32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Неисправленная уязвимость в Parallels Desktop дает root-права в macOS
Исследователи опубликовали два эксплоита для непропатченной уязвимости повышения привилегий в Parallels Desktop. Проблема позволяет получить root-доступ на затронутых устройствах под управлением macOS.
https://xakep.ru/2025/02/25/parallels-desktop-exploits/
На GitHub нашли сотни репозиториев с вредоносным кодом
Эксперты Kaspersky GReAT обнаружили на GitHub множество репозиториев с малварью, которая замаскирована под проекты с открытым исходным кодом. Например, злоумышленники маскируют малварь под Telegram-бот для управления криптовалютными кошельками или читы для игры Valorant.
https://xakep.ru/2025/02/25/gitvenom/
HTB Yummy. Атакуем веб-сервер и эксплуатируем слабую криптографию #статьи #подписчикам
Сегодня я покажу, как иногда можно подделать криптографический токен, если тебе известны ограничения алгоритма. Также проведем ряд атак на веб‑сервер и повысим привилегии в Linux через утилиту Rsync.
https://xakep.ru/2025/02/24/htb-yummy/
Группировка Angry Likho использует стилер Lumma против госорганизаций и их подрядчиков
По данным «Лаборатории Касперского», хак-группа Angry Likho готовит новую волну целевых атак с середины января 2025 года. Главные цели злоумышленников находятся в России и Беларуси, это сотрудники крупных корпораций: государственных организаций и их подрядчиков.
https://xakep.ru/2025/02/24/angry-likho/
Microsoft исправила находившуюся под атаками уязвимость в Power Pages
Компания Microsoft устранила серьезную уязвимость повышения привилегий в Power Pages, которую хакеры уже использовали в качестве 0-day.
https://xakep.ru/2025/02/21/power-pages-eop/
Замечен новый способ обфускации JavaScript через невидимые символы Unicode
Специалисты Juniper Threat Labs обнаружили новый метод обфускации JavaScript, использующий невидимые символы Unicode. Этот метод активно применялся в фишинговых атаках, направленных на филиалы Комитетов политического действия (Political Action Committee, PAC).
https://xakep.ru/2025/02/20/invisible-obfuscation/
FrigidStealer атакует пользователей macOS через фальшивые обновления
Аналитики из компании Proofpoint обнаружили новый инфостилер FrigidStealer, нацеленный на пользователей macOS. Вредонос распространяется через взломанные сайты и маскируется под обновление для браузера, вынуждая пользователей вручную запустить полезную нагрузку.
https://xakep.ru/2025/02/20/frigidstealer/
Темные игры. Потрошим древнюю игру на DarkBASIC
Любишь ли ты винтажные игры? Я — очень, поэтому сегодня мы про них и поговорим. Вернее, не про сами игры, а про внутреннее устройство таких программ, созданных с использованием древней темной магии технологии DarkBASIC.
https://xakep.ru/2025/02/19/dark-basic-reverse/
Новые уязвимости в OpenSSH могут привести к MiTM- и DoS-атакам
В OpenSSH исправили две уязвимости, эксплуатация которых может привести к атакам man-in-the-middle и отказу в обслуживании (DoS). Причем одна из этих проблем появилась в коде более 10 лет назад.
https://xakep.ru/2025/02/19/openssh-cves/
Малварь FinalDraft использует Outlook для сокрытия своих коммуникаций
Аналитики Elastic Security Labs рассказали о новой малвари FinalDraft, которая использует черновики писем в Outlook для маскировки своих C&C-коммуникаций.
https://xakep.ru/2025/02/17/finaldraft/
Relay again. Изучаем актуальные техники атак NTLM Relay через SCCM
Думаю, ты уже много раз слышал, что поддержку NTLM Relay в Windows вот‑вот отключат. Я тоже слышал это не раз, но сейчас начало 2025 года, и почти на каждом проекте я до сих пор встречаю NTLM Relay. Сегодня я расскажу про актуальные техники Relay-атак, связанные с SCCM, а также методы защиты от них.
https://xakep.ru/2025/02/14/relay-sccm/
Шесть уязвимостей исправили в российском менеджере паролей Passwork
Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям.
https://xakep.ru/2025/02/14/passwork-flaws/
Пышки и Telegram. Пишем клиент Telegram на PHP #статьи #подписчикам
Библиотека MadelineProto позволяет с легкостью написать собственный Telegram-клиент, который можно использовать по‑разному — от отправки сообщения всему контакт‑листу до взлома Telegram-аккаунтов. При этом библиотека не использует Bot API, что значительно упрощает разработку. В этой статье мы разберем базовые функции клиента: авторизацию, получение списка контактов, извлечение информации о пользователях и отправку им сообщений.
https://xakep.ru/2025/02/13/php-telegram/
2,8 млн IP-адресов используются для брутфорса сетевых устройств
The Shadowserver Foundation предупреждает о масштабной брутфорс-кампании, в которой задействованы почти 2,8 млн IP-адресов. Неизвестные злоумышленники стремятся подобрать учетные данные для широкого спектра сетевых девайсов, включая устройства Palo Alto Networks, Ivanti и SonicWall.
https://xakep.ru/2025/02/12/bruteforce-campaign/
PT DEPHAZE: запуск нового продукта для автопентеста
Когда: 27 февраля в 14:00
Positive Technologies запускает новый продукт для тестирования на проникновение в автоматическом режиме — PT Dephaze. Он основан на многолетнем опыте компании в проведении пентестов и знаниях о том, как защищаться от киберугроз.
PT Dephaze непрерывно находит недостатки безопасности инфраструктуры, используя популярный инструментарий, тактики и техники реальных APT-группировок до того, как злоумышленники реализуют недопустимые для бизнеса события.
Мы запустим атаку от PT Dephaze в прямом эфире, чтобы показать, почему он всегда достигает цели и получает привилегии в системе. А реальный белый хакер прокомментирует все действия продукта, и расскажет, как на его месте действовал бы человек.
Присоединяйтесь!
Зарегистрироваться
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
Малварь SpyLend загрузили из магазина Google Play более 100 000 раз
Аналитики Cyfirma обнаружили, что Android-вредонос под названием SpyLend проник в официальный магазин Google Play и был загружен более 100 000 раз. Малварь маскировалась под финансовый инструмент и использовалась в Индии для выдачи кредитов по схеме SpyLoan.
https://xakep.ru/2025/02/25/spylend/
Фишеры используют в своих атаках адреса для подарков в PayPal
Пользователи и исследователи обратили внимание на мошенническую кампанию, связанную с PayPal. Злоумышленники присылают пользователям уведомления о фальшивых покупках с адреса service@paypal[.]com, обманом заставляя их предоставить удаленный доступ к своим аккаунтам.
https://xakep.ru/2025/02/24/paypal-scam/
Apple отказывается от сквозного шифрование iCloud в Великобритании
После того как власти Великобритании потребовали от компании Apple создать бэкдор, который позволял бы получать доступ к зашифрованным облачным данным пользователей, Apple решила вообще отключить функцию Advanced Data Protection (ADP) в Великобритании.
https://xakep.ru/2025/02/24/no-adp-for-uk/
Призрачный тап. Как фишеры штампуют ворованные карты через Apple и Google Pay
Кардинг — темное ремесло похищения, продажи и прокачки ворованных платежных карт — годами был вотчиной русских хакеров. Массовый переход США на чипованные карты подрубил этот бизнес под корень. Но китайские киберпреступники не дремлют: их свежие схемы дают индустрии второе дыхание. Теперь украденные данные карт превращаются в мобильные кошельки, с которыми можно шопиться не только онлайн, но и в обычных магазинах.
https://xakep.ru/2025/02/21/chinese-smishing/
Успей заказать второй бумажный спецвыпуск «Хакера»
На нашем складе почти закончился тираж второго бумажного спецвыпуска «Хакера», в котором собраны лучшие статьи за 2017–2019 годы с комментариями от авторов и редакторов. Рекомендуем поторопиться с заказом, пока номер еще есть в наличии!
https://xakep.ru/2025/02/21/special-2-and-3/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Xerox патчит уязвимости в устройствах Versalink
Уязвимости в многофункциональных принтерах Xerox VersaLink позволяют извлечь аутентификационные учетные данные с помощью атак типа pass-back, нацеленных на службы LDAP и SMB/FTP.
https://xakep.ru/2025/02/20/versalink-vulns/
Соцсеть X блокирует ссылки на Signal
Пользователи обратили внимание, что социальная сеть X (бывший Twitter) стала блокировать ссылки на Signal[.]me — URL-адреса, которые используются в защищенном мессенджере Signal для передачи контактной информации.
https://xakep.ru/2025/02/19/signal-x/
Группировка Bloody Wolf взломала не менее 400 организаций России и СНГ с помощью NetSupport
Эксперты компании BI.ZONE обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, IT, транспорт и логистика. В этих атаках злоумышленники заменили коммерческий троян STRRAT на легитимное средство удаленного доступа NetSupport.
https://xakep.ru/2025/02/19/bloody-wolf-netsupport/
Атаки на брандмауэры SonicWall начались сразу после появления PoC-эксплоита
Эксперты предупреждают, что злоумышленники уже атакуют уязвимость обхода аутентификации, затрагивающую брандмауэры SonicWall. Дело в том, что для этой проблемы недавно появился proof-of-concept эксплоит.
https://xakep.ru/2025/02/18/sonicwall-exploit/
Создатель BTC-e Александр Винник вернулся в Россию
В ответ на освобождение бывшего американского дипломата Марка Фогеля из российской тюрьмы, американские власти освободили одного из создателей и руководителя криптобиржи BTC-e Александра Винника.
https://xakep.ru/2025/02/14/vinnik-back-in-russia/
Атака whoAMI позволяла выполнить код в Amazon EC2
Специалисты DataDog рассказали об атаке типа name confusion, которая получила название whoAMI. Любой, кто публиковал образ Amazon Machine Image (AMI) с определенным именем, мог получить доступ к учетной записи Amazon Web Services.
https://xakep.ru/2025/02/14/whoami/
Valve удалила из Steam игру, содержавшую малварь
Компания Valve удалила из Steam игру PirateFi и уведомила пользователей о том, что та могла содержать вредоносное ПО. В своем сообщении Valve отметила, что пользователям, загрузившим игру, стоит «подумать о полном переформатировании операционной системы».
https://xakep.ru/2025/02/14/piratefi/
Закрученный Python. Используем instld, чтобы ставить пакеты на лету #статьи #подписчикам
Как думаешь, можно ли прямо в рантайме установить пакет Python и воспользоваться им? Меня этот вопрос заинтересовал, так как он потенциально связан с обходом детекта вредоносного кода. Как оказалось, можно! На основе своих экспериментов я создал инструмент instld, о котором сейчас расскажу.
https://xakep.ru/2025/02/12/python-instld/
Арестованы участники группировки 8Base, связанной с шифровальщиком Phobos
Министерство юстиции США предъявило обвинения двум россиянам, арестованным в Таиланде в ходе операции Phobos Aetor. Их связывают с вымогателем Phobos и участием в более чем 1000 вымогательских атак. Также правоохранители заявили о захвате инфраструктуры группировки 8Base.
https://xakep.ru/2025/02/12/8base-phobos-arrests/
Apple исправила 0-day уязвимость, использовавшуюся в «чрезвычайно сложных» атаках
Компания Apple выпустила экстренные патчи для исправления уязвимости нулевого дня, которая использовалась в таргетированных и «чрезвычайно сложных» атаках. В компании объяснили, что физическая атака позволяла отключить USB Restricted Mode на заблокированном устройстве.
https://xakep.ru/2025/02/11/usb-restricted-mode-bypass/