24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Злоумышленники перешли к новому варианту метода ClickFix - InstallFix, убеждая пользователей запускать вредоносные команды под предлогом установки легитимных инструментов командной строки (CLI).
Новый разновидность атаки полагается на распространенной практике среди разработчиков скачивать и запускать скрипты с помощью команд curl-to-bash из онлайн-источников, не проводя предварительного тщательного изучения исходных файлов.
Исследователи Push Security обнаружили, что злоумышленники используют новую технику InstallFix с помощью клонированных страниц популярных инструментов командной строки, которые предоставляют вредоносные команды установки.
В своем отчете Push Security обращает внимание на клонированную страницу установки Claude Code от Anthropic, которая имеет тот же дизайн, фирменную символику и боковую панель с документацией, что и легитимный источник.
Разница заключается в инструкциях по установке для macOS и Windows (PowerShell и командная строка), которые распространяют вредоносное ПО с контролируемой злоумышленником конечной точки.
Исследователи утверждают, что, за исключением инструкций по установке, все ссылки на поддельной странице ведут на легитимный сайт Anthropic. Злоумышленники продвигают такие страницы с помощью вредоносных рекламных кампаний в Google Ads.
При поисковом запросе install claude code первым результатом был URL-адрес Squarespace ( claude-code-cmd.squarespace[.]com ), указывающий на точную копию официальной документации Claude Code.
Согласно данным Push Security, в рамках кампании InstallFix распространяется Amatera Stealer - вредоносное ПО, предназначенное для кражи конфиденциальных данных (криптовалютных кошельков, учетных данных) из скомпрометированных систем.
Вредоносные команды InstallFix для macOS включают закодированные в base64 инструкции для загрузки и выполнения исполняемого файла с домена, контролируемого злоумышленником. В одном случае использовался wriconsult[.]com.
Для пользователей Windows вредоносная команда использует легитимную утилиту mshta.exe для получения вредоносного ПО и запускает дополнительные процессы, такие как conhost.exe, для поддержки выполнения конечной полезной нагрузки - стилера Amatera.
В свою очередь, Amatera - это относительно новое семейство вредоносных ПО, предположительно основанное на ACR Stealer, которое реализуется в формате MaaS. Недавно было обнаружено, что вредоносное ПО распространялось в рамках отдельных атак ClickFix.
Amatera способен красть пароли, файлы cookie и токены сеансов, хранящиеся в веб-браузерах, и собирать системную информацию, избегая обнаружения средствами безопасности.
По данным Push Security, эти атаки отличаются особой изощренностью, в том числе потому, что вредоносные сайты размещены на легитимных платформах, таких как Cloudflare Pages, Squarespace и Tencent EdgeOne.
Исследователи также выкатили видео с демонстрацией принципа работы InstallFix, от поискового запроса до копирования вредоносной команды.
На прошлой неделе в ходе кампании злоумышленники также применяли технику InstallFix с фейковыми установщиками OpenClaw, размещенными в репозиториях GitHub, продвигая их в результатах поиска Bing, оптимизированных с помощью ИИ.
Как считают исследователи, поскольку нынешняя модель безопасности сводится к принципу «доверяй домену», а все большее число «нетехнических» пользователей работают с инструментами, ранее предназначенными для разработчиков, InstallFix вскоре может стать более серьезной угрозой.
• В первой половине 80-х термин "портативный компьютер" воспринимался совсем не так, как сегодня. С 1980 по 1985 год появились десятки моделей, которые можно было переносить… если вам хватало сил))). Эти устройства напоминали кирпичи: прямоугольные корпуса весом до 15 кг, со встроенным экраном с торца. Одним из таких устройств был Sharp PC‑5000 (1983).
• Компания Sharp сделала попытку выйти на рынок бизнес‑портативов, выпустив РС-5000, но выбрала нетипичный путь. Это был компактный (по тем временам) ноутбук в корпусе чемодана, больше похожий на кассовый аппарат, чем на компьютер. А знаете, что было самым забавным в этом устройстве? Экрана почти не было, но зато был термопринтер!
• Если говорить о характеристиках, то данная модель имела процессор Intel 8086, 5 МГц, 128 кб ОЗУ, узкий экран на 8 строк × 80 символов, 640 × 80 – почти как у калькулятора, bubble‑память (энергонезависимая, до 128 Кб) вместо дисков и в качестве ОС была MS-DOS 1.x (сильно кастомизированная).
• Инженерно устройство было новаторским, но слишком нестандартным. Маленький экран делал работу неудобной, а отсутствие дисководов ограничивало совместимость. Несмотря на оригинальность, PC‑5000 остался нишевой и быстро забытой моделью. Однако именно с таких моделей началась история о доступных (относительно) компьютерах, которые можно было бы брать с собой.
#Разное
• Вы ведь знаете, что сервис arXiv.org содержит в себе тонну научных статей на всевозможные темы? Там можно найти очень много полезной информации по различным направлениям, включая ИБ.
• Однако система фильтров не совсем продумана и не очень удобна. Поэтому энтузиасты запилили отдельный сервис, где можно найти любую статью с уклоном в ИБ. Сервис называется CyberSec Research (название говорит само за себя) и он позволяет быстро находить материал с arXiv.org по нужной теме. Переходим, выбираем нужный фильтр, читаем и обучаемся:
➡️ https://research.pwnedby.me/
#Разное
👩💻 Права и пользователи в Linux.
• Нашел отличный и бесплатный курс на платформе Stepik по изучению Linux. Курс призван простым языком объяснить, как устроена система прав и пользователей в Linux, какие задачи она решает и почему без неё нельзя представить полноценную работу с серверными или локальными системами. На данный момент есть 15 уроков, 125 тестов и 1 интерактивная задача.
• Вот небольшое описание того, чему вы научитесь:
➡Узнаете принципы управления правами в Linux: как устроена модель owner/group/others, что означают флаги r, w, x и почему важно правильно настроить доступ.
➡Разберётесь, как использовать команды chmod, chown, chgrp и umask для гибкого управления правами на файлы и директории.
➡Познакомитесь с расширенными механизмами прав — SUID, SGID, Sticky bit — и научитесь применять ACL для тонкой настройки доступа.
➡Поймёте, как эффективно управлять пользователями и группами, настраивать их параметры и контролировать доступ при помощи sudo и root.
➡Узнаете, как строить безопасную архитектуру прав, избегать типичных ошибок и автоматизировать рутинные операции с помощью скриптов и best practices.
➡️ https://stepik.org/course/229493
#Курс #Linux
• Наверняка вы знаете, что скачивать что-то большое из интернета через одно TCP-соединение очень долго. Но почему так происходит?
• Дело в том, что протокол TCP проектировался в 80-е годы прошлого века, когда каналы связи были медленные и ненадежные. Поэтому TCP после установки соединения начинает передавать данные с низкой скоростью. Если данные не теряются, то скорость постепенно увеличивается. А если теряются - то скорость снижается. Таким образом со временем TCP определяет приемлемую скорость передачи данных.
• Сейчас каналы связи стали более быстрыми и стабильными. Почему нельзя передавать по ним сразу много данных? Оказывается, не все так просто. Сетью одновременно может пользоваться много устройств и вместе они способны загрузить даже самые быстрые и широкие каналы.
• Поэтому у TCP очень сложная задача. Если передавать в сеть мало данных, то канал связи не будет загружен полностью и скорость передачи будет низкая. С другой стороны, если передать слишком много данных, то может произойти перегрузка, часть данных будет отброшена и их придется передавать заново. В этом случае скорость тоже будет низкая.
• Дополнительная сложность в том, что сетью пользуются другие устройства. В случае с интернет - это миллионы других устройств. Но как определить подходящую скорость с учетом всех остальных устройств в сети?
• Об этом вкратце рассказано в видео по по компьютерным сетям от Андрея Созыкина:
➡️ https://youtu.be/HDnzeS24tdg
• Если нужна более детальная информация, то можно почитать RFC по ссылкам ниже:
➡RFC 5681 TCP - Congestion Control;
➡RFC 896 - Congestion Control in IP/TCP Internetworks.
• P.S. Напоминаю, что Андрей Созыкин является автором одного из самого понятного и актуального курса по компьютерным сетям. Если хотите начать обучение, то переходите на YouTube.
• P.S.S. Не забывайте про мой репозиторий, в котором я собрал очень много полезного материала для изучения сетей.
#Сети
🫠 Шутки, которые зашли слишком далеко... Часть 2.
• 2 месяца назад я опубликовал статью, где рассказывал о студенте, который изменили информацию на сайте Wikipedia и указал себя изобретателем тостера. Эта информация продержалась более 10 лет на сайте и вызвала настоящий ажиотаж в СМИ. Чтобы вы понимали, шутка зашла настолько далеко, что даже банк Англии предложил выбрать эту несуществующую и историческую личность для изображения на купюре в 50 фунтов стерлингов! Если не читали, то обязательно ознакомьтесь.
• Так вот, дело в том, что любители розыгрышей создали в Википедии огромное количество статей-мистификаций, описывающих несуществующих людей или события. Самая старая «шутка» продержалась около 11 лет. Всего в английском сегменте ресурса найдено более 300 мистификации, просуществовавшие более одного года. На Вики даже есть отдельная страница, в которой перечислены все случаи в англ. сегменте. Что касается СНГ, то такой страницы я не нашел (может плохо искал, а может её не существует). Вот краткое описание некоторых шуточных статей:
В 1960-е годы в Великобритании была группа, участники которой лаяли во время исполнения музыкальных композиций. Возможно, именно поэтому статья о The Doggs продержалась девять лет и восемь месяцев. Статью удалили как «Откровенную мистификацию», хотя в сети можно найти одну песню исполнителей того времени The Doggs — Billy's gotta run. В ней они не лаяли.
Джон Робишо родился в 1866 году в городе Тибодо, Новый Орлеан, и умер в 1939 году в Луизиане. Он был американским музыкантом, ударником и скрипачом, а также лидером собственного джаз-бэнда. А Джек Робишо — это герой поддельной статьи в Википедии, вымышленный серийный убийца из того же штата. Статью о нём создали 31 июля 2005 года, и продержалась она до 3 сентября 2015 года — десять лет и один месяц.
Гильермо Гарсия (Guillermo Garcia) был влиятельным нефтяным магнатом в XVIII веке, жившим в Южной Америке. Но вымышленным. Статья о нём просуществовала с 17 ноября 2005 года по 19 сентября 2015 года — девять лет и десять месяцев. Редакторы Википедии не нашли ни единого достоверного источника, который бы подтверждал существование этого персонажа.
«Божество австралийских аборигенов» Jar'Edo Wens — ещё один, на этот раз дважды вымышленный персонаж, которому была посвящена статья в Википедии, сделанная 29 мая 2005 года. Более того, она была переведена для французского раздела Википедии. Божество получило видоизменённый вариант имени Джаред Оуэнс (Jared Owens). До удаления Джека Робишо и Гильермо Гарсии Jar'Edo Wens удерживал первое место среди самых старых поддельных статей — девять лет и девять месяцев.
Pikes on Cliffs — это вымышленное место, домик на побережье с кузницей и колодцем. Моряк XVI века Уильям Симмс доплыл до берега после смертельного приговора, вынесенного сэром Фрэнсисом Дрейком. Этот дом никто не видел, и фактов существования того самого моряка не найдено. Статью удалили через девять лет и восемь с половиной месяцев после создания.
Грегори Нэмофф (Gregory Namoff) родился 26 февраля 1924 года в Грейт-Нек, Нью-Йорк, и умер 12 октября 2002 года в Бока-Рато, Флорида. Он был «международно известным» инвестиционным банкиром. В 1974 году он стал участником Уотергейтского скандала, но не был признан виновным. В начале 1980-х он переключил внимание на компьютеры, инвестировал в Apple Computer и Microsoft, и продал свою компанию GN Limited. В 1998 году он баллотировался в Сенат США против Боба Грэма, но его соперник провёл кампанию, связав Нэммоффа с Никсоном и Уотергейтом. В 2002 году Нэмофф умер из-за красной волчанки. Этого человека никогда не было.
• Нашел очень объемную и актуальную подборку полезных ресурсов на тему управления уязвимостями. Все ресурсы аккуратно отсортированы по разделам, включая всевозможные агрегаторы трендовых и обсуждаемых уязвимостей, базы данных, реестры и бюллетени. Добавляйте в закладки:
➡️ https://start.me/p/n74opD/cve-vm-by-alexredsec
#CVE
Исследователи раскрыли подробности новой атаки (точнее серии атак) под названием AirSnitch, нацеленную на вновь выявленные уязвимости Wi-Fi, которая позволяет эффективно обходить изолированность в сетях.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
📦 Hermit: A reproducible container.
• Нашел очень интересный проект на GitHub, благодаря которому мы можем запустить программу в изолированном и полностью воспроизводимом окружении.
• Например, даже если программа использует /dev/urandom, то будучи запущенной в hermit, программа будет забирать эти данные из псевдослучайного генератора, который, если потребуется, будет отдавать одни и те же данные при воспроизведении работы контейнера с программой.
• Тулза окажется полезной как при работе над багами в программах, так и, например, при наблюдении за работой подозрительного софта, исполнение которого, будучи запущенным в Hermit, полностью контролируется нами.
➡️ https://github.com/facebookexperimental/hermit
#Песочница
• В 2005 году хитрые Японцы выпустили уникальное устройство - Sharp Zaurus SL-C1000. Это был настоящий карманный мини-ПК на Linux для тех, кто любит ковыряться «под капотом». Под его складывающейся крышкой прятался Intel XScale с частотой 416 МГц, 64 МБ RAM и 128 МБ флеш-памяти — достаточно, чтобы засунуть в него Qtopia, сетевые утилиты и собственные скрипты. Его отличительной особенностью была полноценная QWERTY-клавиатура в компактном корпусе с откидным и поворотным 3,7-дюймовым цветным сенсорным экраном с разрешением 640×480. Вы могли использовать Zaurus как в режиме ноутбука, так и в режиме планшета. И все это 20 лет назад. Только представьте.
• За счет SD и CompactFlash, инфракрасного порта и USB-хоста/клиента устройство превращалось в швейцарский нож: подключить внешний диск, клавиатуру или даже запустить эмулятор старой приставки было делом пары кликов, после которых SL-C1000 превращался в мобильный сервер или ретро-консоль.
• Но энтузиастам, привыкшим к готовому решению, пришлось несладко: настройка требовала погружения в Linux-туннели, а локализованной прошивки не было. Официально Zaurus продавали только в Японии, а всему остальному миру приходилось полагаться на импорт и независимую локализацию. К тому же на горизонте уже маячили более дружелюбные PocketPC и Palm — аудитория SL-C1000 осталась узкой.
• Тем не менее, наследие Zaurus чувствуется и сегодня: это был один из первых массовых Embedded Linux-карманников, задавший тон многим промышленным и игровым Linux-гаджетам. Открытая архитектура вдохновила производителей делать портативные решения «под себя» и доказала: по-настоящему гибкое устройство должно быть максимально настраиваемым.
➡️ https://www.ebay.com/sch/Zaurus+SL-C1000
#Разное
• Нашел очень содержательный и актуальный Mindmap по командам Linux. Всё необходимое на одной схеме и всегда у вас под рукой:
➡Пользовательские;
➡Админские;
➡Встроенные в bash;
➡Команды-фильтры;
➡Мониторинг;
➡И многое другое...
• В хорошем качестве можно скачать по ссылке ниже:
➡️ https://xmind.app/m/WwtB/
#Linux #Mindmap
Palo Alto Networks на этой неделе зафиксировала резкое увеличение числа случаев эксплуатации двух недавно исправленных 0-day Ivanti Endpoint Manager Mobile (EPMM).
Критические CVE-2026-1281 и CVE-2026-1340 могут быть использованы удаленными, неаутентифицированными злоумышленниками для RCE на целевых серверах и получения полного контроля над целевой инфраструктурой управления мобильными устройствами (MDM).
Ivanti устранила уязвимости в системе безопасности в конце января, уведомив пользователей о том, что ей было известно об атаках нулевого дня, направленных на «очень ограниченное число клиентов».
Вскоре после раскрытия уязвимостей началось широкомасштабное использование злоумышленников, собственно с чем и столкнулись в Palo Alto Networks, наблюдая широкий спектр атак.
Злоумышленники используют уязвимости для загрузки вредоносного ПО на скомпрометированные платформы Ivanti, включая веб-оболочки, майнеры криптовалюты и постоянный бэкдор.
В Palo Alto также наблюдали, как злоумышленники задействуют утилиту мониторинга с открытым исходным кодом Nezha (недавно выявленную в вредоносной деятельности, связанной с КНР), реализуют обратные шелл-оболочки и проводят разведку.
Вместе с тем, в открытых источниках нет упоминаний об использовании CVE-2026-1281 и CVE-2026-1340, которые, если верить немецкой BSI, эксплуатировались еще с июля 2025 года.
Наряду с Ivanti популярность в киберподполье, как мы и предупреждали, получила и BeyondTrust с критической CVE-2026-1731 (CVSS: 9,9) в Remote Support (RS) и Privileged Remote Access (PRA), которая также используется для проведения широкого спектра вредоносных действий:
В настоящее время масштабы атак, использующих эту уязвимость, варьируются от разведки до развертывания бэкдоров, включая:
- Задействование пользовательского скрипта на Python для получения доступа к административной учетной записи.
- Внедрение нескольких веб-оболочек в разных каталогах, включая PHP-бэкдор, способный выполнять необработанный PHP-код или произвольный PHP-код без записи новых файлов на диск, а также bash-дроппер, создающий постоянную веб-оболочку.
- Развертывание вредоносного ПО, такого как VShell и Spark RAT.
- Использование методов внеполосного тестирования безопасности приложений (OAST) для проверки успешного выполнения кода и идентификации систем, скомпрометированных с помощью анализа отпечатков пальцев.
- Выполнение команд для подготовки, сжатия и извлечения конфиденциальных данных, включая файлы конфигурации, внутренние системные базы данных и полный дамп PostgreSQL, на внешний сервер.
Выявленная кампания была нацелена на секторы финансовых услуг, юридических услуг, высоких технологий, образования, торговли, а также здравоохранения в США, Франции, Германии, Австралии и Канаде.
Исследователи описывают уязвимость как сбой в процессе проверки подлинности, позволяющий использовать уязвимый скрипт thin-scc-wrapper, доступный через интерфейс WebSocket, для внедрения и выполнения произвольных команд оболочки в контексте пользователя сайта.
Исследователи акцентируют внимание на взаимосвязь между CVE-2026-1731 и CVE-2024-12356, указывающую на локализованную, повторяющуюся проблему с проверкой входных данных в различных путях выполнения.
И, учитывая наблюдавшиеся случаи использования CVE-2024-12356 китайскими APT, в том числе Silk Typhoon, в Palo Alto полагают, что CVE-2026-1731 также может стать целью для продвинутых злоумышленников.
Но будем, конечно, посмотреть.
Исследователи Check Point рассказали, как злоумышленники могут использовать сервисы ИИ для передачи данных между сервером управления и контроля и целевой машиной.
ИИ, используемый такими помощниками, как Grok и Microsoft Copilot, обладающими возможностями просмотра веб-страниц и получения URL-адресов, может быть использовандля передачи команд и извлечения украденных данных из систем жертв.
Дабы не быть голословными исследователи даже создали экспериментальный образец, демонстрирующий принцип работы системы, и представили свои результаты Microsoft и xAI.
Вместо того чтобы вредоносное ПО напрямую подключалось к серверу С2, размещенному на инфраструктуре злоумышленника, Check Point предложила использовать веб-интерфейс ИИ для связи с ним, давая агенту команду получить URL-адрес злоумышленника и получить ответ в выходных данных ИИ.
В разработанном Check Point сценарии вредоносная ПО взаимодействует со службой ИИ, используя компонент WebView2 в Windows 11. Причем даже если этот компонент отсутствует в целевой системе, злоумышленник может внедрить его в вредоносное ПО.
WebView2 используется разработчиками для отображения веб-контента в интерфейсе нативных настольных приложений, что устраняет необходимость в полнофункциональном браузере.
Исследователям удалось создать программу на C++, которая открывает WebView, указывающий либо на Grok, либо на Copilot». Таким образом, злоумышленник может передать помощнику инструкции, включающие команды для выполнения или извлечения информации из скомпрометированной машины.
Веб-страница выдает встроенные инструкции, которые злоумышленник может изменять по своему усмотрению, а ИИ извлекает или обобщает их в ответ на запрос вредоносной ПО. Она анализирует ответы голосового помощника в чате и извлекает из них инструкции.
Таким образом создается двусторонний канал связи через сервис ИИ, которому доверяют инструменты интернет-безопасности, и способный осуществлять обмен данными, не будучи детектированным или заблокированным.
Апробированный на платформах Grok и Microsoft Copilot прототип Check Point не требует учетной записи или ключей API для работы с сервисами ИИ, что упрощает отслеживаемость и решение проблем, связанных с основной инфраструктурой.
Обычно злоупотребление легитимными сервисами для C2 является тем, насколько легко можно перекрыть эти каналы: заблокировать учетную запись, отозвать ключ API, приостановить действие учетной записи клиента.
Однако прямое взаимодействие с ИИ-агентом через веб-страницу меняет ситуацию. Нет необходимости отзывать API-ключ, и если разрешено анонимное использование, то, возможно, даже не будет учетной записи, которую можно было бы заблокировать.
Несмотря на то, что существуют механизмы защиты, блокирующие явно вредоносный обмен данными на указанных платформах ИИ, но эти проверки безопасности можно легко обойти, зашифровав данные в высокоэнтропийные блоки.
В свою очередь, в Microsoft по поводу выявленной уязвимости Copilot пояснили: как и в случае с любым скомпрометированным устройством, злоумышленники могут попытаться установить связь, используя различные доступные сервисы, включая сервисы на основе ИИ.
Посоветовали пользователям подобные вопросы решать самостоятельно, рекомендуя практиковать многоуровневые меры безопасности, которые призваны предотвратить первоначальное заражение вредоносным ПО и уменьшить последствия действий после взлома.
• Нашел интересный проект на GitHub, который называется whatmade. Суть в том, что с помощью этого решения мы можем понять, каким процессом создан тот или иной файл в отслеживаемых директориях Linux.
• Исходный код whatmade написан на C++ и опубликован на GitHub под лицензией GNU General Public License v3.0. Предполагается, что такой проект поможет пользователям в дальнейшем определить происхождение файлов со странными названиями.
• Пользователям среды рабочего стола MATE предоставляется расширение для файлового менеджера Caja, выводящее информацию о процессе, создавшем указанный файл.
➡️ https://github.com/ANGulchenko/whatmade
#Linux #Tools
DevOpsConf 2026: Фабрика инженерных решений
2–3 апреля, Москва. Главное событие для инженеров по автоматизации разработки, надежности и эксплуатации, архитекторов, системных администраторов, технических лидеров и ИТ-директоров.
В этом году всё иначе - мы пересобрали привычный лекторий → в конструкторское бюро решений на DevOpsConf.
Над чем работаем:
🔹 Работа с наследием (легаси). Поток для тех, кому достался "черный ящик" без документации. Командная игра "Почини сломанную систему на скорость" + воркшоп по анализу древнего кода с помощью ИИ.
🔹 Наблюдаемость без паники. От метрик до архитектуры и борьбы с ложными алертами.
🔹 Как говорить с госорганами и бизнесом. Про 152-ФЗ, ФСТЭК и ГОСТы для инженеров, а также мастер-классы по питчингу решений для руководства.
Форматы: воркшопы, кейс‑игры, разбор инцидентов, экспертная зона.
👉 Изучить всю программу и забронировать билеты: https://tglink.io/2cad483ec0054b?erid=2W5zFJ36aDX
#реклама
О рекламодателе
👩💻 Как зарождался Linux?
• 25 августа 1991 года в USENET-конференции comp.os.minix появилось сообщение от молодого человека по имени Линус Бенедикт Торвальдс о том, что он создал бесплатную операционную систему для 386 и 486-совместимых ПК, с отдельным примечанием: в качестве хобби, новинка не претендует на лавры серьезного профессионального проекта вроде GNU. Так началась история Linux.
• 1988 году Ларс Вирзениус (однокурсник Торвальдса) окончил среднюю школу и поступил в Хельсинкский университет на факультет информатики. В сентябре его пригласили в клуб для шведоговорящих студентов «Спектрум», где состояли ребята, интересующиеся информатикой, физикой, химией и другими точными науками. Там он и познакомился с Линусом Торвальдсом. По воспоминаниям Ларса, в университете было несколько компьютерных классов, в которых стояли «маки» и персоналки с MS-DOS, а также терминалы, подключенные к мейнфрейму VAX/VMS. Среди этого великолепия обнаружился один-единственный старенький компьютер от DEC с операционной системой Ultrix — одной из версий BSD Unix. MS-DOS не нравилась Ларсу своими ограниченными возможностями, графический интерфейс Mac OS показался ему неудобным, и он оккупировал машину с Ultrix. Однажды, работая в терминале, Вирзениус опечатался в команде rm, набрав вместо нее rn — и совершенно случайно открыл для себя мир конференций USENET, где общались тысячи IT-специалистов и компьютерных энтузиастов с разных уголков планеты. Своей необычной находкой Ларс поспешил поделиться с Линусом Торвальдсом.
• Один из циклов в университете Хельсинки был посвящен программированию на С в Unix. К тому моменту Вирзениус неплохо знал С, Торвальдс тоже умел программировать на этом языке, при этом оба были постоянными участниками конференции comp.lang.c, сообщения которой они читали с университетского компьютера DEC. Поэтому содержание лекций казалось им не слишком интересным — значительная часть теории была им уже знакома. Ларс и Линус сдавали лабораторные работы экстерном, соревнуясь между собой, кто уложит очередную программу из учебного задания в меньшее количество строк кода.
• На рождество 1990 года Торвальдс решил сделать себе подарок: он взял льготный студенческий кредит и 5 января купил 386-й компьютер. На этот компьютер Торвальдс действительно установил MINIX, но основной проблемой, которая злила и бесила его, было отсутствие нормальной поддержки многозадачности. Больше всего Торвальдс хотел организовать модемный доступ со своего ПК на университетский компьютер DEC, чтобы комфортно читать из дома любимые конференции USENET, но ни одна из существовавших тогда терминальных программ его не устраивала — в каждой чего-нибудь, да не хватало. Перепробовав кучу вариантов, Торвальдс начал писать собственный терминал. Причем он пошел нестандартным путем: вместо того чтобы использовать довольно ограниченные возможности MINIX, он решил, что его программа будет работать с «железом» напрямую, не опираясь на ресурсы ОС.
• Спустя определенное время терминал стремительно разрастался, превращаясь в ядро новой ОС: вскоре он обзавелся собственным драйвером жесткого диска и драйверами файловой системы. Постепенно, день ото дня, MINIX на его компьютере мутировал в Linux. Правда, изначально проект назывался по-другому: Торвальдс придумал смешное словечко Freax — сборную солянку из слов «Free» «Freak» и «Unix», и попросил администратора сайта ftp.funet.fi Ари Леммке выложить на этот портал исходники его терминала. Но Леммке решил назвать папку на сервере по имени автора софта, добавив к нему окончание от «Unix» — получилось «Linux». Название прижилось, хотя строку «Freax» все еще можно найти в makefile ранних версий ядра Linux.
• Получается, Linux появился на свет не из-за амбиций разработчика, желавшего сделать «MINIX лучше самого MINIX», а как следствие скромного желания читать почту в любимых конференциях, не покидая пределы родного дома. Как говорится, великие вещи порой рождаются случайным образом, но для их появления на свет все равно нужны талант и упорство.
#Linux #Разное
📘 На Stepik вышел курс - "Профессия DevOps-инженер"
Хотите войти в DevOps или перейти на новый уровень? Этот курс — то, что нужно, чтобы освоить профессию с нуля.
• Полный путь от основ до продакшна: Linux, Bash, Git, Docker, Kubernetes, Ansible, Terraform, CI/CD, Prometheus + Grafana
• Практика на реальных кейсах: настраиваем серверы, пишем пайплайны, разворачиваем контейнеры, автоматизируем инфраструктуру
• Интерактивные задания с автопроверкой — учитесь в браузере, в удобное время
• Итоговый pet-project: рабочая инфраструктура, развёрнутая и автоматизированная вашими руками
• В стоимость включено: поддержка на протяжении курса, разбор задач и вопросов, рецензирование итогового проекта, помощь в составлении резюме.
🎓 Сертификат по завершении — добавьте в резюме или LinkedIn
🚀 Скидка 45%, действует 48 часов
👉 Забрать курс со скидкой
Подъехала актуальная аналитика по мобильной вирусологии от Лаборатории Касперского за 2025 год.
Начиная с третьего квартала 2025 года в ЛК изменили методику подсчета статпоказателей на основе телеметрии Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
По данным Kaspersky Security Network, в 2025 году:
- Решения ЛК позволили отбить более 14 059 465 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) - 62% от всех обнаруженных угроз.
- Обнаружено более 815 тыс. вредоносных установочных пакетов, из которых 255 тыс. относились к мобильным банковским троянцам.
В 2025 году злоумышленники совершали в среднем около 1,17 млн. атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО.
В 2025 году, помимо вредоносного ПО из предыдущих отчетов, было найдено множество других знаковых троянцев.
В частности, в четвертом квартале в ЛК обнаружили предустановленный бэкдор Keenadu, попадающий в прошивки устройств еще на этапе сборки.
Вредоносный код встраивается в libandroid_runtime.so - ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве.
Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы.
Функциональность Keenadu не ограничена: модули скачиваются динамически и могут обновляться.
Также исследователи обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл.
Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).
Еще одной интересной находкой стал троянец-шпион LunaSpy, мимикрирующий под антивирусное ПО, который ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также может записывать звук и видео. Угроза в основном была нацелена на российских пользователей.
В целом, в 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО.
При этом в ЛК отметили значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.
Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры (Triada и Keenadu).
Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений.
Исследователи также фиксируют интерес со стороны злоумышленников к использованию зараженных устройств в качестве прокси.
Как всегда, четкая инфографика и конкретные статпоказатели - в отчете.
Google выкатила обновления безопасности для устранения 129 уязвимостей в Android, включая активно используемую 0-day в компоненте дисплея Qualcomm.
Несмотря на то, что Google не предоставила дополнительной информации об атаках на CVE-2026-21385, Qualcomm в своем бюллетене сообщила, что уязвимость представляет собой переполнение целочисленного значения в подкомпоненте Graphics, которое локальные злоумышленники могут использовать для вызова повреждения памяти.
Qualcomm получила уведомление об этой серьезной уязвимости 18 декабря и уведомила клиентов 2 февраля.
Согласно февральскому уведомлению, в котором пока не указано, что CVE-2026-21385 используется в атаках, уязвимость затрагивает 235 чипсетов Qualcomm.
Помимо упомянутой CVE-2026-21385 Google исправила 10 критических уязвимостей в компонентах System, Framework и Kernel, которые злоумышленники могут использовать для RCE, EoP или инициирования DoS.
Наиболее серьезной из них является критическая уязвимость в компоненте System, которая может привести к RCE без необходимости получения дополнительных прав на выполнение.
Причем для эксплуатации не требуется взаимодействие с пользователем.
Google традиционно выпустила два набора исправлений: уровни 01.03.2026 и 05.03.2026.
Последний включает в себя все исправления из первого, а также исправления для закрытых сторонних и ядерных компонентов, которые могут быть неприменимы ко всем устройствам Android.
Для устройств Google Pixel обновления поступят немедленно, другим производителям потребуется больше времени для тестирования и настройки их под конкретные аппаратные конфигурации.
• Интересная статья из блога Red Canary: злоумышленник, получивший доступ к системе через критическую уязвимость в Apache ActiveMQ (CVE-2023-46604), после её эксплуатации сам устранил уязвимость, установив исправление. Есть предположение, что такое поведение вызвано тем, чтобы ограничить доступ к системе для других хакеров и сохранить свой доступ в скомпрометированной системе. Ну а что, конкуренцию никто не отменял!
• Уязвимость в Apache ActiveMQ была выявлена еще в 2023 году и почти сразу были выпущены патчи исправления. Однако CVE-2023-46604 по-прежнему активно используется в атаках, особенно в целях развертывания вредоносного ПО: от майнеров до шифровальщиков.
• В ходе данного инцидента атакующий загрузил два JAR-файла, фактически заменив ими уязвимые компоненты ActiveMQ. Такие действия по сути эквивалентны установке легитимного патча.
• В Red Canary подчеркнули, что хакеры всё чаще применяют своеобразные подходы, адаптируясь к динамике борьбы за контроль над взломанными системами. Устранение уязвимости после её эксплуатации становится не только способом сокрытия следов, но и инструментом блокировки конкурирующих группировок. Так то...
➡️ https://redcanary.com/dripdropper-linux
#Новости
🪟 Windows 95 Plus!
• А вы знали, что у Windows 95 было своеобразное дополнение, которое вынесли в отдельный продукт? Назвали его просто - Windows 95 Plus. Туда включили ряд функций и продавали за 50 баксов. Представьте: 50 баксов! 30 лет назад! На тот момент это были большие деньги для обычного человека. Но что включало в себя дополнение?
• Прозвучит смешно, но в штатной поставке Windows 95 было лишь несколько стандартных тем. Microsoft 95 Plus! добавил 11 новых, включающих в себя иконки, шрифты, указатели мыши, фоны рабочего стола и звуки. Половина из них была рассчитана на компьютеры, видеокарта которых способна отображать лишь 256 цветов, а прочие на high color, то есть 16-битный цвет. По тем временам такое было не у всех, поэтому разделение имело смысл.
• Еще была легендарная игра Pinball. Изначально она была разработана компанией Maxis и называлась Full Tilt! Pinball, где Space Cadet был лишь одним из трех пинбольных столов. Microsoft получила лицензию только на один стол, а остальные два остались за бортом.
• Если добавление игры считалось улучшением мультимедийной части операционной системы, то программы, о которых пойдет речь дальше, относились к утилитам для обслуживания. Первая называлась System Agent и представляла собой продвинутый планировщик заданий. Microsoft Plus! при установке настраивал несколько стандартных тасков, вроде проверки свободного места каждые 15 минут. Жесткие диски были довольно медленными, поэтому неравномерное распределение данных снижало общую производительность. Разумеется, можно запускать процедуру дефрагментации вручную, но большинство пользователей даже не задумывалось о проблеме. Автозапуск сервисных операций с помощью планировщика мог существенно улучшить ситуацию.
• Свободного дискового пространства тоже всегда было мало, поэтому в состав Plus! включили еще одну программу — Compression Agent. Это был тоже своего рода планировщик, который запускал софт для сжатия дисков — Microsoft DriveSpace 3. Из накопителя размером 2 Гб (где 890 Мб занято) DriveSpace 3 мог теоретически дать пользователю в три раза больше свободного места (на практике сильно меньше). Сама процедура включала в себя обязательную проверку на ошибки и длилась по несколько часов.
• А еще была тулза The Dial-Up Networking Server. Это приложение позволяло компьютеру функционировать в качестве сервера удаленного доступа. Он давал возможность другим ПК подключаться к вашей машине через телефонную линию и работать с файлами или ресурсами локальной сети так, словно они были соединены напрямую!
• Ну и самое основное: Internet. Тогда его еще часто называли Information superhighway, и Microsoft очень стремилась никому не отдать этот кусок пирога. Первые Retail-версии Windows 95 не имели браузера. Вместо этого на рабочем столе красовался значок The Microsoft Network.
• В это сложно сейчас поверить, но почти в каждом крупном российском городе был выделенный номер телефона, позвонив на который модемом, вы получали доступ к сети The Microsoft Network. Увы, но сейчас получить опыт взаимодействия с этой сетью уже нельзя. Серверы давно закрыты, а полностью воссоздать работу сети MSN Classic не представляется возможным — та была проприетарной и очень быстро эволюционировала.
• Internet Explorer впервые дебютировал именно в Microsoft Plus!, так что это был вполне официальный способ добавить браузер в ОС. И только потом, с выходом версий OSR1 и OSR2, тесно интегрирован с системой. Он позволял обращаться к веб-сайтам World Wide Web, файловым серверам FTP и ныне забытому протоколу Gopher, на начальных этапах составившему конкуренцию HTTP.
• Что в итоге? Человек, который мог позволить себе купить диск за 50 баксов получал следующее:
➡Веб-браузер;
➡11 тем рабочего стола;
➡1 дополнительную игру;
➡Планировщик задач;
➡Утилиту для сжатия дисков.
• Нужно отметить, что Windows 95 была вовсе не единственной системой, для которой выпускалось дополнение Plus! Подобные диски созданы для Windows 98 и даже Windows XP. А отголоски этого всего встречаются в Windows Vista. Так то...
#Разное
• Небольшая коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. Это особенно полезно, когда хотите ознакомиться с ОС, но не хотите заморачиваться с поиском, загрузкой и установкой. Пользуйтесь:
➡Instant Workstation — хороший сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
➡distrosea — если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70!
➡PCjs Machines — эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Данный проект появился в 2012 году — его основал программист из Сиэтла Джефф Парсонс. Он хотел помочь людям понять, как работали первые компьютеры, и дать им возможность «поиграть» с различными конфигурациями этих машин.
• Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.
➡Подборка различных образов для VirtualBox.
➡Free VirtualBox Images от разработчиков VirtualBox.
➡Коллекция готовых VM от Oracle.
➡Абсолютно любые конфигурации VM на базе Linux и Open Sources.
➡Подборка различных образов для VMware.
➡VM на iOS и MacOS: getutm и mac.getutm.
➡Образы для Mac: mac.getutm и utmapp.
#VM #VirtualBox #VMware
Исследователи F6 в новом отчете обращают внимание на вымогателей с востока, которым удалось атаковать более 40 российских компаний менее чем за год.
Действующая в формате RaaS персидская C77L появилась в марте 2025 года и нацелена на российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг.
Помимо этого среди пострадавших оказались и государственные компании. В целом же, по итогам 2025 C77L заняла шестое место по количеству атак с использованием ransomeware.
Часто восточные партнерские программы строятся относительно программ-вымогателей, например: Proton, LokiLocker, Sauron, Mimic, HardBit, Enmity и другие.
Причем имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких RaaS.
Исследователи полагают, что C77L была образована в отдельную партнерскую программу участниками Proton.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, варьировались от 400 000 до 2 400 000 рублей (5000–30 000 долл.).
Причем сами атаки RaaS скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а сосредоточены исключительно на шифровании данных для получения быстрой и главное - стабильной прибыли.
Восточные шифровальщики используют схожие концептуальные идеи и характеризуются большим числом одновременно используемых версий и форков.
Программа-вымогатель C77L не стала исключением, она имеет схожие черты с такими семействами, как Proton, Proxima и LokiLocker.
Программа-вымогатель C77L разработана на языке программирования С++ и отличается высокой скоростью шифрования файлов. За девять месяцев разработчиками было выпущено уже пять версий ransomeware.
Как отмечают в F6, основным первоначальным вектором атаки C77L служит брут паролей учетных записей публично доступных служб удаленного доступа (RDP и VPN). При этом обычно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время.
Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, не отличаясь какими либо изощренными и инновационными методами.
Злоумышленникам не требуется высокая квалификация - при проведении атак руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты.
Тем не менее, большинство атак на российские и белорусские предприятия заканчивались успехом атакующих.
Технические подробности исследования - в отчете F6.
Кроме того, дополнительная информация по штаммам ransomware и группировкам из багажа F6 доступна на GitHub - здесь.
🤩 Давно у нас не было красоты в ленте. Держите!
#Разное
📘 На Stepik вышел курс — «основы DevOps»
Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера.
• CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback
• Контейнеризация: Docker, Podman, оптимизация и безопасность контейнеров
• Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd)
• Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps
• Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA
🎓 Сертификат — добавьте в резюме или LinkedIn
🚀 Скидка 25%, действует 48 часов
👉 Пройти курс на Stepik
• Очередная true story со скамом через тестовые задания на собеседованиях... Если ищите работу за пределами своей страны, то будьте осторожны.
➡ Источник.
#Фишинг #SE
📶 Telnet.
• Когда создавался протокол Telnet, об аспектах безопасности практически никто не задумывался. До массового распространения персональных компьютеров было минимум десятилетие, а вот идея создать простой протокол для удаленного управления была очень востребована.
• Системы того времени чаще всего работали с компьютерными терминалами, специализированными девайсами, совмещающими в себе дисплей, клавиатуру и часто указательные устройства, вроде трекбола, мыши или светового пера.
Некоторые производители предусматривали подключение нескольких таких терминалов к одному компьютеру, что давало возможность одновременной работы множества пользователей.
• Примерно в то же время была придумана концепция виртуального терминала (Virtual TTY). Это программный интерфейс, который полностью имитирует поведение настоящего устройства. Такая абстракция позволила отвязать пользователей от конкретного «железа» и бонусом дать возможность работать за терминалом без необходимости его физического подключения.
• Telnet был спроектирован как раз для решения этой задачи. В самом названии протокола заложен его смысл — TELecommunications NETwork, то есть сеть телекоммуникаций. Некоторые исследователи предлагают иную, неофициальную, расшифровку аббревиатуры — Teletype Over Network Protocol. Истина, вероятно, где-то посередине.
• С возложенной на него миссией Telnet справился великолепно. Пользователи получили доступ к виртуальным терминалам прямо по сети. Это сильно расширяло возможности построения распределенной вычислительной инфраструктуры. Поддержку этого протокола постарались реализовать буквально везде — на тот момент наличие клиента Telnet было само собой разумеющимся явлением.
• Почему же мы сейчас администрируем серверы и настраиваем роутеры по SSH, а не через Telnet? Увы, этот протокол не предусматривал никакой защиты или шифрования. Все данные передаются по сети в открытом виде, даже если это логины или пароли. Получается, что Telnet бесполезен для любого применения, где необходима хотя бы минимальная конфиденциальность. Это и поставило жирный крест на его массовом использовании.
• Парадоксальным образом практически все вендоры сетевого оборудования продолжают поддерживать его и добавлять в свои продукты. В первую очередь это сохраняет обратную совместимость. Многие промышленные и военные системы были созданы для использования Telnet, и их модернизация попросту нерентабельна. Такие заказчики будут вынуждены искать современные устройства с поддержкой древних протоколов, и это меняет правила игры.
• Вторая причина звучит хуже. Сейчас дешевизна разработки и скорость выхода на рынок всегда имеют приоритет над безопасностью. Так что многие компании предпочитают встраивать в недорогие потребительские устройства простой Telnet, а не более защищенный и сложный в реализации SSH. Его включают на этапе отладки и часто забывают выключать. В итоге десятки тысяч устройств в интернете имеют открытый порт Telnet и не предусматривают никакой аутентификации, что делает их очень легкой жертвой хакеров.
• Но есть у протокола Telnet одно применение, о котором знают немногие, — его до сих пор используют радиолюбители для передачи публичных данных о выходящих в эфир радиостанциях. Так то...
#Разное
• Так вот что означает «ручное обновление»...
#Юмор
