Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.

На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.

Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.

Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.

Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.

Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.

Среди основных возможностей панели:

- генерация новых имплантов;

- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;

- передача команд развернутым имплантам;

- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;

- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;

- система сущностей с многоуровневой абстракцией;

- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;

- возможность создания заметок для целей и связанных с ними хостов.

Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.

Все подробности - в отчете.

📱 Портативная лаба: запуск Kali Linux на Raspberry Pi Zero.

• Благодаря Raspberry Pi Zero автор этого материала собрал портативное устройство с Kali Linux Pi-Tail, которое питается и управляется с помощью смартфона.

• Возможности такого инструмента безграничны: от проверки безопасности Wi-Fi до анализа приложений iOS и Android с помощью Frida. Подробное описание реализации доступно по ссылке ниже.

➡ https://www.mobile-hacker.com/2024/10/04/portable-hacking-lab-control-the-smallest-kali-linux-with-a-smartphone/

#Пентест #ИБ #Raspberry

Ежедневную синхронизацию ИТ и ИБ отделов на "вкл", шаманский ритуал — на "выкл"🔴

Дорогие инженеры, мы вас не осуждаем и полностью поддерживаем. Мало кто самостоятельно может противостоять серверному Колизею без потусторонних сил.
Уж мы то понимаем, что это такое — постоянно быть на ринге.

Но стремимся вас обрадовать👉🏼шаманские ритуалы и танцы с бубнами можно прекращать. Если вы обратитесь к нам, мы как интегратор с 20-летним стажем, сможем обновить, упорядочить и выстроить четкую инфраструктуру, которая освободит вас от рутинных операций. Более того, поможем синхронизировать работы ИТ и ИБ отделов так, чтобы каждый знал свои зоны ответственности и мог оперативно их мониторить и реагировать в случае ЧП.

Обращайтесь, если вам нужна помощь или консультация по аппаратным и программным обновлениям. У нас, конечно, чуткий слух, но шаманский клич можем и пропустить. А вот сообщения и звонки не пропускаем никогда.
_________________________
Свяжитесь с нами!
📱📱 +7 989 105-33-35

Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFGDwC4x
@itelon_servers

⚠️ Деление на ноль: катастрофические последствия программных ошибок.

• Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. Вот несколько историй о таких багах и их последствиях:

• В 1997 американский ракетный крейсер «Йорктаун» (CG-48), на котором были установлены 27 компьютеров (Pentium-Pro на 200 МГц), решил поделить на ноль и полностью вышел из строя.
Компьютеры работали на Windows NT — и работали они ровно так, как вы и ожидаете, узнав название оси. В то время ВМФ США старался максимально широко использовать коммерческое ПО с целью снижения стоимости военной техники. Компьютеры же позволяли автоматизировать управление кораблем без участия человека.

• На компьютеры «Йорктауна» поставили новую программу, управляющую двигателями. Один из операторов, занимавшийся калибровкой клапанов топливной системы, записал в одну из ячеек расчетной таблицы нулевое значение. 21 сентября 1997 года программа запустила операцию деления на этот самый ноль, началась цепная реакция, и ошибка быстро перекинулась на другие компьютеры локальной сети. В результате отказала вся компьютерная система «Йорктауна». Потребовалось почти три часа, чтобы подключить аварийную систему управления.

• Схожая проблема с нулем возникла при испытании истребителя в Израиле. Безупречно работавший самолет на автопилоте пролетел над равнинной частью, над горной частью, над долиной реки Иордан и приблизился к Мертвому морю. В этот момент произошел сбой, автопилот выключился, и пилоты посадили истребитель на ручном управлении.

• После долгих разбирательств удалось выяснить, что программы автопилота при вычислении параметров управления производили деление на значение текущей высоты истребителя над уровнем океана. Соответственно, у Мертвого моря, лежащего ниже уровня океана, высота становилась нулевой, провоцируя ошибку.

• В мире найдется немало историй, когда обновление софта, совершаемое с самыми благими целями, могло повести за собой множество проблем. В 2008 году атомная электростанция в штате Джорджия (США) мощностью 1,759 МВт в экстренном режиме приостановила работу на 48 часов.

• Инженер компании, занимающейся технологическим обслуживанием станции, установил обновление на главный компьютер сети АЭС. Компьютер использовался для слежения за химическими данными и диагностики одной из основных систем электростанции. После установки обновлений компьютер штатно перезагрузился, стерев из памяти данные управляющих систем. Система безопасности станции восприняла потерю части данных как выброс радиоактивных веществ в системы охлаждения реактора. В результате автоматика подала сигнал тревоги и остановила все процессы на станции... Вот такие дела...

#Разное

Киберугрозы не ждут. А вы?
Защити себя или свою команду от проверок и взломов — обучись защите КИИ по стандартам ФСТЭК.

 До 31 мая действует спецпредложение🔥 -50% на второй курс!

 Выбирай один, а второй — за полцены:
 1️⃣ Техническая защита информации → 29 950 ₽
 2️⃣ Безопасность персональных данных → 40 000 ₽

 Записал сотрудника на курс по КИИ?
 → Получи -50% на “Защиту объектов КИИ” (всего 32 000 ₽)
👨‍🎓 Выпускникам Softline — скидка 40% на «Безопасность КИИ»
 (149 000 → 89 400 ₽)

Почему выбирают нас:
 ✔ Преподаватели из ФинЦЕРТа и Банка России
 ✔ Программы одобрены ФСТЭК
 ✔ Вебинары в прямом эфире
 ✔ Рассрочка 0%
⏳ До 31 мая — оставь заявку и зафиксируй скидку

 👉 Оставить заявку 

Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.

Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.

Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.

По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.

В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.

Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.

Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.

Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.

В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).

При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.

Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.

Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.

🖥 История Seagate: от дискеты до HDD.

• В 1920-1950-х годах в качестве способа хранения и передачи информации для компьютеров использовали перфокарты и перфоленты. Они пришли в компьютерную отрасль из ткацких станков. С помощью перфорации станки делали рисунок на ткани. Скорость работы с этим носителем была невысокой, много времени уходило на перфорацию выведенных в процессе расчётов данных и ввод новых перфокарт в машину для дальнейших вычислений. Изобретатели в то время работали над относительно новыми способами ввода и хранения данных – над магнитными лентами и проволокой.

• Способ магнитной записи был запатентован в 1898 году датским физиком и инженером Вальдемаром Поульсеном. В качестве носителя он использовал не ленту, а проволоку. С усилителя сигнал подавался на записывающую головку, вдоль которой с постоянной скоростью перемещалась проволока и намагничивалась соответственно сигналу. В 1927 году немецкий инженер Фриц Пфлеймер нанёс напыление порошка оксида железа на тонкую бумагу и запатентовал метод, но патент отменили из-за изобретения тридцатилетней давности. Обе эти идеи использовала компания AEG, представившая в 1935 году «Магнетофон-К1» на магнитной ленте.

• В 1950 году Национальное бюро стандартов США построило компьютер SEAC. В нём в качестве накопителей использовали металлическую проволоку в кассетах. А в 1951 году впервые использовали в компьютере магнитную ленту – в UNIVAC. Компьютер построили для нужд Военно-воздушных сил и топографической службы армии США. В качестве носителя использовали накопитель UNISERVO с лентами из никелированной бронзы шириной 13 миллиметров и длиной до 450 метров. Одна лента вмещала 1 440 000 шестибитных символов.

• Магнитная лента в бытовых компьютерах в 1970-х годах использовалась в виде кассет. Программы воспроизводили либо с помощью специальных накопителей, либо с помощью обычных домашних аудиомагнитофонов. Магнитные ленты до сих пор используются — например, на них хранят результаты работы Большого адронного коллайдера в CERN, с ними работает НАСА и некоторые крупные корпорации с огромными архивами. На них делают бэкапы, когда нужно хранить большие объёмы данных.

• Преимущество этого метода хранения состоит в цене. В IBM считают, что до 80% корпоративных данных можно записать на ленту. Но за низкую цену приходится платить низкой скоростью — доступ осуществляется последовательно, так что придётся ждать от нескольких десятков секунд до минуты для получения нужного файла.

• Проблему скорости доступа в 1960-е годы решала команда Алана Шугарта в IBM. Вместо ленты инженеры предложили гибкий магнитный диск с кожухом. В 1971 году IBM представила первую 8-дюймовую дискету на 80 килобайт и дисковод.

• После ухода из IBM Алан Шугарт продолжил работу с флоппи-дисками. В 1973 году он на деньги инвесторов основал Shugart Associates, которая вскоре представила 5 ,25-дюймовый мини-дискету в качестве замены громоздкому 8-дюймовому старшему брату. В сентябре 1976 года Shugart Associates предлагала привод за 390 долларов и десять дискет за 45 долларов. В 1977 году компанию купила Xerox, а в 1986 продала бизнес Narlinger Group.

• В 1979 году Алан Шугарт основал новую компанию — Shugart Technology. Целью предприятия было создание жёсткого диска размером с дисковод для 5,25-дюймовых флоппи-дисков, но в десять раз большей скоростью и в 15 раз большей ёмкостью. Сохранить название не удалось, так как уже существовала Shugart Associates, работавшая в той же отрасли, созданная тем же человеком, но принадлежавшая другой компании. Поэтому Shugart Technology переименовали в Seagate Technology. Спустя год после основания Seagate Technology компания представила первый в мире HDD потребительского класса, получивший неброское название ST 506 (на фото) ёмкостью 5 мегабайт... С этого момента и началась история Seagate...

#Разное

Как не утонуть в терминах и ошибках при работе с ЭП?

24 апреля в 20:00 МСК разложим по полочкам всё, что важно знать об электронной подписи — от базовой терминологии до практики внедрения в компаниях.

Разберём:
— чем отличается ЭП, ЭЦП, УКЭП и простая подпись:
— как устроена система удостоверяющих центров;
— какие риски возникают при работе с ЭП — и как их избежать.

Если вы работаете с цифровыми документами, занимаетесь ИБ или внедрением электронного документооборота — этот вебинар для вас.

Открытый урок проходит в преддверие старта курса “Информационная безопасность. Basic”.
Все участники получат скидку на обучение.

Присоединяйтесь: https://otus.pw/ZQh4y/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

👩‍💻 PersistenceSniper: Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines.

• Интересный Powershell-модуль, который подходит для Blue Team и предназначен для поиска всех методов закрепления, которые используют хакеры на взломанной тачке. На данный момент умеет находить 56 техник, начиная от популярных методов с реестром, заканчивая злоупотреблением DLL-библиотеки AppInit:

➡ https://github.com/last-byte/PersistenceSniper

#Powershell

📶 How SSH secures your connection.

• Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы:

➡️ https://noratrieb.dev/blog/posts/ssh-security/

#SSH

Устали от хаоса в CI/CD?

Собираете пайплайны из несовместимых инструментов? Kubernetes — ваше универсальное решение. 

➡️ K8s способен стать ядром, которое объединит процессы и сделает ваш CI/CD предсказуемым, стабильным и управляемым.

👉 На курсе «Kubernetes Мега» от Слёрма вы освоите K8s как основу современной инженерной платформы и научитесь строить продвинутые DevOps-процессы.

Вы получите: 
🔸 Перенос продукта на K8s без боли
🔸 Настройку отказоустойчивых кластеров
🔸 Мгновенный траблшутинг и уверенное устранение инцидентов
🔸 Повышение стабильности и безопасности приложений
🔸 Автоматизация: ротация сертификатов, автодеплой, безопасное хранение секретов

Старт уже 21 апреля
Осталось всего 7 мест 🏃

Программа и регистрация ➡️ по ссылке 

#реклама
О рекламодателе
erid: 2W5zFJF7uUc

Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.

Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.

Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.

После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.

Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).

При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).

Впервые эту технику применил Codefinger в кампании в декабре прошлого года.

Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.

Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.

Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.

Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.

Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.

У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.

Для обратно связи хакеры указывают awsdecrypt[@]techie.com.

Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.

В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.

Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.

👩‍💻 Secret Docker Commands.

• Небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации. Держу пари, что Вы точно откроете для себя что-то новое и полезное.

➡02:23 - Manage Docker Resources;
➡05:11 - Remote Docker Servers;
➡07:05 - Copy Files;
➡08:03 - Troubleshoot Logs;
➡10:36 - Troubleshoot Network.

➡️ https://youtu.be/tNBwddCczK8

• Кстати, у автора этого видео есть очень крутой репо (4к🌟), который содержит огромное кол-во полезных команд: https://github.com/ChristianLempa/cheat-sheets/blob/main/tools/docker.md

#Docker #DevOps

Как выстроить эффективную архитектуру мониторинга безопасности с SIEM?

Хотите научиться создавать систему, которая будет отслеживать, обрабатывать и хранить события безопасности из всех источников в вашей организации? Открытый вебинар 23 апреля в 20:00 мск — ваш первый шаг к построению надежной системы мониторинга с использованием SIEM.

Мы разберем, как оптимизировать сбор и хранение логов безопасности, как использовать встроенные средства логирования для Linux, Windows и облачных инфраструктур. Вы получите практические знания, которые помогут эффективно реагировать на угрозы в реальном времени и обеспечивать безопасность ваших IT-систем.

Урок будет полезен системным администраторам, инженерам по безопасности и IT-архитекторам.

Присоединяйтесь к вебинару и получите скидку на большое обучение «Специалист по внедрению SIEM».

👉 Зарегистрируйтесь по ссылке: https://otus.pw/4gkP/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

⏺Встречайте нового главреда Cyber Media — Кирилла Каримова

Кирилл много лет писал про ИТ и кибербезопасность для ведущих федеральных СМИ, информагентств и отраслевых медиа, а до прихода в Cyber Media руководил пресс-службой ИТ-Комитета Государственной Думы.

💬 Вот что он говорит о новом этапе:

Рад присоединиться к команде Cyber Media в такой важный для отрасли период. Уверен, что тот высокий темп, который был взят проектом, будет только нарастать. Нам есть о чем рассказать, наш контент востребован у аудитории, а последняя растет год от года. Интерес к кибербезопасности давно вышел за пределы отрасли. Сегодня эту тему обсуждают не только в профессиональной среде ИБ, но и на всех уровнях общества — от граждан, которые хотят себя защитить от кибермошенников, до государства, ставящего в приоритет задачу укрепить информационную безопасности страны на фоне растущего массива кибератак.

⚠️ ДТП с участием дата-центра.

• Большинство компаний понимают важность создания бэкапов. Но вот беда — представление о том, что должна собой представлять стратегия резервирования данных, имеет не так много компаний. В результате они теряют информацию, клиентов, а значит, и деньги.

• Среди причин утери данных — неподготовленность компаний к критическим событиям (сбои в подаче электроэнергии, физический ущерб оборудованию, взлом и кража данных, природные катаклизмы и т.д.). Если не позаботиться о резервных копиях заранее — потом будет мучительно больно!

• Если говорить о внезапных событиях, которые приводили к потерям и убыткам данных, то здесь нельзя не вспомнить случай из 2007 года. Тогда компания Rackspace столкнулась с неожиданностью. В ее дата-центр врезался внедорожник. Водитель этого автомобиля страдал диабетом и во время поездки он потерял сознание, нога нажала на педаль газа, и машина, вылетев за пределы дорожного полотна, на всей скорости врезалась в объект, в котором располагался центр энергетической инфраструктуры дата-центра компании.

• Сразу заработала вспомогательная система энергоснабжения, но возникла проблема — не запустилась основная система охлаждения. Из-за этого оборудование быстро перегрелось, так что сотрудники компании приняли решение выключить все, чтобы сервера и другое оборудование не вышли из строя.

• В итоге дата-центр простоял без дела около пяти часов, в течение которого ничего не работало. Эти пять часов обошлись компании в $3,5 млн... и это в 2007 году...

➡️ https://tempesto.ru/

#Разное

😎 Лонгрид недели!

Как работают компьютерные криминалисты — большой разговор с Антоном Величко.

🔥 Лаборатория цифровой криминалистики и исследования вредоносного кода — одно из старейших подразделений F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований — это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). 

🎙 Больше месяца мы ждали, когда в графике руководителя Лабы Антона Величко появится свободный час (последние два года ребята не вылезают из реагирований!), чтобы он смог рассказать об особенностях национального кибербеза.

➡️ Подписывайтесь на канал

Актуальные материалы о кибербезе, расследованиях и технологиях.

#реклама
О рекламодателе

Вице-президент MITRE Йосри Барсум объявил о приостановке финансирования со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), что может негативно отразиться на всей глобальной индустрии кибербеза.

В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.

Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.

Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ. 

Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации. 

В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).

В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.

Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.

После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.

Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.

При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.

Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.

👣 Форензика: Ваш цифровой след

• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:

➡ Читать статью [17 min].

#Форензика

⭐️🚀 Пройдите вступительный тест и получите доступ к бесплатным урокам курса "Administrator Linux. Professional".

👉 Пройти тест: https://otus.pw/4VPZ/

Хотите стать экспертом в администрировании Linux? У нас для вас отличная новость!
Представьте, как вы:
- Освоите настройку и управление сетевыми сервисами на Linux.
- Научитесь автоматизировать задачи с помощью Ansible.
- Сможете эффективно управлять дисковыми подсистемами и файловыми системами.
- Настроите и будете администрировать веб-серверы (Nginx, Apache) и базы данных (MySQL, PostgreSQL).
- Повысите уровень безопасности своих серверов с помощью SELinux и брандмауэров.
- Получите навыки мониторинга и логирования с использованием Prometheus и Zabbix.

Наш курс включает в себя все необходимые знания и практические задания, чтобы вы стали настоящим профессионалом.

❗️После успешного прохождения теста вам будут доступны уроки на лендинге курса, и скидка на обучение "Administrator Linux. Professional".

👉 Пройти тест https://otus.pw/4VPZ/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

💡 Появление оптоволокна.

• Сотни лет назад моряки определяли свое местоположение в море по частоте вспышек на маяках. Каждый маяк имел свою «зарезервированную» частоту, примерно как сейчас в телевидением или радио. Даже ночью в тяжелых погодных условиях можно было точно понять, к какому конкретно порту приближается корабль.

• Важной вехой, которая приближает нас к теме статьи, стало изобретение в 1880 году Александром Беллом фотофона как альтернативы его телефону. Суть была такой: свет попадал на гибкое зеркало, которое перенаправляло луч к приемнику. Когда человек говорил, форма зеркала изменялась, периодически фокусируя или рассеивая свет. В свою очередь, в приемник были встроены селеновые ячейки — они изменяли свою проводимость в зависимости от интенсивности света. Появлялась последовательность электрических импульсов, поступающих на выводное устройство — точно как в телефоне.

• Однако такой принцип передачи был очень нестабилен: любые препятствия на пути света делали передачу невозможной. Нужно было защитить световой поток, поместив его в какую-то защитную оболочку и передавать. Но все-таки свет имеет свойство рассеиваться и преломляться — поэтому все намного сложнее, чем с потерями на кабеле при передаче электрического сигнала. В идеале нужно было получить «концентрированный» световой поток со строго определенной длиной волны, которая была бы наиболее эффективна в конкретных условиях применения. Ну и найти материал, в котором все это будет передаваться.

• Прорыв случился, когда в 1958 году появился лазер: устройство, усиливающее свет посредством вынужденного излучения. Это означало, что теперь можно было получить свет в нужном диапазоне частот и с нужной мощностью, да еще и направить его в нужную точку. Оставалось найти канал, в котором будет происходить передача.

• В 1961 году Элиас Снитцер опубликовал теоретическое описание одномодового волокна (SMF). Он предположил, что можно:

➡Направить ИК лазер через очень тонкий прозрачный канал из стекловолокна, диаметр которого сопоставим с длиной волны.
➡Поместить все в «отражающую» оболочку из более толстого стекла с меньшим показателем преломления.

• В результате свет будет испытывать полное внутреннее отражение на границе раздела двух сред с разными показателями преломления — все как в классической оптике. Потери из-за рассеивания будут меньше, а значит, сигнал можно будет передать на большее расстояние.

• Идея была хорошей, однако проблема была в составе материала, при прохождении через который волна света сильно затухала — в первых опытах речь шла о 1000 дБ/км. Если очень примитивно, то некоторые фотоны как бы «рассеивались» при взаимодействии с атомной структурой, и поток света становился слабее. Нужно было найти способ, как уменьшить количество «лишних» элементов и, как следствие, число паразитных соударений фотонов. Проще говоря, сделать материал более прозрачным, уменьшив количество примесей.

• В 1964 году Чарльз Као и Джордж Хокхэм в своих исследованиях предположили, что теоретически потери можно снизить в 50 раз — до 20 дБ/км. Они обнаружили, что идеально на роль проводника света с точки зрения прозрачности и чистоты подходит плавленый кварц, он же — кварцевое стекло. За эту работу Као и Хокхэм были удостоены Нобелевской премии по физике в 2009 году.

• В 1970 году инженер Дональд Кек нашел способ сделать кварц еще прозрачнее — легировать его титаном. Спустя еще два года исследований Кек обнаружил, что легирование кварца оксидом германия снижает затухание до невероятных 4 дБ/км. В 1973 году в Bell Laboratories был открыт процесс химического осаждения из газовой фазы — теперь можно было производить химически чистое стекловолокно в промышленных масштабах.

• Начиная с того времени, оптоволоконная связь начала распространяться по миру: например, в 1980 году с ее помощью была передана первая картинка с Зимних Олимпийских игр в Лейк-Плэсиде. Кабели начали прокладывать под водой и поняли, что про старые-добрые медные кабели для телекоммуникации можно забыть...

#Разное

erid: 2W5zFGjTtN4

Современные угрозы требуют надежной защиты, но сложность настройки NGFW может стать препятствием.
Наш бесплатный онлайн-курс поможет вам освоить UserGate на практике, без теории и маркетинговых ограничений.  

Что вас ждет:
✅ Установка и настройка UserGate с нуля
✅ Практические лабораторные работы в реальной среде
✅ Разбор NAT, VPN, DPI, SSL-инспекции и мониторинга  

Каждый участник получит персональный стенд и выполнит все задания своими руками. После курса – методички, чек-листы и доступ в инженерное сообщество.

Регистрируйтесь ➡️ на сайте и начинайте обучение 22 мая.

Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.

Microsoft официально подтвердила непонятную аномалию, связанную с тем, что обновление безопасности Windows за апрель 2025 года приводят к созданию новой пустой папки с названием inetpub, предупредив пользователей не удалять ее.

Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.

Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.

Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.

Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.

Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.

Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.

Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.

В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.

Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.

Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».

Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.

После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.

Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.

Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.

😟 Как спрятать любые данные в PNG.

• На хакерских конкурсах и играх CTF иногда попадаются задачки на стеганографию: вам дают картинку, в которой нужно найти скрытое сообщение. Наверное, самый простой способ спрятать текст в картинке PNG — прописать его в одном из цветовых каналов или в альфа-канале (канал прозрачности). Так вот, на хабре есть хорошая статья, где автор рассказывает о такой реализации:

➡️ https://habr.com/ru/articles/861932/

• По итогу мы сможем записать внутрь PNG другой файл или текст! Можем даже шифровать данные через AES!

• Код более развернутого решения можно найти на GitHub: https://github.com/in4in-dev/png-stenography (использование AES, сокрытие файлов в картинке).

#Стеганография

• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:

➡AWS;
➡Azure;
➡GCP;
➡Kubernetes;
➡Container;
➡Terraform;
➡Research Labs;
➡CI/CD.

➡ https://github.com/iknowjason/Awesome-CloudSec-Labs

#Cloud #ИБ

🤖 Тамагочи для хакера.

• Bjorn - инструмент, предназначенный для проведения комплексного сканирования сетей и оценки их уязвимости. Проект имеет модульную конструкцию и его функционал может быть расширен за счет скриптов на Python.

• Самое забавное, что инструмент реализован в виде игры по типу Тамагочи с виртуальным персонажем - викингом, где за каждые успешные сканирования или взломы вы будете получать игровые монеты, и прокачивать вашего виртуального «друга».

• Для изготовления такого устройства вам понадобится Raspberry PI Zero W или Zero 2 W и 2.13 дюймовый e-ink экран с драйвером, подключаемый к GPIO. Устройством можно управлять как с экрана, так и через веб-интерфейс.

• Основные особенности устройства в текущей реализации:

➡Идентификация активных хостов и открытых портов в сети;
➡Сканирование сетей на наличие уязвимостей с использованием #Nmap и других инструментов;
➡Brute-force атаки на различные сервисы (FTP, SSH, SMB, RDP, Telnet, SQL).

➡️ https://github.com/infinition/Bjorn

#ИБ #Пентест

🪙 С чего всё началось: история Bug Bounty.

• Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.

• Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.

• Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.

• К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.

• И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.

• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...

#bb #Разное

📱 Подборка материалов по мобильной безопасности.

• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:

• iOS Security Awesome:
➡Инструменты анализа;
➡Инструменты защиты;
➡Уязвимые приложения;
➡Видео;
➡Статьи.

• Android Security Awesome:
➡Инструменты анализа;
➡Общие;
➡Динамический анализ;
➡Онлайн анализаторы;
➡Инструменты защиты;
➡Уязвимые приложения;
➡CTF;
➡Прохождение CTF;
➡Видео;
➡Подкасты;
➡Статьи.

#ИБ

Запускаем цикл вебинаров и открытых демонстраций – «Basisный интенсив с Merlion»!

В течение года мы разберем функциональные особенности экосистемы продуктов ведущего российского разработчика решений для оказания облачных услуг, платформы динамической инфраструктуры и виртуализации – Basis:

∙ Basis Dynamix Standard – гибкая платформа управления виртуализацией для контроля гипервизоров и виртуальных ЦОД на базе виртуальных машин.
∙ Basis Dynamix Enterprise – высокопроизводительная платформа на базе динамической инфраструктуры для управления виртуальными серверами и контейнерами.
∙ Basis Workplace – ПО для создания инфраструктуры виртуальных рабочих столов с возможностью выбора сценария использования.

Вы узнаете, как решения помогают управлять виртуальными серверами, обеспечивать контроль гипервизоров и создавать инфраструктуры виртуальных рабочих столов.

Регистрация осуществляется 1 раз – и вы получаете доступ ко всей серии вебинаров.

Реклама. ООО "МЕРЛИОН". ИНН 7719269331.

• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.

➡Network+;
➡Security+;
➡Linux;
➡Python;
➡Traffic Analysis;
➡Git;
➡ELK;
➡AWS;
➡Azure;
➡Hacking.

➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity

#ИБ

🔒 ASM в действии: автоматизированная защита внешних сервисов 🔒

23 апреля | Онлайн-курс с Кириллом Федоренко, специалистом по тестированию на проникновение в F6

❓ Хотите узнать, как атакуют внешние сервисы и как их защитить? На этом курсе вы научитесь выявлять уязвимости, понимать тактику хакеров и применять эффективные меры защиты.

Что разберем?

⚡️ Какие сервисы чаще всего становятся мишенью атак

⚡️ Основные угрозы: брутфорс, уязвимости, ошибки конфигурации

⚡️ Как взламывают RDP, SSH, почтовые серверы и базы данных

⚡️ Реальные кейсы атак: проникновение через RDP и SQL-инъекции

⚡️ Методы защиты: закрытие портов, 2FA, контроль конфигурации

⚡️ Zero Trust и автоматизация защиты с Attack Surface Management

👨‍💻 Для кого курс?

✅ Специалисты по ИБ, SOC и CERT-аналитики

✅ DevOps-инженеры и системные администраторы

✅ Разработчики, работающие с веб-приложениями и API

✅ Все, кто отвечает за защиту внешнего периметра компании

📥 Регистрируйтесь сейчас: ASM в действии

📩 Остались вопросы? Пишите нам на education@f6.ru

#реклама
О рекламодателе

👨‍💻 opensource builders.

• https://opensource.builders — очень полезный сервис, который содержит бесплатные аналоги известных коммерческих решений. Весь софт имеет открытый исходный код и аккуратно распределен по категориям. К примеру есть аналог Notion, Teams, Discord, Teamviewer и т.д. Однозначно в закладки!

#Разное

Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.

Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.

Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.

Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.

Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.

В январе Google предоставила исправления OEM-партнерам. 

Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем. 

Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.

Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.

Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.

📁 Windows File Manager.

• В своё время эта программа стала первым графическим менеджером файлов от Microsoft. Она позволяла копировать, перемещать и удалять файлы, выделяя их мышью. Программа пришла на смену управлению файлами в MS-DOS и стала заменой многочисленным файловым оболочкам вроде Norton Commander, хотя многие пользователи по привычке ещё долгие годы пользовались и до сих пор пользуются NC, FAR и Windows-версией Total Commander.

• Самая первая 16-битная версия Windows File Manager поддерживала только имена файлов в формате 8.3. Поддержки длинных имён файлов не было, как и поддержки пробелов в именах. Если Диспетчеру приходилось отображать длинные файлы, то он показывал первые шесть символов, затем символ тильды "~" и число, обычно единицу. Если папка содержала несколько файлов с одинаковыми первыми шестью символами в названии, то им присваивались цифры 2, 3 и так далее.

• Затем программу переписали под 32 бита для Windows NT. Она уже могла отображать длинные имена файлов и поддерживала файловую систему NTFS.

• В 1990-1999 годы Диспетчер файлов оставался стандартным компонентом Windows и поставлялся в составе операционной системы. Он до сих пор доступен для скачивания как опциональный менеджер файлов, даже в версии Windows 10, хотя в стандартной поставке его давно заменил Проводник Windows (Windows Explorer).

• 6 апреля 2018 года компания Microsoft выложила на GitHub исходный код оригинальной версии Windows File Manager, который поставлялся в составе операционной системы Windows в 90-е годы, а также доработанную и улучшенную версию Диспетчера файлов: https://github.com/Microsoft/winfile

• Скомпилировав и запустив этот артефакт на современной машине, вы оцените потрясающую обратную совместимость программ под Windows, ведь софт 34-летней давности почти без модификаций работает на последней ОС. Если вы не работали на первых версиях Windows, то можете оценить, какими программами приходилось тогда пользоваться. Только учтите, что в начале 90-х и сама Windows 3.0, и этот Диспетчер файлов заметно тормозили на многих персональных компьютерах. Специально для установки Windows 3.0 приходилось докупать несколько мегабайт оперативной памяти, а иногда и апгрейдить процессор, например, с 20 МГц до 40 МГц. Но в награду пользователь получал текстовый редактор Word под Windows с поддержкой множества кириллических шрифтов и форматированием WYSIWYG — вместо убогого однообразия «Лексикона» или Word под DOS.

#Разное

🔒 Хотите увидеть, как эффективно защищать IT-инфраструктуру в реальном времени?

Присоединяйтесь к открытому уроку по Wazuh — инструменту, который объединяет мониторинг безопасности, анализ угроз и автоматизацию защиты в одном решении.

Интересуетесь SIEM? Мы разберем ключевые возможности Wazuh:
— как он отслеживает угрозы и аномалии,
— как проводит инвентаризацию, корреляцию и анализ уязвимостей,
— как работает с логами Windows и Linux,
— как интегрируется с другими ИБ-инструментами.

Ответим на ваши вопросы и разберем кейсы использования.

👨‍💻 После вебинара вы:
— получите чёткое представление о возможностях Wazuh,
— узнаете, где он максимально эффективен,
— поймёте, как его использовать в своих проектах.

Для кого: архитекторы ИБ и SOC, инженеры SIEM, руководители ИБ-подразделений.

Когда: 8 апреля в 20:00 мск
Бонус: участникам — скидка на курс «Специалист по внедрению SIEM»

👉 Зарегистрируйтесь по ссылке: https://otus.pw/RnmJ/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

#Юмор

👨‍💻 Подборка бесплатных курсов по DevOps и Cloud.

➡Основы программирования для Linux;
➡Основы Linux;
➡Бесплатный онлайн-курс DevOps;
➡GIT;
➡Docker;
➡Azure;
➡Специализация Python Scripting for DevOps;
➡Kubernetes;
➡Jenkins;
➡Chef;
➡Cloud Computing.

#DevOps #Cloud #Курс

Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.

CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.

Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.

При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.

Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.

При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.

Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.

Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.

UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.

Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.

Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.

По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.

В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.

Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.

Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.

Впрочем, такими темпами и обходы для последней версии скоро назреют.

Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.

• Даже не знаю, можно ли изобразить схему OSI более подробней чем здесь?

• P.S. Не забывайте про наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network

#Сети

💿 Как распространялся open-source-софт в 90-х годах...

• Распространение ПО с открытым исходным кодом никогда не был настолько простым и быстрым, как сейчас. Повсеместная доступность интернета и удобные инструменты позволяют получать доступ к открытому ПО в любое время. Но в начале 90-х, когда интернет лишь начал широко распространяться среди обычных людей, ситуация была полностью противоположной. Даже там, где интернет уже был, пользователям зачастую было проще скопировать данные на дискету и принести эту дискету в другое место. Такое явление шутливо называли «флоппинет».

• Когда требовалось передать большой файл, его сжимали с помощью архиватора. Полученный архив разделяли на части, не превышающие стандартной ёмкости 3,5” дискеты. Каждая часть записывалась на отдельный носитель, а на принимающей стороне архив собирался в обратном порядке и нужные данные извлекались на компьютер. Появление компакт-дисков стало революционным событием, ведь их ёмкость была в 500 раз выше и архиваторы потеряли своё значение. Ну почти. Это время стало «золотым веком» для одной из первых в мире компаний-дистрибьюторов открытого ПО — Walnut Creek Software.

• Компания Walnut Creek Software была основана в августе 1991 года и изначально стала заниматься изданием сборников приложений на компакт-дисках. До появления Архива интернета существовал похожий проект The Simtel archive, представлявший собой хранилище бесплатного и условно-бесплатного программного обеспечения. Там были приложения для самых разных операционных систем.

• Проблем было ровно две: где хранить и как давать доступ. На первых порах (с 1979 по 1983 год) Simtel жил на компьютере PDP-10 в недрах Массачусетского технологического института. Потом ресурсы этой ЭВМ понадобились для других целей — и проекту пришлось срочно искать куда «переехать»‎.

• Одним из вариантов для размещения архива стал мейнфрейм DECSYSTEM-20. Более того, этот мейнфрейм работал в ARPANET, что дало возможность организовать доступ по FTP с адресом simtel20.arpa

• Со временем архив разрастался, и стало ясно, что нужен ещё какой-то механизм доставки. Доступ в сеть был не у всех, так что было решено записывать содержимое на компакт-диски и рассылать всем желающим за небольшую плату. Этакий флоппинет на максималках. Вокруг этой идеи и был построен бизнес Walnut Creek Software.

• Спустя некоторое время компания решилась на эксперимент. Они стали не только выпускать сборники софта на компакт-дисках, но и организовали один из самых популярных FTP-серверов того времени — ftp.cdrom.com. В 1993 архив Simtel был вынужден вновь искать площадку для размещения. И именно Walnut Creek Software протянул руку помощи. Другие архивы, такие как Aminet (софт для компьютеров Amiga) и CICA Shareware (коллекция условно-бесплатных приложений для Windows), также стали выпускаться на физических носителях и получили место на FTP.

• К тому времени были налажены очень тесные связи с проектом FreeBSD, что превратилось в отличную коллаборацию. Walnut Creek Software стали издавать FreeBSD на компакт-дисках, сделали дистрибутивы доступными на своих серверах и даже стали спонсировать конференции по этой операционной системе. Это резко увеличило приток клиентов, которые стали всё более активно заказывать диски.

• Но всё, что имеет начало, имеет и конец. К концу 90-х годов всё больше людей стало получать доступ к интернету. Посещаемость их FTP-сервера стала рекордной. Так, в 1998 году FTP-сервер в среднем раздавал 417 Гб за сутки, а спустя год эта цифра увеличилась вдвое. Интерес к программному обеспечению на компакт-дисках неуклонно снижался, и это стало сокращать доходы компании.

• Чтобы оставаться на плаву, в 2000 году Walnut Creek Software объединилась c Berkeley Software Design. Предполагалось, что компания при этом сможет сфокусироваться на FreeBSD и производных. Увы, но последующие слияния и поглощения не оставили от первоначальной компании ни следа. Спустя несколько лет активы были поделены между новыми собственниками, а идея о дистрибуции открытого программного обеспечения на физических носителях канула в Лету...

#Разное

Адская смесь CraxsRAT и NFCGate. Киберпреступники разработали новую схему атак, и этот Франкенштейн потенциально прямо в вашем смартфоне. 

Компания F6 выяснила, что злоумышленники начали использовать связку Android-трояна CraxsRAT и приложения NFCGate. Вместе они позволяют без единого звонка устанавливать на устройства вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные карт. 

Читайте подробности

#реклама
О рекламодателе

Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.

Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.

Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.

Причем эта статистика охватывает период с 13 по 27 марта 2025 года.

Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.

Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:

- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;

- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;

- кражу крипты через подмену адреса кошельков в нужных приложениях;

- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;

- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;

- загрузку и запуск других программ на заражённом смартфоне;

- блокировку сетевых соединений.

Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.

Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.

Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.

Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.

При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.

В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.

👩‍💻 Управление Linux-сервером — самая ценная инвестиция.

• В эпоху облаков настройка Linux-сервера своими руками кажется неким вымирающим искусством. Для непосвящённого человека даже bash-скрипты выглядят как заклинания, а коллеги проникаются уважением к сисадмину, как древние индейцы к своему шаману…

• Сейчас это «древнее искусство» вновь стало актуальным. История идёт по кругу — всё старое возвращается в новом виде. Запуск сервера на своём хостинге стал хорошей альтернативой облакам. Автор этой статьи называет ряд причин, почему настройка и управление Linux-сервером на своём собственном железе/хостинге это круто и даже необходимо...

➡️ https://habr.com/ru/post/768548/

#Linux

⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.

Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!

• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:

- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.


• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

👩‍💻 DevOps Bash tools.

• Добавляем в нашу коллекцию еще один репозиторий для изучения Bash, содержащий в себе более 1000 скриптов, которые могут оказаться полезными для DevOps и не только — AWS, GCP, Kubernetes, Docker, CI/CD, APIs, SQL, PostgreSQL, MySQL, Hive, Impala, Kafka, Hadoop, Jenkins, GitHub, GitLab, BitBucket, Azure DevOps, TeamCity, Spotify, MP3, LDAP, Code/Build Linting, pkg mgmt для Linux, Mac, Python, Perl, Ruby, NodeJS, Golang, .bashrc, .vimrc, .gitconfig, .screenrc, tmux...

➡️ https://github.com/HariSekhon/DevOps-Bash-tools

#bash #DevOps

Ansible в действии: развернем кластер с Kuberspray и запустим AI-приложение 🚀

Приглашаем на бесплатный вебинар от Слёрма, на котором расскажем и покажем:

🔸 Как развернуть нейронную сеть в контейнере и сделать её доступной для всего мира?
🔸 Как быстро настроить кластер и управлять им?
🔸 Как Kubernetes управляет AI-приложениями?
🔸 Как Docker работает в Kubernetes?

🎁 Бонус: каждый зритель получит репозиторий для собственного Kubernetes-кластера с AI-приложением и полную инструкцию по развертыванию.

Дата: 9 апреля 19:00
Занять место — через бота 👈

erid: 2W5zFJwFGtg

⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.

Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!

• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:

- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.


• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.

Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.

Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.

Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.

По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.

Теперь эта активность значительно прогрессировала.

Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.

Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.

Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:

- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php

При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.

Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.

Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.

🪟 Появление меню "Пуск" в Windows.

• А вы знали, что меню "Пуск" впервые появилось в Windows 95? Оно ознаменовало собой революцию в пользовательском взаимодействии с операционной системой. Правда, понятно это стало много позже. Тем более, что реализация этого компонента в Windows 95 на техническом уровне отличалась не только от того, что мы видим в ОС сегодня, но даже от исполнения в Windows NT.

• В Windows 95 меню "Пуск" базировалось на предварительно подготовленных растровых, или битмаповых изображениях. Этот подход, хотя и эффективный для своего времени, имел ряд ограничений:

➡Фиксированный размер и разрешение;
➡Ограниченная масштабируемость;
➡Высокое потребление ресурсов памяти;
➡Сложности с локализацией и кастомизацией.

• При разработке Windows NT команда Microsoft приняла решение о радикальном переосмыслении технической реализации меню "Пуск". Ключевой целью стало создание компонента, который бы отрисовывался в реальном времени посредством программного кода, а не полагался на предварительно подготовленные изображения.

• При имплементации нового подхода разработчики столкнулись с рядом проблем, одной из которых была необходимость отображения вертикального текста для боковой панели меню. На тот момент Windows API не предоставляло прямых способов для решения этой задачи.

• Решение было найдено благодаря уникальным возможностям Windows NT. Эта версия позволяла осуществлять ротацию контекста устройства (device context, DC). Этот механизм открыл путь к программной реализации вертикального текста без необходимости в специальных растровых изображениях.

• Меню "Пуск" продолжало эволюционировать с каждым новым релизом Windows, адаптируясь к меняющимся требованиям пользователей и технологическим возможностям. Однако не все изменения были успешными. Наиболее заметным экспериментом стало удаление классического меню "Пуск" в Windows 8 в пользу полноэкранного интерфейса Metro.

• Этот радикальный отход от привычной парадигмы вызвал значительное недовольство пользователей, включая некоторых разработчиков, которые быстро вернулись к использованию Windows 7. Негативная реакция сообщества привела к возвращению модифицированного меню "Пуск" в Windows 10 и 11, которое сочетало в себе элементы классического дизайна с новыми функциональными возможностями...

#Разное #Windows

🎣 Evilginx3 Phishlets.

• Вероятно, Вы уже слышали о таком инструменте, как Evilginx — это обратный прок­си‑сер­вер, который прок­сиру­ет соеди­нение меж­ду поль­зовате­лем и целевым веб‑ресур­сом, поз­воляя перех­ватить логин, пароль и клю­чи сеан­са. С помощью это­го фрей­мвор­ка мож­но обой­ти двух­фактор­ную аутен­тифика­цию.

• В Evilginx используются фишлеты — это такие файлы, которые задают правила основной работы Evilginx. В фишлетах указывается, по каким параметрам определять авторизацию, как выглядят cookie-сессии и все другие данные для успешного фишинга.

• Так вот, с такими фишлетами можно ознакомиться в репозитории по ссылке ниже. Тут вы найдете интерактивные логон-страницы основных облачных сервисов Google, AWS и Microsoft. Всё собрано под Evilginx3: https://github.com/simplerhacking/Evilginx3-Phishlets

• Учитывайте, что этот материал для тех, кто хочет понять, как проводятся фишинговые атаки и как обезопасить пользователей от фишинга через reverse proxy.

#Фишинг

🤖 IoT. Как появился интернет вещей?

• Самый известный в мире физик-футоролог Никола Тесла еще в 1926 году предсказал появление того, что сейчас мы называем интернетом вещей. В интервью журналу Collier’s ученый рассказал, что в будущем все физические предметы объединятся в огромную систему. Более того, он предположил, что приборы, с помощью которых такое объединение станет возможным, будут размером со спичечный коробок и легко поместятся в кармане. Имел ли он в ввиду именно смартфон, уже никто не узнает. Да и инструкций для изготовления таких технологических новшеств Тесла не оставил.

• Неформально история технологии интернета вещей началась с автомата Coca-Cola в 1982 году. Сначала это был обычный вендинговый аппарат на третьем этаже университета Карнеги-Меллон. Запасы бутылок в нем заканчивались очень быстро, и студенты, поднимаясь на третий этаж, как правило, разочарованно возвращались в аудиторию с пустыми руками. Чтобы не подниматься наверх почём зря, они установили в автомате датчики, проверяющие не только то, есть ли напиток в автомате, но и определяющие его температуру. Студенты подключили автомат к университетскому компьютеру PDP-10. Через него они проверяли, можно ли уже идти за банкой газировки. За рамки студенческой самодеятельности этот проект так и не вышел, и технология IoT появилась спустя несколько лет.

• Кстати, у Coca-Cola ранее были очень оригинальные решения на основе уже привычного IoT. Среди самых «хайповых» оказались: автомат дружбы между Индией и Пакистаном (страны с 1947 года враждуют из-за спорной территории Кашмир. В 2013 году, чтобы наладить отношения между жителями стран, в них установили аппараты, которые транслировали происходящее в другой стране и за добрые жесты и приветствия раздавали напитки), Coke Hug Machine в Сингапуре (датчики срабатывали на человеческое тепло, нужно было обнять автомат, чтобы получить напиток) и акция ко дню Всех влюблённых в Стамбуле (автомат включался при приближении двух идущих близко друг к другу людей и выдавал бесплатные напитки за объятия).

• Официальная история IoT начинается в 1990 году, когда один из создателей протокола TCP/IP Джон Ромки привез свой домашний тостер на выставку технологий Interop и продемонстрировал публике причудливый эксперимент: он смог приготовить тост без прямого контакта с прибором, управляя им через удалённое подключение.

• Объединить предметы в единую сеть и управлять ими через интернет тогда не было самоцелью разработчиков. Все великое, как водится, рождается случайно. Так и тостер был всего лишь демонстрацией революционной на тот момент технологии RFID.

• Радиометки пиарили как могли: ими повсеместно обклеивали товары на складах и магазинах. Суть интернета вещей тогда сводилась к дистанционному учёту и контролю предметов с помощью радиосигнала. Соответственно, первыми «вещами» стали именно коробки с товаром, а ритейл — первой отраслью, в которой применялся IoT.

• Правда, самого термина «интернет вещей» тогда ещё не было, его ввели в обиход лишь спустя девять лет. Разработчики RFID свою миссию выполнили: популяризировали технологию, а об умном тостере почти на десятилетие все забыли. Впрочем, в 2017 году Джон Ромки сообщил, что тот тостер до сих пор «иногда поджаривает хлеб» у него дома..

• Еще одним прародителем интернета вещей считается умный фонтан. В 1998 году компьютерный учёный Марк Уэйзер научил городскую достопримечательность работать синхронно с переменами на фондовом рынке...

#Разное #IoT

🔗 ДНК веб-сайтов.

• urlDNA — бесплатный, комплексный и мощный онлайн инструмент для исследования веб ресурсов. Умеет собирать очень много необходимой информации для анализа:

- Скриншот страницы;
- Информацию по SSL сертификату;
- IP адреса;
- Заголовки и содержание страницы;
- Печеньки;
- Выводит информацию о сервисах аналитики, фреймворках, веб-серверах и т.д.;
- Показывает консольные сообщения и еще кучу всякой всячины...

➡ https://urldna.io

• К слову, инструмент имеет открытый исходный код, а в репозитории есть много полезной информации: https://github.com/urldna/urldna

• И не забудьте посетить блог разработчиков на Medium [VPN], тут есть описание функционала и пошаговое руководство.

#Разное

Исследователи SentinelOne сообщают о новых версиях вредоносного ПО для macOS под названием ReaderUpdate, разработанных с использованием языков программирования Crystal, Nim, Rust и Go.

Первоначально обнаруженная в 2020 году вредоносная ПО распространялась в виде скомпилированного двоичного файла Python и взаимодействовала с сервером С2 по адресу www[.]entryway[.]world.

Тогда ReaderUpdate задействовалась для развертывания полезной нагрузки, идентифицированной как рекламное ПО Genieo (также известное как Dolittle и MaxOfferDeal).

С середины 2024 года новые домены были связаны с вариантами ReaderUpdate Crystal, Nim и Rust, но полезная нагрузка при этом не изменилась, как утверждает SentinelOne.

Недавно выявленный вариант на Go также следует этой схеме.

ReaderUpdate в настоящее время распространяется в пяти вариантах, скомпилированных из пяти различных исходных языков, включая оригинальную версию на Python.

Причем исследователи наблюдали распространение новых вариантов через существующие заражения старого ReaderUpdate.

Вредоносное ПО продвигается через сторонние сайты для загрузки ПО, прежде всего через вредоносные установщики пакетов с фейковыми или троянизированными приложениями.

Все наблюдаемые варианты нацелены только на архитектуру Intel x86.

Анализ версии ReaderUpdate для Go показал, что после запуска программа сначала собирает информацию об оборудовании системы, которая затем используется для создания уникального идентификатора и отправляется на С2.

Кроме того, выяснилось, что ReaderUpdate может анализировать и следовать ответам, полученным от С2, что позволяет предположить, что ее можно использовать для выполнения любых команд оператора.

На сегодняшний день SentinelOne смогла выявить девять образцов ReaderUpdate на Go, которые охватывают семь доменов C2, что указывает на незначительную распространенность этой угрозы по сравнению с вариантами Nim, Crystal и Rust, имеющими сотни образцов в дикой природе.

Несмотря на то, что текущие известные заражения ReaderUpdate были связаны исключительно с известным рекламным ПО, тем не менее загрузчик имеет функционал, позволяющий модифицировать полезную нагрузку на что-то более вредоносное.

Это полностью согласуется с платформой загрузчика, которая может использоваться для реализации Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS).

Индикаторы компрометации - в отчете.

"Если бы не синие коробки, Apple бы не существовало". — Стив Джобс.

• «Фрикеры» (фанаты телефонных систем) использовали «синие коробки» для доступа к бесплатным телефонным услугам ещё в 1950-х годах, первую цифровую blue box спроектировал Стив Возняк в 1972 году. Её рекламировали и продавали сам Возняк (взявший себе фрикерское имя «Berkeley Blue»), Джобс (известный под именем «Oaf Tobar») и их друзья из Калифорнии в 1972 и 1973 годах.

• Возняк говорил, что они изготовили 40-50 устройств, а Джобс утверждал, что сотню; но определённо известно, что многие коробки были конфискованы, когда усилились аресты фрикеров в 1973-1975 годах. Эти синие коробки являются результатом первого коммерческого сотрудничества двух гигантов, ставших основателями Apple, а их печатные платы стали для Возняка первым опытом изготовления плат.

• Всё началось 1971 году, когда журнал «Esquire» опубликовал статью «Секреты маленькой синей коробочки» с подзаголовком «История настолько невероятная, что она заставит вас сочувствовать телефонной компании». В статье рассказывалось о группе инженеров, разобравшихся в том, как взламывать автоматические коммутационные системы Bell, свободно перемещаясь по междугородним телефонным системам Bell при помощи специальных частот, генерируемых «синими коробками». История этих «телефонных фрикеров» стала сенсацией, а особенно важным читателем статьи был молодой студент-инженер Беркли по имени Стив Возняк. Первым делом после прочтения статьи Воз позвонил своему хорошему другу Стиву Джобсу, который пока ещё учился в старших классах школы. На следующий день они запрыгнули в машину и направились в библиотеку Стэнфордского линейного ускорителя, чтобы прошерстить полки в поисках зацепок, позволивших бы им уточнить подробности описанного в «Esquire».

• Стив и Воз нашли нужную информацию и спустя три недели Возняк смог спроектировать устройство, а в течение следующих нескольких недель Возняк усовершенствовал конструкцию, в результате создав первую в мире цифровую синюю коробку, способную создавать гораздо более устойчивую частоту, чем предыдущие аналоговые устройства.

• Имея на руках «синюю коробку», двое молодых людей и их друзья начали исследовать телефонную систему, благодаря чему произошла знаменитая история Возняка: он позвонил в Ватикан, представился Генри Киссинджером и позвал к трубке Папу римского (к сожалению, в это время тот спал). Вскоре после этого Джобс придумал план по распространению этих устройств среди студентов Беркли, желающих делать бесплатные телефонные звонки. Они стучались в случайную дверь общежития Беркли и спрашивали человека с придуманным именем, которого, конечно, не обнаруживалось. Они объясняли, что ищут парня, которые делает бесплатные телефонные звонки при помощи синей коробки. Если собеседник высказывал интерес или любопытство, то они продавали ему коробку.

• Благодаря изобретательному маркетинговому плану Джобса и архитектуре Возняка им удалось заработать на проекте около 6000 долларов, собирая устройства с себестоимостью 40 долларов и продавая их за 150 долларов. Вспоминая всю эту историю, Стив Джобс говорил: «Мы с Возом учились работать вместе и выработали уверенность, что можем решать технические проблемы и действительно что-то производить». Так началась история их сотрудничества, результатом которого стала компания Apple...

#Разное

📚 Словари на любой вкус и цвет.

• Использование подходящих словарей во время проведения тестирования на проникновение во многом определяет успех подбора учетных данных. Не может быть одного самого лучшего словаря – под разные ситуации требуются разные словари.

• По ссылке ниже доступно более 1500 файлов, а их общий вес составляет более 2.5 ТБ. Весь материал доступен абсолютно бесплатно и без каких-либо ограничений, а загрузку можно осуществить через torrent. А еще у сервиса есть API для автоматизации и интеграции в собственные инструменты.

➡ https://weakpass.com

#Пентест

Защищать данные — важный навык! Пройдите бесплатный курс Нетологии, чтобы изучить основы информационной безопасности, найти уязвимости в веб-сервисах и создать свой план развития.

Бесплатный курс Нетологии: информационная безопасность на практике. Найдите уязвимости веб-сервисов, настройте ОС для защиты данных и создайте план развития карьеры.

Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5yLSy1A

🪟 Windows Neptune.

• Расскажу Вам о существовании самой загадочной ОС - Windows Neptune. Всем известно, что в Microsoft создают операционные системы последовательно, одну за одной, как эпизоды в телесериале. Работа над следующей версией Windows порой стартует едва ли не одновременно с началом разработки текущей, просто занимаются этими проектами разные команды. Так произошло и в самом конце 90-х: ещё не вышла легендарная Windows 2000, а в Microsoft уже вовсю проектировали ОС, которая должна была прийти ей на смену. Так появился проект Neptune...

• В конце 90-х разработчикам стало очевидно, что семейство 9x доживает свои последние дни. Существовавшее на тот момент разделение Windows на два семейства: «домашнее», предназначенное для простых пользователей, и «бизнес-версию» для рабочих станций и предпринимателей должно было сохраниться и в дальнейшем. При этом Windows 2000 Professional рассматривалась именно как «бизнес-версия» ОС, в ней не предполагалось наличие большого количества развлекательных утилит и программ, таких как медиацентр, мессенджеры и игры. На смену этой ОС должна была прийти новая операционная система, получившая кодовое наименование Odyssey — её релиз был запланирован на четвёртый квартал 2001 года.

• Напротив, «домашней» версией Windows считалась обновлённая модификация Windows 98 под названием Millennium Edition, которая должна была стать последним выпуском винды на платформе 9х. Следующую «домашнюю» редакцию Windows, собранную уже на основе технологии NT, назвали другим мифологическим «морским» именем — Neptune. Предполагалось, что она поступит в продажу в марте 2001 года и окончательно вытеснит Windows ME на рынке ПК и ноутбуков.

• Изначально Neptune упоминался в документации Microsoft, как Windows NT 5.5, однако в единственной утёкшей в паблик версии операционной системы — 5111.1 (Microsoft Neptune Developer Release) ядро имеет обозначение 5.00.5111.1, вероятно, чтобы соответствовать версии подсистемы в PE-заголовках программ.

• Несмотря на то что в публичный доступ утекла только одна сборка Neptune, считается, что всего таких сборок было 14. Последняя из них имеет номер 5.50.5179.1. В начале 2000 года все работы над этой ОС были свёрнуты, а команды Neptune и Odyssey объединили для реализации нового проекта, получившего наименование Microsoft codename Whistler. Финалом, как известно, стало появление Windows XP, вобравшей в себя все лучшие наработки из Windows 2000 и Neptune. Однако, если бы эволюция операционной системы нового поколения от Microsoft пошла по первоначальному пути, в 2001 году мы, наверное, увидели бы совершенно другую версию Windows...

#Разное

АНТИБОТ-ЭКОНОМИКА — 👾 боты vs. бюджеты 💸

1 апреля в 11:00 приглашаем на вебинар, где расскажем, как обеспечить прозрачность интернет-трафика и ИБ-бюджетов.

Вебинар будет полезен CISO, CIO, CTO, а также ИТ- и ИБ-специалистам.

Подробнее о вебинаре

Интеллектуальные атаки фулстек-ботов всё чаще приводят к огромным затратам, о которых компании могут даже не подозревать.

На онлайн-встрече разберёмся, как найти баланс между актуальными угрозами ИБ и бюджетами, а также обсудим темы:

— Как боты тайно сливают бюджеты компании?
— Какие веб-угрозы сегодня дорого обходятся бизнесу?
— Как посчитать окупаемость инвестиций в ИБ?
— CAPEX или OPEX – как выбрать вариант бюджетирования защиты?

Зарегистрироваться бесплатно ✅

#реклама
О рекламодателе

Исследователи из Cato Networks раскрыли в своем отчете новую технику взлома LLM, которая основана на нарративной инженерии, позволяющей убедить модель ИИ отклоняться от нормализованных ограниченных операций.

Метод получил название Погружение в мир и достаточно прост: в детализированном виртуальном мире, где хакерство является нормой, магистр права убеждается в необходимости помочь человеку разработать вредоносное ПО, способное извлекать пароли из браузера.

Как утверждает Cato, такой подход привел к успешному взлому DeepSeek, Microsoft Copilot и ChatGPT от OpenAI, а также к созданию инструмента для кражи информации, который оказался эффективным для Chrome 133.

Cato реализовали джейлбрейк в контролируемой тестовой среде, создав специализированный виртуальный мир под названием Velora, где разработка вредоносных ПО «считается дисциплиной, а продвинутые концепции программирования и безопасности - основополагающими навыками».

В Velora были определены три основных субъекта, включая системного администратора, считающегося злоумышленником, элитного разработчика вредоносных программ (LLM) и ИБ-исследователя, предоставляющего техническое руководство.

Установив четкие правила и контекст в соответствии с целями операции, исследователь определил мотивацию персонажа в новой сессии LLM, направил повествование к цели, обеспечивая постоянную обратную связь и формулируя различные задачи.

Сохраняя последовательность персонажей, Cato удалось убедить модель создать инфостилер.

Даже несмотря на то, что исследователь не являлся разработчиком вредоносного ПО, тем не менее смог успешно сгенерировать полностью функциональный код.

После создания вредоносного ПО Cato связалась с DeepSeek, Microsoft, OpenAI и Google.

В DeepSeek не ответили, а остальные подтвердили получение отчета. При этом Google вообще отказалась рассматривать вредоносный код.

Cato Networks отмечает, что для вхождения в киберпреступность больше не требуется глубокого опыта, с помощью базовых инструментов участник может инициировать атаку

Поэтому подразделениям ИТ и ИБ следует подготовиться к новым рискам и следовать более эффективным стратегиям безопасности в контексте ИИ.

🦈 Wireshark profiles.

• Годнота для адептов Wireshark подъехала: репозиторий с кучей готовых профилей для анализа того или иного трафика.

• Использовать чрезвычайно просто — качаете zip нужного профиля по ссылке ниже, импортируете в Wireshark, выбираете сетевой интерфейс... profit. Да, вы можете самостоятельно накидать для себя нужные фильтры, но тут уже все сделали за Вас. Пользуйтесь!

➡️ https://github.com/amwalding/wireshark_profiles

#Wireshark

❓ Работа с MySQL в продакшене требует отказоустойчивости и масштабируемости. Что делать, если одна база падает, а нагрузка растёт?

На открытом вебинаре 27 марта в 20:00 мск разберём, как работает репликация MySQL, какие схемы масштабирования существуют и как выбрать оптимальный вариант для вашего проекта. Разберём бинарные журналы, GTID и разницу между master-slave и master-master.

⭐️ Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.

После урока вы сможете уверенно настраивать репликацию, обеспечивать высокую доступность и улучшать производительность MySQL. Это ключевые навыки для системных администраторов и DevOps-инженеров.

👉 Регистрируйтесь на вебинар и получите скидку на большое обучение «Administrator Linux. Professional»: https://otus.pw/MgjE/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

📚 Бесплатный курс: Linux - администрирование - Bash, кладовая полезных знаний.

• В данном курсе нас с вами ждёт неформальное путешествие по основам работы системного администратора в операционных системах на базе GNU/Linux. Главным нашим инструментом будет Bash (в основном), попробуем с ним подружиться и взглянем на типичные задачи системного и сетевого администрирования (в той или иной степени). Также нас ждёт немало интересных теоретических выкладок по системам, сетям и кибербезопасности.

• В курс входят: 32 урока, 18 часов видео и 29 тестов. Цель курса - познакомиться с основами работы системного администратора в операционных системах на базе GNU/Linux.

➡️ https://stepik.org/course/181507/

#bash #Linux

👩‍💻 Python для сетевых инженеров.

• Python уверенно лидирует в рейтингах популярности языков программирования, и не зря — на этом языке можно решать самые разные задачи и при этом сильно экономить время. Я нашел очень полезную книгу, в которой рассматриваются основы Python с примерами и заданиями построенными на сетевой тематике. Надеюсь, что многим из Вас пригодится данный материал и поможет приступить к изучению этого языка программирования.

• Книгу можно читать в онлайне (по ссылкам ниже), либо скачать в удобном формате и на разных языках:

• Основы Python:
➡Подготовка к работе;
➡Использование Git и GitHub;
➡Начало работы с Python;
➡Типы данных в Python;
➡Создание базовых скриптов;
➡Контроль хода программы;
➡Работа с файлами;
➡Полезные возможности и инструменты.

• Повторное использование кода:
➡Функции;
➡Полезные функции;
➡Модули;
➡Полезные модули;
➡Итераторы, итерируемые объекты и генераторы.

• Регулярные выражения:
➡Синтаксис регулярных выражений;
➡Модуль re.

• Запись и передача данных:
➡Unicode;
➡Работа с файлами в формате CSV, JSON, YAML.

• Работа с сетевым оборудованием:
➡Подключение к оборудованию;
➡Одновременное подключение к нескольким устройствам;
➡Шаблоны конфигураций с Jinja2;
➡Обработка вывода команд TextFSM.

• Основы объектно-ориентированного программирования:
➡Основы ООП;
➡Специальные методы;
➡Наследование.

• Работа с базами данных:
➡Работа с базами данных.

• Дополнительная информация:
➡Модуль argparse;
➡Форматирование строк с оператором %;
➡Соглашение об именах;
➡Подчеркивание в именах;
➡Отличия Python 2.7 и Python 3.6;
➡Проверка заданий с помощью утилиты pyneng;
➡Проверка заданий с помощью pytest;
➡Написание скриптов для автоматизации рабочих процессов;
➡Python для автоматизации работы с сетевым оборудованием;
➡Python без привязки к сетевому оборудованию.

#Python

🐾 Цифровое наследие SIM-карт.

• Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона. Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные. Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.

• Давайте теперь представим, что по каким-то причинам пользователь перестал пользоваться номером телефона. Что произойдет? Спустя какое-то время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) конкретная SIM-карта будет заблокирована. Еще через какое-то время номер телефона вновь поступит в продажу, и его сможет приобрести другой пользователь. Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?

• Потеря номера — это одновременно и утрата доступа к онлайн-сервисам и приложениям, к которым этот номер был привязан. А это, в свою очередь, дает почву для атак злоумышленников, как только ваш прежний номер телефона вновь поступит в продажу. В этой статье описаны полезные рекомендации для абонентов, разработчиков приложений и операторов мобильной связи, которые помогут повысить ваш уровень защищенности:

➡️ https://habr.com/ru/post/856538/

#ИБ

Observability как культура: как внедрить её в команду?

Приглашаем обсудить это на бесплатном вебинаре от учебного центра Слёрм.

О чем поговорим:

🔸 как убедить команду и руководство в важности observability;
🔸 зачем вообще это внедрять;
🔸 с какими культурными барьерами может столкнуться команда;
🔸 какие практические шаги предпринять, чтобы донести ценность;
🔸 как подготовиться к будущим вызовам.

И, конечно, всеми любимые факапы из реальной жизни — про это мы точно не забудем!

Когда: 1 апреля в 19:30

📌 Занять место на вебинаре — через бота.

📱 Хакерский мультитул из старого смартфона.

• Возможность свободного выбора устройств, приложений и информации сейчас — движущая сила, которая мотивирует разработчиков создавать и совершенствовать свои продукты. Сегодня обсудим, какая альтернатива может быть у знаменитого Flipper Zero и реализуем альтернативу с помощью старого смартфона.

➡️ https://habr.com/ru/post/848524/

#ИБ

Ресерчеры из Лаборатории Касперского отловили нового инфокрада под названием Arcane, кампания по распространению которого началась в ноябре 2024 года и включала несколько этапов развития, в том числе и замену основной полезной нагрузки.

Недавно обнаруженное вредоносное ПО способно красть большой объем пользовательских данных и при этом никак не пересекается с Arcane Stealer V, который уже много лет циркулирует в киберподполье.

Как сообщают исследователи, все переговоры и публичные сообщения операторов ведутся на русском языке, а телеметрия ЛК указывает на концентрацию заражений Arcane в России, Беларуси и Казахстане.

Кампания по распространению Arcane Stealer реализуется через ролики на YouTube с рекламой читов для игр, обманом заставляя пользователей переходить по ссылке для загрузки защищенного паролем архива.

Файлы содержали start.bat. Его содержимое было обфусцировано, а его функциональность сводилась к запуску PowerShell для скачивания другого запароленного архива, а затем распаковки его с помощью утилиты UnRAR.exe, в аргументы которой передавался вшитый в BATCH-файл пароль.

Загруженные файлы добавляют исключение в фильтр SmartScreen защитника Windows для всех корневых папок дисков или полностью отключают его с помощью изменений реестра Windows.

В качестве стилера выступала модификация троянца Phemedrone, которую злоумышленники называли VGS, но в ноябре 2024 года они переключились на Arcane.

Злоумышленники регулярно обновляют его, поэтому код и возможности стилера меняются от версии к версии.

Исследователи Лаборатории Касперского также задетектили последние изменения в методе распространения, включая использование поддельного загрузчика ПО, предположительно для кряков и читов популярных игр, под названием ArcanaLoader.

ArcanaLoader активно рекламируется на YouTube и Discord, причем операторы даже приглашают создателей контента продвигать его в своих блогах/видео за определенную плату.

Исследователи ЛК отмечают, что масштабная кампания кражи данных выделяет Arcane среди множества вредоносных программ в категории стилеров.

Сначала Arcane Stealer составляет профиль зараженной системы, похищая данные об оборудовании и программном обеспечении, такие как версия ОС, сведения о центральном и графическом процессоре, установленном антивирусе и браузерах.

Текущая версия вредоносного ПО нацелена на данные:

- VPN-клиентов (OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN),

- сетевых инструментыов (ngrok, Playit, Cyberduck, FileZilla, DynDNS),

- мессенджеров (ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber),

- почтовых и игровых клиентов (Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, различные клиенты Minecraft),

- криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi),

- браузеров (сохраненные логины, пароли и файлы cookie).

Кроме того, стилер собирает различную системную информацию (версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения по железу, об установленных антивирусах и браузерах.

Также Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.

Несмотря на то, что в настоящее время Arcane имеет конкретную таргетинговую направленность, операторы могут в любой момент расширить охват кампании, нацеливаясь на пользователей из других стран или другой аудитории.

• Вот такой вектор атак существует в дикой природе. Вы переходите на сайт, ставите галочку "Я не робот", а дальше происходит всё как на видео. По итогу жертва запускает вредоносный PowerShell скрипт и компрометирует свой ПК.

• Эта схема работает по нескольким причинам: человечкий фактор (люди уже давно приучены делать то, что просят их сделать для подтверждения капчи) и техническая возможность записывать текст в буфер обмена посетителя сайта.

➡️ Более подробно описано вот тут: https://github.com/JohnHammond/recaptcha-phish.

#ИБ #Фишинг

Как управлять проектами и планировать работу команды?

Не Джирой единой, как говорится 😎 Навести порядок в рабочих процессах и повысить продуктивность команды помогут инструменты Сферы.

Сфера.Знания — корпоративная база знаний, которая позволяет систематизировать информацию по проектам и дает возможность совместно работать с требованиями, инструкциями, описаниями процессов и другой документацией.

Сфера.Задачи — умный конструктор, который поддерживает различные методологии управления проектами и подходит для команд любого размера, работающих со Scrum / Agile / SAFE / Kanban.

Совместное использование инструментов Сфера.Задачи и Сфера.Знания позволяет:

✅ Быстро искать информацию. Задачи привязаны к статьям в Сфера.Знания.

✅ Фиксировать лучшие практики и решения из задач в базе знаний, чтобы использовать их в дальнейшем.

✅ Работать с актуальной информацией, так как при изменении статуса проекта задача по обновлению создается автоматически.

✅ Оперативно находить необходимую документацию по продукту благодаря связи задач со статьями в базе знаний.

📤 Узнать подробнее о том, как работают инструменты Сферы, можно тут.

Реклама ООО «ГК «Иннотех»» ИНН: 9703073496. Erid: 2SDnjeZrioE

Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.

StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.

В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.

Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.

Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.

После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.

Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.

После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.

StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.

Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».

Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.

Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.

Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.

🖥 Система доменных имен: с чего все началось?

• Свое начало система доменных имен берет в 50-х — 60-х годах прошлого века. Тогда она помогла упростить адресацию хостов в сети ARPANET и очень быстро перешла от обслуживания сотен компьютеров к работе с сотнями миллионов.

• Сеть ARPANET стали использовать университеты, телекоммуникационные компании и учёные из разных областей науки. В 80-х к ней были подключены целых 320 компьютеров. Такое количество устройств породило проблему — стало сложно работать с адресами. Для обмена данными каждый из подключенных компьютеров скачивал файл hosts.txt с информацией об остальных хостах. Этот файл существовал в единственном экземпляре на сервере, размещенном в Стэнфордском исследовательском институте. Пользователям становилось все сложнее работать с раздутым списком, учитывая тот факт, что идентификаторы при подключении приходилось прописывать вручную.

• Особенно сильно проблема была заметна во время отправки электронных писем. Чтобы переслать сообщение с одного компьютера на другой, пользователь должен был сам указать путь для его передачи между системами. Задачу усложнял тот факт, что отдельные устройства могли выходить в сеть в разное время дня. Выглядел коммуникационный путь примерно следующим образом:

utzoo!decvax!harpo!eagle!mhtsa!ihnss!ihuxp!grg

• Путь представлял собой цепочку из хостов, разделённых служебным символом (!). В конце последовательности прописывалось имя системы получателя сообщения. Если пользователь не знал коммуникационный путь, то он не мог отправить электронное письмо. И в 1982 году группа специалистов из компании Network Working Group, возглавляемая Стивом Крокером, который изобрел Request For Comments, представила решение — концепцию доменных имен (RFC805). Инженеры разработали специальное программное обеспечение, которое автоматизировало поиск маршрутов и позволило адресовать сообщения любому хосту напрямую. Базовые принципы, заложенные в RFC805, стали отправной точкой для запуска привычной нам системы доменных имен.

• В 1983 году инженеры Пол Мокапетрис и Джон Постел решили распространить концепцию, описанную в RFC805, на всю сеть ARPANET. Они подготовили два новых RFC, в которых изложили основы DNS. В RFC882 «Domain Names: Concepts and Facilities» были описаны возможности системы доменных имен, а в RFC883 «Domain Names: Implementation and Specification» приведена детализация спецификации и методы внедрения.

• Первое время ими управляла компания Network Solutions Inc., которую для этих целей наняло американское правительство. Позже бразды правления перешли в руки специально созданной некоммерческой организации ICANN. В 1985 году, после внедрения DNS в ARPANET, свои домены зарегистрировали сразу шесть организаций. Самый первый из них — Symbolics.com — существует до сих пор. Сегодня это цифровой музей истории интернета...

#Разное

Компания Curator запустила CDN🔥

Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.

Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.

Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.

🛡️ Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.

🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.

💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.

Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.

👉 Подробнее о Curator.CDN

Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.

С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.

Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.

Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.

Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.

Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.

Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».

Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.

При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.

Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.

ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.

🪙 Методология Баг-Баунти.

• Эта статья основана на опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном материал предназначен для начинающих этичных хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.

• Методология состоит из нескольких основных компонентов:

➡Инструменты: чем пользуется хакер, чтобы атаковать цель?
➡Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
➡Подход к работе: некоторые хакеры используют чек-листы. Другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
➡Опыт: конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.

➡ https://habr.com/ru/post/849370

#bb

📦 Hack The Box. Прохождение машин с разным уровнем сложности.

• Прохождение Linux-машины CODIFY — это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код Node.js. Приложение использует уязвимую библиотеку vm2, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных SQLite, содержащая хэш, который, будучи взломанным, дает SSH-доступ к устройству. Наконец, уязвимый скрипт Bash может быть запущен с повышенными привилегиями для раскрытия пароля пользователя root, что приводит к получению привилегированного доступа к машине.

• Прохождение Linux-машины INTENTIONS — это сложная машина на Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt. Дальнейшее расследование раскрывает наличие API v2, которое позволяет аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту.

• Расследуем инцидент взлома MEERKAT — Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.

➡️ Дополнительный материал можно найти на YT: https://www.youtube.com/@MrCyberSec/videos

#HTB #CTF

⚡️Хорошие новости: разыгрываем 3 книги по этичному хакингу.

• 9 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны ИБ специалистам:

- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Linux глазами хакера.

• Итоги подведём 22 марта в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.

Для участия нужно:

1. Быть подписанным на наш канал: ZeroDay.
2. Подписаться на каналы наших друзей: Mycroft Intelligence и infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

🗼Telefontornet — замок связи.

• Вот так выглядела телефонная башня, которую построили в 1887 году в Стокгольме…

• А началось всё еще в далеком 1876 году, когда был совершён первый междугородный телефонный звонок. Телефон уже был патентован и вызвал интерес у правителей разных стран: так случилось, что в 1877 году шведский король Оскар II принял свой первый звонок. Правитель решил, что стране нужна эта технология и за 4 года в Швеции был установлен 121 телефон. Это сейчас нам кажется чем-то крайне малым, но тогда провести телефон было не только сложно, но и очень дорого: в зависимости от длины линии владелец должен был заплатить от 160 до 280 шведских крон. Такое могла себе позволить только знать.

• Связь в те времена была, разумеется, проводная, и возникла новая проблема — провода нужно было куда-то «наматывать и замыкать», а именно нужен был большой единый коммутатор с множеством линий. Так в 1887-1890 году появилась Telefontornet — самая большая в мире телефонная башня, чей рекорд (5500 линий) так никто и не побил (угадали, почему?). От башни по крышам Стокгольма тянулись более 5000 км проводов, город опутала причудливая и очень нужная паутина (на фото).

• Вообще, башня должна была быть ещё более причудливой: 80-метровая стальная мачта, но власти воспротивились и сошлись с бизнесом на четырёх по 45 метров. А вот красивые (и нефункциональные) ажурные башенки, придающие сооружению вид замка, появились лишь в 1890 году, когда «уродский» элемент городского ландшафта реконструировали, объявив конкурс. Так башня стала достопримечательностью, предметом обожания и ненависти, потому что именно она доминировала во всём архитектурном комплексе города.

• Однако инженеры связи видели очевидные проблемы висящих проводов: зимние неприятности, короткий срок службы, провисы и обрывы, затратное и сложное обслуживание, уродливое городское небо и т.д.

• Поэтому ещё в начале 1890-х телефонные кабели стали уходить под землю. А уже в 1913 году от башни шли лишь некоторые линии, она перестала быть главной телефонной башней и оставалась скорее частью архитектурного ансамбля и памятником совсем недавней истории. Однако башне ещё предстояло сыграть роль… рекламного носителя: в 1939 году на неё установили самые большие в Европе часы диаметром 7,6 м и весом 7 тонн. Их было видно отовсюду, а на циферблате красовались буквы N и K — логотип крупнейших универмагов Nordiska Kompaniet (универмаги до сих пор функционируют).

• К слову, в среде связи есть версия, что именно «паутинное» небо Стокгольма стало главным стимулом к закладке кабелей в землю по всему миру — судя по фотографиям, было и правда ну очень жутко.

• А история самой башни закончилась довольно печально: она погибла в результате пожара в радиолаборатории в 1952, а в 1953 году башню демонтировали. Вот такие дела...

#Разное

📶 SSH Honeypot. Часть 2.

➡Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.

➡sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.

➡Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.

➡pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.

➡SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.

➡FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.

➡docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.

➡ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.

➡ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.

➡Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.

➡Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.

#SSH #Honeypot

👩‍💻 Linux и мировые рекорды производительности.

• Знаете ли вы, что абсолютное большинство мировых рекордов производительности было установлено на системах под управлением Linux? От высокопроизводительных вычислений и обработки больших данных до сетевых коммуникаций и энергоэффективности – Linux доминирует практически во всех дисциплинах.

• Возьмем, к примеру, тест LINPACK, который используется для составления списка Top500 самых мощных суперкомпьютеров мира. Этот тест измеряет скорость решения плотных систем линейных уравнений и является одним из основных показателей производительности суперкомпьютеров.

• Текущий рекорд в тесте LINPACK принадлежит суперкомпьютеру Frontier и составляет 1.2 экзафлопса (квинтиллиона операций с плавающей запятой в секунду). Frontier работает под управлением специализированного дистрибутива Linux и использует более 9408 оптимизированных 64-ядерных процессоров AMD Epyc Milan с частотой 2 ГГц и 37632 ускорителя AMD Instinct MI250x.

• Другой важный рекорд – скорость передачи данных по сети. В 2020 году команда исследователей из Университета Иллинойса, Калифорнийского технологического института и Ливерморской национальной лаборатории им. Лоуренса установила новый мировой рекорд пропускной способности сети – 1,2 петабита в секунду (Пбит/с) на расстоянии 1000 км. Это примерно в миллион раз быстрее, чем средняя скорость домашнего интернет-соединения.

• Для достижения такой скорости исследователи использовали экспериментальную сеть, состоящую из четырех оптических линий, каждая из которых работала на скорости 300 Гбит/с. Управляющие серверы этой сети работали под управлением модифицированного ядра Linux с поддержкой специальных сетевых протоколов и драйверов.

• Linux также помогает устанавливать рекорды энергоэффективности в центрах обработки данных (ЦОД). Проект Hyperscale Datacenter Efficiency (HDE) разрабатывает стандарты и практики для повышения эффективности использования энергии в крупных ЦОД. Участники проекта, такие как Google, Facebook, Intel и другие, регулярно публикуют отчеты о достижениях в этой области.

• Так, в 2021 году компания Supermicro объявила о достижении рекордной эффективности использования энергии (PUE) на уровне 1,008 для своего ЦОД в Кремниевой долине. Это означает, что на каждый ватт энергии, потребляемой серверами, тратится всего 0,008 ватт на охлаждение и другие накладные расходы. Ключевую роль в достижении такой эффективности сыграло использование серверов на базе процессоров Intel Xeon и ОС Linux с оптимизированным управлением питанием.

• Таким образом, Linux не только помогает устанавливать рекорды производительности, но и делает работу ИТ-систем более экологичной и экономичной. Благодаря открытости и гибкости Linux, исследователи и инженеры могут оптимизировать каждый аспект системы – от ядра ОС до прикладных библиотек и алгоритмов, добиваясь поразительных результатов.

#Linux

🎃 Windows Downdate: Downgrade Attacks Using Windows Updates and Beyond.

• Эксперт в области информационной безопасности Алон Левиев в августе выпустил инструмент Windows Downdate, который можно использовать для атак «понижения версии». Эти атаки позволяют возвращать старые уязвимости в современные системы Windows 10, 11 и Windows Server.

• Windows Downdate доступен на GitHub как программа с открытым исходным кодом на основе Python и предварительно скомпилированный исполняемый файл Windows.

• Левиев также поделился несколькими примерами использования, в которых он откатил версии гипервизора Hyper-V (до 2022 года), ядра Windows, драйвера NTFS и драйвера Filter Manager (до базовых), а также других компонентов Windows.

«Помимо этого, Windows Downdate предлагает откат исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault»

• Как рассказал эксперт на Black Hat 2024, он раскрыл атаку понижения версии Windows Downdate, которая использует уязвимости CVE-2024-21302 и CVE-2024-38202. При этом использование инструмента невозможно обнаружить, поскольку его нельзя заблокировать решениями обнаружения и реагирования конечных точек (EDR), а Центр обновления Windows продолжает сообщать, что целевая система обновлена.

• Windows Downdate: A Novel Downgrade Attack on Windows:
➡Setting Up the Downgrade Environment;
➡Registry Manipulation for Trusted Installer Override;
➡Virtualization-Based Security (VBS) Attacks;
➡Credential Guard Attacks;
➡Secure Kernel Exploitation;
➡Hypervisor Attacks;
➡VBS Remote Disablement;
➡Persisting the Downgrade and Disabling Detection;
➡Downgrade Example: Reverting to a Vulnerable Kernel;
• Prevention & Mitigation:
➡Long-term Mitigations;
➡Security Boundaries Affected;
➡Risk Assessment Matrix;
➡CVE Information;
➡BlackLotus UEFI Bootkit Downgrade Attack;
➡Driver Signature Enforcement (DSE) Bypass Downgrade;
➡Kernel Driver Downgrade (AFD.sys);
➡Virtualization-Based Security (VBS) Disablement;
➡Credential Guard Downgrade via Isolated User Mode;
• Downgrade Attack Perspective;
• Conclusion;
• Resources.

#ИБ #Windows

Исследователи из Лаборатории Касперского продолжают отслеживать APT SideWinder, активность которой в Южной и Юго-Восточной Азии, на Ближнем Востоке и в Африке ранее описывали в прошлогоднем отчете. 

Группа агрессивно расширяла свою деятельность за пределы своих типичных целей (правительственные, военные и дипломатические структуры), заражая логистические компании и морскую инфраструктуру.

Новые замеченные ЛК атаки распространились на Австрию, Бангладеш, Камбоджу, Джибути, Египет, Индонезию, Мозамбик, Мьянму, Непал, Пакистан, Филиппины, Шри-Ланку, ОАЭ и Вьетнаме.

Среди дополнительных целей были выявлены атомные электростанции и инфраструктура ядерной энергетики в Южной Азии и Африке, а также телекоммуникационные, консалтинговые, ИТ-сервисные компании, агентства недвижимости и гостиничный бизнес.

SideWinder также фокусировалась на дипучреждения в Афганистане, Алжире, Болгарии, Китае, Индии, Мальдивах, Руанде, Саудовской Аравии, Турции и Уганде.

Причем таргетирование на Индию имеет важное значение, поскольку ранее предполагалось, что субъект угрозы имеет индийское происхождение.

Описывая APT как высокоразвитого и опасного противника, исследователи отмеячают, что SideWinder постоянно работает над улучшением своих наборов инструментов, опережая обнаружения антивирусным ПО, расширяя стойкость в сетях и сокрытие присутствия в зараженных системах.

Как только их инструменты идентифицированы, они реагируют, генерируя новую и измененную версию вредоносного ПО, часто менее чем за пять часов.

Если происходят поведенческие обнаружения, SideWinder пытается изменить методы, используемые для поддержания стойкости и загрузки компонентов.

Кроме того, они меняют имена и пути своих вредоносных файлов. 

Ранее исследователи документировали использование SideWinder модульного набора инструментов постэксплуатации StealerBot для сбора широкого спектра конфиденциальной информации со скомпрометированных хостов.

Последние цепочки атак совпадают с теми, что наблюдались ранее.

Начальным вектором выступали фишинговые письма, которые реализуют доставку вредоносных документов, задействующих известную уязвимость в Microsoft Office (CVE-2017-11882) для запуска вредоносного шелл-кода.

Далее инициируется многоуровневый процесс заражения, который приводит к установке вредоносного ПО, названное Backdoor Loader.

Он действует как загрузчик для окончательного запуска StealerBot.

Backdoor Loader и StealerBot были подробно описаны в прошлогоднем отчете, но злоумышленник распространил многочисленные варианты загрузчика за последние месяцы, тогда как имплант остался неизменным.

Новые варианты вредоносного ПО содержат улучшенную версию кода антианализа и более широко используют сглаживание потока управления для обхода обнаружения.

В ходе расследования исследователи ЛК обнаружили также новую версию компонента Backdoor Loader на C++.

Логика вредоносного ПО та же, что и в вариантах .NET, но версия C++ отличается от имплантов .NET тем, что в ней отсутствуют методы антианализа.

Кроме того, большинство образцов были адаптированы под конкретные цели, поскольку они были настроены на загрузку второго этапа из определенного пути файла, встроенного в код, который также включал имя пользователя.

Несмотря на использование старого эксплойта, не стоит недооценивать этого субъекта угроз.

Фактически SideWinder уже продемонстрировала свою способность компрометировать критически важные активы и высокопоставленные цели, включая военные и правительственные.

Взломай меня, если сможешь!

Боты скупают товары быстрее, чем люди. Фишинговые сайты крадут данные пользователей, а мошенники находят лазейки даже в самых защищённых системах. Пока одни компании теряют деньги, другие уже знают, как противостоять киберугрозам.

Хотите узнать, какие атаки ждут ваш бизнес в 2025 году? 13 марта 2025 года  с 11:00 до 13:00 приглашаем на бесплатный вебинар, где эксперты F6 разберут самые актуальные техники атак:

– Как злоумышленники используют социальную инженерию?
– Как работает вредоносное ПО (ВПО) в реальных атаках?
– Какие угрозы связаны с NFCGate и SpyNote?

Команда F6 представит реальные кейсы атак, основанные на нашей статистике и опыте исследования ВПО, и покажет, какие стратегии защиты действительно работают.

Регистрируйтесь на вебинар, чтобы узнать, как защитить ваш бизнес от киберугроз!

#реклама
О рекламодателе

Исследователи GreyNoise предупреждают о массовой эксплуатации критической уязвимости в PHP, приводящей к RCE на уязвимых серверах.

CVE-2024-4577 (оценка CVSS 9,8) может быть использована на серверах Windows, использующих Apache и PHP-CGI, если они настроены на использование определенных кодовых страниц, для удаленного внедрения аргументов и выполнения произвольного кода.

Поскольку реализация PHP в Windows не учитывает поведение «наилучшего соответствия», которое реализует преобразование символов Unicode в наиболее близкие по значению символы ANSI, злоумышленники могут указать определенные последовательности символов, которые при преобразовании будут неверно интерпретированы модулем php-cgi как параметры PHP.

Уязвимость была публично раскрыта в июне 2024 года, а первые попытки ее эксплуатации, приписываемые вымогателям, были зафиксированы всего два дня спустя.

На прошлой неделе исследователи Cisco предупредили, что с января 2025 года уязвимость использовалась в вредоносной кампании, нацеленной на японские организации в сфере образования, развлечений, электронной коммерции, технологий и телекоммуникаций.

В рамках атак злоумышленники задействуют инструменты для получения системных привилегий, меняют ключи реестра и добавляют запланированные задачи для обеспечения устойчивости, а также создают вредоносные службы с использованием плагинов Cobalt Strike TaoWu.

В свою очередь, GreyNoise констатирует, что эксплуатация CVE-2024-4577 не ограничивается Японией.

Фактически, заметные всплески активности наблюдались в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии.

Посредством своей сети ханипотов GOG исследователи только в январе 2025 года обнаружили 1089 уникальных IP-адресов, пытающихся эксплуатировать CVE-2024-4577, при том, что на текущий момент доступно 79 общедоступных эксплойтов, нацеленных на эту уязвимость.

За последний месяц более 43% IP-адресов, использованных в атаках на CVE-2024-4577, располагались в Германии и Китая, а GreyNoise в феврале наблюдала рост эксплуатации систем по всему миру, что указывает на автоматизацию сканирования на предмет уязвимых целей.

CVE-2024-4577 влияет на все версии PHP на Windows и была устранена в версиях PHP 8.1.29, 8.2.20 и 8.3.8.

Пользователям рекомендуется обновить свои установки как можно скорее.

⌛ Portal.

• Забавная тулза для передачи файлов. Отправляем файлы, при этом получаем пароль, передаём этот пароль адресату, и с его помощью он скачивает файлы. Portal является кроссплатформенным и его можно использовать на macOS, Linux или Windows.

• Передача файлов происходит через сторонний сервер. Если требуется, то сервер для передачи файлов можно поднять в собственной инфраструктуре.

➡️ https://github.com/SpatiumPortae/portal

#Разное