Cybred
📈 Telegram kanali Cybred analitikasi
Cybred (@cybred) Rus til segmentidagi kanali faol ishtirokchi. Hozirda hamjamiyat 10 769 obunachidan iborat bo'lib, Texnologiyalar & Aralashmalar toifasida 11 406-o'rinni va Rossiya mintaqasida 60 214-o'rinni egallagan.
📊 Auditoriya ko‘rsatkichlari va dinamika
невідомо sanasidan buyon loyiha tez o‘sib, 10 769 obunachiga ega bo‘ldi.
06 Iyul, 2026 dagi oxirgi ma’lumotlarga ko‘ra kanal barqaror faollikka ega. Oxirgi 30 kunda obunachilar soni 167 ga, so‘nggi 24 soatda esa 8 ga o‘zgardi va umumiy qamrov yuqori darajada qolmoqda.
- Tasdiqlash holati: Tasdiqlanmagan
- Jalb etish (ER): Auditoriya o‘rtacha 43.48% darajada jalb etiladi. Nashrdan keyingi dastlabki 24 soatda kontent odatda umumiy obunachilar sonining N/A% ini tashkil etuvchi reaksiyalarni to‘playdi.
- Post qamrovi: Har bir post o‘rtacha 0 marta ko‘riladi; birinchi sutkada odatda 0 ta ko‘rish yig‘iladi.
- Reaksiyalar va o‘zaro ta’sir: Auditoriya faol: har bir postga o‘rtacha 0 ta reaksiya keladi.
📝 Tavsif va kontent siyosati
Kanal uchun tavsif kiritilmagan.
Yuqori yangilanish chastotasi (oxirgi ma’lumot 08 Iyul, 2026 da olingan) sababli kanal doimo dolzarb va katta qamrovli bo‘lib qoladi. Analitika auditoriya kontent bilan faol hamkorlik qilishini, uni Texnologiyalar & Aralashmalar toifasidagi muhim ta’sir nuqtasiga aylantirishini ko‘rsatadi.
JADEPUFFER.
• Точкой входа стал доступный из интернета сервер с Langflow - популярным инструментом, на котором собирают приложения на основе ИИ. В инструменте была обнаружена уязвимость (CVE-2025-3248), позволяющая без всякого пароля запустить на сервере произвольный код. К слову, уязвимость исправили еще в мае 2025 года, но в сети еще куча серверов, которые не обновлялись.
• Что касается атаки, то ИИ смог найти у жертвы ключи от OpenAI, Anthropic, DeepSeek, доступы к облакам, пароли к базам данных и криптокошельки. Также был найден сервер с базой данных MySQL и сервисом хранения настроек Nacos. К самой базе ИИ подключился с правами администратора, причем откуда у него взялся этот доступ, эксперты Sysdig выяснить не смогли.
• Ну и под конец ИИ выполнил шифрование системы и всех файлов, удалил исходные таблицы и оставил записку с требованием выкупа - btc-адресом и почтой для связи.
• Соль в том, что программу-вымогатель было невозможно расшифровать, так как ИИ-агент нигде не хранил ключ шифрования, так что вернуть данные и восстановить инфраструктуру жертва не смогла бы даже после оплаты.
➡️ Более детальная информация и технические подробности можно найти тут: https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
#AI #ИсследованиеThe bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it.Shodan:
ssl.alpn:"h2" product:nginx,Apache,IIS,Envoy,Pingora
PoC: http2-bombgithub.dev — лёгкий VSCode прямо в браузере. Чтобы он работал, GitHub передаёт туда токен, не привязанный к конкретному репо — он открывает доступ ко всему.
> VSCode изолирует ненадёжный контент (типа превью для Markdown) в <iframe> другого домена. Но чтобы горячие клавиши работали внутри webview, VSCode пробрасывает события клавиатуры (did-keydown) с помощью пост-месседжей в основное окно.
И вот проблема: любой unsafe JS таким образом внутри webview может сам "нажимать клавиши" в основном окне вместо тебя.
Через хитрую комбинацию (рекомендованные расширения + локальные workspace-расширения, которые обходят проверку доверия издателя) хакер эмулирует нажатия клавиш, тихо ставит своё расширение и получает исполнение кода в основном контексте, вместе с кражей самого токена.sendFullProfile() — инфо о профиле
— sendPhone() — номер телефона
— collectPhoneContacts() — контакты
— sendDialogInfo() — сообщения
— collectGalleryImages() — фото,
— collectGalleryVideos() — видео
— collectDeviceDocs() — файлы
— sendLocation() — GPS-координаты
— collectSimInfo() — инфо о сим-карте
Которые в конце отправляют все собранное на чей-то сервер 38.190.225.166 (Hong Kong).
Засабмитить APK может любой, а сами файлы никто досконально не проверяет. Поэтому весь магазин наполнен приложениями с такими "подарками".
Сэмпл тутIn the future, we plan to give users more options, such as choosing realms operated by different organizations to further distribute trust and self-custody of keys.Но, как известно, нет ничего более постоянного, чем временное. Telegram, например, годами кормил аудиторию обещаниями выложить серверную часть в опенсорс, пока в 2021 году Дуров окончательно не похоронил эту идею, публично заявив, что открывать код сервера никто не собирается.
svcmgmt.exe, внутри которого крутилась кастомная виртуальная машина Lua 5.0.
Отпечатки PDB-путей привели к старой утечке ShadowBrokers из 2017 года. В каталоге АНБ напротив сигнатуры fast16 стояла пометка для своих операторов: «NOTHING TO SEE HERE — CARRY ON».
Техническая начинка
— ядром является низкоуровневый драйвер файловой системы (fast16.sys), который висит в памяти ядра и перехватывает обращения к диску
— драйвер не трогает обычные пользовательские программы, его целью является код, скомпилированный компилятором Intel C/C++ — именно его использовали в тяжелом инженерном софте для физических симуляций, гидродинамики и ядерного моделирования (например, LS-DYNA)
— когда инженер запускал расчеты, fast16 находил нужные математические функции в оперативной памяти и аккуратно подменял инструкции работы с плавающей запятой.
Как это работало на практике
Софт не падал, интерфейс не вис, а оператор видел абсолютно штатный процесс симуляции. Но цифры на выходе получались едва заметно, ювелирно искаженными.
Для сложного проекта (например, расчет прочности обшивки ракеты или критической массы ядерного заряда) погрешность даже в сотые доли процента означает, что деталь или устройство просто разрушится на этапе реальных испытаний.
Годы работы ученых и миллионы долларов улетали в трубу из-за «ошибок в чертежах», которые на самом деле были результатом работы fast16.
ИМХО
Была бы еще одна страна, которая терроризирует всех ядерной дубиной. Но вместо того, чтобы кого-то бомбить — тихо «подорвали» все ее научные разработки изнутри.
То, что мы узнаем об этом только спустя 20 лет, доказывает: идеальные кибероперации ведутся тихо, незаметно и могут решать любые проблемы без кровопролития.some Vercel environments and environment variables that were not marked as "sensitive" и ... пока на этом все.
At this time, we do not have reason to believe that credentials or personal data have been compromised.Sensitive environment variables — это те переменные окружения, которые ты должен отметить сам, после чего они шифруются. Но многие этого не делают, поэтому данные лежат открыто. Что нужно сделать: — проверить логи активности через Dashboard или CLI — ротировать переменные окружения и отметить необходимые как "sensitive" — поискать подозрительные деплойменты Сейчас компания продолжает расследовать инцидент вместе с Mandiant. Отдельно отмечают, что хакер(ы) хорошо ориентировались и быстро продвигались.
We’ve identified a security incident that involved unauthorized access to certain internal Vercel systems. At this time, we have identified a limited subset of customers that were impacted and are engaging with them directly.Параллельно с этим админ BreachForums под ником ShinyHunters предложил приобрести у него API-ключи, исходный код и базу данных хостинга. Но верить ему не стоит. Утекло ли что-то на самом деле — покажет время. Настоящая группа ShinyHunters покинула очередную итерацию BreachForums после предыдущего ареста форума, а нынешний админ нового «реборна» лишь выдает себя за участников этой группы.
Another 0day unpatched LPE will be released soon.
.wav, который выглядит легитимно в трафике и помогает обходить антивирусы, ориентирующихся на более распространенные форматы.
В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR.
В репозитории The A-Files можно найти куда более изощрённые техники, например:
— Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук
— Phase Coding — кодирование через изменение фазы без заметной потери качества
— Echo Hiding — внедрение слабых искусственных эхо с различными параметрами
И это только малая часть доступных методов — для каждого из них в репозитории есть реализации.
Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.Extra.java. Он отличается от того, который залит в официальный репозиторий, и отвечает за отправку связки «номер телефона-метаданные аккаунта» inline-запросом боту @nekonotificationbot.
В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.
Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
