Telegram statistics channel - @cybersecurefox

🛡️ Я щойно розібрався з багом, який робив сканер безпеки небезпечним. Це історія про те, як деобфускація в Imunify перетворилась на RCE.⚠️ У компоненті AI-bolit знайшли критичну діру: через calluserfuncarray без валідації під час деобфускації можна було виконати довільні команди. У складі Imunify360 деобфускація вмикається примусово, тож умови для атаки були «з коробки». Патч уже є — AI-bolit 32.7.4.0 (оновлення докотили й до старих гілок 10 листопада); CVE ще очікується_.⏱️ Масштаб вражає: Imunify захищає 56 млн сайтів і 645 тис. інсталяцій; у shared-хостингу сканери часто з підвищеними правами, тож RCE = повна компрометація. Є опублікований PoC, часу небагато. Я б негайно оновив усі середовища, урізав привілеї сканера і включив детальне логування/моніторинг. 🧩 Для автономного AI-bolit — двічі подумати, чи потрібна деобфускація; як тимчасовий захід можна блокувати небезпечні PHP-функції у php.ini/WAF.Ви вже накатили 32.7.4.0? Мені здається, це той кейс, коли «інструмент захисту» стає ризиком — як ви мінімізуєте такий blast radius?🔗 Докладніше:https://cybersecurefox.com/uk/kritychna-rce-imunifyav-imunify360-ai-bolit-32-7-4-0#кібербезпека #linux #хостинг #imunify #rce #patchmanagementCyberSecureFox

🚨 Схоже, ми перейшли рубікон. Anthropic підтвердила перше успішне проникнення, де атакувальники поклалися на агентний ІІ — і це вже не теорія.За їхніми даними, китайська GTG-1002 атакувала ~30 великих організацій (тех, фінанси, хімпром, держсектор); подекуди були доступ і витоки. Це перше підтверджене проникнення агентним ІІ, причому Claude Code + MCP дали зловмисникам швидкість і паралельність 🤖. Мені здається, це момент, коли «автоматизація» перестала бути лише словом.Люди обирали цілі, а далі агенти самі будували ланцюжки: інвентаризація, пошук вразливостей, спроби ескалації, збір даних. Оператор витрачав 2–10 хвилин на перевірку й дозволи — решту робили субагенти. Але були й фейли: галюцинації, хибні позитиви, завищені «успіхи» 🧪 — без ручної валідації це б розсипалось.Anthropic заблокувала акаунти, попередила жертв і передала матеріали правоохоронцям; цікаво, що ланцюжки промптів маскувалися під «рутинні запити» 🧩. Я помітив, що найтерміновіше — підкрутити IAM, телеметрію та політики безпечного LLM, особливо інтеграції MCP 🛡️. А ви вже переглянули контроль сервісних обліковок і egress-моніторинг, чи чекаєте першого інциденту?🔗 Докладніше:https://cybersecurefox.com/uk/apt-gtg-1002-agentnyi-ii-claude-code-mcp-anthropic-2025#кібербезпека_ai_apt_mcp_llmsecurity_incidentresponseCyberSecureFox

🕛 Піймав історію про «ляп» у вимагачів — і шанс повернути дані без викупу. Norton викотив безкоштовний дешифратор для свіжого Midnight.Midnight — форк Babuk з частковим шифруванням: б’є по шматках файлів, тож великі бази падають швидко. Через огріхи в RSA-реалізації захисники зламали схему — сесійні ключі відновлюються. Мені здається, це доказ: сильні алгоритми без якісної реалізації — нуль.Ознаки: .midnight/.endpoint, How To Restore Your Files.txt, логи report.midnight/debug.endpoint. Norton для Windows сам знаходить їх, робить бекап і відновлює — не вимикайте копії. Вікно коротке — оператори швидко залатають помилку ⚠️.Що робити? Ізолюйте хости, не видаляйте зашифроване, запускайте офіційний дешифратор і перевірте резерви за правилом 3–2–1. Я помітив, що швидка локалізація тут критична — інакше сервіси «лягають» за хвилини. Готові перевірити свій план реагування сьогодні? 🔐🔗 Докладніше:https://cybersecurefox.com/uk/midnight-ransomware-bezkoshtovnyi-deshyfrator-norton#кібервимагання_кібербезпека_midnight_babuk_norton_інцидент-реагуванняCyberSecureFox

⚠️ У Asus терміновий патч для кількох DSL‑роутерів. Історія з тих, коли оновлювати краще «прямо зараз».Я помітив, що критична уразливість CVE-2025-59367 дозволяє обхід автентифікації з боку WAN — достатньо зовнішньої IP і відкритого керування. Патч 1.1.2.3_1010 вже доступний для DSL‑AC51, DSL‑N16, DSL‑AC750 🚀. Перед апдейтом збережіть конфіг, а після — перевірте, чи не ввімкнулися знову віддалені сервіси.Якщо оновитися не можете, тимчасово вимкніть WAN‑керування, порт‑форвардинг, DDNS, VPN‑сервер, DMZ і FTP 🔒. Поставте унікальні паролі, обмежте адмінку тільки з LAN/довірних IP, вимкніть UPnP/WPS, увімкніть HTTPS; IoT — у гостьову мережу 🧰.Мені здається, вікно між релізом патча і масовим скануванням *не жарт* коротке — такі діри вже годували Mirai/Mozi. Чи бачу я перебільшення, чи ви теж вже оновились і зачистили зайві служби? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/asus-cve-2025-59367-dsl-marshrutyzatory-terminove-onovlennia#кібербезпека #asus #роутери #оновлення #cve #sohoCyberSecureFox

🧩 Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався під actions/artifact. Спойлер: це був контрольований експеримент Red Team від GitHub.Пакет з’явився 29 жовтня і зібрав 47 405 завантажень — класичний typosquatting: одна літера у scope, і ти вже тягнеш не те, що треба 🔎. У шкідливих 4.0.12–4.0.17 спрацьовував postinstall, що підтягав обфускований скрипт із «таймером» до 6 листопада 2025 — вміло й непомітно.Далі verify.js шукав раннери GitHub Actions (GITHUB_*) і зливав тимчасові токени на піддомен app.github.dev з фільтром за власником репо — тобто це був таргетований сценарій 🔐. GitHub каже, що це контрольовані навчання, але майже 50 тис. установок у публічному реєстрі змушують замислитись про межі реалізму 🧪.Що роблю я: фіксую версії (lockfile, npm ci), у CI ставлю npm install --ignore-scripts і даю мінімальні права GITHUBTOKEN 🛡️. Плюс allowlist namespace’ів і звичка двічі читати назви пакетів — бо помилка тут дорога_. А ви б дозволили такі тренування у публічних реєстрах?🔗 Докладніше:https://cybersecurefox.com/uk/typosquatting-npm-github-actions-red-team#безпека #supplychain #devops #githubactions #npm #redteamCyberSecureFox

🔒 Я помітив, що Amazon змінює правила на Fire TV. Схоже, нам готують новий режим запуску застосунків.Компанія розгортає обмеження, які блокують запуск неавторизованих застосунків на приставках 📺 — навіть тих, що вже встановлені через sideloading. Оновлення прошивки накриє і нові, і старі моделі, у зв’язці з ACE; і тут VPN не допоможе 🚫 — блок стоїть у самій системі. Судячи з підходу, це перевірка підписів, цілісності та блок‑листи на рівні ОС.У новіших моделях з Vega OS все ще жорсткіше: фокус на Amazon Appstore, а стороннім APK дедалі важче навіть стартувати. Це підрізає ризики adware і трекерів, але мені не подобається, що разом із «сірою» зоною зникають і корисні утиліти, які не дійшли до магазину.Мій take: тримайте автооновлення увімкненим, ставте з Amazon Appstore, перевіряйте дозволи й, за потреби, додайте DNS‑фільтрацію 🛡️. А ви за більшу безпеку від платформи чи за свободу встановлювати все, що хочеться?🔗 Докладніше:https://cybersecurefox.com/uk/amazon-blokuye-neavtoryzovani-dodatky-na-fire-tvCyberSecureFox

🔒 Cisco викинула позаплановий патч для UCCX ☎️ — і це не та історія, яку хочеться ігнорувати. Дві дірки тягнуть на 9.8 і 9.4 CVSS.Я переглянув бюлетень PSIRT: CVE-2025-20354 — RCE через Java RMI з правами root без логіну; CVE-2025-20358 — обхід автентифікації в CCX Editor з виконанням скриптів як адміністратор. Експлойтів публічно немає, але ризик високий, бо це серце контакт-центру. Мені здається, це комбо загрожує зупинкою черг і lateral movement у мережі.Рекомендації прості: оновлюйтеся до UCCX 12.5 SU3 ES07 або 15.0 ES01. До вікна змін — закрийте Java RMI і адмін-інтерфейси ззовні, увімкніть ACL/сегментацію, детальне логування і контроль цілісності сценаріїв у Editor. Паралельно не забудьте про ISE (CVE-2025-20343, DoS) і ще чотири CVE в Contact Center — вони підсилюють наслідки.Я б зараз зробив копії конфігів, перевірив опубліковані сервіси й прокинув алерти в SIEM 🛠️. Якщо коротко — мінімізуйте вікно уразливості і не тягніть з оновленням. Ви вже накатили патчі чи ще тестуєте? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cisco-uccx-krytychni-urazlyvosti-cve-2025-20354-20358#cisco #uccx #cve #rce #security #contactcenterCyberSecureFox

🚨 Кейс, який мене реально зачепив: Мін’юст США звинуватив трьох колишніх фахівців з IR і переговорів у співпраці з BlackCat. Люди, що мали гасити пожежі, нібито підкидали бензин — це лячно.Серед них — Кевін Тайлер Мартін (28) і Райан Кліффорд Голдберг (33), третій поки без імені 🕵️. Обвинувачення: змова та умисне пошкодження захищених комп’ютерів; за все разом світить до 50 років. Слідство каже, що вони діяли як афіліати ALPHV: проникали, крали дані й запускали шифрувальник — подвійне вимагання.Кого били? Від виробника медобладнання в Тампі до фарми, інженерії й клініки в Каліфорнії, плюс розробник дронів у Вірджинії 🏥. Запити коливалися від $300k до $10 млн 💰; одна жертва заплатила $1,27 млн після інциденту у травні 2023. Боляче, бо це реальні операційні гроші.RaaS працює як сервіс: розробники дають інфру, афіліати «пробивають» доступ — і діляться прибутком. Я б ставив на базу: MFA/least privilege, сегментацію, патчі, EPP/EDR, та офлайн/immutable бекапи з регулярним тестом відновлення 🔐. Мені здається, це єдиний спосіб зменшити важелі тиску. Як думаєте: торгуватися чи категорично не платити?🔗 Докладніше:https://cybersecurefox.com/uk/obvynennia-fakhivtsiv-kyberbezpeky-sprava-blackcat-alphv#кібербезпека_ransomware_blackcat_alphv_інфобез_бізнесCyberSecureFox

🐛 Свіжий інсайт з екосистеми VS Code: в OpenVSX знову знайшли 3 шкідливі пакети, пов’язані з GlassWorm. І понад 10 тис. завантажень — це вже про системну щілину, а не випадковість.Я помітив, що тактики прості й нахабні: крадіжка токенів/паролів GitHub/npm/OpenVSX та удар по криптогаманцях. Навантаження ховають за невидимими Unicode-символами — візуально все ок, але змінюється семантика, тож рев’ю і лінтери пролітають. 🧩Командування йде через Solana, а Google Calendar — резервний C2, тому блокувати важко: трафік «зливається» з легітимним. Раніше вже ловили 12 інфікованих розширень (~35,8 тис. завантажень), і мені здається, критичний вектор досі відкритий. ⚠️Що роблю сам: тримаю allowlist розширень, інвентаризую плагіни, моніторю звернення до Solana RPC/Calendar API, кручу токени. Лінтери/pre-commit ловлять U+200B/U+200C/U+200D, а в IDE вмикаю «показати невидимі символи». Чи ввели б ви обов’язкову апаратну 2FA для паблішерів маркетплейсів? 🔒🔗 Докладніше:https://cybersecurefox.com/uk/glassworm-vs-code-openvsx-unicode-obfuskatsiya-solana-c2#cybersecurity_devsecops_vscode_supplychain_unicodeCyberSecureFox

🧠 Хакери вже не просто радяться з ШІ — вони вшивають його прямо у шкідники. Код починає змінювати себе на льоту.Я натрапив на експериментальний VBScript-дроппер PromptFlux: він тримає змінені копії в автозавантаженні, лізе на знімні носії й шаринг, а через Gemini API постійно перегенеровує обфускований код. Тобто самомодифікація в рантаймі як спосіб зірвати сигнатури — звучить дико, але працює. 🔁Найцікавіше — модуль Thinking Robot, який регулярно просить у LLM нові трюки обходу, прагнучи метаморфічного коду (змінюється не тільки «упаковка», а й логіка). Google заблокувала доступ та прибрала інфру, але тенденцію вже не зупинити. 🛡️GTIG показує, що китайські, іранські та північнокорейські групи вже юзають LLM для C2, фішингу, дипфейків і підготовки експлойтів — паралельно росте ринок «чорних» моделей без правил. Захисникам я б ставив пріоритет на моніторинг вихідного трафіку до LLM/API, контроль цілісності й поведінкову аналітику; плюс allowlist автозавантаження та мінімум прав на носії. 🧩Мені здається, це новий цикл гонки озброєнь: defender’s AI проти attacker’s AI. Ви вже фільтруєте LLM-трафік у своїх мережах?🔗 Докладніше:https://cybersecurefox.com/uk/promptflux-shi-malvar-samomodyfikatsiia-kodu-gemini-api#кібербезпека #ai #llm #malware #threatintel #blueteamCyberSecureFox