Forwarded from Похек
Делаем LLM-honeypot и ловим на нее криптоджекеров
#LLM #honeypot #blue_team #Cryptojacking #ThreatHunting
Принес вам LLM-honeypot от Beelzebub для ловли криптоджекеров. Это простая SSH-ловушка, которая вместо статичных шаблонов отвечает атакующему правдоподобным текстом, сгенерированным LLM. Благодаря этому поведение сервера выглядит естественно, оператор получает правдоподобные ответы на команды и логи всех фейковых сессий.
Базовая структура ловушки на YALM:
Особенности конфигурации:
SSH-протокол (один из самых частых векторов атак) + нестандартный порт 2222 (снижает шум от сканеров).
regex: "^(.+)$" — перехватывает любую введенную команду/строку и отправляет в LLM-плагин.
serverVersion/serverName — эмуляция баннера/имени хоста, которые увидит криптоджекер при подключении.
passwordRegex — заранее прописанные намеренно слабые пары usernames/passwords.
deadlineTimeoutSeconds — при простое более 120 секунд сессия разрывается.
параметры plugin — интеграция с LLM OpenAI, в частности — gpt-4o + ключ для подключения.
plugin можно расписать подробнее. Например, добавить температуру ответов temperature и обеспечить контекстный диалог (историю команд) через contextMemory для улучшенной генерации. Функциональность на ваше усмотрение.
С этой ловушкой Beelzebub тщательно записали ход сессии криптоджекера: разведка хоста (uname, uptime, nproc), проверка GPU (lspci, nvidia-smi), сбор данных о CPU/сети, попытки обеспечить персистентность и убрать конкурентов (chpasswd, pkill xmrig|cnrig|kswapd0 и т.п.), скачивание и запуск установочного скрипта через curl … | bash. В описываемом примере скрипт настраивал xmrig для майнинга Monero и подключался к пулу C3Pool.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#LLM #honeypot #blue_team #Cryptojacking #ThreatHunting
Принес вам LLM-honeypot от Beelzebub для ловли криптоджекеров. Это простая SSH-ловушка, которая вместо статичных шаблонов отвечает атакующему правдоподобным текстом, сгенерированным LLM. Благодаря этому поведение сервера выглядит естественно, оператор получает правдоподобные ответы на команды и логи всех фейковых сессий.
Базовая структура ловушки на YALM:
apiVersion: "v1"
protocol: "ssh"
address: ":2222"
description: "SSH LLM Honeypot"
commands:
- regex: "^(.+)$"
plugin: "LLMHoneypot"
serverVersion: "OpenSSH"
serverName: "ubuntu"
passwordRegex: "^(root|qwerty|Smoker666|123456|jenkins|minecraft|sinus|alex|postgres|Ly123456)$"
deadlineTimeoutSeconds: 120
plugin:
llmProvider: "openai"
llmModel: "gpt-4o"
openAISecretKey: "sk-proj-1234567890"
Особенности конфигурации:
SSH-протокол (один из самых частых векторов атак) + нестандартный порт 2222 (снижает шум от сканеров).
regex: "^(.+)$" — перехватывает любую введенную команду/строку и отправляет в LLM-плагин.
serverVersion/serverName — эмуляция баннера/имени хоста, которые увидит криптоджекер при подключении.
passwordRegex — заранее прописанные намеренно слабые пары usernames/passwords.
deadlineTimeoutSeconds — при простое более 120 секунд сессия разрывается.
параметры plugin — интеграция с LLM OpenAI, в частности — gpt-4o + ключ для подключения.
plugin можно расписать подробнее. Например, добавить температуру ответов temperature и обеспечить контекстный диалог (историю команд) через contextMemory для улучшенной генерации. Функциональность на ваше усмотрение.
С этой ловушкой Beelzebub тщательно записали ход сессии криптоджекера: разведка хоста (uname, uptime, nproc), проверка GPU (lspci, nvidia-smi), сбор данных о CPU/сети, попытки обеспечить персистентность и убрать конкурентов (chpasswd, pkill xmrig|cnrig|kswapd0 и т.п.), скачивание и запуск установочного скрипта через curl … | bash. В описываемом примере скрипт настраивал xmrig для майнинга Monero и подключался к пулу C3Pool.
Please open Telegram to view this post
VIEW IN TELEGRAM
Споры на тему «что лучше для пентеста» уходят корнями в старые холивары, но в 2025 году выбор всё ещё зависит не от логотипа, а от задач.
Kali — это привычный «стандарт де-факто» с мощной экосистемой и широким пулом учебных материалов.
Parrot — более лёгкий и аккуратный к приватности дистрибутив, который можно использовать как «ежедневную систему», не жертвуя инструментарием безопасности.
— В данной статье мы подробно разберем дистрибутивы для тестирования на проникновение, сравним их философию и подход к изоляции.
Please open Telegram to view this post
VIEW IN TELEGRAM
— Американское агентство CISA добавило в каталог известных эксплуатируемых уязвимостей критическую ошибку в Adobe Experience Manager, указав на подтверждённые продолжающиеся атаки
Речь о 10 по CVSS – ошибке конфигурации CVE-2025-54253, которая даёт возможность выполнять произвольный код
Проблему подробно описали Адам Кьюз и Шубхам Шах из Searchlight Cyber – они показали, что изъян складывается в цепочку обхода аутентификации и удалённого выполнения команд через devmode фреймворка Struts2
Ключевая причина – оставленный без защиты servlet /adminui/debug: он принимает введённые пользователем выражения OGNL и интерпретирует их как Java-код, не требуя входа и не проверяя ввод.
⚠️ По замечанию FireCompass, такая точка входа позволяет провести атаку одним специально сформированным HTTP-запросом
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CryptOVER - Хозяин блокчейна
В результате — устройство заражается стиллерами, а сам вирус не удалить и не заблокировать, потому что он живёт прямо в блокчейне.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Telegram SSH Bot
Telegram SSH Bot — это бот для Telegram, позволяющий выполнять заданные команды на выбранном хосте в вашей домашней сети и возвращать результат их выполнения. Бот не устанавливает постоянного соединения с удалённым хостом, что позволяет выполнять команды асинхронно.
Бот также предлагает комбинированный доступ с использованием ключа и пароля, обработку ошибок и сохранение переменных.
https://github.com/Lifailon/ssh-bot
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Telegram SSH Bot — это бот для Telegram, позволяющий выполнять заданные команды на выбранном хосте в вашей домашней сети и возвращать результат их выполнения. Бот не устанавливает постоянного соединения с удалённым хостом, что позволяет выполнять команды асинхронно.
Бот также предлагает комбинированный доступ с использованием ключа и пароля, обработку ошибок и сохранение переменных.
https://github.com/Lifailon/ssh-bot
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Заключённые Румынской тюрьмы в Тыргу-Жиу взломали внутреннюю платформу ANP и в течение нескольких месяцев незаметно управляли данными о сроках, переводах средств и условиях содержания.
Осуждённый за киберпреступления временно оказался в тюремной больнице города Деж. Там он запомнил логин и пароль сотрудника с административными правами.
Вернувшись в своё учреждение, он использовал эти данные для входа в терминалы, подключённые к внутренней сети.
— Получив полный доступ к системе IMSweb, хакер подключался к ней почти ежедневно, в общей сложности более 300 часов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Никогда такого не было и вот снова... Либо кто-то хочет вбросить "супротив" и это просто фейк, либо... 😂 У ООО "Коммуникационная платформа" есть сутки на то, чтобы уведомить РКН о произошедшем и потом еще чуть-чуть времени, чтобы представить детали инцидента или доказать, что это фейк Ⓜ️
Главное, чтобы сам РКН не поторопился заявить, что факт утечки не подтвердился, как это было в кейсе с Аэрофлотом, когда через день после выступления уполномоченного органа хакеры выложили в паблик медицинские данные пилотов и бортпроводников🚰 Еще и НКЦКИ надо уведомить, так как ООО, владеющее MAXом, подпадает под определение субъекта КИИ, как обеспечивающее взаимодействие между иными субъектами КИИ.
Если утечка подтвердится, а оператором ПДн для MAXа числится у нас💬 , то это уже, как минимум, будет вторая утечка персданных у компании и... будет ли применена норма по оборотному штрафу, вопрошает все прогрессивное DPO-комьюнити ❓
Но, признаюсь честно, мне почему-то кажется, что будет принято решение все отрицать, как, например, было принято решение, что ООО "Коммуникационная платформа" - не организатор распространения информации (да-да, вот такой вот пердимонокль). А это забьет очередной гвоздь в крышку гроба под названием "адекватная защита прав субъектов ПДн в России". Когда государство само демонстрирует, что есть те, "кто ровнее перед законом", то все его потуги по выстраиванию правильного процесса обречены на неудачу🤔
ЗЫ. Утекло 46203590 строк персональных данных!
ЗЗЫ. Упоминание salesforce смущает, но думаю, имеется ввиду не SFDC, а просто внутренняя CRM... Ибо если там до сих пор облачная зарубежная Salesforce применяется...😲
#утечка #мессенджер #персональныеданные данные
Главное, чтобы сам РКН не поторопился заявить, что факт утечки не подтвердился, как это было в кейсе с Аэрофлотом, когда через день после выступления уполномоченного органа хакеры выложили в паблик медицинские данные пилотов и бортпроводников
Если утечка подтвердится, а оператором ПДн для MAXа числится у нас
Но, признаюсь честно, мне почему-то кажется, что будет принято решение все отрицать, как, например, было принято решение, что ООО "Коммуникационная платформа" - не организатор распространения информации (да-да, вот такой вот пердимонокль). А это забьет очередной гвоздь в крышку гроба под названием "адекватная защита прав субъектов ПДн в России". Когда государство само демонстрирует, что есть те, "кто ровнее перед законом", то все его потуги по выстраиванию правильного процесса обречены на неудачу
ЗЫ. Утекло 46203590 строк персональных данных!
ЗЗЫ. Упоминание salesforce смущает, но думаю, имеется ввиду не SFDC, а просто внутренняя CRM... Ибо если там до сих пор облачная зарубежная Salesforce применяется...
#утечка #мессенджер #персональныеданные данные
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from True OSINT
В даркнете выставили на продажу базу данных пользователей мессенджера MAX.
Продавец утверждает, что в его распоряжении находится более 46,2 млн записей, а также что у него сохраняется VPN-доступ к Salesforce и другим внутренним системам сервиса.
В качестве подтверждения он опубликовал небольшую выборку (sample) данных.
Актуальность - 19.10.2025
Состав
▪️ID
▪️ФИО
▪️Телефон
▪️Статус активации на Госуслугах
▪️ID номер на Госуслугах
#утечка #max #госуслуги #vk
Продавец утверждает, что в его распоряжении находится более 46,2 млн записей, а также что у него сохраняется VPN-доступ к Salesforce и другим внутренним системам сервиса.
В качестве подтверждения он опубликовал небольшую выборку (sample) данных.
Актуальность - 19.10.2025
Состав
▪️ID
▪️ФИО
▪️Телефон
▪️Статус активации на Госуслугах
▪️ID номер на Госуслугах
#утечка #max #госуслуги #vk
• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
#ИБ #Пентест #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Эксперты Google Threat Intelligence зафиксировали, что северокорейская хакерская группа UNC5342 начала применять новую технику под названием EtherHiding.
С её помощью вредоносный код размещается в смарт-контрактах на блокчейнах Ethereum и BNB Smart Chain.
Вместо привычных серверов злоумышленники используют публичные блокчейны: скрипт на заражённом сайте обращается к смарт-контракту и получает из него вредоносный модуль без видимых транзакций.
Это делает атаку практически не поддающейся неотслеживнию.
Please open Telegram to view this post
VIEW IN TELEGRAM
🕰 Китай заявил, что АНБ США захватило контроль над их временем.
🇨🇳 Китайское Минбезопасности заявило, что агенты АНБ атаковали Национальный центр службы времени, через который синхронизируются все финансы, связь и даже космические запуски.
📱 По версии ведомства, всё началось ещё в 2022-м году:
через уязвимость в SMS-сервисе одного зарубежного бренда шпионы получили доступ к смартфонам сотрудников, их данным и сетям.
🥷 А в 2023–2024 годах — уже залезли во внутренние системы центра и попытались захватить систему эталонного времени Китая.
😐 Китай утверждает, что если бы атака прошла успешно — могла начаться цепная реакция: сбои связи, падение банков, транспортный коллапс и даже фейл запусков ракет и спутников.
😏 Получается, США мало просто “контролировать нефть и доллар” —
теперь они хотят контролировать само время?
@overlamer1
через уязвимость в SMS-сервисе одного зарубежного бренда шпионы получили доступ к смартфонам сотрудников, их данным и сетям.
теперь они хотят контролировать само время?
@overlamer1
Please open Telegram to view this post
VIEW IN TELEGRAM
Европол закрыл сеть SIM-ферм, обслуживавшую 49 млн фейковых аккаунтов по всему миру
Европейские правоохранительные органы провели операцию SIMCARTEL, в рамках которой ликвидировали сеть SIM-ферм, операторы которой управляли 1200 SIM-боксами с 40 000 SIM-карт. Такие телефонные номера использовались для фишинга, инвестиционного мошенничества, вымогательства и других преступных операций.
https://xakep.ru/2025/10/20/simcartel/
Европейские правоохранительные органы провели операцию SIMCARTEL, в рамках которой ликвидировали сеть SIM-ферм, операторы которой управляли 1200 SIM-боксами с 40 000 SIM-карт. Такие телефонные номера использовались для фишинга, инвестиционного мошенничества, вымогательства и других преступных операций.
https://xakep.ru/2025/10/20/simcartel/
PoC Released for Linux-PAM Vulnerability Enabling Local Root Privilege Escalation
https://gbhackers.com/poc-released-for-linux-pam-flaw/
https://gbhackers.com/poc-released-for-linux-pam-flaw/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
PoC Released for Linux-PAM Vulnerability Enabling Local Root Privilege Escalation
A new proof-of-concept (PoC) has been released for a serious vulnerability tracked as CVE-2025-8941, affecting the Pluggable Authentication Modules (PAM) used across Linux distributions.
— В данной статье мы рассмотрим, как обойти проверку SSL-сертификатов в скомпилированных приложениях Go.
Эта задача часто возникает при анализе безопасности и перехвате HTTPS-запросов, когда нет доступа к исходному коду.
Мы рассмотрим способы изменения бинарника для отключения проверки сертификатов, а также автоматизацию этого процесса с помощью Python-скрипта.
#SLL #HTTPS #Python //
Please open Telegram to view this post
VIEW IN TELEGRAM
Бэкдор CAPI нацелен на российский автомобильный сектор и электронную коммерцию
Исследователи из компании Seqrite Labs обнаружили новую вредоносную кампанию, которая предположительно нацелена на российский автомобильный сектор и e-commerce. В своих атаках злоумышленники используют ранее неизвестную .NET-малварь под названием CAPI.
https://xakep.ru/2025/10/20/capi/
Исследователи из компании Seqrite Labs обнаружили новую вредоносную кампанию, которая предположительно нацелена на российский автомобильный сектор и e-commerce. В своих атаках злоумышленники используют ранее неизвестную .NET-малварь под названием CAPI.
https://xakep.ru/2025/10/20/capi/
• Автор книги "Сети глазами хакера" выкатил объемное исследование о безопасности протокола Kerberos. Обнаружение атак на основе анализа сетевого трафика:
➡️ https://caster0x00.com/parallax/
• Дополнительно:
➡ Kerberos простыми (нет) словами - очень объемная и содержательная статья про работу Kerberos.
➡ Kerberos для пентестеров - это целый цикл статей, где автор попытался разобрать, как в теории устроен протокол Kerberos и какие атаки с его использованием можно осуществить на практике в Active Directory. Также будут приведены некоторые рекомендации по противодействию рассматриваемым атакам.
#Kerberos #Security
• Дополнительно:
#Kerberos #Security
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
ProxyChains-NG – это программа для перенаправления TCP-трафика существующих динамически связанных программ через один или несколько прокси-серверов (SOCKS или HTTP)
Некоторые особенности программы:
⏺ Поддержка различных опций построения цепочки прокси: можно выбрать случайный порядок из списка, точный порядок или динамический порядок (исключение из цепи мёртвых прокси);
⏺ Возможность смешивать разные типы прокси в одной цепи: например, «ваш_хост» <—> socks5 <—> http <—> socks4 <—> целевой_хост;
⏺ Работа с большинством программных TCP-клиентов: возможно использование с сетевыми сканерами, если они используют функциональность стандарта libc;
⏺ Поддержка платформ: Linux, BSD, Mac.
— Это продолжение больше не поддерживаемого проекта proxychains: в ней содержаться многочисленные исправления ошибок и некоторые улучшения
#Proxy #Network #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM