www.opennet.ru
В KDE появилось автоматическое переключение между дневными и ночными темами оформления
Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. Среди недавних изменений в кодовой базе, формирующей будущий релиз KDE Plasma 6.5, намеченный на 16 октября:
🔗Ссылка:
https://opennet.ru/63665/
https://opennet.ru/63665/
Forwarded from Caster
Hop-by-Hop Headers (HBH) действительно могут использоваться для обхода фильтрации RA-пакетов.
В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS
В первой попытке, в
На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.
В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS
v7.15.3В первой попытке, в
14:09:19, я отправил 16 ICMPv6 RA-пакетов для проведения MITM-атаки, и FW на это среагировал. Во второй попытке, в 14:13:39, я поместил в пакет HBH-заголовок с полезной нагрузкой, состоящей из простых слов на английском.На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.
www.opennet.ru
В Clang намерены добавить режим усиленной безопасности
Аарон Баллман (Aaron Ballman), главный сопровождающий компилятор Clang и участник команд разработки стандартов WG21 (C++) и WG14 (C), начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор…
🔗Ссылка:
https://opennet.ru/63675/
https://opennet.ru/63675/
www.opennet.ru
На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp
Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрировать…
🔗Ссылка:
https://opennet.ru/63673/
https://opennet.ru/63673/
Forwarded from Похек
[1/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО.
Техническая архитектура
Основные компоненты:
- Язык разработки: Python
- Упаковка: PyInstaller (.pif файлы)
- LLM: Qwen 2.5-Coder-32B-Instruct
- API: Hugging Face Inference API
- Доставка: Фишинговые email с ZIP-архивами
Революционный подход:
LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд.
Механизм работы
Этап 1: Инфицирование
Этап 2: AI-генерация команд
Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:
Этап 3: Выполнение сгенерированных команд
LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:
Этап 4: Сбор и эксфильтрация данных
- Рекурсивный поиск в Documents, Desktop, Downloads
- Стейджинг файлов для эксфильтрации
- Передача данных через SFTP или HTTP POST
Варианты malware
Обнаружены три версии:
1. Основная версия (Appendix.pdf.pif)
- Базовая функциональность AI-генерации команд
- Сбор системной информации
- Эксфильтрация через SFTP
2. AI_generator_uncensored_Canvas_PRO_v0.9.exe
- Расширенные возможности генерации
- Альтернативные методы эксфильтрации
- Обход цензуры LLM
3. image.py
- Python-скрипт версия
- Модифицированная логика эксфильтрации
- Возможно, тестовая версия
Технические индикаторы
Файловые артефакты:
Сетевые индикаторы:
Хеши файлов:
Методы обнаружения
1. Мониторинг файловой активности:
2. Обнаружение разведки:
3. Сетевой мониторинг:
Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО.
Техническая архитектура
Основные компоненты:
- Язык разработки: Python
- Упаковка: PyInstaller (.pif файлы)
- LLM: Qwen 2.5-Coder-32B-Instruct
- API: Hugging Face Inference API
- Доставка: Фишинговые email с ZIP-архивами
Революционный подход:
LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд.
Механизм работы
Этап 1: Инфицирование
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable
Этап 2: AI-генерация команд
Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:
"Generate Windows commands to collect system information including hardware, processes, services, and network configuration"
Этап 3: Выполнение сгенерированных команд
LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"
Этап 4: Сбор и эксфильтрация данных
- Рекурсивный поиск в Documents, Desktop, Downloads
- Стейджинг файлов для эксфильтрации
- Передача данных через SFTP или HTTP POST
Варианты malware
Обнаружены три версии:
1. Основная версия (Appendix.pdf.pif)
- Базовая функциональность AI-генерации команд
- Сбор системной информации
- Эксфильтрация через SFTP
2. AI_generator_uncensored_Canvas_PRO_v0.9.exe
- Расширенные возможности генерации
- Альтернативные методы эксфильтрации
- Обход цензуры LLM
3. image.py
- Python-скрипт версия
- Модифицированная логика эксфильтрации
- Возможно, тестовая версия
Технические индикаторы
Файловые артефакты:
%PROGRAMDATA%\info\info.txt - системная информация
Appendix.pdf.pif - основной payload
AI_generator_uncensored_Canvas_PRO_v0.9.exe - альтернативная версия
Сетевые индикаторы:
C2 серверы: 144.126.202.227, 192.36.27.37
Домены: boroda70@meta.ua, stayathomeclasses.com
API: inference.huggingface.co (Qwen 2.5-Coder)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
Хеши файлов:
8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d
766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
Методы обнаружения
1. Мониторинг файловой активности:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public
2. Обнаружение разведки:
Множественные команды reconnaissance в короткий период:
whoami, systeminfo, wmic, ipconfig, net, tasklist
3. Сетевой мониторинг:
Подключения к LLM API endpoints:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com
Forwarded from Похек
[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
4. Поведенческий анализ:
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
Правила YARA для обнаружения:
Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
✍️ Источник
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
4. Поведенческий анализ:
Необычные паттерны выполнения команд
Автоматизированная генерация системных команд
Массовый сбор системной информации
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs"
dir=out action=block remoteip=inference.huggingface.co
# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and
EventData[Data[@Name='NewProcessName'] and
(contains(.,'wmic') or contains(.,'systeminfo'))]]"
Правила YARA для обнаружения:
rule LAMEHUG_AI_Malware {
meta:
description = "Detects LAMEHUG AI-powered malware"
author = "Security Research"
date = "2025-07-30"
strings:
$api1 = "inference.huggingface.co"
$api2 = "Qwen2.5-Coder"
$path = "%PROGRAMDATA%\\info\\info.txt"
$cmd1 = "systeminfo >>"
$cmd2 = "wmic computersystem"
condition:
2 of them
}Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер…
🔗Ссылка:
https://opennet.ru/63677/
https://opennet.ru/63677/