🛡 Grype — Утилита для сканирования уязвимостей в контейнерах и пакетах

Grype — это мощный инструмент от Anchore, предназначенный для поиска известных уязвимостей (CVE) в контейнерных образах, директориях, пакетах и файлах SBOM (Software Bill of Materials). Grype поддерживает большое количество форматов и интеграций: Docker, OCI-образы, файлы .tar, .sbom, .spdx, .cyclonedx и многое другое.

⬇️Установка утилиты
Через curl (Linux/macOS):

curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr/local/bin

Через Homebrew (macOS):

brew tap anchore/grype
brew install grype

1️⃣ Сканирование образа
Простой анализ уязвимостей в Docker-образе:

grype ubuntu:20.04

Grype сам загрузит образ (если он локально не найден), проанализирует установленные пакеты и выведет список известных уязвимостей с указанием:
⏺️ CVE-идентификатора
⏺️ Уровня серьезности (Low, Medium, High, Critical)
⏺️ Пакета и его версии
⏺️ Доступного фикс-патча (если есть)

2️⃣ Сканирование директорий и файлов
Можно сканировать локальные директории или .tar-архивы:

grype dir:/path/to/project
grype oci-archive:path/to/image.tar

3️⃣ Работа с SBOM
Grype может сканировать SBOM файлы (в формате Syft, CycloneDX, SPDX):

grype sbom:my-app.spdx.json

Или сгенерировать SBOM отдельно через Syft и передать его Grype:

syft ubuntu:20.04 -o spdx-json > sbom.json
grype sbom:sbom.json

4️⃣ Вывод в различных форматах
Grype поддерживает вывод в разных форматах:

grype ubuntu:20.04 -o json         # JSON
grype ubuntu:20.04 -o table        # Таблица
grype ubuntu:20.04 -o cyclonedx    # CycloneDX SBOM + CVE

Хакеры из GreedyBear заразили браузеры 150 программами для кражи криптовалют

📌Хакерская группировка GreedyBear использовала сотни фальшивых расширений браузеров, вредоносных программ и поддельных сайтов для кражи криптовалют как минимум на $1 млн. Они вывели хищение монет на новый, промышленный уровень, заявили эксперты Koi Security.

📕 Как это работало?
Участники группировки разместили более 150 расширений для браузера Firefox, маскирующихся под популярные криптокошельки — MetaMask, TronLink, Exodus, Rabby. Сначала расширения выглядели безвредными, проходили проверку и получали искусственно созданные положительные отзывы. После программы превращались в инструменты кражи — вводимые пользователями данные криптокошельков захватывались и отправлялись на сервер злоумышленников, сообщили специалисты по безопасности. В качестве третьего метода атак преступники использовали сеть поддельных сайтов, имитирующие сервисы цифровых кошельков, устройства для холодного хранения или услуг по ремонту аппаратных кошельков (Trezor). Визуально сайты выглядели как безопасные лендинг-страницы, но служили лишь для сбора данных пользователей, пояснили в Koi Security.

🚩 Kuban CTF: соревнования начались!

Всем участникам желаем удачи и ярких эмоций ❤️

➡️ Подключайся: https://kubanctf2025.ru/
———————————————
Следить за ходом соревнований без регистрации можно по ссылке: https://kubanctf2025.ru/scoreboard

❗️Обратите внимание: скоринг динамический
- первые решившие получают максимум (1000 баллов).
- чем больше успешных решений, тем меньше награда
- после 50 решений ценность фиксируется на минимуме — 900 баллов

👮 Интерпол арестовал +1200 киберпреступников в 18 африканских странах в результате глобальной операции "Серенгети 2.0"

🚩 На прошлой неделе Интерпол объявил о задержании 1209 киберпреступников из африканских стран, которые нанесли ущерб 88 000 людям.
"В результате операции было возвращено 97,4 млн. долларов США и ликвидировано 11 432 вредоносных инфраструктур, что подчеркнуло глобальный масштаб киберпреступности и острую необходимость в трансграничном сотрудничестве", - заявил Интерпол.

👮‍♂️ Операция «Серенгети 2.0» (июнь-август 2025 года) объединила следователей из 18 африканских стран и Великобритании для борьбы с киберпреступлениями, наносящими значительный ущерб и оказывающими серьёзное воздействие, включая программы-вымогатели, онлайн-мошенничество и взлом корпоративной электронной почты. Также отмечается, что российская организация "Лаборатория Касперского" принимала участие в данной операции, поставляя индикаторы компрометации.

📍Findomain

Одно из быстрых и полных решений для распознавания доменов, поддерживающее как прямой поиск по домену, так и использование API-сервисов. Findomain предлагает мониторинг поддоменов, включающий фаззинг, сканирование портов, обнаружение уязвимостей и многое другое.

Для работы используется Certificate Transparency и проверенные API для поиска поддоменов. Использует общедоступные API для выполнения поиска (Certspotter, Crt.sh Database, Virustotal, Sublist3r, Facebook, Bufferover, Threatcrowd, AnubisDB, Urlscan.io, SecurityTrails, Threatminer, C99, CTSearch). Для работы некоторых API необходимо создать токен доступа.

Для установки клонируем из репозитория, собираем инструмент и копируем его в директорию /usr/bin/ для удобного запуска.

git clone https://github.com/findomain/findomain.git
cd findomain
cargo build --release
sudo cp target/release/findomain /usr/bin/

ℹ️Характеристики
⏺️Мониторинг поддоменов: отправка данных в Discord, Slack или Telegram.
⏺️Многопоточная поддержка запросов к API позволяет сократить максимальное время, которое Findomain тратит на поиск поддоменов для любой цели, до 15 секунд (в случае превышения времени ожидания API).
⏺️Параллельная поддержка разрешения поддоменов при хороших сетевых условиях позволяет разрешать около 3500 субдоменов в минуту.
⏺️Поддержка DNS через TLS, специальных запросов IPv4 или IPv6 и возвращение IP-адресов в ответах.
⏺️Запись в один уникальный выходной файл, указанный пользователем всех или только разрешенных поддоменов.
⏺️Возможность прямого запроса к базе данных Findomain.
⏺️Возможность импортировать и обрабатывать данные, полученные с помощью других инструментов.
⏺️Обнаружение подстановочных знаков в поддоменах для получения точных результатов.
⏺️Поддержка обнаружения поддоменов методом перебора.
⏺️Поддержка файлов конфигурации в форматах TOML, JSON, HJSON, INI или YAML.

⬇️Примеры использования
Сохранение всех результатов в автоматически созданный файл.

findomain -t example.com -o

Вывод поддоменов, в которых содержится подстрока "login".

findomain -t example.com --filter login

Резолв поддоменов из файла и вывод только тех, что резолвятся с IP.

findomain -x -f subdomains.txt -r -i

Скриншот активных HTTP(S) поддоменов.

findomain -t example.com -s ./screenshots/

TInjA: современный инструмент для тестирования веб-безопасности

TInjA — это инструмент, включённый в дистрибутив Kali Linux, который претерпел значительные изменения. В версии v1.2.0+ он переориентирован на веб-тестирование и более не поддерживает прямой анализ IoT-устройств и прошивок, как это было ранее.

🤩 Новые возможности инструмента
- Обнаружение уязвимостей в веб-приложениях (XSS, инъекции)
- Проверка на клиентские шаблонные инъекции (CSTI)
- Сканирование с кастомными HTTP-заголовками
- Поддержка работы через прокси
- Генерация отчётов в JSON-формате

🔹Установка
Поскольку TInjA входит в состав Kali Linux, его можно установить командой:

sudo apt update && sudo apt install tinja

Проверяем:

tinja --help

🔹Сканирование веб-интерфейса устройства

tinja url -u https://192.168.1.100

Проверяет веб-интерфейс на наличие уязвимостей

🔹Пакетное сканирование URL

tinja raw -R targets.txt

Где targets.txt содержит список URL (по одному на строку)

🔹Проверка с кастомными заголовками

tinja url -u https://example.com -H "Authorization: Basic YWRtaW46YWRtaW4="

⬇️Полезные флаги
--useragentchrome - использование Chrome User-Agent
--csti - проверка шаблонных инъекций
--timeout - установка таймаута (сек)
--reportpath - сохранение отчёта

‼️Важные предупреждения

- Используйте TInjA только для тестирования систем, на которые имеете право тестировать
- Некоторые проверки могут вызывать отказ в обслуживании
- Для IoT-тестирования используйте специализированные инструменты

Уязвимость MadeYouReset в протоколе HTTP/2 позволяет проводить масштабные DDoS-атаки. Исследователи из компаний Imperva и Deepness Lab обнаружили новую критическую уязвимость в протоколе HTTP/2 и присвоили ей идентификатор CVE-2025-8671. Обнаружена 13 августа 2025 года.

Уязвимость MadeYouReset представляет собой усовершенствованную версию разрушительной атаки Rapid Reset, которая была обнаружена в 2023 году и считалась крупнейшей DDoS-атакой на тот момент.

📕 Предыстория
Уязвимость Rapid Reset связана с тем, как HTTP/2 управляет жизненным циклом потоков. Клиент быстро открывает и закрывает потоки с помощью кадров RST_STREAM. Особенность заключается в том, что сервер интерпретирует эти сбросы как завершение работы потока и освобождения ресурсов, включая счётчик активных потоков, который ограничивает количество одновременных запросов от клиента. Фактически же поток остается задействованным, то есть сервер продолжает обрабатывать данные и очищать память, хотя логически он считался завершённым.

Это создаёт лазейку: сервер считает, что у него достаточно ресурсов для обработки большего количества потоков, и продолжает принимать новые, увеличивая нагрузку на ресурсы. Массовое повторение этого цикла может привести к перегрузке даже самой отказоустойчивой инфраструктуры.

✍️ Принцип работы новой атаки
Атака использует встроенные в HTTP/2 механизмы параллельной обработки данных, позволяя злоумышленникам создавать практически неограниченную параллельную работу на серверах, обходя встроенное ограничение параллельной обработки данных в HTTP/2.

1️⃣Злоумышленник начинает со стандартного установления соединения по HTTP/2 и открытия нескольких потоков. Вместо использования RST_STREAM злоумышленник отправляет корректные по структуре, но логически некорректные последовательности кадров, которые нарушают правила протокола.

2️⃣Каждый из таких примитивов по-разному нарушает спецификацию HTTP/2, и в соответствии с RFC 9113 сервер должен отвечать кадром RST_STREAM при обнаружении ошибки PROTOCOL_ERROR. При этом количество потоков может формально оставаться меньше лимита, хотя на самом деле сервер продолжает обрабатывать значительное число активных потоков. Это приводит к чрезмерной нагрузке на процессор и память, что в конечном счёте вызывает полный отказ в обслуживании.

В отличие от традиционных атак типа отказа в обслуживании, требующих значительных ресурсов, MadeYouReset позволяет злоумышленникам добиться максимального сбоя в работе системы с минимальными усилиями со стороны атакующего.

❗️Выявлено, что уязвимость MadeYouReset затрагивает несколько широко используемых реализаций HTTP/2 серверов, в том числе Netty, Jetty, Apache Tomcat, IBM WebSphere и BIG-IP.

🛡 Рекомендации по защите
⏺️более строгая проверка протокола;
⏺️применение жёсткого отслеживания состояний потоков для
⏺️блокировки некорректных переходов;
⏺️внедрение ограничений скорости на уровне соединений;
⏺️использование систем обнаружения аномалий и поведенческого мониторинга.

🪄 Pixiewps

Утилита для подбора пароля к защищенной сети Wi-Fi оффлайн. Написана на языке C и используется для автоматического подбора PIN-кода WPS с использованием низкой или отсутствующей энтропии в некоторых программных реализациях (атака Pixie Dust, обнаруженная Домиником Бонгаром в 2014 году).

В отличие от традиционной онлайн-атаки методом перебора, реализованной в таких инструментах, как Reaver или Bully, которые позволяют восстановить PIN-код за несколько часов, этот метод позволяет получить PIN-код всего за секунды или минуты, в зависимости от цели, если она уязвима.

Pixie Dust — офлайновая атака на WPS PIN. WPS — это функция, упрощающая подключение к Wi-Fi. Некоторые чипсеты (особенно от Broadcom и Ralink) используют недостаточно случайные числа (или вообще фиксированные) при генерации криптографических параметров в WPS, что позволяет рассчитать WPS PIN мгновенно, без перебора всех 10⁷ вариантов.

Как проходит атака
1️⃣Злоумышленник запускает WPS handshake с точкой доступа. Использует утилиту (например, Reaver) для захвата Public Key, Nonce и других параметров, отправленных точкой доступа.
2️⃣Если точка доступа уязвима:
⏺️Утилита офлайн высчитывает WPS PIN.
⏺️Получает WPA-PSK пароль Wi-Fi.

🍽 Установка

git clone https://github.com/wiire/pixiewps 
#OR
wget https://github.com/wiire/pixiewps/archive/master.zip && unzip master.zip
cd pixiewps/
make
sudo make install

✏️ Примеры использования
Базовый вызов для проведения Pixie Dust-атаки.

pixiewps -e 1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF -r ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890 -s AABBCCDDEEFF11223344556677889900AABBCCDDEEFF11223344556677889900 -z 11223344556677889900AABBCCDDEEFF11223344556677889900AABBCCDDEEFF -a 99887766554433221100FFEEDDCCBBAA99887766554433221100FFEEDDCCBBAA -n 0102030405060708090A0B0C0D0E0F10

Все параметры передаваемые в флагах (-e, -r, -s, -z, -a, -n) являются значениями, полученными с помощью инструмента Reaver или Bully во время WPS-сессии.

Вывод в файл и повышенная детализация.

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce> -v 3 -o pixie-output.txt

Атаки на некоторые уязвимые реализации (например, Ralink).

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce>  -m <RegistrarNonce>

🔑 SessionGopher — Утилита для извлечения сохранённых сессий удалённого доступа

SessionGopher — это PowerShell-утилита, разработанная Brandon Arvanaghi (изначально для FireEye), которая помогает выявлять и расшифровывать сохранённую информацию о сессиях удалённого доступа, таких как WinSCP, PuTTY, SuperPuTTY, FileZilla и Microsoft Remote Desktop. Утилита умеет работать локально и удалённо через WMI.

1️⃣ Установка и подготовка
⏺️ Клонирование репозитория:

git clone https://github.com/Arvanaghi/SessionGopher.git
cd SessionGopher

⏺️ Убедитесь, что есть права администратора или аналогичные — доступ к HKEY_USERS необходим для извлечения данных о сессиях.

2️⃣ Запуск утилиты
Локально:

. .\SessionGopher.ps1
Invoke-SessionGopher -Thorough

Удалённо:

Import-Module path\to\SessionGopher.ps1
Invoke-SessionGopher -Target HOSTNAME -Thorough

По списку хостов:

Invoke-SessionGopher -iL computerlist.txt -u domain.com\admin -p SecretPassword -o

Параметры:
⏺️ -Thorough — включает поиск по всему диску .ppk, .rdp, .sdtid файлов
⏺️ -iL — список хостов
⏺️ -AllDomain — опрос всех доменных машин
⏺️ -Target — конкретная цель
⏺️ -o — вывод результатов в папку с CSV

3️⃣ Пример вывода (Thorough)

[+] Digging on Win7-Arvanaghi ...
WinSCP Sessions
Session  : [email protected]
Username : admin-anthony
Password : Super*p@ssw0rd

FileZilla Sessions
Password : imr34llytheFl@sh

PuTTY Private Key Files (.ppk)
Path : C:\Users\Brandon\mykey.ppk
Private Key: {...}

Microsoft Remote Desktop .rdp Files
Hostname : dc01.corp.hackerplaypen.com
Prompts for Credentials : No

Утилита позволяет извлечь пароли, приватные ключи и конфигурацию сессий.
Возможности и особенности
⏺️ Извлечение сессий: WinSCP, FileZilla, SuperPuTTY, PuTTY, RDP (.rdp) и RSA-файлы (.sdtid)
⏺️ Расшифровка сохранённых паролей и приватных ключей
⏺️ Поддержка удалённого выполнения с использованием WMI
⏺️ CSV-вывод для удобной автоматизации и аудита

⚠️ Обнаружены вредоносные пакеты PyPI и npm, использующие зависимости при Supply Chain атаках

🧑‍💻 Исследователи по кибербезопасности из Zscaler ThreatLabz обнаружили вредоносный пакет в репозиториях Python Package Index (PyPI), который выполняет вредоносную активность через зависимость, позволяющий выполнять вредоносный код.

📦 Пакет "termncolor" реализовывает вредоносную активность через пакет зависимостей "colorinal". На сегодняшний момент обе библиотеки не доступны на PyPI, но пакет "termncolor" был скачан 355 раз, а "colorinal" - 529 раз.

🔗 Как утверждают исследователи из Zscaler ThreatLabz, при данной атаке используется сторонняя загрузка DLL для облегчения расшифровки и Command and Control (C2) с управляющем сервером.

📁 В частности, полезная нагрузка развёртывает легитимный двоичный файл "vcpktsvr.exe" и DLL-библиотеку "libcef.dll", которая запускается с помощью стороннего DLL-загрузчика. DLL, в свою очередь, способна собирать системную информацию и взаимодействовать с сервером командования (C2) с помощью Zulip , чат-приложения с открытым исходным кодом, чтобы скрыть свою активность.

🦠 Также в атаках фигурируют пакеты npm "redux-ace" (163 загрузок) и "rtk-logger" (394 загрузок) , предназначенные для загрузки и запуска скриптов Python, сбора системной информации, сканирования файловой системы на наличие конфиденциальных файлов и другой вредоносной активностью.

"Твоя private zone — мой public domain."

CamXploit

Это разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.

📕 Характиристика:
1️⃣Сканирует открытые порты (стандартные порты для систем видеонаблюдения)
2️⃣Проверяет наличие камеры
3️⃣Если камера обнаружена, то: Идёт поиск страниц входа, Проверка учётных данных по умолчанию, Определение производителя камеры и уязвимостей, Обнаружение прямых трансляций (RTSP, RTMP, HTTP, MMS), Предоставление информации о местоположении с картами, Показ сведений о сервере и типов аутентификации
4️⃣Предоставляет URL-адреса для ручного поиска для более глубокого анализа

💻 Установка:
1️⃣

git clone https://github.com/spyboy-productions/CamXploit.git

2️⃣

cd CamXploit

3️⃣

pip3 install -r requirements.txt --break-system-packages

📌Запуск:
1️⃣

python CamXploit.py

2️⃣

Вводим ip-адрес камеры

Flipper Zero: универсальный гаджет для физического пентеста

Карманный гаджет, который стал угрозой для корпоративной безопасности и незаменимым инструментом пентестеров.

В новой статье разбираем ключевые возможности устройства:
🔵Тестирование RFID и NFC систем
🔵Проведение BadUSB-атак
🔵Перехват и анализ радиосигналов Sub-GHz
🔵Работу с инфракрасными интерфейсами

А также исследуем топ-приложения из официального магазина ➡️ читайте подробнее.

❗️Важно: все методы — только для легального тестирования с разрешения владельца!