Форум информационной безопасности - Codeby.net

Статья Username OSINT деанонимизация: workflow атрибуции через 290+ платформ

  • 213
  • 0
Граф атрибуции личности на кремовой бумаге с узловой схемой связей между платформами. Перьевая ручка лежит поверх листа в мягком оконном свете.


🕵️ Maigret сканирует 2500+ платформ за 10 минут — но 75% вторжений в 2024 году (CrowdStrike) начались с валидных учёток, не эксплойтов. Username OSINT по MITRE T1589 закрывает пропасть между никнеймом на форуме и реальной личностью.

Workflow строится в пять этапов: username scan через maigret -a --timeout 15, email discovery из публичных профилей, breach lookup, cross-platform корреляция по аватару и geo-паттернам, финальная атрибуция через два независимых канала. Sherlock (~400 платформ) даёт false positives на сайтах с HTTP 200 на любой запрос — maigret проверяет body content точнее.

💡 Compartmentalization убивает username-корреляцию полностью — уникальный ник на каждой платформе делает T1589 бесполезным.

Статья MuddyWater Operation Olalampo: эмуляция атаки через вредоносные макросы Office — Red Team playbook

  • 102
  • 0
Сгоревший контроллер USB-накопителя крупным планом на антистатическом коврике. Рядом распечатка обфусцированного VBA-кода с гравировкой названия уязвимости на корпусе.


🧨 MuddyWater (Mango Sandstorm) месяцами долбила одну энергетическую компанию тремя волнами Office-документов: VBA-макрос читает decimal-encoded PE из скрытого UserForm1.TextBox1, дропает CHAR-бэкдор на Rust с C2 через Telegram Bot API — и всё это без единого сетевого IOC классического C2.

Kill chain Operation Olalampo: spear phishing со скомпрометированного ящика → Workbook_Open() с anti-sandbox через вложенный цикл вместо Sleep() → decode payload из TextBox1 → drop на C:\Users\Public\ → execute. Три варианта дропперов: CHAR, GhostFetch, HTTP_VIP — последний ставит AnyDesk как легитимный RMM.

💡 SOC ищет C2-трафик — MuddyWater ходит через легитимный Telegram Bot API, невидимый для большинства proxy-политик.

Статья Verizon DBIR 2026: эксплуатация уязвимостей — вектор номер один и что с этим делать пентестеру

  • 202
  • 0
Распечатанная столбчатая диаграмма на кремовой бумаге с данными отчёта Verizon DBIR 2026. Рядом лежат латунное пресс-папье и перьевая ручка, мягкий дневной свет.


📡 Verizon DBIR 2026 зафиксировал: 31% утечек начинается с эксплуатации уязвимостей — CVE обогнала кражу учётных данных впервые за 19 лет. Автор получил shell через VPN-шлюз с KEV за три часа: Nuclei-шаблон, рабочий эксплоит, ноль фишинга.

Edge-устройства — главная точка входа 2026 года. T1595.002 → T1190: сканирование периметра, затем Exploit Public-Facing Application. Медианное время патчинга KEV выросло с 32 до 43 дней, доля закрытых KEV упала с 38% до 26%. 60–70% KEV открыты на 7-й день — это и есть рабочее окно.

DBIR вводит decay-кривую приоритизации: CVE с CVSS 9.8 без активности 14 месяцев опаснее на бумаге, чем CVE 7.5 с эксплуатацией на прошлой неделе.

💡 Брутфорс и credential stuffing тестируют вчерашнюю угрозу — реальный атакующий давно на периметре.

Статья Безопасность NHI в AI-агентах: attack paths, SIEM-detection и чеклист least privilege

  • 225
  • 0
Массивный латунный ключ лежит на тёмном антистатическом коврике. Его тень от янтарной лампы раскрывает скрытые зубцы, символизируя избыточные привилегии в системе.


🧠 Сервисный аккаунт LLM-агента с правами s3:* и iam:PassRole — токен не ротировался 9 месяцев. Одна prompt injection в LangChain-память, и атакующий получает полный доступ к продовой инфраструктуре финтех-компании.

AI-агент держит credentials в Redis-бэкенде memory-модуля, вызывает IAM API в runtime, плодит суб-агенты через AutoGen/CrewAI — и каждый несёт собственный набор токенов. MITRE T1528 через shared memory, T1552.005 через IMDS без ограничений, T1098.003 если есть iam:AttachRolePolicy.

💡 SOC видит валидный аккаунт из ожидаемой подсети — никакого impossible travel, никакого bruteforce. Только аномальный blast radius.

Статья Пентест промышленных роботов ICS: эксплуатация CVE-2026-8153 в Universal Robots PolyScope

  • 29
  • 0
Плата контроллера промышленного робота крупным планом на антистатическом мате. Выжженная дорожка у сетевого чипа, гравировка CVE-2026-8153 на радиаторе, синий светодиод в полутьме.


💣 CVE-2026-8153 в Universal Robots PolyScope 5: CVSS 9.8, порт 29999, ноль учётных данных — одна строка в TCP-сокет даёт RCE на Linux-контроллере кобота без единого пароля.

Dashboard Server принимает текстовые команды по TCP и передаёт ввод в shell без фильтрации метасимволов — CWE-78 в чистом виде. Netcat, точка с запятой, произвольная команда. Затронуты все PolyScope 5 < 5.25.1; CISA классифицирует: Automatable yes, Technical Impact total.

Скомпрометированный контроллер — плацдарм в OT-сегменте: флот коботов, ПЛК, HMI на плоской заводской сети без сегментации. Патч — PolyScope 5.25.1; до обновления: файрвол на 29999, изоляция OT-VLAN, аудит VPN-доступа подрядчиков по MITRE ATT&CK ICS T0886.

💡 EPSS всего 1.8% — но Automatable: yes и PR:N. Порог входа — Netcat.

Статья Атака на цепочку поставок GitHub: разбор кампании Megalodon и защита CI/CD-пайплайнов

  • 225
  • 0
Рабочий стол аналитика при дневном свете: монитор с выделенными строками коммита и заголовком MEGALODON, рядом распечатка CI/CD-схемы с обведённым узлом публикации пакета.


🧨 Кампания Megalodon: ~5700 вредоносных коммитов в публичные GitHub-репозитории за несколько часов — без взлома учёток, через d-PPE и скомпрометированные PAT-токены, собранные инфостилером.

Атакующие пушили напрямую в default branch, маскируя коммиты под рутину CI: `ci: add build optimization step`, авторы — `build-bot@github-ci.com`. Один отравленный проект привёл к публикации заражённого npm-пакета — мейнтейнер сам выполнил `npm publish` из скомпрометированного source tree. Техника по MITRE: T1195.002 + T1078, по OWASP — A08.

💡 CI-раннер хранит AWS keys, OIDC-токены и SSH-ключи одновременно — один вредоносный workflow ценнее месяца фишинга.

Статья CVE-2026-20223 в Cisco Secure Workload: обход аутентификации REST API и методология тестирования

  • 317
  • 0
Сетевая карта Cisco крупным планом на антистатическом коврике, луч лампы освещает разъём и отладочные контакты. Гравировка на радиаторе: «CVE-2026-20223 · NO AUTH · CVSS 10.0».


🔐 CVE-2026-20223 в Cisco Secure Workload получила CVSS 10.0: один HTTP-запрос без токена авторизации — и атакующий читает конфигурацию ЦОД и меняет политики микросегментации с привилегиями Site Admin через границы тенантов.

CWE-306 в чистом виде — middleware-слой проверки токенов отсутствовал на внутренних REST API эндпоинтах. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: эксплуатация удалённая, без учётных данных, без действий жертвы. Scope:Changed — кросс-тенантный доступ выводит это за рамки обычного auth bypass.

💡 Платформа микросегментации сама не сегментирует доступ к своему API — SOC ищет угрозы внутри ЦОД, пока контроль над периметром уже потерян.

Статья UNC1549 иранская APT кампания 2026: Job Lure, облачный C2 и detection для SOC

  • 308
  • 0
Крупный план вскрытого сетевого модуля на чёрном антистатическом коврике: обгоревший чип с следами взлома, щуп логического анализатора на контакте.


🕵️ UNC1549 (Screening Serpens) развернула шесть RAT-вариантов за шесть недель: Job Lure под авиакомпанию, C2 через Azure, AppDomainManager hijacking — и ни одного стандартного алерта в SOC.

Цепочка начинается с ZIP-архива «Hiring Portal» с реальными Job ID и PDF-вакансиями. Setup.exe показывает поддельную ошибку, пока в фоне идёт DLL sideloading. Затем — .config-файл с кастомным AppDomainManager: CLR грузит вредоносную сборку до старта основного кода. Это не zero-day — это документированный механизм .NET против самого приложения.

💡 SOC видит чистые логи — AppDomainManager hijacking работает внутри CLR, не касаясь Windows Event Log.

Статья vm2 sandbox escape: разбор трёх критических побегов CVSS 10.0 в Node.js

  • 315
  • 0
Крупный план платы с вскрытым экранированием и перебитым шлейфом. Выжженный чип с гравировкой кода уязвимости под лупой на чёрном антистатическом коврике.


💣 vm2 sandbox escape: три CVE с CVSS 10.0 — утечка host Object, prototype pollution через bridge proxy и инъекция в BaseHandler.getPrototypeOf дают полный RCE на хосте из Node.js-песочницы.

CVE-2026-43997, CVE-2026-44005 и CVE-2026-44006 — три фундаментально разных примитива побега. Первый эксплуатирует Symbol(nodejs.util.inspect.custom) для получения прямой ссылки на host Object, затем два шага по цепочке obj.constructor.constructor до произвольного кода. Второй загрязняет прототип через bridge proxy. Третий бьёт в BaseHandler.getPrototypeOf.

vm2 строит изоляцию целиком в userland JavaScript — без V8 Isolates и OS-примитивов.

💡 Библиотека deprecated с 2023-го — но качается миллион раз в неделю. Ваш AI-агент, скорее всего, тоже.

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 302
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 836
Сообщения
347 313
Пользователи
161 813
Новый пользователь
samelovdraug-byte