Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.

Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.

🔥 Цепочка атаки

1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.

2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.



3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.

4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.

❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.

С Днём труда, бойцы киберфронта! 😎

Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.

Process Environment Block (PEB) — это золотая жила для исследователей кода, содержащая критически важные данные о процессе, обычно скрытые в ядре. В новой статье разбираем, как с помощью PEB можно:

🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)

Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.

🔴Исходники и полная статья

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Звездный сейф

🔎 Категория OSINT — Пасхалка
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Старая версия
🟠Стеганография - Н.Н.
🟠Разное - Старый боец

Приятного хакинга!

Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.

👽 uro

Инструмент, написанный на Python и разработанный для чистки списков URL-адресов, используемых в задачах краулинга или тестирования на проникновение. Он помогает удалять из списков неинтересные, дублирующиеся или бесполезные ссылки.

Утилита не совершает никаких HTTP запросов, она лишь удаляет заданные ей URL:
⏺️инкрементные URL (/page/1/ и /page/2/);
⏺️записи в блоге и аналогичный контент, написанный человеком (/posts/a-brief-history-of-time);
⏺️URL-адреса с одинаковым путем, но различающимися значениями параметров (/page.php?id=1, /page.php?id=2);
⏺️изображения, css и другие файлы.

Рекомендуемый способ установки: pipx install uro.

👩‍💻 Использование
Самый простой способ включить uro в свой рабочий процесс — передать ему данные через стандартный ввод и вывести их на терминал:

cat urls.txt | uro

Чтение URL-адресов из файла и запись отфильтрованных адресов в другой файл:

uro -i input.txt -o output.txt

Удаление всех расширений, кроме предоставленных. Страницы без расширений (/books/1), по-прежнему будут включены. Чтобы удалить и их, используйте --filter hasext:

uro -w php asp html

Удаление определенных расширений:

uro -b jpg png js pdf

Также инструмент поддерживает следующие фильтры:
- hasparams: только URL с параметрами запроса;
- noparams: только URL без параметров запроса;
- hasext: только URL, которые имеют расширения;
- noext: только URL без расширений;
- keepcontent: оставляет написанные человеком контент;
- keepslash: оставляет завершающую косую черту в URL;
- vuln: только вывод URL с уязвимыми параметрами (например id).

Внимание, друзья! 🚩

Поддержите наш проект hackerlab.pro — проголосовав за нас в конкурсе!

🔗 Ссылка для голосования

Важно:
1️⃣ Зарегистрируйтесь на платформе.
2️⃣ Подтвердите почту и телефон (иначе голос не засчитают).
3️⃣ Голосуйте за нас до 07.05 23.59!

Каждый голос помогает развитию проекта! Заранее благодарим за поддержку 😎

🖥 Вакансия: Контент-мейкер / Редактор сообщества

Ищем человека, который будет запускать и поддерживать производство качественного контента на тему информационной безопасности — как самостоятельно, так и с привлечением авторов.

Что делать:
🟢Привлекать авторов, формулировать задачи, помогать с фокусом.
🟢Искать интересные инфоповоды и превращать их в полезный контент.
🟢Писать статьи, запускать опросы и конкурсы.
🟢Следить за качеством всего выпускаемого контента.

Будет большим плюсом:
🟠Понимание тематики ИБ / технический бэкграунд
🟠Умение объяснять сложное простым языком.
🟠Опыт редактуры и взаимодействия с авторами.
🟠Самостоятельность в ведении контент-проектов.

🔴Подробнее о вакансии
🚀 Отправьте резюме и портфолио @The_Codeby

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»

14 мая в 19:00 (МСК) | Онлайн | Бесплатно
🔴Регистрация

Linux уже давно перестал быть инструментом исключительно для системных администраторов. Сегодня это необходимый навык для DevOps-инженеров, специалистов по кибербезопасности и всех, кто работает с IT-инфраструктурой.

На нашем вебинаре мы:
▪️ Развеем мифы о сложности Linux и покажем, как начать работать с ним уверенно
▪️ Продемонстрируем практическое применение в реальных рабочих задачах
▪️ Расскажем о карьерных перспективах для специалистов, владеющих Linux
▪️ Дадим пошаговый алгоритм освоения системы

Особое внимание уделим:
✅ Работе с терминалом (основные команды и их применение)
✅ Решению типовых задач системного администрирования
✅ Возможностям для профессионального роста

Ведущий: Дмитрий Семьянов — действующий специалист по пентесту, куратор курса «Основы Linux».

Не пропустите! 😎 Регистрация здесь.

🚀 Трудности с регистрацией? Пишите @Codeby_Academy

Пентест веб-приложений: 6 инструментов, с которых стоит начать

Хотите попробовать себя в роли пентестера и увидеть веб-сайты наизнанку? 👀 Тогда вам сюда.

Мы собрали 6 мощных и бесплатных инструментов, которые помогут перехватывать трафик, находить скрытые директории, взламывать формы авторизации и тестировать сайт на уязвимости — без лишней теории, только практика.

📌 В обзоре:
▪️Burp Suite и ZAP для анализа трафика и перехват запросов
▪️Nikto и Nuclei — быстрые сканеры уязвимостей
▪️sqlmap — автоматический поиск и эксплуатация SQL-инъекций
▪️dirsearch — брутфорс скрытых директорий

И бонус — практика на платформе hackerlab.pro, где вы сможете применить всё это в реальных сценариях 😎

➡️ Прочитайте статью — и узнайте, с чего начать путь в кибербез!

Foremost

Foremost — это консольная утилита для восстановления удалённых файлов, основанная на анализе заголовков и структуры данных. Она используется в криминалистике и для восстановления данных с дисков и флеш-накопителей, позволяя извлекать файлы даже из повреждённых или недоступных разделов.

💡Возможности:
⏺️Восстановление файлов
⏺️Поддержка форматов
⏺️Криминалистический анализ

📎Установка:

sudo apt-get install foremost

или из источника:

git clone https://salsa.debian.org/rul/foremost.git

cd foremost

📌Использование:
⏺️Восстановление данных с устройства:

foremost -i [/dev/sda0] -o [OUTPUT]

⏺️Фильтрация по типу файлов:

foremost -i [/dev/sda0] -o [OUTPUT] -t jpg,png

Друзья, напоминаем, на каких курсах начинается обучение в мае ⤵️

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»: 14 мая в 19:00 (МСК) 🔴Регистрация

Запись до 22 мая:
🌟Курс «OSINT: технология боевой разведки» — обновленный курс по лучшим практикам OSINT с Екатериной Тьюринг.
🌟Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин.
🌟Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках.

Запись до 29 мая:
🌟Курс «Основы Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes.

Старт 29 мая:
🌟Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directory в лаборатории на 30+ виртуальных машин.

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Группировка MirrorFace атакует японские организации, используя Windows Sandbox и Visual Studio Code для скрытного внедрения вредоносного ПО LilimRAT.

Как это работает?
🔸 Злоумышленники включают отключённую по умолчанию Windows Sandbox после взлома системы.
🔸 Через WSB-конфиг настраивают общие папки, сетевые подключения и автозапуск скриптов.
🔸 Windows Defender в Sandbox не работает, что позволяет скрытно запускать эксплоиты.

Новые угрозы после обновлений Windows 11:
✅ Фоновый запуск Sandbox через wsb.exe
✅ Возможность работы без WSB-файлов (меньше следов)
✅ Песочница не удаляется при закрытии окна — только через wsb.exe stop

Мониторинг процессов:
🔸WindowsSandbox.exe, wsb.exe, vmmemWindowsSandbox
🔸Сетевой трафик (Sandbox использует IP хоста).

🔴 Подробнее в статье

🟢 Протокол QUIC и его уязвимости

В современном мире скорость и безопасность — ключевые приоритеты. Именно поэтому Google разработал протокол QUIC (Quick UDP Internet Connections), который позже лег в основу HTTP/3. QUIC призван заменить устаревший TCP, предлагая более быструю и надежную передачу данных.

➡️ QUIC — это будущее интернета?

🟢 Быстрое установление соединения
TCP требует трехэтапного рукопожатия (SYN, SYN-ACK, ACK), что увеличивает задержку. QUIC использует UDP и сокращает этот процесс до одного обмена пакетами благодаря сохранению состояния соединения (включая криптографические ключи) между сеансами.

🟢 Встроенное шифрование
В отличие от TCP, где TLS — это отдельный уровень, QUIC шифрует все данные по умолчанию, включая метаданные. Это усложняет атаки, основанные на анализе трафика.

🟢 Устойчивость к потере пакетов
QUIC использует мультиплексирование потоков: если один пакет теряется, это не блокирует всю передачу (как в TCP), а влияет только на конкретный поток.

🟢 Миграция соединения без разрыва
Если вы переключаетесь с Wi-Fi на мобильный интернет, QUIC может продолжить соединение без повторного рукопожатия, так как идентификатор соединения привязан не к IP-адресу, а к криптографическому токену.

➡️ Как QUIC устроен изнутри?
QUIC работает поверх UDP (порт 443 по умолчанию), но добавляет свои механизмы:
🟢 Connection ID – уникальный идентификатор сессии, позволяющий возобновлять соединение при смене сети.
🟢 Packet Number – вместо последовательных номеров, как в TCP, QUIC использует независимую нумерацию для защиты от атак.
🟢 Frames – данные передаются в виде «фреймов» (STREAM, ACK, CRYPTO и др.), что делает протокол гибким.
🟢 0-RTT Handshake – возможность отправлять данные в первом же пакете при повторном соединении.

➡️ Уязвимости и проблемы QUIC
🟢 Атаки на 0-RTT
Режим 0-RTT (Zero Round-Trip Time) позволяет возобновлять сессию без повторного рукопожатия, но это делает QUIC уязвимым к повторным атакам (replay attacks). Злоумышленник может перехватить и повторно отправить зашифрованный пакет, что особенно опасно для финансовых операций.

🟢 Блокировка QUIC фаерволами
Поскольку QUIC работает поверх UDP, некоторые корпоративные и государственные фаерволы блокируют его, считая подозрительным. Это может приводить к отказу в обслуживании.

🟢 Проблемы с балансировкой нагрузки
Некоторые системы балансировки нагрузки плохо работают с QUIC, так как не всегда корректно обрабатывают Connection ID. Это может приводить к разрывам соединений.

🟢 Риски деанонимизации
Connection ID может использоваться для трекинга пользователей, даже если IP-адрес меняется (например, в VPN).

🟢 DDoS-атаки через UDP
UDP не требует подтверждения соединения, что делает QUIC потенциальной мишенью для усиленных DDoS-атак.

Кодебай, с Днём Победы! 😎

9 мая — это день, когда мы вспоминаем подвиг наших дедов и прадедов, которые отстояли свободу и независимость нашей Родины.

Мы чтим память тех, кто сражался на фронте, трудился в тылу и не жалея сил приближал Победу. Их мужество, стойкость и самоотверженность навсегда останутся в наших сердцах.

Пусть память о героях будет вечной, а их подвиг вдохновляет нас на мир и процветание! 🇷🇺

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — Мертвая точка

🔑 Категория Криптография — Сокровище 2
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Админ
🟠Разное - Бэкдор
🟠Стеганография - Найти и обезвредить

Приятного хакинга!

Pagodo: Автоматизированный Поиск Уязвимостей через Google Dorking

Pagodo – это инструмент, созданный для автоматизации Google Dorking (поисковых запросов, направленных на выявление конфиденциальной информации, уязвимостей и ошибочно опубликованных данных).

🫡 Что такое Google Dorking?

Google Dorking – это техника использования специальных поисковых запросов (dorks), которые позволяют находить на сайтах данные, не предназначенные для публичного просмотра. Это могут быть:
➡️ Файлы с паролями
➡️ Ошибочно открытые базы данных
➡️ Конфигурационные файлы
➡️ Уязвимые страницы веб-приложений

🖥 Как работает Pagodo?

Pagodo автоматизирует этот процесс, выполняя Google Dorks массово через поисковый API. Инструмент берет готовые списки запросов (например, из GHDB – Google Hacking Database) и автоматически отправляет их в Google, анализируя полученные результаты.

🔍 Ключевые возможности

➡️ Автоматизация – массовое выполнение Google Dork-запросов
➡️ Обход ограничений – работает с прокси и таймингами для предотвращения блокировки
➡️ Гибкость – возможность добавлять свои dorks и настраивать параметры поиска
➡️ Отчетность – удобный вывод результатов в CSV-файлы

Как использовать Pagodo?
1️⃣ Клонируйте репозиторий:

git clone https://github.com/opsdisk/pagodo.git
cd pagodo

2️⃣ Установите зависимости:

pip install -r requirements.txt

3️⃣ Запустите поиск с вашим API-ключом Google:

python3 pagodo.py -g <Google_API_Key> -c <Custom_Search_Engine_ID> -q dorks.txt

♥️ EmploLeaks — инструмент, разработанный для сбора информации из открытых источников, помогающий собирать данные о сотрудниках компании.

👀 Принцип работы
Выполняет поиск в LinkedIn для получения списка сотрудников компании, используя API или имитацию сессии. Затем ищет их личные адреса электронной почты с помощью профилей в социальных сетях и использует найденные адреса для проверки на наличие утекших паролей в индексированной базе данных COMB (Compilation of Many Breaches). В выводе предоставляет список сотрудников, профили в социальных сетяx, их email и утекшие пароли, если они есть.

👩‍💻 Установка
Для установки клонируем репозиторий, переходим в папку cli и устанавливаем зависимости. При установке может возникнуть проблема с библиотекой psycopg2-binary и решается с помощью отдельной её установки последней командой:

git clone https://github.com/infobyte/emploleaks
cd /emploleaks/cli
pip install -r requirements.txt
pip install psycopg2-binary

✏️Основное использование
⏺️Запускаем python3 emploleaks.py
⏺️Указываем плагин для работы с LinkedIn use --plugin linkedin
⏺️Устанавливаем учетные данные от нашего аккаунта или используем cookie:

setopt USER [email protected]
setopt PASS password

//or
setopt JSESSIONID id
setopt li-at li_at 

⏺️Устанавливаем сессию run login или run impersonate и приступаем к сбору данных run find CorpName

Для сопоставления электронных адресов сотрудников с потенциальными утечками паролей необходимо подключиться к базе данных и запустить скрипт:

connect --user myuser --passwd mypass123 --dbname mydbname --host 1.2.3.4
run_pyscript workflows/check_leaked_passwords.py EvilCorp

Для создания своей версии бд необходимо сначала скачать торрент-файл размером 400гб и импортировать скачанные файлы с помощью команды: create_db --dbname leakdb --user leakdb_user --passwd leakdb_pass --comb /home/user/Downloads/comb

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Реверс с нуля: как перестать бояться и начать взламывать программы»
🔴Регистрация

Друзья, ждем вас 15 мая, если вы:
▪️ Хотите разобраться в реверс-инжиниринге, но не знаете с чего начать
▪️ Боитесь сложных CTF-задач на реверс
▪️ Мечтаете научиться анализировать вредоносное ПО
▪️ Хотите понять, как работают программы под капотом

🔴 Тогда этот вебинар для вас! Регистрация

Все участники получат:
✅ PDF-гайд «Инструменты для реверса в CTF»
✅ Доступ к записи вебинара, общение с экспертом
✅ Подарок участникам — подробности на вебинаре!

Ведущий: Станислав Маркелов — эксперт по реверсу, призёр DrWeb CTF, автор CTF-задач.

Не пропустите! 😎 Регистрация здесь.

🚀 Трудности с регистрацией? Пишите @Codeby_Academy