现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 017
订阅者
-124 小时
-47 天
-2130 天
数据加载中...
相似频道
标签云
进出提及
---
---
---
---
---
---
吸引订阅者
六月 '26
六月 '26
+7
在0个频道中
五月 '26
+28
在0个频道中
Get PRO
四月 '26
+27
在0个频道中
Get PRO
三月 '26
+51
在0个频道中
Get PRO
二月 '26
+75
在1个频道中
Get PRO
一月 '26
+62
在0个频道中
Get PRO
十二月 '25
+72
在1个频道中
Get PRO
十一月 '25
+61
在0个频道中
Get PRO
十月 '25
+67
在0个频道中
Get PRO
九月 '25
+83
在0个频道中
Get PRO
八月 '25
+106
在0个频道中
Get PRO
七月 '25
+71
在1个频道中
Get PRO
六月 '25
+80
在0个频道中
Get PRO
五月 '25
+101
在0个频道中
Get PRO
四月 '25
+94
在0个频道中
Get PRO
三月 '25
+165
在0个频道中
Get PRO
二月 '25
+135
在0个频道中
Get PRO
一月 '25
+177
在0个频道中
Get PRO
十二月 '24
+157
在0个频道中
Get PRO
十一月 '24
+301
在0个频道中
Get PRO
十月 '24
+207
在0个频道中
Get PRO
九月 '24
+226
在0个频道中
Get PRO
八月 '24
+402
在0个频道中
Get PRO
七月 '24
+402
在0个频道中
Get PRO
六月 '24
+320
在0个频道中
Get PRO
五月 '24
+143
在0个频道中
Get PRO
四月 '24
+188
在1个频道中
Get PRO
三月 '24
+206
在0个频道中
Get PRO
二月 '24
+1 069
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 07 六月 | +1 | |||
| 06 六月 | +1 | |||
| 05 六月 | +1 | |||
| 04 六月 | +1 | |||
| 03 六月 | 0 | |||
| 02 六月 | +1 | |||
| 01 六月 | +2 |
频道帖子
Repost from BugXplorer
HTTP/2 WAF Bypass: A Black-Box Methodology
https://lab.ctbb.show/research/h2-WAF-Bypasses
| 2 | 🔗Ссылка:
https://github.com/APTRS/APTRS | 59 |
| 3 | 🔗Ссылка:
https://www.rapid7.com/blog/post/ve-cve-2026-0826-critical-unauthenticated-stack-buffer-overflow-hp-poly-vvx-trio-voip-phones-fixed/ | 62 |
| 4 | В Chrome устранено 429 уязвимостей, а в Android - 124
🔗Ссылка:
https://opennet.me/65624/ | 75 |
| 5 | Обмани себя: мошенники в TikTok предлагают взломать чужие аккаунты Roblox и угоняют учётные записи «хакеров»
🔗Ссылка:
https://www.f6.ru/media-center/press-releases/hack-roblox/ | 88 |
| 6 |  Редкие техники закрепления. Часть 2
Читайте также про: Zabbix Agent, TimeProvider.
3️⃣ COM Hijacking
Для закрепления в инфраструктуре злоумышленники использовали редкую технику Component Object Model Hijacking (перехват COM-объектов).
Суть метода — не в прямой подмене DLL системного сервиса (что легко обнаруживается), а в манипуляции структурой реестра Component Object Model. Атакующие создают собственный COM-объект, указывающий на вредоносную библиотеку, и перенаправляют на него вызовы доверенных системных компонентов через легитимный механизм совместимости.
Ключевым элементом атаки выступает раздел реестра TreatAs, изначально предназначенный для прозрачного перенаправления запросов с одного COM-объекта на другой. Злоумышленники находят системный CLSID, обращение к которому происходит регулярно и незаметно, и подменяют его обработку на свой объект.
Особый интерес представляет COM-объект Network List Manager с идентификатором {DCB00C01-570F-4A9B-8D69-199FDBA5723B}, отвечающий за управление сетевыми профилями (netprofm). Обращения к нему происходят при каждой смене сетевого подключения, запуске диагностики сети и старте операционной системы.
Злоумышленники модифицируют ветку:
HKLM\Software\Classes\CLSID{DCB00C01-570F-4A9B-8D69-199FDBA5723B}\TreatAs,
прописывая в значении по умолчанию CLSID своего вредоносного COM-объекта. В результате при работе с сетевыми профилями система автоматически перенаправляет вызов и загружает вредоносную DLL, размещенную по пути %systemroot%\system32\netprofmaaa.dll (имя мимикрирует под оригинальную netprofm.dll).
❗️ Требования к DLL: библиотека должна быть полноценным COM-сервером, реализующим все интерфейсы, ожидаемые от подменяемого объекта Network List Manager, и корректно экспортировать стандартные функции (скриншот 2): DllGetClassObject(), DllCanUnloadNow(), DllRegisterServer() и DllUnregisterServer().
При вызове DllGetClassObject() она должна возвращать фабрику классов, способную создавать экземпляры объекта с ожидаемыми интерфейсами (включая INetworkListManager). Это необходимо для безаварийной работы вызывающих процессов и сохранения скрытности — в противном случае приложения, обращающиеся к сетевому менеджеру, будут аварийно завершаться и демаскировать присутствие вредоносного кода.
Продолжение будет в следующих постах 🙂
#ir #dfir #tips
@ptescalator | 73 |
| 7 |  Всем хак!
Обновил Obsidian Pentest
Если репозиторий был полезен, поставьте ⭐
Также вернул тег сервера в Discord, теперь можете ставить! | 78 |
| 8 |  +2C2 в клеточку GRIDTIDE и искусство прятать шпионаж в Google Sheets. 😃
GRIDTIDE - новый бэкдор на C, который Mandiant и Google Threat Intelligence Group приписывают предполагаемой китайской группе UNC2814, отслеживаемой с 2017 года. Кампания затронула как минимум 53 организации в 42 странах (с учётом подозрительной активности - более 70) из секторов телекома и госуправления по Африке, Азии и Америке. Изюминка - C2-канал: вместо привычной инфраструктуры малварь абьюзит легитимный Google Sheets API, превращая обычную таблицу в канал связи. Ячейки получают роли - A1 опрашивает команды оператора и перезаписывается статусами, A2–An передают вывод и файлы, V1 хранит системные данные хоста; весь трафик кодируется URL-safe Base64 для обхода веб-фильтров. Для периметра это неотличимо от штатной работы с облаком - и это не эксплойт уязвимости Google, а злоупотребление штатной функциональностью.
По кейсу Mandiant первой зацепкой стала подозрительная активность на сервере CentOS: дальше UNC2814 двигались через SSH под сервисной учёткой и LOLBins, закреплялись вредоносным systemd-сервисом (/etc/systemd/system/xapt.service, бинарь в /usr/sbin/xapt) и поднимали SoftEther VPN Bridge для исходящего шифрованного туннеля. Бэкдор ставился прицельно на хосты с PII, логами звонков и метаданными коммуникаций, что укладывается в слежку за «лицами интереса», хотя подтверждённой эксфильтрации Google не зафиксировал. В ответ GTIG завершили все облачные проекты атакующего, отключили инфраструктуру, отозвали доступ к Sheets API и опубликовали IOC по инфраструктуре, активной минимум с 2023 года.
🔗 https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign
🦔THF | 73 |
| 9 | 🔗Ссылка:
https://github.com/ly4k/Certipy | 80 |
| 10 | В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4.
🔗Ссылка:
https://opennet.me/65615/ | 78 |
| 11 | 🔗Ссылка:
https://codeby.net/threads/lateral-movement-cherez-doverennyye-uchetnyye-zapisi-pochemu-edr-molchit-pri-validnykh-credentials.92918/ | 75 |
| 12 | Создание локальных боксов Vagrant для GOAD
Написал заметку по созданию локальных боксов Vagrant. Возможно будет полезна для тех кто испытывает затруднения с выкачиванием образов из Интернета.
Приятного чтения! | 77 |
| 13 | 🔗Ссылка:
https://habr.com/ru/companies/cloud4y/articles/1043478/ | 81 |
| 14 | 🔗Ссылка:
https://habr.com/ru/articles/1041620/ | 79 |
| 15 | Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈 | 76 |
| 16 | 🔗Ссылка:
https://habr.com/ru/companies/kaspersky/articles/1042288/ | 78 |
| 17 |  Одна из главных тем в ИБ-новостях последних дней — противостояние корпорации Microsoft и анонимного исследователя Nightmare Eclipse, который за два месяца опубликовал уже шесть серьёзных эксплойтов для Windows. Самый неприятный из них — MiniPlasma — с апреля используется в реальных атаках. Официального патча пока нет.
Как это работает:
Эксплоит основан на CVE-2020-17103 — уязвимости локального повышения привилегий в драйвере Windows Cloud Files Mini Filter Driver (cldflt.sys). Уязвимость была обнаружена ещё в 2020 году, и считалась уже закрытой. Однако Nightmare Eclipse показал, что она работает до сих пор, позволяя локальному пользователю поднять права до SYSTEM.
cldflt.sys — это системный драйвер, который реализует Cloud Files API (CFAPI) и используется для работы placeholder-файлов и механизмов синхронизации, включая OneDrive Files On-Demand.
Для взаимодействия с драйвером эксплойт использует недокументированный API CfAbortHydration, предназначенный для прерывания проверки облачного файла. Этот API, в свою очередь, вызывает внутреннюю функцию драйвера cldflt!HsmOsBlockPlaceholderAccess, которая по своей логике должна блокировать доступ к облачному файлу путём создания соответствующего служебного ключа в реестре.
Функция HsmOsBlockPlaceholderAccess выполняется в контексте привилегированного драйвера, но не проверяет, имеет ли вызывающий процесс права на запись в целевую ветку реестра. В результате эксплойт получает возможность создать произвольный ключ реестра в системной области HKEY_USERS\.DEFAULT, куда обычный пользователь не имеет доступа на запись.
MiniPlasma создаёт в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps не обычный ключ, а символическую ссылку (registry symbolic link). Эта ссылка перенаправляет на другую область реестра — \Registry\User\.DEFAULT\Volatile Environment, которая содержит временные переменные окружения для системного профиля.
Через созданную символическую ссылку эксплойт изменяет значение переменной windir в Volatile Environment с C:\Windows на путь, контролируемый атакующим, например C:\Users\Public\FakeSystem (текущая директория + system32\wermgr.exe). В указанную атакующим директорию предварительно помещается поддельный исполняемый файл wermgr.exe.
Далее эксплойт обращается к планировщику задач Windows и активирует встроенную задачу \Microsoft\Windows\Windows Error Reporting\QueueReporting. Эта задача настроена на запуск с правами SYSTEM и по умолчанию выполняет команду %windir%\system32\wermgr.exe.
Благодаря ранее изменённой переменной windir система подставляет подконтрольный атакующему путь, и вместо легитимного системного файла запускается поддельный wermgr.exe — но уже с привилегиями NT AUTHORITY\SYSTEM (см. скриншот выше).
Как детектировать атаку:
1. Отслеживайте создание SymbolLinks в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps:
category: registry_set
product: windows
detection:
selection:
TargetObject|contains: 'Policies\Microsoft\CloudFiles\BlockedApps'
Details: 'SymbolicLinkValue'
condition: selection
2. Отслеживайте появление wermgr.exe вне стандартных путей:
category: process_creation
product: windows
detection:
selection:
TargetFilename|endswith: '\wermgr.exe'
filter_system_locations:
TargetFilename|startswith:
- 'C:\Windows\System32\'
- 'C:\Windows\SysWOW64\'
- 'C:\Windows\WinSxS\'
- 'C:\Windows\servicing\'
- 'C:\$WINDOWS.~BT\'
- 'C:\Windows\SoftwareDistribution\'
condition: selection and not filter_system_locations
3. Отслеживайте запуск системных бинарников или их имитаций из нестандартных директорий.
4. Данный PoC использует библиотеку .NET NtApiDotNet исcледователя James Forshaw для работы с реестровыми Native API, что также является индикатором. | 79 |
| 18 | 🔗Ссылка:
https://habr.com/ru/articles/1037106/ | 88 |
| 19 |  #КиберМем
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT | 92 |
| 20 | Злоумышленники начали активно использовать критическую уязвимость в одном из ключевых компонентов Windows Server спустя всего несколько недель после выхода исправления. Проблема затрагивает службу Netlogon, которая отвечает за проверку подлинности пользователей и сервисов в корпоративных сетях. Учитывая широкое распространение Netlogon, новый вектор атак может представлять серьёзную угрозу для организаций по всему миру.
🔗Ссылка:
https://www.securitylab.ru/news/573263.php | 89 |
