YellowKey

Это 0day от Nightmare-Eclipse, который обходит BitLocker всего с помощью пары файлов на флешке.

И за последние годы это уже пятый подобный эксплоит. Предыдущими были CVE-2022-41099, CVE-2023-21563, CVE-2024-20666 и CVE-2025-48804. А о bitpixie у меня даже был отдельный пост.

И что я заметил, так это то, что все они сильно похожи, потому что эксплуатируют один и тот же компонент — а именно WinRE (среда восстановления Windows). И это не случайно.

Секрет на скриншоте. В случае с YellowKey, винда ищет в файлах на флешке нужные флаги, отвечающие за включение "test mode". А дальше система просто позволяет скипнуть битлокер и дать шелл к расшифрованному диску.

Microsoft оставила в WinRE столько debug-кода, что он уже несколько лет порождает криты, и это далеко не последний.

Бурмалда

7 мая в Telegram добавили Guest Mode, который позволил ботам отвечать в тех чатах, где они не являются участниками. И в этой фиче нашли интересную особенность — вместо самого бота, в «Forwarded from» при пересылке из диалогов записывался аккаунт собеседника.

Информация быстро оказалась в паблике, и многие стали подделывать сообщения от официальных аккаунтов. Например, от имени волонтерской поддержки или от официальной «service notifications» учетки Telegram. А кто-то даже придумал продавать.

Продлилось это недолго, срочный фикс выкатили в ночь с 8 на 9 мая. Теперь подделать сообщения нельзя, но все старые остались на месте.

Instagram убрал сквозное шифрование во всех новых чатах. Цукерберг оправдал это защитой детей, но на самом деле скорее всего сделал это ради хороших отношений с администрацией и сбора данных для рекламных алгоритмов.

А Xitter, наоборот, громко анонсировал поддержку E2EE во всех чатах и даже создал отдельное приложение XChat. Но, как обычно, дьявол кроется в деталях.

Маск решил использовать протокол JuiceBox. Идея на бумаге красивая: ключи шардируются и распределяются между тремя независимыми инстансами в разных юрисдикциях. Чтобы прочитать твой чат, спецслужбам нужно собрать «пазл» из трех стран одновременно.

Но что мы имеем по факту:
Реализация в X — сделана скорее для пиара:
— вместо разных стран, все три инстанса подняты на одном и том же AWS, в юрисдикции США
— пин-код из 4-х цифр: ключи зашифрованы пином, который брутфорсится за доли секунды

В итоге один запрос от ФБР — и вся переписка у них на руках.

В документации X обещает распределение между рилмами в будущем

In the future, we plan to give users more options, such as choosing realms operated by different organizations to further distribute trust and self-custody of keys.

Но, как известно, нет ничего более постоянного, чем временное. Telegram, например, годами кормил аудиторию обещаниями выложить серверную часть в опенсорс, пока в 2021 году Дуров окончательно не похоронил эту идею, публично заявив, что открывать код сервера никто не собирается.

Всегда считалось, что Stuxnet — это первый в истории вредонос для физического саботажа. Но недавнее открытие аналитиков из SentinelOne полностью ломает этот таймлайн.

На прошлой неделе в их блоге вышел детальный разбор гениального вируса fast16, который появился еще в 2005 году. За 5 лет до того, как мир узнал про иранские центрифуги.

Наткнулись случайно
Исследователи копались в старых архивах и наткнулись на подозрительный файл svcmgmt.exe, внутри которого крутилась кастомная виртуальная машина Lua 5.0.

Отпечатки PDB-путей привели к старой утечке ShadowBrokers из 2017 года. В каталоге АНБ напротив сигнатуры fast16 стояла пометка для своих операторов: «NOTHING TO SEE HERE — CARRY ON».

Техническая начинка
— ядром является низкоуровневый драйвер файловой системы (fast16.sys), который висит в памяти ядра и перехватывает обращения к диску
— драйвер не трогает обычные пользовательские программы, его целью является код, скомпилированный компилятором Intel C/C++ — именно его использовали в тяжелом инженерном софте для физических симуляций, гидродинамики и ядерного моделирования (например, LS-DYNA)
— когда инженер запускал расчеты, fast16 находил нужные математические функции в оперативной памяти и аккуратно подменял инструкции работы с плавающей запятой.

Как это работало на практике
Софт не падал, интерфейс не вис, а оператор видел абсолютно штатный процесс симуляции. Но цифры на выходе получались едва заметно, ювелирно искаженными.

Для сложного проекта (например, расчет прочности обшивки ракеты или критической массы ядерного заряда) погрешность даже в сотые доли процента означает, что деталь или устройство просто разрушится на этапе реальных испытаний.

Годы работы ученых и миллионы долларов улетали в трубу из-за «ошибок в чертежах», которые на самом деле были результатом работы fast16.

ИМХО
Была бы еще одна страна, которая терроризирует всех ядерной дубиной. Но вместо того, чтобы кого-то бомбить — тихо «подорвали» все ее научные разработки изнутри.

То, что мы узнаем об этом только спустя 20 лет, доказывает: идеальные кибероперации ведутся тихо, незаметно и могут решать любые проблемы без кровопролития.

CVE-2026-31431 a/k/a CopyFail

> Linux LPE
> Description sounds like AI slop
> Exploit is legit
> Impacts every Linux kernel from 2017 - Now
> Proof-of-concept released
> It's Wednesday?

https://copy.fail/

Attack chain:
1. Взломали context.ai, которым пользовался один из сотрудников Vercel
2. Нашли его OAuth-токен с доступом к Google Workspace (само приложение сейчас уже удалено)
3. Использовали его, чтобы окончательно попасть в инфру

После первоначального доступа могли собрать some Vercel environments and environment variables that were not marked as "sensitive" и ... пока на этом все.

At this time, we do not have reason to believe that credentials or personal data have been compromised.

Sensitive environment variables — это те переменные окружения, которые ты должен отметить сам, после чего они шифруются. Но многие этого не делают, поэтому данные лежат открыто.

Что нужно сделать:
— проверить логи активности через Dashboard или CLI
— ротировать переменные окружения и отметить необходимые как "sensitive"
— поискать подозрительные деплойменты

Сейчас компания продолжает расследовать инцидент вместе с Mandiant. Отдельно отмечают, что хакер(ы) хорошо ориентировались и быстро продвигались.

Vercel сообщили, что их взломали

We’ve identified a security incident that involved unauthorized access to certain internal Vercel systems. At this time, we have identified a limited subset of customers that were impacted and are engaging with them directly.

Параллельно с этим админ BreachForums под ником ShinyHunters предложил приобрести у него API-ключи, исходный код и базу данных хостинга.

Но доверять ему не стоит. Утекло ли что-то на самом деле — покажет время. Настоящая группа ShinyHunters покинула очередную итерацию BreachForums после предыдущего ареста форума, а нынешний админ нового «реборна» лишь выдает себя за участников этой группы, то же самое можно сказать и о его дампе, — ведь он не показал даже сэмпл.

В любом случае, советую ротировать все свои креды и секреты.

Интересный факт: кто-то потратил больше миллиона долларов на карточки Мегалодона для GTA Online в США в 2020 году.

Это удалось выяснить из вчерашней утечки GTA VI. В открытом доступе оказалась не сама игра, а только статистика. Взломали аналитическую компанию Anodot и слили информацию из Snowflake, где Rockstar хранила свои данные.

Тем временем на Polymarket принимают ставки, что произойдет раньше: возвращение Христа или выход GTA 6. Шансы 50/50

Nyx

Ультимативный скрипт для заметания следов, работающий по принципу «выжженной земли».

Ни для кого не секрет, что современные ОС работают как первоклассные стукачи, записывая каждое твоё действие в десятки отдельных папок и веток реестра. Запоминать и вычищать всё это вручную — путь в никуда.

Вот только пара интересных мест в Windows, о которых ты мог не знать:
— ShimCache (AppCompatCache): хранит данные о запускаемых бинарниках для обеспечения совместимости. Хранится в памяти и сбрасывается в реестр при выключении. Это один из первых векторов, куда смотрит аналитик, чтобы восстановить таймлайн твоих действий.
— ShellBags: Windows помнит каждую папку, которую ты открывал, её размер, положение окна и время доступа. Даже если ты удалил папку и затер её шредером — запись в реестре расскажет, что она там была.
— UserAssist: списки запускаемых программ с их счетчиками и временем последнего старта

evilsocket — исследователь с опытом в 20 лет и создатель bettercap — выпустил решение, которое делает всю грязную работу за тебя.

Nyx проходит катком по всем местам, где система могла сохранить метаданные о твоих действиях, запущенном софте или подключенных устройствах, устраивая настоящий ад для цифровой криминалистики. Он не только стирает логи операционной системы, но и умеет даже вырезать артефакты EDR вроде CrowdStrike или SentinelOne.

Поддерживаются все основные ОС (Windows, Linux и MacOS), а размер скрипта умещается в строгие 39.2кб.

Сотрудники ФБР смогли прочитать переписку из Signal

Им удалось это сделать, несмотря на E2EE-шифрование и автоудаление переписки по таймеру. Причиной стали пуш-уведомления от Apple, в которых отображалось содержимое переписок. Они оседают на серверах, а также сохраняются в системное хранилище смартфона и остаются там даже после удаления приложения.

Для защиты в Signal существует настройка, которая была отключена у задержанной. Она скрывает получателя и сам текст сообщения. Чтобы ее включить, нужно перейти в профиль > Notifications > Show и выбрать «No name or message».

The-A-Files — обходим антивирусы треками Клонекса

Наблюдать за TeamPCP интересно — они сформировались совсем недавно, за последнее время хайджекнули несколько очень популярных пакетов, включая Trivy, Checkmarx, LiteLLM, Telnyx, написали собственного червя CanisterWorm, и продолжают осваивать редкие и продвинутые тактики, вроде блокчейна в качестве C2.

После достигнутых успехов они также запартнерились с Vect Ransomware Group и вряд ли позволят о себе забыть в ближайшее время.

В своей последней атаке группа использовала стеганографию. Чтобы доставить малварь на таргет, они скрыли полезную нагрузку внутри звукового .wav, который выглядит легитимно в трафике и помогает обходить антивирусы, ориентирующихся на более распространенные форматы.

В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR.

В репозитории The A-Files можно найти куда более изощрённые техники, например:
— Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук
— Phase Coding — кодирование через изменение фазы без заметной потери качества
— Echo Hiding — внедрение слабых искусственных эхо с различными параметрами

И это только малая часть доступных методов — для каждого из них в репозитории есть реализации.

Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.

В Nekogram нашли бэкдор, который сливает номера телефонов

Анонимный исследователь разреверсил неофициальный клиент Telegram и обнаружил вредоносный код в файле Extra.java. Он отличается от того, который залит в официальный репозиторий, и отвечает за отправку связки «номер телефона-метаданные аккаунта» inline-запросом боту @nekonotificationbot.

В Google Play у клиента более 1 миллиона скачиваний. И если ты оказался среди них, то номер от твоего аккаунта уже утек, даже не смотря на настройки приватности.

UPD.: написали модуль, который позволяет увидеть все в рантайме nekogram-proof-of-logging

Я не верю, что это совпадение

За прошедшие сутки прошло два события:

1. У пользователей на российских номерах (независимо от платформы) в Telegram начал появляться баннер о том, что они больше не смогут оплатить Telegram Premium.

2. Telega анонсировала собственную подписку

Чтобы расти дальше, нам необходимо серьезное финансирование, и мы думаем запустить собственную подписку. Поддержали бы такой формат?

И это после нарушения GPLv2, вместе со скандалом с перехватом трафика у нескольких миллионов пользователей.

Получается красивая картина: вместо того чтобы выпилить шпионский клиент из всех магазинов и отозвать у него api_id, Дуров фактически легализовал его. И мало того — позволит ему спокойно отбирать платежных пользователей у самого Telegram.

Ответ TG по поводу уязвимости

Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".

Но правда ли это?

Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.

Интересно, есть ли канал с нефтебазами

Гении из «Роснефти» добровольно уже на протяжении года сливают данные своих сотрудников.

Вместо закрытого чата, они создали открытый на всех канал в Telegram, где публикуют маршрутные квитанции.

В них можно найти:
— ФИО
— дату рождения
— номер паспорта

Всего опубликовано больше 7 тысяч PDF.