Telegram statistics channel - @cybersecurefox

💣 Натрапив на штуку, яка видає себе за «звичайний» ransomware, а на ділі просто вбиває дані. Це VECT 2.0 – RaaS із даркнету, який через фатальний баг у шифруванні перетворюється на вайпер.Фішка в тому, що файли >128 КБ фактично стираються, а не шифруються. Розробники заявляють ChaCha20-Poly1305, але по факту криво клеять блоки з окремими nonce, три з яких втрачаються назавжди – навіть самі оператори не зможуть вам нічого розшифрувати. Тобто платиш викуп – 💸, а критичні документи, бекопи, бази вже мертві.Мені здається, це показовий кейс: оплата викупу не гарантує відновлення – особливо, коли за проєктом стоїть молода команда, яка добудовує криптографію з гайдiв і ШІ 🧩. VECT 2.0 уже працює по Windows, Linux та ESXi, інтегрований з BreachForums і TeamPCP, плюс для СНД вхід у «партнерку» взагалі безкоштовний 🔥. Як ви ставитеся до ідеї «платити аби хоч щось повернули», знаючи, що технічно шансів може бути нуль? 🛡️🔗 Докладніше:https://cybersecurefox.com/uk/vect-2-0-ransomware-chi-vayper#кібербезпека #ransomware #vect2 #вајпер #резервнікопії #infosecCyberSecureFox

🔥 Оце так «розумні» інструменти… Я щойно розбирав кейс, де AI для розробки перетворюється на ідеальний трамплін для зламу CI/CD та робочих машин. І це не теоретика, а дуже практичні RCE‑сценарії.Google довелося латати критичну діру в Gemini CLI: у headless‑режимі він просто довіряв поточній директорії й автоматом підхоплював конфіг із .gemini/. Тобто ти ганяєш тести по PR’ах, а там — зловмисний агент, який виконує команди на твоєму CI 😬. Тепер треба явно позначати довірені директорії й уважніше поводитися з --yolo, бо навіть він тепер поважає allowlist.Паралельно виявили цікаві штуки в AI‑IDE Cursor. Через Git‑хуки можна було вийти з песочниці та виконати код на машині девелопера, а ще є окрема історія з CursorJacking — коли розширення можуть дістати API‑ключі й токени з локальної бази 🧨. Мені здається, ми входимо в епоху, де «AI‑агент у пайплайні» = новий обов’язковий пункт у моделі загроз. Як ви зараз обмежуєте права AI‑інструментів у своїх проєктах? Чи є у вас окремі політики для агентів у CI/CD та IDE? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/kritichna-urazlyvist-gemini-cli-ta-ai-ide-cursor#кібербезпека #ai #devops #cicd #gemini #cursorCyberSecureFox

🔐 Оце так поворот: нова роль в Microsoft Entra ID для AI-агентів випадково відкривала двері до повного захоплення хмарної інфри. Я коли це прочитав, реально переглянув, кому ми довіряємо нефізичні ідентичності 🤖Суть у тому, що роль Agent ID Administrator, яка мала керувати лише AI-агентами, через помилку могла керувати будь-яким service principal. Адмін із цією роллю спокійно робив себе власником критичних застосунків, підкладав свої ключі й фактично логінився «як вони» ⚠️ Якщо такий service principal мав права на Graph, пошту, файли чи безпеку — це вже пряма ескалація привілеїв.Microsoft уже підкрутили права й обрізали scope: тепер такі трюки ловляться на 403. Але мені здається, що головний урок тут — нефізичні акаунти — це новий “критичний периметр”, за яким часто ніхто не стежить 🧩 Ви у себе вже моніторите зміну власників service principal і ключів, чи це ще «сіра зона»? 📊🔗 Докладніше:https://cybersecurefox.com/uk/urazlyvist-agent-id-administrator-microsoft-entra-id#кібербезпека #microsoftentra #хмара #identitysecurity #devops #aiCyberSecureFox

🕵️‍♂️ Уявіть групу, яка шпигує через Discord і Outlook так, що це виглядає як звичайний робочий трафік. Саме так зараз атакують держоргани Монголії — і це дуже показово для всіх, хто живе в хмарах.Дослідники ESET виявили нову китайськоорієнтовану APT‑групу GopherWhisper, яка ставить собі за мету не гроші, а довготривале кібершпигунство. Вони будують цілу платформу з бекдорів на Go і C++, тихенько збирають документи, керують процесами і тримають повний контроль над зараженими машинами місяцями 🔐Найцікавіше, що C2‑канали йдуть через Discord, Slack, Microsoft 365 Outlook і file.io. Трафік шифрований TLS, виглядає "нормально", і більшість периметрових фільтрів просто пропускають його 📡 Мені здається, це ще один дзвіночок, що без нормального моніторингу SaaS і EDR/XDR ми граємо в одні ворота.Як вам такий рівень маскування? Ви б ризикнули повністю довіряти корпоративним месенджерам і пошті без додаткового контролю 🤔🔗 Докладніше:https://cybersecurefox.com/uk/apt-grupa-gopherwhisper-kibershpigunstvo-mongolia#кібербезпека #apt #шпигунство #mongolia #saasCyberSecureFox

🤖 Оце так поворот: Anthropic створили систему Project Glasswing, яка настільки добре шукає дірки в безпеці, що її вирішили не викладати публічно. Доступ зараз мають тільки Apple, Microsoft, Google, Amazon та партнери — їм буквально дають фору, щоб встигнути залатати все до того, як це побачать зловмисники.У центрі всього — модель Mythos, яка знаходить системні проблеми, а не випадкові баги. Вона виявила уразливість в OpenBSD, яка прожила там 27 років 🫠, і показала 72,4% успішних експлуатацій у тестах — тобто ШІ вже сам будує робочі ланцюжки атак, а не просто тиком знаходить помилки.А тепер найболючіше: менше 1% знайдених Mythos уразливостей реально виправили. Команди просто не встигають, тоді як атакувальники вже ганяють свої LLM і зносять FortiGate‑пристрої у 2 516 організацій у 106 країнах майже в автоматі 🛡️. Тому новий фокус — не «ще більше CVE», а автономна валідація експозицій: як у Picus Swarm, де ІІ‑агенти стискають цикл «знайшли — перевірили — виправили — перепровірили» з днів до хвилин ⚡Мені здається, скоро «немає автоматизованої валідації» = «немає безпеки» взагалі. А ви вже тестуєте щось подібне, чи досі живете у світі CVSS‑балів і Excel‑звітиків? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/project-glasswing-ai-upravlinnia-urazlyvostiamy#кібербезпека #штучнийінтелект #anthropic #glasswing #redteam #blueteamCyberSecureFox

🔥 Мене сьогодні реально зачепила одна історія з DeFi — не через цифри, а через те, як саме це сталося.З KelpDAO вивели понад 116 500 rsETH (~292 млн $) — це десь 18% всього обігу токена. І фішка в тому, що зламали не класично смарт-контракти, а верифікаційний шар DVN та RPC-ноди, які підсовували фейкові дані для кросчейн-транзакцій. ⚠️ Через DDoS «здорові» ноди відвалилися, мережа спиралась на «отруєні» — і підроблене кросчейн-повідомлення стало «легітимним».Далі — стандартний сценарій: вкрадений rsETH полетів у Tornado Cash та інші міксери, LayerZero й аналітики вже натякають на стиль Lazarus. 🧩 Ринки rsETH в Aave заморозили, сам KelpDAO зупинив контракти, але мені здається, головний урок тут в іншому: кросчейн-інфраструктура, DVN і RPC зараз не менш критичні, ніж код смарт-контрактів. 🧵Я для себе ще раз зафіксував: не тримати все в одному деривативі, особливо кросчейн, і регулярно переглядати ризики. А ви як ставитеся до ліквідного рестейкінгу зараз — продовжуєте користуватись чи притримуєтеся «олдскульного» голого ETH? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/kroschein-ataka-kelpdao-rseth-lazarus#defi #ethereum #restaking #безпека #крипта #kelpdaoCyberSecureFox

⚠️ CISA тихо підкинула ще 8 «дір» у свій каталог відомих експлуатацій, і серед них є штуки, які можуть дуже боляче вдарити по великих мережах і CI/CD.Я звернув увагу, що в KEV додали одразу 3 критичні вразливості в Cisco Catalyst SD-WAN Manager – тобто в мозок, який керує зв’язністю філій, дата-центрів і хмари 🔐. Компрометувати такий контролер — це не просто «зайти в мережу», а отримати можливість крутити маршрутизацію, перехоплювати трафік і спокійно готувати подальші атаки. Для федеральних структур США вже поставили дедлайн по патчам — 23 квітня 2026, і, як на мене, це непоганий орієнтир і для всіх нас.Окремо дістається JetBrains TeamCity (знову ризики для ланцюгів постачання ПЗ 🧩), друкарському софту, який використовують угруповання типу Lace Tempest / Cl0p / LockBit, і SMA VPN-шлюзам, через які зловмисники просто обходять периметр. CISA додає в KEV тільки те, що вже реально ламають, тож я б розглядав цей список як «to-do негайно», а не «колись оновимо» 🛠️Мені здається, зараз ключове — чесно інвентаризувати свої Cisco SD-WAN, TeamCity, друкарські й VPN-рішення та закрити все з KEV у першу чергу. А ви у своїх процесах більше орієнтуєтесь на KEV, чи все ще живете за бюлетенями вендорів? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cisa-kev-novi-ekspluatovani-vrazlyvosti-cisco-sd-wan-teamcity-sma#кібербезпека #infosec #cisa #вразливості #blue #team #devopsCyberSecureFox

🔥 Оце цікаво: уразливість, яка 13 років лежала на виду, офіційно потрапила в список активно експлуатованих. Йдеться про CVE-2026-34197 в Apache ActiveMQ Classic – і її вже реально б’ють у диких атаках.Я помітив, що найнеприємніше тут навіть не сам баг, а те, як його комбінують із Jolokia API і кривою конфігурацією. Якщо адмін залишив admin:admin або відкрив Jolokia в інтернет без захисту, то зловмисник може отримати повноцінний RCE майже «в один клік» 😐. А для версій 6.0.0–6.1.1 це взагалі може бути неавтентифікований доступ.CISA вже внесла цю діру в свій KEV-каталог, тож для урядових структур США є дедлайн по латці, але, як на мене, бізнесу чекати взагалі немає сенсу. Якщо у вас в інфрі десь живе ActiveMQ Classic – я б зараз же подивився, чи немає відкритого Jolokia, і оновився хоча б до 5.19.4 / 6.2.3 🚑. Як ви ставитесь до того, щоб повністю відрізати адмін-інтерфейси від інтернету й ганяти їх тільки через VPN? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-34197-apache-activemq-classic-rce#кібербезпека #activeMQ #cve #інфраструктура #devops #securityCyberSecureFox

🧵 Останнім часом мене не відпускає одна історія з Чехії: там розкручується тихий ботнет PowMix, який полює на працівників компаній та шукачів роботи. Мені здається, ми дуже недооцінюємо, наскільки звичні ZIP‑архіви в пошті можуть бути входом у пекло.Схема проста: приходить «нормальний» діловий лист 📎, усередині ZIP із файлом‑ярликом, замаскованим під документ. Клік — і в пам’яті тихо стартує PowerShell‑шельф, що живе без файлів на диску, спілкується з C2 як звичайний REST‑сервіс і закріплюється через Scheduled Task, ще й відкриває легальний «документ про комплаєнс», щоб не було підозр.Паралельно дослідники ловлять інший звір — RondoDox 🧨, масовий ботнет для DDoS і криптомайнингу, який лізе в понад 170 відомих вразливостей. Я все більше думаю, що базові речі — фільтрація вкладень, контроль PowerShell, оновлення сервісів і навчання людей 🕵️ — зараз дають більше, ніж будь‑який «чарівний» продукт безпеки. А ви як часто реально перевіряєте підозрілі ZIP‑и й LNK‑файли у себе в компанії?🔗 Докладніше:https://cybersecurefox.com/uk/botnet-powmix-rondodox-cilovi-ddos-ataky#кібербезпека #фішинг #ботнет #powmix #rondodox #hrCyberSecureFox

🧨 Натрапив на історію, від якої в адміністраторів Nginx може смикнутись око. Є критична діра CVE-2026-33032 (MCPwn) в панелі nginx-ui, якій вже активно користуються в інтернеті.Суть: в інтеграції з MCP ендпоінт /mcp_message за замовчуванням працює як allow-all без автентифікації. Тобто будь-хто ззовні може зробити пару HTTP-запитів і отримати повний контроль над вашим Nginx: перезапускати сервіс, міняти конфіги, прокидати трафік через себе й тихо красти логіни, куки, платіжні дані 😬 За оцінкою CVSS 9.8 це практично відчинені двері.В інтернеті світиться близько 2,6K інсталяцій nginx-ui, і мені здається, для неоновлених це вже не ризик, а пожежа. Рішення просте: терміново оновитися до nginx-ui 2.3.4 або хоча б закрити доступ до панелі VPN/фаєрволом і навісити автентифікацію на /mcp_message 🔐 Як ви взагалі ставитесь до таких веб-адмінок — must have чи зайва дірка в периметрі? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/kritychna-urazlyvist-nginx-ui-cve-2026-33032-mcpwn#cybersecurity #infosec #nginx #devops #mcp #vulnerabilitiesCyberSecureFox