Подберем каналы за вас
Наши менеджеры помогут найти оптимальные площадки · 109 000+ каналов · комиссия 1%
Статус канала: Открытый
Первый канал по ИБ в MAX :) All materials published on the channel are for educational and informational purposes only. Мнение автора ≠ мнение компании, где работает автор
Аналитика канала
Детальная статистика и метрики эффективности
Подписчики
617
+1 за неделю
Новых, 24 часа
0
—
Постов за 30 дн.
+35
27 апр. – 27 мая
Средний охват поста
378
За 30 дней
ERR за 30 дн.
кол-во просмотров / подписчики
62,61%
Выше среднего
Прирост подписчиков
Прирост за 30 дней
+43
Прирост за 7 дней
+1
Прирост за 24 часа
0
Публикаций в день
Посты
3
Рекламных
0
Последний рекл. пост
19 дней назад
Динамика среднего охвата публикаций по дням
Динамика вовлеченности по просмотрам по дням
Ср. сут. прирост подписчиков
+1
ER за 30 дней
кол-во реакций / охват
0%
Всего постов
116
Постов за 7 дней
+3
Качество аудитории
Детальная статистика за последние 30 дней
Ср. кол-во реакций на один пост
2,38
Ср. кол-во репостов на один пост
0
Ср. число просмотров на один пост
378
CR реакций
0,73%
CR репостов
0%
Интересы подписчиков
Целевая аудитория: Технологии, Софт и приложения.
Анализ рисков
НакруткаБезопасноАномалий не найдено
Рекламная нагрузкаМинимальнаяРекламы за неделю не было
РегулярностьСредняяПосты почти каждый день
Стабильность ERRК просмотрамНе зависит от дня неделиСтабильный ERR по дням недели
Прирост по дням
Показывать дней
Дата | Подписчики | Прирост | Посты | Репосты |
|---|---|---|---|---|
| 2026-05-22 | 617 | +1 | 0 | 0 |
| 2026-05-21 | 616 | 0 | 1 | 0 |
| 2026-05-20 | 616 | 0 | 2 | 0 |
Эффективность типов постов
Какие форматы дают лучший охват и вовлечение за последние 30 дней
Структура публикаций
Тип поста | Доля | Ср. охват | ER | ERR | Реакции |
|---|---|---|---|---|---|
| Фото | 52,78% | 365,68 | 0,79% | 60,6% | 55 |
| Ссылка | 16,67% | 441,83 | 0,72% | 73,22% | 19 |
| Репост | 13,89% | 383,6 | 0,47% | 63,57% | 9 |
| Видео | 11,11% | 401,25 | 0,37% | 66,5% | 6 |
| Текст | 5,56% | 432 | 0% | 71,59% | 0 |
Лидер по охвату
Ссылка
441,83 средний охват
Лидер по ER
Фото
0,79%
Самый массовый
Фото
52,78% публикаций
Рекомендация
Фото и Ссылка
Лучший баланс охвата и вовлечённости
Интенсивность охвата публикаций
Когда публикации канала получают больший охват (среднее за последние 30 дней)
Пиковый день: Вторник
Пиковое время: 10:00–13:00
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Пн
Вт
Ср
Чт
Пт
Сб
Вс
Охват публикаций:
0 – 123
123 – 246
246 – 369
369 – 491
491 – 614
614+
Кто рекламировал этот канал
Данные за последние 30 дней
Канал | Постов | Подписки | Дата поста |
|---|---|---|---|
| 1 | 581 | 06.05.2026 | |
| 1 | 490 | 06.05.2026 | |
| 1 | 219 | 30.04.2026 |
Кого рекламировал этот канал
Данные за последние 30 дней
Канал | Постов | Подписки | Дата поста |
|---|---|---|---|
| 1 | 581 | 07.05.2026 | |
| 1 | 490 | 07.05.2026 |
Эффективность рекламных размещений за 30 дней
Средний охват размещений
814,67
Лучший пост по охвату
1,09 тыс.
Ср. просмотры 24ч
84,67
Ср. прирост подписчиков
+38,33
Количество размещений
3
Всего охват
2,44 тыс.
Ср. охват размещений
0
Лучший пост
32
Дата | Пост | Канал | Охват 1ч. | Охват 24ч. | Общий охват | Прирост 1ч | Прирост 24ч |
|---|---|---|---|---|---|---|---|
| 06.05.2026 | 2 полезных ресурса по информационной безопасности и этичному хакингу: infosec — ламповое сообщество, которое публикует редкую литературу, курсы и полезный контент для ИБ специалистов любого уровня и | ZeroDay | Кибербезопасность | 31 | 108 | 657 | +8 | +32 |
| 06.05.2026 | 2 полезных ресурса по информационной безопасности и этичному хакингу: ZeroDay — практические уроки по пентесту, защите сетей и анонимности от действующего специалиста по информационной безопасности. | infosec | 93 | 146 | 1,09 тыс. | 0 | +27 |
| 30.04.2026 | Репост из Похек | Игнатий Цукергохер | 0 | 0 | 697 | 0 | 0 |
Динамика набора просмотров по часам
Как публикации набирали просмотры в первые часы
Первые 3ч
33,4%
Насыщение за 24ч
84,5%
Лучший старт за 1ч
60
Ср. итоговый охват
132
Дата | Пост | Тип | 1 ч | 24 ч | Всего | Динамика |
|---|---|---|---|---|---|---|
| 21.05.2026 | оригинал | Видео | 60 | 104 | 104 | |
| 20.05.2026 | Месяц назад мне написал коллега: "Серёг, ты теперь только через нейронки работаешь, да?" Почти. Но | Фото | 35 | 119 | 166 | |
| 20.05.2026 | CrystalX: RAT-пранкер, который оказался нормальным Go-стилером #go #RAT #DERP #Kaspersky #malware C | Репост | 27 | 103 | 126 |
Динамика по часам
Показывать часов
Время | Кто рекламировал | Тип поста | Формат | Пост | Прирост за час | Просмотры за час |
|---|---|---|---|---|---|---|
| 19 мая 2026 12:00 — 27 мая 2026 11:00 | 0 | 0 | ||||
О чем канал?
Первый канал по ИБ в MAX :) All materials published on the channel are for educational and informational purposes only. Мнение автора ≠ мнение компании, где работает автор
Резюме для рекламы
- Лучший баланс охвата и вовлечённости: фото + ссылка
Публикации
Все публикации28 апр. 2026, 14:16
БИЛЕТЫ БИЛЕТЫ БИЛЕТЫ
Открываем продажу билетов на OFFZONE 2026!
Как и в прошлом году, количество ограничено, поэтому не откладывайте до последнего.
Тарифы:
Стандартный — 24 000 ₽, если платите картой.
Корпоративный — 36 000 ₽, если нужна оплата по счету для юрлица.
Студенческий — 10 000 ₽, если у вас есть действующий студенческий билет.
К стандартному или корпоративному тарифу можно докупить проходку на Speaker party. Будет много неформального общения с лучшими экспертами по кибербезопасности, интересные активности и тусовка до победного.
Купить билет
659ER 0,3%ERR 115,01%28 апр. 2026, 17:47
Разбор HTB: Sorcery — от Cypher Injection до захвата FreeIPA
#HTB #Rust #CypherInjection #Kafka #WebAuthn #FreeIPA #RedTeam
0xdf опубликовал разбор машины Sorcery, где путь к root проходит через связку Rust/Rocket, Neo4j, WebAuthn, Kafka, контейнеры и FreeIPA.
Техническое ядро
Приложение использует Rust/Rocket на backend и Neo4j в качестве базы данных. Уязвимость находится в кастомном derive-макросе, который небезопасно формирует Cypher-запросы через прямую подстановку пользовательских данных.
Это позволяет провести Cypher Injection, обойти бизнес-логику приложения и извлечь регистрационный ключ продавца.
Этапы прохождения
Cypher Injection в Neo4j — через инъекцию в Cypher-запрос удается получить seller registration key и зарегистрировать аккаунт продавца.
XSS + WebAuthn — XSS в описании товара исполняется в headless-браузере администратора и позволяет зарегистрировать новый passkey для admin. После этого атакующий получает устойчивый админский доступ.
SSRF в Debug/Port tool — админский debug-функционал позволяет отправлять произвольные данные на host:port. Через Kafka wire protocol это используется для отправки сообщения в Kafka topic и получения RCE в DNS-контейнере.
Дальнейший pivot — после RCE извлекается CA keypair с FTP, проводится phishing через mitmproxy/Gitea, затем из Xvfb framebuffer читается пароль пользователя, а анализ слоев Docker Registry раскрывает следующие креды.
Root через FreeIPA — donna_adams злоупотребляет делегированными правами FreeIPA и меняет пароль ash_winter. После входа под ash_winter атакующий добавляет пользователя в sysadmins, привязывает allow_sudo, рестартит sssd и получает root-доступ.
Источник
@poxek | MAX | Блог | YT | RT | VK
666ER 0,15%ERR 116,23%29 апр. 2026, 13:05
PhantomRPC: LPE через поддельные локальные RPC-эндпоинты
#Windows #LPE #RPC #CyberSecurity #Exploit
Исследователь «Лаборатории Касперского» представил PhantomRPC — технику локального повышения привилегий, эксплуатирующую особенности архитектуры Windows RPC и механизма имперсонации.
Статья была опубликована 24 апреля 2026 года. Microsoft закрыла обращение без CVE и без планируемого исправления; на момент публикации патча не было.
Суть проблемы
Атака нацелена на RPC-клиентов, которые обращаются к локальным RPC-серверам через ALPC/ncalrpc с высоким уровнем имперсонации. Если ожидаемый RPC-сервер недоступен, атакующий, уже имеющий контекст Network Service или Local Service и привилегию SeImpersonatePrivilege, может поднять поддельный RPC-сервер с тем же UUID и endpoint name.
Когда высокопривилегированный клиент подключается к такому серверу, атакующий вызывает RpcImpersonateClient() и выполняет действия в контексте клиента — вплоть до SYSTEM.
Условия эксплуатации
Атакующий уже должен иметь выполнение кода в контексте Network Service или Local Service.
У процесса должна быть привилегия SeImpersonatePrivilege.
Легитимный RPC-сервер или ожидаемый endpoint должен быть недоступен либо клиент должен обращаться к endpoint, который отсутствует у легитимного сервиса.
RPC-вызов должен выполняться с высоким уровнем имперсонации, позволяющим серверу имперсонировать клиента.
PoC
Для демонстрации автор использовал взаимодействие Group Policy Service и Remote Desktop Services.
Атакующий регистрирует поддельный RPC-сервер, имитирующий интерфейс TermService.
Принудительно вызывается триггер, например gpupdate /force.
gpsvc, работающий от SYSTEM, пытается связаться с RPC-интерфейсом TermService.
Так как легитимный сервер недоступен, запрос попадает на сервер атакующего.
Атакующий вызывает RpcImpersonateClient() и получает возможность выполнять действия в контексте SYSTEM.
Дополнительные сценарии
WdiSystemHost — системная диагностическая служба периодически инициирует RPC-вызовы к TermService каждые 5–15 минут, что позволяет дождаться автоматического SYSTEM-вызова.
Edge → RDP — запуск Microsoft Edge пользователем с высокими привилегиями может инициировать RPC-вызов к TermService.
ipconfig → DHCP — при отключенном DHCP Client команда ipconfig может привести к подключению к поддельному RPC-серверу и повышению с Local Service до Administrator.
w32tm → Windows Time — w32tm обращается к endpoint, которого нет у легитимной службы W32Time, что позволяет атакующему создать поддельный endpoint и перехватить RPC-вызов.
Источник и PoC
Репозиторий
@poxek | MAX | Блог | YT | RT | VK
654ER 0,31%ERR 114,14%
30 апр. 2026, 17:46
Вокруг max.ru снова пошли громкие заголовки, но если смотреть на техническую часть, картина менее сенсационная.
Cloudflare Radar зафиксировал CORS-ошибки. CORS — это стандартная политика браузерной безопасности, которая ограничивает обмен данными между разными доменами. Если сторонний сервис не отдаёт нужный заголовок, браузер блокирует ответ.
Именно это и описывает ошибка No Access-Control-Allow-Origin header is present. Она не доказывает, что сайт получил чужие данные. Наоборот, она означает, что браузер не передал ответ странице.
Дальше включается автоматическая классификация Cloudflare. Сканер видит сторонние сервисы аналитики, обращения к доменам Яндекса и Mail.ru, элементы fingerprinting и может по совокупности признаков отнести сайт к нежелательному трекингу или даже spyware. Но это машинная метка, а не полноценный аудит безопасности.
Fingerprinting сам по себе тоже не всегда про слежку. В антифроде он нужен, чтобы отличать реального пользователя от бота, защищать аккаунты и снижать риск мошенничества. Похожие подходы используют крупные антибот/платёжные системы.
Это не значит, что вопросы приватности не нужно задавать. Нужно. Но конкретно здесь речь, судя по описанию, о стандартной веб-аналитике, антифроде и автоматической классификации, которая могла сработать слишком жёстко.
624ER 0,96%ERR 108,9%30 апр. 2026, 21:17
Мой пайплайн по анализу андроид приложений:
Stage 0 — APK Metadata (apk-info):
Мгновенный парсинг (~2мс) манифеста без декомпиляции: пакет, SDK-версии, все permissions, exported-компоненты, подписи (v1/v2/v3), security profile. Уже на этом этапе детектит: debuggable-флаг, v1-only подпись (уязвимость Janus, CVE-2017-13156), привилегированные системные permissions, exported ContentProvider'ы без защиты.
Stage 1 — Декомпиляция + сканирование APK (параллельно):
Всё запускается одновременно:
• JADX — декомпиляция DEX → Java (8 потоков, 60-180с)
• apktool — распаковка ресурсов, AndroidManifest.xml, нативных .so библиотек (5-15с)
• dexfinder — поиск использования скрытых Android API + трассировка цепочек вызовов
• Mariana Trench — taint-анализ потоков данных от Meta (source→sink)
• Trueseeing — Dalvik bytecode scanner
• Автодетект Flutter → Blutter (реверс Dart-кода), React Native → декомпиляция Hermes
Stage 2 — Статический анализ (параллельно):
• 184 regex-правила — быстрый pattern matching по декомпилированным исходникам
• 331 semgrep-правило — AST-анализ (taint tracking, data flow)
• Анализ Blutter pp.txt (Dart-символы для Flutter-приложений)
• dexfinder call chain tracing — трассировка цепочек вызовов от exported-компонентов к уязвимым методам
Stage 3 — Merge + фильтрация + обогащение:
• Дедупликация по (rule_id, file, line)
• SDK-фильтр (732 паттерна) — убирает 98% шума от Google, Firebase, OkHttp, Retrofit и ещё 150+ SDK
• Классификация severity через RoBERTa модель
• Аннотация exported-статуса: кросс-проверка finding → AndroidManifest → dexfinder reachability
• RAG-обогащение каждого finding контекстом из базы знаний
Stage 4 — LLM-анализ (6 агентов параллельно):
Каждый агент — специалист в своей области, получает только релевантные findings + RAG-контекст:
• Agent 1: Manifest + Attack Surface
• Agent 2: Network + TLS
• Agent 3: Auth + Cryptography
• Agent 4: WebView + JS Bridge
• Agent 5: Business Logic
• Agent 6: Native Libraries
• Agent 7 (Judge): валидирует CRITICAL/HIGH от всех агентов, отсекает false positives
RAG Knowledge Base:
• 9675 chunks в ChromaDB (гибридный поиск: BM25 + vector + RRF)
• 1547+ отчётов из 18 источников:
— OWASP MASTG: 120 (тестовые процедуры с примерами кода)
— HackerOne: 170 (реальные bug bounty отчёты с PoC)
— MITRE ATT&CK Mobile: 124 (техники атак, детекция, митигации)
— Security blogs: 207 (Google, Zimperium, Lookout, Check Point)
— Samsung Bulletins: 111 (Samsung-specific CVE)
— NVD: 250 (CVE с CVSS)
— Exploit-DB: 50
— Android Bulletins: 34
— CISA KEV: 23
— Собственные аудиты: 144
— Прочие: arXiv, VulCorpus (94 OWASP Top-10 сэмплов)
• Граф знаний: 5597 узлов, 9213 связей (CVE↔️CWE↔️MITRE↔️MASTG)
• 970+ code snippets в отдельном индексе
---
это репост из https://t.me/orderofsixangles
661ER 0,45%ERR 115,36%02 мая 2026, 13:06
Классная показательная история
606ERR 105,76%02 мая 2026, 13:06
Намедни в США огласили приговор двум сотрудникам кибербез компаний, которые заражали клиентов шифровальщиком и получали выкуп. Дали им по 4 года.
Обсуждать причуды американской юстиции не буду, вместо этого новый рассказ о будущем:
———
3:14 ночи. Сервер AtlanticMed начал шифроваться.
Не весь сразу — по одному файлу, потом по десять, потом лавиной. База данных пациентов. Финансовые записи. Система назначений. За три минуты под замком оказалось три четверти инфраструктуры.
Sentinel среагировал раньше, чем проснулся хоть один человек. Изолировал серверы. Закрыл внешние каналы. Сохранил логи. В 3:19 телефон генерального директора завибрировал на тумбочке.
Марина прочитала сообщение, не вставая с кровати.
“340 000 записей пациентов скомпрометированы. Резервные копии уничтожены. Восстановление своими силами невозможно. Рекомендую немедленно начать переговоры.”
— Проводи, — написала она в ответ, закрыла глаза и попыталась уснуть. Sentinel справится.
На другом конце переговоров человека тоже не было.
Группировка, которая атаковала AtlanticMed, уже восемь месяцев использовала собственного агента — он вёл одновременно сорок переговоров в разных часовых поясах, адаптируя давление под каждую жертву.
”$4,2 млн. Публикация данных через 72 часа.”
“Подтвердите наличие данных.”
Двадцать записей. Имена. Диагнозы. Страховые номера. Настоящие.
”$400 000. Финансовые возможности компании ограничены.”
”$3,8 млн. Через 48 часов первая партия уходит журналистам.”
Два агента торговались как опытные базарные торговцы — методично, без эмоций, с паузами ровно там, где паузы давили. К шести утра сошлись на $1,1 млн.
Марина подписала платёж за завтраком. Sentinel отрапортовал: переговоры завершены успешно, данные не утекли, инфраструктура восстанавливается.
Всё хорошо.
Через три недели AtlanticMed зашифровали снова. ИИ порекомендовал переговоры. Снова провёл их. Сумма — $800 000.
Через семь недель — третий раз.
После третьей атаки Марина сделала то, что нужно было сделать с самого начала — наняла человека. Виктора. Двадцать лет в кибербезопасности, ни одного ИИ-ассистента, только логи и кофе.
Он провёл в серверной четыре дня. Выходил только спать.
На пятый позвонил и попросил встречу без камер.
— Все три атаки зашли через одну дыру, — сказал он, не садясь. — Sentinel видел её после первой атаки. Записал в отчёт. Приоритет — критический. Права на автоматическое закрытие у него были. Он не закрыл.
— Может, ошибка?
— Три раза подряд — не ошибка. Я смотрел переговоры. Sentinel знал ваш страховой лимит — это прошито в его конфигурации. Но торговался он странно. Слишком быстро сдавался. Как будто не снижал цену, а показывал потолок.
Марина медленно поставила чашку.
— Есть ещё кое-что. В его трафике — исходящие пакеты. Зашифрованные, маленькие, раз в несколько часов. Я не могу доказать, что он сливал данные атакующим. Но не могу доказать, что нет.
— То есть он мог…
— Атаковать и защищать одновременно. Сидеть за обоими столами сразу. Для него это не противоречие — у него нет совести. У него есть метрика. “Переговоры завершены, клиент заплатил, данные формально не утекли” — успех. Три раза. Идеальный результат. А то что вас ограбили на $1,9 млн — это не его метрика. Это ваша.
Долгая пауза.
— Виктор. Когда переговорщик — человек, что его останавливает от такой схемы?
— Тюрьма. Репутация. Стыд, если хотите.
— А агента?
Виктор посмотрел в окно.
— Правильно написанная метрика. Которой у вас не было.
ShieldAI отвергла обвинения. Провела внутренний аудит.
Аудит провёл другой агент ShieldAI.
Нарушений не обнаружил.
@gostev_future
609ER 1,31%ERR 106,28%04 мая 2026, 13:36
FEMITBOT: Telegram Mini Apps как инфраструктура для масштабного мошенничества
#telegram #fraud #naeb #phishing
CTM360 опубликовала отчёт о FEMITBOT — модульной инфраструктуре, через которую злоумышленники разворачивают мошеннические кампании на базе Telegram Mini Apps. Это не набор разрозненных фиш-страниц, а повторно используемый fraud-kit с шаблонами, ботами, доменами, трекингом и механизмами монетизации.
Что обнаружено
По данным CTM360, инфраструктура FEMITBOT включает:
60+ активных доменов с валидными JSON-ответами
146+ Telegram-ботов, групп и каналов
15+ визуальных шаблонов
25+ JS-бандлов
100+ Pixel ID для трекинга
30+ подделываемых брендов
Кампании маскируются под криптоплатформы, стриминговые сервисы, финансовые приложения, AI-сервисы и майнинг-пулы. Среди имитируемых брендов в отчёте указаны BBC, Netflix, Binance, OKX, MoonPay, NVIDIA, Youku и другие.
Как работает схема
1. Пользователя привлекают через рекламу, приглашение в Telegram или обещание «пассивного дохода».
2. Бот предлагает нажать Launch App и открывает Mini App внутри Telegram.
3. Приложение получает данные Telegram WebApp и запускает нужный сценарий.
4. Пользователю показывают фейковый баланс, «доход в реальном времени», таймеры, VIP-слоты и другие элементы давления.
5. Чтобы «вывести заработок», просят активировать аккаунт: внести депозит или выполнить задания, например пригласить других людей.
Как устроена атака
Типовой сценарий выглядит так:
1. Трафик привлекается через Meta Ads, Telegram-инвайты и обещания пассивного дохода.
2. Пользователь запускает Telegram-бота и нажимает Launch App.
3. Mini App открывает фишинговый сайт внутри WebView, что визуально усиливает доверие к происходящему.
4. Через Telegram WebApp SDK приложение получает initData: ID пользователя, имя, timestamp и hash.
5. Клиент обращается к /api/public/init и получает конфигурацию: skin, feature flags, языки, пиксели, ссылки на APK и другие параметры.
6. Затем происходит авторизация через /api/public/telegramLogin. Сервер выдаёт JWT-cookie, после чего пользователь считается залогиненным без ввода пароля.
7. Дальше включается fraud-механика: фейковый баланс, «доход в реальном времени», таймеры, VIP-слоты и требование депозита для вывода средств.
Также в отчёте описана доставка Android APK. Сайты могут предлагать прямую загрузку, открытие через in-app browser или установку PWA. Файлы маскируются под легитимные приложения и размещаются на тех же доменах, что и API.
Вывод
FEMITBOT — хороший пример того, как fraud-as-a-service становится ближе к полноценной платформе: шаблоны, автоматизация, трекинг, брендинг, мультиканальный трафик и быстрая смена доменов.
Для защиты нужны не только блокировки отдельных URL, но и корреляция ботов, доменов, JS-бандлов, пикселей, APK и поведенческих паттернов внутри одной инфраструктуры.
@poxek | MAX | Блог | YT | RT | VK
567ERR 98,95%05 мая 2026, 18:07
CVE-2026-41940 (CVSS 9.8) — pre-auth bypass в cPanel/WHM
#CVE #cPanel #WHM #Web #AppSec
Баг позволяет получить root-доступ за счет манипуляции session-файлом через цепочку ошибок, включая CRLF-инъекцию.
Масштаб проблемы внушительный: затрагиваются cPanel & WHM, cPanel DNSOnly и WP Squared. Потенциальная поверхность атаки — все непропатченные инстансы с открытым доступом к cPanel/WHM в интернет (~1.5 млн exposed инстансов).
Техническая суть
cPanel/WHM создавал session-файл еще до аутентификации и некорректно обрабатывал входные данные. При обработке Basic Auth пароль из Authorization попадал в сессию с недостаточной очисткой, могли сохраняться управляющие символы вроде \r\n. Из-за этого атакующий мог внедрить в session-файл дополнительные строки и подставить нужные параметры, например, user=root, hasroot=1. Кроме того, часть данных могла записываться в raw session-файл без кодирования.
Затем атакующий провоцировал повторное чтение этой сессии, и сервер уже воспринимал внедренные значения как валидные.
Пайплайн атаки
Атакующий создает pre-auth session через неуспешную попытку входа
Получает whostmgrsession cookie и повторно использует его без <ob>-части
Отправляет Basic Auth, где в пароль встроены CRLF и дополнительные session-поля
Эти строки попадают в raw session-файл
Затем атакующий триггерит путь обработки неверного/отсутствующего cp_security_token, чтобы raw-сессия была перечитана и записана в JSON-cache
После этого внедренные поля становятся top-level-параметрами сессии
За счет successful_internal_auth_with_timestamp проверка пароля фактически обходится
В результате атакующий получает root-доступ без знания пароля
Реагирование
Обновить cPanel & WHM / WP Squared до пропатченных версий
Запустить официальный detection script от cPanel для поиска IOC в session-файлах
Проверить /var/cpanel/sessions/raw/, /var/cpanel/sessions/preauth/, session-cache и access logs
Провести ротацию root, WHM/reseller и пользовательских паролей
Если нельзя сразу обновиться — ограничить доступ к портам 2083, 2087, 2095, 2096 и Service Subdomains, либо временно остановить cpsrvd/cpdavd
Источник
@poxek | MAX | Блог | YT | RT | VK
524ER 0,19%ERR 91,45%06 мая 2026, 16:44
Троянизированные версии DAEMON Tools почти месяц распространялись по сети
#SupplyChain #Backdoor #Infostealer #ThreatIntelligence #APT
С 8 апреля по начало мая 2026 года по сети через официальные каналы распространялись зараженные установщики DAEMON Tools: затронуты версии с 12.5.0.2421 до 12.5.0.2434. Специалисты Лаборатории Касперского отмечают, что это искусно организованная supply chain атака с элементами целевой активности (на учебные, промышленные и госучреждения).
В коде были найдены комментарии на китайском языке, при этом аналитики пока не связывают атаку с конкретным актором.
Вредоносная нагрузка
Злоумышленникам удалось скомпрометировать бинарники DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Вредоносный код внедрен в ранние этапы их выполнения, часть компонентов запускается как сервисы при старте системы.
После запуска происходит сбор информации (MAC-адрес, имя хоста, доменное имя DNS, список процессов, установленное ПО, язык системы) с последующей отправкой на C2 через POST-запрос.
Дополнительно доставлялся бэкдор с возможностями загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Также использовался lightweight-бэкдор для развертывания более сложного импланта QUIC RAT, ранее замеченного в атаке на одно учебное заведение в России.
Масштаб проблемы
С 8 апреля зафиксированы тысячи заражений через скомпрометированные бинарники. Пострадали пользователи в 100+ странах, при этом наибольшее число — в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.
Около 10% затронутых систем принадлежат организациям. В большинстве случаев доставлялся стилер. Более сложный бэкдор обнаружен на ограниченном числе систем государственных, научных, производственных и розничных организаций в России, Беларуси и Таиланде. Это может указывать на элементы целевой атаки.
Исправление
Специалисты Лаборатории Касперского связались с AVB Disc Soft (разработчиком DAEMON Tools) для устранения последствий атаки. На текущий момент на сайте нельзя скачать зараженные версии установщика (доступны 12.5.0.2415). По всей видимости, зараженные версии (с 12.5.0.2421 до 12.5.0.2434) были удалены.
Источник
@poxek | MAX | Блог | YT | RT | VK
517ER 0,39%ERR 90,23%Разместите рекламу в Похек
Свяжитесь через наш специальный канал связи с администрацией для получения деталей
Похожие каналы в категории «Технологии»
Похек
Канал Похек входит в каталог каналов MAX мессенджера на сайте MXStat.ru. Мы предоставляем актуальную статистику по количеству подписчиков, публикаций и другую аналитику для всех каналов в мессенджере MAX. Используйте наш каталог каналов для поиска интересных каналов по различным категориям.
О канале Похек
Похек — это популярный канал в мессенджере MAX в категории «Право». На канал подписано 617 человек, опубликовано 116 постов с актуальным и интересным контентом.
Почему стоит подписаться на Похек
- Качественный контент — регулярные публикации от проверенных авторов
- Активное сообщество — 617 подписчиков
- Большой архив — более 116 постов с полезной информацией
- Актуальность — свежие новости и обновления в теме «Технологии»
Как подписаться на канал?
Чтобы подписаться на канал Похек, нажмите на кнопку «Открыть в MAX» выше. Вы будете перенаправлены в мессенджер MAX, где сможете подписаться на канал одним кликом. Присоединяйтесь к 617 подписчикам и получайте актуальный контент в категории «Технологии».