🐍 Работа внутри интерпретируемого: offensive Python

Казалось бы, где Python, а где Windows, но пока одни offensive команды придумывают новые методы, другие пользуются проверенными старыми.

Об одном из таких и пойдет речь под катом. Учитывая легкую доступность Python для Windows, а также некоторый существующий опыт работы с Python, автор считает, что есть основания для создания небольшой, но значимой ниши offensive Python в сфере разработки малвари.

👉 Читать

#redteam #tools #malware

🔓 Пользователь Reddit случайно раскрыл секреты КНДР

Интернет-инфраструктура Северной Кореи всегда была загадкой. Но недавно пользователь Reddit случайно приоткрыл завесу тайны, задав вопрос: «Как получить домен .kp?»

При обсуждении выяснилось, что для доступа к одному из северокорейских доменов (hani.star-co.net.kp) требуется VPN. Это вызвало волну интереса к тому, как КНДР контролирует интернет и какие инструменты использует для удалённого доступа.

❓ Что раскрыло расследование

➡️ NetKey и Hangro — специальные программы, с помощью которых КНДР контролирует доступ в интернет.

➡️ Hangro — загадочный инструмент: программа связана с четырьмя IP-адресами (два в КНДР, два в России) и доменом hangro.net.kp. Программа, возможно, предоставляет доступ к национальному интранету на территории КНДР.

➡️ Другие зацепки — данные whois указывают на Чо Мён Чхоля (перебежчика из КНДР) и компанию Silibank, которая, возможно, управляет интернет-ресурсами страны.

📎 Почитать подробности

#новость

🔒 Отчёт про DDoS от CloudFlare

В четвертом квартале 2024 года Cloudflare зафиксировала и предотвратила рекордную DDoS-атаку с пиковым трафиком в 5,6 Тбит/с, что стало крупнейшей зарегистрированной атакой за 2024 год. За этот период компания смягчила 6,9 миллиона DDoS-атак, что на 16% больше по сравнению с предыдущим кварталом и на 83% больше по сравнению с аналогичным периодом прошлого года.

Тенденции DDoS-атак в 2024 году:

➡️ За 2024 год Cloudflare предотвратила 21,3 миллиона DDoS-атак, что на 53% больше, чем в 2023 году. В среднем это составляет 4 870 атак в час.

➡️ В четвертом квартале было зафиксировано не менее 420 атак с объемом трафика, превышающим 1 Тбит/с или 1 миллиард пакетов в секунду. Количество таких атак увеличилось на 1 885% по сравнению с предыдущим кварталом.

Анализ типов атак:

• HTTP DDoS-атаки: Составили 51% атак в четвертом квартале. Из них 73% инициированы известными ботнетами, 11% маскировались под легитимные браузеры, а 10% содержали подозрительные или необычные HTTP-атрибуты.

• Сетевые атаки: Составили 49% атак. Самые распространённые методы: SYN-флуд (38%), DNS-флуд (16%) и UDP-флуд (14%).

📎 Полный отчёт и дополнительная информация в блоге компании

🐸Библиотека devops'a

🧂 Как «посолить» письмо

Злоумышленники продолжают совершенствовать свои методы обхода защиты, и одной из самых простых, но эффективных техник является hidden text salting.

💡 Что это такое?

Hidden text salting — это метод "отравления" HTML-кода, который позволяет скрывать текст и внедрять невидимые символы. При этом текст остаётся незаметным для пользователя, но доступным для спам-фильтров и парсеров.

В 2024 году эксперты Cisco Talos заметили резкий рост использования этой техники в фишинговых письмах.
Hidden text salting позволяет злоумышленникам:

• Обходить системы обнаружения, основанные на ключевых словах.

• Скрывать настоящие бренды за фальшивыми имитациями.

• Запутывать фильтры, изменяя язык письма или структуру его кода.

• Использовать метод HTML smuggling для скрытого внедрения вредоносного ПО.

🔒 Советы по защите:

➖Используйте расширенные системы фильтрации, которые анализируют HTML и CSS на подозрительные конструкции, например, visibility: hidden или display: none.

➖ Опирайтесь на визуальные признаки писем, а не только на текстовые.

➖ Внедряйте AI-решения, которые анализируют сложные угрозы с использованием Natural Language Processing

📎 Подробнее в блоге Cisco Talos

🧑‍💻Атаки Dependency Confusion

В январе 2025 года были обнаружены десятки вредоносных npm-пакетов, имитирующих популярные библиотеки. Их цель — компании, использующие внутренние пакеты.

Эти пакеты представляли собой примеры атак типа Dependency Confusion, где злоумышленники публикуют пакеты с такими же именами, что и внутренние, чтобы обмануть системы сборки.

💡 Как работали эти пакеты

Злоумышленники использовали сервис Burp Collaborator в качестве точки управления и контроля. После установки пакета вредоносный код собирал данные о системе, включая имя хоста, конфигурацию сети и переменные окружения.

➖ Что обнаружили эксперты

Сервис SafeDep, мониторящий npm на наличие вредоносных библиотек, выявил более 50 таких пакетов. Анализ показал, что злоумышленники не пытались скрыть свои действия, что может указывать либо на тестирование атак, либо на неопытность авторов.

📎 Источник

🍏Новые уязвимости в процессорах Apple

Исследователи из Технологического института Джорджии обнаружили две новые уязвимости в процессорах Apple, названные SLAP и FLOP.

➖ SLAP (Speculative Load Address Prediction)

В процессорах Apple, начиная с моделей M2 и A15, реализован механизм Load Address Predictor, который предсказывает следующий адрес памяти для ускорения доступа.

Однако, если прогноз оказывается неверным, процессор может выполнять операции с некорректными данными в режиме спекулятивного исполнения.

Это открывает окно для атак, при которых злоумышленник может получить доступ к конфиденциальной информации, такой как содержимое электронной почты и история браузера в Safari.

➖ FLOP (False Load Output Prediction)

В новых процессорах Apple, начиная с моделей M3 и A17, внедрен механизм Load Value Predictor, который предсказывает значение данных до их фактического получения из памяти.

Ошибочные прогнозы могут привести к выполнению операций с неверными данными, обходя проверки безопасности.

Атака FLOP позволяет получить доступ к информации о местоположении, событиям в календаре и данных кредитных карт, в браузерах Safari и Chrome.

📎 Подробнее в источнике

👋 Привет, хакеры!

Мы собираем данные о том, какие методы биохакинга действительно помогают разрабам улучшить качество жизни и повысить продуктивность. Поделитесь своим опытом — это поможет другим сделать осознанный выбор в мире биохакинга.

😊 Спасибо за ваши ответы!

🪲 Вредоносное ПО на Go

Благодаря возможности компилировать Go-программы в самодостаточные бинарные файлы для различных операционных систем и архитектур, злоумышленники чаще выбирают этот язык для создания мультиплатформенных угроз.

В частности, исследователи из Avast обнаружили два новых образца вредоносного ПО: Backdoorit и Caligula.

➖ Backdoorit представляет собой мультиплатформенный удалённый доступ (RAT), нацеленный на кражу файлов, связанных с Minecraft, а также проектов Visual Studio и IntelliJ.

Он поддерживает команды для загрузки произвольных файлов, установки другого вредоносного ПО и выполнения произвольных команд. Анализ кода указывает на возможное русскоязычное происхождение разработчика.

➖ Caligula — это IRC-бот, способный выполнять DDoS-атаки. Он написан на Go и распространяется в виде ELF-файлов, нацеленных на различные архитектуры процессоров, включая Intel 80386, ARM и PowerPC.

Caligula основан на открытом проекте Hellabot и использует его возможности для подключения к IRC-каналам и выполнения команд.

🖇 Источник

✏️ Что такое RAAS

Ransomware as a Service (RaaS) — это модель киберпреступного бизнеса, при которой разработчики программ-вымогателей создают вредоносное ПО и предоставляют его другим злоумышленникам на платной основе.

📌 Как работает RaaS?

• Готовые инструменты для создания и распространения программ-вымогателей предоставляются через даркнет.

• Злоумышленники платят за доступ к этим инструментам, либо передают часть полученного выкупа создателям.

RaaS позволяет даже лицам без технических навыков проводить такие атаки.

😱 Рост уязвимостей на 1025%

Компания Wallarm опубликовала отчёт «2025 API ThreatStats», в котором подчеркнула, что API стали основной поверхностью атак в сфере кибербезопасности.

Выводы отчёта:

➡️ Рост уязвимостей, связанных с ИИ: в 2024 году было зафиксировано 439 штук, что на 1 025% больше по сравнению с предыдущим годом.

➡️ Проблемы с аутентификацией и контролем доступа: 57% API на базе ИИ были доступны извне, и 89% из них полагались на небезопасные механизмы аутентификации.

➡️ Увеличение уязвимостей, связанных с API: более 50% уязвимостей, зарегистрированных в каталоге CISA KEV (Known Exploited Vulnerabilities Catalog), были связаны с API.

📎 Полный отчёт

🔒 Уязвимость браузеров

Исследовательская команда SquareX опубликовала статью, в которой подробно описала новую угрозу безопасности браузеров — Browser Syncjacking.

Эта атака позволяет злоумышленникам получить полный контроль над браузером и устройством жертвы посредством вредоносных расширений.

Механизм атаки:

1️⃣Установка вредоносного расширения: злоумышленник разрабатывает расширение с базовыми правами чтения и записи, публикует в официальном магазине Chrome,
а пользователь устанавливает это расширение, не подозревая о вредоносной природе.

2️⃣Угон профиля: расширение подключается к домену злоумышленника и получает учетные данные для входа в управляемый профиль Google Workspace.

Пользователь автоматически входит в этот профиль, что позволяет злоумышленнику применять политики, ослабляющие безопасность браузера.

3️⃣Синхронизация данных: злоумышленник модифицирует легитимную страницу поддержки Chrome, убеждая пользователя включить синхронизацию.

После синхронизации все локальные данные, включая пароли и историю браузера, становятся доступными злоумышленнику.

4️⃣Управление браузером и устройством:

Злоумышленник получает возможность устанавливать дополнительные расширения, перенаправлять пользователя на фишинговые сайты и отслеживать его действия.

Через механизм Native Messaging злоумышленник может выполнять команды на устройстве жертвы, получая полный контроль над системой.

🖇 Подробнее в статье

👨‍💻 Операция Phantom Circuit

В декабре 2024 года группа Lazarus из Северной Кореи запустила серию атак, нацеленную на разработчиков криптовалютных и технологических приложений.

Злоумышленники направляли трафик через прокси-серверы в Хасане, Россия, чтобы скрыть свое происхождение.

В ходе операции было скомпрометировано более 1500 систем по всему миру, включая сотни разработчиков в Индии и Бразилии.

📎 Подробнее про атаки #новость

⚙️ Практический разбор XSS и SQL инъекций

Короткое видео о том, как уязвимости, используемые в SQL-инъекциях и XSS, могут быть эксплуатированы злоумышленниками

👋 Привет, хакеры!

Какие небезопасные пароли вы использовали или слышали от коллег? Делитесь в комментариях👇

Не забудьте про логин 😄

#мем #интерактив