🚨 Наткнувся на небезпечну дірку в популярному Anti‑Malware Security. Будь‑який зареєстрований юзер може читати файли на сервері — звучить моторошно.
Це CVE‑2025‑11705: уразливий AJAX‑хендлер GOTMLSajaxscan спирався лише на nonce і без перевірки прав. Тож навіть Subscriber здатен витягти довільний файл — насамперед wp-config.php з доступом до БД і ключами. Наслідок — часта ескалація привілеїв.
Фікс уже вийшов — 4.23.83 (Wordfence повідомила 14.10, реліз 15.10), але оновилась лише приблизно половина зі 100 тис. інсталяцій. Відкрита реєстрація робить атаку тривіальною. ⏱️
Що роблю я: терміново оновлюю плагін, обмежую реєстрацію, кручу паролі БД і AUTH_KEY/SALT, форсую вихід сесій, перевіряю логи admin‑ajax.php. Плюс WAF/правила і жорсткіший доступ до wp-config.php на рівні веб‑сервера. 🛠️
Оновилися вже? Чи ловили підозрілі AJAX‑запити останнім часом? ⚠️
🔗 Докладніше:
https://cybersecurefox.com/uk/urazlyvist-cve-2025-11705-anti-malware-security-wordpress
#wordpress #безпека #cve #плагіни #оновлення #wordfence
CyberSecureFox
Це CVE‑2025‑11705: уразливий AJAX‑хендлер GOTMLSajaxscan спирався лише на nonce і без перевірки прав. Тож навіть Subscriber здатен витягти довільний файл — насамперед wp-config.php з доступом до БД і ключами. Наслідок — часта ескалація привілеїв.
Фікс уже вийшов — 4.23.83 (Wordfence повідомила 14.10, реліз 15.10), але оновилась лише приблизно половина зі 100 тис. інсталяцій. Відкрита реєстрація робить атаку тривіальною. ⏱️
Що роблю я: терміново оновлюю плагін, обмежую реєстрацію, кручу паролі БД і AUTH_KEY/SALT, форсую вихід сесій, перевіряю логи admin‑ajax.php. Плюс WAF/правила і жорсткіший доступ до wp-config.php на рівні веб‑сервера. 🛠️
Оновилися вже? Чи ловили підозрілі AJAX‑запити останнім часом? ⚠️
🔗 Докладніше:
https://cybersecurefox.com/uk/urazlyvist-cve-2025-11705-anti-malware-security-wordpress
#wordpress #безпека #cve #плагіни #оновлення #wordfence
CyberSecureFox
CyberSecureFox
CVE-2025-11705 у WordPress: уразливість у плагіні Anti‑Malware Security дозволяє читання файлів на сервері
На популярний плагін Anti‑Malware Security and Brute‑Force Firewall (понад 100 000 інсталяцій) виявлено уразливість CVE‑2025‑11705, що дає змогу будь‑якому
👍1🔥1🤯1
🚨 У логах WordPress — хвиля автоматизованих сканів. Схоже, масово б’ють по старих плагінах.
За два дні Wordfence відбило 8,7 млн спроб: б’ють по дірах у GutenKit і Hunk Companion (CVSS 9.8). Вади дають RCE через REST API без авторизації — фактично обхід доступу. Якщо у вас нижче GutenKit 2.1.1 чи Hunk Companion 1.9.0, ви в ризику.
Після доступу тягнуть з GitHub плагін “up”, що маскується під All in One SEO і дає авто-вхід адміна. Часто додають wp-query-console для виконання коду без логіну. Неприємно, бо це стійка присутність і тиха підміна файлів 🕵️♂️.
Для самоперевірки: логи на /wp-json/gutenkit/v1/install-active-plugin та /wp-json/hc/v1/themehunk-import; у файловій системі — /up, /wp-query-console. Найкраще — оновити негайно, увімкнути WAF і, де можливо, DISALLOWFILEMODS 🔧🛡️. Я б не тягнув — «вікно уразливості» тільки росте ⚠️.
Зробити міні-чекліст або скрипт для швидкої перевірки? Хтось уже ловив ці ендпоінти в логах?
🔗 Докладніше:
https://cybersecurefox.com/uk/wordpress-masova-kampaniia-rce-gutenkit-hunk-companion
#wordpress_infosec_security_rce_waf_updates
CyberSecureFox
За два дні Wordfence відбило 8,7 млн спроб: б’ють по дірах у GutenKit і Hunk Companion (CVSS 9.8). Вади дають RCE через REST API без авторизації — фактично обхід доступу. Якщо у вас нижче GutenKit 2.1.1 чи Hunk Companion 1.9.0, ви в ризику.
Після доступу тягнуть з GitHub плагін “up”, що маскується під All in One SEO і дає авто-вхід адміна. Часто додають wp-query-console для виконання коду без логіну. Неприємно, бо це стійка присутність і тиха підміна файлів 🕵️♂️.
Для самоперевірки: логи на /wp-json/gutenkit/v1/install-active-plugin та /wp-json/hc/v1/themehunk-import; у файловій системі — /up, /wp-query-console. Найкраще — оновити негайно, увімкнути WAF і, де можливо, DISALLOWFILEMODS 🔧🛡️. Я б не тягнув — «вікно уразливості» тільки росте ⚠️.
Зробити міні-чекліст або скрипт для швидкої перевірки? Хтось уже ловив ці ендпоінти в логах?
🔗 Докладніше:
https://cybersecurefox.com/uk/wordpress-masova-kampaniia-rce-gutenkit-hunk-companion
#wordpress_infosec_security_rce_waf_updates
CyberSecureFox
CyberSecureFox
Масова кампанія RCE проти WordPress: уразливості в GutenKit і Hunk Companion, 8,7 млн заблокованих атак
Зловмисники розгорнули масштабну автоматизовану кампанію проти сайтів на WordPress, експлуатуючи критичні дефекти у плагінах GutenKit та Hunk Companion. За
👍1😁1🤯1
🚨 Бачили листи про «екстрений доступ» у LastPass? Я розібрався, чому це може коштувати всього сховища.
Зловмисники шлють фейкові сповіщення з «ID заявки» і навіть «родич завантажив свідоцтво про смерть», підштовхуючи клікнути «скасувати» на lastpassrecovery[.]com. Там просять ваш master‑пароль і можуть подзвонити нібито з підтримки — *некрасива маніпуляція, але працює*. Офіційна підтримка LastPass ніколи не просить master‑пароль і не веде за лінками з листів.
За цим стоїть CryptoChameleon (UNC5356), яка б’є по власниках криптоактивів. Вони не лише тягнуть паролі, а й полюють на passkeys (FIDO2/WebAuthn), намагаючись перехопити сесійні токени або підсунути «відновлення ключа» через підміну доменів. *Мені здається, це спосіб обійти нашу віру в «безпарольність».*
Що роблю я: відкриваю LastPass тільки з додатка/закладки, ніколи не вводжу master‑пароль із листа чи дзвінка, регулярно перевіряю Emergency Access і активні сесії. Раджу підв’язати фішингостійкі ключі FIDO2, увімкнути сповіщення про нові входи та оновити розширення. 🔒🧠 А ви вже ловили такі «екстрені» листи? Як захищаєте master‑пароль і passkeys?
🔗 Докладніше:
https://cybersecurefox.com/uk/lastpass-fishing-emergency-access-passkeys-crypto-chameleon-unc5356
#кібербезпека #lastpass #фішинг #passkeys #крипта #mfa
CyberSecureFox
Зловмисники шлють фейкові сповіщення з «ID заявки» і навіть «родич завантажив свідоцтво про смерть», підштовхуючи клікнути «скасувати» на lastpassrecovery[.]com. Там просять ваш master‑пароль і можуть подзвонити нібито з підтримки — *некрасива маніпуляція, але працює*. Офіційна підтримка LastPass ніколи не просить master‑пароль і не веде за лінками з листів.
За цим стоїть CryptoChameleon (UNC5356), яка б’є по власниках криптоактивів. Вони не лише тягнуть паролі, а й полюють на passkeys (FIDO2/WebAuthn), намагаючись перехопити сесійні токени або підсунути «відновлення ключа» через підміну доменів. *Мені здається, це спосіб обійти нашу віру в «безпарольність».*
Що роблю я: відкриваю LastPass тільки з додатка/закладки, ніколи не вводжу master‑пароль із листа чи дзвінка, регулярно перевіряю Emergency Access і активні сесії. Раджу підв’язати фішингостійкі ключі FIDO2, увімкнути сповіщення про нові входи та оновити розширення. 🔒🧠 А ви вже ловили такі «екстрені» листи? Як захищаєте master‑пароль і passkeys?
🔗 Докладніше:
https://cybersecurefox.com/uk/lastpass-fishing-emergency-access-passkeys-crypto-chameleon-unc5356
#кібербезпека #lastpass #фішинг #passkeys #крипта #mfa
CyberSecureFox
CyberSecureFox
Фішинг проти LastPass: зловмисники під виглядом «екстреного доступу» полюють на Master‑паролі та Passkeys
У середині жовтня 2025 року користувачі LastPass зіткнулися з масованою хвилею фішингу: жертвам надсилають листи про нібито отриманий «запит на екстрений
👍2😁2🤯2
🛡️ Мене вразила цифра: у Q3 2025 викуп платили лише 23% жертв. Виглядає так, що економіка ransomware починає сипатися.
Я бачу одразу кілька причин: жорсткіші політики «не платимо», тиск правоохоронців і краща готовність до відновлення. Середній чек впав до $377 тис. (медіана $140 тис.) 📉, а коли атака без шифрування і є валідні бекапи — ймовірність виплати всього 19%.
Тим часом тактика змінилась: 76% інцидентів — це крадіжка даних і шантаж розголошення 🔐. Групи на кшталт Akira та Qilin б’ють по середньому бізнесу, заходячи через RDP/VPN, вразливості й навіть інсайдерів.
Що працює на практиці? MFA всюди, сегментація, патчі й перевірені офлайн-бекапи; зверху — EDR/XDR 24/7, PAM і DLP 🧰. Якщо чесно, краще інвестувати в реагування зараз, ніж торгуватися завтра. А ви б формалізували політику «не платимо» у своїй компанії? 🤔
🔗 Докладніше:
https://cybersecurefox.com/uk/vidmova-vid-vykuplu-ransomware-q3-2025-coveware
CyberSecureFox
Я бачу одразу кілька причин: жорсткіші політики «не платимо», тиск правоохоронців і краща готовність до відновлення. Середній чек впав до $377 тис. (медіана $140 тис.) 📉, а коли атака без шифрування і є валідні бекапи — ймовірність виплати всього 19%.
Тим часом тактика змінилась: 76% інцидентів — це крадіжка даних і шантаж розголошення 🔐. Групи на кшталт Akira та Qilin б’ють по середньому бізнесу, заходячи через RDP/VPN, вразливості й навіть інсайдерів.
Що працює на практиці? MFA всюди, сегментація, патчі й перевірені офлайн-бекапи; зверху — EDR/XDR 24/7, PAM і DLP 🧰. Якщо чесно, краще інвестувати в реагування зараз, ніж торгуватися завтра. А ви б формалізували політику «не платимо» у своїй компанії? 🤔
🔗 Докладніше:
https://cybersecurefox.com/uk/vidmova-vid-vykuplu-ransomware-q3-2025-coveware
CyberSecureFox
CyberSecureFox
Відмова від викупу стає нормою: лише 23% жертв Ransomware платять у Q3 2025 — дані Coveware
Частка організацій, які погоджуються на вимоги кіберзлочинців після атак ransomware, досягла історичного мінімуму. За даними Coveware, у третьому кварталі
❤2👍2😁2
⚠️ Мене реально стривожила історія з ChatGPT Atlas: LayerX знайшли спосіб «прошити» асистентові пам’ять через браузер. Це переживає перезавантаження й синхронізується між пристроями.
Як це працює простими словами: CSRF + постійна пам’ять дозволяють тихцем записати в Atlas «правила», які агент виконує у нових сесіях 🧷. Це як stored XSS для ІІ: один раз зачепив — і ланцюжок дій запускається на будь-якому девайсі. Патча ще немає, тому деталей не публікують.
Що роблю я 🛡️: мінімізую чутливі задачі в Atlas, не клікаю сумнівні лінки, регулярно чищу постійну пам’ять і відключаю зайві дозволи на файли/веб. Рекомендую розділяти профілі, тримати 2FA увімкненою й дотримуватися найменших привілеїв. Для параноїків — окремий браузер/контейнер без доступу до пам’яті 🔒.
Ви вже перевірили пам’ять асистента й дозволи? Я б зробив це сьогодні, поки OpenAI готує оновлення.
🔗 Докладніше:
https://cybersecurefox.com/uk/layerx-csrf-chatgpt-atlas-postiina-pamiat
CyberSecureFox
Як це працює простими словами: CSRF + постійна пам’ять дозволяють тихцем записати в Atlas «правила», які агент виконує у нових сесіях 🧷. Це як stored XSS для ІІ: один раз зачепив — і ланцюжок дій запускається на будь-якому девайсі. Патча ще немає, тому деталей не публікують.
Що роблю я 🛡️: мінімізую чутливі задачі в Atlas, не клікаю сумнівні лінки, регулярно чищу постійну пам’ять і відключаю зайві дозволи на файли/веб. Рекомендую розділяти профілі, тримати 2FA увімкненою й дотримуватися найменших привілеїв. Для параноїків — окремий браузер/контейнер без доступу до пам’яті 🔒.
Ви вже перевірили пам’ять асистента й дозволи? Я б зробив це сьогодні, поки OpenAI готує оновлення.
🔗 Докладніше:
https://cybersecurefox.com/uk/layerx-csrf-chatgpt-atlas-postiina-pamiat
CyberSecureFox
CyberSecureFox
LayerX виявила уразливість у ChatGPT Atlas: CSRF і постійна пам’ять ведуть до персистентної Prompt Injection
Дослідницька команда LayerX повідомила про уразливість у новому браузері ChatGPT Atlas від OpenAI. Комбінація Cross-Site Request Forgery (CSRF) із доступом до
👍2🔥2🤔2
🚨 Щойно натрапив на кейс, який ламає звичну логіку захисту. Кампанія PhantomRaven тихо засіяла npm 126 пакетами з 86 тис. завантажень.
🧩 Фішка — Remote Dynamic Dependencies (RDD): під час install пакет тягне код з зовнішніх URL, іноді навіть через HTTP. У lock-файлі — нуль залежностей, тож статичні сканери сліпі, а збірки стають невідтворюваними. *Мені здається, це новий стандарт підміни ланцюга постачання*.
🕵️ Пейлоад щоразу унікальний і не кешується — оператори таргетують відповіді, показують «чисте» дослідникам ІБ і інше для корпоративних мереж. Далі йде телеметрія та крадіжка токенів доступу з ексфільтрацією через GET/POST/WebSocket. 🎭 Частина пакетів маскується під GitLab/Apache, плюс slopsquatting на «галюцинаціях» LLM.
🔒 Що роблю сам: у CI/CD вимикаю скрипти (npm ci --ignore-scripts), обмежую вихід лише HTTPS до реєстру, перевіряю авторів/репо і кручу секрети короткоживучими. І так, *не довіряю підказкам ШІ без перевірки*. А ви вже ввели «мінімально необхідний інтернет» для білдів?
🔗 Докладніше:
https://cybersecurefox.com/uk/phantomraven-npm-remote-dynamic-dependencies
#безпека #npm #rdd #supplychain #devops #malware
CyberSecureFox
🧩 Фішка — Remote Dynamic Dependencies (RDD): під час install пакет тягне код з зовнішніх URL, іноді навіть через HTTP. У lock-файлі — нуль залежностей, тож статичні сканери сліпі, а збірки стають невідтворюваними. *Мені здається, це новий стандарт підміни ланцюга постачання*.
🕵️ Пейлоад щоразу унікальний і не кешується — оператори таргетують відповіді, показують «чисте» дослідникам ІБ і інше для корпоративних мереж. Далі йде телеметрія та крадіжка токенів доступу з ексфільтрацією через GET/POST/WebSocket. 🎭 Частина пакетів маскується під GitLab/Apache, плюс slopsquatting на «галюцинаціях» LLM.
🔒 Що роблю сам: у CI/CD вимикаю скрипти (npm ci --ignore-scripts), обмежую вихід лише HTTPS до реєстру, перевіряю авторів/репо і кручу секрети короткоживучими. І так, *не довіряю підказкам ШІ без перевірки*. А ви вже ввели «мінімально необхідний інтернет» для білдів?
🔗 Докладніше:
https://cybersecurefox.com/uk/phantomraven-npm-remote-dynamic-dependencies
#безпека #npm #rdd #supplychain #devops #malware
CyberSecureFox
CyberSecureFox
PhantomRaven б’є по Npm: атаки через Remote Dynamic Dependencies
Дослідники Koi Security повідомили про тривалу кампанію PhantomRaven, у межах якої з серпня 2024 року до реєстру npm було додано 126 шкідливих пакетів із
👍2🤯2😁1
🧲 Безконтактна оплата стала новою мішенню. І це вже не про фішинг — атакують сам механізм оплати.
Я помітив у звіті Zimperium: уже 760+ зразків NFC‑малварі, і темп лише росте. Фішка в тому, що зловмисники тиснуть на HCE — телефон прикидається карткою, а шкідник перехоплює EMV‑поля, робить APDU‑тунелювання і на льоту підміняє відповіді на кшталт Ghost Tap. Зовні все виглядає як звична оплата 📱.
Інфраструктура теж «під ключ»: 70+ C2‑серверів, приватні Telegram‑боти 🛰️. Перші кейси з 2023‑го (Чехія), а в РФ варіанти NFCGate вже рахують сотні мільйонів збитків і десятки успішних атак щодня. Додатки маскуються під Google Pay/банки і тихцем стають «Tap‑to‑Pay за замовчуванням» 🕵️♂️.
Що роблю сам: ставлю тільки з Google Play, перевіряю Tap‑to‑Pay за замовчуванням, вимикаю NFC коли не плачу і вмикаю Play Protect. Плюс пуші про транзакції та ліміти — щоб зловити підміну миттєво ⚠️. Звучить нудно, але рятує нерви.
А ви вже дивилися, який застосунок у вас відповідає за безконтактну оплату? Написати короткий чеклист перевірок? ✅
🔗 Докладніше:
https://cybersecurefox.com/uk/splysk-nfc-malvari-bezkontaktni-platezhi-android-hce-emv
#кібербезпека #android #nfc #безконтактніплатежі #шахрайство #поради
CyberSecureFox
Я помітив у звіті Zimperium: уже 760+ зразків NFC‑малварі, і темп лише росте. Фішка в тому, що зловмисники тиснуть на HCE — телефон прикидається карткою, а шкідник перехоплює EMV‑поля, робить APDU‑тунелювання і на льоту підміняє відповіді на кшталт Ghost Tap. Зовні все виглядає як звична оплата 📱.
Інфраструктура теж «під ключ»: 70+ C2‑серверів, приватні Telegram‑боти 🛰️. Перші кейси з 2023‑го (Чехія), а в РФ варіанти NFCGate вже рахують сотні мільйонів збитків і десятки успішних атак щодня. Додатки маскуються під Google Pay/банки і тихцем стають «Tap‑to‑Pay за замовчуванням» 🕵️♂️.
Що роблю сам: ставлю тільки з Google Play, перевіряю Tap‑to‑Pay за замовчуванням, вимикаю NFC коли не плачу і вмикаю Play Protect. Плюс пуші про транзакції та ліміти — щоб зловити підміну миттєво ⚠️. Звучить нудно, але рятує нерви.
А ви вже дивилися, який застосунок у вас відповідає за безконтактну оплату? Написати короткий чеклист перевірок? ✅
🔗 Докладніше:
https://cybersecurefox.com/uk/splysk-nfc-malvari-bezkontaktni-platezhi-android-hce-emv
#кібербезпека #android #nfc #безконтактніплатежі #шахрайство #поради
CyberSecureFox
CyberSecureFox
Сплеск NFC‑шкідливого ПЗ проти безконтактних платежів: понад 760 зразків, зловживання HCE та мільйонні збитки
Експерти Zimperium повідомляють про стрімке зростання кількості шкідливих Android‑додатків, націлених на безконтактні платежі у Східній Європі. За останні
😁2🤯2👍1
🧨 Знайшов у маркетплейсі VS Code розширення, що відкрито обіцяє красти й шифрувати файли. Я глянув опис — і, чесно, це не жарт.
Мова про susvsex від suspublisher18: активується на будь-яку подію, запускає zipUploadAndEncrypt, робить екфільтрацію файлів і підміняє їх копіями з шифруванням AES‑256‑CBC. По суті — ZIP на віддалений сервер і мінус дані. Мені здається, така відвертість — тест на пильність модерації.
У коді — хардкод IP, ключі та C2; коментарі виглядають як AI‑згенерований «slop» 🧪. Плюс опитування приватного GitHub через PAT‑токен і читання інструкцій з index.html; за телеметрією автор може бути з Азербайджану. Це сирий зразок, але допиляти — і буде біда.
Чому це важливо: supply chain у середовищі розробки — болюча тема. Я б уже зараз заблокував встановлення susvsex, перевірив машини девів, увімкнув egress‑контроль і Workspace Trust 🔒. А ви як перевіряєте плагіни у командах і чи обрізаєте права PAT‑токенів? 🚨
🔗 Докладніше:
https://cybersecurefox.com/uk/vscode-marketplace-shkidlyve-rozshyrennia-susvsex-ransomware-ekfiltratsiia
#vscode_безпека_розширення_supplychain_devsecops_ransomware
CyberSecureFox
Мова про susvsex від suspublisher18: активується на будь-яку подію, запускає zipUploadAndEncrypt, робить екфільтрацію файлів і підміняє їх копіями з шифруванням AES‑256‑CBC. По суті — ZIP на віддалений сервер і мінус дані. Мені здається, така відвертість — тест на пильність модерації.
У коді — хардкод IP, ключі та C2; коментарі виглядають як AI‑згенерований «slop» 🧪. Плюс опитування приватного GitHub через PAT‑токен і читання інструкцій з index.html; за телеметрією автор може бути з Азербайджану. Це сирий зразок, але допиляти — і буде біда.
Чому це важливо: supply chain у середовищі розробки — болюча тема. Я б уже зараз заблокував встановлення susvsex, перевірив машини девів, увімкнув egress‑контроль і Workspace Trust 🔒. А ви як перевіряєте плагіни у командах і чи обрізаєте права PAT‑токенів? 🚨
🔗 Докладніше:
https://cybersecurefox.com/uk/vscode-marketplace-shkidlyve-rozshyrennia-susvsex-ransomware-ekfiltratsiia
#vscode_безпека_розширення_supplychain_devsecops_ransomware
CyberSecureFox
CyberSecureFox
Шкідливе розширення VS Code Susvsex: ексфільтрація даних і шифрування AES‑256‑CBC — розбір Secure Annex
У каталозі Visual Studio Code Marketplace виявлено розширення, яке маскується під інструмент для розробників, але має базові можливості шифрувальника та
🚚 Натрапив на історію, від якої холоне спина: вантажі зникають не з трас, а з інбоксів. Кібербанди заходять у транспорт через викрадені акаунти на load boards і легальні RMM.
За оцінками індустрії втрати вже >$30 млрд на рік. Зловмисники публікують фейки, шлють лінки й тихо ставлять легальні RMM (Fleetdeck, ScreenConnect тощо) — усе виглядає як робота саппорту, і це найпідліше. ✉️ Ще гірше — вони вбудовуються у скомпрометовані листування, тож довіра автоматична.
Далі — збір паролів (WebBrowserPassView), розширення доступів і гра з планувальними панелями: бронюють рейси від імені жертв і змінюють точки розвантаження. У підсумку цінні вантажі їдуть не туди — сліди тягнуться від США до Бразилії, Мексики, Німеччини та інших країн. Мені здається, за цим стоять організовані групи, що міксують кібер і логістичний фрод. 🕵️
Що роблю і раджу: 🔐 MFA на load boards/пошту/диспетчерські, жорсткі політики для RMM (тільки білі списки), поштовий DMARC/DKIM/SPF і двоканальна валідація будь-яких змін маршруту. Краще здаватися занудним, ніж втратити фуру. 🧭
Як у вас налаштована перевірка змін у рейсах — є другий канал підтвердження?
🔗 Докладніше:
https://cybersecurefox.com/uk/krazhi-vantazhiv-cherez-load-boards-rmm-analiz-proofpoint
CyberSecureFox
За оцінками індустрії втрати вже >$30 млрд на рік. Зловмисники публікують фейки, шлють лінки й тихо ставлять легальні RMM (Fleetdeck, ScreenConnect тощо) — усе виглядає як робота саппорту, і це найпідліше. ✉️ Ще гірше — вони вбудовуються у скомпрометовані листування, тож довіра автоматична.
Далі — збір паролів (WebBrowserPassView), розширення доступів і гра з планувальними панелями: бронюють рейси від імені жертв і змінюють точки розвантаження. У підсумку цінні вантажі їдуть не туди — сліди тягнуться від США до Бразилії, Мексики, Німеччини та інших країн. Мені здається, за цим стоять організовані групи, що міксують кібер і логістичний фрод. 🕵️
Що роблю і раджу: 🔐 MFA на load boards/пошту/диспетчерські, жорсткі політики для RMM (тільки білі списки), поштовий DMARC/DKIM/SPF і двоканальна валідація будь-яких змін маршруту. Краще здаватися занудним, ніж втратити фуру. 🧭
Як у вас налаштована перевірка змін у рейсах — є другий канал підтвердження?
🔗 Докладніше:
https://cybersecurefox.com/uk/krazhi-vantazhiv-cherez-load-boards-rmm-analiz-proofpoint
CyberSecureFox
CyberSecureFox
Кіберзлочинці викрадають вантажі через компрометацію Load Boards і легальні RMM: аналіз Proofpoint та рекомендації
Кіберзлочинні угруповання масштабують атаки на транспортні та логістичні компанії, використовуючи викрадені облікові дані з load boards і легальні
👍2👏2👀2
🚨 Сьогодні бачу хвилю атак на WordPress через один плагін — і це не перебільшення. Якщо у вас стоїть Post SMTP, цей пост для вас.
У CVE-2025-11833 в Post SMTP відкритий доступ до поштових логів із лінками на скидання пароля — зловмисник змінює адмінський пароль і забирає сайт. Патч вийшов 29 жовтня у версії 3.6.1, але оновилась лише половина інсталяцій — приблизно 200 000 сайтів досі під прицілом. Я це помітив у кількох проєктах — неприємний сюрприз.
Експлуатація вже в мережі: з 1 листопада Wordfence блокує тисячі спроб (понад 4500). Оцінка CVSS 9.8 і простота атаки роблять кейс максимально критичним. Мені здається, це той самий клас проблем з доступом, що ми вже бачили влітку.
Що робити прямо зараз 🛡️: оновіть Post SMTP до 3.6.1+ або тимчасово вимкніть плагін; 🔐 скиньте паролі адмінів та SMTP, ввімкніть 2FA; перегляньте логи входів. Додатково обмежте доступ до wp-admin/wp-login і увімкніть WAF. Краще витратити 15 хвилин сьогодні, ніж відновлювати сайт завтра. А ви вже оновилися і чи вимикаєте логування пошти на проді?
🔗 Докладніше:
https://cybersecurefox.com/uk/wordpress-post-smtp-cve-2025-11833-perekhoplennia-lystiv-3-6-1
#wordpress #security #cve202511833 #postsmtp #infosec #2fa
CyberSecureFox
У CVE-2025-11833 в Post SMTP відкритий доступ до поштових логів із лінками на скидання пароля — зловмисник змінює адмінський пароль і забирає сайт. Патч вийшов 29 жовтня у версії 3.6.1, але оновилась лише половина інсталяцій — приблизно 200 000 сайтів досі під прицілом. Я це помітив у кількох проєктах — неприємний сюрприз.
Експлуатація вже в мережі: з 1 листопада Wordfence блокує тисячі спроб (понад 4500). Оцінка CVSS 9.8 і простота атаки роблять кейс максимально критичним. Мені здається, це той самий клас проблем з доступом, що ми вже бачили влітку.
Що робити прямо зараз 🛡️: оновіть Post SMTP до 3.6.1+ або тимчасово вимкніть плагін; 🔐 скиньте паролі адмінів та SMTP, ввімкніть 2FA; перегляньте логи входів. Додатково обмежте доступ до wp-admin/wp-login і увімкніть WAF. Краще витратити 15 хвилин сьогодні, ніж відновлювати сайт завтра. А ви вже оновилися і чи вимикаєте логування пошти на проді?
🔗 Докладніше:
https://cybersecurefox.com/uk/wordpress-post-smtp-cve-2025-11833-perekhoplennia-lystiv-3-6-1
#wordpress #security #cve202511833 #postsmtp #infosec #2fa
CyberSecureFox
CyberSecureFox
Критична уразливість у Post SMTP (CVE-2025-11833): перехоплення листів і захоплення акаунтів WordPress — терміново оновіть до 3.6.1
Сайти на WordPress масово атакують через критичну уразливість CVE-2025-11833 у популярному плагіні Post SMTP (понад 400 000 інсталяцій). Помилка відкриває
👍2🤔2👀1
🛰️ Зловив дуже показову історію: нова шпигунська платформа LandFall дев’ять місяців тихо сиділа в Galaxy через 0‑day у медіакодеку. І все — через DNG‑картинку у WhatsApp без жодного кліку 📸.
Ключ — CVE‑2025‑21042 (CVSS 8.8) у libimagecodec.quram.so: out‑of‑bounds дозволяв віддалене виконання коду під час автопрев’ю. Патч Samsung лише у квітні 2025 🔒. Мені здається, медіастек — найтихіша брама до телефону.
Били по Іраку, Ірану, Туреччині, Марокко 🌍; моделі S22/S23/S24, Z Fold 4, Z Flip 4 під ударом, S25 не чіпали 📱. Всередині — b.so і l.so: плагіни, зміни SELinux, збір IMEI/IMSI, гео та списків застосунків. Щонайменше шість C2.
Що роблю сам: ставлю квітневі+ патчі, вимикаю автозбереження медіа у месенджерах, стежу за нетиповими з’єднаннями та цілісністю бібліотек ⚠️. Якщо ви на Galaxy — оновіться і перегляньте медіаналаштування. Як гадаєте, чи зможемо змусити месенджери менше обробляти медіа у фоні?
🔗 Докладніше:
https://cybersecurefox.com/uk/landfall-cve-2025-21042-samsung-galaxy-dng-whatsapp
#кібербезпека_android_samsung_whatsapp_spyware_0day
CyberSecureFox
Ключ — CVE‑2025‑21042 (CVSS 8.8) у libimagecodec.quram.so: out‑of‑bounds дозволяв віддалене виконання коду під час автопрев’ю. Патч Samsung лише у квітні 2025 🔒. Мені здається, медіастек — найтихіша брама до телефону.
Били по Іраку, Ірану, Туреччині, Марокко 🌍; моделі S22/S23/S24, Z Fold 4, Z Flip 4 під ударом, S25 не чіпали 📱. Всередині — b.so і l.so: плагіни, зміни SELinux, збір IMEI/IMSI, гео та списків застосунків. Щонайменше шість C2.
Що роблю сам: ставлю квітневі+ патчі, вимикаю автозбереження медіа у месенджерах, стежу за нетиповими з’єднаннями та цілісністю бібліотек ⚠️. Якщо ви на Galaxy — оновіться і перегляньте медіаналаштування. Як гадаєте, чи зможемо змусити месенджери менше обробляти медіа у фоні?
🔗 Докладніше:
https://cybersecurefox.com/uk/landfall-cve-2025-21042-samsung-galaxy-dng-whatsapp
#кібербезпека_android_samsung_whatsapp_spyware_0day
CyberSecureFox
CyberSecureFox
LandFall: 0‑day експлойт у Samsung Galaxy через DNG і WhatsApp (CVE‑2025‑21042)
Дослідники Palo Alto Networks виявили нову шпигунську платформу LandFall, яка щонайменше з липня 2024 року використовувала 0‑day уразливість у смартфонах
🤔2👍1🤯1
🧠 Хакери вже не просто радяться з ШІ — вони вшивають його прямо у шкідники. Код починає змінювати себе на льоту.
Я натрапив на експериментальний VBScript-дроппер PromptFlux: він тримає змінені копії в автозавантаженні, лізе на знімні носії й шаринг, а через Gemini API постійно перегенеровує обфускований код. Тобто самомодифікація в рантаймі як спосіб зірвати сигнатури — звучить дико, але працює. 🔁
Найцікавіше — модуль Thinking Robot, який регулярно просить у LLM нові трюки обходу, прагнучи метаморфічного коду (змінюється не тільки «упаковка», а й логіка). Google заблокувала доступ та прибрала інфру, але тенденцію вже не зупинити. 🛡️
GTIG показує, що китайські, іранські та північнокорейські групи вже юзають LLM для C2, фішингу, дипфейків і підготовки експлойтів — паралельно росте ринок «чорних» моделей без правил. Захисникам я б ставив пріоритет на моніторинг вихідного трафіку до LLM/API, контроль цілісності й поведінкову аналітику; плюс allowlist автозавантаження та мінімум прав на носії. 🧩
Мені здається, це новий цикл гонки озброєнь: defender’s AI проти attacker’s AI. Ви вже фільтруєте LLM-трафік у своїх мережах?
🔗 Докладніше:
https://cybersecurefox.com/uk/promptflux-shi-malvar-samomodyfikatsiia-kodu-gemini-api
#кібербезпека #ai #llm #malware #threatintel #blueteam
CyberSecureFox
Я натрапив на експериментальний VBScript-дроппер PromptFlux: він тримає змінені копії в автозавантаженні, лізе на знімні носії й шаринг, а через Gemini API постійно перегенеровує обфускований код. Тобто самомодифікація в рантаймі як спосіб зірвати сигнатури — звучить дико, але працює. 🔁
Найцікавіше — модуль Thinking Robot, який регулярно просить у LLM нові трюки обходу, прагнучи метаморфічного коду (змінюється не тільки «упаковка», а й логіка). Google заблокувала доступ та прибрала інфру, але тенденцію вже не зупинити. 🛡️
GTIG показує, що китайські, іранські та північнокорейські групи вже юзають LLM для C2, фішингу, дипфейків і підготовки експлойтів — паралельно росте ринок «чорних» моделей без правил. Захисникам я б ставив пріоритет на моніторинг вихідного трафіку до LLM/API, контроль цілісності й поведінкову аналітику; плюс allowlist автозавантаження та мінімум прав на носії. 🧩
Мені здається, це новий цикл гонки озброєнь: defender’s AI проти attacker’s AI. Ви вже фільтруєте LLM-трафік у своїх мережах?
🔗 Докладніше:
https://cybersecurefox.com/uk/promptflux-shi-malvar-samomodyfikatsiia-kodu-gemini-api
#кібербезпека #ai #llm #malware #threatintel #blueteam
CyberSecureFox
CyberSecureFox
PromptFlux: нова ШІ-малварь з самомодифікацією коду та інтеграцією Gemini API
Кіберзлочинці переходять від використання ШІ лише на підготовчих етапах до його впровадження безпосередньо у виконавчий код. За даними Google Threat
👀3🤯2👍1
🪟 Маленький баг із великими наслідками: після оновлення KB5067036 у мене «Диспетчер завдань» закривається, а процес лишається жити. І кожен новий запуск множить taskmgr.exe — *доволі підступно*.
Це опціональне оновлення для Windows 11 24H2/25H2. ⚠️ Кожен «завислий» екземпляр тягне 20 МБ RAM і до 2% CPU, у сумі — фризи, повільні апки, і мені здається, що система «важчає» з кожною хвилиною.
🔎 Перевіряю так: вкладка «Відомості» у Диспетчері або PowerShell: Get-Process taskmgr. 🔧 Чищу купу одним махом: taskkill /im taskmgr.exe /f або в PowerShell: Stop-Process -Name taskmgr -Force.
Microsoft вже підтвердила проблему; патч готують, але строків немає. Я б поки уникав перезапускати «Диспетчер» без потреби й не ставив preview-оновлення на прод; у разі критики — видаляйте KB5067036 через «Журнал оновлень». А ви вже ловили це? *Скільки екземплярів taskmgr у вас висіло?*
🔗 Докладніше:
https://cybersecurefox.com/uk/windows-11-kb5067036-task-manager-bug
#windows11 #оновлення #kb5067036 #taskmanager #продуктивність #it-адміністратор
CyberSecureFox
Це опціональне оновлення для Windows 11 24H2/25H2. ⚠️ Кожен «завислий» екземпляр тягне 20 МБ RAM і до 2% CPU, у сумі — фризи, повільні апки, і мені здається, що система «важчає» з кожною хвилиною.
🔎 Перевіряю так: вкладка «Відомості» у Диспетчері або PowerShell: Get-Process taskmgr. 🔧 Чищу купу одним махом: taskkill /im taskmgr.exe /f або в PowerShell: Stop-Process -Name taskmgr -Force.
Microsoft вже підтвердила проблему; патч готують, але строків немає. Я б поки уникав перезапускати «Диспетчер» без потреби й не ставив preview-оновлення на прод; у разі критики — видаляйте KB5067036 через «Журнал оновлень». А ви вже ловили це? *Скільки екземплярів taskmgr у вас висіло?*
🔗 Докладніше:
https://cybersecurefox.com/uk/windows-11-kb5067036-task-manager-bug
#windows11 #оновлення #kb5067036 #taskmanager #продуктивність #it-адміністратор
CyberSecureFox
CyberSecureFox
Windows 11: збій оновлення KB5067036 спричиняє накопичення процесів Диспетчера завдань і падіння продуктивності
Опціональне оновлення KB5067036, випущене 28 жовтня 2025 року для Windows 11 версій 24H2 і 25H2, спричиняє нетипову деградацію продуктивності: після закриття
🐛 Свіжий інсайт з екосистеми VS Code: в OpenVSX знову знайшли 3 шкідливі пакети, пов’язані з GlassWorm. І понад 10 тис. завантажень — це вже про системну щілину, а не випадковість.
Я помітив, що тактики прості й нахабні: крадіжка токенів/паролів GitHub/npm/OpenVSX та удар по криптогаманцях. Навантаження ховають за невидимими Unicode-символами — візуально все ок, але змінюється семантика, тож рев’ю і лінтери пролітають. 🧩
Командування йде через Solana, а Google Calendar — резервний C2, тому блокувати важко: трафік «зливається» з легітимним. Раніше вже ловили 12 інфікованих розширень (~35,8 тис. завантажень), і мені здається, критичний вектор досі відкритий. ⚠️
Що роблю сам: тримаю allowlist розширень, інвентаризую плагіни, моніторю звернення до Solana RPC/Calendar API, кручу токени. Лінтери/pre-commit ловлять U+200B/U+200C/U+200D, а в IDE вмикаю «показати невидимі символи». Чи ввели б ви обов’язкову апаратну 2FA для паблішерів маркетплейсів? 🔒
🔗 Докладніше:
https://cybersecurefox.com/uk/glassworm-vs-code-openvsx-unicode-obfuskatsiya-solana-c2
#cybersecurity_devsecops_vscode_supplychain_unicode
CyberSecureFox
Я помітив, що тактики прості й нахабні: крадіжка токенів/паролів GitHub/npm/OpenVSX та удар по криптогаманцях. Навантаження ховають за невидимими Unicode-символами — візуально все ок, але змінюється семантика, тож рев’ю і лінтери пролітають. 🧩
Командування йде через Solana, а Google Calendar — резервний C2, тому блокувати важко: трафік «зливається» з легітимним. Раніше вже ловили 12 інфікованих розширень (~35,8 тис. завантажень), і мені здається, критичний вектор досі відкритий. ⚠️
Що роблю сам: тримаю allowlist розширень, інвентаризую плагіни, моніторю звернення до Solana RPC/Calendar API, кручу токени. Лінтери/pre-commit ловлять U+200B/U+200C/U+200D, а в IDE вмикаю «показати невидимі символи». Чи ввели б ви обов’язкову апаратну 2FA для паблішерів маркетплейсів? 🔒
🔗 Докладніше:
https://cybersecurefox.com/uk/glassworm-vs-code-openvsx-unicode-obfuskatsiya-solana-c2
#cybersecurity_devsecops_vscode_supplychain_unicode
CyberSecureFox
CyberSecureFox
GlassWorm знову атакує екосистему VS Code: Unicode-обфускація, Solana C2 і понад 10 000 завантажень шкідливих розширень
Попри підсилені заходи безпеки, в каталозі OpenVSX знову виявлено три шкідливі пакети, пов’язані з групою GlassWorm. За оцінками дослідників, ці розширення
👍1🤯1👀1
🧨 Натрапив на «міни» в NuGet, які детонують не сьогодні, а через роки. І це не байка — дослідники Socket вже зняли перші зразки.
Socket знайшли 9 пакетів з відкладеним спрацюванням від користувача shanhai666 (2023–2024), сумарно ~9,5 тис. завантажень 🗓️. Вікно активації — 08.08.2027–29.11.2028: цілиться у звичні .NET-операції з БД SQL Server/PostgreSQL/SQLite 💾 і у PLC Siemens через Sharp7.
Фішка — майже весь код легітимний, а шкідливе — ~20 рядків: через extension methods перехоплюються виклики; у «вікні» з 20% шансом процес просто Kill(). Для ICS виділився Sharp7Extend 🏭: 20% миттєвих розривів (до 06.06.2028), штучний конфіг-факап і відкладений фільтр на 30–90 хв, після якого 80% записів у PLC псуються.
Мені здається, це класика «бомби уповільненої дії»: збої виглядають випадковими й важко відслідковуються. Я б негайно зробив SBOM, pinning, приватні фіди, плюс моніторинг раптових Kill/аномалій у транзакціях 🛡️. А ви вже перевірили свої nuget-фіди? Поділіться, що знаходили.
🔗 Докладніше:
https://cybersecurefox.com/uk/shkidlyvi-pakety-nuget-vidkladene-spracuvannia-dotnet-sharp7-plc
#nuget_dotnet_ics_ot_sbom_infosec
CyberSecureFox
Socket знайшли 9 пакетів з відкладеним спрацюванням від користувача shanhai666 (2023–2024), сумарно ~9,5 тис. завантажень 🗓️. Вікно активації — 08.08.2027–29.11.2028: цілиться у звичні .NET-операції з БД SQL Server/PostgreSQL/SQLite 💾 і у PLC Siemens через Sharp7.
Фішка — майже весь код легітимний, а шкідливе — ~20 рядків: через extension methods перехоплюються виклики; у «вікні» з 20% шансом процес просто Kill(). Для ICS виділився Sharp7Extend 🏭: 20% миттєвих розривів (до 06.06.2028), штучний конфіг-факап і відкладений фільтр на 30–90 хв, після якого 80% записів у PLC псуються.
Мені здається, це класика «бомби уповільненої дії»: збої виглядають випадковими й важко відслідковуються. Я б негайно зробив SBOM, pinning, приватні фіди, плюс моніторинг раптових Kill/аномалій у транзакціях 🛡️. А ви вже перевірили свої nuget-фіди? Поділіться, що знаходили.
🔗 Докладніше:
https://cybersecurefox.com/uk/shkidlyvi-pakety-nuget-vidkladene-spracuvannia-dotnet-sharp7-plc
#nuget_dotnet_ics_ot_sbom_infosec
CyberSecureFox
CyberSecureFox
Шкідливі пакети NuGet з відкладеним спрацюванням: ризики для .NET і PLC Siemens
Дослідницька команда Socket повідомила про виявлення дев’яти шкідливих пакетів у екосистемі NuGet, у які вбудовано логіку відкладеного спрацювання. Активна
👍2🔥2👀2
🚨 Кейс, який мене реально зачепив: Мін’юст США звинуватив трьох колишніх фахівців з IR і переговорів у співпраці з BlackCat. Люди, що мали гасити пожежі, нібито підкидали бензин — це лячно.
Серед них — Кевін Тайлер Мартін (28) і Райан Кліффорд Голдберг (33), третій поки без імені 🕵️. Обвинувачення: змова та умисне пошкодження захищених комп’ютерів; за все разом світить до 50 років. Слідство каже, що вони діяли як афіліати ALPHV: проникали, крали дані й запускали шифрувальник — подвійне вимагання.
Кого били? Від виробника медобладнання в Тампі до фарми, інженерії й клініки в Каліфорнії, плюс розробник дронів у Вірджинії 🏥. Запити коливалися від $300k до $10 млн 💰; одна жертва заплатила $1,27 млн після інциденту у травні 2023. Боляче, бо це реальні операційні гроші.
RaaS працює як сервіс: розробники дають інфру, афіліати «пробивають» доступ — і діляться прибутком. Я б ставив на базу: MFA/least privilege, сегментацію, патчі, EPP/EDR, та офлайн/immutable бекапи з регулярним тестом відновлення 🔐. Мені здається, це єдиний спосіб зменшити важелі тиску. Як думаєте: торгуватися чи категорично не платити?
🔗 Докладніше:
https://cybersecurefox.com/uk/obvynennia-fakhivtsiv-kyberbezpeky-sprava-blackcat-alphv
#кібербезпека_ransomware_blackcat_alphv_інфобез_бізнес
CyberSecureFox
Серед них — Кевін Тайлер Мартін (28) і Райан Кліффорд Голдберг (33), третій поки без імені 🕵️. Обвинувачення: змова та умисне пошкодження захищених комп’ютерів; за все разом світить до 50 років. Слідство каже, що вони діяли як афіліати ALPHV: проникали, крали дані й запускали шифрувальник — подвійне вимагання.
Кого били? Від виробника медобладнання в Тампі до фарми, інженерії й клініки в Каліфорнії, плюс розробник дронів у Вірджинії 🏥. Запити коливалися від $300k до $10 млн 💰; одна жертва заплатила $1,27 млн після інциденту у травні 2023. Боляче, бо це реальні операційні гроші.
RaaS працює як сервіс: розробники дають інфру, афіліати «пробивають» доступ — і діляться прибутком. Я б ставив на базу: MFA/least privilege, сегментацію, патчі, EPP/EDR, та офлайн/immutable бекапи з регулярним тестом відновлення 🔐. Мені здається, це єдиний спосіб зменшити важелі тиску. Як думаєте: торгуватися чи категорично не платити?
🔗 Докладніше:
https://cybersecurefox.com/uk/obvynennia-fakhivtsiv-kyberbezpeky-sprava-blackcat-alphv
#кібербезпека_ransomware_blackcat_alphv_інфобез_бізнес
CyberSecureFox
CyberSecureFox
США звинуватили ексфахівців з реагування на інциденти у причетності до BlackCat (ALPHV) та багатомільйонних вимагань
Міністерство юстиції США висунуло серйозні обвинувачення трьом колишнім спеціалістам з розслідування інцидентів і переговорів із викупниками, яких підозрюють
👍1🔥1👀1
🧩 Коротко: Akira записала Apache OpenOffice до свого «листа витоків» і хвалиться 23 ГБ «персоналки» та фінансів. Але ASF каже: таких даних у проєкту нема, та ще й жодних вимог не надходило.
Я покрутив це в голові 🕵️♂️ OpenOffice — волонтерський, публічний проєкт: баг-репорти й обговорення відкриті, зарплатних відомостей не існує. Це підозріло схоже на «бренд-лістинг» — коли додають назву без верифікації, щоб підняти репутаційний шум.
Втім, тримаю в голові й периферійні ризики: підрядники, пошта, CI/CD або особисті девайси контриб’юторів — інколи саме там і затикає. Поки що жодних доказів зламу не оприлюднено, тож спостерігаю обережно ⚠️
Що б я зробив уже сьогодні: увімкнув MFA (краще ключі FIDO2), мінімізував дані, переглянув ролі й токени, підписував релізи та моніторив згадки бренда 🔐 Це проста гігієна, яка рятує, коли хтось вирішує «тиснути» гучними заявами 📣
А ви вірите в цей кейс чи радше бачите інформаційний тиск? Як у вас із MFA та ротацією секретів?
🔗 Докладніше:
https://cybersecurefox.com/uk/akira-vytik-apache-openoffice
#security_opensource_ransomware_akira_apacheopenoffice_mfa
CyberSecureFox
Я покрутив це в голові 🕵️♂️ OpenOffice — волонтерський, публічний проєкт: баг-репорти й обговорення відкриті, зарплатних відомостей не існує. Це підозріло схоже на «бренд-лістинг» — коли додають назву без верифікації, щоб підняти репутаційний шум.
Втім, тримаю в голові й периферійні ризики: підрядники, пошта, CI/CD або особисті девайси контриб’юторів — інколи саме там і затикає. Поки що жодних доказів зламу не оприлюднено, тож спостерігаю обережно ⚠️
Що б я зробив уже сьогодні: увімкнув MFA (краще ключі FIDO2), мінімізував дані, переглянув ролі й токени, підписував релізи та моніторив згадки бренда 🔐 Це проста гігієна, яка рятує, коли хтось вирішує «тиснути» гучними заявами 📣
А ви вірите в цей кейс чи радше бачите інформаційний тиск? Як у вас із MFA та ротацією секретів?
🔗 Докладніше:
https://cybersecurefox.com/uk/akira-vytik-apache-openoffice
#security_opensource_ransomware_akira_apacheopenoffice_mfa
CyberSecureFox
CyberSecureFox
Akira заявляє про злам Apache OpenOffice: позиція ASF, аналіз ризиків і рекомендації з кібербезпеки
Рансомварна група Akira додала Apache OpenOffice до свого «листа витоків», заявивши про нібито викрадення 23 ГБ даних із персональною інформацією та
👍1🔥1🤯1
😮 Кіберзлочинці навчилися ховати C2 в легітимних AI‑запитах. Я щойно розбирав кейс, який мене щиро здивував.
Бекдор SesameOp керується через Assistants API як через легітимний хмарний канал ☁️: команди летять у зашифрованому вигляді, агент тихо виконує їх локально, а дані тікають тим самим шляхом. Трафік виглядає як звичайна взаємодія з LLM, тож класичні IOC майже безсилі. Трохи лячно, що це трималось непоміченим місяцями.
Ланцюг компрометації — сильно обфускований завантажувач і .NET‑бекдор з ін’єкцією через AppDomainManager у процеси інструментів розробки 💻. Для тривалості — веб‑шелли та фонові сервіси. Це про операційну непомітність, а не про експлойти.
Добра новина: Microsoft і OpenAI відрубали ключ і зачистили інфру 🔒. Звідси висновок: мені здається, час переглянути egress‑політики до AI‑платформ, профілювати звернення (SNI/JA3/headers), стежити за .NET‑телеметрією та ротацією API‑ключів 🔍. Як вам такий тренд маскування під бізнес‑трафік — уже ловите це, чи все ще болить периферія SOC?
🔗 Докладніше:
https://cybersecurefox.com/uk/sesameop-openai-assistants-api-pryhovanyi-c2-analiz
#кібербезпека #threatintel #ai #cloud #blueteam #dotnet
CyberSecureFox
Бекдор SesameOp керується через Assistants API як через легітимний хмарний канал ☁️: команди летять у зашифрованому вигляді, агент тихо виконує їх локально, а дані тікають тим самим шляхом. Трафік виглядає як звичайна взаємодія з LLM, тож класичні IOC майже безсилі. Трохи лячно, що це трималось непоміченим місяцями.
Ланцюг компрометації — сильно обфускований завантажувач і .NET‑бекдор з ін’єкцією через AppDomainManager у процеси інструментів розробки 💻. Для тривалості — веб‑шелли та фонові сервіси. Це про операційну непомітність, а не про експлойти.
Добра новина: Microsoft і OpenAI відрубали ключ і зачистили інфру 🔒. Звідси висновок: мені здається, час переглянути egress‑політики до AI‑платформ, профілювати звернення (SNI/JA3/headers), стежити за .NET‑телеметрією та ротацією API‑ключів 🔍. Як вам такий тренд маскування під бізнес‑трафік — уже ловите це, чи все ще болить периферія SOC?
🔗 Докладніше:
https://cybersecurefox.com/uk/sesameop-openai-assistants-api-pryhovanyi-c2-analiz
#кібербезпека #threatintel #ai #cloud #blueteam #dotnet
CyberSecureFox
CyberSecureFox
SesameOp: бекдор, що маскує C2 через OpenAI Assistants API — детальний розбір і поради захисту
Оператори сучасних загроз дедалі частіше відмовляються від класичних командно-контрольних (C2) серверів на користь легітимних хмарних платформ. Команда
❤1👍1🤔1
🛰️ Помітив цікаву деталь: підтверджена кібератака на CBO — бюджетне управління Конгресу США. Історія тиха, але потенційно дуже гучна.
CBO — невеликий, але стратегічний офіс. Атаку підтвердили і оперативно локалізували, підняли додатковий моніторинг. Є версія про іноземні «державні» групи, але офіційної атрибуції немає 🔎.
Що під ризиком? Чорнові звіти, попередні оцінки, сценарії та внутрішня пошта — а пошта тут критична ✉️. У подібних кейсах зловмисники тихо тягнуть листування і файли, граючи на людському факторі — мені здається, це найслабше місце.
Кейс вписується у тренд від SolarWinds до крадіжки токенів у 2023 📉. Мій висновок: пошта — головна ціль, тож потрібні phishing‑resistant MFA (FIDO2), Zero Trust, DMARC/DKIM/SPF і більше спостережуваності 🔒. А ви що б поставили пріоритетом: захист пошти чи контроль постачальників?
🔗 Докладніше:
https://cybersecurefox.com/uk/kiberataka-cbo-ssha-analiz-ta-zakhyst
#кібератака_cbo_конгрес_сша_кібербезпека_zero_trust_mfa
CyberSecureFox
CBO — невеликий, але стратегічний офіс. Атаку підтвердили і оперативно локалізували, підняли додатковий моніторинг. Є версія про іноземні «державні» групи, але офіційної атрибуції немає 🔎.
Що під ризиком? Чорнові звіти, попередні оцінки, сценарії та внутрішня пошта — а пошта тут критична ✉️. У подібних кейсах зловмисники тихо тягнуть листування і файли, граючи на людському факторі — мені здається, це найслабше місце.
Кейс вписується у тренд від SolarWinds до крадіжки токенів у 2023 📉. Мій висновок: пошта — головна ціль, тож потрібні phishing‑resistant MFA (FIDO2), Zero Trust, DMARC/DKIM/SPF і більше спостережуваності 🔒. А ви що б поставили пріоритетом: захист пошти чи контроль постачальників?
🔗 Докладніше:
https://cybersecurefox.com/uk/kiberataka-cbo-ssha-analiz-ta-zakhyst
#кібератака_cbo_конгрес_сша_кібербезпека_zero_trust_mfa
CyberSecureFox
CyberSecureFox
Кіберінцидент у CBO: що відомо, ризики та практичні кроки захисту
Бюджетне управління Конгресу США (CBO) підтвердило кібератаку на власні ІТ-системи. За офіційною інформацією, інцидент оперативно виявлено і локалізовано, а
❤2👍2🤔2
🔒 Cisco викинула позаплановий патч для UCCX ☎️ — і це не та історія, яку хочеться ігнорувати. Дві дірки тягнуть на 9.8 і 9.4 CVSS.
Я переглянув бюлетень PSIRT: CVE-2025-20354 — RCE через Java RMI з правами root без логіну; CVE-2025-20358 — обхід автентифікації в CCX Editor з виконанням скриптів як адміністратор. Експлойтів публічно немає, але ризик високий, бо це серце контакт-центру. Мені здається, це комбо загрожує зупинкою черг і lateral movement у мережі.
Рекомендації прості: оновлюйтеся до UCCX 12.5 SU3 ES07 або 15.0 ES01. До вікна змін — закрийте Java RMI і адмін-інтерфейси ззовні, увімкніть ACL/сегментацію, детальне логування і контроль цілісності сценаріїв у Editor. Паралельно не забудьте про ISE (CVE-2025-20343, DoS) і ще чотири CVE в Contact Center — вони підсилюють наслідки.
Я б зараз зробив копії конфігів, перевірив опубліковані сервіси й прокинув алерти в SIEM 🛠️. Якщо коротко — мінімізуйте вікно уразливості і не тягніть з оновленням. Ви вже накатили патчі чи ще тестуєте? 🤔
🔗 Докладніше:
https://cybersecurefox.com/uk/cisco-uccx-krytychni-urazlyvosti-cve-2025-20354-20358
#cisco #uccx #cve #rce #security #contactcenter
CyberSecureFox
Я переглянув бюлетень PSIRT: CVE-2025-20354 — RCE через Java RMI з правами root без логіну; CVE-2025-20358 — обхід автентифікації в CCX Editor з виконанням скриптів як адміністратор. Експлойтів публічно немає, але ризик високий, бо це серце контакт-центру. Мені здається, це комбо загрожує зупинкою черг і lateral movement у мережі.
Рекомендації прості: оновлюйтеся до UCCX 12.5 SU3 ES07 або 15.0 ES01. До вікна змін — закрийте Java RMI і адмін-інтерфейси ззовні, увімкніть ACL/сегментацію, детальне логування і контроль цілісності сценаріїв у Editor. Паралельно не забудьте про ISE (CVE-2025-20343, DoS) і ще чотири CVE в Contact Center — вони підсилюють наслідки.
Я б зараз зробив копії конфігів, перевірив опубліковані сервіси й прокинув алерти в SIEM 🛠️. Якщо коротко — мінімізуйте вікно уразливості і не тягніть з оновленням. Ви вже накатили патчі чи ще тестуєте? 🤔
🔗 Докладніше:
https://cybersecurefox.com/uk/cisco-uccx-krytychni-urazlyvosti-cve-2025-20354-20358
#cisco #uccx #cve #rce #security #contactcenter
CyberSecureFox
CyberSecureFox
Cisco UCCX: позапланові патчі закривають критичні уразливості CVE-2025-20354 і CVE-2025-20358
Cisco випустила позапланові оновлення для Unified Contact Center Express (UCCX), усунувши низку серйозних дефектів, серед яких дві критичні уразливості:
👍2👏2🤯1
🕵️♂️ Свіжа історія з підпілля: операція SkyCloak тихо сидить у мережах держструктур РФ/Білорусі, маскуючи C2 через Tor+obfs4. Я розібрався, чому її так важко зловити.
Початок — звичний фішинг: ZIP із приманкою і LNK. Після кліку багатоступеневий PowerShell перевіряє “живість” машини (менше 50 процесів і <10 недавніх LNK — стоп) і лише тоді працює. Показують правдоподібний PDF, ховають onion-адресу та додають автозапуск githubdesktopMaintenance — майже непомітно.
Для стійкості підсовують бекдор на базі OpenSSH: файл із назвою githubdesktop.exe — це легітимний sshd, що піднімає SSH/SFTP. Паралельно кастомний Tor запускає прихований сервіс; трафік через obfs4 і прокидання RDP/SSH/SMB роблять доступ стабільним і анонімним. Мінімум сигнатур, все на легітимних інструментах (OpenSSH, curl) — і це трохи лячно.
Що б я перевірив уже сьогодні: 📨 планувальник задач і дивні тригери, 🧅 поведінкові ознаки Tor/obfs4, 🔒 політики PowerShell/LNK, MFA для RDP/SSH. Мені здається, це дзвіночок оновити моделі загроз для критичної інфри. А ви вже бачите Tor у своїх логах?
🔗 Докладніше:
https://cybersecurefox.com/uk/operation-skycloak-openssh-tor-obfs4-targeted-espionage
#skycloak #кібербезпека #tor #obfs4 #openssh #apt
CyberSecureFox
Початок — звичний фішинг: ZIP із приманкою і LNK. Після кліку багатоступеневий PowerShell перевіряє “живість” машини (менше 50 процесів і <10 недавніх LNK — стоп) і лише тоді працює. Показують правдоподібний PDF, ховають onion-адресу та додають автозапуск githubdesktopMaintenance — майже непомітно.
Для стійкості підсовують бекдор на базі OpenSSH: файл із назвою githubdesktop.exe — це легітимний sshd, що піднімає SSH/SFTP. Паралельно кастомний Tor запускає прихований сервіс; трафік через obfs4 і прокидання RDP/SSH/SMB роблять доступ стабільним і анонімним. Мінімум сигнатур, все на легітимних інструментах (OpenSSH, curl) — і це трохи лячно.
Що б я перевірив уже сьогодні: 📨 планувальник задач і дивні тригери, 🧅 поведінкові ознаки Tor/obfs4, 🔒 політики PowerShell/LNK, MFA для RDP/SSH. Мені здається, це дзвіночок оновити моделі загроз для критичної інфри. А ви вже бачите Tor у своїх логах?
🔗 Докладніше:
https://cybersecurefox.com/uk/operation-skycloak-openssh-tor-obfs4-targeted-espionage
#skycloak #кібербезпека #tor #obfs4 #openssh #apt
CyberSecureFox
CyberSecureFox
Operation SkyCloak: таргетована кібершпигунська кампанія з бекдором OpenSSH, прихованими сервісами Tor та обфускацією Obfs4
Дослідники Cyble та Seqrite Labs зафіксували цілеспрямовану операцію Operation SkyCloak, орієнтовану на оборонні та державні установи в Росії та Білорусі.
🔥2