S.E.Book

• Популярность Kubernetes растет, порог входа снижается, но вопросам безопасности порой оказывают недостаточное внимание. • KubeHound - это как Bloodhound, но только для Kubernetes. Тулза предназначена для построения графов и вычисления путей атак для компрометации кластера. Принцип работы следующий: ➡KubeHound анализирует Kubernetes-кластер; ➡Собирает данные о ролях, привязках, сервисных аккаунтах, настройках Pod и сетевых политиках; ➡Формирует граф атак, определяя цепочки эксплуатации, показывая найденные уязвимости и их комбинации. ➡Выводит отчет, выделяя риски и рекомендациями по исправлению. • Куча дополнительной информации по использованию KubeHound можно найти по ссылкам ниже: ➡️ https://github.com/DataDog/KubeHound ➡️ https://kubehound.io #Kubernetes

📶 Как максимальной единицей передачи информации в интернете стали 1500 байт. • Ethernet повсюду, и десятки тысяч производителей выпускают оборудование с его поддержкой. Однако почти у всех этих устройств есть одно общее число – MTU (Maximum Transmission Unit) [максимальная единица передачи] определяет максимальный размер отдельного пакета данных. В общем случае, когда вы обмениваетесь сообщениями с устройствами вашей LAN, MTU будет иметь размер порядка 1500 байт, а весь интернет почти целиком тоже работает с размером 1500 Б. Однако это не означает, что эти технологии связи не могут передавать пакетов большего размера. • К примеру, у 802.11 MTU равен 2304 б, а если ваша сеть использует FDDI, тогда ваш MTU равен 4352 б. У самого Ethernet есть концепция «гигантских кадров», когда MTU можно назначить размер до 9000 б (при поддержке такого режима NIC, коммутаторами и роутерами). • Однако в интернете это не особенно нужно. Поскольку основные магистрали интернета в основном состоят из соединений Ethernet, де-факто неофициальный максимальный размер пакета выставлен в 1500 Б, чтобы избежать фрагментации пакетов на других устройствах. • Само по себе число 1500 странное – можно было бы ожидать, что константы в мире компьютеров будут основаны на степенях двойки, например. Так откуда взялись 1500 Б и почему мы их до сих пор используем? • Первый большой прорыв Ethernet в мир произошёл в форме стандартов 10BASE-2 (тонкий Ethernet) и 10BASE-5 (толстый Ethernet), числа в которых говорят о том, сколько сотен метров может покрывать отдельный сегмент сети. • Поскольку в то время конкурирующих протоколов было множество, а у железа имелись свои ограничения, создатель формата признаёт, что требования к памяти буфера пакетов сыграли свою роль в появлении волшебного числа 1500:

Оглядываясь назад, становится ясно, что максимум большего размера, возможно, был бы лучшим решением, однако если бы мы увеличили стоимость NIC (сетевых контроллеров) на ранних этапах, это не дало бы Ethernet так широко распространиться.

• Однако это не вся история. В исследовании «Ethernet: распределённая коммутация пакетов в локальных компьютерных сетях» 1980 года приведён один из ранних анализов эффективности использования в сетях пакетов большого размера. В то время это было особенно важно для сетей Ethernet, поскольку те либо могли соединять все системы одним коаксиальным кабелем, либо состоять из хабов, способных в один момент времени отправлять по одному пакету для всех узлов одного сегмента. • Нужно было выбрать число, которое давало бы не слишком высокие задержки при передаче сообщений в сегментах (иногда довольно загруженных), и при этом не слишком бы увеличивало число пакетов. Судя по всему, инженеры в то время выбрали число 1500 Б (около 12000 бит) как наиболее «безопасный» вариант. • С тех пор появлялись и исчезали различные другие системы передачи сообщений, однако среди них самое низкое значение MTU было у Ethernet с его 1500 Б. Превышать минимальное значение MTU в сети – значит, либо вызывать фрагментацию пакетов, либо заниматься PMTUD [поиск максимального размера пакета для выбранного пути]. У обоих вариантов были свои особые проблемы. Даже если иногда крупные производители ОС опускали значение MTU ещё ниже. #Разное

Исследователи Zimperium сообщают о новой вредоносной ПО для Android, получившей название DroidLock, которая способна блокировать экраны жертв и выводить требования выкупа, одновременно получая доступ к широкому кругу данных. Фактически DroidLLock позволяет оператору получить полный контроль над устройством через систему совместного доступа VNC, а также выкрасть графический ключ блокировки устройства, наложив его на экран. По данным Zimperium, вредоносное ПО нацелено на испаноязычных пользователей и распространяется через вредоносные веб-сайты с рекламой фейковых приложений, иммигрирующих под легитимные программы. Заражение начинается с загрузчика, который обманом заставляет пользователя установить дополнительную полезную нагрузку, содержащую собственно вредоносное ПО. Вредоносные приложения внедряют основную полезную нагрузку посредством запроса на обновление, а затем запрашивают разрешения администратора устройства и службы специальных возможностей, что позволяет им совершать мошеннические действия. Среди возможных действий - стирание данных с устройства, блокировка, изменение PIN-кода, пароля или биометрических данных для предотвращения доступа пользователя к устройству. Анализ Zimperium позволил выделить у DroidLock поддержку 15 команд, позволяющих отправлять уведомления, размещать наложение на экране, отключать звук устройства, сбрасывать настройки до заводских, запускать камеру или удалять приложения. Внешнее окно программы-вымогателя отображается через WebView сразу после получения соответствующей команды, инструктируя жертву связаться с злоумышленником по адресу электронной почты на Proton. Владельцу девайса предъявляются требования по уплате выкупа в течение 24 часов, в противном случае операторы угрожают безвозвратно уничтожить файлы. При этом в Zimperium поясняют, что DroidLock не шифрует файлы, но, угрожая их уничтожением без выкупа, достигает той же цели. Кроме того, злоумышленник может заблокировать доступ к устройству, изменив код блокировки. DroidLock способен красть графический ключ блокировки с помощью другого наложения, загруженного из ресурсов вредоносного APK-файла. Когда пользователь рисует графический ключ на клонированном интерфейсе, он отправляет его напрямую злоумышленнику. Цель этой функции - обеспечить удаленный доступ к устройству через VNC в периоды простоя. Будучи членом альянса Google App Defense Alliance, Zimperium поделилась своими результатами с командой безопасности Android, благодаря чему Play Protect теперь обнаруживает и блокирует эту угрозу на современных устройствах. Полный список МОК доступен в этом репозитории.

👨‍💻 GOAD (Game Of Active Directory). • GOAD — это лаборатория, которая предоставляет заведомо уязвимую среду Active Directory, готовую к использованию для отработки обычных методов атак. Сразу стоит отметить, что для развертывания всей лабы понадобится не мало ресурсов (более 70 гб. места и 20 гб. оперативки), об этом даже написано на сайте с документацией. • Сама лаборатория состоит примерно из 30 частей. Вот темы, с которыми вы столкнетесь при прохождении GOAD: ➡Разведка и сканирование; ➡Поиск пользователей; ➡Перечисление пользователей; ➡Relay атаки; ➡Продвижение, когда есть доменный пользователь; ➡ADCS; ➡MSSQL; ➡Повышение привилегий; ➡Боковое перемещение; ➡Дамп кредов; ➡Делегирование; ➡ACL; ➡Трастовые отношения. • Отмечу, что прохождение по каждой части можно найти вот тут: https://mayfly277.github.io/categories/goad. Также, в описании имеются все необходимые команды и пошаговая инструкция для их выполнения со скринами и пояснениями: ➡️ https://github.com/Orange-Cyberdefense/GOAD/ #Пентест #AD

В 2025 году количество атак на малые и средние финкомпании выросло более чем в два раза По данным Банка России, фишинг, опасные вложения и компрометация учетных записей сотрудников остаются главными причинами инцидентов в финансовом секторе. На картинке — типовой сценарий такой атаки. Группировка ComicForm рассылала вредоносные архивы под видом «Акта сверки» и «Контракта», заражая устройства стилером FormBook, чтобы получать доступ к платежным данным и внутренним сервисам. Start AWR Lite помогает финкомпаниям снижать риск таких инцидентов: обучает сотрудников распознавать фишинг и вредоносные вложения, сокращает операционные риски и упрощает прохождение проверок регуляторов. 👉🏻 Получите две недели бесплатного доступа к платформе #реклама О рекламодателе

🖱 26 лет назад Microsoft навсегда изменила то, как мы используем мышь. • Если вы работали на компьютере пару десятилетий назад, вы наверняка помните, что мышки в то время были шариковыми (на фото). Да, они работали, как и должны были, но минусом таскания тяжёлого шара было то, что он собирал на себя грязь, накапливавшуюся в устройстве, забивавшую датчики и быстро приводившую к тому, что манипулятор – и мой курсор — начинал работать с перебоями. Меня это ужасно раздражало. Мелкие движения мыши, необходимые для точной работы в Photoshop, не срабатывали, и я должен признаться в том, что довольно часто бил мышкой по столу в негодовании (ведь такой подход всегда решает технические проблемы, не так ли?) • Всё изменилось в апреле 1999 года, когда на выставке COMDEX (уже не проводящейся) в Лас-Вегасе, Microsoft представила свою IntelliMouse Explorer: мышь, поменявшую загрязняющийся катящийся шарик на светодиоды и цифровую камеру, способную оптически отслеживать движения мыши с чрезвычайной точностью. • Не помню, где я впервые увидел упоминание о IntelliMouse Explorer – весьма вероятно, что упоминание о ней появилось в каком то из ИТ журналов. Но когда её начали продавать через несколько месяцев, в октябре, я был в числе первых в очереди. Она стоила около $100 и была чрезвычайно дорогой для компьютерной мыши, но в тот момент я бы отдал свою почку за такой апгрейд. • Microsoft была далеко не первой компанией, встроившей оптическое отслеживание в мышь. Такой подход появился ещё в 1980, когда пара изобретателей придумала два различных подхода к отслеживанию движений мыши при помощи обработки изображений. Впервые в продажу эта технология пошла в комплекте с офисным компьютером Xerox STAR в 1981 году, однако его ценник в $16 500 (на тот момент времени) – говорил о том, что это был компьютер только для предприятий. Несколько десятилетий спустя такие компании, как Sun Microsystems, оснащали свои настолько же дорогие сервера и рабочие станции мышью с лазерным датчиком, однако для их использования часто требовались специальные отражающие коврики. Средний пользователь не хотел прыгать через все эти обручи. • IntelliMouse Explorer от Microsoft, сделанная на основе технологии, разработанной в Hewlett-Packard, имела ценник, оправданный даже для таких стеснённых в средствах студентов, каким был я. Кроме того, нижняя часть мыши была полностью герметичной, что не давало даже пылинке проникнуть в её внутренности, а улучшения по сравнению с предшественниками позволяли ей работать почти на любой, не слишком сильно отражающей поверхности. • Кроме изменившего всё оптического датчика, у IntelliMouse Explorer была парочка дополнительных программируемых кнопок, что вначале казалось ненужным, но вскоре стало незаменимым для просмотра веб-страниц, позволяя мне быстро прыгать вперёд и назад между сайтами (вкладки тогда ещё не придумали). У конкурентов Microsoft ушло немного времени на то, чтобы вслед за ней представить и свои оптические мыши. Мышь от Apple появилась через год, в 2000-м, а в 2004 Logitech выпустила лазерную мышь. Далее настала эпоха мышек с огромным количеством дополнительных кнопок и такой подход стал стандартом для индустрии, а компании начали соревноваться друг с другом за наиболее точную технологию оптического отслеживания, чтобы угодить привередливым геймерам на ПК. ➡️ https://gizmodo.com/microsoft-changed-how-we-mouse-forever #Разное

• На хабре недавно был опубликован очень содержательный гайд по настройке рабочего окружения: Linux, VScode, Python. Если используете Linux, то уверяю, что вы найдете для себя очень много полезной информации. Ну и не забывайте про комменты, там есть интересные мнения и информация от других пользователей по настройке окружения: ➡️ https://habr.com/ru/post/916040/ #Linux

GreyNoise отслеживает кампанию, нацеленную на порталы Palo Alto GlobalProtect с попытками входа в систему и запуском сканирования конечных точек API SonicWall SonicOS. Активность началась 2 декабря и исходила с более чем 7000 IP-адресов из инфраструктуры, которой управляет немецкая IT-компания 3xK GmbH, которая управляет собственной сетью BGP (AS200373) и выступает в качестве хостинг-провайдера. Изначально злоумышленник атаковал порталы GlobalProtect, используя методы подбора и попытки входа в систему, а затем переключился на сканирование конечных точек API SonicWall. По данным GreyNoise, попытки входа в систему GlobalProtect были направлены на два профиля в сенсорной сети компании для пассивного захвата сканирования и эксплуатации. Исследователи утверждают, что для всплеска использовались фингерпринты трех клиентов, ранее зафиксированные при попытках сканирования в период с конца сентября по середину октября. В прошлом эта активность исходила от четырех ASN, не имевших истории вредоносной активности, и генерировала более 9 млн. не поддающихся подмене HTTP-сеансов, в основном направленных на порталы GlobalProtect. В середине ноября GreyNoise также фиксировала активность инфраструктуры 3xK Tech GmbH, сканирующей VPN-порталы GlobalProtect c 2,3 млн. сеансов сканирования. Большинство атакующих IP (62%) находились в Германии и использовали те же самые отпечатки TCP/JA4t. На основании проанализированных показателей компания уверенно приписывает оба вида деятельности одному и тому же субъекту. Затем 3 декабря те же три фингерпринта детектировались при сканировании активности, нацеленной уже на SonicWall SonicOS API. Вредоносное сканирование этих конечных точек обычно проводится для выявления уязвимостей и ошибок конфигурации. GreyNoise ранее отмечала, что такое сканирование также позволяет обнаружить уязвимую инфраструктуру для подготовки к потенциальной эксплуатации будущих уязвимостей. По этой причине защитникам рекомендуется отслеживать IP-адреса, связанные с этим типом деятельности, и блокировать их. Также рекомендуется отслеживать аутентификации на предмет аномальной скорости/повторяющихся сбоев, отслеживать повторяющиеся клиентские фингерпринты и использовать динамическую, контекстно-зависимую блокировку вместо статических списков репутации. В свою очередь, Palo Alto Networks заявила, что обнаружила усиление сканирования, нацеленного на интерфейсы GlobalProtect, и подтвердила, что это «атаки на основе учетных данных, а не эксплуатация уязвимости ПО». Так или иначе, Palo Alto Networks рекомендовала клиентам использовать MFA для защиты от несанкционированного использования учетных данных.

• Microsoft выкатили в открытый доступ обновление инструмента WSL 2.6.0 (Windows Subsystem for Linux — Windows для Linux, WSL), которое позволяет запускать Linux‑приложения в Windows. Версия 2.6.0 проекта помечена как первый выпуск после открытия исходного кода под лицензией MIT применяемых в WSL утилит командной строки, фоновых процессов для Linux‑окружений и сервисов для запуска виртуальной машины. До этого был открыт код компонентов WSL, связанных с ядром Linux и графическим стеком wslg, а весь сопутствующий инструментарий являлся проприетарным. • По итогу имеем интеграцию с хостовой Виндой - можно лезть друг к другу в директории как к себе домой, это работает в обе стороны. systemd теперь есть, опять же. Поддержка Docker максимально полная. У дистрибутивов Linux так же есть доступ к видеокарте, можно нейронки гонять. За счет возможности запуска X-Server есть возможность запустить графические Linux-приложения в Windows - да, окна из одной ОС будут сосуществовать с окнами хостовой операционки. ➡ https://github.com/microsoft/WSL • В качестве дополнения рекомендую изучить материал на сайте Microsoft. Там очень много видео по данной теме (содержание на скриншоте): ➡ https://learn.microsoft.com/ru-ru/windows/wsl/ #Новости #Linux #Windows #WSL

От обнаружения до изоляции: как автоматизировать реагирование на киберинциденты Построение эффективной системы защиты требует не только обнаружения угроз, но и мгновенного реагирования. Приглашаем на практический вебинар, где покажем, как автоматизировать полный цикл противодействия атакам с помощью продуктов экосистемы UserGate SUMMA. В программе: — Выявление успешной фишинговой атаки с запуском шифровальщика — Мгновенная изоляция зараженного хоста для остановки распространения угрозы — Координация действий uSIEM, uClient, uMC и uNGFW для автоматического блокирования атаки и уведомления команд ИТ и ИБ — Сокращение времени реагирования с часов до нескольких минут без участия человека на этапе сдерживания Спикеры: — Роман Спицын, Presale-инженер — Дмитрий Чеботарёв, Менеджер по маркетингу uSIEM — Яна Заковряжина, Менеджер по маркетингу uClient Когда: 11 декабря, 10:00 (МСК) Присоединяйтесь, чтобы узнать о всех преимуществах слаженной работы экосистемы UserGate SUMMA. Зарегистрироваться

• Есть такая игра, Prince of Persia, которую в 1989 запилил Джордан Мекнер и которая стала для многих точкой первого знакомства с компьютерной техникой. Так вот, забавный факт: чтобы сделать анимации принца (главного героя игры) Джордан купил видеокамеру и заснял своего младшего брата, как тот бегает и прыгает по парковке недалеко от родительского дома и потом ротоскопировал в игру. • Кстати, видеокамера стоила $2,500 - это просто бешеные деньги по тем временам, поэтому молодой программист воспользовался возможностью вернуть её в течении 30 дней, отсняв всё, что ему было нужно для начала. А ещё, приходилось с нуля создавать все программы для рисования, редактирования и работы с прочими файлами. Ведь ничего похожего на Фотошоп в те времена не было. • В общем и целом, ниже по ссылке очень интересная история создания данной игры. Есть много оригинальных чертежей, которые использовались при создании и другого материала: ➡️ https://kak-eto-sdelano.livejournal.com/570183.html #Разное

• Take my money.... 💸 #Разное

• 185 лет назад, 20 июня 1840 года Сэмюэль Морзе запатентовал электромагнитный телеграф. Большой заслугой изобретателя стало создание телеграфного кода, который представлял буквы в виде «точек» и «тире» — коротких и длинных сигналов. К XX веку в девяти европейских странах было установлено 45200 аппаратов Морзе, из них 8200 — в России. • «Код Морзе» (он же «Морзянка») — ни что иное, как неравномерный телеграфный код, в котором знаки обозначаются комбинациями из посылок тока различной продолжительности. За единицу длительности принимается длительность точки, а длительность «тире» равняется длительности трёх точек. Пауза между знаками в букве — одна точка, а между буквами в слове — 3 точки. Пауза между словами составляет 7 точек. • Примечательно, что исходная таблица «кода Морзе» ощутимо отличалась от тех кодов, что сегодня звучат на любительских диапазонах. Во-первых, в ней использовались посылки трех разных длительностей (точка, тире и длинное тире). Во-вторых, некоторые символы внутри своих кодов имели паузы. Кодировки современной и исходной таблиц совпадают только для половины букв (A, B, D, E, G, H, I, K, M, N, S, T, U, V и W) и не совпадают ни для одной цифры. Более того, для построения кода некоторых символов в оригинальной «морзянке» вообще использовались иные принципы. Так, помимо «точек» и «тире», были сочетания «двойное тире» (буква L) и даже «тройное тире» (цифра 0), а некоторые символы включали в себя паузу. Латинская буква С, например, передавалась раньше как «две точки-пауза-точка», то есть как переданные последовательно буквы И и Е — подобные нюансы заметно осложняли приём радиограмм. • Ключ или «молоток» служил для смыкания и размыкания электрической цепи. Автоматический приёмник записывал сигналы, подаваемые ключом. Импульсы тока определенной длительности заставляли колебаться электромагнитное перо, воспроизводившее «точки» и «тире» на бумажной ленте. Перо либо выдавливало сигналы, либо наносило их чернилами. • Морзе изобрел телеграф в 1830-е годы и безуспешно пытался продать изобретение в Европе и США. Он запатентовал его в 1840 году, но только в 1843 году сумел воплотить свою идею связи в жизнь. • В 1843 году Конгресс большинством в один голос принял билль, по которому Морзе получил субсидию на создание телеграфной линии Вашингтон — Балтимор длиной 65 километров. Линию открыли в мае 1844 года. После стали открывать все новые линии, сделав телеграф распространенным средством связи. Позднее европейские государства, пользовавшиеся телеграфом, но не подтверждавшие право Морзе на это изобретение, выплатили Морзе 400 000 франков. #Разное

🗂 Диспетчер файлов. • Мало кто знает, но еще 6 апреля 2018 года компания Microsoft выложила на GitHub исходный код оригинальной версии Windows File Manager, который поставлялся в составе операционной системы Windows в 90-е годы, а также доработанную и улучшенную версию Диспетчера файлов. В своё время эта программа стала первым графическим менеджером файлов от Microsoft. Она позволяла копировать, перемещать и удалять файлы, выделяя их мышью. • Стоит напомнить, что самая первая 16-битная версия Windows File Manager поддерживала только имена файлов в формате 8.3. Поддержки длинных имён файлов не было, как и поддержки пробелов в именах. Если Диспетчеру приходилось отображать длинные файлы, то он показывал только первые шесть символов, затем символ тильды "~" и число, обычно единицу. Если папка содержала несколько файлов с одинаковыми первыми шестью символами в названии, то им присваивались цифры 2, 3 и так далее. • Затем программу переписали под 32 бита для Windows NT. Она уже могла отображать длинные имена файлов и поддерживала файловую систему NTFS. • В 1990-1999 годы Диспетчер файлов оставался стандартным компонентом Windows и поставлялся в составе операционной системы. Последняя версия файла WINFILE.EXE build 4.0.1381.318 поставлялась в составе Windows NT 4.0 Service Pack 6a (SP6a). Последняя 16-битная версия WINFILE.EXE build 4.90.3000 — в составе операционной системы Windows Me. • Представленный исходный код скопирован из ветки Windows NT 4 в ноябре 2007 года. Он содержит некоторые изменения по сравнению с оригинальной версией WinFile.exe. Эти изменения нужны главным образом для того, чтобы программа нормально работала на современных версиях Windows, в том числе на 64-битных версиях и на базе Visual Studio. • Отличительная особенность Windows File Manager — поддержка многодокументного интерфейса Multiple Document Interface (MDI). Это такой способ организации графического интерфейса, в котором большинство окон расположены внутри одного общего окна. Этим он и отличается от распростарнённого сейчас однодокументного интерфейса (SDI), где окна располагаются независимо друг от друга. • Скомпилировав и запустив этот артефакт на современной машине, вы оцените потрясающую обратную совместимость программ под Windows, ведь софт 35-летней давности почти без модификаций работает на последней ОС. Если вы не работали на первых версиях Windows, то можете оценить, какими программами приходилось тогда пользоваться. Только учтите, что в начале 90-х и сама Windows 3.0, и этот Диспетчер файлов заметно тормозили на многих персональных компьютерах. Специально для установки Windows 3.0 приходилось докупать несколько мегабайт оперативной памяти, а иногда и апгрейдить процессор, например, с 20 МГц до 40 МГц. Но в награду пользователь получал текстовый редактор Word под Windows с поддержкой множества кириллических шрифтов и форматированием WYSIWYG — вместо убогого однообразия «Лексикона» или Word под DOS. ➡️ https://github.com/Microsoft/winfile #Разное

ASM теперь управляемый, а F6 — первые, кто это делает На вебинаре 16 декабря Центр кибербезопасности F6 расскажет о новом тренде российского рынка ИБ — мониторинге угроз внешнего периметра. Почему это важно? 55% инцидентов происходят из-за уязвимостей на внешнем периметре. Новые серверы, домены, API, удаленные рабочие места. Каждый из этих активов — новогодний подарок потенциальная точка входа для злоумышленника. Подключайтесь к вебинару, чтобы узнать: • Статистику по атакам через внешние активы • Как F6 Managed ASM встраивается в экосистему MDR • Разбор возможностей F6 Managed ASM • Ключевые индикаторы и риски, которые мы выявляем • Разбор реальных инцидентов из-за уязвимостей на периметре • Условия запуска пилотного проекта Зарегистрироваться на вебинар → #реклама О рекламодателе

Ресерчеры Лаборатории Касперского отметили новые элементы в атаках хактивистских группировок 4BID, BO Team и Red Likho, где «один за всех и все за одного». По данным ЛК, в последние месяцы наблюдается растущая тенденция к синхронным атакам нескольких хактивистов на одни и те же организации. Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится сложно идентифицировать TTPs конкретных групп. В рамках исследования ландшафта киберугроз, нацеленных на российский сегмент, в ЛК подробно изучили серию кампаний, о которых публично заявляла проукраинская группа 4BID. В системах их жертв удалось задетектить артефакты, связанные с активностью двух других известных групп хактивистов: BO Team и Red Likho. В частности, в некоторых случаях атакованная 4BID инфраструктура также была заражена бэкдором GoRed, связанным с Red Likho, и ZeronetKit, атрибутированным к BO Team. Обе группы известны проведением широко масштабных операций в отношении российских компаний. Исследователи отмечают, что 4BID заявили о себе в начале 2025 года, медийно освещая свои атаки в Telegram-канале. Злоумышленники атакуют российские организации в сфере промышленности, здравоохранения и госсекторе. Причем изначально 4BID выбирала цели малого калибра, атакуя небольшие региональные компании, однако позже группа переключилась на более крупные предприятия. Наличие в инфраструктуре жертв инструментария сразу нескольких групп (ransomware 4BID, бэкдоры BO Team и Red Likho, а также другие уникальные компоненты) свидетельствует об общем целеполагании и глубокой кооперации проукраинского кластера угроз. В новом отчете исследователи ЛК раскрывают технические подробности наблюдаемой активности 4BID и ее пересечения с другими хактивистами. Из наиболее интересных находок - пакет из нескольких файлов, каждый из которых отвечает за определенные задачи и запускает следующий. Причем первый PowerShell-скрипт Edgeupdate.ps1 ранее не встречался в публичных репозиториях вредоносных ПО и не был замечен в других атаках, что позволяет предположить, что это специализированный инструмент, вероятно, разработанный для конкретной кампании. Он выполнял ряд скрытых деструктивных операций для защиты от обнаружения и закрепления в системе (ведение журнала, блокировка устройств ввода, создание и добавление пользователя в группу локальных администраторов, загрузка в безопасном режиме с поддержкой сети, отключение протокола ms-contact-support и под завершение - удаление следов своей работы с перезагрузкой и фейковым экраном обновления). В атаках 4BID также был найден образец новой программы-вымогателя, который назвали Blackout Locker. Он написан на C/C++ и, несмотря на сходство имени, не имеет ничего общего с шифровальщиком Blackout. В зависимости от версии, эта программа-вымогатель реализует различные схемы шифрования: некоторые варианты используют простой цикл XOR, другие - шифр AES в режиме GCM. Кроме того, среди примечательных артфактов - кастомные скрипты (для проверки компьютеров в сети на наличие установленного AnyDesk или решений ЛК, а также непосредственно - для установки первой), пропатченные образцы Process Explorer (загружали Tuoni или Cobalt Strike). В общем, текущая тенденция указывает на продолжающуюся эволюцию хактивизма и увеличивает вероятность проведения более частых, масштабных и технически сложных кампаний. Все подробности - в отчете.

• Если у вас возникает потребность в логировании всех команд пользователя Linux, которые он вводит в консоли, то есть отличное решение для данной задачи - Snoopy Command Logger. Настраивается предельно легко и очень быстро. Можно настроить различные фильтры записи, что сохранять, что нет. Например: можно задать логирование только root, указать формат лога, настроить исключения и т.д. • Тут стоит учитывать, что root может очистить файл, куда будут сохранятся логи. Соответственно если существует такой риск, то пересылайте сохраненные логи на удаленный сервер, к которому нет доступа с текущего. ➡️ https://github.com/a2o/snoopy #Linux

👾 Фишинг на официальных сайтах Apple, Netflix, Microsoft и т.д. • У Malwarebytes есть интересное исследование, в рамках которого описали метод, когда хакеры внедряли фейковые номера технической поддержки на официальных сайтах Microsoft, Apple, HP, PayPal, Netflix и т.д. • Если описывать схему простыми словами, то начинается все с покупки рекламы в Google по запросам "поддержка Apple" или "служба помощи PayPal". Указывается официальный домен Microsoft, Apple, HP, PayPal, Netflix и добавляются скрытые параметры, которые браузер передает на указанный сайт. Такие параметры отображают номера фишинговой технической поддержки прямо в страницу, которую видит пользователь. Что получается? Вы находитесь на официальном сайте Apple, но видите номер телефона злоумышленников (скриншот выше)... • Вся соль в том, что эти параметры не отображаются в рекламе Google, поэтому у жертвы нет очевидных причин подозревать, что что-то не так. Метод работает в большинстве браузеров и на большинстве веб-ресурсов. • При звонке по указанному номеру телефона жертва связывается с мошенником, выдающим себя за представителя компании. Тот может обманом заставить пользователя передать личные данные или данные платёжной карты, либо разрешить удалённый доступ к своему устройству. При этом мошенники, которые представляются работниками PayPal, пытаются получить доступ к финансовому счёту и вывести с него средства. Классика! • Так что будьте внимательны. Исследование можно почитать по ссылке: https://www.malwarebytes.com #Новости

Исследователи Bi.ZONE наконец-то порадовали новым отчетом, сообщая о выявленной в октябре и ноябре 2025 года вредоносной активности кластера Arcane Werewolf (Mythic Likho), нацеленную на российские промышленные компании. Судя по артефактам, атакующие в качестве вектора первоначального доступа, вероятно, задействовали традиционный вектор - фишинговые рассылки, собственно, как и в предыдущих случаях. Правда сами фишинговые письма достать так и не удалось. При этом злоумышленники использовали доменные имена, созвучные с названиями организаций-жертв, а также применили активно разрабатываемые и обновленные собственные инструменты - в частности, новую версию Loki 2.1, совместимого с Mythic и Havoc. Предположительно, в направленных письмах размещалась ссылка для загрузки архива с вредоносным ПО с подконтрольного хакерам ресурса, мимикрирующего под российскую промышленную компанию. После перехода пользователя по ссылке происходила загрузка вредоносного архива уже по другой ссылке. В загруженном архиве содержится вредоносный LNK-файл, а также каталог «Фото» с набором JPG‑изображений. После запуска LNK и выполнения команды через PowerShell происходила загрузка с сетевого адреса hxxps://f.npo-[redacted][.]ru/m2.png исполняемого файла, который сохранялся в каталог %TEMP%\icon2.png и затем запускался через conhost.exe. Загруженный icon2.png является исполняемым файлом формата PE32+ и представляет собой вредоносную программу - дроппер, реализованный на Go. Он содержал нагрузку в виде двух закодированных Base64 файлов: chrome_proxy.pdf (исполняемый файл PE32+, являющийся вредоносным загрузчиком) и 09.2025.pdf (отвлекающий PDF‑документ). Дроппер декодирует нагрузку и сохраняет ее в каталог %TEMP%, после чего выполняет команды, доставляя Loki 2.0. Как известно, он состоит из двух компонентов: загрузчика и импланта. Основные возможности загрузчика - сбор информации о скомпрометированном хосте, шифрование AES и кодирование Base64 собранной информации, отправка на сервер злоумышленников, ожидание вредоносной нагрузки от сервера и ее запуск. В ноябре была зафиксирована очередная активность кластера Arcane Werewolf, но, к сожалению, всю цепочку атаки не удалось восстановить. В данной атаке был выявлен новый дроппер на C++ (.cpp) и обновленный Loki 2.1. Также удалось установить вредоносный сетевой ресурс атакующих, мимикрирующий под сайт российской промышленной компании (hxxps://cloud.electropriborzavod[.]ru/files/d8287185e4ae695a). Cpp-дроппер является исполняемым файлом формата PE32+ и реализован на C++. Вредоносная нагрузка содержится в сжатом виде в секции ресурсов. Помимо самой нагрузки, в ресурсах дроппера содержится полный путь сохранения нагрузки на диске, размер нагрузки. Дроппер динамически получает необходимые для работы WinAPI-функции и извлекает нагрузку на диск, используя функции NtCreateFile и ZwWriteFile. В данном случае загрузчик Loki 2.1 все так же собирал информацию о скомпрометированном хосте, шифровал AES и кодировал Base64 перед отправкой. Главная особенность загрузчика заключается в том, что, помимо получения импланта Loki от сервера, данный экземпляр содержит локальный вариант импланта Loki обновленной версии. Загрузчик расшифровывает данный локальный имплант из конфигурации и вызывает у него экспортируемую функцию start в памяти собственного процесса. Команды импланта Loki 2.1 не изменились в сравнении с версией импланта 2.0. Единственное отличие в том, что раньше каждой команде соответствовало определенное значение хеш-суммы djb2, а в версии Loki 2.1 командам соответствуют порядковые номера. Индикаторы компрометации и технический разбор - в отчете.

👾 Программные ошибки и человеческий фактор... • Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Среди некоторых разработчиков даже укрепилось мнение, что баги в принципе существуют всегда и везде. Но если ошибки абстрактны и сложно воспроизводимы в реальных условиях, то проблема не является критичной. • В идеальной ситуации баги исправляют все и сразу. Но в жизни всегда есть куча задач, отодвигающих полный и бесповоротный багфикс (новый функционал, срочные хотфиксы, расставленные приоритеты при исправлении багов). Это значит, что в первую очередь находятся и исправляются очевидные и явные проблемы. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. • 26 сентября 1983 года спутник эшелона «Око» системы предупреждения о ракетном нападении СССР ошибочно сообщил о запуске пяти баллистических ракет с территории США. Спутник находился на высокой эллиптической орбите, наблюдая за районами базирования ракет под таким углом, чтобы они находились на краю видимого диска Земли. Это позволяло обнаружить факт запуска на фоне темного космического пространства по инфракрасному излучению работающего ракетного двигателя. Кроме того, выбранное расположение спутника снижало вероятность засветок датчиков отраженным от облаков или снега солнечным светом. • После безупречного года работы внезапно выяснилось, что в один день при определенном положении спутника и Солнца свет отражается от облаков, расположенных на больших высотах, оставляя то самое инфракрасное излучение, которое компьютеры восприняли как след от ракет. Заступивший на боевое дежурство подполковник Станислав Петров усомнился в показаниях системы. Подозрение вызвало сообщение о пяти замеченных целях — в случае реального военного конфликта США одновременно произвели бы сотни пусков. Петров решил, что это ложное срабатывание системы, и тем самым, вероятно, предотвратил Третью мировую войну. • Подобная ошибка, едва не повлекшая за собой глобальный ядерный конфликт, произошла и по другую сторону океана. 9 ноября 1979 года из-за сбоя компьютера воздушно-космической обороны Северной Америки была получена информация о начале ракетной атаки против США — в количестве 2200 запусков. В то же время спутники раннего предупреждения и радары показали, что никакой информации о советской атаке не поступало — только благодаря перепроверке данных, сделанной за 10 минут, не был отдан приказ о взаимном гарантированном уничтожении. • Причиной всему оказалась самая опасная уязвимость — человеческий фактор. Оператор компьютера, находящегося на боевом дежурстве, загрузил в него пленку с учебной программой, имитировавшей ситуацию массированной ракетной атаки. • За несколько первых лет работы Национального центра управления Объединенного командования аэрокосмической обороны США и Канады было зафиксировано 3703 ложных сигнала тревоги, большая часть из которых появилась из-за атмосферных явлений. Однако случались и компьютерные ошибки. Так один из «боевых» компьютеров 3 июня 1980 года показал постоянно меняющиеся цифры количества ракет, запущенных Советским Союзом. Проблема возникла из-за аппаратного сбоя в микросхеме. ➡️ https://www.techinsider.ru/history/1659621 #Разное