🔍 Множественные XSS в плагинах 1С-Битрикс.

Уязвимости снова в модулях esolution. Это конечно уже не RCE, но все равно интересно. Пару раз видел эти плагины на bugbounty. На данный момент у них суммарно около 5000 скачиваний, по данным официального каталога решений сторонних разработчиков Bitrix.

Критичность - 5.3/10 CVSS 3.0 (расшифровка).

Судя по CVSS, это должны быть Reflected XSS без авторизации. Верим.

Уязвимости подвержены плагины:
«Импорт из XML и YML» - (BDU:2025-06217)
«Импорт из Excel» - (BDU:2025-06218)
«Экспорт в Excel» - (BDU:2025-06219)
«Экспорт/Импорт товаров в Excel» - (BDU:2025-06220)

🔗 1. Уведомление ФСТЭК
🔗 2. Уведомление ФСТЭК

💫 @pentestnotes

🧠 UAC-0001 и LAMEHUG: атаки с LLM-поддержкой
🎯 Цель: госструктуры и оборонный сектор Украины
🔍 Источник: CERT-UA #16039

📥 MITRE: Initial Access
🎣 Фишинговые письма якобы от министерств
Вложение: Додаток.pdf.zip → Додаток.pif
Распространение через скомпрометированный email boroda70@meta.ua

⚙️ Execution / Command & Control
.pif — скомпилированный PyInstaller-лоадер на Python
Выполняет LAMEHUG — малварь, использующая LLM Qwen 2.5-Coder-32B-Instruct через api.huggingface.co
LLM генерирует команды Windows на основе описания (вшитого в код)

🧰 Примеры задач, которые выполняет LAMEHUG
📂 Сбор и сохранение инфы в %PROGRAMDATA%\info\info.txt:
systeminfo, tasklist, net start, ipconfig /all, whoami, wmic, dsquery — полный инвентарь машины
📁 Рекурсивный поиск .doc/.pdf/.txt в Desktop/Downloads/Documents
🚀 Передача данных:
Варианты: SFTP (на 144.126[.]202[.]227:22) или HTTP POST на stayathomeclasses[.]com/slpw/up[.]php

📡 C2 & Exfiltration
Использование LLM API как C2-канал
Команды формируются динамически, обходя статический анализ
Утечка идёт через обычные каналы (HTTP, SFTP) с легитимных (но взломанных) хостов

🐾 Атрибуция и версии
CERT-UA приписывает атаку группировке UAC-0001 (APT28)
Найдены несколько версий LAMEHUG:
AI_generator_uncensored_Canvas_PRO_v0.9.exe
AI_image_generator_v0.95.exe
image.py

🧠 Почему это опасно
Первое зафиксированное использование LLM для real-time генерации команд на целевой машине
LLM позволяет:
динамически адаптировать поведение
маскировать C2
эволюционировать технику без апдейта самой малвари

🧷 Detection & Hunting
🐱 IOC (файлы, хосты, сети):
%PROGRAMDATA%\info\info.txt, cmd.exe /c "mkdir ... && systeminfo >> ..."
C2, stayathomeclasses[.]com,

📊 Поведенческие признаки:
Подозрительные вызовы dsquery, wmic, массовые операции в cmd.exe
Обращения к API HuggingFace с систем Windows

🚧 Detection tips
detection:
selection:
ParentImage: '*\cmd.exe'
CommandLine|contains:
- 'wmic'
- 'dsquery'
- 'systeminfo'
condition: selection

Рекомендации
🔐 Блокировать .pif и .zip во вложениях(не ломать логику бизнеса)
🌐 Контроль outbound-трафика на api[.]huggingface[.]co
⚠️ Мониторинг Python/LLM-процессов с сетевой активностью

Вывод 💀
LAMEHUG — первый задокументированный пример использования LLM как инструмента интерактивного C2. Это качественный сдвиг: теперь ИИ не только генерирует фишинг и deepfake, но и сам рулит заражённой машиной в режиме реального времени.
Динамичные, контекстные атаки — новая реальность.
Будьте готовы к эпохе LLM-as-a-backdoor.

🔗 https://cert.gov.ua/article/6284730
🦔 THF

🖥️ OSEPlayground

Репозиторий с коллекцией полезных инструментов и скриптов, которые помогут при подготовке к PEN-300 (OSEP) от Offensive Security

Артем проходил, можете ему в чатике вопросы позадавать 😅👍

💻 Repo
📝 Сертификация OSEP, и с чем ее едят

#osep #pen300 #certification

✈️ Whitehat Lab 💬Chat

😈 Использование больших файлов в Burp Intruder

Просто напоминаем: если ты хочешь работать с большим файлом в Burp Intruder (условный rockyou.txt), НЕ ИСПОЛЬЗУЙ Load ... в Simple list. Simple list предназначен для простых словарей и загружает весь файл в GUI.

Большой файл повесит Burp, что может привести к потере данных проекта. Вместо этого используй Runtime file!

P. S. Скорее всего, увеличение оперативки не поможет 🤷‍♂️