🔗 ldapdomaindump - инструмент, позволяющий выгрузить информацию из Active Directory через LDAP и представить собранную информацию в удобном формате HTML, а также в машиночитаемых форматах JSON и CSV/TSV/GREP. Поддерживает аутентификацию как по паролю, так и с помощью NTLM хэшей.

Инструмент выводит следующие файлы
⏺️domain_groups - список групп в домене;
⏺️domain_users - список пользователей в домене;
⏺️domain_computers - список учетных записей компьютеров в домене;
⏺️domain_policy - политика домена (требования к паролю, политики блокировки);
⏺️domain_trusts - входящие и исходящие доменные трасты.

💻 Установка

git clone https://github.com/dirkjanm/ldapdomaindump
cd ./ldapdomaindump
pip install ldap3 dnspython future
python setup.py install

⚙️ Опции
По умолчанию инструмент выводит все файлы в формате HTML, JSON и с разделителями табуляции (для поиска). Для удобства есть также два сгруппированных файла (users_by_group и computers_by_os). Они не поддерживают поиск. Вывод JSON для сгруппированных файлов по умолчанию отключен, так как он создает очень большие файлы без каких-либо данных, которых нет в других файлах.

По умолчанию ldapdomaindump пытается вывести на диск все атрибуты, которые он может прочитать, в файлы .json. В больших сетях это требует много памяти. Чтобы вывести только минимально необходимые атрибуты (те, которые по умолчанию отображаются в файлах .html и .grep), используйте --minimal.

LDAPDomainDump включает в себя утилиту, которую можно использовать для вывода файлов ldapdomaindumps .json в формате, аналогичном enum4linux. Утилита называется ldd2pretty и добавляется в ваш путь при установке. Также есть интеграция с BloodHound с помощью утилиты ldd2bloodhound для преобразования данных в формат, совместимый с BloodHound (версия 1.x).

Базовый дамп домена:

ldapdomaindump ldaps://192.168.138.15 -u 'TEST\user' -p password -o /tmp/ldapdump

Использование ldd2pretty для вывода аналогичному enum4linux:

ldd2pretty -d /tmp/ldapdump

Представьте: ваш последний пентест показал «идеальную» защиту, но через месяц хакеры сливают данные клиентов в даркнет. Регуляторы, штрафы, репутационный крах — и вопрос: «Как мы могли это пропустить?»

В чём подвох?
⚪️ «Бумажные» пентесты игнорируют реальные угрозы: уязвимые API, социнженерию, тени в инфраструктуре.
⚪️ Красивые отчёты ≠ безопасность. 68% компаний, которые не репортят инциденты, *уже взломаны*.
⚪️ Штрафы за утечки в 2024 году достигают миллионов, но главный удар — по доверию клиентов.

3 причины, почему компании играют в русскую рулетку:
1️⃣«Нам нужна галочка, а не проблемы» — страх перед правдой.
2️⃣ «Настоящий пентест — это дорого» — но штрафы и убытки дороже в 10 раз.
3️⃣ «Наши сотрудники и так всё знают» — однако 84% внутренних проверок пропускают критические дыры.

Что делать?
▪️ CISO: Документируйте каждый шаг — это ваш щит перед регуляторами.
▪️ HR: Тренируйте сотрудников через реалистичные фишинг-атаки.
▪️ CTO: Интегрируйте безопасность в CI/CD, чтобы ловить угрозы до продакшена.

Как отличить показуху от реальной защиты? Читайте полный разбор — и проверьте, не ваш ли бизнес следующий в списке жертв «галочных» проверок.

💻 drozer

Платформа тестирования безопасности для Android, поддерживаемая компанией WithSecure. Позволяет искать уязвимости в приложениях и устройствах, взаимодействуя с Android Runtime, другими приложениями, конечными точками IPC и базовой операционной системой.

📌 Установка и подключение
Для установки последней версии консоли drozer с PyPI можно использовать pip или pipx: pipx install drozer

Агент drozer можно получить из репозитория в виде файла Android Package (.apk). Его можно установить на эмулятор или устройство с помощью Android Debug Bridge (adb): adb install agent.apk. Приложение Drozer Agent должно появиться в панели запуска вашего устройства.

Теперь нужно соединить устройства на которых установлены агент и консоль, затем приступать к исследованию. Для этого можно использовать сервер, встроенный в Drozer Agent. Сначала запускаем, выбираем опцию Embedded Server и нажимаем Enable, чтобы запустить сервер. Вы должны увидеть уведомление о том, что сервер запущен.

Далее возможны варианты подключения через сеть drozer console connect --server <phone's IP address> и через USB:

adb forward tcp:31415 tcp:31415 
drozer console connect

🤖 Использование
Использовать инструмент будем на примере потенциально уязвимого приложения Sieve.

Первым шагом в оценке Sieve является поиск приложения на устройстве Android run app.package.list -f sieve. Приложения, установленные на устройстве Android, однозначно идентифицируются по «имени пакета».

Далее запрос у drozer базовой информации о пакете с помощью команды run app.package.info -a com.withsecure.example.sieve. Результатом будет ряд сведений о приложении, в том числе версия, место хранения данных приложения на устройстве, место его установки и ряд сведений о разрешениях, предоставленных приложению.

Определяем поверхность атаки run app.package.attacksurface com.withsecure.example.sieve.

Подробнее изучаем узнав какие действия экспортируются Sieve, используя более конкретные команды: run app.activity.info -a com.withsecure.example.sieve

В данном случае можем обойти аутентификацию через действие PWList:
run app.activity.start --component com.withsecure.example.sieve com.withsecure.example.sieve.activity.PWList

Volt Typhoon: как китайские хакеры годами скрытно атакуют критическую инфраструктуру США

Киберразведка вскрыла опасные схемы работы хакерской группы Volt Typhoon, связанной с КНР. В статье разбираем:

▪️ Их уникальные методы (LOTL, эксплуатация легальных инструментов)
▪️ Хронологию скрытных многоэтапных атак
▪️ 5 ключевых уязвимостей, которые они используют
▪️ Конкретные меры защиты для вашей инфраструктуры

Особое внимание:
✅Как они годами остаются незамеченными
✅Почему классические антивирусы бессильны
✅Какие отрасли в зоне риска прямо сейчас

🔴Читать полный разбор атаки
🔴Для тех, кто хочет глубже изучить защиту инфраструктуры: 30+ виртуальных машин, 100+ практических тасков здесь.

Weakpass

Ресурс, представляющий собой коллекцию словарей для брутфорса и набор инструментов для взлома паролей и хэшей. Может быть полезен как для проведения пентестов, так и для повышения безопасности паролей. Доступно более 1500 вордлистов, загрузку можно осуществить через torrent. Кроме того, у сервиса есть API для автоматизации и интеграции в собственные инструменты.

⚡️ Обзор функций
⏺️Lookup - инструмент поиска пароля по хэшу. Выполняется безопасный поиск по хешу, обеспечивая безопасность и конфиденциальность ваших данных. С помощью поиска можно найти пароли для таких хешей, как MD5, NTLM, SHA1 и SHA256. В качестве базы данных используется предварительно рассчитанный файл weakpass4.merged.txt без отправки хэша на сервер.

⏺️Password check - проверка пароля на то был ли он взломан или уязвим для атак на основе правил. Инструмент проверяет, есть ли ваш пароль в списке weakpass_4.merged с помощью API поиска по диапазону и имитирует атаки на основе правил, применяя «обратные» правила Hashcat для выявления слабых паролей. Все проверки также выполняются на стороне клиента, поэтому пароль никогда не отправляется на сервер.

⏺️Generator - генератор паролей. Создаёт список слов на основе предоставленных пользователем ключевых слов для целевого тестирования паролей. Например, введя Acme.corp, получим список возможных паролей, таких как Acme.corp2018!, Acme.corp123 и т. д. По умолчанию генератор будет использовать собственные правила, но можно настраивать свои.

⏺️Kraker-JS - инструмент пытается подобрать хэши прямо в браузере. Является исключительно клиентским инструмент на основе JavaScript. Поддерживаемые типы хэшей: MD5, SHA1, криптографические функции, JWT, Net-NTLMv2 и другие. Так же осуществляется поддержка запуска нескольких задач одновременно для эффективной обработки.

Ресурс является абсолютно бесплатным и без ограничений.

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — Umbrella

🌍 Категория Веб — Easy Upload
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Разное - Странный код
🟠OSINT - Назад в будущее
🟠Стеганография - Самозванец

Приятного хакинга!

🔓 Ваш браузер — слабое звено: Почему хакеры уже охотятся за пользователями Chrome 135 и Firefox 137

💡Помните, как в 2017 году компания Equifax не обновила сервер и хакеры похитили данные 147 млн человек? Или атаку WannaCry, жертвами которой стали те, кто не установил обновления Windows?

Примеры Equifax и WannaCry наглядно показали: большинство взломов происходят через известные уязвимости, которые просто не закрыли вовремя. Сейчас та же угроза нависла над браузерами — главными "воротами" для хакеров.

📱Chrome 135
Компания Google недавно представила очередное крупное обновление своего популярного веб-браузера Chrome — версию 135. Эта версия включает ряд важнейших патчей, устраняющих потенциально серьезные угрозы безопасности. Вот основные моменты:

Что было исправлено?
1️⃣ CVE-2024-5274 – ошибка use-after-free, позволяющая запускать вредоносный код. В 2023 году через такую же уязвимость хакеры внедряли банковские трояны, которые опустошали счета жертв.
2️⃣ CVE-2024-5275 – дыра в WebAssembly, с помощью которой злоумышленники обходили защиту браузера. В 2022 году через WebAssembly распространяли криптоджекинг – скрытый майнинг, замедляющий ПК в 10 раз.
3️⃣ CVE-2024-5276 – утечка данных через CSS. В 2021 году подобная уязвимость помогала мошенникам узнавать историю браузера и подбирать фишинговые атаки.

Google также устранил другие критические уязвимости в движке Chromium. Детали не разглашаются, чтобы хакеры не успели ими воспользоваться до массового обновления.

📱Firefox 137
Компания Mozilla тоже выпускает важную новую версию своего знаменитого браузера Firefox — 137-ю. Это обновление приносит существенные улучшения в области безопасности, призванные защитить миллионы пользователей по всему миру.

Какие изменения внесены?
1️⃣ CVE-2024-4299 – уязвимость в WebGL, дающая хакерам контроль над браузером. В 2023 году через WebGL распространяли шпионское ПО, записывающее нажатия клавиш.
2️⃣ CVE-2024-4300 – ошибка в Same-Origin Policy, позволяющая обходить HTTPS. В 2022 году через такую дыру воровали сессии Gmail.
3️⃣ CVE-2024-4301 – риск утечки данных через расширения. Вредоносное расширение Autofill крало кредитные карты тысяч пользователей.

Кроме того, были выявлены и ликвидированы другие уязвимости различной степени опасности, информация о большинстве из которых временно закрыта ради безопасности пользователей.

Ettercap

Ettercap - это мощный инструмент для анализа и атаки на сетевые протоколы, который используется в основном для проведения атак типа "человек посередине" (Man-in-the-Middle, MitM). Он позволяет перехватывать, анализировать и модифицировать сетевой трафик в реальном времени. Ettercap поддерживает различные протоколы, включая Ethernet, TCP, UDP и ICMP, и может работать как в графическом, так и в текстовом режиме.
Ettercap поддерживает активное и пассивное вскрытие многих протоколов (даже зашифрованных) и включает множество функций для анализа сети и хоста. Также возможна инъекция данных в установленное соединение и фильтрация (замена или отбрасывание пакета) на лету, сохраняя соединение синхронизированным.
Реализовано множество режимов сниффинга для мощного и полного набора сниффинга.

Сниффинг возможен в четырех режимах:
🔸на основе IP;
🔸на основе MAC;
🔸на основе ARP (полный дуплекс);
🔸на основе PublicARP (полудуплекс).
Ettercap также может обнаруживать коммутируемую локальную сеть и использовать отпечатки ОС (активные или пассивные) для поиска геометрии локальной сети.

📌Установка:
Инструмент уже установлен в Kali Linux с графическим интерфейсом.
💡Можно также скачать из исходников:

git clone https://salsa.debian.org/pkg-security-team/ettercap.git

cd ettercap

📎Запуск:
При запуске выбираем сетевой интерфейс (по умолчанию eth0, меняем на wlan0) и запускаем сниффинг.
Для запуска вашего "свистка" пишем
ip a
Ищем ваш адаптер и включаем его

ifconfig wlan0 up

и выбираем в ettercap

📣 Друзья, уже сегодня пройдет БЕСПЛАТНЫЙ МАСТЕР-КЛАСС по OSINT: 5 легальных инструментов для анализа людей

Хотите научиться быстро проверять человека по открытым данным? Приходите на бесплатный вебинар!

Спикер: Екатерина Тьюринг – эксперт по кибербезопасности с 5-летним опытом, спикер Offzone/PHDays.

Сегодня в 19:00 по МСК — бонусы для всех участников. 🔴 Регистрируйтесь здесь и получите ссылку на эфир и подарок в ответном письме.

🚀 Трудности с регистрацией? Пишите @Codeby_Academy

▶️ Друзья, уже через час стартует бесплатный вебинар где мы:

🔸 Разберём 5 рабочих инструментов для сбора информации
🔸 Покажем, как искать связи между аккаунтами
🔸 Научимся проверять данные без нарушения закона
🔸 Проведем практику на реальных примерах

Вы еще успеваете присоединиться!
Через час — мастер-класс от Екатерины Тьюринг. 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме.

🚀 По всем вопросам пишите @Codeby_Academy

Crunch

Crunch — это генератор списков слов, в котором вы можете указать стандартный набор символов или любой набор символов, который будет использоваться при создании списков слов. Списки слов создаются путем комбинирования и перестановки набора символов. Вы можете определить количество символов и размер списка.

💡Возможности:
⏺️Генерация словарей
⏺️Настройка кодировки
⏺️Интеграция с другими инструментами
⏺️Вывод в различных форматах

📌Установка:
Инструмент уже установлен в Kali Linux, но...
Можно также скачать из исходников:

git clone https://salsa.debian.org/debian/crunch.git

cd crunch

📎Запуск:
crunch -h
⏺️Создание словаря паролей длиной от 1 до 3 символов, используя только строчные буквы:

crunch 1 3 abcdefghijklmnopqrstuvwxyz -o [PATH]

⏺️Создание словаря паролей длиной от 1 до 3 символов, используя цифры и строчные буквы:

crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789 -o [PATH]

⏺️Создание словаря паролей длиной от 1 до 3 символов, используя символы, цифры и строчные буквы:

crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789!"№;%:?*()-= -o [PATH]

⏺️Генерация словаря с использованием ключевых слов и добавлением чисел

crunch 1 6 -o [PATH] -t password%% -t admin%% -t user%%

где %% - заменит на случайные числа

DMitry: Всё, что вы хотели знать о своем целевом хосте

🔮 DMitry (Deepmagic Information Gathering Tool) — это удобный инструмент для Linux/UNIX, который помогает собирать разные данные о целевом хосте. С его помощью можно узнать о поддоменах, найти email-адреса, проверить время работы сервера, просканировать порты, сделать whois-запросы и многое другое.

🪄 Основные функции
- Whois-запросы - информация о домене (-w) и IP (-i).
- Сканирование портов - выявление открытых портов (-p), фильтрованных (-f), сбор баннеров (-b).
- Поиск поддоменов - идентификация связанных поддоменов (-s).
- Сбор email-адресов - поиск адресов, связанных с доменом (-e).
- Информация от Netcraft - извлечение данных о хосте (-n).

🪄 Установка DMitry
DMitry обычно предустановлен в Kali Linux. Если его нет, установите с помощью команды:

sudo apt install dmitry

🪄 Примеры использования
1. Сканирование всех доступных данных и сохранение в файл:

dmitry -winseo результат.txt example.com

Команда делает whois-запросы для домена и IP, собирает данные с Netcraft, ищет поддомены и email-адреса, а потом сохраняет все результаты в файл "результат.txt".

2. Сканирование портов с отображением фильтрованных портов и баннеров:

dmitry -pfb example.com

Команда сканирует TCP-порты, показывает фильтрованные порты и собирает баннеры.


✨ Возможности и лайфхаки
- Время ожидания (TTL) - опция -t задает время ожидания при сканировании портов. Например, -t 5 устанавливает TTL в 5 секунд.
- Комбинирование опций - DMitry поддерживает использование нескольких параметров одновременно. Например, команда dmitry -winsep example.com выполнит полный анализ: whois-запросы, поиск поддоменов, email-адресов и сканирование портов.
- Сохранение результатов - параметр -o позволяет сохранить результаты в файл для дальнейшего изучения.

Атакующие используют популярный ресурс для хостинга проектов и обмена программным обеспечением SourceForge для распространения майнеров и трояна ClipBanker под видом приложений Microsoft Office. С данной активностью уже столкнулось порядка 5000 российских пользователей.

🔗 Цепочка заражения
Злоумышленники создали проект на одном из доменов SourceForge (sourceforge.io), предлагая бесплатно скачать популярные приложения Microsoft. На странице отображался список офисных программ, но вместо них по ссылке загружался вредоносный архив.

В архиве находились два файла:
⏺️Запароленный архив;
⏺️Текстовый документ с паролем.

После распаковки защищённого архива на компьютер жертвы проникали две вредоносные программы:
⏺️Майнер, использующий ресурсы ПК для добычи криптовалюты в пользу злоумышленников;
⏺️ClipBanker — троян, подменяющий адреса криптокошельков для кражи средств.

Внутри вложенного архива находился файл размером 700 МБ вероятно для убеждения жертвы в подлинности файла, но реальный вредоносный код занимал всего 7 МБ. Остальной объём был заполнен «мусором». Данная техника получила название File Pumping.

❗️Несмотря на то что в данный момент атака направлена на криптовалюту, в будущем злоумышленники могут продавать доступ к заражённым устройствам или использовать их для других атак.

👀 Как обманули SourceForge?

1️⃣Атакующие воспользовались особенностью платформы: проекты на sourceforge.net автоматически получают дополнительный домен на sourceforge.io.
2️⃣На основном сайте они разместили безвредное ПО, а на дополнительном — описание «офисных программ» с вредоносной ссылкой.

В качестве мер предосторожности можно посоветовать пользователем подходить к загрузке программного обеспечения более осмысленно и скачивать программы только из официальных источников.

🚪Knock: Утилита для поиска субдоменов

Knock — это утилита для автоматического поиска субдоменов, используемая в тестировании на проникновение и кибербезопасности. Она помогает исследователям находить скрытые поддомены веб-сайтов, что может быть полезно для выявления потенциальных уязвимостей.

🔍 Основные возможности Knock
➡️ Автоматический перебор поддоменов с использованием словарей.
➡️ Быстрая работа за счет асинхронных запросов.
➡️ Гибкость в настройке (можно указывать пользовательские словари).
➡️ Поддержка многопоточности для ускорения сканирования.
➡️ Легкость в использовании — Knock написан на Python и легко устанавливается через pip.

⬇️ Установка Knock

Для установки Knock используйте команду:

pip install knock-subdomains

🌟 Пример использования

Чтобы просканировать домен на наличие поддоменов, выполните:

knockpy -d domain.com --recon --bruteforce

Это позволит получить список возможных поддоменов, которые могут быть неочевидны при обычном анализе.

⚡️ Где применяется Knock?
➡️ Тестирование безопасности веб-приложений.
➡️ Исследование инфраструктуры компаний.
➡️ Поиск скрытых сервисов и админ-панелей.
➡️ Расширенный OSINT-анализ.

AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая!

Более 30 виртуальных машин, которые не взломает 80% участников CTF:
🔸AD-сети с миксом Windows/Linux
🔸Задачи на эскалацию привилегий, persistence, stealth
🔸Разбор решений от победителей the Standoff

Бросаем вызов с 29 мая 😎
🔴Регистрация

Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.

Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.

🔥 Цепочка атаки

1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.

2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.



3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.

4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.

❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.

С Днём труда, бойцы киберфронта! 😎

Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.

Process Environment Block (PEB) — это золотая жила для исследователей кода, содержащая критически важные данные о процессе, обычно скрытые в ядре. В новой статье разбираем, как с помощью PEB можно:

🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)

Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.

🔴Исходники и полная статья

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Звездный сейф

🔎 Категория OSINT — Пасхалка
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Старая версия
🟠Стеганография - Н.Н.
🟠Разное - Старый боец

Приятного хакинга!

Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.