Cybred

Пока они фиксят, он компилирует новый PoC После того, как Microsoft снесла все репозитории Nightmare Eclipse с GitHub и GitLab, сообщество не позволило знаниям исчезнуть. Энтузиасты собрали все эксплойты и сохранили на отдельном сайте, которым поделился сам исследователь. — RoguePlanet (10.06): LPE до SYSTEM через Microsoft Defender — MiniPlasma (17.05) — LPE через драйвер cldflt.sys — GreenPlasma (13.05) — LPE через CTFMON — YellowKey (13.05) — обход BitLocker — RedSun (16.04) — LPE до SYSTEM через Defender — UnDefend (16.04) — отключение/обход защиты и обновлений Defender — BlueHammer (03.04) — LPE до SYSTEM через компоненты Defender. Зеркало включает все прошлые зеродеи, в том числе RoguePlanet, вышедший вчера.

Codex for Open Source Альтман проснулся в хорошем настроении и решил раздать всем желающим доступ к Codex Security, ChatGPT Pro, а еще подарить кучу API-кредитов. Бесплатно и на 6 месяцев. Самое интересное здесь Codex Security. Это Mythos от OpenAI, который умеет строить глубокий контекст проекта, находить сложные уязвимости и генерировать готовые эксплойты. На сайте говорится, что можно подавать заявку, если у тебя есть хоть какой-нибудь проект на GitHub. Официального порога по звездам нет, главное — изредка его мейнтейнить.

Codex Discovered a Hidden HTTP/2 Bomb Домашний компьютер, подключенный к сети со скоростью 100 Мбит/с, может сделать уязвимый сервер недоступным в считанные секунды. В случае с Apache httpd и Envoy один клиент "забивает" 32 ГБ памяти сервера примерно за 20 секунд. Новая уязвимость, которая работает против NGINX, Apache HTTPD, Microsoft IIS, Envoy, и Cloudflare Pingora.

The bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it.

Shodan: ssl.alpn:"h2" product:nginx,Apache,IIS,Envoy,Pingora PoC: http2-bomb

"That sounds impossible" — ответила техподдержка на баг, через который на днях увели старую учётку Обамы в инсте. А тем временем еще один ресерчер, как и Nightmare Eclipse, не вынес MSRC и слил собственный 0day в паблик. Сотрудник Google Ammar Askar рассказал, как с помощью одного клика можно украсть OAuth-токен GitHub с полным доступом ко всем твоим репозиториям, включая приватные. > GitHub имеет фичу github.dev — лёгкий VSCode прямо в браузере. Чтобы он работал, GitHub передаёт туда токен, не привязанный к конкретному репо — он открывает доступ ко всему. > VSCode изолирует ненадёжный контент (типа превью для Markdown) в <iframe> другого домена. Но чтобы горячие клавиши работали внутри webview, VSCode пробрасывает события клавиатуры (did-keydown) с помощью пост-месседжей в основное окно. И вот проблема: любой unsafe JS таким образом внутри webview может сам "нажимать клавиши" в основном окне вместо тебя. Через хитрую комбинацию (рекомендованные расширения + локальные workspace-расширения, которые обходят проверку доверия издателя) хакер эмулирует нажатия клавиш, тихо ставит своё расширение и получает исполнение кода в основном контексте, вместе с кражей самого токена.

APKImpure В APK-файле Telegram из альтернативного стора APKPure есть класс DataCollector, которого нет в оригинальном приложении. В нем есть методы со сбором данных: — sendFullProfile() — инфо о профиле — sendPhone() — номер телефона — collectPhoneContacts() — контакты — sendDialogInfo() — сообщения — collectGalleryImages() — фото, — collectGalleryVideos() — видео — collectDeviceDocs() — файлы — sendLocation() — GPS-координаты — collectSimInfo() — инфо о сим-карте Которые в конце отправляют все собранное на чей-то сервер 38.190.225.166 (Hong Kong). Засабмитить APK может любой, а сами файлы никто досконально не проверяет. Поэтому весь магазин наполнен приложениями с такими "подарками". Сэмпл тут

YellowKey Это 0day от Nightmare-Eclipse, который обходит BitLocker всего с помощью пары файлов на флешке. И за последние годы это уже пятый подобный эксплоит. Предыдущими были CVE-2022-41099, CVE-2023-21563, CVE-2024-20666 и CVE-2025-48804. А о bitpixie у меня даже был отдельный пост. И что я заметил, так это то, что все они сильно похожи, потому что эксплуатируют один и тот же компонент — а именно WinRE (среда восстановления Windows). И это не случайно. Секрет на скриншоте. В случае с YellowKey, винда ищет в файлах на флешке нужные флаги, отвечающие за включение "test mode". А дальше система просто позволяет скипнуть битлокер и дать шелл к расшифрованному диску. Microsoft оставила в WinRE столько debug-кода, что он уже несколько лет порождает криты, и это далеко не последний.

Бурмалда 7 мая в Telegram добавили Guest Mode, который позволил ботам отвечать в тех чатах, где они не являются участниками. И в этой фиче нашли интересную особенность — вместо самого бота, в «Forwarded from» при пересылке из диалогов записывался аккаунт собеседника. Информация быстро оказалась в паблике, и многие стали подделывать сообщения от официальных аккаунтов. Например, от имени волонтерской поддержки или от официальной «service notifications» учетки Telegram. А кто-то даже придумал продавать. Продлилось это недолго, срочный фикс выкатили в ночь с 8 на 9 мая. Теперь подделать сообщения нельзя, но все старые остались на месте.

Instagram убрал сквозное шифрование во всех новых чатах. Цукерберг оправдал это защитой детей, но на самом деле скорее всего сделал это ради хороших отношений с администрацией и сбора данных для рекламных алгоритмов. А Xitter, наоборот, громко анонсировал поддержку E2EE во всех чатах и даже создал отдельное приложение XChat. Но, как обычно, дьявол кроется в деталях. Маск решил использовать протокол JuiceBox. Идея на бумаге красивая: ключи шардируются и распределяются между тремя независимыми инстансами в разных юрисдикциях. Чтобы прочитать твой чат, спецслужбам нужно собрать «пазл» из трех стран одновременно. Но что мы имеем по факту: Реализация в X — сделана скорее для пиара: — вместо разных стран, все три инстанса подняты на одном и том же AWS, в юрисдикции США — пин-код из 4-х цифр: ключи зашифрованы пином, который брутфорсится за доли секунды В итоге один запрос от ФБР — и вся переписка у них на руках. В документации X обещает распределение между рилмами в будущем

In the future, we plan to give users more options, such as choosing realms operated by different organizations to further distribute trust and self-custody of keys.

Но, как известно, нет ничего более постоянного, чем временное. Telegram, например, годами кормил аудиторию обещаниями выложить серверную часть в опенсорс, пока в 2021 году Дуров окончательно не похоронил эту идею, публично заявив, что открывать код сервера никто не собирается.

Всегда считалось, что Stuxnet — это первый в истории вредонос для физического саботажа. Но недавнее открытие аналитиков из SentinelOne полностью ломает этот таймлайн. На прошлой неделе в их блоге вышел детальный разбор гениального вируса fast16, который появился еще в 2005 году. За 5 лет до того, как мир узнал про иранские центрифуги. Наткнулись случайно Исследователи копались в старых архивах и наткнулись на подозрительный файл svcmgmt.exe, внутри которого крутилась кастомная виртуальная машина Lua 5.0. Отпечатки PDB-путей привели к старой утечке ShadowBrokers из 2017 года. В каталоге АНБ напротив сигнатуры fast16 стояла пометка для своих операторов: «NOTHING TO SEE HERE — CARRY ON». Техническая начинка — ядром является низкоуровневый драйвер файловой системы (fast16.sys), который висит в памяти ядра и перехватывает обращения к диску — драйвер не трогает обычные пользовательские программы, его целью является код, скомпилированный компилятором Intel C/C++ — именно его использовали в тяжелом инженерном софте для физических симуляций, гидродинамики и ядерного моделирования (например, LS-DYNA) — когда инженер запускал расчеты, fast16 находил нужные математические функции в оперативной памяти и аккуратно подменял инструкции работы с плавающей запятой. Как это работало на практике Софт не падал, интерфейс не вис, а оператор видел абсолютно штатный процесс симуляции. Но цифры на выходе получались едва заметно, ювелирно искаженными. Для сложного проекта (например, расчет прочности обшивки ракеты или критической массы ядерного заряда) погрешность даже в сотые доли процента означает, что деталь или устройство просто разрушится на этапе реальных испытаний. Годы работы ученых и миллионы долларов улетали в трубу из-за «ошибок в чертежах», которые на самом деле были результатом работы fast16. ИМХО Была бы еще одна страна, которая терроризирует всех ядерной дубиной. Но вместо того, чтобы кого-то бомбить — тихо «подорвали» все ее научные разработки изнутри. То, что мы узнаем об этом только спустя 20 лет, доказывает: идеальные кибероперации ведутся тихо, незаметно и могут решать любые проблемы без кровопролития.

CVE-2026-31431 a/k/a CopyFail > Linux LPE > Description sounds like AI slop > Exploit is legit > Impacts every Linux kernel from 2017 - Now > Proof-of-concept released > It's Wednesday? https://copy.fail/

Attack chain: 1. Взломали context.ai, которым пользовался один из сотрудников Vercel 2. Нашли его OAuth-токен с доступом к Google Workspace (само приложение сейчас уже удалено) 3. Использовали его, чтобы окончательно попасть в инфру После первоначального доступа могли собрать some Vercel environments and environment variables that were not marked as "sensitive" и ... пока на этом все.

At this time, we do not have reason to believe that credentials or personal data have been compromised.

Sensitive environment variables — это те переменные окружения, которые ты должен отметить сам, после чего они шифруются. Но многие этого не делают, поэтому данные лежат открыто. Что нужно сделать: — проверить логи активности через Dashboard или CLI — ротировать переменные окружения и отметить необходимые как "sensitive" — поискать подозрительные деплойменты Сейчас компания продолжает расследовать инцидент вместе с Mandiant. Отдельно отмечают, что хакер(ы) хорошо ориентировались и быстро продвигались.

Vercel сообщили об инциденте:

We’ve identified a security incident that involved unauthorized access to certain internal Vercel systems. At this time, we have identified a limited subset of customers that were impacted and are engaging with them directly.

Параллельно с этим админ BreachForums под ником ShinyHunters предложил приобрести у него API-ключи, исходный код и базу данных хостинга. Но верить ему не стоит. Утекло ли что-то на самом деле — покажет время. Настоящая группа ShinyHunters покинула очередную итерацию BreachForums после предыдущего ареста форума, а нынешний админ нового «реборна» лишь выдает себя за участников этой группы.

Интересный факт: кто-то потратил 10 млн долларов на карточки Мегалодона для GTA Online в США в 2020 году. Это удалось выяснить из вчерашней утечки GTA VI. В открытом доступе оказалась не сама игра, а только аналитика. Взломали инстансы Snowflake, принадлежащие Rockstar. Тем временем на Polymarket принимают ставки, что произойдет раньше: возвращение Христа или выход GTA 6. Шансы 50/50

Nyx Ультимативный скрипт для заметания следов, работающий по принципу «выжженной земли». Ни для кого не секрет, что современные ОС работают как первоклассные стукачи, записывая каждое твоё действие в десятки отдельных папок и веток реестра. Запоминать и вычищать всё это вручную — путь в никуда. Вот только пара интересных мест в Windows, о которых ты мог не знать: — ShimCache (AppCompatCache): хранит данные о запускаемых бинарниках для обеспечения совместимости. Хранится в памяти и сбрасывается в реестр при выключении. Это один из первых векторов, куда смотрит аналитик, чтобы восстановить таймлайн твоих действий. — ShellBags: Windows помнит каждую папку, которую ты открывал, её размер, положение окна и время доступа. Даже если ты удалил папку и затер её шредером — запись в реестре расскажет, что она там была. — UserAssist: списки запускаемых программ с их счетчиками и временем последнего старта evilsocket — исследователь с опытом в 20 лет и создатель bettercap — выпустил решение, которое делает всю грязную работу за тебя. Nyx проходит катком по всем местам, где система могла сохранить метаданные о твоих действиях, запущенном софте или подключенных устройствах, устраивая настоящий ад для цифровой криминалистики. Он не только стирает логи операционной системы, но и умеет даже вырезать артефакты EDR вроде CrowdStrike или SentinelOne. Поддерживаются все основные ОС (Windows, Linux и MacOS), а размер скрипта умещается в строгие 39.2кб.

Сотрудники ФБР смогли прочитать переписку из Signal Им удалось это сделать, несмотря на E2EE-шифрование и автоудаление переписки по таймеру. Причиной стали пуш-уведомления от Apple, в которых отображалось содержимое переписок. Они оседают на серверах, а также сохраняются в системное хранилище смартфона и остаются там даже после удаления приложения. Для защиты в Signal существует настройка, которая была отключена у задержанной. Она скрывает получателя и сам текст сообщения. Чтобы ее включить, нужно перейти в профиль > Notifications > Show и выбрать «No name or message».

Bluehammer Парень с ником ChaoticEсlipse0 просто взял и дропнул на всех 0day с повышением привилегий через Defender. Он не объяснил своих действий, но vx-undeground со ссылкой на Xitter подтвердил, что эксплоит рабочий. По словам исследователя, скоро будет еще один

Another 0day unpatched LPE will be released soon.

The-A-Files — обходим антивирусы треками Клонекса Наблюдать за TeamPCP интересно — они сформировались совсем недавно, за последнее время хайджекнули несколько очень популярных пакетов, включая Trivy, Checkmarx, LiteLLM, Telnyx, написали собственного червя CanisterWorm, и продолжают осваивать редкие и продвинутые тактики, вроде блокчейна в качестве C2. После достигнутых успехов они также запартнерились с Vect Ransomware Group и вряд ли позволят о себе забыть в ближайшее время. В своей последней атаке группа использовала стеганографию. Чтобы доставить малварь на таргет, они скрыли полезную нагрузку внутри звукового .wav, который выглядит легитимно в трафике и помогает обходить антивирусы, ориентирующихся на более распространенные форматы. В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR. В репозитории The A-Files можно найти куда более изощрённые техники, например: — Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук — Phase Coding — кодирование через изменение фазы без заметной потери качества — Echo Hiding — внедрение слабых искусственных эхо с различными параметрами И это только малая часть доступных методов — для каждого из них в репозитории есть реализации. Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.

В Nekogram нашли бэкдор, который сливает номера телефонов Анонимный исследователь разреверсил неофициальный клиент Telegram и обнаружил вредоносный код в файле Extra.java. Он отличается от того, который залит в официальный репозиторий, и отвечает за отправку связки «номер телефона-метаданные аккаунта» inline-запросом боту @nekonotificationbot. В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.

Я не верю, что это совпадение За прошедшие сутки прошло два события: 1. У пользователей на российских номерах (независимо от платформы) в Telegram начал появляться баннер о том, что они больше не смогут оплатить Telegram Premium. 2. Telega анонсировала собственную подписку

Чтобы расти дальше, нам необходимо серьезное финансирование, и мы думаем запустить собственную подписку. Поддержали бы такой формат?

И это после нарушения GPLv2, вместе со скандалом с перехватом трафика у нескольких миллионов пользователей. Получается красивая картина: вместо того чтобы выпилить шпионский клиент из всех магазинов и отозвать у него api_id, Дуров фактически легализовал его. И мало того — позволит ему спокойно отбирать платежных пользователей у самого Telegram.

Ответ TG по поводу уязвимости Пресс-служба компании заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist". Но правда ли это? Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.