web3-трафик.

▎ Что делал вредонос:
➡️Встраивался в fetch и XMLHttpRequest;
➡️Подменял адреса кошельков в sendTransaction, approve, transfer;
➡️Использовал схожие адреса для незаметной подмены;
➡️Манипулировал параметрами транзакций прямо на этапе подписи.

Иными словами — крипто-клиппер прямо внутри зависимостей, которые стоят почти в каждом проекте.

▎ Список подтверждённых заражённых версий:
➡️ansi-styles@6.2.2
➡️debug@4.4.2
➡️chalk@5.6.1
➡️supports-color@10.2.1
➡️strip-ansi@7.1.1
➡️ansi-regex@6.2.1
➡️wrap-ansi@9.0.1
➡️color-convert@3.1.1
➡️color-name@2.0.1
➡️is-arrayish@0.3.3
➡️slice-ansi@7.1.1
➡️color@5.0.1
➡️color-string@2.1.1
➡️simple-swizzle@0.2.3
➡️supports-hyperlinks@4.1.1
➡️has-ansi@6.0.1
➡️chalk-template@1.1.1
➡️backslash@0.2.1
➡️error-ex@1.3.3

▎ Что делать разработчикам прямо сейчас:
✅Проверить package-lock.json, yarn.lock, pnpm-lock.yaml на наличие заражённых версий;
✅Удалить их из дерева зависимостей и пересобрать проект;
✅Очистить кэш пакета;
✅Переустановить зависимости с нуля и заново зафиксировать версии;
✅Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши;
✅Проверить логи на внешние запросы из бандла;
✅Ротировать ключи/токены и усилить 2FA в npm.

Даже одно фишинговое письмо способно обернуться катастрофой для всей экосистемы.

Не ведитесь на фишинги!

#новость

💻 Уже не мышь, а крыса

Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse, которая позволяет превратить обычную геймерскую мышь в инструмент подслушивания.

Суть атаки в том, что движения и вибрации поверхности, считываемые сенсором мыши, могут быть преобразованы в звуковые колебания. Устройство начинает фиксировать микровибрации, создаваемые речью пользователя, фактически работая как грубый микрофон.
Поначалу полученный сигнал имеет низкое качество, но исследователи применили последовательную обработку данных и алгоритмы машинного обучения, чтобы очистить шум и восстановить разборчивую речь.

Для эксперимента использовались стандартная мышь и открытые наборы речевых данных VCTK и AudioMNIST. Команда добилась увеличения отношения сигнал/шум на 19 дБ, улучшила точность автоматического распознавания говорящего на 80%, а в тестах с людьми коэффициент ошибок составил 16,79% — результат, достаточный для различимого восприятия речи.

По мнению исследователей, наибольший риск представляют мыши с сенсорами 20000 DPI и выше. В качестве целей особенно уязвимы видеоигры и другое производительное ПО: там внедрение эксплойта можно замаскировать под сетевую активность игры, не вызывая подозрений.

#новость

🤨 Дождались!

Больше года с нетерпением ожидал новый список топовых уязвимостей от OWASP. Для веба они выходят раз в 3-4 года, начиная с 2003 года. В рейтинге десяти самых распространённых за 2025 год появились две новые категории и одна консолидированная. Список предварительный (кандидат), окончательный будет чуть позже.

▎ Новые топовые уязвимости:
➡️A03:2025 — Ошибки в цепочке поставок ПО (Software Supply Chain Failures). Расширяет прежний пункт Vulnerable and Outdated Components и охватывает компрометации на всех этапах экосистемы разработки: зависимости, системы сборки и инфраструктуру распространения;
➡️A10:2025 — Неправильная обработка исключительных условий (Mishandling of Exceptional Conditions). Новая категория, включающая 24 типа уязвимостей, связанных с неправильной обработкой ошибок, логическими сбоями, "fail-open" сценариями и другими ситуациями, возникающими при аномальных условиях работы системы.

▎ Что это значит для пентестеров и разработчиков?
➡️Цепочки поставок становятся главным вектором атак. Теперь уязвимость может прийти не из кода, а из зависимостей и CI/CD;
➡️Ошибки обработки исключений — напоминание, что даже простая 500-ая ошибка может стоить дорого, если логика не защищена.

Распространите новый топ OWASP.
И да, ИБ спецы, с проф праздником вас!

UPD. Это кандидат на окончательное утверждение топа.

🔗 Ссылка на OWASP top 10 2025

📕 Готовимся к изучению докладов

Zeronights подогревает интерес! Стартовала публикация докладов программы на 2025 год.

Напоминаю, что организаторы выкатывают описания выступлений с двух ключевых треков: Offensive и SecOps.

▎ Лично мне бы первым делом хотелось послушать доклады про веб и внешнюю инфру в целом:
➡️"Когда весь периметр — одна страница: критические уязвимости на простых сайтах";
➡️"Что в дашборде твоём? Я просто хотел посмотреть метрики…";
➡️"Вредоносные расширения: как ваш браузер работает на атакующего".

🔗 Ссылка на полный список докладов Zeronights

😈 Нашёл 0-day... почти

Недавно на проекте по пентесту было обнаружено уязвимое коробочное решение Directus v9.23.3.

Directus — это open‑source платформа для управления данными, которая превращает любую SQL‑базу в headless CMS, предоставляя автоматическую REST и GraphQL API и удобный веб-интерфейс для управления контентом.

С таким ПО я столкнулся впервые, поэтому принялся ресёрчить все возможные там API-эндпоинты, файловую структуру и искать уже известные уязвимости (CVE).

Первым делом встала задача определить версию Directus. Немного покопавшись в интернете, обнаружился эндпоинт, раскрывающий версию ПО в одной из констант JS-файла по пути "/admin/assets/...js":

const jN="9.23.3"

Это позволило отсортировать все CVE под данную версию.

Уязвимостей было обнаружено полно, но в рамках этого поста хочу акцентировать внимание на ключевой, которую обнаружил сам, — загрузка любых файлов в админскую Библиотеку файлов без аутентификации + раскрытие списка файлов на эндпоинте /files. Получить доступ к любому файлу можно, зная его ID. После загрузки файлу автоматически присваивается идентификатор, и он становится доступен по публичному URL вида /assets/<ID>.

▎ Риски:
➡️Загрузка вредоносного ПО. Злоумышленник может поместить исполняемые файлы или скрипты, что при их запуске приведет к компрометации системы;
➡️Фишинговые атаки от имени компании с помощью публичных ссылок /assets/<ID>;
➡️Доступны все файлы в "Библиотеке файлов" без аутентификации: невозможность конфиденциально хранить документы и прочую чувствительную информацию для компании;
➡️А также другие риски в имеющихся уязвимостях, речи о которых в данном посте нет.

▎ Рекомендации по устранению уязвимостей:
✅Ограничить публичный доступ к конечной точки загрузки файлов — требовать аутентификацию и авторизацию для загрузок;
✅Валидировать содержимое файлы по проверке сигнатуры (MIME, magic bytes);
✅Ограничить типы и расширения файлов. Явно запрещать исполняемые форматы (например, .exe, .bat, .sh, .php и т.п.) и другие нежелательные форматы. Разрешать строго только необходимых типов по белому списку;
✅Закрыть доступ к конечной точке /files для неавторизованных пользователей;
✅Обновить версию Directus — решит множество проблем разом.

▎ Для пентестеров, обнаруживших Directus в проде:
➡️1) Первым делом определите версию ПО;
➡️2) С имеющейся версией пробуйте эксплуатировать ряд CVEшек. Ссылки на списки оставил в конце поста;
➡️3) Обязательно проверьте наличие GraphQL со включённой интроспекцией. Мне также попались alias flood, мутация без аутентификации и т.д.

Часть уязвимостей в списках CVE эксплуатируется только при наличии сессии — это отличный кейс для серого ящика. На этом проекте я как раз работал по методикам чёрного и серого ящика.

UPD. Оказывается, это не уязвимость в самой коробке, а просто мисконфиг на проекте, допускающий загрузку файлов без аутентификации.

🔗 Ссылка на список CVE Directus в Snyk
🔗 Ссылка на список CVE Directus в GitHub
🔗 Ссылка на список CVE Directus в GitLab

#кейс #материал

🎉 Первый годик!

Ровно год назад, 29 ноября 2024 года, появился канал "Пентестер на мотоцикле", и благодаря вам он продолжает расти! Ваш интерес это лучший стимул двигаться дальше, писать больше и делиться полезным!

Спасибо каждому за подписку, активность и поддержку — именно вы делаете этот проект живым.

Дальше только интереснее! 🏍

🎉 Не утекаем, а празднуем

Коллеги, всех с международным днем защиты информации!
Желаю всем крепких паролей и спокойной инфраструктуры.

🔊 Спикерим

4 декабря пройдёт Ежегодная аналитическая конференция "КОД ИБ | ИТОГИ 2025", в которой я буду принимать участие в качестве спикера.

Приду с темой "Цена лишнего факта: как неосознанные утечки бьют по прибыли", чтобы обратить внимание на скрытые риски, с которыми бизнес сталкивается каждый день, часто даже не замечая их.

Разберём, почему такие мелочи стоят бизнесу реальных денег и как не допустить утечек, которые открывают злоумышленникам дверь во внутрь.

Если будете на конференции — буду рад с вами встретиться и пообщаться)

🗣 Всем привет!

Пришло время подводить итоги года канала "Пентестер на мотоцикле"!

В этом мне сильно помог бот TGStat. Если хотите такую же статистику для своего канала, то отправьте боту @TGStat_Bot сообщение типа "2025 @username".

От себя добавлю: 2025 год оказался переломным в моей жизни: крутая карьера и хоть какая-то начальная известность в своих кругах. Много экспериментов, роста и правильных поворотов. Дальше — больше.

Всех с наступающим!