AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая!

Более 30 виртуальных машин, которые не взломает 80% участников CTF:
🔸AD-сети с миксом Windows/Linux
🔸Задачи на эскалацию привилегий, persistence, stealth
🔸Разбор решений от победителей the Standoff

Бросаем вызов с 29 мая 😎
🔴Регистрация

Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.

Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.

🔥 Цепочка атаки

1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.

2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.



3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.

4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.

❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.

С Днём труда, бойцы киберфронта! 😎

Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.

Process Environment Block (PEB) — это золотая жила для исследователей кода, содержащая критически важные данные о процессе, обычно скрытые в ядре. В новой статье разбираем, как с помощью PEB можно:

🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)

Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.

🔴Исходники и полная статья

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Звездный сейф

🔎 Категория OSINT — Пасхалка
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Старая версия
🟠Стеганография - Н.Н.
🟠Разное - Старый боец

Приятного хакинга!

Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.

Внимание, друзья! 🚩

Поддержите наш проект hackerlab.pro — проголосовав за нас в конкурсе!

🔗 Ссылка для голосования

Важно:
1️⃣ Зарегистрируйтесь на платформе.
2️⃣ Подтвердите почту и телефон (иначе голос не засчитают).
3️⃣ Голосуйте за нас до 07.05 23.59!

Каждый голос помогает развитию проекта! Заранее благодарим за поддержку 😎

🖥 Вакансия: Контент-мейкер / Редактор сообщества

Ищем человека, который будет запускать и поддерживать производство качественного контента на тему информационной безопасности — как самостоятельно, так и с привлечением авторов.

Что делать:
🟢Привлекать авторов, формулировать задачи, помогать с фокусом.
🟢Искать интересные инфоповоды и превращать их в полезный контент.
🟢Писать статьи, запускать опросы и конкурсы.
🟢Следить за качеством всего выпускаемого контента.

Будет большим плюсом:
🟠Понимание тематики ИБ / технический бэкграунд
🟠Умение объяснять сложное простым языком.
🟠Опыт редактуры и взаимодействия с авторами.
🟠Самостоятельность в ведении контент-проектов.

🔴Подробнее о вакансии
🚀 Отправьте резюме и портфолио @The_Codeby

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»

14 мая в 19:00 (МСК) | Онлайн | Бесплатно
🔴Регистрация

Linux уже давно перестал быть инструментом исключительно для системных администраторов. Сегодня это необходимый навык для DevOps-инженеров, специалистов по кибербезопасности и всех, кто работает с IT-инфраструктурой.

На нашем вебинаре мы:
▪️ Развеем мифы о сложности Linux и покажем, как начать работать с ним уверенно
▪️ Продемонстрируем практическое применение в реальных рабочих задачах
▪️ Расскажем о карьерных перспективах для специалистов, владеющих Linux
▪️ Дадим пошаговый алгоритм освоения системы

Особое внимание уделим:
✅ Работе с терминалом (основные команды и их применение)
✅ Решению типовых задач системного администрирования
✅ Возможностям для профессионального роста

Ведущий: Дмитрий Семьянов — действующий специалист по пентесту, куратор курса «Основы Linux».

Не пропустите! 😎 Регистрация здесь.

🚀 Трудности с регистрацией? Пишите @Codeby_Academy

Пентест веб-приложений: 6 инструментов, с которых стоит начать

Хотите попробовать себя в роли пентестера и увидеть веб-сайты наизнанку? 👀 Тогда вам сюда.

Мы собрали 6 мощных и бесплатных инструментов, которые помогут перехватывать трафик, находить скрытые директории, взламывать формы авторизации и тестировать сайт на уязвимости — без лишней теории, только практика.

📌 В обзоре:
▪️Burp Suite и ZAP для анализа трафика и перехват запросов
▪️Nikto и Nuclei — быстрые сканеры уязвимостей
▪️sqlmap — автоматический поиск и эксплуатация SQL-инъекций
▪️dirsearch — брутфорс скрытых директорий

И бонус — практика на платформе hackerlab.pro, где вы сможете применить всё это в реальных сценариях 😎

➡️ Прочитайте статью — и узнайте, с чего начать путь в кибербез!

Foremost

Foremost — это консольная утилита для восстановления удалённых файлов, основанная на анализе заголовков и структуры данных. Она используется в криминалистике и для восстановления данных с дисков и флеш-накопителей, позволяя извлекать файлы даже из повреждённых или недоступных разделов.

💡Возможности:
⏺️Восстановление файлов
⏺️Поддержка форматов
⏺️Криминалистический анализ

📎Установка:

sudo apt-get install foremost

или из источника:

git clone https://salsa.debian.org/rul/foremost.git

cd foremost

📌Использование:
⏺️Восстановление данных с устройства:

foremost -i [/dev/sda0] -o [OUTPUT]

⏺️Фильтрация по типу файлов:

foremost -i [/dev/sda0] -o [OUTPUT] -t jpg,png

Друзья, напоминаем, на каких курсах начинается обучение в мае ⤵️

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»: 14 мая в 19:00 (МСК) 🔴Регистрация

Старт 12 мая:
🌟Курс «OSINT: технология боевой разведки» — обновленный курс по лучшим практикам OSINT с Екатериной Тьюринг.
🌟Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин.
🌟Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках.

Старт 19 мая:
🌟Курс «Основы Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes.

Старт 29 мая:
🌟Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directory в лаборатории на 30+ виртуальных машин.

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Группировка MirrorFace атакует японские организации, используя Windows Sandbox и Visual Studio Code для скрытного внедрения вредоносного ПО LilimRAT.

Как это работает?
🔸 Злоумышленники включают отключённую по умолчанию Windows Sandbox после взлома системы.
🔸 Через WSB-конфиг настраивают общие папки, сетевые подключения и автозапуск скриптов.
🔸 Windows Defender в Sandbox не работает, что позволяет скрытно запускать эксплоиты.

Новые угрозы после обновлений Windows 11:
✅ Фоновый запуск Sandbox через wsb.exe
✅ Возможность работы без WSB-файлов (меньше следов)
✅ Песочница не удаляется при закрытии окна — только через wsb.exe stop

Мониторинг процессов:
🔸WindowsSandbox.exe, wsb.exe, vmmemWindowsSandbox
🔸Сетевой трафик (Sandbox использует IP хоста).

🔴 Подробнее в статье

Кодебай, с Днём Победы! 😎

9 мая — это день, когда мы вспоминаем подвиг наших дедов и прадедов, которые отстояли свободу и независимость нашей Родины.

Мы чтим память тех, кто сражался на фронте, трудился в тылу и не жалея сил приближал Победу. Их мужество, стойкость и самоотверженность навсегда останутся в наших сердцах.

Пусть память о героях будет вечной, а их подвиг вдохновляет нас на мир и процветание! 🇷🇺

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — Мертвая точка

🔑 Категория Криптография — Сокровище 2
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Админ
🟠Разное - Бэкдор
🟠Стеганография - Найти и обезвредить

Приятного хакинга!

♥️ EmploLeaks — инструмент, разработанный для сбора информации из открытых источников, помогающий собирать данные о сотрудниках компании.

👀 Принцип работы
Выполняет поиск в LinkedIn для получения списка сотрудников компании, используя API или имитацию сессии. Затем ищет их личные адреса электронной почты с помощью профилей в социальных сетях и использует найденные адреса для проверки на наличие утекших паролей в индексированной базе данных COMB (Compilation of Many Breaches). В выводе предоставляет список сотрудников, профили в социальных сетяx, их email и утекшие пароли, если они есть.

👩‍💻 Установка
Для установки клонируем репозиторий, переходим в папку cli и устанавливаем зависимости. При установке может возникнуть проблема с библиотекой psycopg2-binary и решается с помощью отдельной её установки последней командой:

git clone https://github.com/infobyte/emploleaks
cd /emploleaks/cli
pip install -r requirements.txt
pip install psycopg2-binary

✏️Основное использование
⏺️Запускаем python3 emploleaks.py
⏺️Указываем плагин для работы с LinkedIn use --plugin linkedin
⏺️Устанавливаем учетные данные от нашего аккаунта или используем cookie:

setopt USER [email protected]
setopt PASS password

//or
setopt JSESSIONID id
setopt li-at li_at 

⏺️Устанавливаем сессию run login или run impersonate и приступаем к сбору данных run find CorpName

Для сопоставления электронных адресов сотрудников с потенциальными утечками паролей необходимо подключиться к базе данных и запустить скрипт:

connect --user myuser --passwd mypass123 --dbname mydbname --host 1.2.3.4
run_pyscript workflows/check_leaked_passwords.py EvilCorp

Для создания своей версии бд необходимо сначала скачать торрент-файл размером 400гб и импортировать скачанные файлы с помощью команды: create_db --dbname leakdb --user leakdb_user --passwd leakdb_pass --comb /home/user/Downloads/comb