Новая атака группы APT28 на компании в странах НАТО

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём кампанию российской группировки APT28, нацеленную на компании в странах НАТО.

⏺NotDoor - что это: VBA-бэкдор для Outlook, который следит за входящей почтой и ждёт «триггерного» письма. Как только оно приходит, хакеры могут забирать файлы, слать данные и выполнять команды на вашей машине. Название связано с тем, что в коде часто встречается слово “Nothing”.

⏺Как он попадает в систему: через OneDrive с хитрой техникой DLL side-loading. Запускается DLL (SSPICLI.dll) и сразу отключает защиту макросов. Дальше PowerShell-команды шифруют данные, создают устойчивость через реестр и делают всё максимально незаметно.

⏺Что делает внутри: VBA слушает события Outlook (MAPILogonComplete и NewMailEx), создаёт папку %TEMP%\Temp для временных файлов и отсылает их на Proton Mail. Письма с триггером, например «Daily Report», заставляют выполнять встроенные команды.

⏺Какие команды умеет: cmd - выполнить команду и прислать результат, cmdno - выполнить тихо, dwn - украсть файлы, upl - загрузить файлы на машину жертвы.

⏺Скрытность и фишки: хакеры используют Microsoft Dev Tunnels и Telegram для скрытой связи с C2, ротацию доменов через Cloudflare Workers, маскируют трафик под обычные сервисы - почти полностью «невидимы».

ZeroDay | #безопасность

Корпоративный прокси в одной фото 😁

ZeroDay | #мем

Свой мессенджер вместо MAX: Matrix и XMPP на домашнем сервере

В какой-то момент автор статьи понял, что звонить по мобильной сети в 2025 году - это уже моветон: качество хуже, чем в VoIP, а про безопасность и говорить нечего. Популярные мессенджеры вроде Telegram и WhatsApp тоже не вариант: либо риски утечки, либо странные ограничения. А вот MAX у него вообще отказался запускаться - и ладно.

⏺В статье рассказывается, как на своём сервере автор развернул два конкурирующих протокола - Matrix (Synapse) и XMPP (Ejabberd) - и сравнил их на практике. Пошагово показано разворачивание в Docker с Portainer, объясняется, зачем нужен Coturn для звонков, и какие клиенты удобнее в реальной жизни (спойлер: родители тоже тестировали).

ZeroDay | #Статья

📝 Типы атак на пароли

⏺Browser Autofill Exploit — извлечение сохранённых паролей из автозаполнения браузера.

⏺Brute Force Attack — перебор всех возможных комбинаций символов до нахождения правильного пароля.

⏺Credential Stuffing — использование украденных логинов и паролей из одной утечки для доступа к другим сервисам.

⏺Dictionary Attack — подбор пароля из заранее составленного списка распространённых слов.

⏺Hash Collision Attack — использование слабостей хэш-функций для подбора разных данных с одинаковым хэшем.

⏺Keylogging — запись нажатий клавиш, чтобы перехватить пароль в момент ввода.

⏺Man-in-the-Middle Attack — перехват трафика между пользователем и сервисом для кражи учётных данных.

⏺Password Spraying — проверка нескольких популярных паролей сразу на множестве аккаунтов, чтобы избежать блокировок.

⏺Phishing Attack — обман через поддельные сайты или письма, чтобы выманить пароль у жертвы.

⏺Rainbow Table Attack — использование заранее вычисленных таблиц для расшифровки хэшей паролей.

⏺Shoulder Surfing — подсмотр пароля через плечо или с помощью камер.

⏺Social Engineering — манипуляции с человеком, чтобы заставить его выдать пароль добровольно.

ZeroDay | #атака

Киберустойчивость: как бизнес выживает во время атак

👋 Приветствую в мире цифровой безопасности!

— «Вы точно выдержите кибератаку?»
— «А если система ляжет, что будет с нашими данными?»

⏺Такие вопросы сегодня звучат постоянно. Простое «у нас есть защита» уже не успокаивает - бизнесу важно видеть реальную готовность компании выстоять под атаками. Тут на первый план выходит киберустойчивость - умение продолжать работу даже в случае атаки или сбоя.

⏺От CISO ждут не стопки отчётов, а прямого ответа: где настоящие риски и как они бьют по бизнесу.

⏺В Innostage, где, помогают бизнесам строить киберустойчивость, подход строится на трёх принципах:
1️⃣Измеримость — от «недопустимых событий» до Индекса защищённости.
2️⃣Управляемость — понятная логика решений, а не хаос.
3️⃣Финансовая привязка — разговор на языке бизнес-рисков и затрат.

⏺В итоге киберустойчивость уже не дело одного ИБ, а часть стратегии: помогает контролить риски, принимать решения и показывать клиентам и партнёрам, что компании вполне можно доверять.

📅 Об этом будут говорить профи и эксперты на Kazan Digital Week 17–19 сентября.

ZeroDay | #cybersecurity

Sliver — кроссплатформенный фреймворк для Red Team

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: кроссплатформенный фреймворк для эмуляции атак. Работает на Windows, Mac и Linux, а его импланты подстраиваются под вашу цель.

⏺А вот что умеет: он генерирует код за секунды, прячет его при компиляции, работает с staged и stageless payloads. Также тут безопасная связь с сервером через mTLS, WireGuard, HTTP(S) и DNS. Можно скриптить на Python или JS/TS, мигрировать процессы, делать инъекции, манипулировать токенами, разворачивать TCP и named pipe pivot, запускать .NET сборки прямо в памяти… и это только часть.

⏺Зачем нужен: чекнуть, где ваша защита слабая, потренировать команду реагирования и посмотреть, как настоящие Red Team обходят системы, не ломая ничего критичного.

⏺Быстро стартуем:

git clone https://github.com/BishopFox/sliver.git
cd sliver
make
./sliver-server
./sliver-client

ZeroDay | #Инструмент

Все тонкости GPG-подписей

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, что такое GPG-подписи и зачем они нужны вообще.

⏺Что это: GPG-подпись - это способ доказать, что файл или сообщение действительно отправил тот, кто его подписал, и что его не подменили по пути. По сути, это как цифровая подпись на бумажном документе, только для файлов и писем. Даже если кто-то перехватит файл, подделать подпись без приватного ключа невозможно.

⏺Подпись файлов:

1️⃣Создаём ключ:

gpg --full-gen-key

Выбираем RSA 4096, срок действия, имя и почту. GPG попросит немного случайных действий (печать, движения мышкой), чтобы ключ был «живым».

2️⃣Подписываем файл:

gpg --sign -u your_email@example.com msg

Файл msg.gpg теперь содержит ваше сообщение + подпись.

3️⃣Красивый ASCII-формат:

gpg --armor --sign -u your_email@example.com msg

Или вариант для людей — clear-sign, где сообщение остаётся читаемым:

gpg --clear-sign -u your_email@example.com msg

⏺Detached signatures: подпись в отдельном файле, если не хотите смешивать её с сообщением:

gpg --detach-sign -u your_email@example.com msg
gpg --armor --detach-sign -u your_email@example.com msg

Проверяем так:

gpg --verify msg.asc
gpg --verify msg.asc msg

Если кто-то изменит хотя бы один символ, GPG сразу скажет, что подпись плохая.

⏺Проверка чужих подписей:

gpg --import key.pub
gpg --verify msg.asc

GPG проверит подпись, но предупредит, если ключ не доверенный. Подпись будет валидной, но доверять ей - решать вам.

ZeroDay | #GPG

GPG: подписи и доверие к ключам
Часть 2

👋 Приветствую в мире цифровой безопасности!

В прошлый раз мы говорили о GPG-подписях для файлов. В этот раз обсудим, как работает доверие к ключам.

⏺Слепо доверять нельзя: Представим: Боб отправляет Алисе свой ключ, но посередине сидит Ева. Она может подделать ключ и «заменить» его на свой. Когда Боб пришлёт сообщение, Ева сможет подписать его своим ключом, и Алиса ничего не заметит. Так что просто скачать чужой ключ и довериться ему - ну так себе идея.

⏺Web of Trust - сеть доверия: Вместо централизованных сертификатов (как в HTTPS) GPG использует Web of Trust. Смысл прост: ты доверяешь подписям людей, которым доверяешь сам.

Уровни доверия к подписям:
➡️Не знаю или не буду отвечать
➡️Не доверяю
➡️Доверяю ограниченно (для полноценного доверия нужно несколько таких подписей)
➡️Полностью доверяю (одной подписи достаточно)
➡️Абсолютно доверяю (только для твоего ключа)

⏺Пример на практике: У Алисы и Боба есть ключи друзей, и они могут проверить ключи друг друга через общих знакомых, подписать чужие ключи и обменяться подписанными ключами. Теперь никакая Ева им не страшна: подделка одной подписи не даст ей обмануть сеть.

⏺Подписываем чужой ключ

gpg --edit-key user@example.com
gpg> sign -u Alice
gpg> save

После этого проверка подписи файла покажет доверие:

gpg --verify msg.asc

Если всё сделано правильно - подпись валидна и доверие подтверждено.

⏺Проверка реального файла

wget https://github.com/szaffarano/wofi-power-menu/releases/download/v0.3.1/wofi-power-menu-linux-x64
wget https://github.com/szaffarano/wofi-power-menu/releases/download/v0.3.1/wofi-power-menu-linux-x64.asc
gpg --recv-keys 42BE68F43D528467FC281E2E310FFE86A2E427BA
gpg -u David --lsign-key 42BE68F43D528467FC281E2E310FFE86A2E427BA
gpg --verify wofi-power-menu-linux-x64.asc

ZeroDay | #GPG

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ Кибербезопасность 2025
⏺ Огромный курс по кибербезу нуля до про
⏺ Кибербез от Касперского
⏺ Белый хакинг
⏺ Плейлист по OSINT

ZeroDay | #Подборка

Deep-dive, или когда обновиться недостаточно

Обновление библиотеки - первое, что советует SCA-отчёт. Но что делать, если патча нет, обновление ломает совместимость или уязвимость - мнимая? В таких случаях можно уже нужно копать глубже: читать CVE, смотреть код, проверять, реально ли приложение вызывает уязвимый путь, и думать про обходные меры.

⏺В статье будет краткий чек-лист Deep-dive: верификация SCA, поиск первоисточников, оценка эксплуатируемости и практические обходы (конфиги, мониторинг, тестовая эксплуатация). Кейсы на Spring/Struts и Python показывают, как решать прям на практике.

ZeroDay | #Статья

MyIP: универсальный чекер IP и сетевых связей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺MyIP - универсальный «чекер» всего, что связано с твоим IP: геолокация, DNS- и WebRTC-утечки, доступность сайтов, speed test, MTR и whois. Короче все в одном месте, без беготни по десятку сервисов.

⏺Можно быстро проверить пинг до серверов по миру, доступность популярных сайтов и получить полную инфу по любому IPшнику.

⏺Смотрим локально:

git clone https://github.com/jason5ng32/MyIP.git
cd MyIP
npm install && npm run build
npm start

Или одной командой через Docker:

docker run -d -p 18966:18966 --name myip jason5ng32/myip:latest

⏺И финально, что еще есть классного: PWA, мобильный режим, тёмная тема, хоткеи и встроенный чек-лист по кибербезу даже 😎

ZeroDay | #Инструмент

DLP vs CASB: что выбрать?

👋 Приветствую в мире цифровой безопасности!

Разберем, что выбрать для защиты от утечек данных — DLP или CASB.

⏺DLP (Data Loss Prevention) - это как внутренний «охранник» компании. Следит, чтобы важные данные не улетели наружу: почта, флешки, копирование файлов. Помогает предотвратить случайные утечки или намеренные кражи инфы внутри компании. Главное, что DLP отлично работает внутри корпоративной сети, но с облачными сервисами и SaaS ограничений больше.

⏺CASB (Cloud Access Security Broker) — такой «страж» облака. Контролирует доступ к SaaS, проверяет трафик, шифрует данные, ловит подозрительные действия и блокирует непонятные подключения. Он ориентирован на облачные сервисы, поэтому локальные файлы и устройства под его зоной действия не всегда.

ZeroDay | #CASB #DLP

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺Linux capabilities вместо SUID: SUID-бинарники - это старый трюк, но современные админы иногда забывают про capabilities.

getcap -r / 2>/dev/null

➡️ Видите cap_net_admin или cap_setuid+ep? Вот теперь можно изучить бинарь и поднять права. Защита проста: убрать лишние capabilities и мониторить их появление.

⏺PATH-hijack через cron или systemd: Если сервис запускает команды без полного пути — подкиньте свой бинар в каталог, который стоит раньше в PATH:

echo -e '#!/bin/bash\ncp /bin/sh /tmp/rootsh && chmod +s /tmp/rootsh' > /tmp/backup
chmod +x /tmp/backup
export PATH=/tmp:$PATH

➡️ Защита: жёсткий PATH и абсолютные пути в unit-файлах и crontab, запрет на запись в системные каталоги.

⏺SSH-agent forwarding & ProxyCommand для тихого pivot: Агент на цели может быть вашим тайным оружием: ключи остаются у вас, а доступ дальше можно получить через ProxyCommand/ProxyJump.

ssh-add -L   # покажет ключи агента

➡️ Защита: отключать агент-форвардинг (AllowAgentForwarding no) и следить за нестандартным SSH-трафиком.

ZeroDay | #пентест

📝 Типы спуфинг атак по уровням OSI

⏺Прикладной уровень (Layer 7): Здесь обман чаще всего идёт напрямую на вас. Хакеры подменяют адреса сайтов, чтобы вы случайно оказались на фейковой странице. Они могут отправлять письма, выдаваясь за знакомых или оф службы.

⏺Представительский уровень (Layer 6): уровень занимается форматами и кодировками - и именно тут умельцы маскируют вредоносные файлы под безопасные. Они могут подменять содержимое страниц и хитро обходить проверки, меняя кодировки символов.

⏺Сеансовый уровень (Layer 5): Атаки на этом уровне - это уже про захват или подделку сессий. Хакеры перехватывают защищённые соединения с помощью поддельных сертификатов, повторно используют ваши сессионные ключи или заставляют устройство пользоваться заранее подготовленными идентификаторами.

⏺Транспортный уровень (Layer 4): Здесь пытаются вмешаться в уже установленное соединение. Это может быть внедрение вредоносных данных в TCP-сессии, отправка команд для разрыва связи или создание нагрузки.

⏺Сетевой уровень (Layer 3): Здесь начинается подмена адресов и маршрутов. Хакеры отправляют пакеты с чужими IP-адресами, чтобы скрыть себя, подменяют маршруты, чтобы перехватывать трафик, и вводят ложные данные о маршрутизации, направляя трафик через себя.

⏺Канальный уровень (Layer 2): В локальной сети хакеры подменяют MAC-адреса и даже создают фейковые устройства. Они отправляют поддельные ARP-ответы, маскируются под чужие MAC, запускают ложные Wi-Fi точки доступа.

ZeroDay | #атака

Криптопаразиты-снайперы: грабь награбленное‽

Биткоин-головоломки с «легкими» BTC казались простым выигрышем, пока не появились криптопаразиты, то есть хакеры, которые перебивают транзакции и забирают приз себе. Механика тут проста: транзакция раскрывает публичный ключ, а слабые кошельки позволяют быстро вычислить приватный и отправить свою транзакцию с более высокой комиссией.

⏺В статье у нас краткий разбор: как перебивают транзакции, ускоряют ставки, используют PoC и тестовые скрипты, чтобы забрать награбленное. Кейсы на 6.6–6.9 BTC показывают, как паразиты действуют быстрее обычного юзера и почему нужно быть осторожным с «легкими» головоломками.

ZeroDay | #Статья

afrog: сканер, который ускоряет пентест

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: afrog - быстрый и стабильный сканер на Go. Пробегает встроенные PoC: CVE, CNVD, default-пароли, info-leak, RCE, arbitrary file read и многое другое. Можно добавлять свои PoC, а результаты сразу превращаются в аккуратный HTML-отчёт.

⏺В чем удобство: мало ложных срабатываний, легко масштабируется на десятки сайтов, поддерживает фильтры по ключевым словам и уровню критичности, плюс JSON для CI/CD.

⏺Глянем на практике:

git clone https://github.com/zan8in/afrog.git
cd afrog
go build cmd/afrog/main.go
./afrog -h

Скан одного сайта:

./afrog -t https://example.com

Скан по списку:

./afrog -T urls.txt

⏺Полезные флаги:
• -P <mypocs/> — свои PoC
• -s keyword1,keyword2 — поиск по ключевым словам
• -S high,critical — фильтр по серьёзности
• -json / -json-all — сохранить результаты в JSON
• -web — локальный веб-интерфейс для просмотра отчётов

⏺Для сложных PoC: некоторые проверки требуют OOB (ceye, dnslog и др.). Первый запуск создаёт ~/.config/afrog/afrog-config.yaml — настройте секцию reverse и API ключи, чтобы все blind-RCE работали корректно.

ZeroDay | #Инструмент