Forwarded from PRO:PENTEST
Атака на «Аэрофлот»: один из самых громких киберинцидентов года.
Хак-группа Silent Crow и «Киберпартизаны BY» заявили, что почти год находились внутри IT-инфраструктуры перевозчика, прежде чем уничтожить 7 000 серверов и похитить до 20 ТБ данных. В результате - отмены и задержки более 100 рейсов, сбои в аэропортах и официальный комментарий Кремля о «тревожной ситуации».
Почти все уже написали об этом, но интересно взглянуть под другим углом. Если злоумышленники действительно находились в сети так долго, это наводит на мысль: могла ли атака готовиться с помощью внутреннего доступа? Инсайдер, устроившийся в компанию, либо уязвимость в цепочке доверия?
Это не просто атака на компанию - это демонстрация того, насколько уязвим может быть даже гигант с государственным участием. ИБ-командам - ещё один повод пересмотреть принципы Zero Trust, мониторинг активности персонала и контроль привилегий. Потому что в следующий раз это может быть не авиа. А энергетика. Или транспорт.
На одном из ресурсов видел, что виной всему хосты с древней виндой.
А вы как считаете почему так получилось?
Хак-группа Silent Crow и «Киберпартизаны BY» заявили, что почти год находились внутри IT-инфраструктуры перевозчика, прежде чем уничтожить 7 000 серверов и похитить до 20 ТБ данных. В результате - отмены и задержки более 100 рейсов, сбои в аэропортах и официальный комментарий Кремля о «тревожной ситуации».
Почти все уже написали об этом, но интересно взглянуть под другим углом. Если злоумышленники действительно находились в сети так долго, это наводит на мысль: могла ли атака готовиться с помощью внутреннего доступа? Инсайдер, устроившийся в компанию, либо уязвимость в цепочке доверия?
Это не просто атака на компанию - это демонстрация того, насколько уязвим может быть даже гигант с государственным участием. ИБ-командам - ещё один повод пересмотреть принципы Zero Trust, мониторинг активности персонала и контроль привилегий. Потому что в следующий раз это может быть не авиа. А энергетика. Или транспорт.
На одном из ресурсов видел, что виной всему хосты с древней виндой.
А вы как считаете почему так получилось?
🍓1😭1
Forwarded from Caster
Релиз моего нового инструмента: Ibex
Это инструмент для проведения MITM-атак в сетях IPv6.
Возможности Ibex:
RA Spoofing и RDNSS-инъекции
Обход RA Guard c помощью Hop-by-Hop фрагментации
Полная автоматизация NAT64 и DNS64
Интерактивная CLI с автокомплитом
Автотюнинг сетевых параметров и маршрутизации
Анализ NDP трафика для сбора информации о сети
Killswitch для аварийной остановки и восстановления сети
Link: https://github.com/casterbyte/Ibex
Это инструмент для проведения MITM-атак в сетях IPv6.
Возможности Ibex:
RA Spoofing и RDNSS-инъекции
Обход RA Guard c помощью Hop-by-Hop фрагментации
Полная автоматизация NAT64 и DNS64
Интерактивная CLI с автокомплитом
Автотюнинг сетевых параметров и маршрутизации
Анализ NDP трафика для сбора информации о сети
Killswitch для аварийной остановки и восстановления сети
Link: https://github.com/casterbyte/Ibex
www.opennet.ru
Лидера проекта OpenPrinting уволили из Canonical
Компания Canonical уволила Тилля Кампетера (Till Kamppeter), лидера проекта OpenPrinting, развивающего компоненты для обеспечения вывода на печать в Linux (среди прочего, с 2021 года в проект OpenPrinting переведена разработка сервера печати CUPS, после того…
🔗Ссылка:
https://opennet.ru/63638/
https://opennet.ru/63638/
Fsecurity | HH
Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈
P.s. тут идёт набор, залетайте 👾
Forwarded from purple shift
Часто на проектах без латиницы (русский, 漢語, اللُّغَةُ العَرَبِيَّة, 👄🗣💬🔤) встречается ситуация, когда API отдаёт json-ы с экранированным текстом (Unicode Escaped). В таком тексте символы Unicode закодированы в виде последовательностей типа \u043f\u0440\u0438\u0432\u0435\u0442. Так обеспечивается поддержка национальных языков в системах, которые работают только на дефолтном языке.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.
www.opennet.ru
Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI
Администраторы репозитория Python-пакетов PyPI (Python Package Index) предупредили о выявлении фишинг-атаки, напоминающей недавнюю атаку на сопровождающих пакеты в репозитории NPM. Злоумышленники рассылали сообщения от имени PyPI с уведомлением о необходимости…
🔗Ссылка:
https://opennet.ru/63647/
https://opennet.ru/63647/
Forwarded from AP Security
#pentest #cve
CVE-2025-49113 - Roundcube Remote Code Execution
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.
С proof-of-concept можно ознакомиться по следующей ссылке.
CVE-2025-49113 - Roundcube Remote Code Execution
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.
С proof-of-concept можно ознакомиться по следующей ссылке.
XAKEP
В продаже появился эксплоит для критической уязвимости в Roundcube
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
👍1
Forwarded from Threat Hunting Father 🦔
"Обнаружена подозрительная активность. Вставьте эту команду в Terminal для восстановления."
команда:
echo 'BASE64' | base64 -d | bash
• крадёт данные браузеров (Firefox, Chrome, Brave)
• собирает кошельки MetaMask, BNB, IndexedDB
• копирует cookies Safari, заметки, keychain
• ворует документы (.txt, .pdf, .docx и др.)
Всё упаковывается в /tmp/out.zip (через ditto) и отправляется на http://C2/log через curl.
После этого скрипт удаляет временные файлы, включая сам архив.
• обнаружено более 50 серверов
• подозрительный порт 3333 с панелью (отдаёт 404 по умолчанию)
• SSH и iperf3 на 5201
• CORS-заголовки позволяют любой Origin и Cookie — можно красть сессии
• не требует .app/.pkg
• не содержит вложений
• всё запускается руками жертвы
• base64 -d | bash — ключевой индикатор
• следить за osascript, curl, base64 в Terminal
• мониторить Clipboard-to-Terminal поведение
• учить пользователей не запускать команды из браузера
• ужесточить CORS-политики
• отслеживать трафик на нестандартные порты (3333, 5201)
ClickFix на macOS — фишинг без файлов, стилер без скачивания, эксфиль без шума.
macOS больше не "безопасная платформа", особенно с такими атаками.
Следим за base64 -d | bash — это новый wscript.exe для Mac.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2