24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Вебинар. Настоящий детектив: расследуем инциденты‑2025
❗️ Забудьте про скучные инструкции. Мы разберём реальные ИБ-инциденты 2025: от мемов в соцсетях до статей Уголовного кодекса.
Узнайте, как $500 в даркнете и новые законы меняют правила игры для всех — от технаря до гендира. Это будет живой диалог экспертов, где шутки резко сменяются разбором реальных угроз.
Ключевые темы:
▪️Разбор инцидентов 2025: Атаки через мемы и соцсети.
▪️Серьёзное ужесточение законов: Статьи УК РФ на практике.
▪️Личная ответственность руководителя и специалиста.
▪️Алгоритм действий на завтра.
Спикеры мероприятия:
✅ Ольга Попова, главный юрист продуктовой группы Контур.Эгида
✅Станислав Юдинских, руководитель проектного офиса Staffcop
Регистрируйтесь сейчас
Участие бесплатное.
Реклама. 16+. АО «ПФ «СКБ Контур», ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. Erid:2SDnjcyxsqi
• Недавно обратил внимание на забавное исследование, в котором указано, что некоторые учёные начали оставлять в своих научных статьях скрытые промты для ChatGPT, чтобы нейросеть хвалила их работу.
• При проверке различного материала в сервисе arXiv (это электронный архив для изучения научных статей по различным направлениям) уже нашлись 17 работ от 14 ведущих вузов мира — в каждой статье были скрытые промпты, которые просили ИИ хвалить её и не подсвечивать минусы. Учёные в научных статьях прячут нужный промпт для ИИ в белом тексте минимального размера, а на выходе получают похвалы и восхищение их трудом от «прочитавших» статью ИИ-сервисов.
• Схема, если честно, не новая. Поэтому всегда проверяйте результат анализа \ ответа и внимательно читайте первоисточники, если пользуетесь ИИ.
➡️ https://asia.nikkei.com/business/hide-ai-prompts
#Al
🎮 Хорошо забытое старое.
• Сервисы, предоставляющие пользователям игры по подписке, — вроде бы новая идея. Но на самом деле еще за 40 лет до появления сервиса Game Pass от Microsoft некоторые компании предлагали нечто похожее.
• Начало подписного бума положила компания Mattel. Она представила PlayCable — периферийное устройство для консоли Intellivision (на фото). Девайс подключал пользователей к постоянно обновляемому каталогу игр за $12,95 в месяц. Игр было много, среди них встречались очень популярные, вроде Utopia.
• Проект PlayCable не был локальной инициативой. В его реализации приняли участие 13 кабельных провайдеров США. Компания также платила за рекламу знаменитостям — все как сегодня. Например, компания заплатила известному бейсболисту того времени за участие в нескольких рекламных роликах, выходивших на экраны в 1982 году.
• PlayCable был главным, но не единственным игроком рынка игровых сервисов того времени. Не обошлось и без конкурентов, один из которых, GameLine, стал партнером Atari в 1983 году. Сервис был совместим с Atari 2600, причем подключение к нему обходилось лишь в $60 за периферийное устройство, Master Module, плюс $15 за активацию сервиса. Подписки не было, вместо этого геймеры платили повременно — $1 в час за игру.
• В том же 1983 году появилось еще одно решение от The Games Network. Компания не подключала консоли геймеров к сети. Вместо этого она предлагала собственное игровое устройство, которое представляло собой нечто похожее на ПК. Можно даже сказать, что в некотором смысле она предлагала пользователям тонкий клиент. Сам по себе он ничего почти не умел и был полностью завязан на сетевые функции. Компания тоже не была маленькой — ее сервис предлагался жителям США, Канады, Великобритании и Германии.
• И это еще не все, у Канады была своя собственная стриминговая игровая сеть. Она называлась Nabu, а слоганом ее была фраза «Переключись на умный ТВ!».
• Но вернемся к PlayCable — это был объединенный проект компании General Instrument, разработавшей специализированные адаптеры для кабельных сетей. Систему от PlayCable подключали кабелем сначала к приставке Intellivision, а потом — к устройству поставщика услуг кабельного ТВ. После подключения данные передавались в FM-диапазоне.
• При включении системы на экране ТВ появлялось приветствие с подключением к «умному» телевидению. Сервис был быстрым, его основа — алфавитный каталог игр, загрузить которые можно было за считанные секунды. Понятно, что их размер был чрезвычайно мал, но все же.
• Было еще одно важное отличие от современных консолей — у приставок того времени не было внутренней памяти, все загружалось в оперативную. Так что игру нужно было скачивать и загружать при каждом запуске PlayCable.
• Что касается устройства от Games Network, то оно не подключалось к консолям и представляло собой полноценную игровую систему, к которой можно подключать дисководы, принтер, джойстики и другую периферию. Подключение к каталогу производилось через модем и телефонный кабель. Подключаться можно было и к другим компьютерным сетям.
• PlayCable, GameLine и The Games Network были очень современными сервисами. Они предлагали клиентам каталог сетевых игр более чем за десять лет до появления всемирной паутины. К сожалению, ни одна из этих компаний не пережила 1984 года.
• Одна из причин — технические сложности, ведь нужно было договариваться с операторами кабельной связи и платить им. Вторая причина — достаточно дорогая подписка. Третья причина — разногласие между партнерами Mattel и General Instrument. Проблема привела к тому, что оборудование для подключения к сети не обновлялось, инфраструктура не модернизировалась, так что пользователи не могли играть в более поздние игры.
• Ну а потом начался крах, начало которому положил 1982 год. Этот и последующие годы стали кошмарным временем для индустрии видеоигр. Компании выходили из проектов, подразделения продавались и покупались. Было уже не до игровых сетей. Вот так и зарождались сервисы по подписке...
#Разное
🌩 Приватность в облаках.
• Вы все прекрасно знаете, что «Защищенные облака» бывают только в сказках. Поэтому не ведитесь на «швейцарскую юрисдикцию» или «военный уровень шифрования». Это чистой воды маркетинг, чтобы завлечь доверчивого мамонта, которому есть что скрывать.
• Ну вот прикиньте ситуацию. Вы открыли свое облачное хранилище. Самое защищенное и самое приватное в мире. И, естественно, весь кибер-сброд стал покупать у вас хранение, потому что вы никогда и никого никому не выдадите. Пройдет год и у вас на дисках скопится куча прона крайне сомнительного содержания: украденные файлы, сэмплы вирусов, может быть, даже документы бородатых людей определенного рода деятельности. В общем, помойка будет лютая.
• Поэтому после очередной «ситуации» специалисты «откуда надо» узнают, что все бармалеи мира хранят данные у вас. Что будет дальше? К вам придут с требованием начать сотрудничество. Или вы станете соучастником. И тут вы начинаете думать о сделке с совестью. Либо вы идейный товарищ, борцун за анонимность и никого не сдадите – тогда вам не поздоровится. Причем за чужие грехи. Либо вы всех сдаете, но после этого ни о какой «приватности» на вашем сервисе речи больше быть не может.
• Примерно такой сюжет происходит с каждым владельцем облаков. Либо вы сканируете файлы своих клиентов на предмет запрещенки, либо у вас скоро не будет никакого бизнеса. Так что приватность – это большая ложь. Приватности быть не может. Это я уже доказал на простом примере. Но что делать, если приватность нужна, а к удобствам пользованием облаком вы уже привыкли?
• Все просто. Вам нужен Cryptomator. С его помощью вы прямо внутри облака можете делать защищенный контейнер, в котором файлы шифруются на лету. Проще говоря, это облако, которое шифруете вы сами. И работать с ним удобно. Взяли самое дешевое (или даже бесплатное, sic!) облако (хоть Google Drive, хоть богомерзкий OneDrive или Dropbox) и сделали на нем контейнер. И все, пользуйтесь! Плюс Cryptomator бесплатный. Чего еще пожелать?
➡️ https://cryptomator.org
#Cloud #Tools #Security
• Несколько месяцев назад я делился с вами очень крутым материалом, где подробно описан опыт автора по ручному развертыванию Kubernetes без использования автоматизированных инструментов. Так вот, есть еще одна статья, не менее интересная и полезная. На этот раз автор описывает настройки аудита в Kubernetes, его возможности и примеры конфигураций, которые помогут вам сформировать эффективную политику аудита для вашего кластера.
➡Что такое аудит;
➡Политика аудита;
➡Параметры фильтрации;
➡Уровни логирования;
➡Стадии omitStages;
➡Подавление системного шума;
➡Фильтрация по пользователям;
➡Защита чувствительных данных;
➡Детализация для важных API;
➡Настройка API-сервера;
➡Заключение.
#Kubernetes
🪟 Кнопка «Пуск».
• А вы знали, что до появления Windows 95 работа с компьютером для большинства сводилась к набору команд в командной строке MS-DOS? А то, что кнопка "Пуск" впервые появилась в Windows 95?
• Дело в том, что Windows 3.11, предшественница 95-й версии, хоть и предлагала графический интерфейс, все равно опиралась на MS-DOS как на базовую операционную систему, требуя загрузки DOS перед запуском Windows.
• Windows 95 же стала первой операционной системой Microsoft, предлагавшей полностью графический интерфейс. Она объединила MS-DOS и Windows в одну операционную систему, упрощая процесс установки и использования.
• Кнопка «Пуск», ставшая символом Windows 95, также сыграла ключевую роль в успехе ОС. Она помогла легко находить программы и управлять задачами. Меню «Пуск» стало настолько привычным, что его отсутствие в Windows 8 вызвало бурю недовольства среди пользователей.
• Панель задач, расположенная вдоль нижней части экрана, стала ключевым инструментом для управления открытыми окнами. Она позволяла быстро переключаться между приложениями и обеспечивала наглядность работы. В Windows 95 пользователи получили удобный способ контроля над своими задачами, которого не было ни в Windows 3.x, ни в Macintosh того времени. Для сравнения, в Mac OS диспетчер задач, напоминающий функциональность панели задач, появился только в OS X Beta в 2000 году. На фото выше можно посмотреть, как выглядел интерфейс Win95 и кнопка "Пуск" того времени...
#Разное
500 млн ₽ — сумма выкупа, которую в 2025 году запросили у одной российской компании
Это один из десятков кейсов, разобранных в ежегодном отчёте F6 по киберугрозам в России и Беларуси.
Что ещё в данных за год:
— 27 APT-групп работают по целям в РФ и СНГ
— 760+ млн строк данных уже опубликованы в утечках
— Рост ресурсов с Android-троянами — в 6 раз на один бренд
— Фишинг уступает место скаму, угону Telegram и многоэтапным схемам
В отчёте — реальные сценарии атак, где компании теряют контроль, прогнозы на 2026 и практические рекомендации от экспертов F6.
👉 Получить полный отчёт по ссылке
#реклама
О рекламодателе
• Знаете, почему, придя на новое место, никто не любит разбираться с наследием предыдущего владельца, а предпочитает снести всё и начать заново?
Так вот именно поэтому!
#Юмор
• Смотрите какая удобная тулза для работы с логами: logmerger. Иногда бывает нужно осуществить сортировку данных из нескольких лог-файлов по времени и сравнить их между собой, так вот эта софтина как раз и предназначена для этого. Само собой logmerger имеет открытый исходный код. Детальное описание есть тут: https://github.com/ptmcg/logmerger
• Кстати, в качестве альтернативы есть еще https://lnav.org, тут найдете удобную фильтрацию, подсветку синтаксиса и другие полезные фичи.
#Разное #Tools
👩💻 Docker Security.
• На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д. Рекомендую к изучению:
• Basic Docker Engine Security:
➡Secure Access to Docker Engine;
➡Security of Container Images;
➡Image Scanning;
➡Docker Image Signing.
• Containers Security Features:
➡Namespaces;
➡cgroups;
➡Capabilities;
➡Seccomp in Docker;
➡AppArmor in Docker.
#Docker #Security
• Представьте, что вам нужно быстро перебросить файлы (фильмы, софт, игры, рабочие файлы) с компьютера на телефоны и планшеты. Хранилище телефона можно использовать как резервный внешний диск или как «беспроводную» флешку, которая работает по Wi-Fi. Да, вы можете это сделать через различные веб-сервисы или отправить себе в телегу, но этот процесс можно ускорить и избавиться от подключения к интернету. То есть файлы будут передаваться напрямую между устройствами, как Apple AirDrop, только лучше.
• LocalSend - эта тулза создана как раз для этого: передачи файлов и сообщений между устройствами в локальной сети без использования интернета. Есть версии под Windows, macOS, Linux, Android (Play Store, F-Droid, APK) и iOS. Большой набор поддерживаемых платформ и способов распространения — одно из главных преимуществ программы. То есть тулза поддерживает прямую передачу файлов даже между смартфонами iPhone и Android, на что не способен стандартный AirDrop.
• Что касается безопасности, то вся коммуникация осуществляется по проприетарному протоколу LocalSend Protocol v2.1 через REST API, все данные передаются по HTTPS, для каждого устройства на лету генерируется сертификат TLS/SSL.
• Кроме отдельных файлов, поддерживается отправка целиком папки, текста или содержимого буфера обмена. Скорость передачи ограничена максимальной скоростью сетевых интерфейсов в локальной сети на маршруте передачи (сетевая карта ПК — маршрутизатор — смартфон), а также дополнительными настройками. Есть опция рассылки на несколько устройств в локальной сети (смартфоны, планшеты, ноутбуки), что очень удобно, если у вас большая семья, а вы хотите быстро поделиться файлами со всеми.
➡️ https://github.com/localsend/localsend
#Tools
Исследователи Shadowserver сообщают об отслеживании почти 800 000 IP-адресов посредством Telnet-отпечатков на фоне продолжающихся атак, нацеленных на критическую уязвимость обхода аутентификации в сервере telnetd GNU InetUtils.
CVE-2026-24061 затрагивает GNU InetUtils в версиях от 1.9.3 (выпущенной 11 лет назад, в 2015 году) до 2.7, исправлена в версии 2.8 (выпущенной 20 января).
Сервер telnetd вызывает /usr/bin/login (обычно работающий от имени root), передавая в качестве последнего параметра значение переменной среды USER, полученное от клиента.
Если клиент предоставляет тщательно сформированное значение среды USER в виде строки "-f root" и передает параметр telnet(1) -a или --login для отправки этой среды USER на сервер, клиент будет автоматически авторизован как root, минуя процессы аутентификации.
Из 800 тысяч упомянутых IP более 380 000 находятся в Азии, почти 170 000 - в Южной Америке и чуть более 100 000 - в Европе, а также более 24 000 - в России.
Однако телеметрия не покрывает, сколько из доступных по всему миру устройств затрагивает CVE-2026-24061.
Безусловно, как отмечает в Shadowserver, Telnet не должен быть общедоступным, но часто таковым оказывается, особенно на устаревших устройствах IoT.
В частности, GNU InetUtils - это набор сетевых утилит (включая telnet/telnetd, ftp/ftpd, rsh/rshd, ping и traceroute), используемых в различных дистрибутивах Linux, которые могут работать без обновлений более десяти лет на многих устаревших и встроенных устройствах.
В четверг, спустя несколько дней после раскрытия уязвимости CVE-2026-24061, исследователи GreyNoise сообщили об обнаружении работающих эксплойтов для CVE-2026-24061, которые уже задействовались в целевых атаках.
Вредоносная активность стартовала 21 января (через день после исправления уязвимости) и исходила с 18 IP-адресов в рамках 60 сессий Telnet, используя проблему в согласовании параметров IAC Telnet для внедрения 'USER=-f <user>' и предоставления злоумышленникам доступа к командной оболочке скомпрометированных устройств без аутентификации.
Несмотря на различия в скорости терминала и значений X11 DISPLAY, в 83,3% случаев атака была направлена на пользователя с правами root.
Кроме того, несмотря на то, что большинство атак кажутся автоматизированными, GreyNoise зафиксировала ряд случаев, когда атаку производилась в ручном режиме.
Получив доступ, злоумышленники также попытались развернуть вредоносное ПО на Python, используя автоматизированную разведку, но эти попытки провалились из-за отсутствия каталогов и исполняемых файлов.
Так что администраторам, которые не могут немедленно обновить свои устройства до исправленной версии, рекомендуется отключить уязвимую службу telnetd или заблокировать TCP-порт 23 на всех межсетевых экранах.
🛡 Антивирус Avast. С чего все начиналось...
• Начало истории создания антивируса Avast началось в 80-е годы, со встречи основателей, которых звали Павел Баудиш и Эдуард (Эда) Кучера. Они познакомились и начали работу в Исследовательском институте математических машин в Чехословакии, оба будущих партнера работали над изучением перспективных направлений компьютерных технологий. Оба писали программное обеспечение для ЭВМ.
• Это были масштабные агрегаты, занимавшие несколько помещений. Изначально работа велась именно под них. Потом институту удалось приобрести Olivetti M24 — небольшую систему, которая помещалась на обычном столе. Это был первый, по-настоящему, персональный компьютер, с которым, в прочем, мало кто хотел работать, считая его игрушкой.
• В итоге «игрушка» стала постоянным обитателем стола Павла, а у него появилось время на изучение системы. Он смог быстро разобраться в премудростях работы Olivetti и стал писать для «игрушки» софт.
• В мае 1988 года из загранкомандировки вернулся один из сотрудников института. С собой он привез дискету, которую подарил Павлу — на ней был вирус Vienna. Конечно, на то время это был далеко не единственный вирус, но они были еще редкостью. И, соответственно, у Павла появилась возможность изучить эту систему в подробностях — не для того, чтобы «спасти» мир, а просто чтобы обучиться. Разработчик смог понять, как действует вирус и какие механизмы он использует для распространения.
• Однажды ему пришла в голову идея написать программу, которая защищала бы компьютеры от вирусов. Идея заключалась в создании софта, проверявшего целостность всей системы и мониторившего возможные изменения, внесенные сторонним ПО.
• Здесь уже к работе подключился Кучера. Партнеры нашли новую работу в относительно небольшой организации Zenitcentrum, где у них был доступ к Commodore C64 и довольно много свободного времени. Всего через год Павел и Кучера решили открыть собственное предприятие, поговорили со знакомыми и открыли кооператив Alwil. Случилось это в ноябре 1989 года. Чуть позже был готов и новый продвинутый антивирус — AntiVirus Advanced SeT (AVAST), состоящего из множества утилит, отвечающих за разные функции и возможности. Вот так и появился Avast...
• Кстати, кооперативу повезло — к концу 1989 года в Чехословакии стал бурно развиваться капитализм, соответственно, стало возможным продавать частные системы — хоть программы, хоть аппаратные. Кучера собрал данные о том, сколько приблизительно можно продать лицензий антивирусного ПО, кому, сколько стоит одна лицензия и сколько получится прибыли после того, как вычесть арендную плату, заработную плату сотрудникам и т.п. Получалась очень хорошая сумма. Эти расчеты послужили для формирования первого в истории Avast бизнес-плана.
• Развивалось все достаточно быстро. К середине 90-х антивирусный рынок страны был полон — на нем работали Alwil, Grisoft — производитель AVG, а также словацкая компания ESET, которая решила зайти и в Чешскую республику. В 1995 году к команде присоединился Ондржей Влчек, который занимал должность технического директора и исполнительного вице-президента по работе с потребителями. Он стал соавтором первого антивируса для Windows 95.
• В середине 1996 года компания Alwil, производитель AVAST, стала первой, получившей получившей 100/100/100 за все тесты Virus Bulletin. Компания предоставляла антивирусные решения и решения по кибербезопасности бизнесу, правительству и даже армии США. Примерно в то же время компания McAfee сделала предложение о покупке, которое, впрочем, не очень впечатлило основателей компании. Но удалось заключить другую договоренность — с 1997 года McAfee стал работать на основе движка Avast. Такие вот дела...
➡️ https://www.forbes.ru/avast
#Разное
👾 Агрегаторы трендовых/обсуждаемых уязвимостей.
• Top CVE Trends & Expert Vulnerability Insights — агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
• CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
• Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
• CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
• CVE Radar [VPN] — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
• Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
• Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
• SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.
• CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
• Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.
• Fedi Sec Feeds — агрегатор обсуждаемых в соц.сетях типа Fediverse уязвимостей (как и CVE Crowd). Помимо описания узвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.
• Talkback — довольно крутой агрегатор новостей из сферы ИБ с прикрученным ИИ. На ресурсе есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости. К сожалению, подробного описания механики работы "градусника" нет, но можно предположить, что он выставляется на основе упоминаний уязвимости в новостях за определенный промежуток времени.
• CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
• DBugs –– трендовые уязвимости на портале уязвимостей от компании Positive Technologies. В разделе трендов можно также посмотреть статистику по упоминанию уязвимости в соц.сети X (посты, репосты, суммарная аудитория подписчиков, временной график) и текст постов из различных ресурсов.
➡️ alexredsec/cvetrends">Источник.
#CVE #Подборка
📶 IPv6 Penetration Testing.
• Интересная статья по пентесту IPv6. Материал содержит информацию с актуальными методами атак на IPv6 и способах защиты. Содержание следующее:
• IPv6 Intro:
➡Multicast.
• Network Scheme.
• NDP Sniffing:
➡Custom Sniffer;
➡Example.
• System Tuning:
➡ICMP Redirect;
➡Load;
➡TCP Window Scaling.
• RA Spoofing:
➡Flags;
➡Injector;
➡Interval;
➡Routing Issues, Asymmetric Routing;
➡Impact.
• RDNSS Spoofing:
➡Attack Point;
➡Dependencies on Windows versions;
➡Effectiveness.
• DNS Interception using DHCPv6:
➡DHCPv6 Packet Types.
• Security Issues.
• Outro.
➡️ https://blog.exploit.org/caster-legless/
• В дополнение ⬇️
➡Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему: https://github.com/becarpenter/book6/
#Сети #Пентест
Исследователи Palo Alto Networks сообщают об обнаружении новой APT, действующей из Азии, которая за последний год взломала сети как минимум 70 правительственных организаций и объектов КИИ в 37 странах.
Причем в период с ноября по декабрь 2025 года группа проводила активную разведку правительственной инфраструктуры более 155 стран.
Среди организаций, которые были взломаны, - пять национальных правоохранительных органов и пограничных служб, три министерства финансов и другие правительственные учреждения и ведомства, связанные с экономикой, торговлей, природными ресурсами и дипслужбой.
Деятельность этой группы отслеживается компанией как TGR-STA-1030. Имеющиеся данные свидетельствуют о том, что она активная как минимум с января 2024 года.
Хотя страна происхождения хакеров остается неясной, предполагается, что они азиатского происхождения, учитывая использование региональных инструментов и сервисов, предпочтения в выборе языка, целевую аудиторию, соответствующую событиям и разведывательным данным, представляющим интерес для региона, а также часы работы по Гринвичу (GMT+8).
Как отмечают в Palo Alto Networks, злоумышленник успешно получил доступ к почтовым серверам жертв и похитил оттуда конфиденциальные данные, которые среди прочего включали финансовую переписку, данные по контрактам, банковские и учетные данные, а также важные оперативные сводки, касающиеся военных операций.
Цепочка заражения начинается с фишингового письма, посредством которого получателей побуждают перейти по ссылке на новозеландский файловый хостинг MEGA, где размещается ZIP-архив с исполняемым файлом Diaoyu Loader, а также файл pic1.png размером в 0 байт.
Вредоносная ПО использует двухступенчатую систему защиты от автоматического анализа в песочнице. Помимо аппаратных требований к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимостей среды для конкретного файла (pic1.png) в каталоге выполнения.
Изображение в формате PNG служит для проверки целостности файла, что приводит к завершению работы вредоносной ПО перед началом ее активности в случае, если оно отсутствует в том же месте.
Только после выполнения этого условия вредоносная ПО проверяет наличие определенных защитных решений от Avira (SentryEye.exe), Bitdefender (EPSecurityService.exe), Kaspersky (Avp.exe), Sentinel One (SentinelUI.exe) и Symantec (NortonSecurity.exe). При этом непонятно, почему только эти.
Конечная цель загрузчика - доставка трех изображений (admin-bar-sprite.png, Linux.jpg и Windows.jpg) из репозитория GitHub под названием WordPress, которые служат каналом для развертывания полезной нагрузки Cobalt Strike.
Кроме того, TGR-STA-1030 пыталась использовать различные 0-day, затрагивающие большое количество программных решений Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault и Eyou Email System, чтобы получить первоначальный доступ к целевым сетям. Однако доказательств разработки или задействования каких-либо эксплойтов не получено.
Среди инструментария злоумышленников: C2-фреймворки (Cobalt Strike. VShell, Havoc, Sliver, SparkRAT), веб-оболочки (Behinder, neo-reGeorg, Godzilla), средства тунелирования (GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX).
Стоит отметить, что использование упомянутых веб-оболочек часто связывают с китайскими хакерскими группами.
Еще один примечательный инструмент - руткит ядра Linux под кодовым названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) для перехвата критически важных системных вызовов с целью скрытия определенных процессов от инструментов анализа, таких как ps, а также для сокрытия каталогов и файлов с именем swsecret.
Группа регулярно арендует и настраивает свои серверы С2 на инфраструктуре, принадлежащей различным легитимным и широко известным провайдерам VPS. Для подключения к С2 арендует дополнительную инфраструктуру VPS, которую использует для ретрансляции трафика.
Технические подробности и IOCs - в отчете.
🪟 Windows Home Server.
• 2007 год! Глава Microsoft Билл Гейтс представляет новинку. Она слишком необычная, чтобы сходу дать ей определение. Это серверная операционная система для домашних пользователей. И первый же вопрос, который возникал у любого потенциального покупателя, — зачем она нужна?
• Тут стоит заострить внимание на время. В 2007 году компьютеры, конечно, уже начинали становиться массовым явлением, но чтобы дома держать серверы… Конечно, такое встречалось, но не часто, в основном у энтузиастов. В целом, у подавляющего большинства пользователей попросту не было столько данных, чтобы выделять под них отдельный сервер. Все хранилось на флешках и внешних жестких дисках.
• Правда, была одна категория пользователей, кому нужно много файлового пространства. В основном это касалось любителей качественной музыки. Если до середины 2000-х оцифровка в популярные lossy-форматы вроде MP3 или WMA была вполне приемлемым решением, то с выходом на арену lossless к ним стали проявлять все больше интереса. Внезапно оказалось, что можно сохранять свою коллекцию музыки во FLAC и наслаждаться таким же качеством, как и при воспроизведении с оригинального носителя. Но это же означало и то, что теперь музыкальные коллекции стали занимать сотни гигабайт, которые нужно было где-то хранить.
• Не отставало и видео. Чем лучше качество, тем больше требовалось пространства на диске. Решение казалось очевидным — технологии хранения массивов данных уже давно прекрасно работали на серверном оборудовании. Но вот как добиться того, чтобы обычный пользователь смог разобраться в настройке? Windows Home Server (WHS) стал решением этой задачи.
• Несмотря на то, что WHS полностью обособленная серверная система, у нее есть отдельный «клиент» под названием Windows Home Server Connector. После того как Connector установлен, в меню появляется отдельный пункт, позволяющий открыть консоль управления сервером. Таким образом можно управлять домашним сервером с любого устройства из локальной сети.
• Еще был Drive Extender - это утилита для обьединения в пулы дисков под Microsoft Windows. Поддерживаются файловые системы NTFS и ReFS, кроме того в пул можно добавлять даже сетевые диски. Диски добавляются "на лету" обязательное форматирование не требуется. Идея проста и гениальна. Обычному пользователю не нужно думать над тем, как грамотно организовать управление физическими дисками. Всю головную боль на себя берет DE, распределяя файлы по накопителям.
• Не менее важной была возможность создавать бэкапы компьютеров и хранить их централизованно. В составе коннектора был агент резервного копирования, который управляется удаленно. Иными словами, можно запустить архив каждого ПК прямо из консоли WHS.
• Еще одной полезной функцией WHS является медиасервер. Три щелчка мышью — и у вас есть готовый сервер потокового вещания, позволяющий без проблем слушать музыку, смотреть видео и фотографии напрямую с сервера. Никаких сложных настроек — все работает «из коробки».
• Если посмотреть на WHS, то идеи, заложенные в нем, значительно опередили свое время. Несмотря на все усилия маркетологов, домашняя серверная ОС была попросту не нужна рядовому потребителю. Стоимость в 100 $ не особенно вдохновляла на покупку, да и профит на тот момент казался сомнительным.
• Вместе с этим на рынке начали появляться NAS-серверы, которые «из коробки» предоставляли удобный интерфейс для быстрого создания дискового хранилища. Ну а распространение широкополосного доступа к интернету и развитие облачных сервисов вроде Dropbox сделали WHS бесполезным для большинства пользователей. Да, объемы данных стали расти, но теперь они не хранились локально, а размещались на удаленных серверах.
• Финал истории был предсказуем. Релиз WHS 2011 состоялся 6 апреля 2011, а спустя всего 5 лет, 12 апреля 2016, поддержка была прекращена. На этом история Windows Home Server подошла к концу.
#Разное
• Нашел бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
➡️ https://mode.com/sql-tutorial
#SQL
Исследователи из Лаборатории Касперского сообщают о детектировании активности группировки Stan Ghouls (Bloody Wolf), нацеленной на Узбекистан и Россию с использованием NetSupport RAT.
Группа действует как минимум с 2023 года на российском, киргизском, казахском и узбекском направлениях, фокусирует на финансовых, производственных и IT компаниях, атаки готовит тщательно, адаптируясь под конкретных жертв, включая инфраструктуру, и задействуя семейство специальных вредоносных загрузчиков на Java.
В общей сложности на счету Stan Ghouls в рамках новой наблюдаемой кампании примерно 50 жертв в Узбекистане, 10 - в России, а также еще несколько в Казахстане, Турции, Сербии и Беларуси (вероятно, что заражения в последних трех странах носили случайный характер).
Stan Ghouls использует в качестве первоначального вектора фишинговые электронные письма, содержащие вредоносные PDF-вложения. Это подтверждают и результаты исследований коллег ЛК (1, 2, 3).
Почти все фишинговые письма и файлы-приманки содержат текст на узбекском, что согласуется с их прошлыми атаками, где также применялись языки стран-целей.
Большинство жертв относятся к промышленному производству, сфере финансов и IT.
Кроме того, фиксировались попытки заражений устройств в госорганизациях, логистических компаниях, учебных и медицинских учреждениях.
Примечательно, что более 60 жертв - это довольно много для одной таргетированной кампании, включающей атаки с существенным участием операторов. Это указывает на готовность инвестировать значительные ресурсы в свою деятельность.
Поскольку Stan Ghouls активно атакует финансовые организации, мы полагаем, что основная мотивация этой группы финансовая.
При этом стоит отметить, что злоумышленники используют RAT-ники, что может также указывать на кибершпионаж.
Ранее основным инструментом злоумышленников выступал STRRAT, также известный как Strigoi Master, однако с прошлого года они начали использовать легитимное ПО NetSupport в качестве средства управления зараженной машиной.
Как показали новые наблюдения, Stan Ghouls продолжает использовать прежний набор инструментов, включая легитимную утилиту удаленного управления NetSupport, а также уникальный вредоносный загрузчик, написанный на Java.
Злоумышленники активно обновляют только инфраструктуру.
В частности, для этой вредоносной кампании они использовали два новых домена для размещения своего вредоносного загрузчика и один новый домен для хостинга файлов NetSupport RAT.
Любопытной находкой стали файлы Mirai на одном из доменов, фигурировавших в прошлых кампаниях группы, что может указывать на то, что операторы этой группы начали использовать вредоносное ПО для IoT-систем. Однако достоверно это утверждать пока сложно.
Подробный технический разбор и IOCs - в отчете.
В ЛК также отмечают, что дополнительные индикаторы и правило YARA для детектирования активности Stan Ghouls доступны клиентам сервиса Threat Intelligence.
РОЗЫГРЫШ VICTORINOX SWISS TOOL PLUS + ЗНАНИЯ В ПОДАРОК
В "Инженерном сообществе" проходит розыгрыш мультитула Victorinox SwissTool Plus
Почему стоит зайти и подписаться?
Это площадка “для своих” — инженеров, которые любят свою работу и ценят настоящую компетенцию.
Это не корпоративный блог, не медиа, не реклама — это точка притяжения для профессионалов, где можно увидеть реальную инженерную жизнь: проекты, объекты, шутки, наблюдения, фото “из полей”
Как участвовать в розыгрыше:
1. Подписаться на канал @engineers_com
2. Нажать кнопку «Участвую» в конкурсном посте
Розыгрыш — 23 февраля.
Заходите, подписывайтесь, участвуйте: @engineers_com
Реклама. ООО "УРАЛЭНЕРГОТЕЛ". ИНН 6670171718. erid: 2W5zFH4ruSp
• Нашел на GitHub преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценный опыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:
➡️ GitHub;
➡️ cyberpreacher_/hacking-vulnerable-bank-api-extensive-d2a0d3bb209e">Руководство [VPN].
• Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.
#AppSec #ИБ #Web #Пентест
• А вы знали, что Mercedes - это не только автомобили, но еще и пишущие машинки? В 1906 была такая компания Mercedes Büromaschinen GmbH, которую основал Густав Мец в Берлине. Первая печатная машинка под маркой Mercedes была выпущена в 1907 году. Это был механический аппарат, который отличался высокой точностью и надежностью. Машинка получила название Mercedes Typewriter, и она быстро завоевала популярность среди деловых людей и писателей того времени.
• Сразу после открытия предприятия по производству машинок концерн Daimler-Motoren-Gesellschaft (известный производитель автомобилей под торговой маркой Mercedes) подал иск против завода Густова Меца. Автогигант оспаривал право на использование испанского женского имени в качестве наименования продукции. Судебные разбирательства продолжались до 1913 года, пока стороны не достигли соглашения, согласно которому производитель печатных машинок, если решит расширить свой бизнес и начнёт производить транспортные средства, не сможет использовать марку Mercedes для обозначения автомобилей, аналогичные ограничения касались и истца.
• Печатные машинки от Mercedes имели ряд особенностей, которые делали их уникальными и привлекательными для пользователей. Одним из главных преимуществ печатных машинок Mercedes была их безупречная сборка. Эти устройства изготавливались с использованием высококачественных материалов и проходили строгий контроль качества. Это обеспечивало их долгую службу и надежность в эксплуатации. Некоторые модели печатных машинок Mercedes имели уникальные функции, такие как автоматическая подача бумаги, регулировка интервала между строками и возможность смены шрифта.
• Кстати, важным фактором успеха печатных машинок Mercedes была репутация самого бренда. Само имя Mercedes уже тогда ассоциировалось с качеством и престижем, что автоматически повышало доверие к продукции, независимо от сферы применения.
• Настоящий прорыв произошел ближе к 1930-м годам, когда компания выпустила первую электрическую печатную машинку Mercedes Elektrik. Этот аппарат стал настоящим хитом своего времени. Он был оснащен электромотором, который позволял печатать тексты значительно быстрее и удобнее.
• Электрическая печатная машинка Mercedes Elektrik стала символом прогресса и инноваций в мире офисной техники. Она использовалась в крупных корпорациях, государственных учреждениях и даже в армии. Благодаря своему качеству и надежности, эта модель оставалась популярной вплоть до середины XX века.
• Последняя пишущая машинка под брендом Mercedes была выпущена в 1961 году. Сегодня печатные машинки Mercedes являются редкостью и ценятся коллекционерами. Они напоминают о том времени, когда офисная техника была не просто средством работы, но и предметом искусства.
➡ К слову, на Ebay можно найти машинку в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478
#Разное
Подкатило еще одно совместное исследование от SentinelOne, SentinelLABS и Censys, демонстрирующее масштаб угроз, связанных с внедрением ИИ с открытым исходным кодом.
Согласно результатам, «обширный неуправляемый и общедоступный уровень вычислительной инфраструктуры ИИ» охватывает 175 000 уникальных хостов Ollama в 130 странах.
Исследователи подчеркивают, что эти системы, как облачные, так и частные сети по всему миру, работают вне рамок защитных механизмов и систем мониторинга, которые поставщики платформ внедряют по умолчанию.
Подавляющее большинство уязвимостей сосредоточено в КНР, на его долю приходится чуть более 30%. К странам с наибольшей инфраструктурой относятся США, Германия, Франция, Южная Корея, Индия, Россия, Сингапур, Бразилия и Великобритания.
Почти половина наблюдаемых хостов настроена с возможностями вызова инструментов, позволяющими им выполнять код, получать доступ к API и взаимодействовать с внешними системами, что демонстрирует растущее внедрение LLM в более крупные системные процессы.
Ollama представляет собо фреймворк с открытым исходным кодом, позволяющий пользователям легко загружать, запускать и управлять большими языковыми моделями (LLM) локально в Windows, macOS и Linux.
По умолчанию сервис привязывается к адресу localhost 127.0.0[.]1:11434, но он может оказаться доступным из интернета с помощью простого изменения: настройки на привязку к 0.0.0[.]0 или публичному интерфейсу.
Ollama, как и недавно обозреваемый нами Moltbot (Clawdbot), размещается локально и работает за пределами периметра корпоративной безопасности, создавая таким образом новые вызовы по части безопасности, что, в свою очередь, требует новых подходов для защиты вычислительных ресурсов ИИ.
Среди наблюдаемых хостов более 48% рекламируют возможности вызова инструментов через свои API-интерфейсы, которые при запросе возвращают метаданные, описывающие поддерживаемые ими функции.
Вызов инструментов (или вызов функций) позволяет LLM взаимодействовать с внешними системами, API и базами данных, расширяя их возможности или получая данные в режиме реального времени.
Однако возможности вызова инструментов коренным образом меняют модель угроз. Конечная точка генерации текста может создавать вредоносный контент, а конечная точка с поддержкой инструментов - выполнять привилегированные операции.
В сочетании с недостаточной аутентификацией и уязвимостью сети - это создает, по оценке исследователей, самый высокий уровень риска в экосистеме.
Анализ также выявил хосты, поддерживающие различные режимы работы, выходящие за рамки текста, включая возможности логического мышления и визуального анализа, при этом 201 хост использовал шаблоны подсказок без цензуры и без защитных ограничений.
Открытость подвергает такие системы LLMjacking, когда ресурсы инфраструктуры LLM жертвы используются злоумышленниками в своих интересах, а жертва оплачивает все расходы.
Причем обозначенные риски теперь имею вполне практическую реализацию, если верить результатам упомянутого выше отчета Pillar Security в отношении Operation Bizarre Bazaar.
Уязвимость buffer overflow в ядре Windows 👇
Buffer overflow в kernel-mode — один из самых опасных классов уязвимостей. Их анализ требует понимания архитектуры драйверов, особенностей выполнения кода в ядре и типовых ошибок разработчиков.
📅 На открытом уроке 5 февраля разберём, как выглядят уязвимости buffer overflow в драйверах Windows, какие подходы применяются для их анализа и какие базовые техники используются при эксплуатации в kernel-mode. Отдельно обсудим паттерны, которые помогают находить похожие дефекты при реверсе и аудите кода.
Урок пройдёт будет полезен специалистам по информационной безопасности, реверс-инженерам, вирусным аналитикам и системным программистам Windows.
Исследователи Лаборатории Касперского сообщают о новых похождениях китайской APT-группы HoneyMyte (Mustang Panda и Bronze President), в арсенале которой были замечены новые версии вредоносного ПО.
Ее кампании затрагивают Европу и Азию, при этом особое внимание уделяется Юго-Восточной Азии, а основными целями являются государственные организации.
Как и другие APT-группы, HoneyMyte использует ряд сложных инструментов, включая бэкдоры ToneShell и CoolClient, USB-черви Tonedisk и SnakeDisk, а также другие зловреды.
В 2025 году группа продолжила обновлять арсенал: добавила новые функции в бэкдор CoolClient, развернула несколько вариантов браузерного стилера и применяла различные скрипты для разведки и кражи данных.
CoolClient используется Mustang Panda с 2022 года в качестве вторичного бэкдора наряду с PlugX и LuminousMoth. Обновленный вариант способен красть данные для входа в браузеры и отслеживать содержимое буфера обмена.
По данным ЛК, вредоносная ПО также использовалась для распространения ранее неизвестного руткита. Однако технический анализ будет представлен в будущем отчете.
Новый CoolClient был детектирован в атаках на госструктуры в Мьянме, Монголии, Малайзии, России и Пакистане, где был развернут с помощью легитимного ПО от китайской Sangfor.
Ранее операторы CoolClient запускали вредоносное ПО путем установки DLL-файлов, используя подписанные бинарные файлы от Bitdefender, VLC Media Player и Ulead PhotoImpact.
CoolClient использует зашифрованные файлы .DAT в многоэтапном режиме выполнения и обеспечивает постоянное присутствие в системе за счет изменений в реестре, добавления новых служб Windows и запланированных задач, поддерживая обход UAC и EoP.
Основные функции CoolClient интегрированы в DLL-библиотеку, встроенную в файл main.dat. При запуске программа сначала проверяет, включены ли кейлоггер, программа для кражи буфера обмена и программа для перехвата учетных данных HTTP-прокси.
Основные функции вредоносной ПО включают: профилирование системы и пользователя, файловые операции, перехват нажатий клавиш, TCP-туннелирование, обратное проксирование и выполнение динамически загружаемых плагинов в оперативной памяти.
Причем все они доступны как в старых, так и в новых версиях, но в самых последних вариантах они достаточно усовершенствованы.
Уникальными новыми функциями последней версии CoolClient являются: модуль мониторинга буфера обмена, возможность отслеживания заголовков активных окон и перехват учетных данных HTTP-прокси на основе анализа необработанных пакетов и извлечения заголовков.
Кроме того, экосистема плагинов была расширена за счет внедрения специального плагина удаленной оболочки, плагина управления службами и более функционального плагина управления файлами.
Плагин управления службами позволяет операторам сканировать, создавать, запускать, останавливать, удалять и изменять конфигурацию запуска служб Windows, а плагин управления файлами предоставляет расширенные возможности работы с файлами, включая анализ дисков, поиск файлов, сжатие ZIP-архивов, сопоставление сетевых дисков и выполнение файлов.
Функциональность удаленной оболочки реализована с помощью отдельного плагина, который запускает скрытый процесс cmd.exe и перенаправляет его стандартный ввод и вывод через каналы, обеспечивая интерактивное выполнение команд по каналу C2.
Новинкой в работе CoolClient является использование инфостиллеров для сбора данных для входа в систему из браузеров.
В ЛК задокументировали три различных семейства ПО, нацеленных на Chrome (вариант A), Edge (вариант B) и более универсальный вариант C, нацеленный на любой Chromium-браузер.
Еще одно заметное изменение в операционной деятельности заключается в том, что кража данных из браузера и документов теперь реализуется через жестко закодированные токены API для легитимных общедоступных сервисов, Google Drive или Pixeldrain.
Технический разбор и подробности - в отчете.
Медленно накрывающая мир технологическая сегментация вынуждает правительства помимо локализации инфраструктуры и софта расширять свое влияние внутри создаваемых кластеров.
Вслед за немецкими спецслужбами новыми более широкими полномочиями обзавелись их коллеги в Ирландии, чиновники которой инициировали продвижение нового всеобъемлющего «Закона о связи».
Согласно задумки местных законодателей, новый нормативный акт существенно расширит возможности государства по контролю всех форм цифровых коммуникаций, включая зашифрованные сообщения, данные IoT, электронную почту и мессенджеры.
Помимо этого, по предложению министра юстиции, внутренних дел и миграции Джима О'Каллагана будет создана правовая база для легального использования spyware и мониторинга мобильных устройств. Безусловно, все это под соусом борьбы с киберпреступностью.
Согласно заявлению Минюста, обновленная законодательная система направлена на приведение полномочий по перехвату информации в соответствие с технологическими реалиями и угрозами безопасности XXI века, заменяя Закон о регулировании перехвата почтовых отправлений и телекоммуникационных сообщений 1993 года, который был разработан для стационарной и почтовой связи.
Работа над общей концепцией законопроекта уже ведется в сотрудничестве с генпрокуратурой, заинтересованными ведомствами и госорганами, запланированы общественные слушания.
Предложенный законопроект при этом обязывает спецслужбы запрашивать судебные разрешения на проведение соответствующих мероприятий. Ранее запросы на перехват санционирвались исключительно министром.
Ключевым спорным моментом, как в аналогичных законопроектах по всей Европе, является использование шпионского ПО.
По этой части министр сослался на доклад Венецианской комиссии 2024 года под названием «Доклад о регулировании шпионского программного обеспечения в соответствии с принципами верховенства права и прав человека», указав, что «конфиденциальность, цифровая безопасность и правовая соразмерность будут центральными факторами при внедрении этой технологии в Ирландии».
Правда, конкретные детали не разглашаются и находятся еще на стадии прорабатки.
Тем не менее, О’Каллаган заверил, что законопроект обеспечит баланс между сбором развединформации и защитой конфиденциальности, подчеркнув, что любое вмешательство спецслужб должно быть «необходимым и соразмерным» и подлежать независимому надзору.
В свою очередь, гражданское общество в Европе придерживается противоположного мнения в этом вопросе.
В частности, Европейская организация по защите цифровых прав (EDRi) даже запустила специальный ресурс для отслеживания злоупотреблений шпионским ПО, продвигая полный запрет таких технологий на всей территории ЕС.
Инициатива появилась на фоне растущей обеспокоенности по поводу нормализации использования коммерческого шпионского ПО как минимум в 14 странах-членах ЕС, которые в большинстве случаев применяются в угоду политическим интересам действующих властей.
Так или иначе, в условиях сегментации тотализация контроля, как показывает практика, становится неизбежной, а поставщики spyware из изгоев превращаются в стратегических подрядчиков для Большого брата.
• Компьютерной папке более 40 лет. В 1981 году компанией Xerox был выпущен Xerox 8010 Star Information System — первый коммерческий компьютер, в котором была использована графическая модель рабочего стола с папками и значками, применяемая нами и сегодня. Вот с чего все началось:
• В 1960-х и 70-х годах большинство ПК были большими и дорогими системами, работающими с использованием пакетной обработки с перфокартами или интерактивных операционных систем командной строки, доступ к которым осуществлялся через телетайпы или видеодисплейные терминалы. Они были не очень удобны в использовании и требовали специализированного обучения для программирования или корректного управления.
• В начале 1970-х годов компания Xerox начала экспериментировать с новым графическим подходом, результатом чего стал революционный компьютер Xerox Alto, в котором использовалась мышь и растовый дисплей. Когда в конце 1970-х годов пришло время запускать Alto в серийное производство, компании Xerox понадобился интерфейс, который мог бы облегчить работу с компьютером офисным специалистам без специальной компьютерной подготовки. Эта задача выпала на долю Дэвида Кэнфилда Смита из компании Xerox, который изобрел метафору рабочего стола для разработанной в 1981 году системы Xerox Star 8010 Information System.
• Когда компания Xerox поручила Дэвиду разобраться, как обычные офисные работники смогут использовать новую компьютерную систему Xerox с растовым изображением, Дэвид использовал свои наработки в области графических вычислений, когда компьютер можно было программировать визуально. В процессе работы Дэвид изобрел компьютерный значок!
• В продолжение этой идеи Дэвид понял, что ему нужна подходящая концепция, которую уже понимали бы офисные работники. Он остановился на визуальном, экранном отображении реальных объектов, таких как картотечные шкафы, папки и корзины, которыми офисные работники пользовались каждый день.
• После нескольких вариантов экспериментальных иконок были созданы первые в истории компьютера иконки документов и папок. Папка была реальной иллюстрацией к компьютерному файлу "каталог". Это была, скорее всего, самая простая из всех иконок для визуализации, поскольку она имела настолько привычную реальную визуализацию (вездесущая манильская папка) с очень четкой формой.
• В конечном итоге интерфейс оказался хорошо знакомым офисным работникам. Дэвид в своем выступлении утверждает, что во время тестирования были только положительные отзывы. Он не был таким универсальным, как другие настольные графические интерфейсы, появившиеся после Star, но, несомненно, он стал одним из первых компьютеров с рабочим столом и графическими иконками, которыми мы пользуемся сегодня.
• Xerox Star 8010 Information System была создана в отделе разработки систем компании Xerox (SDD), и над ней работали целая группа других специалистов. Все вместе они создали мощную, но дорогую компьютерную модель с монохромным растровым дисплеем высокого разрешения, внутренним жестким диском и встроенной поддержкой локальной сети Ethernet.
• Используя 8010, вы могли легко разработать документ с графическими и текстовыми элементами, а затем распечатать его на сетевом лазерном принтере, который будет использоваться совместно с группой рабочих станций 8010.
• С высокой ценой и целевым рынком состоящем с крупных предприятий, Star не суждено было стать массовым продуктом. Но он был довольно успешным: было продано «десятки тысяч» устройств, а разработчики получили вдохновение на создание дальнейших систем, которые усовершенствовали интерфейс рабочего стола Star в операционную систему под названием Viewpoint. Это также вдохновило несколько известных компаний, таких как, Apple и Microsoft... но это уже совсем другая история.
#Разное
• Все знают, что трансформаторы гудят. Но не все знают, почему...
#Разное #Юмор
• Большая и полезная подборка AI-инструментов с открытым исходным кодом для кибербезопасников. Ниже обозначены категории, в каждой из которых множество полезных инструментов с кратким описанием:
- Tools:
➡Integrated;
➡Audit;
➡Reconnaissance;
➡Offensive;
➡Detecting;
➡Preventing;
➡Social Engineering;
➡Reverse Engineering;
➡Investigation;
➡Fix;
➡Assessment.
- Cases:
➡Experimental;
➡Academic;
➡Blogs;
➡Fun.
- GPT Security:
➡Standard;
➡Bypass Security Policy;
➡Bug Bounty;
➡Crack;
➡Plugin Security.
#AI #Awesome #ИБ
Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.