Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
Fsecurity | HH
Відкрити в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Показати більше2 016
Підписники
Немає даних24 години
-17 днів
-1930 день
Триває завантаження даних...
Схожі канали
Хмара тегів
Вхідні та вихідні згадування
---
---
---
---
---
---
Залучення підписників
червень '26
червень '26
+6
в 0 каналах
травень '26
+28
в 0 каналах
Get PRO
квітень '26
+27
в 0 каналах
Get PRO
березень '26
+51
в 0 каналах
Get PRO
лютий '26
+75
в 1 каналах
Get PRO
січень '26
+62
в 0 каналах
Get PRO
грудень '25
+72
в 1 каналах
Get PRO
листопад '25
+61
в 0 каналах
Get PRO
жовтень '25
+67
в 0 каналах
Get PRO
вересень '25
+83
в 0 каналах
Get PRO
серпень '25
+106
в 0 каналах
Get PRO
липень '25
+71
в 1 каналах
Get PRO
червень '25
+80
в 0 каналах
Get PRO
травень '25
+101
в 0 каналах
Get PRO
квітень '25
+94
в 0 каналах
Get PRO
березень '25
+165
в 0 каналах
Get PRO
лютий '25
+135
в 0 каналах
Get PRO
січень '25
+177
в 0 каналах
Get PRO
грудень '24
+157
в 0 каналах
Get PRO
листопад '24
+301
в 0 каналах
Get PRO
жовтень '24
+207
в 0 каналах
Get PRO
вересень '24
+226
в 0 каналах
Get PRO
серпень '24
+402
в 0 каналах
Get PRO
липень '24
+402
в 0 каналах
Get PRO
червень '24
+320
в 0 каналах
Get PRO
травень '24
+143
в 0 каналах
Get PRO
квітень '24
+188
в 1 каналах
Get PRO
березень '24
+206
в 0 каналах
Get PRO
лютий '24
+1 069
в 0 каналах
| Дата | Залучення підписників | Згадування | Канали | |
| 07 червня | 0 | |||
| 06 червня | +1 | |||
| 05 червня | +1 | |||
| 04 червня | +1 | |||
| 03 червня | 0 | |||
| 02 червня | +1 | |||
| 01 червня | +2 |
Дописи каналу
В Chrome устранено 429 уязвимостей, а в Android - 124
🔗Ссылка:
https://opennet.me/65624/
| 2 | Обмани себя: мошенники в TikTok предлагают взломать чужие аккаунты Roblox и угоняют учётные записи «хакеров»
🔗Ссылка:
https://www.f6.ru/media-center/press-releases/hack-roblox/ | 68 |
| 3 |  Редкие техники закрепления. Часть 2
Читайте также про: Zabbix Agent, TimeProvider.
3️⃣ COM Hijacking
Для закрепления в инфраструктуре злоумышленники использовали редкую технику Component Object Model Hijacking (перехват COM-объектов).
Суть метода — не в прямой подмене DLL системного сервиса (что легко обнаруживается), а в манипуляции структурой реестра Component Object Model. Атакующие создают собственный COM-объект, указывающий на вредоносную библиотеку, и перенаправляют на него вызовы доверенных системных компонентов через легитимный механизм совместимости.
Ключевым элементом атаки выступает раздел реестра TreatAs, изначально предназначенный для прозрачного перенаправления запросов с одного COM-объекта на другой. Злоумышленники находят системный CLSID, обращение к которому происходит регулярно и незаметно, и подменяют его обработку на свой объект.
Особый интерес представляет COM-объект Network List Manager с идентификатором {DCB00C01-570F-4A9B-8D69-199FDBA5723B}, отвечающий за управление сетевыми профилями (netprofm). Обращения к нему происходят при каждой смене сетевого подключения, запуске диагностики сети и старте операционной системы.
Злоумышленники модифицируют ветку:
HKLM\Software\Classes\CLSID{DCB00C01-570F-4A9B-8D69-199FDBA5723B}\TreatAs,
прописывая в значении по умолчанию CLSID своего вредоносного COM-объекта. В результате при работе с сетевыми профилями система автоматически перенаправляет вызов и загружает вредоносную DLL, размещенную по пути %systemroot%\system32\netprofmaaa.dll (имя мимикрирует под оригинальную netprofm.dll).
❗️ Требования к DLL: библиотека должна быть полноценным COM-сервером, реализующим все интерфейсы, ожидаемые от подменяемого объекта Network List Manager, и корректно экспортировать стандартные функции (скриншот 2): DllGetClassObject(), DllCanUnloadNow(), DllRegisterServer() и DllUnregisterServer().
При вызове DllGetClassObject() она должна возвращать фабрику классов, способную создавать экземпляры объекта с ожидаемыми интерфейсами (включая INetworkListManager). Это необходимо для безаварийной работы вызывающих процессов и сохранения скрытности — в противном случае приложения, обращающиеся к сетевому менеджеру, будут аварийно завершаться и демаскировать присутствие вредоносного кода.
Продолжение будет в следующих постах 🙂
#ir #dfir #tips
@ptescalator | 61 |
| 4 |  Всем хак!
Обновил Obsidian Pentest
Если репозиторий был полезен, поставьте ⭐
Также вернул тег сервера в Discord, теперь можете ставить! | 71 |
| 5 |  +2C2 в клеточку GRIDTIDE и искусство прятать шпионаж в Google Sheets. 😃
GRIDTIDE - новый бэкдор на C, который Mandiant и Google Threat Intelligence Group приписывают предполагаемой китайской группе UNC2814, отслеживаемой с 2017 года. Кампания затронула как минимум 53 организации в 42 странах (с учётом подозрительной активности - более 70) из секторов телекома и госуправления по Африке, Азии и Америке. Изюминка - C2-канал: вместо привычной инфраструктуры малварь абьюзит легитимный Google Sheets API, превращая обычную таблицу в канал связи. Ячейки получают роли - A1 опрашивает команды оператора и перезаписывается статусами, A2–An передают вывод и файлы, V1 хранит системные данные хоста; весь трафик кодируется URL-safe Base64 для обхода веб-фильтров. Для периметра это неотличимо от штатной работы с облаком - и это не эксплойт уязвимости Google, а злоупотребление штатной функциональностью.
По кейсу Mandiant первой зацепкой стала подозрительная активность на сервере CentOS: дальше UNC2814 двигались через SSH под сервисной учёткой и LOLBins, закреплялись вредоносным systemd-сервисом (/etc/systemd/system/xapt.service, бинарь в /usr/sbin/xapt) и поднимали SoftEther VPN Bridge для исходящего шифрованного туннеля. Бэкдор ставился прицельно на хосты с PII, логами звонков и метаданными коммуникаций, что укладывается в слежку за «лицами интереса», хотя подтверждённой эксфильтрации Google не зафиксировал. В ответ GTIG завершили все облачные проекты атакующего, отключили инфраструктуру, отозвали доступ к Sheets API и опубликовали IOC по инфраструктуре, активной минимум с 2023 года.
🔗 https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign
🦔THF | 65 |
| 6 | 🔗Ссылка:
https://github.com/ly4k/Certipy | 78 |
| 7 | В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4.
🔗Ссылка:
https://opennet.me/65615/ | 76 |
| 8 | 🔗Ссылка:
https://codeby.net/threads/lateral-movement-cherez-doverennyye-uchetnyye-zapisi-pochemu-edr-molchit-pri-validnykh-credentials.92918/ | 73 |
| 9 | Создание локальных боксов Vagrant для GOAD
Написал заметку по созданию локальных боксов Vagrant. Возможно будет полезна для тех кто испытывает затруднения с выкачиванием образов из Интернета.
Приятного чтения! | 70 |
| 10 | 🔗Ссылка:
https://habr.com/ru/companies/cloud4y/articles/1043478/ | 79 |
| 11 | 🔗Ссылка:
https://habr.com/ru/articles/1041620/ | 75 |
| 12 | Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈 | 73 |
| 13 | 🔗Ссылка:
https://habr.com/ru/companies/kaspersky/articles/1042288/ | 74 |
| 14 |  Одна из главных тем в ИБ-новостях последних дней — противостояние корпорации Microsoft и анонимного исследователя Nightmare Eclipse, который за два месяца опубликовал уже шесть серьёзных эксплойтов для Windows. Самый неприятный из них — MiniPlasma — с апреля используется в реальных атаках. Официального патча пока нет.
Как это работает:
Эксплоит основан на CVE-2020-17103 — уязвимости локального повышения привилегий в драйвере Windows Cloud Files Mini Filter Driver (cldflt.sys). Уязвимость была обнаружена ещё в 2020 году, и считалась уже закрытой. Однако Nightmare Eclipse показал, что она работает до сих пор, позволяя локальному пользователю поднять права до SYSTEM.
cldflt.sys — это системный драйвер, который реализует Cloud Files API (CFAPI) и используется для работы placeholder-файлов и механизмов синхронизации, включая OneDrive Files On-Demand.
Для взаимодействия с драйвером эксплойт использует недокументированный API CfAbortHydration, предназначенный для прерывания проверки облачного файла. Этот API, в свою очередь, вызывает внутреннюю функцию драйвера cldflt!HsmOsBlockPlaceholderAccess, которая по своей логике должна блокировать доступ к облачному файлу путём создания соответствующего служебного ключа в реестре.
Функция HsmOsBlockPlaceholderAccess выполняется в контексте привилегированного драйвера, но не проверяет, имеет ли вызывающий процесс права на запись в целевую ветку реестра. В результате эксплойт получает возможность создать произвольный ключ реестра в системной области HKEY_USERS\.DEFAULT, куда обычный пользователь не имеет доступа на запись.
MiniPlasma создаёт в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps не обычный ключ, а символическую ссылку (registry symbolic link). Эта ссылка перенаправляет на другую область реестра — \Registry\User\.DEFAULT\Volatile Environment, которая содержит временные переменные окружения для системного профиля.
Через созданную символическую ссылку эксплойт изменяет значение переменной windir в Volatile Environment с C:\Windows на путь, контролируемый атакующим, например C:\Users\Public\FakeSystem (текущая директория + system32\wermgr.exe). В указанную атакующим директорию предварительно помещается поддельный исполняемый файл wermgr.exe.
Далее эксплойт обращается к планировщику задач Windows и активирует встроенную задачу \Microsoft\Windows\Windows Error Reporting\QueueReporting. Эта задача настроена на запуск с правами SYSTEM и по умолчанию выполняет команду %windir%\system32\wermgr.exe.
Благодаря ранее изменённой переменной windir система подставляет подконтрольный атакующему путь, и вместо легитимного системного файла запускается поддельный wermgr.exe — но уже с привилегиями NT AUTHORITY\SYSTEM (см. скриншот выше).
Как детектировать атаку:
1. Отслеживайте создание SymbolLinks в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps:
category: registry_set
product: windows
detection:
selection:
TargetObject|contains: 'Policies\Microsoft\CloudFiles\BlockedApps'
Details: 'SymbolicLinkValue'
condition: selection
2. Отслеживайте появление wermgr.exe вне стандартных путей:
category: process_creation
product: windows
detection:
selection:
TargetFilename|endswith: '\wermgr.exe'
filter_system_locations:
TargetFilename|startswith:
- 'C:\Windows\System32\'
- 'C:\Windows\SysWOW64\'
- 'C:\Windows\WinSxS\'
- 'C:\Windows\servicing\'
- 'C:\$WINDOWS.~BT\'
- 'C:\Windows\SoftwareDistribution\'
condition: selection and not filter_system_locations
3. Отслеживайте запуск системных бинарников или их имитаций из нестандартных директорий.
4. Данный PoC использует библиотеку .NET NtApiDotNet исcледователя James Forshaw для работы с реестровыми Native API, что также является индикатором. | 75 |
| 15 | 🔗Ссылка:
https://habr.com/ru/articles/1037106/ | 84 |
| 16 |  #КиберМем
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT | 86 |
| 17 | Злоумышленники начали активно использовать критическую уязвимость в одном из ключевых компонентов Windows Server спустя всего несколько недель после выхода исправления. Проблема затрагивает службу Netlogon, которая отвечает за проверку подлинности пользователей и сервисов в корпоративных сетях. Учитывая широкое распространение Netlogon, новый вектор атак может представлять серьёзную угрозу для организаций по всему миру.
🔗Ссылка:
https://www.securitylab.ru/news/573263.php | 83 |
| 18 | ssh-keysign-pwn — CVE-2026-46333
A critical race condition flaw in pre-31e62c2ebbfd Linux kernels. Due to a window during process exit where the memory management structure is cleared before file descriptors are closed, an unprivileged user can use pidfd_getfd(2) to steal open file descriptors of privileged processes, enabling unauthorized reading of root-owned files.
🔗 Exploit:
https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn
🔗 Source:
https://blog.qualys.com/vulnerabilities-threat-research/2026/05/20/cve-2026-46333-local-root-privilege-escalation-and-credential-disclosure-in-the-linux-kernel-ptrace-path
#linux #kernel #privesc #racecondition #pidfd | 76 |
| 19 | 🔗Ссылка:
https://gist.github.com/Vendicated/bb30cb67878fa682bcee140f56af1531 | 104 |
| 20 |  +4⚠️ Включил отладку по Wi-Fi — получил Mamont
В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя.
Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi.
Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий (скриншот 1). Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством.
🧐 Мы решили изучить, как далеко может зайти злоумышленник при эксплуатации данной CVE.
Схема заражения устройства:
1️⃣ Пользователь с включенной отладкой по Wi-Fi подключается к незащищенной Wi-Fi-сети.
2️⃣ Злоумышленник, находясь в этой же сети, сканирует ее на наличие адресов с открытыми портами для отладки по ADB (скриншот 2).
3️⃣ Проэксплуатировав CVE-2026-0073, злоумышленник получает доступ к командной строке мобильного устройства и может выполнять различные команды на устройстве (скриншот 3):
➖ получать доступ к спискам контактов, звонков, SMS-сообщений и установленных приложений;
➖ удалять и устанавливать приложения без ведома пользователя;
➖ повышать привилегии установленного приложения, выдав ему специальные разрешения на устройстве: специальные возможности (Accessibility Services) и доступ к уведомлениям (Notification Access).
Получив необходимые данные, злоумышленник может удалить легитимное приложение на устройстве и заменить его на приложение с вредоносными функциями (скриншот 4).
4️⃣ Происходит кража пользовательских данных и их отправка на серверы злоумышленников.
Почему так происходит?
1️⃣ Уязвимость находится в демоне Android Debug Bridge — adbd: в функции проверки TLS-сертификатов adbd_tls_verify_cert в auth.cpp.
2️⃣ Атака затрагивает режим Wireless Debugging / ADB-over-TCP, где подключение между ПК и устройством строится через mutual TLS: Android проверяет клиентский сертификат подключающегося хоста.
3️⃣ В нормальном режиме adbd сравнивает публичный ключ сертификата клиента с ранее доверенным ключом, сохраненным после ADB pairing.
4️⃣ Ошибка возникает из-за неправильной обработки результата функции EVP_PKEY_cmp: код считает любое ненулевое значение успешным совпадением ключа.
5️⃣ Злоумышленник подменяет TLS-сертификат, используя ключ другого типа (например, EC/Ed25519 вместо RSA). В таком случае EVP_PKEY_cmp возвращает -1 («разные типы ключей»), но уязвимый код воспринимает это как успешную проверку.
6️⃣ Происходит обход mutual TLS-аутентификации: adbd ошибочно считает атакующего доверенным ADB-хостом.
7️⃣ После обхода проверки атакующий получает удаленный доступ к ADB shell без взаимодействия с пользователем устройства.
Для успешной эксплуатации уязвимости необходимо, чтобы устройство хотя бы раз подключалось к какому-либо хосту и в списке доверенных устройств хранился хотя бы один публичный ключ.
🛠 Как защитить ваши устройства:
1️⃣ Выключайте функцию отладки по Wi-Fi, когда она не используется. Ввиду особенности эксплуатации CVE-2026-0073 подвержены только устройства с включенной отладкой по Wi-Fi. Эта функция по умолчанию выключена, поэтому у обычных пользователей риск минимален.
2️⃣ Не включайте отладку по Wi-Fi в недоверенных сетях.
3️⃣ Устанавливайте обновления ОС на постоянной основе: патчи безопасности за май 2026 уже доступны на многих устройствах.
4️⃣ Настройте безопасность рабочей и личной Wi-Fi-сети: изолируйте клиентов и заблокируйте доступ по недоверенным портам.
5️⃣ Будьте внимательны к уведомлениям, которые приходят на ваше устройство. При подключении к отладке по Wi-Fi на экране устройства появляется уведомление о подключении стороннего устройства (скриншот 5).
Внимание к деталям сделает ваши устройства безопаснее.
#dfir #mobile #android #CVE
@ptescalator | 100 |
