Fsecurity | HH
Відкрити в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Показати більше2 011
Підписники
+124 години
Немає даних7 днів
-730 день
Архів дописів
2 012
Repost from no system is safe // cybersec
☄️Meduza Stealer встретила Новый год с обновками
Автор инфостилера Meduza преподнес фанатам рождественский подарок — усовершенствовал зловреда и выпустил версию 2.2. Соответствующий анонс был обнаружен на XSS, на других теневых форумах (Exploit) уже появились положительные отзывы.
Разработчики вредоносной программы расширили поддержку клиентского софта, в том числе криптокошельков, обновили модуль сбора паролей из файлов (граббер), добавили механизмы кражи идентификаторов из хранилищ и возможность обфускации кода.
Список интересующих Meduza объектов теперь включает такие цели: более сотни браузеров, в том числе Atom и Яндекс, браузер, более сотни криптокошельков, два десятка менеджеров паролей, клиенты Discord, Kotatogram, десктопный Telegram, Steam, Outlook, OpenVPN, файлы всех форматов (модуль-граббер), токены Google.
#news // nsis
2 012
Repost from Kraken
Последняя (да, уже год прошел) подборка полезных материалов за неделю:
— Наша статья для «Яндекс Практикума» «IT-детектив: чем занимается специалист по информационной безопасности и как им стать».
— Про сканер Unicornscan
— Об уязвимости Regex DoS
— Об инструменте Maryam
— О Picocrypt, утилите для шифрования данных
— Анализируем трафик с ZUI (Zed User Interface)
P.S. В следующем году у нас запланировано намного больше активности в канале. Через год мы вспомним этот пост, чтобы подвести итоги 😏
2 012
На связи Хаскарь 👋
Ну что-ж... Этот год подходит к концу и хочу поздравить вас с наступающим новым годом! ☃️🌲
Этот год был необычным и тяжёлым! Желаю, чтобы следующий год был отличным!
Вам желаю развиваться и набираться опыта, а также самое главное - здоровья и счастья 👾. Пусть новый год принесет вам новые возможности и успехи в вашей профессиональной деятельности, и в личной жизни!
Не забывайте у нас есть Discord-сервер, где вы можете пообщаться и задать вопросы⁉️
С наступающим новым годом ☃️
На связи был Хаскарь до связи 🎧
2 012
Repost from Standoff 365
🔠🔠🔠🔠 Ростовская область открыла свою багбаунти-программу на Standoff 365.
С 29 декабря 2023-го по 13 февраля 2024 года ты можешь заняться поиском уязвимостей в геоинформационной системе Ростовской области (ГИС РО): https://gisro.donland.ru/
ГИС РО была создана как единый источник данных об объектах, расположенных на территории области, и связанных с ними событиях.
Отчеты принимаются от граждан России старше 18 лет. Подробности программы — по ссылке, что делать дальше — ты знаешь.
2 012
Хочу также посоветовать:
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Мой Github 🦑
4 - Новый ТГ канал [Ximera-Chan] который ведёт Ai
2 012
Repost from Kali Linux
Операция "Триангуляция"
Недавно обнаруженная шпионская кампания, нацеленная на Apple iPhone и использующая удаленное выполнение кода с нулевым кликом через цепочку атак из 4 нулевых дней, включая очень загадочные, полностью недокументированные регистры MMIO и аппаратные функции, которые даже никогда не используются прошивкой.
В двух словах, атака начинается с отправки iMessage на произвольный телефон, который без каких-либо действий пользователя и незаметно для него собирает и загружает тонны приватных данных (и многое другое, например, записи с микрофона), и активно предпринимает шаги, чтобы скрыть всю эту деятельность от пользователя и начинающих криминалистов. Apple исправила основную уязвимость 25 октября 2023 года.
"Это определенно самая сложная цепочка атак, которую мы когда-либо видели".
Сам доклад, там еще много дикой информации:
https://youtube.com/watch?v=7VWNUUldBEE
Автор этой атаки неизвестен, как и метод, с помощью которого они получили знания об этих неиспользуемых, недокументированных аппаратных функциях. Российская разведка обвинила Apple в предоставлении АНБ бэкдора
Почитать: https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
@linuxkalii
2 012
Ролик уже на канале 👇🏻
https://youtu.be/EWKAlLOIKlg?si=kYpTrht9Z-Gyqb_D
Приятного просмотра 👾
P.s. сорян...слишком короткий видос
2 012
Repost from Standoff 365
😏 На OZON можно покупать, продавать или багхантить и получать до 250 000 ₽ за уязвимость — выбирай сам.
Маркетплейс открыл собственную багбаунти-программу на Standoff 365, так что готовь свои лапки ручки-загребучки, ищи баги и забирай себе баунти!
Скоуп такой:
• основной сайт ozon.ru;
• служба аутентификации и SSO id.ozon.ru;
• сайт с вакансиями job.ozon.ru и его API job-api.ozon.ru;
• кабинет продавца seller.ozon.ru;
• банк Ozon finance.ozon.ru и его мобильное приложение;
• мобильные приложения для продавцов и покупателей.
Больше про условия программы — по ссылке.
2 012
Repost from Похек
GIGANEWS. Главные события 2023 года по версии «Хакера»
Год подходит к концу, некоторые уже начинают резать салаты, а значит, пришло время оглянуться назад и вспомнить самые важные, интересные и забавные события, которыми он нам запомнится. По традиции мы составили для тебя подборку наиболее ярких взломов, атак, уязвимостей, фейлов и других событий уходящего 2023 года. Будет интересно, погнали!
В статье подвели итоги по следующим аспектам:
- Атака года
- Уязвимость года
- Утечка года
- Исследование года
- Блокировка года
- Нарушитель приватности года
- Малварь года
- Хардверный взлом года
- Странность года
- Фейл года
- Хайп года
👉 Очень советую прочитать тем, кто особо не следил за ИБ новостями.
🌚 @poxek
2 012
🧰 Шпаргалка по инструментам форензики: от опенсорсных и проприетарных до мобильных, сетевых и многих других.
🖼 Скачать ориганил
#forensic #tools
2 012
Repost from SHADOW:Group
🔑 Утечки ключей HuggingFace
С развитием нейросетей увеличилось число сервисов для работы с ними, что в свою очередь дарит нам возможность поискать утекшие токены от этих сервисов.
Вот тут, например, исследователь нашел 1681 валидный токен через HuggingFace и GitHub у таких гигантов как Meta, Microsoft, Google и Vmware и получил полный доступ к репозиториям Meta-Llama, Bloom, Pythia и HuggingFace.
Можно взять себе на заметку и добавить регулярку к списку своих дорков, так как я ее не видел ни в одном из популярных публичных списков, а также проанализировать похожие сервисы на утечки.
/hf_([a-zA_Z0-9]{32,})/
#web #recon #leak #dork
Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
