This media is not supported in your browser
VIEW IN TELEGRAM
RegPwn (CVE-2026-24291)
LPE с помощью Windows Accessibility features. Про уязвимость рассказали парни из MDSec, которые использовали ее как 0day с января 2025 года.
Главная особенность в том, что индикаторы компрометации минимальны и практически неотличимы от легитимной активности. Нет создания новых файлов, запуска подозрительных бинарей или необычных процессов.
Всё происходит внутри встроенных фичей Windows Accessibility, типа экранной клавиатуры. А изменения в реестре, которые выполняет эксплоит, выглядят как обычная настройка и применений опций пользователем.
Затрагивает
— Windows Server 2016/2019/2022/2025
— Windows 11
— Windows 10
exploit
LPE с помощью Windows Accessibility features. Про уязвимость рассказали парни из MDSec, которые использовали ее как 0day с января 2025 года.
Главная особенность в том, что индикаторы компрометации минимальны и практически неотличимы от легитимной активности. Нет создания новых файлов, запуска подозрительных бинарей или необычных процессов.
Всё происходит внутри встроенных фичей Windows Accessibility, типа экранной клавиатуры. А изменения в реестре, которые выполняет эксплоит, выглядят как обычная настройка и применений опций пользователем.
Затрагивает
— Windows Server 2016/2019/2022/2025
— Windows 11
— Windows 10
exploit
А мы и не думали
Клиент Telega, который используют россияне, чтобы "обходить" блокировку Telegram, перехватывает весь трафик. Более того, существует админка, из которой можно мониторить весь флоу переписок.
Технически это работает так — вместо заблокированных IP-адресов Telegram, в клиент вшит IP-адрес и публичный ключ датацентра, предположительно, от VK.
Этот dc-proxy контролирует хэндшейк. Именно он договаривается с клиентом об одном ключе шифрования, а с настоящим сервером Telegram о другом ключе шифрования. Будучи посередине между клиентом и сервером, он может просматривать, сохранять и модифицировать весь трафик.
Благодаря этому, сотрудники Telega могут:
— читать все входящие и исходящие сообщения в любом чате;
— просматривать всю историю сообщений в любом чате;
— подменять контент сообщений — например, блокировать неугодные каналы по причине “нарушения правил Telegram” (не Telega!);
— хранить все ваши данные и действия в Telegram и передавать их третьим лицам
— выполнять абсолютно любые действия с вашим аккаунтом без вашего участия.
Причем могут они это делать не теоретически, а вполне реально. Существуют, как минимум, две админки:
1. Zeus — позволяет блокировать любой ресурс для клиента
2. Сerberus — из нее можно в реальном времени смотреть/удалять флоу общения
Обе они были доступны в интернете, и теперь посмотреть демку можно тут.
Количество скачиваний клиента на данный момент перевалило за 5млн. в Google Play. На сегодня это одно из самых популярных spyware, который почему-то ещё до сих пор не снесли из магазина.
Клиент Telega, который используют россияне, чтобы "обходить" блокировку Telegram, перехватывает весь трафик. Более того, существует админка, из которой можно мониторить весь флоу переписок.
Технически это работает так — вместо заблокированных IP-адресов Telegram, в клиент вшит IP-адрес и публичный ключ датацентра, предположительно, от VK.
Этот dc-proxy контролирует хэндшейк. Именно он договаривается с клиентом об одном ключе шифрования, а с настоящим сервером Telegram о другом ключе шифрования. Будучи посередине между клиентом и сервером, он может просматривать, сохранять и модифицировать весь трафик.
Благодаря этому, сотрудники Telega могут:
— читать все входящие и исходящие сообщения в любом чате;
— просматривать всю историю сообщений в любом чате;
— подменять контент сообщений — например, блокировать неугодные каналы по причине “нарушения правил Telegram” (не Telega!);
— хранить все ваши данные и действия в Telegram и передавать их третьим лицам
— выполнять абсолютно любые действия с вашим аккаунтом без вашего участия.
Причем могут они это делать не теоретически, а вполне реально. Существуют, как минимум, две админки:
1. Zeus — позволяет блокировать любой ресурс для клиента
2. Сerberus — из нее можно в реальном времени смотреть/удалять флоу общения
Обе они были доступны в интернете, и теперь посмотреть демку можно тут.
Количество скачиваний клиента на данный момент перевалило за 5млн. в Google Play. На сегодня это одно из самых популярных spyware, который почему-то ещё до сих пор не снесли из магазина.
Исследование Телеги
Полный технический анализ MITM в клиенте Telega
Подробный технический анализ механизма MITM-атаки, встроенного в клиент Telega для Android.
Cybred
А мы и не думали Клиент Telega, который используют россияне, чтобы "обходить" блокировку Telegram, перехватывает весь трафик. Более того, существует админка, из которой можно мониторить весь флоу переписок. Технически это работает так — вместо заблокированных…
Надо отметить, что любой с этим клиентом представляет угрозу. И если ты думаешь, что в твоем окружении таких людей нет, то вспомни о каком-нибудь приватной группе или канале — вступил хотя бы один пользователь Telega, и такой чат уже скомпрометирован.
Нашелся даже способ, чтобы это проверить. Tg ID маппятся к какому-то внутреннему идентификатору VK, и маппинг можно чекнуть с помощью незадокументированного метода в
Пример
сессионный ключ надо заранее получить так.
Только среди первых 8.5кк id удалось спарсить более 800 пользователей
На Github даже кто-то написал бота, который после вступления кикает пользователя из чата, если тот есть в Telega. Но он бесполезный, так как есть гап между моментом вступления и удаления, из-за которого можно успеть прочитать чат.
Единственный способ защититься — создать частную группу с ручным одобрением заявок на вступление и проверять пользователей до того, как они оказались в чате.
Нашелся даже способ, чтобы это проверить. Tg ID маппятся к какому-то внутреннему идентификатору VK, и маппинг можно чекнуть с помощью незадокументированного метода в
calls.okcdn.ru. На вход подается Tg ID, а в ответе нужно искать ok_user_id, — если есть, пользователь использовал Telega.Пример
curl -X POST "https://calls.okcdn.ru/api/vchat/getOkIdsByExternalIds" \
-H "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "application_key=CHKIPMKGDIHBABABA" \
--data-urlencode "session_key=<SESSION_KEY>" \
--data-urlencode "externalIds=[{\"id\":\"1363800669\",\"ok_anonym\":false}]"
сессионный ключ надо заранее получить так.
Только среди первых 8.5кк id удалось спарсить более 800 пользователей
На Github даже кто-то написал бота, который после вступления кикает пользователя из чата, если тот есть в Telega. Но он бесполезный, так как есть гап между моментом вступления и удаления, из-за которого можно успеть прочитать чат.
Единственный способ защититься — создать частную группу с ручным одобрением заявок на вступление и проверять пользователей до того, как они оказались в чате.
Этим можно взломать любого
В Telegram нашли критическую уязвимость, которую оценили в 9.8 по CVSS. Детали пока не разглашают. Но, судя по почти максимальной оценке, это может быть 0-click RCE. Иными словами, баг, позволяющий получить доступ к чужому устройству, просто отправив что-то собеседнику.
Ее нашел Michael DePlante — ресерчер, который вот уже несколько лет охотится за багами в Apple, Adobe, Avast и других крупных компаниях. Только за 2024 год он нашёл 37 уязвимостей, а всего — 150+. Причём многие из них связаны с неправильным парсингом файлов, что повышает вероятность на RCE в Telegram.
Патча пока нет, а подробности станут известны не позднее 24.07.2026, когда уже можно будет раскрыть инфу.
В Telegram нашли критическую уязвимость, которую оценили в 9.8 по CVSS. Детали пока не разглашают. Но, судя по почти максимальной оценке, это может быть 0-click RCE. Иными словами, баг, позволяющий получить доступ к чужому устройству, просто отправив что-то собеседнику.
Ее нашел Michael DePlante — ресерчер, который вот уже несколько лет охотится за багами в Apple, Adobe, Avast и других крупных компаниях. Только за 2024 год он нашёл 37 уязвимостей, а всего — 150+. Причём многие из них связаны с неправильным парсингом файлов, что повышает вероятность на RCE в Telegram.
Патча пока нет, а подробности станут известны не позднее 24.07.2026, когда уже можно будет раскрыть инфу.
Интересно, есть ли канал с нефтебазами
Гении из «Роснефти» добровольно уже на протяжении года сливают данные своих сотрудников.
Вместо закрытого чата, они создали открытый на всех канал в Telegram, где публикуют маршрутные квитанции.
В них можно найти:
— ФИО
— дату рождения
— номер паспорта
Всего опубликовано больше 7 тысяч PDF.
Гении из «Роснефти» добровольно уже на протяжении года сливают данные своих сотрудников.
Вместо закрытого чата, они создали открытый на всех канал в Telegram, где публикуют маршрутные квитанции.
В них можно найти:
— ФИО
— дату рождения
— номер паспорта
Всего опубликовано больше 7 тысяч PDF.
2
Cybred
Этим можно взломать любого В Telegram нашли критическую уязвимость, которую оценили в 9.8 по CVSS. Детали пока не разглашают. Но, судя по почти максимальной оценке, это может быть 0-click RCE. Иными словами, баг, позволяющий получить доступ к чужому устройству…
Ответ TG по поводу уязвимости
Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".
Но правда ли это?
Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.
Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".
Но правда ли это?
Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.
Я не верю, что это совпадение
За прошедшие сутки прошло два события:
1. У пользователей на российских номерах (независимо от платформы) в Telegram начал появляться баннер о том, что они больше не смогут оплатить Telegram Premium.
2. Telega анонсировала собственную подписку
И это после нарушения GPLv2, вместе со скандалом с перехватом трафика у нескольких миллионов пользователей.
Получается красивая картина: вместо того чтобы выпилить шпионский клиент из всех магазинов и отозвать у него
За прошедшие сутки прошло два события:
1. У пользователей на российских номерах (независимо от платформы) в Telegram начал появляться баннер о том, что они больше не смогут оплатить Telegram Premium.
2. Telega анонсировала собственную подписку
Чтобы расти дальше, нам необходимо серьезное финансирование, и мы думаем запустить собственную подписку. Поддержали бы такой формат?
И это после нарушения GPLv2, вместе со скандалом с перехватом трафика у нескольких миллионов пользователей.
Получается красивая картина: вместо того чтобы выпилить шпионский клиент из всех магазинов и отозвать у него
api_id, Дуров фактически легализовал его. И мало того — позволит ему спокойно отбирать платежных пользователей у самого Telegram.В Nekogram нашли бэкдор, который сливает номера телефонов
Анонимный исследователь разреверсил неофициальный клиент Telegram и обнаружил вредоносный код в файле
В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.
UPD.: написали модуль, который позволяет увидеть все в рантайме nekogram-proof-of-logging
Анонимный исследователь разреверсил неофициальный клиент Telegram и обнаружил вредоносный код в файле
Extra.java. Он отличается от того, который залит в официальный репозиторий, и отвечает за отправку связки «номер телефона-метаданные аккаунта» inline-запросом боту @nekonotificationbot.В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.
UPD.: написали модуль, который позволяет увидеть все в рантайме nekogram-proof-of-logging
The-A-Files — обходим антивирусы треками Клонекса
Наблюдать за TeamPCP интересно — они сформировались совсем недавно, за последнее время хайджекнули несколько очень популярных пакетов, включая Trivy, Checkmarx, LiteLLM, Telnyx, написали собственного червя CanisterWorm, и продолжают осваивать редкие и продвинутые тактики, вроде блокчейна в качестве C2.
После достигнутых успехов они также запартнерились с Vect Ransomware Group и вряд ли позволят о себе забыть в ближайшее время.
В своей последней атаке группа использовала стеганографию. Чтобы доставить малварь на таргет, они скрыли полезную нагрузку внутри звукового
В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR.
В репозитории The A-Files можно найти куда более изощрённые техники, например:
— Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук
— Phase Coding — кодирование через изменение фазы без заметной потери качества
— Echo Hiding — внедрение слабых искусственных эхо с различными параметрами
И это только малая часть доступных методов — для каждого из них в репозитории есть реализации.
Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.
Наблюдать за TeamPCP интересно — они сформировались совсем недавно, за последнее время хайджекнули несколько очень популярных пакетов, включая Trivy, Checkmarx, LiteLLM, Telnyx, написали собственного червя CanisterWorm, и продолжают осваивать редкие и продвинутые тактики, вроде блокчейна в качестве C2.
После достигнутых успехов они также запартнерились с Vect Ransomware Group и вряд ли позволят о себе забыть в ближайшее время.
В своей последней атаке группа использовала стеганографию. Чтобы доставить малварь на таргет, они скрыли полезную нагрузку внутри звукового
.wav, который выглядит легитимно в трафике и помогает обходить антивирусы, ориентирующихся на более распространенные форматы.В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR.
В репозитории The A-Files можно найти куда более изощрённые техники, например:
— Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук
— Phase Coding — кодирование через изменение фазы без заметной потери качества
— Echo Hiding — внедрение слабых искусственных эхо с различными параметрами
И это только малая часть доступных методов — для каждого из них в репозитории есть реализации.
Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.
www.stepsecurity.io
TeamPCP Plants WAV Steganography Credential Stealer in telnyx PyPI Package - StepSecurity
On March 27, 2026, TeamPCP injected a WAV steganography-based credential stealer into two releases of the telnyx Python SDK on PyPI. The issue was disclosed in team-telnyx/telnyx-python#235. TeamPCP is the same group behind the litellm supply chain compromise…
Bluehammer
Парень с ником ChaoticEсlipse0 просто взял и дропнул на всех 0day с повышением привилегий через Defender. Он не объяснил своих действий, но vx-underground со ссылкой на Xitter подтвердил, что эксплоит рабочий.
По словам исследователя, скоро будет еще один
Парень с ником ChaoticEсlipse0 просто взял и дропнул на всех 0day с повышением привилегий через Defender. Он не объяснил своих действий, но vx-underground со ссылкой на Xitter подтвердил, что эксплоит рабочий.
По словам исследователя, скоро будет еще один
Another 0day unpatched LPE will be released soon.
Сотрудники ФБР смогли прочитать переписку из Signal
Им удалось это сделать, несмотря на E2EE-шифрование и автоудаление переписки по таймеру. Причиной стали пуш-уведомления от Apple, в которых отображалось содержимое переписок. Они оседают на серверах, а также сохраняются в системное хранилище смартфона и остаются там даже после удаления приложения.
Для защиты в Signal существует настройка, которая была отключена у задержанной. Она скрывает получателя и сам текст сообщения. Чтобы ее включить, нужно перейти в профиль > Notifications > Show и выбрать «No name or message».
Им удалось это сделать, несмотря на E2EE-шифрование и автоудаление переписки по таймеру. Причиной стали пуш-уведомления от Apple, в которых отображалось содержимое переписок. Они оседают на серверах, а также сохраняются в системное хранилище смартфона и остаются там даже после удаления приложения.
Для защиты в Signal существует настройка, которая была отключена у задержанной. Она скрывает получателя и сам текст сообщения. Чтобы ее включить, нужно перейти в профиль > Notifications > Show и выбрать «No name or message».
404 Media
FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database
The case was the first time authorities charged people for alleged “Antifa” activities after President Trump designated the umbrella term a terrorist organization.