Исследователи обнаружили ранее неизвестный бэкдор для Linux под названием GTPDOOR, который был разработан для скрытых операций в сетях мобильных операторов. Отличительной особенностью этой малвари является использование протокола GTP (GPRS Tunnelling Protocol) для связи с управляющими серверами.
Для подписчиковСегодня мы с тобой поработаем с фреймворком Spring Boot и проведем инъекцию команд, чтобы получить доступ к веб‑серверу. Захватив сессию, покопаемся в базе данных в поисках учетных данных, а при повышении привилегий применим технику GTFOBins для SSH.
Полиция Дюссельдорфа сообщила о ликвидации Crimemarket, крупной немецкоязычной платформы для торговли запрещенными веществами, которой пользовались более 180 000 человек. Также сообщается об аресте шести подозреваемых, один из которых был оператором закрытого маркетплейса.
Исследователи Avast рассказали, что северокорейская группировка Lazarus использовала уязвимость повышения привилегий в Windows как 0-day. Этот баг был исправлен в феврале 2024 года, лишь через полгода после того, как Microsoft сообщили, что уязвимость уже взята на вооружение хакерами.
Эксперты компании BI.ZONE обнаружили новую хак-группу Fluffy Wolf, которая не менее 140 раз пыталась атаковать российские компании. По словам исследователей, основная цель группировки – кража учетных данных (скорее всего, для дальнейшей перепродажи). При этом аналитики характеризуют хакеров как низкоквалифицированных, так как те не пишут малварь сами, а покупают готовые решения, для доставки которых рассылают фишинговые письма.
В 2024 году опенсорсному проекту OpenWrt исполняется 20 лет. Разработчики решили отпраздновать этот юбилей дизайном нативного маршрутизатора OpenWrt One/AP-24.XY. Пока что это идея, предложенная на обсуждение сообществу. В целом, преимущества свободной прошивки OpenWrt для маршрутизаторов хорошо известны. Это улучшенная безопасность и надёжность работы устройства, продвинутые функции блокировки рекламы, точечное перенаправление трафика по спискам доменов (например, для РФ внутри страны, дл…
Телеграм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен. В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в с…
Небольшое предисловиеНаписать эту статью меня сподвигло мое недавнее общение с HR российских компаний. И мое немалое удивление насколько бедным, неорганизованным и кустарным оно выглядит по сравнению с их коллегами на другой стороне глобуса. Это выглядит очень удивительно, учитывая что многие, если не большинство, российских софтверных компаний ориентируются на западные практики. Но этот «взгляд» почему‑то никак не трансформируется в заимствование и адаптацию практик найма людей, а ведь любую …
Безотказный способ вовлечь людей в дискуссию — регулярно публиковать эту штуку в Twitter. Иногда я ненавижу подобные скрупулёзные разборы тем, но в данном случае, к чёрту, давайте разберём эту хреновину по косточкам, и посмотрим, сколько полезной информации мы можем из неё извлечь.Какую кнопку бы вы выбрали? Нажатие на красную даёт вам миллион долларов, а на зелёную — 50% шанс получить $50 миллионовНачнём с очевидного.Ожидаемая стоимость при выборе зелёной кнопки цвета составляет $25 млн.Многи…