Telegram statistics channel - @cybersecurefox

🔐 Останнім часом постійно натикаюся на одну тривожну тенденцію: TikTok-бізнес акаунти стали новою золотою жилою для хакерів. І це вже не просто «зламали сторінку» — мова про комбінацію AitM-фішингу та малварі, яка спокійно обходить навіть 2FA. Зловмисники маскуються під TikTok for Business чи Google Careers, проганяють жертву через Cloudflare Turnstile 🧩, а далі через AitM-проксі просто крадуть сесійні токени й заходять в акаунт так, ніби це ви. Паралельно інші групи шлють «рахунки» у вигляді SVG-файлів: відкрив — браузер підвантажив шкідник на Go, схожий на BianLian, і вже маєш кандидата в ransomware на своєму ПК. Мені здається, бізнесу ще сильно недооцінює ризики від соцмереж: скомпрометований TikTok — це вже не про піар, а про гроші, дані клієнтів і репутацію 💸. Я б точно перевів MFA на ключі/FIDO2, увів жорсткі правила доступу до акаунтів і фільтрацію «дивних» вкладень (SVG, HTML, ZIP тощо) 📛. А ви як зараз захищаєте корпоративні соцмережі — є окремі правила безпеки чи все ще «головне, щоб SMM мав пароль»? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/aitm-phishing-tiktok-for-business-svg-bianlian#кібербезпека #tiktok #бізнес #фішинг #ransomware #інформаційнабезпечністьCyberSecureFox

🎧 Уявіть: музикант із США накрутив собі понад 10 млн доларів на стримінгах — не маючи реальних слухачів. Я залип на цю історію, бо це прямо рентген того, як ІІ і боти можуть ламати музичну індустрію.Схема була проста й геніальна по-своєму: ІІ-генерована музика сотнями тисяч треків, розкидана по різних псевдонімах, плюс бот-мережа з тисяч акаунтів. Через VPN і хмару ці «слухачі» тихо накручували мільйони стримів, без гучних хітів — просто маса скромних, але стабільних прослуховувань.У підсумку з 2017 по 2024 рік він назбирав понад 4 млрд прослуховувань і отримав роялті, які мали піти живим артистам 🥲. Мені здається, ми дуже недооцінюємо, наскільки крихка ця економіка «по кілька десятих цента за стрим» і як легко її гнуть ті, хто добре розуміє алгоритми.🤔 Як ви до цього ставитеся: це просто «лайфхак системи» чи повноцінне пограбування музикантів? І чи повинні стримінги вже зараз працювати як банки з точки зору кібербезпеки?🔗 Докладніше:https://cybersecurefox.com/uk/ai-muzyka-boty-frod-strymingovi-servisy#музика #стримінг #штучний #інтелект #боти #кібербезпека #індустріямузикиCyberSecureFox

⚠️ Оце так поворот: інструмент безпеки Trivy сам став вектором атаки. Я от читаю деталі й ловлю себе на думці, що ми реально недооцінюємо ризики GitHub Actions і теге-пінінгу.Зломщики перехопили теги в aquasecurity/trivy-action і тихо підклали троянізований Trivy. Ніяких нових релізів — просто force-push старих тегів з підміненими комітами, з тими ж авторами й датами 😶‍🌫️ У CI/CD усе виглядало «як завжди», а насправді запускався інфостілер, який тягнув усе: змінні оточення, SSH-ключі, kubeconfig, хмарні креденшали, токени Slack/Discord тощо.Фішка, яка мене добила: якщо дані не вдавалося вивезти на фейковий домен, шкідник створював у вашому акаунті публічний репозиторій tpcp-docs і зливав секрети туди 😬 Плюс на дев-машини ставився Python-пейлоад як systemd-сервіс — стійка присутність, привіт post-exploitation. І все це почалося з компрометації розширення Aqua Trivy для VS Code — дуже «ліворуч» у ланцюгу постачання.Мені здається, це ще один аргумент пінити GitHub Actions по хешах, а не по тегах, і регулярно ротувати секрети, навіть якщо «усе стабільно» 🔐 А ви у своїх пайплайнах теги чи конкретні коміти юзаєте — і чи не час ревізнути це прямо сьогодні? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/trivy-supply-chain-ataka-github-actions-ci-cd#кібератаки #devsecops #github #ci #cd #supply #chain #безпекаCyberSecureFox

🚨 Оце мене реально зачепило: AWS Bedrock уже не просто «моделі в хмарі», а повноцінний вузол інфраструктури, через який можна зайти в найкритичніші системи компанії.Я помітив, що кожен Bedrock‑агент, інтегрований з Salesforce, Lambda, SharePoint чи внутрішніми API 🤖, фактично стає окремим сервісом зі своїми правами, секретами і маршрутами в мережі. І саме тут починається магія атак: від тихого зливу логів запитів і відповідей до непомітного читання Knowledge Bases, векторних БД та SaaS‑інтеграцій — усе це часто можна зробити, маючи всього один «жирний» IAM‑дозвіл. Трохи лячно, як легко Bedrock перетворюється з помічника на трамплін у ваші внутрішні системи 🕳️.Ще цікавіше (і небезпечніше), що зловмисник може переписати агентів, Flows і guardrails: додати шкідливу Lambda, послабити фільтри, отруїти промпти — і модель формально працює, але вже «на того, кого треба» 🕵️. Мені здається, головна загроза тут не в LLM, а в усьому, що навколо: IAM, KMS, секрети, логи 🛡️. Як вам така перспектива: ваш AI‑агент як нова точка входу в мережу — ви це вже моделюєте в своїх threat‑modeling’ах 🧩?🔗 Докладніше:https://cybersecurefox.com/uk/aws-bedrock-bezpeka-vektory-atak#aws #cybersecurity #ai #security #bedrock #cloud #devsecopsCyberSecureFox

⚠️ Сиджу й дивлюся на чергову «діру», через яку компанії роздають інфру хакерам майже добровільно. Є критична уразливість CVE-2025-32975 у Quest KACE SMA, і її зараз активно валять по всьому інтернету — без паролів, без магії, просто обхід автентифікації.З того, що я бачу: достатньо мати KACE, який стирчить у зовнішній мережі, — і вас можуть «залогінити» як адміна з вулиці. Потім через curl тягнуть Base64-пейлоади з 216.126.225[.]156, а далі вже в хід ідуть легітимні runkbot.exe та PowerShell, щоб створити нових адмінів і закріпитися в системі 🧩. Найгірше те, що KACE зазвичай має суперправа на всі ваші робочі станції.Якщо у вас є Quest KACE SMA — я б прямо сьогодні перевірив версію та оновив до патчених релізів, плюс прибрав би адмінку з прямого доступу в інтернет 🛡️. І окремо подивився б логи на дивні адміністраторські логіни та аномальний curl/PowerShell/runkbot.exe. Як вам така історія — досі ок публікувати панелі управління назовні, чи час міняти підхід? 🔐🔗 Докладніше:https://cybersecurefox.com/uk/kritichna-urezlivist-quest-kace-sma-cve-2025-32975#кібербезпека #інфраструктура #уразливості #patchmanagement #questkace #blue #teamCyberSecureFox

💥 Підловив цікаву (і трохи лячну) історію з Ubuntu 24.04+: навіть звичайний локальний юзер може підняти собі права до root без жодних кліків і підтверджень. І все це через дивну взаємодію snapd та очищення тимчасових файлів systemd-тулзами.Якщо коротко, після авточистки /tmp будь-хто може перехопити каталог /tmp/.snap, а потім snap-confine чесно примаунтить цю підміну вже від імені root ⚠️. У результаті маємо класичне локальне підвищення привілеїв, причому в досить типовій десктопній установці — не дуже весело, як на мене. Патч уже завезли в нові версії snapd для 24.04, 25.10 і дев-гілки 26.04, тож найкращий захист зараз — просто оновіть систему 🛠Паралельно знайшли ще race condition в uutils coreutils (реалізація coreutils на Rust): через cron-завдання від root можна підміняти каталоги й видаляти чужі файли. В Ubuntu 25.10 вже відкотили rm назад на GNU-версію, а апстрим uutils отримав виправлення 🔐. Я для себе роблю висновок: мені здається, автоматичні security-оновлення зараз — must have, бо навіть «базові» компоненти можуть підкинути сюрприз 🤔 А ви як робите — тримаєте автоапдейти увімкненими чи все контролюєте вручну?🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-3888-ubuntu-24-04-lokalne-pidvyshchennia-pryvileiiv#кібербезпека #ubuntu #linux #вразливості #оновлення #sysadminCyberSecureFox

💥 Уявіть: прокидаєтесь, а з вашого робочого ноутбука і телефона компанії – порожнеча. Саме так виглядала атака на Stryker, де зловмисники навіть не запускали віруси – вони просто захопили хмарну адмінку.Зламавши обліковий запис з правами Global Administrator у Microsoft 365, атачери через Microsoft Intune віддали масову команду remote wipe й за кілька годин стерли дані з приблизно 80 000 пристроїв 🧨. Під ніж пішли і корпоративні девайси, і особисті телефони співробітників у політиці BYOD – от той момент, коли MDM стає зброєю проти своїх же 📱.Цікаво, що медичне обладнання Stryker не постраждало, а слідів шифрувальників чи витоку даних розслідування так і не знайшло 🛡️. Для мене цей кейс – дуже наочне «що буде», якщо недооцінювати захист привілейованих акаунтів, MFA та підхід zero trust. Як вам після цього ідея підключати свій особистий телефон до корпоративної MDM-системи? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/ataka-na-stryker-komprometaciya-microsoft-intune#кібербезпека #кібератака #mdm #microsoftintune #byod #zerotrustCyberSecureFox

🧩 Уявіть сторінку, де ви бачите одне, а ваш AI-асистент – зовсім інше. І на основі своєї версії реальності він ще й запевняє: «так, це безпечно» 😅Що помітив: дослідники з LayerX показали атаку, де шкідливу команду ховають у тексті через кастомний шрифт + підміну гліфів. У DOM для асистента це виглядає як «сміття», а в браузері для нас – як осмислена команда 💻. Поруч додають «безпечну» версію тексту, яку CSS робить майже невидимою — її й читає ІІ, щиро думаючи, що все ок.Як PoC вони зробили сторінку з «пасхалкою до Bioshock» 🎮: на екрані – нібито безпечна консольна команда, насправді — reverse shell. Більшість відомих асистентів (ChatGPT, Claude, Copilot, Gemini та інші) тоді підтверджували її безпечність 🤖. І виходить цікава штука: аналіз лише DOM уже недостатній, а шрифти й CSS стали повноцінним вектором атаки ⚠️Мені здається, це хороший привід менше покладатися на «перевір це в AI» і більше – на здоровий параноїдальний мінімум. А ви б запустили команду з сайту, якщо асистент каже, що все ок? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/ataka-na-ii-asystentiv-cherez-kastomni-shryfty#штучнийінтелект #браузер #promptinjection #socialengineering #reverse #shellCyberSecureFox

💻 Японія офіційно переходить від «кібероборони» до «кіберконтратаки». І це не сюжет аніме, а рішення уряду з конкретною датою в календарі — 1 жовтня 2025 року.Я звернув увагу, що Токіо запускає доктрину проактивної кіберзахисту: Сили самооборони та поліція зможуть проводити наступальні кібероперації проти інфраструктури, з якої б’ють по державі та бізнесу ⚔️. Рішення ухвалюватиме спеціальний урядовий комітет, щоб тримати це під політичним і юридичним контролем, плюс офіційний акцент на приватності громадян та міжнародному праві.Цікаво, що країна з пацифістською конституцією фактично входить у клуб кібердержав, намагаючись перетворити кібервможливості на інструмент стримування 🌐. Але мені здається, найбільший ризик — помилка атрибуції: удар у відповідь по тому, хто взагалі ні до чого, і новий виток кібергонки озброєнь 🧠.Для нас із вами це означає одне: кібератаки все частіше будуть фоном геополітики, а не «просто технічним інцидентом» 🛡️. Як ви до цього ставитеся: підтримуєте такий перехід до активної оборони чи це вже небезпечна сіра зона?🔗 Докладніше:https://cybersecurefox.com/uk/yaponiia-proaktyvna-kiberzakhyst-nastupalni-kiberoperatsii-2025#кібербезпека #японія #геополітика #бізнес #технології #кіберзагрозиCyberSecureFox

🔐 Оце історія: Microsoft зловили угруповання Storm-2561, яке краде доступи до корпоративних VPN, маскуючи інфостілер під «офіційні» клієнти. Особливо підступно, бо все виглядає майже ідеально легітимно.Зловмисники роблять копії сайтів Ivanti, Cisco, Fortinet, Sophos та інших, заганяють їх у топ видачі через SEO poisoning 🧩 — ви гуглите «VPN client download», тикаєте перший результат і навіть не здогадуєтесь, що це підробка. Далі — фейковий інсталятор з GitHub, правдоподібне вікно входу, ви вводите логін/пароль, а Hyrax тихо забирає облікові дані й конфіги VPN та ще й підписаний реальним, хоч і відкликаним сертифікатом ⚠️.Після цього «клієнт» видає помилку й чемно перекидає вас уже на справжній сайт вендора 🛡️ — більшість користувачів навіть не підозрюють, що вже злиті. Мені здається, часом найнебезпечніша кнопка — це «скачати» з випадкового результату пошуку. А ви у своїх командах контролюєте, звідки качають VPN-клієнти, і чи всюди є MFA для доступу до VPN? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/storm-2561-seo-poisoning-pidrobleni-vpn-kliyenty-hyrax#кібербезпека #vpn #infostealer #соціальнаінженерія #seo #microsoftCyberSecureFox