😊 Спасибо за ваши ответы!

🪲 Вредоносное ПО на Go

Благодаря возможности компилировать Go-программы в самодостаточные бинарные файлы для различных операционных систем и архитектур, злоумышленники чаще выбирают этот язык для создания мультиплатформенных угроз.

В частности, исследователи из Avast обнаружили два новых образца вредоносного ПО: Backdoorit и Caligula.

➖ Backdoorit представляет собой мультиплатформенный удалённый доступ (RAT), нацеленный на кражу файлов, связанных с Minecraft, а также проектов Visual Studio и IntelliJ.

Он поддерживает команды для загрузки произвольных файлов, установки другого вредоносного ПО и выполнения произвольных команд. Анализ кода указывает на возможное русскоязычное происхождение разработчика.

➖ Caligula — это IRC-бот, способный выполнять DDoS-атаки. Он написан на Go и распространяется в виде ELF-файлов, нацеленных на различные архитектуры процессоров, включая Intel 80386, ARM и PowerPC.

Caligula основан на открытом проекте Hellabot и использует его возможности для подключения к IRC-каналам и выполнения команд.

🖇 Источник

✏️ Что такое RAAS

Ransomware as a Service (RaaS) — это модель киберпреступного бизнеса, при которой разработчики программ-вымогателей создают вредоносное ПО и предоставляют его другим злоумышленникам на платной основе.

📌 Как работает RaaS?

• Готовые инструменты для создания и распространения программ-вымогателей предоставляются через даркнет.

• Злоумышленники платят за доступ к этим инструментам, либо передают часть полученного выкупа создателям.

RaaS позволяет даже лицам без технических навыков проводить такие атаки.

😱 Рост уязвимостей на 1025%

Компания Wallarm опубликовала отчёт «2025 API ThreatStats», в котором подчеркнула, что API стали основной поверхностью атак в сфере кибербезопасности.

Выводы отчёта:

➡️ Рост уязвимостей, связанных с ИИ: в 2024 году было зафиксировано 439 штук, что на 1 025% больше по сравнению с предыдущим годом.

➡️ Проблемы с аутентификацией и контролем доступа: 57% API на базе ИИ были доступны извне, и 89% из них полагались на небезопасные механизмы аутентификации.

➡️ Увеличение уязвимостей, связанных с API: более 50% уязвимостей, зарегистрированных в каталоге CISA KEV (Known Exploited Vulnerabilities Catalog), были связаны с API.

📎 Полный отчёт

🔒 Уязвимость браузеров

Исследовательская команда SquareX опубликовала статью, в которой подробно описала новую угрозу безопасности браузеров — Browser Syncjacking.

Эта атака позволяет злоумышленникам получить полный контроль над браузером и устройством жертвы посредством вредоносных расширений.

Механизм атаки:

1️⃣Установка вредоносного расширения: злоумышленник разрабатывает расширение с базовыми правами чтения и записи, публикует в официальном магазине Chrome,
а пользователь устанавливает это расширение, не подозревая о вредоносной природе.

2️⃣Угон профиля: расширение подключается к домену злоумышленника и получает учетные данные для входа в управляемый профиль Google Workspace.

Пользователь автоматически входит в этот профиль, что позволяет злоумышленнику применять политики, ослабляющие безопасность браузера.

3️⃣Синхронизация данных: злоумышленник модифицирует легитимную страницу поддержки Chrome, убеждая пользователя включить синхронизацию.

После синхронизации все локальные данные, включая пароли и историю браузера, становятся доступными злоумышленнику.

4️⃣Управление браузером и устройством:

Злоумышленник получает возможность устанавливать дополнительные расширения, перенаправлять пользователя на фишинговые сайты и отслеживать его действия.

Через механизм Native Messaging злоумышленник может выполнять команды на устройстве жертвы, получая полный контроль над системой.

🖇 Подробнее в статье

👨‍💻 Операция Phantom Circuit

В декабре 2024 года группа Lazarus из Северной Кореи запустила серию атак, нацеленную на разработчиков криптовалютных и технологических приложений.

Злоумышленники направляли трафик через прокси-серверы в Хасане, Россия, чтобы скрыть свое происхождение.

В ходе операции было скомпрометировано более 1500 систем по всему миру, включая сотни разработчиков в Индии и Бразилии.

📎 Подробнее про атаки #новость

⚙️ Практический разбор XSS и SQL инъекций

Короткое видео о том, как уязвимости, используемые в SQL-инъекциях и XSS, могут быть эксплуатированы злоумышленниками

👋 Привет, хакеры!

Какие небезопасные пароли вы использовали или слышали от коллег? Делитесь в комментариях👇

Не забудьте про логин 😄

#мем #интерактив

🔒 Что такое NDR

Network Detection and Response – это современный подход к мониторингу сетевой безопасности, который сочетает обнаружение угроз (Detection) и реагирование (Response).

В отличие от традиционных средств защиты, таких как антивирусы или файрволл, NDR анализирует сетевой трафик и выявляет аномалии в режиме реального времени.

Как работает NDR

1️⃣NDR-системы анализируют сырые данные о сетевом трафике: пакеты, метаданные, NetFlow, PCAP)

2️⃣NDR выявляет неизвестные атаки за счёт аномального поведения в сети

3️⃣Когда обнаруживается подозрительная активность, система автоматически блокирует вредоносный трафик или отправляет оповещение

Раньше термин NTA (Network Traffic Analysis) использовался для обозначения решений, анализирующих сетевой трафик. Но NTA – это только «обнаружение», а NDR добавляет еще и реакцию!

➡️ Подробнее в источнике

🔍 KICS – безопасность для Infrastructure as Code

Keeping Infrastructure as Code Secure (KICS)– это инструмент, предназначенный для автоматического сканирования инфраструктуры как кода (IaC) на наличие уязвимостей и ошибок конфигурации.

➖ Как работает KICS

KICS анализирует конфигурационные файлы Terraform, Kubernetes, Docker, CloudFormation, Ansible и выявляет потенциальные угрозы, такие как:

• Открытые порты или ненадёжные сетевые настройки

• Отсутствие аутентификации и некорректное управление доступом

• Использование небезопасных облачных сервисов и параметров

• Несоответствие стандартам безопасности: CIS, NIST, GDPR

➖ Как запустить KICS

Для сканирования достаточно выполнить команду:

docker run -v $(pwd):/path checkmarx/kics scan -p /path

➖ Ключевые особенности KICS

• Поддержка множества языков IaC: Terraform, Helm, JSON, YAML

• Интеграция в CI/CD-пайплайны: GitHub Actions, GitLab CI/CD, Jenkins.

• Быстрая установка и запуск — можно использовать через Docker или бинарный файл.

• Огромная база правил — более 2000 проверок на соответствие требованиям безопасности.

Ручной аудит конфигураций — это долго и дорого. KICS выполняет анализ автоматически, позволяя разработчикам сосредоточиться на создании кода

🐸Библиотека devops'a

⚒️ Vulnerability Lookup: инструмент для поиска уязвимостей

Vulnerability Lookup это open-source проект для быстрого поиска уязвимостей из разных источников, сравнивать их, получать обновления и управлять процессом раскрытия уязвимостей.

Ключевые возможности

➖ Быстрый поиск уязвимостей по разным базам данных: CVE, NVD, GitHub Advisory и другие

➖ API для интеграции с другими системами безопасности

➖ Импорт данных из разных источников для единой аналитики

➖ Создание и редактирование уведомлений о новых угрозах

➖ Поддержка RSS/Atom для автоматического получения обновлений

Чем быстрее вы узнаете об уязвимости, тем выше шанс предотвратить атаку. Подключите Vulnerability Lookup к своему процессу и будьте в курсе всех потенциальных угроз.

📎 Репозиторий проекта на GitHub

🐍 tcpdump + Python: продвинутый анализ трафика

В мониторинге безопасности сети важно уметь перехватывать, фильтровать и анализировать трафик.

📡 Что такое tcpdump?

tcpdump — это консольный сниффер, который захватывает сетевые пакеты в реальном времени. Работает на уровне PCAP и позволяет фильтровать трафик по ключевым параметрам.

➖ Основные команды tcpdump

• Захват трафика на интерфейсе eth0.

tcpdump -i eth0

• Фильтрация трафика HTTPS на 443 порту

tcpdump -i eth0 -n port 443

• Просмотр SSH-трафика от конкретного IP.

tcpdump -i eth0 -nn 'src 192.168.1.1 and dst port 22'

В связке с Python tcpdump превращается в гибкое средство выявления угроз и автоматизации анализа.

📌 Пример автоматического анализа TCP-пакетов с Scapy

from scapy.all import *

def packet_callback(packet):
    if packet.haslayer(TCP):
        print(f"[*] TCP-пакет: {packet[IP].src} -> {packet[IP].dst} | Порт: {packet[TCP].dport}")

sniff(prn=packet_callback, filter="tcp", store=0)

Этот скрипт перехватывает TCP-трафик в реальном времени и выводит отправителя, получателя и порт.

➡️ Подробности и примеры в статье

Делимся актуалочкой от партнеров:

Специалисты остановили попытки использовать deepseek для атак 🔎

Злоумышленник, создавший учетную запись bvk в июне 2023 года и до этого не проявлявший активность, 29 января 2025 года зарегистрировал вредоносные пакеты deepseeek и deepseekai. Первыми обнаружили и предотвратили атаку специалисты Positive Technologies.

После установки и запуска регистрируемой консольной команды, пакеты собирают, информацию о пользователе, его компьютере и крадут переменные окружения. Они особенно ценны тем, что в них могут содержаться конфиденциальные сведения. Например, данные доступа к объектному хранилищу S3 или другим ресурсам инфраструктуры.

Примечательно, что вредоносный код был создан с использованием ИИ-ассистента, о чем свидетельствуют характерные комментарии.

Несмотря на быструю реакцию и удаление пакетов, их успели скачать более 200 раз.

💬 Сообщения, которые никто не заметит

StegCloak – это инструмент, который позволяет скрывать информацию в обычном тексте с использованием невидимых символов Unicode.

➖ Как это работает

StegCloak берет ваше сообщение, шифрует его с AES-256, а затем внедряет в текст, используя специальные невидимые символы. В результате текст выглядит обычно, но внутри содержит зашифрованный секрет.

➖ Где это может применяться?

• Передача конфиденциальных данных без явных следов.

• Стеганография в мессенджерах и социальных сетях

• Скрытая маркировка документов.

• Кибербезопасность и исследования приватности.

Вы можете использовать его через CLI, API или веб-интерфейс.

📎 Официальный репозиторий проекта