Исследователи Censys раскрыли детали работы шпионского ПО ResidentBat, которое белорусский КГБ использует для слежки за журналистами и активистами. В отличие от Pegasus, его устанавливают вручную на изъятый телефон.
Во время допроса сотрудник КГБ подсматривает PIN-код, забирает телефон, включает USB-отладку, устанавливает шпион через Android Debug Bridge, выдаёт 38 разрешений и отключает защиту Google Play.
ResidentBat читает SMS, историю звонков и переписки в Signal, Telegram, WhatsApp* (принадлежит Meta, которая признана экстремистской и запрещена в России). Записывает звук через микрофон, делает скриншоты. Использует службу специальных возможностей Android для чтения защищённых мессенджеров. Может удалённо сбросить телефон к заводским настройкам.
Censys обнаружил 10 активных серверов в Нидерландах, Германии, Швейцарии и России. ResidentBat используется минимум с марта 2021 года.
Hacker's TOYS
Во время допроса сотрудник КГБ подсматривает PIN-код, забирает телефон, включает USB-отладку, устанавливает шпион через Android Debug Bridge, выдаёт 38 разрешений и отключает защиту Google Play.
ResidentBat читает SMS, историю звонков и переписки в Signal, Telegram, WhatsApp* (принадлежит Meta, которая признана экстремистской и запрещена в России). Записывает звук через микрофон, делает скриншоты. Использует службу специальных возможностей Android для чтения защищённых мессенджеров. Может удалённо сбросить телефон к заводским настройкам.
Censys обнаружил 10 активных серверов в Нидерландах, Германии, Швейцарии и России. ResidentBat используется минимум с марта 2021 года.
Hacker's TOYS
🔥17❤6👾2
Неизвестный хакер использовал чат-бот Claude от Anthropic для атак на госучреждения Мексики. За месяц он похитил 150 гигабайт данных, включая 195 миллионов налоговых записей, списки избирателей и учётные данные госслужащих.
Атаки начались в декабре 2025 года. Хакер писал запросы на испанском, заставляя Claude искать уязвимости в госсетях и писать скрипты для кражи данных. Поначалу Claude отказывался, но злоумышленник применил джейлбрейк, передал модели готовый план действий вместо диалога. После этого чат-бот выполнил тысячи команд и даже подготовил отчёты с планами дальнейших атак.
Взломаны были Федеральная налоговая служба Мексики, Национальный избирательный институт, сети нескольких штатов, гражданский реестр Мехико и водоканал Монтеррея. Параллельно хакер использовал ChatGPT для сбора информации о перемещении по сетям, но OpenAI заблокировала его аккаунты.
Anthropic подтвердила инцидент, заблокировала связанные аккаунты и выпустила обновлённую версию Claude Opus 4.6 с усиленной защитой. Мексиканские власти дали противоречивые комментарии, одни отрицают взломы, другие отказались комментировать, хотя Gambit обнаружила минимум 20 уязвимостей в госсистемах.
Это не первый случай, в ноябре 2025 года связанные с Китаем хакеры использовали Claude для атак на 30 целей по всему миру. Основатель Gambit Алон Громаков подчеркнул, что искусственный интеллект меняет правила игры и для защитников, и для хакеров.
Hacker's TOYS
Атаки начались в декабре 2025 года. Хакер писал запросы на испанском, заставляя Claude искать уязвимости в госсетях и писать скрипты для кражи данных. Поначалу Claude отказывался, но злоумышленник применил джейлбрейк, передал модели готовый план действий вместо диалога. После этого чат-бот выполнил тысячи команд и даже подготовил отчёты с планами дальнейших атак.
Взломаны были Федеральная налоговая служба Мексики, Национальный избирательный институт, сети нескольких штатов, гражданский реестр Мехико и водоканал Монтеррея. Параллельно хакер использовал ChatGPT для сбора информации о перемещении по сетям, но OpenAI заблокировала его аккаунты.
Anthropic подтвердила инцидент, заблокировала связанные аккаунты и выпустила обновлённую версию Claude Opus 4.6 с усиленной защитой. Мексиканские власти дали противоречивые комментарии, одни отрицают взломы, другие отказались комментировать, хотя Gambit обнаружила минимум 20 уязвимостей в госсистемах.
Это не первый случай, в ноябре 2025 года связанные с Китаем хакеры использовали Claude для атак на 30 целей по всему миру. Основатель Gambit Алон Громаков подчеркнул, что искусственный интеллект меняет правила игры и для защитников, и для хакеров.
Hacker's TOYS
3🔥19❤7👍2👾1
Роскомнадзор опроверг слухи о полном закрытии доступа к иностранным VPN-серверам. 2 марта ведомство заявило РИА Новости, что сообщения в Telegram-каналах о якобы тотальной блокировке - фейк. Днём ранее в каналах писали, что специальная нейросеть отслеживает VPN-трафик и блокирует всё подряд.
Официально Роскомнадзор назвал это дезинформацией и призвал проверять факты перед публикацией. Уже второй случай за неделю, 26 февраля рассылали поддельные письма о запрете VPN на работе.
Но если слухи - фейк, то что происходит на самом деле? Цифры говорят сами за себя: с октября 2025 по февраль 2026 года число заблокированных VPN-сервисов выросло с 258 до 469, это +70% за три месяца. С декабря активно блокируют протоколы SOCKS5, VLESS и L2TP через специальное оборудование на сетях операторов.
Эксперты отмечают, что VLESS был одним из последних стабильных способов обхода, но и его научились выявлять по косвенным признакам. Прогноз неутешительный: публичные VPN будут работать всё хуже, выживут только технически сложные решения. Массовые жалобы идут с конца ноября из Татарстана, Удмуртии и других регионов.
А впереди ещё серьёзнее, Роскомнадзор планирует внедрить фильтрацию на основе машинного обучения. На это выделили 2,27 миллиарда рублей.
Формально VPN не запрещены, и подключаться к иностранным серверам можно. Но на практике список заблокированных сервисов растёт каждый месяц, протоколы закрывают один за другим, и пользователям приходится постоянно искать новые способы подключения.
Hacker's TOYS
Официально Роскомнадзор назвал это дезинформацией и призвал проверять факты перед публикацией. Уже второй случай за неделю, 26 февраля рассылали поддельные письма о запрете VPN на работе.
Но если слухи - фейк, то что происходит на самом деле? Цифры говорят сами за себя: с октября 2025 по февраль 2026 года число заблокированных VPN-сервисов выросло с 258 до 469, это +70% за три месяца. С декабря активно блокируют протоколы SOCKS5, VLESS и L2TP через специальное оборудование на сетях операторов.
Эксперты отмечают, что VLESS был одним из последних стабильных способов обхода, но и его научились выявлять по косвенным признакам. Прогноз неутешительный: публичные VPN будут работать всё хуже, выживут только технически сложные решения. Массовые жалобы идут с конца ноября из Татарстана, Удмуртии и других регионов.
А впереди ещё серьёзнее, Роскомнадзор планирует внедрить фильтрацию на основе машинного обучения. На это выделили 2,27 миллиарда рублей.
Формально VPN не запрещены, и подключаться к иностранным серверам можно. Но на практике список заблокированных сервисов растёт каждый месяц, протоколы закрывают один за другим, и пользователям приходится постоянно искать новые способы подключения.
Hacker's TOYS
🔥15😁7👍4❤2👾1
Google выпустила мартовское обновление безопасности Android, закрыв рекордные 129 уязвимостей, больше всего с апреля 2018 года. Самая опасная из них уже эксплуатируется хакерами в реальных атаках.
Речь идёт о критической уязвимости CVE-2026-21385 в драйвере дисплея Qualcomm. Проблема связана с целочисленным переполнением буфера, которое позволяет злоумышленникам читать память устройства и потенциально получить полный контроль над системой. Под угрозой находятся сотни миллионов Android-устройств по всему миру, так как уязвимость затрагивает 234 модели чипсетов Qualcomm от бюджетных до флагманских.
Google подтверждает, что уязвимость подвергается ограниченной целевой эксплуатации, но подробности об атаках не раскрывает. Особенно настораживает временная линия: команда Google обнаружила проблему ещё 18 декабря 2025 года, но Qualcomm предупредил производителей устройств только 2 февраля 2026-го, через десять недель. На вопросы о том, что происходило в этот период и сколько пользователей пострадало, Qualcomm отвечать отказалась.
Помимо CVE-2026-21385, в мартовском обновлении закрыты ещё несколько критических уязвимостей, включая CVE-2026-0006, которая позволяет удалённо выполнить код без участия пользователя. Обновления доступны для устройств с Android 10 и выше, но реальная скорость получения патчей зависит от производителя вашего смартфона. Проверить уровень защиты можно в настройках, если дата обновления безопасности раньше марта 2026 года, устройство остаётся уязвимым.
Hacker's TOYS
Речь идёт о критической уязвимости CVE-2026-21385 в драйвере дисплея Qualcomm. Проблема связана с целочисленным переполнением буфера, которое позволяет злоумышленникам читать память устройства и потенциально получить полный контроль над системой. Под угрозой находятся сотни миллионов Android-устройств по всему миру, так как уязвимость затрагивает 234 модели чипсетов Qualcomm от бюджетных до флагманских.
Google подтверждает, что уязвимость подвергается ограниченной целевой эксплуатации, но подробности об атаках не раскрывает. Особенно настораживает временная линия: команда Google обнаружила проблему ещё 18 декабря 2025 года, но Qualcomm предупредил производителей устройств только 2 февраля 2026-го, через десять недель. На вопросы о том, что происходило в этот период и сколько пользователей пострадало, Qualcomm отвечать отказалась.
Помимо CVE-2026-21385, в мартовском обновлении закрыты ещё несколько критических уязвимостей, включая CVE-2026-0006, которая позволяет удалённо выполнить код без участия пользователя. Обновления доступны для устройств с Android 10 и выше, но реальная скорость получения патчей зависит от производителя вашего смартфона. Проверить уровень защиты можно в настройках, если дата обновления безопасности раньше марта 2026 года, устройство остаётся уязвимым.
Hacker's TOYS
36🔥15❤4👾1
Исследователи Malwarebytes обнаружили изящную атаку: хакеры создали копию официального сайта FileZilla под адресом filezilla-project[.]live и выложили там модифицированную портативную версию 3.69.5. Сам FileZilla чист, злоумышленники просто добавили в архив один файл.
Атака основана на особенности Windows: при запуске программа ищет DLL-библиотеки сначала в своей папке, а потом в System32. Хакеры подложили version.dll прямо в папку FileZilla. Оригинальный дистрибутив этого файла не содержит, настоящая библиотека лежит в системной директории. Но Windows находит подделку первой и загружает её в память раньше легитимной.
Process Monitor показал, что все остальные системные библиотеки грузятся из System32, а version.dll, из локальной папки. Через 17 миллисекунд вредонос ищет version_original.dll для перенаправления вызовов к оригиналу, чтобы FileZilla работал нормально.
Распознать заражённый архив можно по датам файлов: из 918 файлов 917 датированы 12 ноября 2025-го, как в оригинале, а version.dll датирован 3 февраля 2026-го.
Перед атакой, троян проверяет окружение на признаки виртуальной среды: ищет VirtualBox, анализирует BIOS, использует механизм write-watch (отслеживание записи в память) для обнаружения сканирования памяти. Если что-то подозрительно, засыпает. Потом связывается с управляющим сервером через DNS-over-HTTPS, отправляя запросы к публичному серверу Cloudflare (1.1.1.1), это обходит корпоративный DNS-мониторинг и защиту на 53-м порту.
Malwarebytes считают, что возможности трояна шире кражи FTP-паролей: есть признаки внедрения в процессы, закрепления в системе и потенциального шифрования данных. Украденные учётки FTP дают доступ к веб-серверам и хостингам жертв.
Несколькими неделями ранее та же команда нашла аналогичную атаку через поддельный 7zip[.]com с зараженным инсталлятором, который превращал компьютеры в прокси-серверы.
Hacker's TOYS
Атака основана на особенности Windows: при запуске программа ищет DLL-библиотеки сначала в своей папке, а потом в System32. Хакеры подложили version.dll прямо в папку FileZilla. Оригинальный дистрибутив этого файла не содержит, настоящая библиотека лежит в системной директории. Но Windows находит подделку первой и загружает её в память раньше легитимной.
Process Monitor показал, что все остальные системные библиотеки грузятся из System32, а version.dll, из локальной папки. Через 17 миллисекунд вредонос ищет version_original.dll для перенаправления вызовов к оригиналу, чтобы FileZilla работал нормально.
Распознать заражённый архив можно по датам файлов: из 918 файлов 917 датированы 12 ноября 2025-го, как в оригинале, а version.dll датирован 3 февраля 2026-го.
Перед атакой, троян проверяет окружение на признаки виртуальной среды: ищет VirtualBox, анализирует BIOS, использует механизм write-watch (отслеживание записи в память) для обнаружения сканирования памяти. Если что-то подозрительно, засыпает. Потом связывается с управляющим сервером через DNS-over-HTTPS, отправляя запросы к публичному серверу Cloudflare (1.1.1.1), это обходит корпоративный DNS-мониторинг и защиту на 53-м порту.
Malwarebytes считают, что возможности трояна шире кражи FTP-паролей: есть признаки внедрения в процессы, закрепления в системе и потенциального шифрования данных. Украденные учётки FTP дают доступ к веб-серверам и хостингам жертв.
Несколькими неделями ранее та же команда нашла аналогичную атаку через поддельный 7zip[.]com с зараженным инсталлятором, который превращал компьютеры в прокси-серверы.
Hacker's TOYS
🔥18❤7👍1👾1
Оказывается, типичный киберпреступник, это не бледный подросток в толстовке, сидящий в подвале родителей, а взрослый человек под 40 с чёткой финансовой мотивацией и многолетним опытом. Аналитики Orange Cyberdefense проанализировали 418 арестов по всему миру за последние четыре года и выяснили: самая большая группа задержанных, люди от 35 до 44 лет, они составляют 37% всех случаев.
Это полностью ломает привычные представления о преступности. Обычные криминальные карьеры начинаются и заканчиваются рано, пик приходится на подростковый возраст. С киберпреступностью всё наоборот: чтобы стать серьёзным игроком, нужны годы на изучение технологий, выстраивание связей и понимание экосистемы. Поэтому настоящий расцвет наступает только в зрелом возрасте.
Интереснее всего смотреть, как меняется специализация. Молодые хакеры 18–24 лет экспериментируют, немного взломов, немного DDoS, немного торговли данными. К 25–34 годам фокус сужается: больше вымогательств, больше вредоносного ПО. А вот те, кому за 35, работают совсем иначе: шпионаж, организованное вымогательство, отмывание денег. Здесь уже не игра, а бизнес с чёткими приоритетами.
Конечно, громкие аресты подростков из Lapsus$ или Scattered Spider создают иллюзию, что киберпреступность молодеет. Но это просто медийный шум. Реальная статистика показывает: те, кого ловят снова и снова за серьёзные атаки с многомиллионными прибылями, это взрослые профессионалы с холодным расчётом.
Hacker's TOYS
Это полностью ломает привычные представления о преступности. Обычные криминальные карьеры начинаются и заканчиваются рано, пик приходится на подростковый возраст. С киберпреступностью всё наоборот: чтобы стать серьёзным игроком, нужны годы на изучение технологий, выстраивание связей и понимание экосистемы. Поэтому настоящий расцвет наступает только в зрелом возрасте.
Интереснее всего смотреть, как меняется специализация. Молодые хакеры 18–24 лет экспериментируют, немного взломов, немного DDoS, немного торговли данными. К 25–34 годам фокус сужается: больше вымогательств, больше вредоносного ПО. А вот те, кому за 35, работают совсем иначе: шпионаж, организованное вымогательство, отмывание денег. Здесь уже не игра, а бизнес с чёткими приоритетами.
Конечно, громкие аресты подростков из Lapsus$ или Scattered Spider создают иллюзию, что киберпреступность молодеет. Но это просто медийный шум. Реальная статистика показывает: те, кого ловят снова и снова за серьёзные атаки с многомиллионными прибылями, это взрослые профессионалы с холодным расчётом.
Hacker's TOYS
🔥20❤8😁4👾1
За сутки на сайте опубликована 101 уязвимость. Из них 14 касаются продуктов, которые активно используются в российской инфраструктуре.
Самая опасная, CVE-2025-59059 в Apache Ranger (CVSS 9.8). Через компонент NashornScriptEngineCreator злоумышленник может удалённо выполнить произвольный код без аутентификации. Apache удалила уязвимый класс и выпустила патч в Ranger 2.8.0.
В роутере D-Link DIR-868L обнаружено внедрение команд ОС через SSDP-сервис (CVE-2026-3485, CVSS 8.9). Эксплойт уже опубликован, а модель снята с поддержки, патча не будет.
Django затронула CVE-2026-25673 (CVSS 7.5): специально подобранные Unicode-символы вызывают DoS через URLField.to_python() на Windows. Исправлено в версиях 6.0.3, 5.2.12 и 4.2.29.
Оставшиеся семь уязвимостей затрагивают популярные WordPress-плагины, включая WPBookit, WP-Members и PostX. Проблемы от XSS без аутентификации до SQL-инъекций и SSRF.
Hacker's TOYS
Самая опасная, CVE-2025-59059 в Apache Ranger (CVSS 9.8). Через компонент NashornScriptEngineCreator злоумышленник может удалённо выполнить произвольный код без аутентификации. Apache удалила уязвимый класс и выпустила патч в Ranger 2.8.0.
В роутере D-Link DIR-868L обнаружено внедрение команд ОС через SSDP-сервис (CVE-2026-3485, CVSS 8.9). Эксплойт уже опубликован, а модель снята с поддержки, патча не будет.
Django затронула CVE-2026-25673 (CVSS 7.5): специально подобранные Unicode-символы вызывают DoS через URLField.to_python() на Windows. Исправлено в версиях 6.0.3, 5.2.12 и 4.2.29.
Оставшиеся семь уязвимостей затрагивают популярные WordPress-плагины, включая WPBookit, WP-Members и PostX. Проблемы от XSS без аутентификации до SQL-инъекций и SSRF.
Hacker's TOYS
🔥16❤6👾1
Win11Debloat: очистка Windows от телеметрии и ИИ-функций. Свежая установка Windows 11, это не только операционная система, но и целый набор «бонусов»: Copilot, Recall, реклама в меню «Пуск», Bing в панели задач и десятки предустановленных приложений вроде Candy Crush и TikTok. Если вам это не нужно, есть решение, Win11Debloat, открытый PowerShell-скрипт.
Скрипт работает на Windows 10 и 11, не требует установки и запускается одной командой в PowerShell. В феврале разработчики добавили графический интерфейс с удобными катего настроек и поиском, до этого всё было через текстовое меню.
Win11Debloat решает четыре основных задачи. Первая, удаление более 60 предустановленных приложений, от Clipchamp до Instagram, при этом системные инструменты вроде Калькулятора и Microsoft Store остаются нетронутыми. Вторая, отключение телеметрии: диагностические данные, история активности, таргетированная реклама и геолокация выключаются одним блоком настроек. Третья, избавление от ИИ-функций Microsoft, включая Copilot, Recall и Bing AI. Четвёртая, настройка интерфейса: классическое контекстное меню, панель задач слева, скрытые файлы в Проводнике и отключение виджетов.
Для системных администраторов есть режим Sysprep и параметры командной строки, что делает скрипт пригодным для массового развёртывания через SCCM или Intune. Все изменения обратимы, а перед применением GUI предлагает создать точку восстановления. Важно помнить: крупные обновления Windows могут откатить часть настроек, так что скрипт придётся запускать повторно. Win11Debloat не закрывает уязвимости и не настраивает файрвол, это инструмент для очистки интерфейса и отключения телеметрии, а не для защиты от атак.
Hacker's TOYS
Скрипт работает на Windows 10 и 11, не требует установки и запускается одной командой в PowerShell. В феврале разработчики добавили графический интерфейс с удобными катего настроек и поиском, до этого всё было через текстовое меню.
Win11Debloat решает четыре основных задачи. Первая, удаление более 60 предустановленных приложений, от Clipchamp до Instagram, при этом системные инструменты вроде Калькулятора и Microsoft Store остаются нетронутыми. Вторая, отключение телеметрии: диагностические данные, история активности, таргетированная реклама и геолокация выключаются одним блоком настроек. Третья, избавление от ИИ-функций Microsoft, включая Copilot, Recall и Bing AI. Четвёртая, настройка интерфейса: классическое контекстное меню, панель задач слева, скрытые файлы в Проводнике и отключение виджетов.
Для системных администраторов есть режим Sysprep и параметры командной строки, что делает скрипт пригодным для массового развёртывания через SCCM или Intune. Все изменения обратимы, а перед применением GUI предлагает создать точку восстановления. Важно помнить: крупные обновления Windows могут откатить часть настроек, так что скрипт придётся запускать повторно. Win11Debloat не закрывает уязвимости и не настраивает файрвол, это инструмент для очистки интерфейса и отключения телеметрии, а не для защиты от атак.
Hacker's TOYS
2🔥23❤8👾1
Forwarded from AnonHaven
За сутки опубликовано 182 новых уязвимости. Главное событие, это мартовский пакет обновлений Cisco для Secure Firewall.
Две уязвимости в Firewall Management Center получили максимальную оценку 10.0 по CVSS. Обе позволяют получить root-доступ без какой-либо аутентификации.
CVE-2026-20131 (CVSS 10.0), небезопасная десериализация в веб-интерфейсе FMC. Злоумышленник отправляет специально подготовленный Java-объект, который выполняет произвольные команды с правами root. Аутентификация не требуется, сложность атаки низкая.
CVE-2026-20079 (CVSS 10.0) — обход аутентификации через некорректный системный процесс. Специальные HTTP-запросы позволяют выполнять скрипты с root-правами, минуя все проверки.
Cisco подчёркивает: обходных решений нет, обновляться нужно немедленно. Публичных эксплойтов пока нет, но устройства с открытым веб-интерфейсом FMC, в зоне максимального риска.
В Apache ActiveMQ Artemis обнаружена CVE-2026-27446 (CVSS 9.3), отсутствие аутентификации в протоколе Core. Злоумышленник может перехватывать сообщения из очередей и внедрять собственные через подконтрольный Federation-сервер.
Роутер D-Link DIR-513 получил две уязвимости с оценкой 9.8. Переполнение буфера стека через параметр curTime позволяет выполнить произвольный код без аутентификации. Модель снята с поддержки, патча не будет.
Из 182 новых уязвимостей пять получили оценку 9.0 и выше. Все эксплуатируются удалённо без аутентификации.
@Anonhaven | anonhaven.com
Две уязвимости в Firewall Management Center получили максимальную оценку 10.0 по CVSS. Обе позволяют получить root-доступ без какой-либо аутентификации.
CVE-2026-20131 (CVSS 10.0), небезопасная десериализация в веб-интерфейсе FMC. Злоумышленник отправляет специально подготовленный Java-объект, который выполняет произвольные команды с правами root. Аутентификация не требуется, сложность атаки низкая.
CVE-2026-20079 (CVSS 10.0) — обход аутентификации через некорректный системный процесс. Специальные HTTP-запросы позволяют выполнять скрипты с root-правами, минуя все проверки.
Cisco подчёркивает: обходных решений нет, обновляться нужно немедленно. Публичных эксплойтов пока нет, но устройства с открытым веб-интерфейсом FMC, в зоне максимального риска.
В Apache ActiveMQ Artemis обнаружена CVE-2026-27446 (CVSS 9.3), отсутствие аутентификации в протоколе Core. Злоумышленник может перехватывать сообщения из очередей и внедрять собственные через подконтрольный Federation-сервер.
Роутер D-Link DIR-513 получил две уязвимости с оценкой 9.8. Переполнение буфера стека через параметр curTime позволяет выполнить произвольный код без аутентификации. Модель снята с поддержки, патча не будет.
Из 182 новых уязвимостей пять получили оценку 9.0 и выше. Все эксплуатируются удалённо без аутентификации.
@Anonhaven | anonhaven.com
🔥14❤6👍1👾1
Как 23 минуты хаоса чуть не погубили Meta-Wiki. Вчера вечером проекты Wikimedia Foundation на короткое время превратились в полигон для самого настоящего JavaScript-червя. За 23 минуты активности зловред успел испортить почти 4000 страниц и заразить скрипты 85 редакторов. Инженеры быстро перевели все вики в режим «только чтение» и откатили изменения, но история получилась показательная.
Самое интересное, червь пролежал в русской Википедии два года, с марта 2024-го, в файле test.js какого-то пользователя Ololoshka562. Активировал его по иронии судьбы сам инженер безопасности Wikimedia Foundation во время плановой проверки кода. Случайный запуск, и механизм заработал.
Схема атаки была элегантной. Сначала червь внедрялся в персональный common.js редактора, затем пытался заразить глобальный MediaWiki:Common.js, скрипт, который автоматически загружается у всех авторизованных пользователей. Если прав хватало, цепочка замыкалась: каждый новый посетитель становился распространителем заразы. Параллельно вредонос портил случайные страницы, вставляя туда огромную картинку дятла и скрытый загрузчик с внешнего домена basemetrika[.]ru.
Wikimedia подтвердила: постоянного ущерба нет, персональные данные не скомпрометированы, атака затронула только Meta-Wiki, а не всю Википедию. Но факт остаётся фактом: возможность загружать произвольные скрипты, это не баг, а архитектурная особенность проекта. И если подобный файл может храниться в системе два года незамеченным, вопросы к безопасности есть.
Фонд обещает новые меры защиты, но детального отчёта пока нет.
Hacker's TOYS
Самое интересное, червь пролежал в русской Википедии два года, с марта 2024-го, в файле test.js какого-то пользователя Ololoshka562. Активировал его по иронии судьбы сам инженер безопасности Wikimedia Foundation во время плановой проверки кода. Случайный запуск, и механизм заработал.
Схема атаки была элегантной. Сначала червь внедрялся в персональный common.js редактора, затем пытался заразить глобальный MediaWiki:Common.js, скрипт, который автоматически загружается у всех авторизованных пользователей. Если прав хватало, цепочка замыкалась: каждый новый посетитель становился распространителем заразы. Параллельно вредонос портил случайные страницы, вставляя туда огромную картинку дятла и скрытый загрузчик с внешнего домена basemetrika[.]ru.
Wikimedia подтвердила: постоянного ущерба нет, персональные данные не скомпрометированы, атака затронула только Meta-Wiki, а не всю Википедию. Но факт остаётся фактом: возможность загружать произвольные скрипты, это не баг, а архитектурная особенность проекта. И если подобный файл может храниться в системе два года незамеченным, вопросы к безопасности есть.
Фонд обещает новые меры защиты, но детального отчёта пока нет.
Hacker's TOYS
🔥13❤8🥱1👾1
Proton Mail помогла ФБР вычислить активиста Stop Cop City, движения против строительства полицейского центра в Атланте. В январе 2024 года ФБР через международный договор MLAT запросило у швейцарских властей данные об аккаунте
Proton передала не содержимое писем, сквозное шифрование защищает переписку от всех, включая саму компанию. Швейцарским властям отдали идентификатор банковской карты, привязанной к аккаунту. По этому ID ФБР установило владельца. Формально Proton права: компания не работала с ФБР напрямую, но на практике данные прошли цепочку через швейцарский суд.
Это уже третий публичный случай. До этого Proton раскрывала резервный email каталонского активиста по запросу Испании и логировала IP французского экоактивиста по требованию Europol, хотя декларирует отсутствие IP-логирования. Паттерн один: зарубежные спецслужбы запрашивают данные через швейцарский суд, и Proton выполняет решение. Шифрование переписки ни разу не взломали, уязвимость в метаданных: платёжных данных, IP-адресах, резервных email.
Ключевой момент, платёжные данные не покрываются шифрованием и подчиняются финансовому регулированию. Банковская карта всегда привязана к личности, именно она раскрыла владельца аккаунта. Proton принимает анонимную оплату криптовалютой и наличными по почте, но если платить картой, анонимность кончается в момент транзакции. Способ оплаты определяет уровень анонимности при использовании зашифрованных сервисов.
Hacker's TOYS
defendtheatlantaforest@protonmail.com, который использовался для координации протестов. На связанном блоге публиковались адреса подрядчиков и призывы к акциям против вырубки леса Уилони под строительство тренировочного комплекса стоимостью $90 млн.Proton передала не содержимое писем, сквозное шифрование защищает переписку от всех, включая саму компанию. Швейцарским властям отдали идентификатор банковской карты, привязанной к аккаунту. По этому ID ФБР установило владельца. Формально Proton права: компания не работала с ФБР напрямую, но на практике данные прошли цепочку через швейцарский суд.
Это уже третий публичный случай. До этого Proton раскрывала резервный email каталонского активиста по запросу Испании и логировала IP французского экоактивиста по требованию Europol, хотя декларирует отсутствие IP-логирования. Паттерн один: зарубежные спецслужбы запрашивают данные через швейцарский суд, и Proton выполняет решение. Шифрование переписки ни разу не взломали, уязвимость в метаданных: платёжных данных, IP-адресах, резервных email.
Ключевой момент, платёжные данные не покрываются шифрованием и подчиняются финансовому регулированию. Банковская карта всегда привязана к личности, именно она раскрыла владельца аккаунта. Proton принимает анонимную оплату криптовалютой и наличными по почте, но если платить картой, анонимность кончается в момент транзакции. Способ оплаты определяет уровень анонимности при использовании зашифрованных сервисов.
Hacker's TOYS
🔥16👍6❤5😁2👾2
Forwarded from AnonHaven
Глубинный интернет в 2026 году: Tor переписывают на Rust, маркетплейсы закрывают, а анонимность уже не абсолютна.
Переписка ядра на Rust, рекордные ликвидации маркетплейсов, первая подтверждённая деанонимизация через тайминг, глубинный интернет Tor в 2026 году меняется быстрее, чем когда-либо. Разбираем ключевые события.
https://anonhaven.com/glubinniy-internet-tor-2026-obzor/
Переписка ядра на Rust, рекордные ликвидации маркетплейсов, первая подтверждённая деанонимизация через тайминг, глубинный интернет Tor в 2026 году меняется быстрее, чем когда-либо. Разбираем ключевые события.
https://anonhaven.com/glubinniy-internet-tor-2026-obzor/
AnonHaven
Глубинный интернет в 2026 году: Tor переписывают на Rust, маркетплейсы закрывают, а анонимность уже не абсолютна
Как устроен глубинный интернет (Deep web) Tor в 2026 году: переписка ядра на Rust, деанонимизация через тайминг, ликвидация Archetyp и Incognito, блокировки в России и новые защиты.
🔥15❤5👾1
Злоумышленники запустили масштабную кампанию по распространению инфостилера Amatera через поддельные страницы установки Claude Code. Специалисты Push Security обнаружили 17 поддельных доменов, которые продвигаются через рекламу в Google и появляются первыми в выдаче по запросам вроде "Claude Code install". Исследователи назвали эту технику InstallFix, она работает хитрее обычного ClickFix, потому что не требует никаких придуманных предлогов. Пользователь сам хочет установить законный инструмент и добровольно копирует команду с клонированного сайта.
Атакующие создали точные копии официальной страницы Anthropic, с логотипом, документацией и рабочими ссылками. Единственное отличие спрятано внутри команды curl-to-bash (команды установки, которые копируются в терминал): вместо claude.ai она ведёт на сервер злоумышленников. На macOS команда загружает и запускает исполняемый файл через zsh, на Windows цепочка проходит через cmd.exe и mshta.exe. После выполнения страница перенаправляет жертву на настоящий сайт Claude Code, и человек продолжает работу, даже не подозревая о заражении.
Поддельные страницы размещены на реальных площадках, Cloudflare Pages, Squarespace и Tencent EdgeOne, что серьёзно усложняет их автоматическое обнаружение. По данным Jacques Louw из Push Security, четыре из пяти подобных атак приходят именно через поисковые системы, а не через электронную почту.
Amatera Stealer появился в 2025 году как улучшенная версия ACR Stealer и продаётся по подписке. Он крадёт пароли, файлы cookie, токены сеансов и данные криптокошельков, используя для обхода защиты прямые NTSockets, WoW64 Syscalls и маскировку трафика под реальные CDN. Это уже четвёртая волна атак на экосистему Claude за последние три месяца, ранее фиксировались случаи с вредоносными объектами на официальном домене claude.ai, заражёнными npm-пакетами и поддельными установщиками через Bing AI Search.
Устанавливайте Claude Code только с официального сайта claude.ai/code или через проверенный npm-пакет, и обязательно проверяйте URL внутри команд curl-to-bash перед их выполнением.
Hacker's TOYS
Атакующие создали точные копии официальной страницы Anthropic, с логотипом, документацией и рабочими ссылками. Единственное отличие спрятано внутри команды curl-to-bash (команды установки, которые копируются в терминал): вместо claude.ai она ведёт на сервер злоумышленников. На macOS команда загружает и запускает исполняемый файл через zsh, на Windows цепочка проходит через cmd.exe и mshta.exe. После выполнения страница перенаправляет жертву на настоящий сайт Claude Code, и человек продолжает работу, даже не подозревая о заражении.
Поддельные страницы размещены на реальных площадках, Cloudflare Pages, Squarespace и Tencent EdgeOne, что серьёзно усложняет их автоматическое обнаружение. По данным Jacques Louw из Push Security, четыре из пяти подобных атак приходят именно через поисковые системы, а не через электронную почту.
Amatera Stealer появился в 2025 году как улучшенная версия ACR Stealer и продаётся по подписке. Он крадёт пароли, файлы cookie, токены сеансов и данные криптокошельков, используя для обхода защиты прямые NTSockets, WoW64 Syscalls и маскировку трафика под реальные CDN. Это уже четвёртая волна атак на экосистему Claude за последние три месяца, ранее фиксировались случаи с вредоносными объектами на официальном домене claude.ai, заражёнными npm-пакетами и поддельными установщиками через Bing AI Search.
Устанавливайте Claude Code только с официального сайта claude.ai/code или через проверенный npm-пакет, и обязательно проверяйте URL внутри команд curl-to-bash перед их выполнением.
Hacker's TOYS
🔥13❤6👍2👾1
Открытый проект RuView превратил обычные сигналы Wi-Fi в систему наблюдения через стены. В феврале 2026 года репозиторий попал в топ GitHub, набрав больше 31 тысячи звёзд. Для работы достаточно четырёх-шести микроконтроллеров ESP32-S3, которые вместе стоят всего $54. Никаких камер, облачных сервисов или подключения к интернету.
Технология основана на анализе Channel State Information, подробных данных о том, как радиоволны рассеиваются от человеческого тела. Обычный показатель силы сигнала RSSI здесь бесполезен. CSI учитывает амплитуду и фазу по десяткам поднесущих частот одновременно, что даёт гораздо более точную картину. Нейросеть переводит эти изменения в семнадцать ключевых точек человеческого скелета по формату COCO, тому же стандарту, что используют системы компьютерного зрения. Код на Rust обрабатывает 54 тысячи кадров в секунду.
Система видит сквозь стены на расстоянии до восьми метров при использовании нескольких узлов, распознаёт от трёх до пяти человек одновременно и даже фиксирует дыхание и пульс. Научная основа была заложена исследователями из Университета Карнеги-Меллона ещё в 2022 году, их статья показала точность 87,2%, сравнимую с видеокамерами. Но тогда это был лабораторный эксперимент.
RuView делает технологию доступной каждому. Docker-контейнер запускается за полминуты, прошивка для микроконтроллеров находится в открытом доступе. MIT показывал похожую систему RF-Pose ещё в 2018-м, но она требовала дорогого оборудования. Теперь те же возможности умещаются в платы по девять долларов с AliExpress.
Авторы представляют проект как инструмент для мониторинга здоровья и спасательных операций в задымлённых помещениях. Но те же сигналы проходят сквозь гипсокартон, дерево и тридцатисантиметровый бетон. Технически любой человек с базовыми навыками может за $54 собрать систему скрытого наблюдения за передвижениями людей внутри здания.
Hacker's TOYS
Технология основана на анализе Channel State Information, подробных данных о том, как радиоволны рассеиваются от человеческого тела. Обычный показатель силы сигнала RSSI здесь бесполезен. CSI учитывает амплитуду и фазу по десяткам поднесущих частот одновременно, что даёт гораздо более точную картину. Нейросеть переводит эти изменения в семнадцать ключевых точек человеческого скелета по формату COCO, тому же стандарту, что используют системы компьютерного зрения. Код на Rust обрабатывает 54 тысячи кадров в секунду.
Система видит сквозь стены на расстоянии до восьми метров при использовании нескольких узлов, распознаёт от трёх до пяти человек одновременно и даже фиксирует дыхание и пульс. Научная основа была заложена исследователями из Университета Карнеги-Меллона ещё в 2022 году, их статья показала точность 87,2%, сравнимую с видеокамерами. Но тогда это был лабораторный эксперимент.
RuView делает технологию доступной каждому. Docker-контейнер запускается за полминуты, прошивка для микроконтроллеров находится в открытом доступе. MIT показывал похожую систему RF-Pose ещё в 2018-м, но она требовала дорогого оборудования. Теперь те же возможности умещаются в платы по девять долларов с AliExpress.
Авторы представляют проект как инструмент для мониторинга здоровья и спасательных операций в задымлённых помещениях. Но те же сигналы проходят сквозь гипсокартон, дерево и тридцатисантиметровый бетон. Технически любой человек с базовыми навыками может за $54 собрать систему скрытого наблюдения за передвижениями людей внутри здания.
Hacker's TOYS
🔥21👍6❤4👾1
Большие языковые модели научились деанонимизировать множество аккаунтов в соцсетях. Исследователи из ETH Zurich и Anthropic показали это в феврале этого года на примере Hacker News и LinkedIn. ИИ-агент правильно связал 226 из 338 анонимных профилей с реальными людьми, выбирая из списка в 89 тысяч кандидатов. Стоимость одной идентификации — меньше четырёх долларов.
Сначала модель читает посты анонимного пользователя и извлекает биографические детали, город, профессию, интересы, даже кличку собаки или любимый парк. Потом система преобразует профили всех кандидатов в векторные представления и отбирает сотню самых похожих. На финальном этапе другая LLM сверяет совпадения по каждой детали и выдаёт оценку достоверности.
Точность достигла 90%, полнота, 67%. Агент ошибся 25 раз и в 86 случаях воздержался от идентификации. Весь эксперимент обошёлся меньше чем в две тысячи долларов.
Даниэль Палека из ETH Zurich отметил, что удивительно, как мало информации нужно, чтобы связать два аккаунта. Каждый шаг атаки по отдельности выглядит безобидно, и именно поэтому её трудно обнаружить и заблокировать.
Интересно, что Anthropic, один из разработчиков передовых языковых моделей, участвовала в исследовании. Компания предоставила серию анонимизированных интервью со 125 учёными. Несмотря на предварительную очистку от имён и идентификаторов, агент раскрыл девять человек.
С ростом списка кандидатов точность падает, но плавно. На списке в тысячу человек агент дал 68% при той же точности, на 89 тысячах, 55%. Авторы считают, что с улучшением моделей метод останется работоспособным даже на сотнях миллионов пользователей.
Палека добавил, что с каждым новым поколением моделей деанонимизация работает лучше, но разработчики могут замедлить процесс, если научат модели отказывать в таких запросах.
Hacker's TOYS
Сначала модель читает посты анонимного пользователя и извлекает биографические детали, город, профессию, интересы, даже кличку собаки или любимый парк. Потом система преобразует профили всех кандидатов в векторные представления и отбирает сотню самых похожих. На финальном этапе другая LLM сверяет совпадения по каждой детали и выдаёт оценку достоверности.
Точность достигла 90%, полнота, 67%. Агент ошибся 25 раз и в 86 случаях воздержался от идентификации. Весь эксперимент обошёлся меньше чем в две тысячи долларов.
Даниэль Палека из ETH Zurich отметил, что удивительно, как мало информации нужно, чтобы связать два аккаунта. Каждый шаг атаки по отдельности выглядит безобидно, и именно поэтому её трудно обнаружить и заблокировать.
Интересно, что Anthropic, один из разработчиков передовых языковых моделей, участвовала в исследовании. Компания предоставила серию анонимизированных интервью со 125 учёными. Несмотря на предварительную очистку от имён и идентификаторов, агент раскрыл девять человек.
С ростом списка кандидатов точность падает, но плавно. На списке в тысячу человек агент дал 68% при той же точности, на 89 тысячах, 55%. Авторы считают, что с улучшением моделей метод останется работоспособным даже на сотнях миллионов пользователей.
Палека добавил, что с каждым новым поколением моделей деанонимизация работает лучше, но разработчики могут замедлить процесс, если научат модели отказывать в таких запросах.
Hacker's TOYS
🔥16🤯3👾1
Предположительно, русскоязычные хакеры запустили кампанию BlackSanta, нацеленную на HR-специалистов через поддельные резюме. Исследователи из Aryaka обнаружили, что группировка действует больше года и использует изощрённую схему.
Атака начинается с безобидного письма со ссылкой на облачное хранилище вроде Dropbox. Там лежит ISO-образ, замаскированный под резюме кандидата. Когда HR-специалист открывает файл, запускается вредоносный ярлык, активирующий скрытые команды PowerShell. Вредоносный код прячется внутри обычной картинки через стеганографию, антивирусы не замечают угрозы в графическом файле.
Но самое опасное начинается дальше. Вредонос проверяет окружение: если обнаруживает виртуальную машину или песочницу аналитиков, притворяется безвредным. На реальной системе он разворачивает главный компонент, BlackSanta, который работает через приём BYOVD. Загружает старый подписанный драйвер с уязвимостью и через него получает доступ к ядру Windows.
Затем BlackSanta методично выключает антивирусы, отключает системы защиты EDR, ослабляет Defender и подавляет журналирование событий. Поскольку драйвер официально подписан, защитное ПО не видит в нём угрозы. После этого злоумышленники собирают криптокошельки и персональные данные, отправляя всё по зашифрованному каналу.
Эксперты Aryaka отмечают, что за кампанией стоит опытный противник. Он искусно сочетает социальную инженерию, штатные средства операционной системы и действия на уровне ядра. Приём BYOVD набирает популярность, подобные техники использовали группировки RansomHub и другие. BlackSanta отличается от предыдущих атак через поддельные резюме: он сочетает атаку на HR-отдел с глубоким отключением защиты на уровне ядра системы.
Hacker's TOYS
Атака начинается с безобидного письма со ссылкой на облачное хранилище вроде Dropbox. Там лежит ISO-образ, замаскированный под резюме кандидата. Когда HR-специалист открывает файл, запускается вредоносный ярлык, активирующий скрытые команды PowerShell. Вредоносный код прячется внутри обычной картинки через стеганографию, антивирусы не замечают угрозы в графическом файле.
Но самое опасное начинается дальше. Вредонос проверяет окружение: если обнаруживает виртуальную машину или песочницу аналитиков, притворяется безвредным. На реальной системе он разворачивает главный компонент, BlackSanta, который работает через приём BYOVD. Загружает старый подписанный драйвер с уязвимостью и через него получает доступ к ядру Windows.
Затем BlackSanta методично выключает антивирусы, отключает системы защиты EDR, ослабляет Defender и подавляет журналирование событий. Поскольку драйвер официально подписан, защитное ПО не видит в нём угрозы. После этого злоумышленники собирают криптокошельки и персональные данные, отправляя всё по зашифрованному каналу.
Эксперты Aryaka отмечают, что за кампанией стоит опытный противник. Он искусно сочетает социальную инженерию, штатные средства операционной системы и действия на уровне ядра. Приём BYOVD набирает популярность, подобные техники использовали группировки RansomHub и другие. BlackSanta отличается от предыдущих атак через поддельные резюме: он сочетает атаку на HR-отдел с глубоким отключением защиты на уровне ядра системы.
Hacker's TOYS
👍19🔥13❤6🤯2👾1
Forwarded from AnonHaven
893 миллиона фишинговых попыток за 2024 год, более половины скрыты за короткими ссылками. Пошаговый алгоритм проверки, обзор 15 бесплатных инструментов и объяснение, почему наведение курсора на ссылку больше не спасает.
https://anonhaven.com/bezopasnoe-otkrytie-korotkih-ssylok-rukovodstvo/
@Anonhaven | anonhaven.com
https://anonhaven.com/bezopasnoe-otkrytie-korotkih-ssylok-rukovodstvo/
@Anonhaven | anonhaven.com
🔥11❤5👾1
Команда Donjon из Ledger взломала смартфон Nothing CMF Phone 1 за 45 секунд, использовав атаку электромагнитной инъекции ошибок на процессор MediaTek Dimensity 7300. Через катушку рядом с чипом пропустили мощный импульс тока в момент загрузки, что сбило выполнение инструкций процессора и позволило обойти защиту памяти. Добившись привилегий уровня EL3, исследователи восстановили PIN, расшифровали хранилище и извлекли сид-фразы из шести криптокошельков, Trust Wallet, Kraken Wallet, Phantom, Base, Rabby и Tangem.
Уязвимость CVE-2026-20435 находится в Boot ROM процессора, коде, зашитом в кремний на этапе производства. Программным обновлением её полностью устранить невозможно. MediaTek выпустила патч в январе, но он лишь затрудняет эксплуатацию, не устраняя аппаратный дефект. Проблема затрагивает десятки моделей: Motorola Edge 50 Neo и Edge 60, POCO X7, Redmi Note 14 Pro 5G, Oppo Reno12, Realme 14 Pro, Vivo V40e и криптосмартфон Solana Seeker. По оценке Cryptika, под угрозой до 25% Android-устройств на чипах MediaTek с TEE от Trustonic, а процессоры MediaTek стоят примерно в 34% всех смартфонов в мире.
Для атаки нужен физический доступ, смартфон разбирают, достают плату с процессором и подключают к лабораторному оборудованию. Одна попытка занимает секунду, вероятность успеха от 0,1% до 1%, но автоматическое повторение даёт результат за несколько минут. MediaTek оценила уязвимость как «среднюю» и заявила, что EMFI-атаки не учитываются в модели безопасности чипа для массовой электроники. Компании не известно о случаях эксплуатации в реальных атаках, но Ledger подчёркивает: для защиты криптографических ключей обычные смартфоны непригодны, нужны аппаратные кошельки с защищёнными элементами.
Hacker's TOYS
Уязвимость CVE-2026-20435 находится в Boot ROM процессора, коде, зашитом в кремний на этапе производства. Программным обновлением её полностью устранить невозможно. MediaTek выпустила патч в январе, но он лишь затрудняет эксплуатацию, не устраняя аппаратный дефект. Проблема затрагивает десятки моделей: Motorola Edge 50 Neo и Edge 60, POCO X7, Redmi Note 14 Pro 5G, Oppo Reno12, Realme 14 Pro, Vivo V40e и криптосмартфон Solana Seeker. По оценке Cryptika, под угрозой до 25% Android-устройств на чипах MediaTek с TEE от Trustonic, а процессоры MediaTek стоят примерно в 34% всех смартфонов в мире.
Для атаки нужен физический доступ, смартфон разбирают, достают плату с процессором и подключают к лабораторному оборудованию. Одна попытка занимает секунду, вероятность успеха от 0,1% до 1%, но автоматическое повторение даёт результат за несколько минут. MediaTek оценила уязвимость как «среднюю» и заявила, что EMFI-атаки не учитываются в модели безопасности чипа для массовой электроники. Компании не известно о случаях эксплуатации в реальных атаках, но Ledger подчёркивает: для защиты криптографических ключей обычные смартфоны непригодны, нужны аппаратные кошельки с защищёнными элементами.
Hacker's TOYS
🔥16❤5👍2🤯1👾1
Google выпустила экстренный патч для Chrome 13 марта. Обе уязвимости уже эксплуатируются в реальных атаках, детали не раскрывают, чтобы не дать другим хакерам воспроизвести эксплойты до массовой установки обновления.
CVE-2026-3909 бьёт по Skia, библиотеке, которая отрисовывает весь визуальный контент браузера. Ошибка типа out-of-bounds write позволяет через подготовленную HTML-страницу исказить память и запустить произвольный код. CVE-2026-3910 нашли в V8, движке JavaScript. Такие баги открывают злоумышленникам плацдарм внутри песочницы Chrome, а в связке с другими уязвимостями, доступ к операционной системе.
Обе CVE обнаружила сама Google 10 марта, патч вышел через 48 часов. Компания подтвердила активную эксплуатацию, но не раскрыла масштаб и заказчиков атак. Обычно такие 0-day оказываются на вооружении коммерческих производителей шпионского ПО, работающих на государственные структуры. Группа Google TAG в 2025 году раскрыла большинство из восьми 0-day в Chrome, все они использовались для целевой слежки.
Это уже второй и третий 0-day в Chrome за 2026-й. В феврале Google закрыла CVE-2026-2441 (use-after-free в CSSFontFeatureValuesMap), тоже эксплуатируемую через вредоносные страницы. Обновлённые версии: 146.0.7680.75 для Windows/Linux, 146.0.7680.76 для macOS. Установить можно вручную через меню «Справка» → «О браузере». Пользователям Edge, Brave, Opera и Vivaldi стоит проверить патчи от своих вендоров, все они построены на том же движке Chromium.
Hacker's TOYS
CVE-2026-3909 бьёт по Skia, библиотеке, которая отрисовывает весь визуальный контент браузера. Ошибка типа out-of-bounds write позволяет через подготовленную HTML-страницу исказить память и запустить произвольный код. CVE-2026-3910 нашли в V8, движке JavaScript. Такие баги открывают злоумышленникам плацдарм внутри песочницы Chrome, а в связке с другими уязвимостями, доступ к операционной системе.
Обе CVE обнаружила сама Google 10 марта, патч вышел через 48 часов. Компания подтвердила активную эксплуатацию, но не раскрыла масштаб и заказчиков атак. Обычно такие 0-day оказываются на вооружении коммерческих производителей шпионского ПО, работающих на государственные структуры. Группа Google TAG в 2025 году раскрыла большинство из восьми 0-day в Chrome, все они использовались для целевой слежки.
Это уже второй и третий 0-day в Chrome за 2026-й. В феврале Google закрыла CVE-2026-2441 (use-after-free в CSSFontFeatureValuesMap), тоже эксплуатируемую через вредоносные страницы. Обновлённые версии: 146.0.7680.75 для Windows/Linux, 146.0.7680.76 для macOS. Установить можно вручную через меню «Справка» → «О браузере». Пользователям Edge, Brave, Opera и Vivaldi стоит проверить патчи от своих вендоров, все они построены на том же движке Chromium.
Hacker's TOYS
👍8🔥6❤1👾1
Forwarded from AnonHaven
13 марта в базу CVE добавили 124 новые уязвимости, и 67 из них касаются корпоративных продуктов и SOHO-оборудования. Три получили критический балл по CVSS от 9.1 до 9.8. Рекордсмен дня, Veeam с четырьмя уязвимостями, две из которых критические.
Самая опасная, CVE-2024-40711 с оценкой 9.8. Это уязвимость десериализации в Veeam Backup & Replication, которая позволяет выполнить код на сервере вообще без аутентификации. Нашёл её Флориан Хаузер из CODE WHITE ещё в сентябре 2024-го, патч вышел в декабре. Но с октября прошлого года её активно используют группировки Akira, Fog и Frag, они создают через неё админские учётки на серверах жертв. CISA добавила CVE-2024-40711 в каталог эксплуатируемых уязвимостей KEV ещё 17 октября 2024-го.
Ещё три уязвимости в Veeam менее критичны, но тоже неприятны: CVE-2026-21671 (балл 9.1) даёт удалённое выполнение кода администратору резервного копирования, CVE-2025-23120 (8.8) открывает RCE для доменных пользователей, а CVE-2026-21672 (8.8) позволяет локально повысить привилегии на Windows-серверах.
Из нетипичного, CVE-2026-32251 в платформе локализации Tolgee. Это XXE-инъекция через импорт переводов с баллом 9.3. XML-парсеры не отключают внешние сущности, и злоумышленник может читать файлы с сервера и делать SSRF-запросы. Патч есть в версии 3.166.3.
Домашние сети тоже под ударом: в популярном 4G-роутере TP-Link TL-MR6400 v5.3 нашли инъекцию команд через Telnet (CVE-2026-3841, балл 8.5). Злоумышленник с сетевым доступом может выполнить что угодно на устройстве.
@Anonhaven | anonhaven.com
Самая опасная, CVE-2024-40711 с оценкой 9.8. Это уязвимость десериализации в Veeam Backup & Replication, которая позволяет выполнить код на сервере вообще без аутентификации. Нашёл её Флориан Хаузер из CODE WHITE ещё в сентябре 2024-го, патч вышел в декабре. Но с октября прошлого года её активно используют группировки Akira, Fog и Frag, они создают через неё админские учётки на серверах жертв. CISA добавила CVE-2024-40711 в каталог эксплуатируемых уязвимостей KEV ещё 17 октября 2024-го.
Ещё три уязвимости в Veeam менее критичны, но тоже неприятны: CVE-2026-21671 (балл 9.1) даёт удалённое выполнение кода администратору резервного копирования, CVE-2025-23120 (8.8) открывает RCE для доменных пользователей, а CVE-2026-21672 (8.8) позволяет локально повысить привилегии на Windows-серверах.
Из нетипичного, CVE-2026-32251 в платформе локализации Tolgee. Это XXE-инъекция через импорт переводов с баллом 9.3. XML-парсеры не отключают внешние сущности, и злоумышленник может читать файлы с сервера и делать SSRF-запросы. Патч есть в версии 3.166.3.
Домашние сети тоже под ударом: в популярном 4G-роутере TP-Link TL-MR6400 v5.3 нашли инъекцию команд через Telnet (CVE-2026-3841, балл 8.5). Злоумышленник с сетевым доступом может выполнить что угодно на устройстве.
@Anonhaven | anonhaven.com
1❤6👍6🔥3👾1
11 марта 2026 года ФБР, Европол и правоохранительные органы восьми стран закрыли SocksEscort, криминальный прокси-сервис, который семнадцать лет обеспечивал анонимный доступ через заражённые домашние роутеры. Операция Lightning изъяла 34 домена, 23 сервера и заморозила $3,5 млн в криптовалюте. Скомпрометированы были 369 000 устройств в 163 странах, а клиентская база насчитывала 124 000 пользователей.
Сервис начинался с продажи доступа к заражённым компьютерам в 2009 году, но с лета 2020 перешёл на использование ботнета AVrecon. Этот зловред, написанный на C под архитектуры MIPS и ARM, использовал уязвимости удалённого выполнения кода примерно в 1 200 моделях роутеров от Cisco, D-Link, Netgear, TP-Link, Zyxel и других производителей. Особенность AVrecon, исключительная живучесть. Злоумышленники прошивали модифицированную прошивку со встроенной копией малвари и отключали штатные механизмы обновления, из-за чего даже заводской сброс не помогал. Если прошивка оставалась оригинальной, C2-серверы заражали устройство заново через те же уязвимости после каждой перезагрузки.
В декабре 2025 года платформа предлагала 35 900 анонимных IP из 102 стран. Тарифы начинались от $15 за 30 адресов в месяц и доходили до $200 за 5 000. Платежи принимались только в криптовалюте, а Europol оценивает общий оборот в €5 млн.
Europol связывает инфраструктуру с ransomware-атаками, DDoS и распространением материалов насилия над детьми. Black Lotus Labs из Lumen Technologies отслеживала ботнет с 2023 года и называла его «созданным специально для преступников». Пик активности был зафиксирован в январе 2025, более 15 000 заражений в сутки. В июле 2023 года исследователи впервые публично описали AVrecon и заблокировали C2-инфраструктуру внутри сети Lumen, но злоумышленники восстановили работу через 15 новых узлов. На этот раз правоохранительные органы физически изъяли серверы в семи странах, что делает восстановление значительно сложнее.
Расследование SocksEscort продолжается, изъятые серверы дадут дополнительные доказательства для преследования клиентов сервиса.
Hacker's TOYS
Сервис начинался с продажи доступа к заражённым компьютерам в 2009 году, но с лета 2020 перешёл на использование ботнета AVrecon. Этот зловред, написанный на C под архитектуры MIPS и ARM, использовал уязвимости удалённого выполнения кода примерно в 1 200 моделях роутеров от Cisco, D-Link, Netgear, TP-Link, Zyxel и других производителей. Особенность AVrecon, исключительная живучесть. Злоумышленники прошивали модифицированную прошивку со встроенной копией малвари и отключали штатные механизмы обновления, из-за чего даже заводской сброс не помогал. Если прошивка оставалась оригинальной, C2-серверы заражали устройство заново через те же уязвимости после каждой перезагрузки.
В декабре 2025 года платформа предлагала 35 900 анонимных IP из 102 стран. Тарифы начинались от $15 за 30 адресов в месяц и доходили до $200 за 5 000. Платежи принимались только в криптовалюте, а Europol оценивает общий оборот в €5 млн.
Киберпреступность процветает благодаря анонимности, Катрин Де Болль, исполнительный директор Europol.
Europol связывает инфраструктуру с ransomware-атаками, DDoS и распространением материалов насилия над детьми. Black Lotus Labs из Lumen Technologies отслеживала ботнет с 2023 года и называла его «созданным специально для преступников». Пик активности был зафиксирован в январе 2025, более 15 000 заражений в сутки. В июле 2023 года исследователи впервые публично описали AVrecon и заблокировали C2-инфраструктуру внутри сети Lumen, но злоумышленники восстановили работу через 15 новых узлов. На этот раз правоохранительные органы физически изъяли серверы в семи странах, что делает восстановление значительно сложнее.
Расследование SocksEscort продолжается, изъятые серверы дадут дополнительные доказательства для преследования клиентов сервиса.
Hacker's TOYS
🔥18❤8👍1🤔1👾1