Наконец-то добрался до новости, о которой собирался написать ещё на прошлой неделе. В CSO Online вышла занимательная статья, которая задаёт определенный вектор дискуссии применении ИИ-технологий в кибербезопасности. Авторами выступили такие именитые эксперты, как Брюс Шнайер (гуру криптографии), Хизер Адкинс (вице-президент по инженерной безопасности в Google и глава Google’s Office of Cybersecurity Resilience) и Гади Эврон (CEO компании Knostic, AI security market leader).
Эксперты пишут, что
....После входа в систему жертва встречается с чат-ботом на базе искусственного интеллекта, предназначенным для автоматизации общения и оказания психологического давления [на жертву]...
— сообщается в летнем отчёте Picus.
Любопытные факты:
⏳Временной лаг. Временное окно между обнаружением уязвимости и ее исправлением практически исчезает. Уже сейчас ИИ-агенты способны сократить время на исследование, создание и эксплуатацию эксплойта до нескольких минут, а в некоторых случаях даже до секунд.
Наблюдается так называемая
В совокупности вышеописанные два фактора создают угрозу в контексте
Параллельно с развитием наступательных систем ускоряется эволюция защиты, и даже вводится понятие
👆Если прислушаться к авторитетному мнению экспертов, то мы потенциально приближаемся к сингулярности в сфере кибератак. Рубикон ещё не пройден, но всё впереди...
Примечательно, что у 👮DARPA (пресс-релиз от 8 августа 2025 года) приводит интересную цифру:
Please open Telegram to view this post
VIEW IN TELEGRAM
В связи с чем ChatGPT, может не подозревая, копировать вредоносную ссылку в буфер и сам перенаправить тебя на фишинговый сайт.
Вывод — не доверяй ИИ на автопилоте
@overbafer1
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Leantime
Leantime — это open source система управления проектами, ориентированная на пользователей без опыта в проектном менеджменте.
Система включает функции управления задачами, проектные панели, отслеживание целей и интеграцию с такими сервисами, как Slack и Discord.
https://github.com/Leanwww.tgoop.com/leanwww.tgoop.com/
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Leantime — это open source система управления проектами, ориентированная на пользователей без опыта в проектном менеджменте.
Система включает функции управления задачами, проектные панели, отслеживание целей и интеграцию с такими сервисами, как Slack и Discord.
https://github.com/Leanwww.tgoop.com/leanwww.tgoop.com/
================
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
GitDiagram
GitDiagram — это сервис, который преобразует репозитории GitHub в интерактивные диаграммы всего за несколько секунд.
Сервис предлагает мгновенную визуализацию структуры репозитория, интерактивность с возможностью перехода к исходным файлам, а также поддержку кастомизации и публичный API для интеграции.
https://github.com/ahmedkhaleel2004/gitdiagram/
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
GitDiagram — это сервис, который преобразует репозитории GitHub в интерактивные диаграммы всего за несколько секунд.
Сервис предлагает мгновенную визуализацию структуры репозитория, интерактивность с возможностью перехода к исходным файлам, а также поддержку кастомизации и публичный API для интеграции.
https://github.com/ahmedkhaleel2004/gitdiagram/
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Не так давно вышла новая мажорная версия «яблочной» операционной системы — iOS 26, и эксперты по кибербезопасности уже заметили важное изменение — оно может осложнить расследования атак с использованием шпионского софта вроде Pegasus и Predator.
Специалисты компании iVerify, занимающейся анализом устройств iPhone, сообщили, что в новой версии iOS изменён способ работы с системным файлом shutdown.log.
Shutdown.log — журнал, который раньше хранил данные о работе устройства, включая признаки взлома.
Please open Telegram to view this post
VIEW IN TELEGRAM
DDos-Deflate — это утилита для Linux, предназначенная для защиты серверов от DDoS атак, основанная на блокировке адресов, с которых поступают подозрительные запросы.
Она использует простую и эффективную методику обнаружения и блокировки IP-адресов, генерирующих аномально высокий уровень трафика.
— DDos-Deflate автоматически отслеживает активность сети и может блокировать IP-адреса, которые превышают заданные пороги нагрузки.
#DDoS #Linux #NetworkDefense
Please open Telegram to view this post
VIEW IN TELEGRAM
— Обнаруженная специалистами вредоносная модификация Telegram полнофункциональной платформой для скрытого захвата учётной записи пользователя и управления её действиями
С его помощью злоумышленники также могут управлять подписками на каналы, присоединяться к чатам и контролировать другие функции Telegram от имени жертвы
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
SharpShooter — это мощный фреймворк, разработанный для использования в тестировании на проникновение Windows-систем.
Он позволяет создавать и разрабатывать различные эксплойты, используя техники, направленные на выполнение удаленного кода через уязвимости в приложениях.
— SharpShooter предлагает функциональность для создания malicious payloads, что позволяет проводить анализ систем с разных сторон.
Этот инструмент также может быть использован для генерации шаблонов, которые помогут в создании собственных атакующих методов, предоставляя возможность глубокого анализа уязвимостей и поведения системы под нагрузкой.
#Pentesting #Windows #Exploit #RedTeam
Please open Telegram to view this post
VIEW IN TELEGRAM
• Жизненный цикл операционных систем исчисляется годами, а их поколений - десятилетиями. Так, семейство Unix считается долгожителем в мире IT-технологий: первые версии этой ОС появились в лабораториях Bell Labs еще в конце 60-х. Однако существует (и до сих пор развивается) как минимум еще одна серверная операционная система, которую вполне можно назвать «сверстником динозавров»: OpenVMS родилась 25 октября 1977 года и вчера ей исполнилось 48 лет!
• Эта ОС разрабатывалась корпорацией DEC для компьютеров серии VAX-11/780, и называлась ранее VAX/VMS, что расшифровывалось как Virtual Address eXtension/Virtual Memory System. Как следует из этого названия, VAX/VMS представляла собой многопользовательскую, основанную на виртуальной памяти операционную систему, работавшую по принципу разделения времени.
• Операционная система изначально была рассчитана на работу в сети: поддерживался удаленный вход в систему, доступ к файлам, принтерам и общим папкам, причем компьютеры под управлением VAX/VMS могли подключаться как к Ethernet, так и к сети собственного стандарта, разработанного в DEC - DECnet. Если в сети присутствовали машины под управлением других ОС, например, MS-DOS, OS/2 или Windows, они могли подключаться к сети DEC с помощью платного приложения PathWorks.
• DEC разработала несколько дистрибутивов своей операционной системы - MicroVMS для ЭВМ MicroVAX, и Desktop-VMS для персональных компьютеров VAXstation. Позже ОС была переписана для архитектуры DEC Alpha, и в апреле 1988 года из ее названия исчезла приставка «VAX». Примерно в тот же период DEC передала дальнейшую разработку ОС в отдельное подразделение, которое вскоре стало самостоятельной компанией VMS Software Inc. В ноябре 1992 года к наименованию добавили слово «Оpen», после чего система обрела свое современное имя - OpenVMS.
• В 2001 году компания Compaq объявила о переносе OpenVMS на платформу Intel Itanium, и в 2003 году была анонсирована первая версия этой ОС для рабочих станций HP i2000. Вскоре начались работы по портированию системы на архитектуру x86-64 с целью устанавливать ее на серверах HP и Dell, а также запускать на гипервизорах. О поддержке VMware было объявлено в 2020 году, а Hyper-V был описан как будущая цель. В 2021 году была продемонстрирована работа порта x86-64 на одноплатном компьютере на базе Intel Atom.
• Изначально OpenVMS использовала интерфейс с командной строкой, но уже начиная с версии Desktop-VMS, то есть, с 1984 года она стала использовать проприетарную систему с оконным графическим интерфейсом собственной разработки DEC. В 1989 году DEC заменила ее новой оконной системой на основе X11 под названием DECwindows.
• OpenVMS до сих пор используется в банках, больницах и учреждениях здравоохранения, на промышленных предприятиях и в дата-центрах операторов связи. В 2000-х годах во всем мире действовало около полумиллиона систем под управлением OpenVMS, сейчас их число кратно уменьшилось, но, тем не менее, ОС всё еще используется во многих организациях по всему миру...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥 Репозиторий: SharpShooter — фреймворк для анализа и тестирования Windows
SharpShooter — это мощный фреймворк, разработанный для использования в тестировании на проникновение Windows-систем.
Он позволяет создавать и разрабатывать различные эксплойты, используя техники, направленные на выполнение удаленного кода через уязвимости в приложениях.
— SharpShooter предлагает функциональность для создания malicious payloads, что позволяет проводить анализ систем с разных сторон.
Инструмент также может быть использован для генерации шаблонов, которые помогут в создании собственных атакующих методов, предоставляя возможность глубокого анализа уязвимостей и поведения системы под нагрузкой.
⏺ Ссылка на GitHub (https://github.com/mdsecactivebreach/SharpShooter?ysclid=mh7o4um87f418067419)
#Pentesting #Windows #Exploit #RedTeam
@hackernews_lib
SharpShooter — это мощный фреймворк, разработанный для использования в тестировании на проникновение Windows-систем.
Он позволяет создавать и разрабатывать различные эксплойты, используя техники, направленные на выполнение удаленного кода через уязвимости в приложениях.
— SharpShooter предлагает функциональность для создания malicious payloads, что позволяет проводить анализ систем с разных сторон.
Инструмент также может быть использован для генерации шаблонов, которые помогут в создании собственных атакующих методов, предоставляя возможность глубокого анализа уязвимостей и поведения системы под нагрузкой.
⏺ Ссылка на GitHub (https://github.com/mdsecactivebreach/SharpShooter?ysclid=mh7o4um87f418067419)
#Pentesting #Windows #Exploit #RedTeam
@hackernews_lib
GTFOBins — это каталог бинарных файлов и скриптов, которые можно использовать для обхода ограничений в системе
— Каждая страница в GTFOBins описывает, как посредством стандартного функционала той или иной программы выходить из ограниченных шеллов, escalate привилегии, запускать реверс-шеллы, передавать файлы.
Ресурс будет полезен тестировщикам на проникновение, игрокам в CTF и красным командам.
#Pentesting #Linux #PrivilegeEscalation
Please open Telegram to view this post
VIEW IN TELEGRAM
В 🇷🇺России зафиксирован двукратный рост числа детей, ставших жертвами 🦹🏼♂️кибермошенников в 2025 году
С начала 2025 года количество несовершеннолетних, пострадавших от действий кибермошенников, увеличилось на 120%. Об этом сообщили в управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. В ведомстве отмечают, что динамика вызывает серьёзную тревогу и требует срочной реакции как со стороны специалистов, так и со стороны родителей.
По информации правоохранительных органов, преступники всё чаще используют приёмы социальной инженерии, адаптируя схемы под возрастные особенности детей. Подростки становятся целью манипулятивных сообщений, фальшивых розыгрышей, поддельных акций и предложений, оформленных с учётом детской доверчивости и интересов. Речь идёт не только о потерянных суммах, но и о психологическом давлении, которому подвергаются юные пользователи.
В МВД говорят, что дети зачастую не осознают уровень угрозы и могут скрывать факт общения с мошенниками из страха или чувства вины. В результате преступники получают доступ к банковским картам родителей, аккаунтам в онлайн-играх или данным из приложений, где хранятся деньги. Часто жертвы сами совершают переводы, считая, что помогают другу или участвуют в «важном квесте».
Представители МВД отмечают, что цифровая безопасность детей невозможна без вовлечённости взрослых. В ведомстве напоминают, что главное условие защиты — доверительные отношения в семье. Родители должны быть в курсе того, чем интересуется ребёнок в интернете, с кем он общается, во что играет и какие платформы посещает.
Эксперты советуют родителям не только контролировать, но и участвовать в цифровой жизни подростков. Это может быть совместный просмотр видео, обсуждение любимых блогеров, участие в онлайн-играх. Такой подход формирует культуру открытости, при которой ребёнок не боится сообщить о странном сообщении или подозрительной просьбе, например, отправить фотографию или совершить перевод.
Адвокат и эксперт Национального антикоррупционного комитета Игорь Баранов заявил, что рост киберпреступлений против несовершеннолетних требует немедленного реагирования. По его словам, необходимо активнее обучать детей правилам цифровой безопасности и рассказывать о схемах обмана. Он отметил, что важна совместная работа правоохранителей и школ по информированию подростков о рисках в интернете. Баранов также подчеркнул, что стоит ужесточить уголовную ответственность за киберпреступления против детей, чтобы государство обеспечило их полноценную защиту.
Эксперт StopPhish Алина Ледяева отметила, что дети остаются самой уязвимой аудиторией для онлайн-мошенников, поскольку их легче вовлечь в обман. Она подчеркнула, что цифровая грамотность должна формироваться с раннего возраста — в семье и школе. По её мнению, понимание принципов онлайн-безопасности помогает ребёнку избежать манипуляций и сохраняет устойчивость к угрозам во взрослой жизни. Ледяева добавила, что осведомлённость — универсальный инструмент против кибератак для людей любого возраста.
Руководитель департамента киберразведки компании «Бастион» Константин Ларин заявил, что злоумышленники всё чаще нацеливаются на детей из-за их доверчивости и недостатка цифровой осмотрительности. Он пояснил, что психологическое давление в таких ситуациях наносит больший вред, чем материальные потери. Константин Ларин отметил, что технические меры защиты неэффективны без участия родителей в онлайн-жизни детей. По его словам, доверительные отношения между родителем и ребёнком — главный фактор безопасности в сети.
🔗 Другие новости про хакеров, мошенников, утечки и ИБ можно прочитать здесь.
С начала 2025 года количество несовершеннолетних, пострадавших от действий кибермошенников, увеличилось на 120%. Об этом сообщили в управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. В ведомстве отмечают, что динамика вызывает серьёзную тревогу и требует срочной реакции как со стороны специалистов, так и со стороны родителей.
По информации правоохранительных органов, преступники всё чаще используют приёмы социальной инженерии, адаптируя схемы под возрастные особенности детей. Подростки становятся целью манипулятивных сообщений, фальшивых розыгрышей, поддельных акций и предложений, оформленных с учётом детской доверчивости и интересов. Речь идёт не только о потерянных суммах, но и о психологическом давлении, которому подвергаются юные пользователи.
В МВД говорят, что дети зачастую не осознают уровень угрозы и могут скрывать факт общения с мошенниками из страха или чувства вины. В результате преступники получают доступ к банковским картам родителей, аккаунтам в онлайн-играх или данным из приложений, где хранятся деньги. Часто жертвы сами совершают переводы, считая, что помогают другу или участвуют в «важном квесте».
Представители МВД отмечают, что цифровая безопасность детей невозможна без вовлечённости взрослых. В ведомстве напоминают, что главное условие защиты — доверительные отношения в семье. Родители должны быть в курсе того, чем интересуется ребёнок в интернете, с кем он общается, во что играет и какие платформы посещает.
Эксперты советуют родителям не только контролировать, но и участвовать в цифровой жизни подростков. Это может быть совместный просмотр видео, обсуждение любимых блогеров, участие в онлайн-играх. Такой подход формирует культуру открытости, при которой ребёнок не боится сообщить о странном сообщении или подозрительной просьбе, например, отправить фотографию или совершить перевод.
Адвокат и эксперт Национального антикоррупционного комитета Игорь Баранов заявил, что рост киберпреступлений против несовершеннолетних требует немедленного реагирования. По его словам, необходимо активнее обучать детей правилам цифровой безопасности и рассказывать о схемах обмана. Он отметил, что важна совместная работа правоохранителей и школ по информированию подростков о рисках в интернете. Баранов также подчеркнул, что стоит ужесточить уголовную ответственность за киберпреступления против детей, чтобы государство обеспечило их полноценную защиту.
Эксперт StopPhish Алина Ледяева отметила, что дети остаются самой уязвимой аудиторией для онлайн-мошенников, поскольку их легче вовлечь в обман. Она подчеркнула, что цифровая грамотность должна формироваться с раннего возраста — в семье и школе. По её мнению, понимание принципов онлайн-безопасности помогает ребёнку избежать манипуляций и сохраняет устойчивость к угрозам во взрослой жизни. Ледяева добавила, что осведомлённость — универсальный инструмент против кибератак для людей любого возраста.
Руководитель департамента киберразведки компании «Бастион» Константин Ларин заявил, что злоумышленники всё чаще нацеливаются на детей из-за их доверчивости и недостатка цифровой осмотрительности. Он пояснил, что психологическое давление в таких ситуациях наносит больший вред, чем материальные потери. Константин Ларин отметил, что технические меры защиты неэффективны без участия родителей в онлайн-жизни детей. По его словам, доверительные отношения между родителем и ребёнком — главный фактор безопасности в сети.
🔗 Другие новости про хакеров, мошенников, утечки и ИБ можно прочитать здесь.
Forwarded from Пост Лукацкого
Gartner выпустил новый магический квадрат 🟥 по SIEM, в котором произошли некоторые изменений по сравнению с прошлым годом не только с точки зрения мест участников, но и с точки зрения закрепившихся тенденций:
6️⃣ Современные решения должны быть SaaS и облачными, хотя еще не так давно идея передачи данных безопасности в облако вызывала споры, но сегодня стала практически само собой разумеющейся.
2️⃣ SIEM и SOAR слились. Последние еще встречаются как самостоятельные решения, но в контексте SIEM 2025 и далее годов SIEM это уже связка с SOAR.
3️⃣ UEBA (User & Entity Behavior Analytics) "поглощена" основным стеком обнаружения. Раньше UEBA была звездой машинного обучения и отдельной платформой у ряда вендоров, а теперь – просто еще одна функция внутри SIEM.
4️⃣ ИИ пока не показывает значительного эффекта, чтобы быть отраженным в магическом квадрате, который больше фокусируется на отзывах клиентов, которым пока важны именно базовый функционал – масштабирование, эффективное обнаружение, быстрое реагирование и т.п.
#siem #средствазащиты #тенденции
#siem #средствазащиты #тенденции
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Flint
Flint — это компактный инструмент управления KVM, который объединяет веб-интерфейс, CLI и API, предназначенный для разработчиков и администраторов.
Flint обеспечивает высокую эффективность и легкость работы на Linux с установленными libvirt и qemu-kvm.
Решение предлагает многоуровневую защиту, удобный интерфейс на основе Next.js и Tailwind, а также полную автоматизацию процессов.
https://github.com/volantvm/flint/
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Flint — это компактный инструмент управления KVM, который объединяет веб-интерфейс, CLI и API, предназначенный для разработчиков и администраторов.
Flint обеспечивает высокую эффективность и легкость работы на Linux с установленными libvirt и qemu-kvm.
Решение предлагает многоуровневую защиту, удобный интерфейс на основе Next.js и Tailwind, а также полную автоматизацию процессов.
https://github.com/volantvm/flint/
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Как пишут специалисты компании, подобные программы стоят миллионы долларов, используются для шпионажа, а защищены обычно на высшем уровне — поймать их за работой или найти следы вмешательства практически невозможно.
В марте 2025 года «Лаборатория Касперского» выявила волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Единственным действием, которое требовалось от пользователя, было открыть ссылку в Chrome или другом браузере на базе Chromium.
Все ссылки были персонализированными и имели очень короткий срок жизни. Тем не менее, технологиям «Лаборатории Касперского» удалось идентифицировать
Проблема была исправлена как CVE-2025-2783.
Мы назвали эту кампанию операцией «Форумный тролль», поскольку злоумышленники маскировали персонализированные фишинговые письма под приглашения на научно-экспертный форум «Примаковские чтения». Целями были СМИ, университеты, научно-исследовательские центры, государственные, финансовые и прочие организации в России. Судя по функциональности доставляемого вредоносного ПО, основной целью кампании был кибершпионаж.
— cчитают эксперты.
Анализируя арсенал злоумышленников, команда Kaspersky GReAT обнаружила ранее неизвестное вредоносное ПО, которое удалось идентифицировать как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs, ранее известной как Hacking Team.
Дальнейший анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
Заключение:
В этот раз мы хотим сделать не один, а сразу три вывода.
1) DuplicateHandle — это опасная API-функция. Если процесс привилегированный, и пользователь может передать ему дескриптор, необходимо отвечать ошибкой, если вместо дескриптора передается псевдодескриптор.
2) Атрибуция — самая сложная часть анализа вредоносного ПО и разведки киберугроз, но она же доставляет больше всего удовлетворения, когда все кусочки пазла ложатся на свои места. Если в детстве вы мечтали стать детективом и разгадывать тайны (как Шерлок Холмс, мисс Марпл, Коломбо, Скуби-Ду и ребята из Mystery Inc.), аналитика угроз может быть подходящей работой для вас!
3) В 2019 году новый владелец Hacking Team заявил, что хочет поменять абсолютно все и начать с чистого листа. Это потребовало время, но к 2022 году практически все продукты Hacking Team были переделаны. Возможно, теперь, когда Dante обнаружен, пора опять начинать с нуля?
— тонко подмечают
https://securelist.ru/forumtroll-apt-hacking-team-dante-spyware/113890
И ещё у
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
MITRE выпустила новую версию матрицы ATT&CK v18 (тут и тут), в которой было сделано немало изменений, касающихся обнаружения техник и тактик. В частности: ✍️
1️⃣ Проведена полная "перестройка" раздела обнаружения (detection). ATT&CK ввела два новых объекта – Detection Strategies и Analytics, а также переработала модель связей между техниками, аналитикой и источниками телеметрии (Data Components). Это переводит рекомендации по обнаружению из "коротких заметок" в структурированные стратегии с платформенно-настраиваемой аналитикой. Рабочая среда Workbench (позволяет добавлять собственные объекты) уже поддерживает Detection Strategies; для интеграций доступны STIX-примеры и схемы совместимости.
2️⃣ Новые объекты/структуры телеметрии. Log Sources теперь встроены в Data Components (т.е. изменился способ описания, что именно нужно собирать), что делает привязку техники → стратегия → конкретная аналитика → телеметрия более модульной и машинно-дружественной.
3️⃣ Расширение покрытия Enterprise/Cloud/DevOps/Кубернетес/CI-CD и баз данных. Добавлены 14 новых техник, отражающих реальные атаки на контейнеры, Kubernetes API, конвейер CI/CD, облачные СУБД и т.п. Много изменений в уже существующих объектах матрицы.
4️⃣ Предложенная реструктуризация тактики Defense Evasion (бета-версия). MITRE предлагает разделить Defense Evasion на две тактики – Stealth (скрываться/искажать видимую картину) и Impair Defenses (активно саботировать средства защиты). При этом ряд техник будут перенесены в другие тактики (например, некоторые элементы – в Persistence или Privilege Escalation), а некоторые – удалены или переработаны. Это крупная архитектурная смена, которая может повлиять на модели сопоставления и метрики.
5️⃣ CTI (Groups / Software / Campaigns) – много нового по угрозам. Новая версия добавляет новые хакерские группы, кампании и ПО (например, 8 новых групп и ~33 новых программных семейств, 5 кампаний – на цепочки поставок, атаки на роутеры/виртуализацию и усилении активности северокорейских и китайских хакеров). Примеры: Medusa, Embargo/Qilin, RedLine Stealer и др.
6️⃣ Мобильная и ICS-части тоже обновлены. Мобильный профиль дополнили техниками, отражающими злоупотребления мессенджерами (Signal/WhatsApp) и усилением методов кражи учетных записей; в ICS расширили модель активов и связанных активов для лучшего соответствия отраслевой терминологии.
7️⃣ Запуск ATT&CK Advisory Council для формализации обратной связи сообщества и уже началось планирование версии v19.
#mitre #ttp #framework
#mitre #ttp #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
— Эта инструкция посвящена программе, которая умеет собирать хэндшейки и PMKID от всех точек доступа
Программа может работать в полностью автономном режиме:
#PMKID #Network //
Please open Telegram to view this post
VIEW IN TELEGRAM
Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
NETSCOUT
ASERT Threat Summary: Aisuru and Related TurboMirai Botnet DDoS Attack Mitigation and Suppression—October 2025—v1.0 | NETSCOUT
This document is intended for general public distribution. Note that it is marked TLP: CLEAR.