C
Cybred
16.07.2026 11:31 · 👁 1.7K
Клименко начал бы вычислять идеальные кантики
В начале этого года FlamingChina заявил о самом крупном взломе в истории современного Китая. Хакеру удалось слить10 петабайт данных (во что верится с трудом) из Национального суперкомпьютерного центра в Тяньцзине — ключевого хаба, обслуживавшего тысячи клиентов, включая военных.
Он проник внутрь через взломанный VPN и полгода понемногу выкачивал данные. В сэмпле с брички оказалось много интересного:
> вместо Autodyn, китайцы перешли на собственный инженерный пакет GalaxyEDS. Он позволяет запускать тысячи сценариев (меняя углы, скорость и тип материалов) для конвейерных расчетов, чего не умеет Autodyn "out of the box"
> физики смоделировали обстрел установки HIMARS. Она детализирована в точности до винтиков, включая бортовые компьютеры, проводку, топливные баки и даже пластик сидений в кабине. Все ради того, чтобы можно было точно рассчитать выход из строя конкретных подсистем при поражении осколками
> отдельный блок — оптимизация планера. Классические алгоритмы требуют кучу ресурсов для вычисления аэродинамики из-за множество переменных (у одного только крыла это изгиб, угол, толщина в разных точках). На расчет лучшей формы могут уйти годы работы суперкомпьютера
> китайцам, видимо, удалось решить эту проблему. В утекших скриптах на Python и Fortran видно, как алгоритм деформирует обшивку, вылизывая каждый миллиметр под конкретные частоты радаров
> в файлах засветился пользователь avic_caorf. Google быстро вывел на реального инженера Cao Rongfu из Китайского института дизайна вертолетов. Судя по утечке, вместо скрепных Ми-8, ему гораздо больше понравились закупленные в 80х вертолеты Black Hawk, которые он "разреверсил" и использовал в эталонных бенчмарках
Полный обзор:
— NSCC files, часть 1: частные вопросы конечной баллистики
— NSCC files, часть 2: Aero-stealth shape optimization
— NSCC files, часть 3: нефть, вертолеты, космос
C
Cybred
07.07.2026 18:01 · 👁 5.1K
https://github.com/usestrix/strix
Мультиагентный AI-пентестер. Умеет как атаковать блэкбоксом (достаточно указать таргет), так и разворачивать приложения из исходников, чтобы найти в них уязвимости и проэксплуатировать.
Под капотом скоординированная команда AI-агентов:
— Reconnaissance Agent — отвечает за разведку, сканирует порты и мапит поверхность атаки.
— Code Analysis Agent — шерстит исходный код в режиме white-box, выискивая небезопасные конструкции.
— Dynamic Testing Agent — фаззит эндпоинты и активно взаимодействует с «живым» веб-приложением.
— Validation Agent — получает данные от коллег, пилит под них эксплойты и проверяет, можно ли взломать таргет в реальности.
За счет такой синергии агенты умеют выстраивать сложные цепочки уязвимостей. Если Strix находит баг, на выходе получаешь готовый и рабочий PoC.
Имхо: хороший ассистент как для DevSecOps-пайплайнов (чтобы гонять свои приложения до деплоя), так и для баунти-хантеров, желающих автоматизировать рутинный первичный анализ.
C
Cybred
06.07.2026 09:37 · 👁 2.8K
• Исследователи из команды Sysdig обнаружили первый случай атаки шифровальщика, который был полностью реализован с помощью ИИ, без участия человека. Кампания получила название JADEPUFFER.
• Точкой входа стал доступный из интернета сервер с Langflow - популярным инструментом, на котором собирают приложения на основе ИИ. В инструменте была обнаружена уязвимость (CVE-2025-3248), позволяющая без всякого пароля запустить на сервере произвольный код. К слову, уязвимость исправили еще в мае 2025 года, но в сети еще куча серверов, которые не обновлялись.
• Что касается атаки, то ИИ смог найти у жертвы ключи от OpenAI, Anthropic, DeepSeek, доступы к облакам, пароли к базам данных и криптокошельки. Также был найден сервер с базой данных MySQL и сервисом хранения настроек Nacos. К самой базе ИИ подключился с правами администратора, причем откуда у него взялся этот доступ, эксперты Sysdig выяснить не смогли.
• Ну и под конец ИИ выполнил шифрование системы и всех файлов, удалил исходные таблицы и оставил записку с требованием выкупа - btc-адресом и почтой для связи.
• Соль в том, что программу-вымогатель было невозможно расшифровать, так как ИИ-агент нигде не хранил ключ шифрования, так что вернуть данные и восстановить инфраструктуру жертва не смогла бы даже после оплаты.
➡️ Более детальная информация и технические подробности можно найти тут: https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
#AI #Исследование
C
Cybred
10.06.2026 16:30 · 👁 6.2K
Пока они фиксят, он компилирует новый PoC
После того, как Microsoft снесла все репозитории Nightmare Eclipse с GitHub и GitLab, сообщество не позволило знаниям исчезнуть. Энтузиасты собрали все эксплойты и сохранили на отдельном сайте, которым поделился сам исследователь.
— RoguePlanet (10.06): LPE до SYSTEM через Microsoft Defender
— MiniPlasma (17.05) — LPE через драйвер cldflt.sys
— GreenPlasma (13.05) — LPE через CTFMON
— YellowKey (13.05) — обход BitLocker
— RedSun (16.04) — LPE до SYSTEM через Defender
— UnDefend (16.04) — отключение/обход защиты и обновлений Defender
— BlueHammer (03.04) — LPE до SYSTEM через компоненты Defender.
Зеркало включает все прошлые зеродеи, в том числе RoguePlanet, вышедший вчера.
C
Cybred
05.06.2026 06:29 · 👁 5.6K
Codex for Open Source
Альтман проснулся в хорошем настроении и решил раздать всем желающим доступ к Codex Security, ChatGPT Pro, а еще подарить кучу API-кредитов.
Бесплатно и на 6 месяцев.
Самое интересное здесь Codex Security. Это Mythos от OpenAI, который умеет строить глубокий контекст проекта, находить сложные уязвимости и генерировать готовые эксплойты.
На сайте говорится, что можно подавать заявку, если у тебя есть хоть какой-нибудь проект на GitHub. Официального порога по звездам нет, главное — изредка его мейнтейнить.
C
Cybred
03.06.2026 08:50 · 👁 5.3K
Codex Discovered a Hidden HTTP/2 Bomb
Домашний компьютер, подключенный к сети со скоростью 100 Мбит/с, может сделать уязвимый сервер недоступным в считанные секунды. В случае с Apache httpd и Envoy один клиент "забивает" 32 ГБ памяти сервера примерно за 20 секунд.
Новая уязвимость, которая работает против NGINX, Apache HTTPD, Microsoft IIS, Envoy, и Cloudflare Pingora.
The bomb targets HPACK, HTTP/2's header compression scheme: one byte on the wire becomes one full header allocation on the server, repeated thousands of times per request. The hold is a zero-byte flow-control window that keeps the server from ever freeing any of it.
Shodan: ssl.alpn:"h2" product:nginx,Apache,IIS,Envoy,Pingora
PoC: http2-bomb
C
Cybred
03.06.2026 05:00 · 👁 3.5K
"That sounds impossible" — ответила техподдержка на баг, через который на днях увели старую учётку Обамы в инсте.
А тем временем еще один ресерчер, как и Nightmare Eclipse, не вынес MSRC и слил собственный 0day в паблик. Сотрудник Google Ammar Askar рассказал, как с помощью одного клика можно украсть OAuth-токен GitHub с полным доступом ко всем твоим репозиториям, включая приватные.
> GitHub имеет фичу github.dev — лёгкий VSCode прямо в браузере. Чтобы он работал, GitHub передаёт туда токен, не привязанный к конкретному репо — он открывает доступ ко всему.
> VSCode изолирует ненадёжный контент (типа превью для Markdown) в <iframe> другого домена. Но чтобы горячие клавиши работали внутри webview, VSCode пробрасывает события клавиатуры (did-keydown) с помощью пост-месседжей в основное окно.
И вот проблема: любой unsafe JS таким образом внутри webview может сам "нажимать клавиши" в основном окне вместо тебя.
Через хитрую комбинацию (рекомендованные расширения + локальные workspace-расширения, которые обходят проверку доверия издателя) хакер эмулирует нажатия клавиш, тихо ставит своё расширение и получает исполнение кода в основном контексте, вместе с кражей самого токена.
C
Cybred
24.05.2026 12:45 · 👁 8.3K
APKImpure
В APK-файле Telegram из альтернативного стора APKPure есть класс DataCollector, которого нет в оригинальном приложении.
В нем есть методы со сбором данных:
— sendFullProfile() — инфо о профиле
— sendPhone() — номер телефона
— collectPhoneContacts() — контакты
— sendDialogInfo() — сообщения
— collectGalleryImages() — фото,
— collectGalleryVideos() — видео
— collectDeviceDocs() — файлы
— sendLocation() — GPS-координаты
— collectSimInfo() — инфо о сим-карте
Которые в конце отправляют все собранное на чей-то сервер 38.190.225.166 (Hong Kong).
Засабмитить APK может любой, а сами файлы никто досконально не проверяет. Поэтому весь магазин наполнен приложениями с такими "подарками".
Сэмпл тут
C
Cybred
15.05.2026 07:02 · 👁 5.2K
YellowKey
Это 0day от Nightmare-Eclipse, который обходит BitLocker всего с помощью пары файлов на флешке.
И за последние годы это уже пятый подобный эксплоит. Предыдущими были CVE-2022-41099, CVE-2023-21563, CVE-2024-20666 и CVE-2025-48804. А о bitpixie у меня даже был отдельный пост.
И что я заметил, так это то, что все они сильно похожи, потому что эксплуатируют один и тот же компонент — а именно WinRE (среда восстановления Windows). И это не случайно.
Секрет на скриншоте. В случае с YellowKey, винда ищет в файлах на флешке нужные флаги, отвечающие за включение "test mode". А дальше система просто позволяет скипнуть битлокер и дать шелл к расшифрованному диску.
Microsoft оставила в WinRE столько debug-кода, что он уже несколько лет порождает криты, и это далеко не последний.
C
Cybred
10.05.2026 07:03 · 👁 5.7K
Бурмалда
7 мая в Telegram добавили Guest Mode, который позволил ботам отвечать в тех чатах, где они не являются участниками. И в этой фиче нашли интересную особенность — вместо самого бота, в «Forwarded from» при пересылке из диалогов записывался аккаунт собеседника.
Информация быстро оказалась в паблике, и многие стали подделывать сообщения от официальных аккаунтов. Например, от имени волонтерской поддержки или от официальной «service notifications» учетки Telegram. А кто-то даже придумал продавать.
Продлилось это недолго, срочный фикс выкатили в ночь с 8 на 9 мая. Теперь подделать сообщения нельзя, но все старые остались на месте.