Fsecurity | HH
@HelloHackingTeam
2.07K subscribers
1.73K photos
105 videos
62 files
6.18K links
Канал про ИБ
Наш Discord: https://discord.gg/Eg8aDS7Hn7
Пожертвовать:
> https://www.donationalerts.com/r/xackapb
Download Telegram
About
Blog
Apps
Platform
Join
Fsecurity | HH
2.07K subscribers
Fsecurity | HH
OffSec
Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties | OffSec
TJ shows us how adversaries use macro weaponization techniques to abuse hidden functionalities contained in Office document properties.
Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties🛡️📄

Несколько месяцев назад Microsoft выпустила статью, в которой сообщалось, что в приложениях Microsoft Office, использующих макросы, будут внедрены изменения. 🔄

Это изменение поведения затрагивает Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013. Учитывая эти меры защиты, которые внедряет Microsoft, я хотел поделиться техникой, которую я использую уже давно и которая работает до сих пор. Хотя не стоит ожидать, что эта уязвимость останется навсегда, так как в какой-то момент Microsoft, вероятно, закроет этот обход. Прежде чем я расскажу детали о том, как работает эта техника, нам нужно понять, как она была выявлена и как мы смогли ее использовать. 🔍

Этот Proof of Concept был протестирован с использованием последней версии Windows 11 и Microsoft Office 2021. 💻


⚠️ Информация 2022 года, однако остаётся полезной

🔗 Ссылка:
https://www.offsec.com/blog/macro-weaponization/
102 views
Fsecurity | HH
Благодарю за подарок на канал 👾
P.s. пропустил этот момент
98 views
Fsecurity | HH
Cisco Talos
Qilin EDR killer infection chain
This blog provides an in-depth analysis of the malicious “msimg32.dll” used in Qilin ransomware attacks, which is a multi-stage infection chain targeting EDR systems.
🔗Ссылка:
https://blog.talosintelligence.com/qilin-edr-killer/
97 views
Fsecurity | HH
Cisco Talos
An overview of ransomware threats in Japan in 2025 and early detection insights from Qilin cases
There were 134 ransomware incidents reported in Japan in 2025, representing a 17.5% year-over-year increase from 2024.
🔗Ссылка:
https://blog.talosintelligence.com/an-overview-of-ransomware-threats-in-japan-in-2025-and-early-detection-insights-from-qilin-cases/
102 views
Fsecurity | HH
SecurityLab.ru
«Это не первоапрельская шутка». Хакеры вынесли из Drift сотни миллионов долларов
Что пошло не так у популярного сервиса на Solana.
🔗Ссылка:
https://www.securitylab.ru/news/571078.php
109 views
Fsecurity | HH
GitHub
GitHub - K2SOsint/Legendary_OSINT: A list of OSINT tools & resources for (fraud-)investigators, CTI-analysts, KYC, AML and more.
A list of OSINT tools & resources for (fraud-)investigators, CTI-analysts, KYC, AML and more. - K2SOsint/Legendary_OSINT
🔗Ссылка:
https://github.com/K2SOsint/Legendary_OSINT
109 views
Fsecurity | HH
Tproger
Claude написал RCE-эксплоит для ядра FreeBSD за 4 часа
Claude за 4 часа написал два remote kernel RCE для FreeBSD (CVE-2026-4747). Оба дали root с первой попытки. Разбираем 6 задач от стека до шелла.
🔗Ссылка:
https://tproger.ru/news/ii-vpervye-napisal-polnyj-eksploit-dlya-yadra-os---ot-uyazvimosti-d
117 views
Fsecurity | HH
GitHub
GitHub - ekonwang/GeoVista: Official repo for "GeoVista: Web-Augmented Agentic Visual Reasoning for Geolocalization"
Official repo for "GeoVista: Web-Augmented Agentic Visual Reasoning for Geolocalization" - ekonwang/GeoVista
🔗 Ссылка:
https://github.com/ekonwang/GeoVista
116 views
Fsecurity | HH
Всем хак! 👾

Обновил Obsidian Pentest

Если данный репозиторий оказался полезным, не поленитесь поставить
4
119 views
Fsecurity | HH
Fsecurity | HH
Всем хак! 👾 Обновил Obsidian Pentest Если данный репозиторий оказался полезным, не поленитесь поставить
Ого, благодарю 😁
P.s. я имел ввиду на репозиторий
🤣2
118 views
Fsecurity | HH
🔗Ссылка:
https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/
104 views
Fsecurity | HH
🔗Ссылка:
https://www.opennet.ru/65146/
102 views
Fsecurity | HH
🔗Ссылка:
https://www.securitylab.ru/news/571235.php
94 views
Fsecurity | HH
SecurityLab.ru
Имя пользователя вместо пароля — и сервер открыт любому желающему. Так работает новая уязвимость Control Web Panel
В CWP нашли способ управлять системой без лишних сложностей с паролями.
🔗Ссылка:
https://www.securitylab.ru/news/571234.php
91 views
Fsecurity | HH
Forwarded from purple shift
Чтобы сделать вредоносные файлы невидимыми для систем защиты, атакующие используют различные техники. Самые известные — это руткиты и буткиты. Но иногда достаточно и более простых механизмов. Недавно мы наткнулись на технику маскировки процессов в Linux через bind mount поверх /proc.

Когда утилита для монтирования файловых систем mount запускается с флагом bind, это позволяет "приклеить" одну директорию или файл в другую точку файловой системы. При этом исходные данные в целевой точке становятся невидимыми; фактически, они перекрываются содержимым примонтированного пути.

Атакующий с root-доступом может использовать это для маскировки процессов.

Например, процесс с PID 1234 можно спрятать через mount: 

mount --bind /tmp/empty /proc/1234


После этого содержимое настоящего /proc/1234 перекрывается пустой директорией. Утилиты вроде ps, top или htop читают данные именно из /proc, поэтому для них процесс как будто исчезает. При этом сам процесс продолжает работать: слушает порты, выполняет код, держит соединения.

Иногда делают еще аккуратнее: поверх /proc/<pid>/exe или /proc/<pid>/cmdline монтируют другой файл. Тогда процесс вроде бы виден, но его бинарь или аргументы подменены.

Как ловить атаку?

Проверка mount-таблицы помогает обнаружить сокрытие процесса. Утилиты mount или findmnt покажут bind mounts внутри /proc. В нормальной системе их там почти не бывает.

С точки зрения правил обнаружения для SOC, отслеживаем запуски утилиты mount с соответствующими аргументами: "--bind", "-B", "-o bind" и "/proc")

Также имеет смысл мониторить системный вызов mount на уровне ядра. Например, для auditd простейшее правило аудита может выглядеть так: 

auditctl -a always,exit -F arch=b64 -S mount -k mount_monitor


В файле /var/log/audit/audit.log будут фиксироваться события монтирования, включая bind mounts. При анализе стоит обращать внимание на операции, где точкой монтирования выступают пути внутри /proc.
91 views
Fsecurity | HH
Forwarded from Cybred
Bluehammer

Парень с ником ChaoticEсlipse0 просто взял и дропнул на всех 0day с повышением привилегий через Defender. Он не объяснил своих действий, но vx-undeground со ссылкой на Xitter подтвердил, что эксплоит рабочий.

По словам исследователя, скоро будет еще один
Another 0day unpatched LPE will be released soon.
111 views
Fsecurity | HH
www.opennet.ru
Атака GPUBreach, позволяющая получить root-доступ через выполнение CUDA-кода на GPU NVIDIA
Группа исследователей из университета Торонто разработала технику атаки GPUBreach, которая аналогично анонсированным на днях атакам GDDRHammer и GeForge использует технику RowHammer для искажения битов видеопамяти GDDR и повреждения таблицы страниц памяти…
🔗Ссылка:
https://www.opennet.ru/65159/
111 views
Fsecurity | HH
GitHub
GitHub - j3h4ck/PoisonKiller: Another BYOVD process killer. works on CrowdStrike. fully signed.
Another BYOVD process killer. works on CrowdStrike. fully signed. - j3h4ck/PoisonKiller
🔗Ссылка:
https://github.com/j3h4ck/PoisonKiller
109 views
Fsecurity | HH
Fsecurity | HH
Спустя два месяца затишья сделал ролик про Adaptix C2 👾 Поддержите видео лайком и комментарием, если оно будет вам полезно! Приятного просмотра: https://youtu.be/nbZxp55qs98
👉🏻
106 views
Fsecurity | HH
Trufflesecurity
Google API Keys Weren't Secrets. But then Gemini Changed the Rules. ◆ Truffle Security Co.
Google spent over a decade telling developers that Google API keys (like those used in Maps, Firebase, etc.) are not secrets. But that's no longer true.
🔗Ссылка:
https://trufflesecurity.com/blog/google-api-keys-werent-secrets-but-then-gemini-changed-the-rules
107 views