Microsoft снова напомнил, что наша инфраструктура сама по себе остается одной из самых вкусных целей. CVE-2026-42897 в on-prem Exchange Server уже эксплуатируется: по данным The Hacker News со ссылкой на Microsoft, это XSS/spoofing-баг с CVSS 8.1, который можно триггерить через специально подготовленное письмо, если жертва откроет его в Outlook Web Access. Под ударом Exchange 2016, 2019 и Subscription Edition, а CISA уже добавила уязвимость в KEV.

На другом конце спектра - CVE-2026-25765 в Ruby Faraday. Если в приложение или во внутренний сервис на Faraday проходит пользовательский URL, build_exclusive_url до версии 2.14.1 можно обойти через protocol-relative путь вида //evil.com/path и увести запрос на чужой хост. Это уже возможность бить по чужим тулзам, интеграциям, сканерам, webhook-обвязке и внутренним сервисам, которые сами ходят наружу. Подробности есть в DailyCVE, а официальный advisory и фикс - в GitHub advisory и релизе 2.14.1. Ток странный момент, что DailyCVE указано High, но в NVD/CNA у него сейчас CVSS 5.8 MEDIUM.

А если нужен совсем прямой пример "атаки на атакующих", то вот он: CVE-2026-45087 в dalfox. По advisory GitHub, уязвимы версии <= 2.12.0, а фикс вышел в 2.13.0. Проблема критичная: в server mode Dalfox по умолчанию слушает 0.0.0.0:6664, не требует API key без явного --api-key, а через POST /scan атакующий может прокинуть found-action и добиться unauthenticated RCE на хосте, где крутится сканер. То есть ломают уже не цель исследования, а сам инструмент исследователя.

Отсюда и очень интересный сдвиг: атаковать можно и защитников, и атакующих. Если у blue team горит Exchange, то у red team, багхантеров и платформенной автоматизации горят собственные HTTP-клиенты, парсеры, сканеры и сервисы, которые привыкли доверять "почти URL" или поднимать опасный режим "по умолчанию". В 2026 году уязвимость все чаще бьет сразу по всей цепочке вокруг цели: по почте, агентам, интеграциям, сканирующей инфраструктуре и внутренним сервисам.

С начала года работы у команд защиты заметно прибавилось: темп поиска и публикации 0day сейчас выглядит почти безумным, и еще пару лет назад такой плотности трудно было ожидать. Для атакующих гонка тоже только обостряется: кто первым найдет уязвимость уровня CVSS 9.8, успеет сдать ее в bug bounty или превратит в рабочий сценарий для пентеста, тот и снимает сливки.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

ИИ-агенты вместо пентестеров: как росбизнес готовится к новым типам атак
#infosec #pentest #AI #bugbounty

В декабре прошлого года вышло исследование Boston Consulting Group, которое показало, что 88% компаний планируют использовать ИИ для защиты, однако реально внедрили такие инструменты только 7%. Мы тут знаем, сколько в себе может нести хакерский ИИ, поэтому прикольно посмотреть на то, как российский рынок к этому готовится.

Вот ребята из Т-Банка, к примеру, на конференции ЦИПР рассказали про свою внутреннюю тулзу Nulla. Лично для меня это очень интересный кейс, потому что они попытались автоматизировать не условный фаззинг, а нормальную атаку с адаптацией под инфраструктуру, что очень в тему на фоне новостей о Claude Mythos или программе-вымогателе PromptLock.

Что делает тул
Вместо того чтобы гонять классические сканеры, которые работают по жестким правилам и сыплют фолсами, полностью автономная группа ИИ-агентов Nulla имитирует живого хакера. Nulla реально смотрит на реакцию защитных механизмов, на ходу меняет векторы и выстраивает сложные цепочки.

Что под капотом
Агент бьет в нарушения логики доступа (читай: ищет IDOR'ы и Broken Access Control). Nulla находит обходы бизнес-процессов, ломая предусмотренную последовательность, а также строит сложные kill chain'ы между сервисами.

Impact
Время проверки одного сервиса — 45 минут (руками в нем кто угодно ковырялся бы несколько суток). Уже прогнали через 1300 сервисов экосистемы Т-Банка. И тут самое интересное — метрики. Они оценивают сэкономленные на баг-баунти деньги в 100 мультов до конца года.

То есть ИИ нашел то, за что раньше пришлось бы жирно платить ресечерам. При этом живых багхантеров не отменяют: еще с февраля Т-Банк дает до 10 млн рублей за импакт.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CrystalX: RAT-пранкер, который оказался нормальным Go-стилером
#go #RAT #DERP #Kaspersky #malware

CrystalX легко продать как мемную малварь: она может крутить экран, менять обои, трясти курсор, блокировать клавиатуру и открывать чат с жертвой. Но если смотреть на технический разбор DERP, главный интерес не в "пранках". Перед нами коммерческий RAT с упаковщиком, зашифрованным Go-пейлоадом, WebSocket C2, persistence, антианализом и набором команд для удаленного контроля, кражи данных и давления на пользователя.

Сначала про источник. DERP 18 мая 2026 разобрал конкретный семпл NursultanCracked.exe, а не всю экосистему CrystalX. Это важно: выводы по упаковке, ключам, build ID и IOC привязаны к этому образцу. Более широкий контекст про MaaS, Telegram/YouTube-продвижение, происхождение от WebCrystal RAT и сходство с WebRAT/Salat Stealer подтверждает отдельный отчет Kaspersky от 1 апреля 2026.

В семпле DERP внешний файл выглядит как небольшой Windows loader: около 3 МБ, unsigned PE32+ x64 GUI, где почти весь размер сидит в .rsrc. Полезная нагрузка лежит в ресурсе 970 и разворачивается в Go RAT примерно на 6,9 МБ через три слоя: позиционный XOR, ChaCha20 и raw DEFLATE. Дальше пейлоад шифрует рабочие строки отдельно: Base64, AES-GCM, 12-байтовый nonce и 16-байтовый tag. После расшифровки DERP получил 265 строк: C2, токен билдера, build ID, имена persistence-артефактов, списки антианализа, пути браузеров, Telegram-клиентов, Discord, Steam и системные API.

C2 у этого образца тоже достаточно показательный: wss://crystalxrat[.]net/api/ws, заголовок X-Builder-Token: zenc0rn, build ID YBFZUW1U32T. После TLS трафик идет обычными WebSocket-фреймами, а тело сообщений — JSON. Это не уникальный протокол, но для оператора удобно: живой канал управления, команды для rd_start / rd_stop, input events, webcam stream, chat_to_victim, файлового менеджера, clipboard, keylogger и cmd: через CreateProcessW.

Самая неприятная часть — не визуальный шум, а сочетание удаленного доступа и закрепления. Семпл копирует себя в %LOCALAPPDATA%\Microsoft\DeviceMetadataStore\SecurityHealthSystray.exe, создает scheduled task NvContainerTask_YBFZUW1U32, startup shortcut Windows Security Health Service.lnk, WMI filter/consumer и mutex Global\WinSecMutex_YBFZUW1U32. Плюс добавляет Defender exclusions, отключает отдельные event logs и создает firewall rules System Network Service. Для защитника это уже не "смешной вирус", а нормальный post-compromise набор артефактов на Windows-хосте.

Контекст Kaspersky дополняет картину, но не заменяет DERP. По их данным, CrystalX сначала всплыл в январе 2026 как WebCrystal RAT в приватных Telegram-чатах для RAT-разработчиков, затем получил ребрендинг, канал и YouTube-промо. Модель распространения — MaaS с несколькими тарифами. Набор возможностей: stealer, keylogger, clipper, spyware, remote access и отдельная секция "Rofl" для визуального и психологического давления на жертву. Вектор первичного заражения на момент публикации Kaspersky не был точно известен; телеметрия тогда указывала в основном на Россию, но сам MaaS географически не ограничен.

Практический вывод: CrystalX стоит детектировать не по одному хэшу и не по слову "prankware". У DERP есть конкретные IOC — crystalxrat[.]net:443, crystalxrat[.]top, WebSocket path /api/ws, build ID YBFZUW1U32T, persistence path, scheduled task, WMI-артефакты и mutex. Но инфраструктура сидит за Cloudflare, а билдер подразумевает вариативность билдов, поэтому лучше совмещать сетевые индикаторы, host artifacts и поведенческие признаки: внезапные WMI consumers, подозрительные scheduled tasks под именами Security Health/NVIDIA, попытки выключить Defender/Sysmon, массовую чистку logs, WebSocket beaconing и доступ к браузерным/мессенджерским хранилищам.

🔗Источники отдельно:
Основной технический разбор семпла: DERP, 18 мая 2026
Контекст по кампании и MaaS: Kaspersky Securelist, 1 апреля 2026
Дополнительное подтверждение функций и дат: Kaspersky Blog, SecurityWeek, HackMag

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Месяц назад мне написал коллега: "Серёг, ты теперь только через нейронки работаешь, да?"

Почти. Но не так, как большинство думает.
Я не прошу LLM "найди мне крит на бб" (хотя так тоже пробую)). За полтора года пришёл к другому: агент как часть пайплайна, а не чат на подхвате.

Разведка, нормализация сканов, анализ инфраструктуры, гипотезы атак, аудит кода, PoC, отчёт. Каждый шаг с агентом, который несёт контекст предыдущего. Никаких разрозненных запросов.

Это то, что у меня реально работает в пентесте и ресерчах 0day/1day прямо сейчас.

Про сборку таких пайплайнов расскажу на вебинаре 21 мая в 19:00 МСК совместно с CyberED. Без воды - покажу архитектуры, инструменты и ошибки, на которые я убил время и дохрена денег.

🔗Регистрация на базу

🔗 оригинал