Иметь «плоскую» сеть сегодня считается моветоном, почти в каждой инфраструктуре есть как минимум файрвол. Чтобы добраться до важных сегментов, злоумышленники прибегают к пивотингу — технике, позволяющей атакующему использовать скомпрометированное устройство в качестве опорной точки для проникновения в другие части сети. Опорная машина в таком случае выступает в роли шлюза. Такие шлюзы могут объединяться в цепочки, что позволяет злоумышленнику прокладывать маршрут до самых труднодоступных участков инфраструктуры. Основная цель этого этапа — обойти все помехи, которые препятствуют обмену данными между атакующим и целевым устройством.

По данным BI.ZONE TDR, в 2025 году Vaultwarden использует каждая десятая российская компания.

Как и любое хранилище секретов, Vaultwarden — критически важный сервис, требующий повышенного внимания безопасников. Его компрометация влечет множество рисков. Поскольку секреты от других внутренних сервисов хранятся в Vaultwarden, при его взломе атакующий узнает и их. А если продукт автоматически получает секреты с помощью API, злоумышленник попадет на хост с обширной сетевой связностью.

Поэтому наша группа исследования уязвимостей проанализировала Vaultwarden. В результате мы обнаружили две уязвимости высокого уровня опасности: CVE-2025-24364 и CVE-2025-24365.

В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже известных PoC и разбор улучшений части из них, которая может быть полезна при тестировании. Приятного прочтения!

Попасть на OFFZONE с докладом не самая простая задача. Каждый год мы получаем вопросы: как работает CFP? какие темы лучше выбирать? как правильно подать заявку? что получат спикеры?

Мы поговорили с оунерами тематических зон и участниками CFP-комитета, собрали их ответы в статью. Если хотите выступить на конференции, советуем почитать.

В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут закрыть уязвимость. 

Спойлер: Microsoft считает угрозу низкорисковой, но эта уязвимость может стать крайне популярной в фишинговых кампаниях.

Приятного чтения!

Привет! Меня зовут Павел Козяев, я ведущий специалист группы исследования киберугроз компании BI.ZONE. В этой статье поговорим о легитимном инструменте от Microsoft, который злоумышленники используют в своих фишинговых кампаниях для создания туннелей, закрепления и исполнения команд на хосте жертвы в обход средств антивирусной защиты. Покажу примеры команд, а также расскажу, как обнаружить такую активность и вовремя принять меры.

Привет, Хабр! Сегодня я расскажу, как безопасность мобильных приложений видит атакующий. Мне кажется, у многих в комьюнити сложилось мнение о мобильной безопасности как о чем-то сложном и неважном для бизнеса. Я разберу несколько реальных кейсов, когда баги в мобильных приложениях вели к серьезным проблемам, и попробую доказать, что уязвимости могут быть нетривиальны и интересны людям, занимающимся безопасностью.

10 сентября компания Microsoft выпустила очередную подборку обновлений, устранив 79 уязвимостей в различных продуктах. Наше внимание привлекли патчи для Microsoft SharePoint — обширной системы с функциями управления сайтами (content management system, CMS). Из пяти уязвимостей, вошедших в сентябрьский выпуск, четыре позволяли исполнять сторонний код (remote code execution, RCE), одна — создавала угрозу DoS. Мы выбрали для анализа CVE-2024-38227 — RCE-уязвимость привилегированного пользователя. Для нас такое исследование — это возможность изучить сам Microsoft SharePoint и понять текущую теорию его эксплуатации (state-of-the-art).

Отдел аналитики и исследования киберугроз BI.ZONE WAF изучил статистику атак на веб‑приложения под защитой BI.ZONE WAF. Эту информацию мы сравнили с результатами анализа теневых ресурсов, за которыми наши специалисты следят с 2011 года. В этой статье расскажем, как развивались методы злоумышленников.

21 августа браузер Chrome получил обновление, которое исправило 37 ошибок, связанных с безопасностью. Внимание исследователей по всему миру привлекла уязвимость CVE-2024-7965, описанная как некорректная имплементация в V8. На практике это означает возможность RCE (remote code execution) в рендерере браузера, что открывает простор для последующей эксплуатации. Заинтересованность исследователей повысилась еще сильнее, когда 26 августа Google сообщила об использовании CVE-2024-7965 «в дикой природе».

Мы проанализировали эту уязвимость, чтобы вам не пришлось.

Всем привет!

Исправления давно в проде, а конфа OFFZONE 2024, на которой я выступил с этим докладом, закончилась — пришло время и на Хабре рассказать об исследовании умного девайса от VK под названием «Капсула Нео» (далее — «Капсула»).

О том, что мне удалось найти и с чем пришлось столкнуться за время проекта, читайте под катом.

Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки.

Если вы уже давно хотите стать частью команды BI.ZONE, это ваш шанс, потому что на OFFZONE 2024 мы проведем One Day Offer. Запускаем конкурс, три победителя которого получат бесплатные проходки на конференцию. В этом году ищем специалистов по обратной разработке — для них и задания.

Каждый участник OFFZONE 2024 получит шанс пройти интервью и присоединиться к команде BI.ZONE в тот же день. Просто приходите на наш стенд 22–23 августа.

Исследователи кибербезопасности обнаружили вредоносное ПО, которое сочетает в себе функции загрузчика, стилера и RAT. Рассказываем, как оно было разработано, для чего используется и почему применяется в атаках на российские компании вопреки ограничению от разработчика.

Недавно в сети появился инструмент, который позволяет получить учетные данные из реестра Windows без взаимодействия с файловой системой — непосредственно из памяти. Детектировать такие атаки средствами штатного аудита очень непросто. В статье сравниваем механизм работы новой утилиты со старыми средствами, рассказываем о способе обнаружения ее активности и разных подходах к защите.

Наша команда проводит много red-team-проектов и, как следствие, постоянно имеет дело с различными системами мониторинга сетевого трафика. Вопрос «Как не спалиться?» в такой работе почти так же важен, как проникновение в инфраструктуру. Поэтому сегодня я хочу поговорить о маскировке сетевого трафика между С2-агентом и сервером — посмотрим на нетривиальные и даже забавные способы это сделать.

Недавно наши коллеги из компании Cyble опубликовали в своем блоге исследование группировки, от которой пострадали несколько российских поставщиков полупроводников. Наше управление киберразведки также следит за этим кластером активности, получившим имя Mysterious Werewolf. Мы обнаружили еще одну их атаку, на этот раз под удар попали промышленные организации в России.

Приветствую!

В конце первой части статьи по исследованию саундбара Yamaha я упомянул о плачевном состоянии его безопасности. Но вот то, насколько оно плачевное, я тогда представлял не до конца.

Привет! Обычно в этом блоге делимся экспертными техническими материалами, но сейчас хотим рассказать вам про будни и праздники нашей команды. Мы уже делали обзор хакатона GO.ZONE, а сегодня приоткроем завесу тайны офисной жизни кибербезопасников.

Устроим вам экскурсию по месту, в котором сотрудники BI.ZONE проводят так много рабочего времени, что иногда остаются на ночь.

Хорошо работает тот, кто хорошо отдыхает, поэтому в нашем московском офисе, помимо уже ставших стандартными для IT-компаний слипрумов, душевых, кухонных зон с фруктами и кофемашинами, есть еще несколько интересных фишек и локаций. 

Наши специалисты по киберразведке обнаружили новую группировку, которая применяет условно легитимное ПО, чтобы вмешиваться в работу государственных организаций. Характерная особенность этих злоумышленников — в использовании достаточно популярных инструментов, которые несложно обнаружить и заблокировать. Это не мешает Sticky Werewolf добиваться успеха — группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.