Telegram statistics channel - @cybersecurefox

🧩 Уявіть бекдор, який керується… через Google Sheets. Не якийсь тіньовий сервер десь в підвалі, а звичайна табличка, що виглядає як буденна офісна рутина — оце вже творчий підхід до шпигунства.Google розкрив операцію UNC2814, яку пов’язують із Китаєм: вони роками тиснули на телеком і держструктури у 40+ країнах, а бекдор GRIDTIDE ховався в трафіку до Google. Табличка ставала центром керування: у клітинку A1 летіли команди, у V1 — «паспорт» зараженої машини, а все це йшло через Google Sheets API, зашифроване й схоже на нормальну роботу офісу 📊.Мені особливо чіпляється, як вони комбінують свій код із тактикою living-off-the-land: стандартні утиліти Linux, SSH, ще й SoftEther VPN для прихованих тунелів 🕵️‍♂️. Google уже відрубив їм доступ і «засінкхолив» інфру, але я майже певен, що наступний виток буде ще більш хмарним ☁️ — з іншими сервісами й API.Мені здається, що межа між «звичайним хмарним трафіком» і C2-комунікаціями стає небезпечно тонкою. Як ви до цього ставитеся: це радше проблема хмарних провайдерів чи наших підходів до моніторингу мережі? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/unc2814-gridtide-google-sheets-kibershpionazh#кібербезпека #шпигунство #google #хмара #infosec #телекомCyberSecureFox

💸 Уявіть банкомат, який починає видавати гроші просто за командою з клавіатури — без картки, без PIN, без рахунку. Саме це зараз масово відбувається в США, і цифри виглядають дуже тривожно.ФБР рапортує про 700+ атак джекпоттингу у 2025 році на суму понад 20 млн доларів 🧨. Схема проста: злочинці відкривають корпус, підкидають шкідливе ПЗ і через стандарт XFS змушують банкомат спілкуватися напряму з диспенсером, повністю оминаючи авторизацію в банку. Антифрод тут майже безсилий, бо ніякої транзакції в класичному сенсі не існує.Ключовий гравець — старе, але дуже живуче ПЗ Ploutus 🐀. Воно працює на різних моделях ATM завдяки зв’язці Windows + XFS, активується через комбінації кнопок, USB або навіть віддалено, а потім ще й чистить за собою сліди. ФБР прямо натякає: банкомати треба сприймати як критичні endpoint-и, а не як “залізні коробки” — з аудитами, оновленнями, сегментацією мережі й нормальною фізичною охороною 🔐.Мені здається, ця історія добре показує, що там, де бізнес оптимізує й уніфікує інфраструктуру, хтось інший оптимізує атаки 😅. Як вам такий ризик — ви б довірили банку, який економить на безпеці своїх банкоматів?банкоматиjackpottingфбрfintechінфобезпека🔗 Докладніше:https://cybersecurefox.com/uk/fbi-dzhekpottynh-bankomativ-ploutus-xfs#кібербезпекаCyberSecureFox

🛰️ У Техасі взялися за TP-Link так, що це може змінити те, як ми дивимось на звичайні домашні роутери. Я перечитав позов генпрокурора штату і там не просто про штрафи, а про нацбезпеку та ботнети 🔍Суть історії: Техас звинувачує TP-Link у тому, що роутери маркували як «Made in Vietnam», хоча ланцюжок постачання тісно зав’язаний на Китай, де закон зобов’язує компанії співпрацювати зі спецслужбами. Плюс — у прошивках були відомі дірки, через які кіберзлочинці будували ботнет Quad7 🕵️, використовуючи домашні й офісні роутери для масового підбору паролів без явного шуму в логах.TP-Link усе заперечує, каже, що їх не контролює уряд Китаю, а дані американських юзерів лежать на AWS у США 💣. Але для нас, як користувачів, висновок простий: оновлювати прошивку, міняти дефолтні паролі, різати зайвий віддалений доступ і виносити IoT в окрему Wi-Fi-мережу 🔐. Мені здається, що роутер перетворився на новий «комп’ютер безпеки» вдома — і його ігнорити вже небезпечно; а ви взагалі перевіряєте, що крутиться всередині вашого роутера, чи він просто «працює й не чіпати»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/pozov-texas-proty-tp-link-urezlyvosti-routeriv-botnet-quad7#кібербезпека #технології #роутери #приватність #сша #китайCyberSecureFox

⚠️ Один рускомовний хакер за 5 тижнів зламав 600+ FortiGate у 55 країнах — і значну частину роботи за нього зробив ШІ. Я перечитав звіт Amazon і, чесно, це виглядає як «Skynet для тих, хто ледве вміє кодити».Фокус не в якихось «суперексплойтах», а в банальщині: відкриті з інтернету адмінки FortiGate, слабкі паролі, без MFA 🔐. Далі — масовий брутфорс VPN, злив повної конфігурації (паролі, топологія, бекапи) і аналіз цілей скриптами, які йому допомагали писати генеративні LLM 🤖. Код місцями кривий, зате автоматизує рутину й дає швидкість.Найцікавіше — він прикрутив власний сервер, який підсовував вкрадені дані в LLM і отримував від ШІ готові плани атак 🧠. Мені здається, це перший гучний приклад, коли слабкий технічно зловмисник за рахунок ШІ виходить на глобальний рівень. Як ви це бачите: перебільшена паніка чи реальна загроза, під яку вже зараз треба перешивати свою безпеку❓🔗 Докладніше:https://cybersecurefox.com/uk/fortigate#кібербезпека #штучнийінтелект #fortigate #інфобез #україна #бізнесCyberSecureFox

🔥 В кібербезпеці тихо формується розрив на два табори. І мені здається, за пару років різниця між ними стане болісно відчутною.До 2026 частина компаній вже живе в режимі Continuous Threat Exposure Management (CTEM) і має до 50% кращу видимість поверхні атаки. Решта досі грають у «латання дір» — періодичні скани, разові проєкти, купа звітів без системи, хоча 87% керівників уже визнають, що безперервна модель потрібна.Мене особливо чіпляє тема visibility gap 💣 — різниці між тим, за що ви реально відповідаєте, і тим, про що взагалі знаєте. Чим більше доменів, SaaS, інтеграцій — тим швидше класичне управління вразливостями перестає масштабуватись, з’являються «сліпі зони», які ніхто не моніторить.Логіка CTEM проста: спочатку повна інвентаризація активів, потім прив’язка до бізнесу, далі постійна валідація ризиків і пріоритизація реагування 🧩. Я все більше бачу, що continuous-експозиції скоро стануть must-have, як колись антивірус — а ви зараз більше в таборі «разові аудити» чи вже рухаєтесь у бік CTEM? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/ctem-neperervne-upravlinnia-poverkhneiu-ataky#кібератаки_ctem_кібербезпека_бізнес_ризики_itбезпекаCyberSecureFox

🔍 Microsoft 365 Copilot щойно показав, наскільки крихка наша віра в «розумні» асистенти. Коротко: ІІ від Microsoft зміг читати й підсумовувати листи, які мали бути надійно захищені політиками DLP та мітками чутливості. Я натрапив на інцидент CW1226324: у Copilot Chat вкладка Work лізла в “Надіслані” та “Чернетки” й обробляла навіть конфіденційні листи, ігноруючи обмеження. Тобто Copilot міг узяти шматки чутливої переписки й спокійно видати їх у відповіді на інший запит 🤖 — саме те, від чого нас мали захищати DLP та sensitivity labels.Microsoft уже розгортає виправлення з початку лютого, але масштаб інциденту й досі неясний ⚠️. Мені здається, що це хороший тригер подивитись на Copilot як на окремий застосунок із чіткими правами доступу, переглянути політики DLP, ввімкнути більше логування й підтягнутися до підходу Zero Trust 🛡️. Я б зараз дуже обережно давав Copilot доступ до особливо чутливих даних. А ви вже дозволяєте ІІ-асистентам працювати зі своїми «чернетками» та «надісланими»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/microsoft-365-copilot-dlp-bug-cw1226324#кібербезпека_microsoft365_copilot_dlp_ai_безпекаданихCyberSecureFox

🔥 Я щойно натрапив на кейс, який дуже добре показує, наскільки крихка наша «анонімність» в інтернеті. Компанію Tenga (ті самі японці з товарами для дорослих) зламали через звичайну корпоративну пошту, і це вдарило по даних, які дуже не хочеться світити.Хакер отримав доступ до листування з клієнтами: імена, email-и, деталі замовлень, переписка з підтримкою 😬. Плюс з цього ж акаунта пішов спам, що відкриває двері для цільового фішингу під виглядом “офіційних” листів Tenga – з реальними даними всередині.Що зробили в компанії? Перелогінились, увімкнули MFA “для всіх систем” і порадили клієнтам змінити паролі. Але мені здається, головний урок для нас: для чутливих покупок краще мати окрему пошту, унікальні паролі й завжди перевіряти листи, які просять «терміново перейти за посиланням» 🔐.Мене в цій історії найбільше лякає не сам злам, а те, як легко це можна використати для шантажу й маніпуляцій 🙃. А ви розділяєте пошти/акаунти для “звичайного” життя й більш приватних речей, чи все летить на одну скриньку? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/vitik-personalnyh-danyh-tenga-korporatyvna-poshta#кібербезпека #приватність #товаридлядорослих #витікданих #цифровагігієна #фішингCyberSecureFox

🚨 Щойно натрапив на кейс, від якого трохи мороз по шкірі: інфостілер Vidar вперше вкрав конфіги локального ІІ-агента OpenClaw. Це не просто ще один злив паролів, а доступ до всього «внутрішнього світу» вашого асистента 🤖OpenClaw зберігає локально токени, криптоключі, «пам’ять», листування, нотатки – все в каталозі .openclaw. Vidar просто пройшовся по файлах з підозрілими словами типу «token», «private key» і забрав openclaw.json, device.json, MEMORY.md та інше. У результаті зловмисник отримує і ключі до пристрою, і структурований психологічний та робочий профіль користувача 🧠😬Мені здається, ми підходимо до моменту, коли ІІ-агенти стають новою критичною точкою атаки: вони бачать більше, ніж пошта чи браузер, і вже зручно все зберігають за нас. Я б точно тримав таких асистентів в окремих профілях/VM, шифрував конфіги й регулярно крутив токени 🔐 А ви вже даєте своїм ІІ-друзям доступ до пошти/доків – і як взагалі плануєте їх захищати? ❓🔗 Докладніше:https://cybersecurefox.com/uk/pershyi-vypadok-kradizhky-konfiguratsii-openclaw-infostealer-vidar#кібербезпека #штучнийінтелект #aiагенти #openclaw #інфостілер #приватністьCyberSecureFox

🔍 Сиджу, розбираю черговий звіт по атаках — і натрапляю на цікавий апдейт по групі Head Mare. Це проукраїнські хлопці, які зараз дуже прицільно працюють по російських держструктурах і промисловості — і роблять це все дедалі елегантніше.Замість «важких» файлів вони майже повністю переїхали в PowerShell і підхід Living-off-the-Land 🧩 — коли використовується максимум вбудованих засобів Windows. Новий бекдор PhantomHeart через уразливість в TrueConf Server (BDU:2025-10114) або фішинг пролазить у мережу, підіймає SSH-тунель 🛠, збирає технічні дані й ховається в планувальнику задач, маскуючись під оновлення LiteManager.Паралельно працює PhantomProxyLite, який теж на PowerShell, автоматом створює «SSHService»-задачу від SYSTEM і через ssh.exe тримає стабільний зворотний доступ 🧨. Мені здається, тренд очевидний: хто не моніторить PowerShell, планувальник задач і каталоги віддаленого адмін-ПЗ — той просто не бачить пів атаки 🛡️. Як у вас з цим: стоїть EDR/логування, чи все ще «антивірус і на тому дякую»?🔗 Докладніше:https://cybersecurefox.com/uk/powershell-bekdor-phantomheart-head-mare-living-off-the-land#кібервійна_кібербезпека_powershell_lotl_headmare_itsecCyberSecureFox

🧩 Натрапив на кейс, після якого ще раз подивився на свої розширення в браузері. Виявилось, що під виглядом кастомізації ВК сиділа ціла мережа «тихих» плагінів для Google Chrome з понад 500 000 установок. Розширення VK Styles обіцяло теми й плюшки для інтерфейсу, а натомість непомітно інжектило свій код у кожну сторінку й крутило вашим акаунтом. 🧠 Воно з ~75% ймовірністю оформлювало автопідписку на їхню групу з 1,4 млн учасників, а якщо ви відписувались — пробувало підписати знову. Раз на місяць ще й скидувало частину налаштувань, змінювало стрічку на «Нещодавні» – мені від цього не по собі. Найцікавіше, що вся «командна інфраструктура» ховалась на звичайному профілі VK і в репозиторії GitHub, а оновлення розширення браузера прилітали автоматично 🔐. З таким підходом оператор у будь-який момент може докрутити код до чогось набагато жорсткішого 🤦‍♂️. Я для себе вирішив: мінімізую кількість плагінів і раз на місяць влаштовую їм ревізію 🧹 — а ви коли востаннє чистили свої розширення?🔗 Докладніше:https://cybersecurefox.com/uk/vk-styles-shkidlyvi-rozshirennia-chrome-dlia-vkontakte#кібербезпека_браузерні_розширення_vk_приватність_інформаційна_гігієнаCyberSecureFox