Эксперты Лаборатории Касперского провели сложную атрибуцию и обнаружили коммерческое ВПО уровня спецслужб Dante.

В марте 2025 года специалисты Лаборатории Касперского выявили волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Эта атака проводилась APT-группой ForumTroll и использовала уязвимость нулевого дня в браузере на базе Chromium CVE-2025-2783.

Цепочка атаки
💬Заражение происходило после того, как жертва переходила по ссылке из фишингового письма и попадала на вредоносный веб-сайт, который проводил ряд проверок и запускал эксплойт, а позже шпионское ПО LeetAgent.

1️⃣Перед запуском эксплойта скрипт проводил ряд проверок для того чтобы убедиться, что сайт открыт в реальном браузере реальным пользователем, а не почтовым сервером, который может перейти по ссылке, произвести эмуляцию скрипта и загрузить настоящий эксплойт. Результаты проверки валидатор отправлял на C2-сервер вместе с идентификатором инфекции и сгенерированным публичным ключом.

2️⃣Закрепление в системе происходило при помощи техники Component Object Model (COM) hijacking. В ее основе лежат особенности порядка поиска объектов COM в системе. Злоумышленник использовали ее для подмены записей CLSID библиотеки twinapi.dll и для того, чтобы заставить системные процессы и браузеры загружать вредоносную DLL, которая является загрузчиком LeetAgent.

3️⃣Шпионское ПО LeetAgent получило свое название, так как всего его команды написаны на Leet, что является редким явлением среди ВПО. Вредоносное ПО подключается к одному из серверов C2, указанных в конфигурации, и использует протокол HTTPS для получения и выполнения команд, идентифицируемых уникальными числовыми значениями. Кроме того, в фоновом режиме выполняет задачи по отслеживанию нажатий клавиш и краже файлов.

📕Атрибуция Dante
🔴Эксперты проследили активность LeetAgent до первого использования в 2022 году и обнаружили другие атаки APT-группы ForumTroll на организации и частных лиц в России и Беларуси.

🔴Изучив это ранее шпионское ПО, специалисты пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (бывшая Hacking Team).

Hacking Team (или HackingTeam) — один из старейших и самых известных поставщиков шпионского ПО. Компания была основана в 2003 году и стала известна благодаря шпионскому ПО Remote Control Systems (RCS), которым пользовались государственные органы по всему миру, и его противоречивой репутации.

Ниже представлены некоторые характеристики Dante:
🔴Упакована с помощью VMProtect, который обфусцирует поток управления, скрывает импортированные функции и добавляет проверки на запуск в отладочной среде. Также использует распространенные методы обнаружения дебаггеров.

👀Для защиты от обнаружения Dante ищет в логах событий Windows события, которые могут указывать на использование инструментов анализа или виртуальных машин (на уровне хоста или гостя).

🚀Awesome OSINT For Everything

Делимся с вами большим списком инструментов/сайтов OSINT для тестирования на проникновение, обратного поиска, операций Red Team, сбора информации, bugbounty и почти всего в одном репозитории.

➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything
➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything
➖>>https://github.com/Astrosp/Awesome-OSINT-For-Everything

🧠 ChatGPT - В С Ё!

👩‍💻 Новая уязвимость браузера ChatGPT Atlas позволяет злоумышленникам внедрять скрытые команды.

❗️ Исследователи кибербезопасности обнаружили новую уязвимость в веб-браузере ChatGPT Atlas компании OpenAI, которая может позволить злоумышленникам внедрять вредоносные инструкции в память помощника на базе искусственного интеллекта (ИИ) и запускать произвольный код.

💻 В основе атаки лежит уязвимость CSRF, которую можно эксплуатировать для внедрения вредоносных инструкций в постоянную память ChatGPT. Повреждённая память затем может сохраняться на разных устройствах и в разных сеансах, позволяя злоумышленнику выполнять различные действия, включая захват контроля над учётной записью пользователя, браузером или подключёнными системами, когда вошедший в систему пользователь пытается использовать ChatGPT в законных целях.

Атака происходит следующим образом:
🔺 Пользователь входит в ChatGPT
🔺 Пользователя обманным путем заставляют запустить вредоносную ссылку с помощью социальной инженерии.
🔺 Вредоносная веб-страница инициирует CSRF-запрос, используя тот факт, что пользователь уже аутентифицирован, чтобы внедрить скрытые инструкции в память ChatGPT без его ведома.
🔺 Когда пользователь использует ChatGPT с законной целью, испорченные воспоминания будут вызваны, что приведет к выполнению кода.

📍 А как часто вы используете ChatGPT в работе или учебе?

WebSift

WebSift — это мощный инструмент для этического хакинга и OSINT (Open-Source Intelligence), предназначенный для извлечения адресов электронной почты, номеров телефонов, ссылок на социальные сети и других ссылок с веб-сайтов. Этот инструмент идеально подходит для специалистов по безопасности и исследователей, которым необходимо собирать общедоступную информацию в этических и законных целях.

📕Характеристики:
1️⃣Извлекает адреса электронной почты с заданного веб-сайта.
2️⃣Извлекает телефонные номера в стандартных форматах.
3️⃣Извлекает ссылки на социальные сети и другие URL-адреса с веб-сайтов для расширения возможностей OSINT.
4️⃣Сохраняет извлеченную информацию для дальнейшего анализа.
5️⃣Автоматически проверяет и устанавливает отсутствующие зависимости (curl, grep, wget).

💻Установка:

git clone https://github.com/s-r-e-e-r-a-j/WebSift.git

cd WebSift/WebSift

📌Запуск:

bash websift.sh

Этичный хакинг: первый шаг к практике на специальных площадках

Есть площадки, где можно оттачивать свои навыки, не нарушая закон. Одна из них — HackerLab. Это среда, созданная хакерами для хакеров, где вы легально «взламываете» то, к чему лежит душа.

В статье разбираем:
🔵Как устроена платформа
🔵Как зарегистрироваться и решить свою первую задачу (на примере уязвимости в PDF-библиотеке).

Покажем, что начать — проще, чем кажется.

🚩Ваш первый флаг ждёт, когда его найдут, а наш гайд поможет вам до него добраться!

👁️ PrivescCheck

Инструмент для перечисления способов повышения привилегий в ОС Windows. Быстро обнаруживает распространённые уязвимости Windows и недостатки конфигурации, которые не всегда соответствуют общедоступным стандартам безопасности, а также собирает полезную информацию для задач, связанных с эксплуатацией и постэксплуатацией.

💻 Установка
Найти и установить актуальную версию скрипта можно на данной странице.
По умолчанию в PowerShell политика выполнения установлена в значении Restricted на клиентах и RemoteSigned на серверах при запуске нового powershell.exe процесса. Эти политики блокируют выполнение неподписанных скриптов, но их можно переопределить в текущей области видимости следующим образом.

Set-ExecutionPolicy Bypass -Scope Process -Force
. .\PrivescCheck.ps1
#or
Get-Content .\PrivescCheck.ps1 | Out-String | Invoke-Expression

🔎Типы проверок
1️⃣Base будут выполняться всегда, кроме случаев, когда скрипт запускается от имени администратора. В основном они предназначены для выявления уязвимостей, связанных с повышением привилегий, или других важных проблем.

2️⃣Extended могут быть выполнены только в случае, если в командной строке указана опция -Extended. Предназначены для предоставления дополнительной информации, которая может быть полезна при разработке эксплойтов или после их использования.

3️⃣Audit могут быть выполнены только в том случае, если в командной строке указана опция -Audit и предназначены для предоставления информации, необходимой в контексте аудита конфигурации.

🔺Примеры использования
Выполнение базовых проверок для определения способов повышения привилегий.

powershell -ep bypass -c ". .\PrivescCheck.ps1; Invoke-PrivescCheck"

Выполнение расширенных проверок и создание отчетов в удобном формате.

powershell -ep bypass -c ". .\PrivescCheck.ps1; Invoke-PrivescCheck -Extended -Report PrivescCheck_$($env:COMPUTERNAME) -Format TXT,HTML"

Используйте параметр -Report <PREFIX> с -Format CSV или -Format XML или -Format HTML, чтобы указать создание отчета в формате CSV, XML или HTML.

Хотите понимать, как устроены программы — даже без исходников?
Реверс-инжиниринг — это не просто навык, это входной билет в мир пентестов, разработки эксплойтов и анализа вредоносного ПО.

Уже сегодня Академия Codeby запускает сразу две программы по реверсу — для начинающих и продолжающих:

🌟 «Введение в Реверс-инжиниринг» — запись до 20 ноября

🟧Взлом программы без доступа к исходникам
🟧Работа с интерактивным дизассемблером IDA
🟧Анализ исполняемых файлов на базовом уровне
🟧Первые патчи и скрипты

Для старта достаточно понимать, что такое переменные, условия и циклы.
Python будет плюсом.

⚠️ С 1 декабря цена вырастет на 14% → записаться сейчас!

🌟 «Реверсивный инжиниринг ПО под Windows» — запись до 20 ноября

🟧Разбор всех типов приложений: 32/64 бит, .NET, crackme
🟧Поиск уязвимостей и техники заражения
🟧Отладка, дизассемблирование, скриптинг под IDA и др.
🟧Проект, который можно показать в портфолио

Требуется базовое знание: Ассемблера, C/C++, Python и инструментов вроде IDA.

⚠️ С 1 декабря цена вырастет на почти 15% → записаться сейчас!

Если вы хотите разобраться в программном коде, выйти за рамки туториалов и освоить реверс в условиях, приближенных к боевым — начните с одного курса или сразу с двух.

⚡️ @CodebyManagerBot

Черная пятница вторник впервые в Codeby! 😎

11 ноября открываем специальное окно для тех, кто давно хотел прокачаться в сфере кибербезопасности.
В течение 24 часов — скидка 11% на любой курс Академии Codeby.

🟧 Практические курсы по пентесту, SOC, реверсу, OSINT, DevSecOps
🟧 Онлайн-формат, гибкий график и поддержка кураторов
🟧 Удостоверения о повышении квалификации или сертификаты
🟧 Обучение на базе актуальных инструментов и реальных кейсов

1111

⏳ Действует только 11 ноября с 00:00 до 23:59 (по МСК)

Использовать промокод:
⚡️ @CodebyManagerBot

🖥 В Codeby открыто 3 вакансии для авторов и копирайтеров в сфере ИБ!
Ищем команду, которая поможет нам создавать самый крутой, экспертный контент.

Кого мы ищем ⬇️
Автор статей по ИБ
Писать экспертные материалы для нашего блога и образовательных продуктов. Темы: пентест, SOC, OSINT и другие. Удалёнка, гибкий график и рост до редактора.

Копирайтер (технический маркетинг)
Превращать сложные темы наших курсов в понятные и вдохновляющие тексты для лендингов, рассылок и рекламы. Опыт в EdTech/IT — большой плюс.

Автор для внешних площадок (РБК, Хабр, VC и др)
Готовить экспертные статьи и колонки для крупных медиа от лица наших специалистов. Помогать продвигать бренд Академии.

Что объединяет все вакансии:
🔹Удалённый и гибкий график.
🔹Работа с экспертами в сфере ИБ.
🔹Создание контента, который читают профессионалы.

🖇Если вам близка тема ИБ и вы умеете создавать экспертный контент — вам к нам!

Ждём ваши резюме и портфолио✈️@ekaesha с пометкой, какая вакансия вас заинтересовала.

🟧🟧🟧 11.11 в Codeby: скидка 11% на все курсы! @CodebyManagerBot

🟧Умные устройства открывают новые возможности для злоумышленников.

Через протоколы MQTT и Zigbee, облачные платформы и радиоинтерфейсы хакеры получают доступ к приватным данным.

Вы узнаете:
🟧Как обычная лампочка становится точкой входа в домашнюю сеть
🟧Почему утечка данных 40 млн клиентов началась с холодильника
🟧Чем опасны уязвимости в кардиостимуляторах и интимных гаджетах

🟧В новой статье рассказываем о простых, но эффективных мерах защиты — их можно применить уже сегодня, чтобы создать надежный барьер между вашим умным домом и внешними угрозами.

🟧🟧🟧 11.11 в Codeby: скидка 11% на все курсы! @CodebyManagerBot

В Госдуме заявили, что Рунет отключат от мировой сети при вмешательстве в выборы — 2026

Правительство наделило Роскомнадзор полномочиями отключать российский интернет от общемирового в случае «угрозы нарушения информационной безопасности» — нововведения вступят в силу 1 марта 2026 года. Первый зампред комитета Госдумы по международным делам Алексей Чепа в разговоре с «Газетой.Ru» не исключил, что Рунет могут отключить от мировой сети в случае вмешательства в парламентские выборы — 2026.

По словам Чепы, в 2025 году в ходе губернаторских выборов были зафиксированы попытки вмешательства третьих стран.

Премьер-министр Михаил Мишустин подписал соответствующее постановление 6 ноября. С 1 марта 2026 года Роскомнадзор, ФСБ и Минцифры смогут отключать российский интернет от общемирового в случае возникновения «угроз устойчивости, безопасности и целостности» интернета.

До этого депутат Андрей Свинцов в разговоре с изданием «Подъем» подтвердил, что Рунет могут «кратковременно изолировать» в случае хакерских атак или атак на систему дистанционного голосования. По его словам, власти не планируют ограничивать россиян в доступе к интернету.

🟧🟧🟧 11.11 в Codeby: скидка 11% на все курсы! @CodebyManagerBot

"Smile, i'm recording you =)"

CamPhish: как работает фишинговая атака на веб-камеру

CamPhish — это пример инструмента, который демонстрирует технику фишинговой атаки, направленную на получение доступа к камере устройства жертвы. Метод основан на социальной инженерии и эксплуатации разрешений браузера.

Атака строится по следующему сценарию 👇

1⃣Локальный сервер — злоумышленник размещает поддельный сайт на своем компьютере
2⃣Туннель — через ngrok/CloudFlare создается внешняя ссылка на локальную страницу
3⃣Рассылка — жертве отправляют ссылку под предлогом (праздник, трансляция, встреча)
4⃣Доступ к камере — при переходе сайт запрашивает разрешение на использование камеры
5⃣Съемка — после согласия пользователя инструмент делает снимки с камеры устройства

Такой инструмент может использоваться в рамках тестирования на проникновение для проверки осведомленности сотрудников о фишинге.

📕Характеристики:
В инструмент добавлено 3 шаблона для атаки социальной инженерии:
1️⃣Поздравление с праздником
2️⃣Прямая трансляция YouTube
3️⃣Онлайн встреча

💻Установка:

sudo apt-get -y install php wget unzip
git clone https://github.com/techchipnet/CamPhish
cd CamPhish

📌Запуск:
bash camphish.sh

Данная инструкция создана в ознакомительных целях, использование инструмента в нелегальных целях преследуется законом!

👩‍💻 Apple отозвала сертификаты у российских разработчиков DLP-систем

Apple лишила российских компаний, занимающихся разработкой DLP-решений (систем мониторинга и предотвращения утечек данных), корпоративных сертификатов, необходимых для подтверждения подлинности приложений на macOS.

🔹 Что это значит:
Без этих сертификатов разработчики больше не смогут официально распространять или обновлять свои программы — в том числе через App Store и корпоративные каналы установки.

🔹 Последствия:
– Уже установленные версии продолжат работать,
– Но обновления, патчи и новые функции теперь недоступны,
– Это повышает риск уязвимостей и нарушает целостность систем защиты.

🔹 Эксперты считают, что это может быть как «очередным витком ограничений против российских компаний», так и результатом обычного бюрократического процесса.

Среди затронутых вендоров называют «Серчинформ», InfoWatch, Solar Security и «Гарду».
В Solar заявили, что продолжат обеспечивать защиту пользователей, несмотря на ограничения.

Источник: «Forbes»

Happy Hunter

Happy Hunter — это скрипт на языке Python, который автоматизирует обнаружение и перечисление баз данных, уязвимых для SQL-инъекций, с помощью sqlmap, облегчая пентестинг и аудит безопасности.

📕Характеристики:
1️⃣Автоматически определяет СУБД целевого URL.
2️⃣Перечисляет доступные базы данных и таблицы.
3️⃣Простота использования с минимальным количеством аргументов.
4️⃣Вывод в консоли с цветовой маркировкой для удобства чтения.
5️⃣Основан на мощности sqlmap.

💻Установка:

git clone https://github.com/HackingTeamOficial/HappyHunter.git

cd HappyHunter

📌Запуск:

python3 HappyHunter.py

💻 OpenCTI

🔎 OpenCTI — это открытая платформа для управления и анализа информации о киберугрозах. Она помогает хранить, систематизировать, визуализировать и обмениваться данными о цифровых атаках, угрозах и злоумышленниках для повышения эффективности реагирования на инциденты.

🔗 OpenCTI интегрируется с другими инструментами безопасности, включая поддержку стандартов TAXII и STIX, что упрощает обмен актуальной информацией в экосистеме кибербезопасности.

Основные функции OpenCTI:
🔺 Централизованное хранение и управление данными о киберугрозах.
🔺 Анализ и визуализация связей между угрозами, атаками и группами злоумышленников.
🔺 Совместная работа и обмен знаниями в команде.
🔺 Интеграция с другими инструментами и стандартами киберразведки для автоматизации обнаружения и реагирования.

Архитектура и стек технологий:
🔺 Backend написан на Node.js и использует GraphQL API для взаимодействия и запросов.
🔺 Данные хранятся в графовой базе данных, обычно используется Elasticsearch и/или Redis для обеспечения быстрого поиска и кэширования.
🔺 Визуализация и пользовательский интерфейс построены на React, что обеспечивает удобную и интерактивную работу с данными.
🔺 Платформа поддерживает микросервисную архитектуру, что облегчает масштабирование и интеграцию с другими инструментами.

📍 Используете ли вы в своей работе OpenCTI и что можете о нем рассказать?