🧑💻 Исследователи по кибербезопасности из Zscaler ThreatLabz обнаружили вредоносный пакет в репозиториях Python Package Index (PyPI), который выполняет вредоносную активность через зависимость, позволяющий выполнять вредоносный код.
📦 Пакет "termncolor" реализовывает вредоносную активность через пакет зависимостей "colorinal". На сегодняшний момент обе библиотеки не доступны на PyPI, но пакет "termncolor" был скачан 355 раз, а "colorinal" - 529 раз.
📁 В частности, полезная нагрузка развёртывает легитимный двоичный файл "vcpktsvr.exe" и DLL-библиотеку "libcef.dll", которая запускается с помощью стороннего DLL-загрузчика. DLL, в свою очередь, способна собирать системную информацию и взаимодействовать с сервером командования (C2) с помощью Zulip , чат-приложения с открытым исходным кодом, чтобы скрыть свою активность.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍5🔥4
"Твоя private zone — мой public domain."
CamXploit
Это разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.
📕 Характиристика:
1️⃣ Сканирует открытые порты (стандартные порты для систем видеонаблюдения)
2️⃣ Проверяет наличие камеры
3️⃣ Если камера обнаружена, то: Идёт поиск страниц входа, Проверка учётных данных по умолчанию, Определение производителя камеры и уязвимостей, Обнаружение прямых трансляций (RTSP, RTMP, HTTP, MMS), Предоставление информации о местоположении с картами, Показ сведений о сервере и типов аутентификации
4️⃣ Предоставляет URL-адреса для ручного поиска для более глубокого анализа
💻 Установка:
1️⃣
2️⃣
3️⃣
📌 Запуск:
1️⃣
2️⃣
CamXploit
Это разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.
git clone https://github.com/spyboy-productions/CamXploit.git
cd CamXploit
pip3 install -r requirements.txt --break-system-packages
python CamXploit.py
Вводим ip-адрес камеры
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤6👍5
Flipper Zero: универсальный гаджет для физического пентеста
Карманный гаджет, который стал угрозой для корпоративной безопасности и незаменимым инструментом пентестеров.
В новой статье разбираем ключевые возможности устройства:
🔵 Тестирование RFID и NFC систем
🔵 Проведение BadUSB-атак
🔵 Перехват и анализ радиосигналов Sub-GHz
🔵 Работу с инфракрасными интерфейсами
А также исследуем топ-приложения из официального магазина➡️ читайте подробнее.
❗️ Важно: все методы — только для легального тестирования с разрешения владельца!
Карманный гаджет, который стал угрозой для корпоративной безопасности и незаменимым инструментом пентестеров.
В новой статье разбираем ключевые возможности устройства:
А также исследуем топ-приложения из официального магазина
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥7❤4👎3🥰1
Российская группа EncryptHub использует уязвимость MSC EvilTwin для развертывания вредоносного ПО Fickle Stealer
📌 Злоумышленник, известный как EncryptHub, продолжает эксплуатировать уже исправленную уязвимость безопасности Microsoft Windows для доставки вредоносных программ.
1️⃣ Trustwave SpiderLabs сообщила, что недавно обнаружила кампанию EncryptHub, сочетающую социальную инженерию и эксплуатацию уязвимости в фреймворке консоли управления Microsoft (MMC) (CVE-2025-26633, также известной как MSC EvilTwin) для запуска процедуры заражения через поддельный файл консоли Microsoft (MSC).
2️⃣ EncryptHub, также известная как LARVA-208 и «Водяная Гамаюн», — российская хакерская группа, впервые получившая известность в середине 2024 года. Работая в высоком темпе, эта финансово мотивированная группа известна тем, что использует различные методы, включая поддельные предложения о работе, анализ портфолио и даже взлом игр Steam, для заражения целей вредоносным ПО для кражи данных.
3️⃣ Использование злоумышленником уязвимости CVE-2025-26633 ранее было задокументировано компанией Trend Micro в марте 2025 года, когда были обнаружены атаки с использованием двух бэкдоров: SilentPrism и DarkWisp.
В последней последовательности атак злоумышленник выдаёт себя за сотрудника ИТ-отдела и отправляет целевой объект запрос Microsoft Teams с целью инициировать удалённое подключение и развернуть вторичную полезную нагрузку с помощью команд PowerShell.
Среди сброшенных файлов есть два файла MSC с одинаковым именем, один из которых безвреден, а другой — вредоносен, что используется для запуска уязвимости CVE-2025-26633, что в конечном итоге приводит к выполнению вредоносного файла MSC при запуске его безобидного аналога.
Файл MSC, со своей стороны, извлекает и выполняет с внешнего сервера другой скрипт PowerShell, который собирает системную информацию, устанавливает персистентность на хосте и взаимодействует с сервером управления и контроля (C2) EncryptHub для получения и запуска вредоносных полезных нагрузок, включая похититель под названием Fickle Stealer.
В ходе атаки злоумышленник также использовал загрузчик на основе Go под кодовым названием SilentCrystal, который использует Brave Support, легитимную платформу, связанную с веб-браузером Brave, для размещения вредоносного ПО следующего уровня — ZIP-архива, содержащего два MSC-файла для использования CVE-2025-26633 в качестве оружия.
В последней последовательности атак злоумышленник выдаёт себя за сотрудника ИТ-отдела и отправляет целевой объект запрос Microsoft Teams с целью инициировать удалённое подключение и развернуть вторичную полезную нагрузку с помощью команд PowerShell.
Среди сброшенных файлов есть два файла MSC с одинаковым именем, один из которых безвреден, а другой — вредоносен, что используется для запуска уязвимости CVE-2025-26633, что в конечном итоге приводит к выполнению вредоносного файла MSC при запуске его безобидного аналога.
Файл MSC, со своей стороны, извлекает и выполняет с внешнего сервера другой скрипт PowerShell, который собирает системную информацию, устанавливает персистентность на хосте и взаимодействует с сервером управления и контроля (C2) EncryptHub для получения и запуска вредоносных полезных нагрузок, включая похититель под названием Fickle Stealer.
В ходе атаки злоумышленник также использовал загрузчик на основе Go под кодовым названием SilentCrystal, который использует Brave Support, легитимную платформу, связанную с веб-браузером Brave, для размещения вредоносного ПО следующего уровня — ZIP-архива, содержащего два MSC-файла для использования CVE-2025-26633 в качестве оружия.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥5👍4