Форум информационной безопасности - Codeby.net

Статья MuddyWater Operation Olalampo: эмуляция атаки через вредоносные макросы Office — Red Team playbook

  • 21
  • 0
Сгоревший контроллер USB-накопителя крупным планом на антистатическом коврике. Рядом распечатка обфусцированного VBA-кода с гравировкой названия уязвимости на корпусе.


🧨 MuddyWater (Mango Sandstorm) месяцами долбила одну энергетическую компанию тремя волнами Office-документов: VBA-макрос читает decimal-encoded PE из скрытого UserForm1.TextBox1, дропает CHAR-бэкдор на Rust с C2 через Telegram Bot API — и всё это без единого сетевого IOC классического C2.

Kill chain Operation Olalampo: spear phishing со скомпрометированного ящика → Workbook_Open() с anti-sandbox через вложенный цикл вместо Sleep() → decode payload из TextBox1 → drop на C:\Users\Public\ → execute. Три варианта дропперов: CHAR, GhostFetch, HTTP_VIP — последний ставит AnyDesk как легитимный RMM.

💡 SOC ищет C2-трафик — MuddyWater ходит через легитимный Telegram Bot API, невидимый для большинства proxy-политик.

Статья Verizon DBIR 2026: эксплуатация уязвимостей — вектор номер один и что с этим делать пентестеру

  • 16
  • 0
Распечатанная столбчатая диаграмма на кремовой бумаге с данными отчёта Verizon DBIR 2026. Рядом лежат латунное пресс-папье и перьевая ручка, мягкий дневной свет.


📡 Verizon DBIR 2026 зафиксировал: 31% утечек начинается с эксплуатации уязвимостей — CVE обогнала кражу учётных данных впервые за 19 лет. Автор получил shell через VPN-шлюз с KEV за три часа: Nuclei-шаблон, рабочий эксплоит, ноль фишинга.

Edge-устройства — главная точка входа 2026 года. T1595.002 → T1190: сканирование периметра, затем Exploit Public-Facing Application. Медианное время патчинга KEV выросло с 32 до 43 дней, доля закрытых KEV упала с 38% до 26%. 60–70% KEV открыты на 7-й день — это и есть рабочее окно.

DBIR вводит decay-кривую приоритизации: CVE с CVSS 9.8 без активности 14 месяцев опаснее на бумаге, чем CVE 7.5 с эксплуатацией на прошлой неделе.

💡 Брутфорс и credential stuffing тестируют вчерашнюю угрозу — реальный атакующий давно на периметре.

Статья Безопасность NHI в AI-агентах: attack paths, SIEM-detection и чеклист least privilege

  • 64
  • 0
Массивный латунный ключ лежит на тёмном антистатическом коврике. Его тень от янтарной лампы раскрывает скрытые зубцы, символизируя избыточные привилегии в системе.


🧠 Сервисный аккаунт LLM-агента с правами s3:* и iam:PassRole — токен не ротировался 9 месяцев. Одна prompt injection в LangChain-память, и атакующий получает полный доступ к продовой инфраструктуре финтех-компании.

AI-агент держит credentials в Redis-бэкенде memory-модуля, вызывает IAM API в runtime, плодит суб-агенты через AutoGen/CrewAI — и каждый несёт собственный набор токенов. MITRE T1528 через shared memory, T1552.005 через IMDS без ограничений, T1098.003 если есть iam:AttachRolePolicy.

💡 SOC видит валидный аккаунт из ожидаемой подсети — никакого impossible travel, никакого bruteforce. Только аномальный blast radius.

Статья Пентест промышленных роботов ICS: эксплуатация CVE-2026-8153 в Universal Robots PolyScope

  • 17
  • 0
Плата контроллера промышленного робота крупным планом на антистатическом мате. Выжженная дорожка у сетевого чипа, гравировка CVE-2026-8153 на радиаторе, синий светодиод в полутьме.


💣 CVE-2026-8153 в Universal Robots PolyScope 5: CVSS 9.8, порт 29999, ноль учётных данных — одна строка в TCP-сокет даёт RCE на Linux-контроллере кобота без единого пароля.

Dashboard Server принимает текстовые команды по TCP и передаёт ввод в shell без фильтрации метасимволов — CWE-78 в чистом виде. Netcat, точка с запятой, произвольная команда. Затронуты все PolyScope 5 < 5.25.1; CISA классифицирует: Automatable yes, Technical Impact total.

Скомпрометированный контроллер — плацдарм в OT-сегменте: флот коботов, ПЛК, HMI на плоской заводской сети без сегментации. Патч — PolyScope 5.25.1; до обновления: файрвол на 29999, изоляция OT-VLAN, аудит VPN-доступа подрядчиков по MITRE ATT&CK ICS T0886.

💡 EPSS всего 1.8% — но Automatable: yes и PR:N. Порог входа — Netcat.

Статья Атака на цепочку поставок GitHub: разбор кампании Megalodon и защита CI/CD-пайплайнов

  • 63
  • 0
Рабочий стол аналитика при дневном свете: монитор с выделенными строками коммита и заголовком MEGALODON, рядом распечатка CI/CD-схемы с обведённым узлом публикации пакета.


🧨 Кампания Megalodon: ~5700 вредоносных коммитов в публичные GitHub-репозитории за несколько часов — без взлома учёток, через d-PPE и скомпрометированные PAT-токены, собранные инфостилером.

Атакующие пушили напрямую в default branch, маскируя коммиты под рутину CI: `ci: add build optimization step`, авторы — `build-bot@github-ci.com`. Один отравленный проект привёл к публикации заражённого npm-пакета — мейнтейнер сам выполнил `npm publish` из скомпрометированного source tree. Техника по MITRE: T1195.002 + T1078, по OWASP — A08.

💡 CI-раннер хранит AWS keys, OIDC-токены и SSH-ключи одновременно — один вредоносный workflow ценнее месяца фишинга.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 821
Сообщения
347 275
Пользователи
161 761
Новый пользователь
tikelo