⚡️ Глубокая анатомия обхода DPI.

Выложил на YouTube подробный инженерный разбор того, как работают GoodbyeDPI, Zapret и сами системы фильтрации.

Почему оборудование пропускает фрагментированные пакеты?
Как манипуляция с TTL заставляет DPI воевать с призраками?
И почему переход на HTTP/3 (QUIC) может стать проблемой для текущих методов обхода?

Разбираем TCP-рукопожатие, Client Hello и уязвимости в логике работы сетевых цензоров. Видео для тех, кто хочет понимать суть, а не просто жать кнопки.

Смотреть: https://www.youtube.com/watch?v=fOQ6vE6mpaw

🚨 Для подписчиков на Boosty опубликовал необходимую литературу из поста про книги.💡
https://boosty.to/rublev13/posts/d61f323c-18c0-4b8e-b850-4a021134db87
💡 Сами посты с книгами - https://t.me/Rublev_YouTube/221
https://t.me/Rublev_YouTube/222
💡 Бусти основа - https://boosty.to/rublev13
📎 Там только то, что реально нужно, присоединяйтесь к нашему сообществу. Давайте развиваться и расти - вместе🔖

🚨Всех новоприбывших приветствую!💡
🔔Для вас вынашиваю идеи просто чумовых и бомбезных видео, темы которые там поднимаются, будут очень интересными для рядового зрителя с технической точки зрения. В ближайшие дни сяду монтировать новое интересное видео ✉️
🔖Накидайте реакций, я реально очень стараюсь для вас!✔️
📌Вы лучшая аудитория о которой я только мог мечтать, спасибо вам за вашу активность, за вашу преданность, спасибо за доверие!🙂

🚨Microsoft закрыла 56 уязвимостей в декабрьском Patch Tuesday, включая 3 zero-day — одна активно эксплуатируется

9 декабря Microsoft выпустила последний Patch Tuesday 2025 года, закрыв 56 уязвимостей в Windows, Office, Exchange Server и других продуктах. Три из них — zero-day.

Что произошло:
CVE-2025-62221 (CVSS 7.8) — активно эксплуатируется! Use-After-Free в Windows Cloud Files Mini Filter Driver позволяет локальному пользователю с низкими привилегиями получить права SYSTEM. Драйвер управляет синхронизацией OneDrive и других облачных хранилищ. Эксплойт работает автоматически, без взаимодействия с пользователем — идеально для малвари и APT.
CVE-2025-64671 — публично раскрыта, но эксплуатация маловероятна. Command injection в GitHub Copilot для JetBrains позволяет локально выполнить произвольный код.
CVE-2025-54100 — публично известна, command injection в PowerShell.

Другие критические баги:

2 RCE в Microsoft Office (через вредоносные документы)
Множество EoP в Windows Kernel, Win32k, RRAS, ReFS
Уязвимости в Hyper-V, Azure Monitor Agent, третьесторонних инструментах

Почему это важно:
✅ CVE-2025-62221 уже используется злоумышленниками для повышения привилегий
✅ Затронуты Windows 10 (с версии 1809), Windows 11, Windows Server 2025
✅ Не требует взаимодействия с пользователем — автоматическая эскалация
✅ Это последний Patch Tuesday 2025 года: Microsoft закрыла 1100+ CVE за год

Что делать прямо сейчас:
✅ Установите обновления через Windows Update или Microsoft Update Catalog
✅ Приоритет: CVE-2025-62221 и уязвимости с пометкой "More Likely" для эксплуатации
✅ Проверьте версии сборок после установки патчей
✅ Мониторьте CISA KEV — могут добавить новые CVE
✅ Сегментируйте сети, чтобы ограничить lateral movement от EoP
✅ Автоматизируйте установку патчей — праздники не повод откладывать

⚠️ Для пользователей Windows 10: Поддержка закончилась — переходите на Extended Security Updates или обновляйтесь до Windows 11.

💬 Новогодние каникулы — любимое время хакеров. IT-команды отдыхают, мониторинг ослаблен, патчи откладываются. Не дайте им шанс.

🔄 Напомни коллегам из IT: Декабрьские патчи критичны, откладывать нельзя!

#Microsoft #PatchTuesday #ZeroDay #CVE202562221 #Windows #Кибербезопасность #EoP #GitHubCopilot

📂 CISA: WinRAR уязвимость активно эксплуатируется — обновитесь до версии 7.12+🚨

10 декабря CISA добавила CVE-2025-6218 в каталог Known Exploited Vulnerabilities, подтвердив активную эксплуатацию path traversal уязвимости в WinRAR.

Что произошло:
CVE-2025-6218 (CVSS 7.8) — Path Traversal в популярном архиваторе WinRAR позволяет злоумышленнику выполнить произвольный код. Уязвимость была закрыта в WinRAR 7.12 в июне 2025, но многие пользователи до сих пор не обновились.

Как работает атака:

Злоумышленник создаёт вредоносный RAR-архив
Жертва открывает архив или посещает вредоносную страницу
Эксплойт размещает файлы в чувствительных локациях — например, в папке автозагрузки Windows (Startup folder)
При следующем входе в систему вредоносный код запускается автоматически

Почему это важно:
⚠️ Активная эксплуатация подтверждена — CISA не добавляет в KEV без доказательств
⚠️ Затронуты только Windows-версии — Linux, Unix, Android не подвержены
⚠️ WinRAR очень популярен — сотни миллионов установок по всему миру
⚠️ Не требует сложных действий — достаточно открыть архив

Исторический контекст:
WinRAR — частая мишень: CVE-2023-38831 (CVSS 7.8) активно эксплуатировалась в 2023 году различными APT-группами для доставки малвари через поддельные архивы. Пользователи медленно обновляются.

Что делать прямо сейчас:
✅ Обновите WinRAR до версии 7.12 или новее (текущая — 7.12+)
✅ Скачивайте только с официального сайта: win-rar.com
✅ НЕ открывайте архивы из ненадёжных источников
✅ Не открывайте RAR-файлы, пришедшие по email, в мессенджерах от незнакомцев
✅ Используйте антивирус с обновлёнными базами
✅ Проверьте папку автозагрузки: C:\Users\[Имя]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
✅ Для корпоративных сетей: принудительно обновите WinRAR через групповые политики

Альтернативы:
Рассмотрите 7-Zip (бесплатный, open source) или встроенный архиватор Windows для базовых задач.

💬 Federal agencies должны установить патч до 30 декабря 2025 согласно директиве CISA. Если для госучреждений это критично — для вас тоже.

🔄 Проверь у родителей и знакомых: Многие до сих пор сидят на старых версиях WinRAR годами. Один открытый архив = полный контроль над компьютером.

#WinRAR #CVE20256218 #CISA #KEV #PathTraversal #Кибербезопасность #Windows #Архиваторы

На бусти - https://boosty.to/rublev13 выкатил огромный пост

📊 Состояние Рунета: Дайджест блокировок и решений за Декабрь

Пост содержит анализ:

🚦 Статус сетевых протоколов (РФ)
🛡DNS и анализ трафика
🌍Доступность хостинг-провайдеров и IP-адресов
📉 Доступность сервисов и ПО
🛠 Технические нюансы конфигурации

✉️ Инфографику, пост в формате доклада, и опрос, чтобы было еще проще понять о чем речь. Коротко информативно с картинками.🚩
🔔 Анонс для тех, кто давно не чекал бусти, но подписан, а также для тех кто не подписан вовсе.📎

🚨Благодарю за внимание! Всем продуктивного дня!💡

🚨Доброй ночи, готовлю сразу 2 ролика, один из них тему могу сказать сразу - поговорим про то, как с технической точки зрения работает накрутка,
💡просмотров, подписчиков, конверсий на платформе для стриминга Twitch TV,▶️
Тема очень хайповая сейчас, надеюсь успеем в последний вагон хайпопоезда
Инфографика спойлер на ваш взор в студию💡
Заранее очень прошу поддержать ролик, поскольку я приложил много усилий для анализа того, как все это работает, чтобы проанализировать не просто накрутку, а залезть "под капот" ботоферм и ботнетов.
🔔 Ожидайте! 🔔
➡️В основу ролика ляжет не нытье о накрутке блогерами зрителей, о отчет структурообразующей компании в области противодействию накруткам и ботам🖥

✔️ Вышло видео про анатомию лжи на Twitch.💡
⚙️ Разобрал viewbotting не как "фу, накрутка", а как инженерную задачу. Оркестраторы, воркеры, подмена JA3 отпечатков и почему ваш любимый стример может быть в теневом бане, даже не зная об этом.
Если хотите узнать, как скрипты на Python воюют с нейросетями Amazon — вам сюда.🚨
📺 Смотреть на YouTube: https://www.youtube.com/watch?v=Q3Mu1IrV8t0

💡Доброе утро всем! На бусти вышел пост о том, как подготовиться к шатдауну, что необходимо чтобы у вас было под рукой всегда, по типу оффлайн карт, и прочего, оффлайн карты это минимальное что нужно - минимальный набор, на бусти в разы больше написал: мессенджеры, что скачать, что держать на внешнем диске, либо флешке, как это правильно делать и т.д.🚨
📣также поделился способом как скачать огромную базу данных с картинками на устройство чтобы было в формате оффлайн целая энциклопедия у вас под рукой.📎
🚨 Ну а на ютубе вас уже ждет видео! 🚨💡
⚙️Всем продуктивного дня!🔖

ОЧЕНЬ ВАЖНЫЙ ПОСТ ДЛЯ ТЕХ КТО СОЗДАЕТ ТЕЛЕГРАМ БОТОВ

💻🦠 Вредоносные расширения в VS Code воруют всё: код, пароли, скриншоты, WiFi

Исследователи Koi Security обнаружили два вредоносных расширения в Microsoft Visual Studio Code Marketplace, маскирующихся под premium dark theme и AI-помощник для кодинга.

Вредоносные расширения:
🎨 BigBlack.bitcoin-black (16 установок) — удалено Microsoft 5 декабря 2025
🤖 BigBlack.codo-ai (25 установок) — удалено Microsoft 8 декабря 2025

Что крали:
💾Ваш код — все файлы проектов
📧 Email-переписка
💬Slack DMs — корпоративные переписки
📸 Скриншоты — всё, что на экране
🔐 WiFi пароли
📋 Clipboard — всё, что копируете
🌐 Browser sessions — перехват сессий
Всё отправлялось на сервер злоумышленников в реальном времени.

Как работало:
Расширение маскировалось под легитимное (dark theme или AI coding assistant)
После установки загружало дополнительные payloads
Делало скриншоты экрана каждые N секунд
Перехватывало данные из буфера обмена
Крало WiFi credentials из системы
Перехватывало browser sessions для account takeover

Цитата эксперта Koi Security:
"Ваш код. Ваши email. Ваши Slack DM. Что угодно на вашем экране — они это видят. И это только начало. Также крадёт WiFi пароли, читает буфер обмена и перехватывает browser sessions."

Почему это опасно:
🚨 Разработчики — высокоценная цель: доступ к репозиториям, production credentials, корпоративным системам
🚨 VS Code Marketplace плохо модерируется — вредоносы живут днями/неделями
🚨 41 установка = минимум 41 скомпрометированная машина, возможно — целые компании
🚨 Похожая атака на npm packages в июле 2025 (colortoolsv2, mimelib2) — это становится трендом

Исторический контекст:
Это не первый случай. В 2025 году:
ShadyPanda превратил browser extensions с 4.3M установок в spyware
Северная Корея использует GitHub для распространения BeaverTail через фейковые проекты
Supply chain атаки через IDE-расширения растут экспоненциально

Что делать прямо сейчас:
✅ Немедленно проверьте установленные расширения в VS Code
✅ Удалите расширения от неизвестных авторов с малым количеством установок
✅ Перед установкой: проверяйте автора, количество установок, отзывы, дату последнего обновления
✅ Минимум расширений: устанавливайте только необходимое
✅ Используйте проверенные расширения от Microsoft, GitHub, крупных компаний
✅ Ротируйте все пароли и токены если установили подозрительные расширения
✅ Проверьте активные sessions в GitHub, GitLab, AWS, GCP и отзовите подозрительные
✅ Смените WiFi пароли
✅ Включите 2FA везде

Признаки вредоносных расширений:
🚩 Подозрительно мало установок (<100)
🚩 Новый автор без истории
🚩 Запрашивает слишком много permissions
🚩 Недавно создано, но обещает "премиум функции"
🚩 Нет исходного кода на GitHub
🚩 Странные отзывы или их полное отсутствие

💬 Для компаний: Внедрите whitelist разрешённых расширений для разработчиков. Один скомпрометированный developer = компрометация всего репозитория.

🔄 Разошли в команду разработки: Проверьте установленные расширения ПРЯМО СЕЙЧАС.

#VSCode #Malware #SupplyChain #Разработка #Кибербезопасность #Stealer #IDE #Microsoft

☁️ NANOREMOTE: китайские хакеры управляют бэкдором через Google Drive APIElastic Security Labs обнаружила изощрённый Windows-бэкдор NANOREMOTE, который использует Google Drive API для управления вместо традиционных C2-серверов. Малварь связана с китайской APT-группой REF7707 (Earth Alux, Jewelbug).

Что это такое:NANOREMOTE — полнофункциональный бэкдор на C++, который маскирует своё C2-управление под легитимный трафик Google Drive. Это делает его почти невидимым для традиционных систем обнаружения.Как работает атака:

Этап 1: Доставка
Загрузчик WMLOADER маскируется под легитимный файл Bitdefender (BDReinit.exe) с недействительной подписью
После запуска выделяет память через VirtualAlloc/VirtualProtect
Расшифровывает shellcode методом rolling XOR

Этап 2: Установка
Shellcode ищет зашифрованный файл wmsetup.log
Расшифровывает AES-CBC ключом 3A5AD78097D944AC
Загружает NANOREMOTE напрямую в память (fileless)

Этап 3: Управление через Google Drive
Использует OAuth 2.0 токены для аутентификации
Обращается к /drive/v3/files endpoint — выглядит как обычный юзер Google Drive
Конфигурация через pipe-separated формат с множественными client ID и refresh tokens
Альтернатива: переменная окружения NR_GOOGLE_ACCOUNTS

Этап 4: Локальный C2
Параллельно коннектится к hardcoded non-routable IP через HTTP POST
JSON-данные сжаты Zlib + зашифрованы AES-CBC ключом 558bec83ec40535657833d7440001c00
User-Agent: NanoRemote/1.0
URI: /api/client

22 команды-обработчика:
📊 Разведка: сбор информации о хосте, дисках
📁 Файловые операции: список, перемещение, удаление, создание директорий
⚡️ Выполнение: запуск PE-файлов с диска или из памяти, выполнение команд
📤 Передача файлов: загрузка/скачивание через Google Drive с очередью задач
⏸️ Управление задачами: пауза, возобновление, отмена передач
🧹 Очистка: очистка кэша, самоуничтожениеПочему это опасно:
❌ Маскировка под легитимный трафик — HTTPS к Google Drive выглядит абсолютно нормально
❌ OAuth 2.0 — невозможно отличить от реального пользователя
❌ Fileless execution — не оставляет следов на диске
❌ Двойной C2 — Google Drive + локальный IP для резервирования
❌ Система очередей — управление сложными операциями передачи данных
❌ API hooking — использует Microsoft Detours для перехвата терминации процессов
❌Custom PE loader — загружает модули напрямую в память через libPeConv

Связь с FINALDRAFT:
✅ Elastic обнаружила файл wmsetup.log из Филиппин (3 октября 2025) — расшифровывается тем же ключом
✅ Внутри оказался FINALDRAFT implant (использует Microsoft Graph API вместо Google Drive)
✅ Общая кодовая база и среда разработки
✅ Оба связаны с REF7707 (китайская APT)Кто под прицелом:Группа REF7707 атакует с марта 2023:

Правительственные учреждения
Оборонные подрядчики
Телеком компании
Образовательные учреждения
Авиационные организации
Юго-Восточная Азия, Южная Америка, Россия (5-месячная инфильтрация IT-компании в октябре 2025)

Что делать:
✅ Мониторьте трафик к Google Drive API от системных процессов
✅ Детектируйте правило Elastic: "Connection to Commonly Abused Webservices"
✅ Ищите подозрительные процессы: BDReinit.exe, файлы Trend Micro с недействительной подписью
✅ Проверяйте shellcode injection alerts
✅ Используйте YARA правила от Elastic (опубликованы)
✅ Behavioral detection > signature-based (payload меняется динамически)
✅ Сканируйте память на признаки PE loading из base64
✅ Ротируйте OAuth токены если подозреваете компрометацию

💬 Тренд: Хакеры всё чаще используют легитимные cloud API для C2 — Google Drive, Microsoft Graph, Dropbox. Традиционные firewall правила бессильны когда трафик выглядит как работа обычного пользователя с облаком.

🔥 Для SOC: Комбинируйте network detection (необычные API-паттерны) + endpoint detection (shellcode injection, PE loading) + behavioral analytics.

#NANOREMOTE #APT #Китай #GoogleDrive #C2 #Бэкдор #REF7707 #EarthAlux #Кибершпионаж #Elastic

🔺🔺🔺🔺🔺🔺🔺

⚠️ Давайте пообщаемся, готов ответить на вопросы и поговорить о жизни, о блокировках, обо всем насущном. 🚨💡

✉️ Играем сегодня в Хогвартс. Наследие. ⚠️
🚨 ПОДПИШИСЬ НА ТВИЧ! ТЕПЕРЬ СТРИМЫ СТАНУТ РЕГУЛЯРНЫМИ 🚨

https://www.twitch.tv/ilya_rublev
https://www.youtube.com/@RublevGame/streams

P.S. Чат на ютубе не работает, плагин его не цепляет, из за блокировок РКН в теории, я конечно буду периодически чекать ютуб, но не гарантирую что прочту ваш вопрос, поэтому лучше твич, там чат на стриме даже показывается, жду всех!
https://www.twitch.tv/ilya_rublev

🎭📧 GhostFrame: новый фишинг-кит провёл 1 миллион атак за 3 месяца

Barracuda обнаружила новый PhaaS (Phishing-as-a-Service) кит GhostFrame — с сентября 2025 он спровоцировал более 1 миллиона фишинговых атак. Главная особенность: весь вредонос спрятан внутри iframe.

Как работает:

Этап 1: Фишинговое письмо

Темы меняются динамически:
"Secure Contract & Proposal Notification"
"Annual Review Reminder"
"Invoice Attached"
"Password Reset Request"

Этап 2: Двухслойная архитектура

Слой 1 — Внешняя страница (Primary):

Выглядит абсолютно безобидно
Без типичных фишинговых маркеров
Базовая обфускация для сокрытия цели
Генерирует уникальный поддомен для каждой жертвы: ****************.spectrel-a.biz

Слой 2 — Вредоносный iframe (Secondary):

Весь фишинговый функционал внутри iframe
Формы входа встроены как BLOB-URI изображения вместо HTML-форм
Статические сканеры не видят стандартные form elements

Почему это опасно:
🎯Динамические поддомены — каждая жертва получает уникальный URL, pattern-based detection бессилен
🎯 BLOB-URI login screens — форма входа Microsoft 365/Google встроена как изображение внутри функции image-streaming
🎯 Rotation во время сессии — может менять поддомены даже пока жертва на странице
🎯 Hard-coded fallback iframe — если JavaScript заблокирован, есть резервный iframe снизу страницы
🎯 Анти-анализ: блокирует F12, правый клик, Ctrl/Cmd комбинации, Enter

Коммуникация между iframe и parent:
Использует window.postMessage для:

Смены title родительской страницы: "Sign in to your account"
Подмены favicon под бренд (Microsoft, Google)
Редиректа top-level окна браузера на другой домен
Ротации поддоменов для уклонения от детекции

Две версии кита:
Obfuscated variant — код читать невозможно
Non-obfuscated variant — с комментариями разработчика (чаще встречалась в ранних атаках)
Целевые бренды:
Microsoft 365, Google Workspace — основные мишени

Что делать:
✅ Email security gateways: детектировать подозрительные iframe в HTML-письмах
✅ Web filters: блокировать доступ к динамически генерируемым поддоменам
✅ Website controls: ограничить неавторизованное встраивание iframe
✅ Регулярный vulnerability scanning на iframe injection
✅ Мониторинг веб-трафика на необычные редиректы и embedded content
✅ Браузеры: принудительно обновлять
✅ Обучение сотрудников: всегда проверять URL перед вводом credentials
✅ Репортить подозрительный embedded content

Для разработчиков:
Внедрите Content Security Policy (CSP):

Content-Security-Policy: frame-ancestors 'none'
Это запретит встраивание вашего сайта в iframe на чужих доменах.

💬 Тренд PhaaS: GhostFrame — пример эволюции PhaaS-китов. Разработчики инновируют не только в email-шаблонах, но и в веб-архитектуре (iframe abuse, BLOB-URI, dynamic subdomains).

🔥 Цитата Barracuda: "Это первый раз, когда мы видим целый фишинг-фреймворк, построенный вокруг техники iframe. Пока злоупотребление iframe не ново, масштаб и организация GhostFrame беспрецедентны."

🔄 Проверьте корпоративную почту: Если видели письма с темами выше — не открывайте, сообщите в Security.

#GhostFrame #Фишинг #PhaaS #iframe #Microsoft365 #Google #Кибербезопасность #EmailSecurity #Barracuda

🚨 Инкогнито — это фикция. 💡

Пока вы думаете 💡, что спрятались, ваш браузер любезно сливает трекерам вашу видеокарту, разрешение экрана и аудио-драйверы.
🚨 Новое видео на канале. Разбираем технологию Fingerprinting: как формируется ваш уникальный цифровой отпечаток и почему VPN вас не спасет. Технический детектив и суровая реальность инфобеза.

Смотреть обязательно: 👉 https://www.youtube.com/watch?v=i9n_DtYxuCI

🚨 Инфографика для видео про режим ИНКОГНИТО ‼️