Check Point Research
KONNI Adopts AI to Generate PowerShell Backdoors - Check Point Research
North Korea-linked threat group KONNI targets countries across APAC, specifically in blockchain sectors, with AI-generated malware
AI пишет малварь для КНДР
#APT #NorthKorea #AI #malware
Как работает атака
Жертва получает Discord-ссылку на ZIP-архив с PDF-приманкой и вредоносным LNK. При запуске LNK выполняет PowerShell-загрузчик, который извлекает DOCX-документ и CAB-архив с backdoor. Далее - создание scheduled task под видом OneDrive, XOR-дешифровка и in-memory исполнение.
Почему исследователи считают, что backdoor сгенерирован AI
➡️ Структурированная документация в начале скрипта (нетипично для APT-малвари)
➡️ Модульная архитектура с четким разделением функций
➡️ Комментарий
Impact
AI-assisted малварь эволюционирует быстрее и обходит signature-based детекцию. Это уже не эксперимент - это operational capability.
🔗 Check Point Research
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#APT #NorthKorea #AI #malware
Северокорейская группировка Konni (Opal Sleet, TA406) перешла от экспериментов к боевому применению AI в разработке малвари. Цель - разработчики блокчейн-проектов в APAC регионе.
Как работает атака
Жертва получает Discord-ссылку на ZIP-архив с PDF-приманкой и вредоносным LNK. При запуске LNK выполняет PowerShell-загрузчик, который извлекает DOCX-документ и CAB-архив с backdoor. Далее - создание scheduled task под видом OneDrive, XOR-дешифровка и in-memory исполнение.
Почему исследователи считают, что backdoor сгенерирован AI
# <- your permanent project UUID - типичный артефакт AI-ассистентовImpact
AI-assisted малварь эволюционирует быстрее и обходит signature-based детекцию. Это уже не эксперимент - это operational capability.
Please open Telegram to view this post
VIEW IN TELEGRAM
Burp-AI-Agent - AI-ассистент для пентестера прямо в Burp Suite
#burpsuite #ai #pentest #ollama
Расширение от six2dez, которое превращает Burp Suite в AI-powered инструмент для security testing. Поддерживает 7 бэкендов - можно гонять локально через Ollama/LM Studio или подключить облачные Claude CLI, Gemini CLI, Codex CLI.
Что умеет
➡️ 53+ MCP-инструментов - Claude Desktop или другой MCP-клиент может автономно управлять Burp: слать запросы, запускать сканы, создавать issues. По сути, AI-агент для пентеста.
➡️ 62 класса уязвимостей - пассивный и активный сканер. SQLi, XSS, cache poisoning, JWT-атаки и ещё 58 категорий. Три режима: BUG_BOUNTY, PENTEST, FULL.
➡️ Privacy modes - STRICT/BALANCED/OFF. В строгом режиме редактирует чувствительные данные перед отправкой в облако. JSONL-логи с SHA-256 для аудита.
Требования
- Burp Suite 2023.12+ (Community или Pro)
- Java 21
- AI-бэкенд (для локального -
🔗 GitHub | Docs
🌚 @poxek_ai | 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#burpsuite #ai #pentest #ollama
Расширение от six2dez, которое превращает Burp Suite в AI-powered инструмент для security testing. Поддерживает 7 бэкендов - можно гонять локально через Ollama/LM Studio или подключить облачные Claude CLI, Gemini CLI, Codex CLI.
Что умеет
Требования
- Burp Suite 2023.12+ (Community или Pro)
- Java 21
- AI-бэкенд (для локального -
ollama serve + нужная модель)Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
This media is not supported in your browser
VIEW IN TELEGRAM
Сегодня кибератаки развиваются быстрее, чем большинство компаний успевает обновить защиту. К счастью, их можно избежать, если заранее оценить уровень защищенности ИТ-инфраструктуры.
K2 Cloud, Positive Technologies и K2 Кибербезопасность разработали простой, но эффективный инструмент, который покажет, насколько ваша ИТ-система устойчива к киберугрозам.
Проверьте, насколько ваш бизнес готов к угрозам будущего. Пройти аудит>>
K2 Cloud, Positive Technologies и K2 Кибербезопасность разработали простой, но эффективный инструмент, который покажет, насколько ваша ИТ-система устойчива к киберугрозам.
Полностью анонимный аудит займет не больше 10 минут, а в результате вы получите:
🔹 отчёт по уровню защищённости
🔹 конкретные шаги для усиления безопасности вашей инфраструктуры
🔹 детальный анализ уровня кибербезопасности
Проверьте, насколько ваш бизнес готов к угрозам будущего. Пройти аудит>>
🔥4
7 GitHub-репозиториев для входа в Web3 Security
#web3 #security #blockchain #smartcontracts
➡️ Smart Contract Vulnerabilities (2.3k ⭐️ ) / GitHub
Классика. 37 уязвимостей с примерами и митигациями. Категории: Access Control, Math, Control Flow, Data Handling, Unsafe Logic, Code Quality. Для web2-шника - как OWASP Top 10, только для смарт-контрактов.
🔤 🔤 🔤
➡️ Blockchain Attack Vectors (92 ⭐️ ) / GitHub
Справочник атак от ImmuneBytes. Покрывает всё: EVM, DeFi, Bridges, Solana, NFT, Mining Pools. Есть раздел по OSINT и форензике. Хорош, чтобы понять какие вообще атаки бывают.
🔤 🔤 🔤
➡️ Awesome Smart Contracts (513 ⭐️ ) / GitHub
Не про уязвимости - про эталонный код. Uniswap V2/V3/V4, Aave, Compound, MakerDAO, EigenLayer. Чтобы ломать контракты - надо понимать как они работают.
🔤 🔤 🔤
➡️ DeFiHackLabs / GitHub
Организация с CTF-курсами и разборами реальных взломов. Web3-CTF-Intensive-CoLearning (157⭐️ ) - интенсив по CTF. Solidity-Intensive-CoLearning (93 ⭐️ ) - если хочешь писать эксплойты на Solidity.
🔤 🔤 🔤
➡️ Bounties-Exploit-Bugs (44 ⭐️ ) / GitHub
Разборы критических багов с bug bounty. Dust attacks, rounding errors, oracle mismatches. Каждый кейс содержит вопросы, которые привели к находке - полезно для построения методологии.
🔤 🔤 🔤
➡️ Awesome Solana Security (518 ⭐️ ) / GitHub
Solana сейчас активно растёт. Здесь: гайды по Rust/Anchor, статьи по уязвимостям, инструменты (Trident fuzzing), CTF-челленджи. Есть материалы для тех, кто переходит с Ethereum.
🔤 🔤 🔤
➡️ Awesome Move Security (26 ⭐️ ) / GitHub
Sui и Aptos - экосистемы на Move, которые сейчас растут. Репозиторий молодой, но уже содержит 20+ публичных аудит-репортов, разборы эксплойтов и CTF-райтапы.
🔤 🔤 🔤
♾️ Зачем web2-пентестеру идти в web3♾️
- Навыки переносятся: реверс, фаззинг, анализ логики
- Bug bounty выплаты выше > средний critical от $50k
- Специалистов мало, конкуренция ниже
- Код открыт > аудит можно делать без согласований
- Задолбал обычный веб
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#web3 #security #blockchain #smartcontracts
Если ты web2-пентестер и думаешь о переходе в web3 - вот подборка репозиториев, с которых стоит начать. Без воды, только практика.
Классика. 37 уязвимостей с примерами и митигациями. Категории: Access Control, Math, Control Flow, Data Handling, Unsafe Logic, Code Quality. Для web2-шника - как OWASP Top 10, только для смарт-контрактов.
Справочник атак от ImmuneBytes. Покрывает всё: EVM, DeFi, Bridges, Solana, NFT, Mining Pools. Есть раздел по OSINT и форензике. Хорош, чтобы понять какие вообще атаки бывают.
Не про уязвимости - про эталонный код. Uniswap V2/V3/V4, Aave, Compound, MakerDAO, EigenLayer. Чтобы ломать контракты - надо понимать как они работают.
Организация с CTF-курсами и разборами реальных взломов. Web3-CTF-Intensive-CoLearning (157
Разборы критических багов с bug bounty. Dust attacks, rounding errors, oracle mismatches. Каждый кейс содержит вопросы, которые привели к находке - полезно для построения методологии.
Solana сейчас активно растёт. Здесь: гайды по Rust/Anchor, статьи по уязвимостям, инструменты (Trident fuzzing), CTF-челленджи. Есть материалы для тех, кто переходит с Ethereum.
Sui и Aptos - экосистемы на Move, которые сейчас растут. Репозиторий молодой, но уже содержит 20+ публичных аудит-репортов, разборы эксплойтов и CTF-райтапы.
- Навыки переносятся: реверс, фаззинг, анализ логики
- Bug bounty выплаты выше > средний critical от $50k
- Специалистов мало, конкуренция ниже
- Код открыт > аудит можно делать без согласований
- Задолбал обычный веб
Начни со Smart Contract Vulnerabilities + Awesome Smart Contracts. Потом CTF от DeFiHackLabs. Дальше - специализация по цепочке.
Если вы уже этим занимаетесь, то буду рад если укажите на мои ошибки и напишите пару советов от себя
Please open Telegram to view this post
VIEW IN TELEGRAM
Hackberry Pi Zero Clear Case
In this video, we'll take a look at swapping the stock blacked out case for Zitaotech's Hackberry Pi Zero with a clear case printed by PCBWay to give our Hackberry some hacker flare!
https://youtu.be/8__Q6C0gmo8?si=uGcp33oES2pBb2QC
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
In this video, we'll take a look at swapping the stock blacked out case for Zitaotech's Hackberry Pi Zero with a clear case printed by PCBWay to give our Hackberry some hacker flare!
https://youtu.be/8__Q6C0gmo8?si=uGcp33oES2pBb2QC
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Hackberry Pi Zero Clear Case
In this video, we'll take a look at swapping the stock blacked out case for Zitaotech's Hackberry Pi Zero with a clear case printed by PCBWay to give our Hackberry some hacker flare!
Make sure you give the homie DZ_AZ who turned me onto this project a follow:…
Make sure you give the homie DZ_AZ who turned me onto this project a follow:…
🔥9
Remote auth bypass в Teleport (CVE-2025-49825, CVSS 10.0)
#Teleport #SSH #CVE
В открытом доступе появился PoC уязвимости в Teleport Community Edition, найденной в июне 2025 года. Баг позволяет обойти SSH-аутентификацию и получить несанкционированный доступ к системам, управляемым Teleport.
Логические ошибки в cert issuance и identity verification, влияющие на контроль доступа, уже встречались в Teleport как в форме отдельных CVE (CVE-2022-36633, CVE-2022-38599), так и в качестве security advisory без присвоения идентификатора. Для access-gateway систем это один из наиболее критичных классов уязвимостей — успешная эксплуатация приводит к мгновенному root-доступу ко всей инфраструктуре.
♾️ Техническая суть♾️
В эндпоинте
♾️ Эксплуатация♾️
▪️ Сканирование публично доступных Teleport Proxy (TCP/443) на предмет уязвимых версий.
▪️ Отправка запроса на
▪️ Получение легитимного session token и логин через
▪️ Получение доступа ко всем ресурсам инфраструктуры: SSH к внутренним серверам, RDP-сессии, Kubernetes API, database-подключения через Teleport Proxy + возможность добавления собственных SSH-ключей, создания persist-доступа, эксфильтрации данных и действий под видом легитимного audit-трафика.
Сообщений о массовых эксплуатациях in-the-wild на момент публикации нет. Патч доступен с июня 2025 года.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#Teleport #SSH #CVE
В открытом доступе появился PoC уязвимости в Teleport Community Edition, найденной в июне 2025 года. Баг позволяет обойти SSH-аутентификацию и получить несанкционированный доступ к системам, управляемым Teleport.
Логические ошибки в cert issuance и identity verification, влияющие на контроль доступа, уже встречались в Teleport как в форме отдельных CVE (CVE-2022-36633, CVE-2022-38599), так и в качестве security advisory без присвоения идентификатора. Для access-gateway систем это один из наиболее критичных классов уязвимостей — успешная эксплуатация приводит к мгновенному root-доступу ко всей инфраструктуре.
В эндпоинте
/v1/webapi/sessions/web компонент аутентификации Teleport Proxy некорректно обрабатывает JWT-подобные пейлоады, позволяя принять произвольное значение user: admin без полноценной проверки сертификата и cert_authority. В результате атакующий, используя крафтовый заголовок X-Teleport-Cluster, может инициировать выпуск валидной сессии и получить полные права доступа без знания кредов и прохождения аутентификации./v1/webapi/sessions/web с поддельным X-Teleport-Cluster — proxy принимает user: admin без проверки сертификатов.tsh с правами администратора (RBAC-роли подгружаются без дополнительной валидации).Сообщений о массовых эксплуатациях in-the-wild на момент публикации нет. Патч доступен с июня 2025 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Sachok
Сегодня в рубрике ИБ-лайфстайл ведущий специалист отдела по работе с уязвимостями ИС «Бастион», автор канала «Похек», Сергей Робертович Зыбнев.
@cybersachok
@cybersachok
🔥16