S.E.Book

Исследователи F6 представили исследование с отражением основных угроз, векторов атак и TTPs киберпреступников, которые атаковали российские компании в 2024–2025 годах. В основу были положены результаты анализа инцидентов и оценки основных изменений ландшафта актуальных угроз с 1 июля 2024 года по 30 июня 2025 года. Причем учитывались исключительно инциденты высокого уровня критичности, требовавшие реагирования. Согласно данным исследования, среди выявленных угроз чаще всего встречались майнеры криптовалют (37% всех критичных инцидентов). При этом, если во втором полугодии 2024 года их доля составляла 42%, то в первом полугодии 2025 года сократилась до 31% от общего числа критичных инцидентов.  На втором месте идут инциденты, связанные с управляемыми человеком атаками (15%), на третьем - использование бэкдоров (14%). По сравнению с июлем ‑ декабрем 2024 года в январе - июне 2025-го наблюдается перераспределение инструментов атакующих. Так, доля зафиксированных инцидентов с RAT за полугодие выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным ПО, загрузчиками и дропперами. В ходе реагирования на инциденты аналитики F6 пришли к вывожу, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ - 70% от общего количества инцидентов за 12 месяцев. Более того, в первом полугодии 2025 года по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74%. Также среди распространенных способов компрометации устройств можно выделить использование заражённых съёмных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%). Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и стилеры - их общая доля в рассылках достигала 83%. Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей - ее доля с 30% во втором полугодии 2024 года упала до 5% в первом полугодии 2025-го. В случае успешного проникновения в инфраструктуру жертвы злоумышленники переходят к следующему этапу атаки - закреплению, разведке и развитию активности. В своем исследовании F6 систематизировала эти действия и описала тактики атакующих с 1 июля 2024 года по 30 июня 2025 года по матрице MITRE ATT&CK. Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30%). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные ПО. Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем. В целом, как отмечают исследователи, представленное исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре. Наблюдается тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременному детектированию новых классов угроз. Подробная инфографика и аналитика - в отчете.

👩‍💻 Если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70! ➡️ https://distrosea.com/ • Кстати, судя по Reddit, проект поддерживается только одним человеком. Достойно уважения 👍 #Linux

Практический телеграм-канал про информационную безопасность на простом и понятном языке. Каждую неделю публикуем новости про защиту данных, советы ведущих экспертов сферы ИБ, разбираем кейсы без нудной теории и делимся рекомендациями о том, как защитить компанию от инсайдеров.  Узнайте: ➕ с какими инцидентами ИБ сталкиваются в финансах, промышленности и здравоохранении. ➕ как эффективно повысить цифровую грамотность сотрудников. ➕ когда регуляторы ужесточат ответственность за разглашение коммерческой тайны. ➕ какие ИБ-нарушения совершали сотрудники и какие решения выносили суды: результаты исследования. ➕ чем закончились шпионские триллеры про мстительного админа, разгромившего сеть работодателя, и инсайдера, сливающего данные конкуренту.  Подписывайтесь и следите за информационной безопасностью.

Исследователи обращают внимание на масштабную волну сканирований, нацеленных на устройства Cisco, основной фокус которой направлена на межсетевые экраны ASA и VPN-шлюзы AnyConnect. Причем это уже вторая подобная волна, зафиксированная за последние месяцы. При том, что первая волна предшествовала обнаружению 0-day Cisco ASA. Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов. Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS. Ранее ежедневно показатели сканирований не превышали 200 адресов. Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России. Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане. По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные. Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA. Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks. В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться. И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля. GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября. Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.

🎙 Передача файлов с помощью радио. • Полвека назад радио пользовалось популярностью не только у любителей музыки, но и у программистов. Но почему? Дело в том, что через радио можно было передавать программы, изображения и другие файлы. Давайте разберемся, кто и как транслировал данные по FM-волнам и какое применение технология нашла в наши дни? • Культура передачи программ «по воздуху» зародилась в Европе в начале 1980-х. В то время цены на радиооборудование были демократичными, что способствовало развитию локальных FM-станций, и они не стеснялись экспериментировать с новыми форматами. Так, стали появляться «компьютерные шоу», в рамках которых ведущие транслировали слушателям специальные шумы. Энтузиасты записывали их с помощью магнитофонов на кассеты. Затем их «слушал» ЭВМ — компьютер интерпретировал звуки как последовательность байтов. • Одной из первых радиопередач стала Datarama. Ее запустили на станции в Бристоле. «Диджеи» кодировали и передавали слушателям различные изображения. Немного позже аналогичный проект под названием Hobbyscoop возник в Голландии. Там инженеры пошли дальше и делились полноценными программами и простенькими видеоиграми. Для этого они разработали кассетный формат BASICODE, чтобы обеспечить совместимость с широкой линейкой компьютеров. • К сожалению, BASICODE имел ряд серьезных ограничений и плохо подходил для работы с цветной графикой и звуком. Однако специалисты из Финляндии решили сгладить эти недостатки и использовали для передачи софта по радио классический BASIC, который обладал более широкими возможностями. • А еще в Финляндии была такая государственная телерадиокомпания Yle запустила образовательную программу Kansan Mikrokerho, что в вольном переводе с финского означает «клуб любителей микрокода». В рамках передачи ведущие транслировали компьютерные программы на BASIC, способные помочь с решением ежедневных задач — подсчетом налогов или учетом продуктов в холодильнике. Авторы выбрали BASIC, поскольку его «понимал» Commodore 64 — один из самых распространённых компьютеров того времени. Пользователю было достаточно загрузить кассету с записанными «радиошумами» в Datasette — устройство, преобразующее аналоговые сигналы в «цифру». • Одной из первых на Kansan Mikrokerho разослали программу, рассчитывавшую число дней, месяцев и лет между введенными датами. Ее объем составил 33 секунды. Позже слушатели стали присылать самописные программы, а ведущие охотно делились ими с аудиторией станции. • Несмотря на огромное количество поклонников, радиошоу с передачей кода были вынуждены уйти из эфира в конце 1980-х. В то время появились 16-битные вычислительные системы с хранилищами иного типа и большего объема. Однако сегодня «винтажный» способ передачи информации постепенно возрождается за счет энтузиастов. Новозеландский студент в 2009 году запустил образовательный проект OneBeep и разработал одноимённое приложение, которое позволяет закодировать любую информацию для передачи по радио. • Одно время технологию использовали образовательные учреждения в Африке, транслируя домашние задания школьникам, а в OneBeep планировали выложить исходники в open source. Однако дальнейшая судьба проекта неизвестна, поскольку его сайт (по данным Wayback Machine), прекратил функционировать в 2019 году. Но возможно, кто-то попробует перенять этот опыт и реализует похожую систему. #Разное

🗞 Paged Out #7. • В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl). • Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =) S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Firefox. Как всё начиналось. • 21 год назад, в ноябре 2004 года, увидел свет первый релиз браузера Firefox. Новинка быстро завоевала популярность благодаря инновационным решениям и открытости кода. За 21 год браузер прошел путь от новичка до одного из лидеров и поборолся с серьезнейшими конкурентами. Сейчас у Firefox уже нет былой доли рынка, но браузер продолжает развиваться и акцентируется на конфиденциальности и безопасности. Вот как началась эта история: • Чтобы противостоять монополии Microsoft, Netscape в 1998 году решил открыть исходный код своего браузера и запустил проект Mozilla. Это название произошло от слияния слов Mosaic (в честь браузера Mosaic, который был предшественником Netscape) и Godzilla, что символизировало борьбу с конкурентами. Уже в первый год сообщество активно подключилось к работе: разработчики со всего мира создавали новые функции, улучшали существующие возможности, участвовали в управлении и планировании проекта. • Сначала проект Mozilla развивался в рамках Netscape. Его целью было создание нового браузера Mozilla Application Suite. Этот целый набор приложений, включая обозреватель, почтовый клиент, HTML-редактор и другие инструменты. Позже команда Mozilla решила не делать «комбайн», а создать новый легкий браузер, который мы теперь знаем как Firefox. • Название появилось тоже не сразу. В 2002 году началась работа над браузером Phoenix, потом — Firebird и только потом уже Firefox. Название Phoenix пришлось изменить из-за конфликта с другой торговой маркой, а Firebird вызвал недовольство у разработчиков одноименной базы данных. В результате остановились на названии Firefox, которое стало символом стремления команды Mozilla к созданию свободного, защищенного и ориентированного на нужды пользователей браузера. • Ну а в 2004 году был представлен первый релиз, сумевший быстро привлечь внимание и, что особенно важно, завоевать пользователей благодаря своим революционным на тот момент функциям — вкладкам и поддержке дополнений. • Вот основные возможности браузера, которые тогда отличали его от конкурентов: ➡Вкладки. В отличие от Internet Explorer, который открывал каждый сайт в новом окне, Firefox ввел вкладки, что позволило пользователям управлять несколькими веб-страницами в одном окне. ➡Поддержка дополнений. Firefox предложил гибкую систему эддонов, позволяющую пользователям устанавливать новые функции и настраивать браузер под свои нужды. ➡Блокировка всплывающих окон. На момент выхода Firefox эта функция была востребована, поскольку многие сайты стали злоупотрблять всплывающими рекламными окнами. Firefox позволял пользователям блокировать их, делая серфинг более комфортным. ➡Поддержка CSS и веб-стандартов. Firefox с самого начала стремился поддерживать современные веб-стандарты, а это позволяло пользователям видеть сайты так, как задумали разработчики. Это выделяло его среди браузеров, которые не всегда корректно отображали страницы. ➡Безопасность. Firefox предлагал более высокий уровень безопасности по сравнению с Internet Explorer, где уязвимости были частой проблемой. • С момента релиза Firefox стал расти в популярности, набирая долю на рынке за счет предоставления пользователям уникальных функций, которых не было в других браузерах. В 2010 году доля Firefox достигла 30% — это был пик популярности. • Основной успех Firefox связан с его новаторским подходом к интерфейсу, заложенным в саму концепцию браузера. Возможность работать с вкладками и богатая база расширений и дополнений оказались правильными и своевременными решениями. Они сделали браузер незаменимым инструментом для большого количества пользователей — особенно тех, кто работал в интернете или проводил много времени в сети. Mozilla также сосредоточилась на открытости кода, так что сообщество могло активно участвовать в улучшении браузера. Firefox предлагал высокий уровень безопасности, оставаясь верным принципу открытого кода и делая ставку на конфиденциальность. Это принесло ему популярность среди пользователей, обеспокоенных защитой своих данных. #Разное

📦 HackTheBox Machines Interactive. • Уважаемый 0xdf, создал страницу со всеми машинами Hack The Box, где можно отфильтровать тачки по уровню сложности, ОС, тегам и имени. Тут же можно перейти в нужную машину и посмотреть ее прохождение с подробным описанием. ➡️ https://0xdf.gitlab.io/cheatsheets/htb-interactive • Для тех кто не знает, 0xdf является главным архитектором лаборатории Hack The Box. На его сайте можно найти бесчисленное кол-во решений по прохождению всевозможных машин: https://0xdf.gitlab.io #HTB

⚡ Хорошие новости: разыгрываем Flipper Zero и книги по информационной безопасности. Условия очень просты: 🔶 Подписка на: Linux Academy 🔶 Подписка на: infosec. 🔶 Нажать на кнопку «Участвовать»; ВСЁ! • 1 место: Flipper Zero. • 2-10 место: несколько книг по информационной безопасности в бумажной версии: - Изучаем Kali Linux; - Bash и кибербезопасность. • Всего будет 10 (!) призовых мест, итоги подведем 18 октября, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

Банда вымогателей Crimson Collective заявили, что им удалось взломать частные репозитории Red Hat на GitHub и похитить почти 570,2 ГБ сжатых данных из 28 000 внутренних проектов. Данные массив, предположительно, включает около 800 отчетов о взаимодействии с клиентами (CER), которые могут содержать конфиденциальную информацию в отношении сети и платформ клиента. CER - это консультационный документ, подготовленный для клиентов, который часто содержит сведения об инфраструктуре, данные конфигурации, токены аутентификации и другую информацию, которая может быть использована для взлома сетей клиентов. При этом сама Red Hat подтвердила, что столкнулась с инцидентом, связанным с ее консалтинговым бизнесом, пока не комментирует какие-либо заявления относительно украденных репозиториев GitHub и CER клиентов, но инициировала необходимые меры по устранению последствий. В настоящее время у Red Hat нет оснований полагать, что проблема безопасности повлияет на какие-либо другие сервисы или продукты, в компании полностью уверены в целостности цепочки поставок ПО. В свою очередь, хакеры сообщили, что вторжение произошло примерно две недели назад. Они обнаружили токены аутентификации, полные URI базы данных и другую конфиденциальную инфу в коде Red Hat и CER, которые затем использовали для доступа к инфраструктуре клиентов. Банда поделилась в телеге полным списком, предположительно, украденных репозиториев GitHub и перечнем CER за период с 2020 по 2025 год, который включает ряд известных организаций. По данным International Cyber Digest, к ним относятся АНБ, ВМС, Федеральное управление гражданской авиации, Палату представителей, Министерство энергетики США, НИСТ, Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco IBM, Citi, Verizon, Siemens, Bosch, JPMC, HSBC, Telefonica, крупные телекоммуникационные компании, банки и многие другие организации. Хакеры опубликовали скриншоты структур файлов, содержащих файлы конфигурации и инструменты, такие как инвентаризация серверов, Ansible playbooks, руководства по настройке OpenShift, средства развертывания кода, конфигурации реестра контейнеров и VPN, ссылки для управления секретами, резервные копии, экспортированные конфигурации репозиториев GitHub/GitLab и многое другое. Как утверждают представители Crimson Collective, они пытались связаться с Red Hat с требованием выкупа, но так и не получили ответа, кроме стандартизированного шаблона с указанием предоставления отчета об уязвимости. При этом созданный тикет неоднократно переназначался другим лицам, включая сотрудников юридического отдела и службы безопасности Red Hat. Все же не стоило недооценивать банду, которая на прошлой неделе отдефейсила страницы Nintendo для рекламы своего канала в телеге. Будем следить.

👨‍🎨 Графический интерфейс: Paintbox, Xerox Alto и Xerox Star. • Первым компьютером с графическим пользовательским интерфейсом считается Xerox Alto, разработанный в лаборатории Xerox PARC в 1973 году. Это был экспериментальный продукт, не предназначенный для широкого рынка. Тем не менее, к концу 1970-х было произведено порядка 2000 машин этой линейки. Большая их часть, порядка полутора тысяч, были установлены непосредственно в Xerox Laboratories, остальные продавались университетам в качестве учебных и вычислительных машин. • Уже в первые годы существования Alto приобрел широкую известность в Кремниевой долине. Еще большую популярность Xerox принесла разработка усовершенствованной версии Alto, Xerox Star. Первые лица крупных технологических компаний, в том числе представители Microsoft и глава Apple Стив Джобс посещали Xerox Laboratories, чтобы поработать с этими компьютерами. Известно, что в 1979 Джобс договорился о специальных демонстрационных сессиях в обмен на некоторые бонусы для Xerox от компании Apple. В следующие несколько лет на свет появились Apple Lisa и Macintosh, первые рыночные образцы ПК с графическим пользовательским интерфейсом. • Помимо Джобса, вдохновение для собственных GUI у Xerox черпал и Билл Гейтс. В мире высоких технологий всегда действовал принцип «кто первый показал, тот лучше продается», поэтому времени на разработку уникального интерфейса ни у Apple, ни у Microsoft толком не было. Именно поэтому ранние версии графических ОС у обеих компаний выглядят как близнецы-братья. • Xerox Alto дал толчок отрасли разработки графических пользовательский интерфейсов. Тем не менее, ввиду дороговизны компьютерных компонентов, сложности разработки GUI и неготовности крупных игроков менять подход к созданию компьютеров и ПО, первые машины, снабженные графическим интерфейсом, стали массово появляться на рынке лишь десятилетие спустя, в начале 1980-х. • В 1981 году эпоха персональных компьютеров только-только начиналась, однако по-настоящему актуальные и прогрессивные ЭВМ (наподобие Alto) простым пользователям были недоступны. Сказывались и молодость рынка, и высокая стоимость отдельных комплектующих. • Однако крупные компании уже активно пользовались подобными устройствами. Quantel Paintbox, специализированная рабочая станция для работы с компьютерной графикой, применялась для создания телевизионных «спецэффектов» (на фото). • Машину разработала британская технологическая компания Quantel, а одной из первостепенных задач, которые ставились перед Paintbox, являлось создание графики (титры, переходы и т.п.) для выпусков новостей в прямом эфире. • Компьютеры продавались по цене порядка 250 000 долларов (по курсу на 1980 год), поэтому позволить их себе могли исключительно крупные телевизионные сети, такие как NBC. • В 1981 году Paintbox произвел революцию в производстве телевизионной графики. Со временем практически все телекомпании, включая небольшие региональные каналы, переключились на полностью «компьютерный» монтаж. Кроме того, считается, что именно в Paintbox впервые появились так называемые всплывающие меню. #Разное

⚠️ Не будь тем, кто узнаёт об угрозах ИБ слишком поздно! Два бесплатных вебинара, которые нельзя пропустить: 📅 9 октября, 20:00 — «Некоторые аспекты ИБ при применении подхода IaC» Поймёте, когда «Инфраструктура как код» защищает, а когда ослабляет вашу безопасность. Реальные риски и контрольные точки из практики. 📅 23 октября, 20:00 — «Искусственный интеллект — новый вызов в кибербезопасности» ИИ меняет правила игры: ускоряет работу, но создаёт новые угрозы. Разбираем модель атак и как защититься. 🔥 Эти вебинары — ваш шанс обновить знания и быть на шаг впереди угроз, прежде чем они станут проблемой. Записывайтесь на вебинары: https://otus.pw/LZzD/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Почти 50 000 устройств Cisco Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD), доступных в общедоступной сети, подвержены двум активно эксплуатируемым уязвимостям. Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом. Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации. 25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам. Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов. В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362. Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200). Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков. Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA. В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось. Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator. Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].

👩‍💻 Софт для VDS-сервера, на который стоит обратить внимание новичкам. • Если вы арендовали свой первый VDS-сервер и не знаете, с чего начать, это нормально — поначалу всё может казаться сложным: терминал, настройки, безопасность… В этой статье собран хороший список утилит, которые помогут осуществить настройку сервера под ваши задачи и потребности, повысят удобство использования сервера и защитят его от потенциальных угроз: ➡️ https://habr.com/ru/post/902596 #Tools #Linux

4⃣ Расследование аферы с GitHub: как тысячи «модов» и «кряков» крадут ваши данные. • Еще в апреле на хабре был опубликован перевод очень интересной статьи, в которой описана схема распространения вредоносного ПО через тысячи GitHub репозиториев - от модов для Fortnite до «взломанного» Photoshop. • Если жертва скачивает и запускает такое ПО, то все данные с ПК отправляются на Discord-сервер, где сотни злоумышленников просматривают их в поисках ключей от криптокошельков, учётных данных от социальных сетей, банковских данных, а также аккаунтов Steam и Riot Games. • В общем и целом, автор проделал огромную работу и подробно описал это в статье: ➡Было найдено пошаговое руководство по созданию скам-репозиториев, которое автор подробно изучит и разложил его по полочкам. ➡Был написан скрипт, который помог найти 1115 репозиториев, созданных по инструкциям из руководства. Менее чем у 10% из них есть открытые Issues с жалобами, остальные выглядят просто замечательно. ➡Найден вредоносный код, который был проанализирован. Этот обфусцированный код стилера, который ищет ценные данные на компьютере жертвы и незаметно отправляет их на сервер Discord. ➡ Читать статью [14 min]. ➡ Первоисточник. S.E. ▪️ infosec.work ▪️ VT

😈 Первое IT мошенничество. • Первое IT мошенничество с причинением значительного финансового ущерба было совершено Норманом Хантом в 1977 году, когда Хант, под вымышленным именем Дэвид Уинтроп, основал компанию DataSync Corp, в городке Санта-Мария, штат Калифорния. Компания Datasync агрессивно рекламировалась в компьютерных журналах, где в объявлениях с красивыми цветными фото Хант предлагал купить у него оборудование по невероятно низким ценам для того времени. Хант мог спокойно заманивать покупателей любой ценой, потому что оборудования, которое таким образом он «виртуально» продавал, по факту даже не существовало. • В июне 1977 года Хант был арестован за мошенничество и приговорен судом штата к трем годам заключения. Однако, Норман провел в тюрьме менее шести месяцев. За это время он организовал побег и смог перебраться в штат Аризона, где сменил свое имя на Джим Андерсон и основал компанию World Power Systems (WPS). • Норман снова хотел вернутся к своим старым трюкам и начать рекламировать вымышленное оборудование по невероятно низким ценам. Но некоторые компьютерные энтузиасты начали замечать, что рекламируемое оборудование на фотографиях в журналах было собрано неправильно, а некоторые устройства даже не имели нужных контактов для электропитания! Поэтому, некоторое время после своего основания, компания WPS работала для обретения хорошей репутации, соблюдая все законы и правила, заказы поступали, их быстро отправляли клиентам, но по мере того, как объем заказов начал увеличиваться, Хант начал реализовывать новые схемы мошенничества. • От имени компании WPS им отправлялись предупреждающие письма клиентам, в которых уведомлялось, что, к сожалению, клиенты не могут получить свой продукт вовремя, так как у поставщика нет нужного количества заказанного оборудования. В то же время, компания WPS начала запрашивать у своих прямых поставщиков оборудования отсрочку по платежам и даже возможность поставки оборудования в кредит. Если поставщики соглашались, то Хант делал крупные заказы на дорогостоящие компоненты, обещая поставщикам, что платежи за заказы будут произведены через 30 дней после поставки. Склады компании заполнялись оборудованием, а клиентам фактически ничего не отгружалось. • Когда ситуация в компании начала усугубляться, а кредиторы угрожали подать в суд, то Хант начал реализовать следующий этап своего обмана — он обнуляет банковские счета компании и переводит деньги на свои счета, усложняет логистику и начинает перемещать оборудование по разным трудно отслеживаемым направлениям и скрытым складам, чтобы максимально замести следы для полиции, и, самое главное, находит козла отпущения, который возьмет на себя всю вину за происходящее. • Хант заранее находил простоватого сотрудника, которого продвигал на пост президента компании, порулив активами компании и максимально приготовив все к бегству, Хант уходил в долгосрочный отпуск, отдавая руководство компанией в руки новоиспеченного президента. А сам Хант с денежками и оборудованием пропадал из штата. • Полиция же арестовывает ничего не понимающего президента чуть ли не в первый его рабочий день и начинает расследование, в то время, как Хант получил хорошую временную фору для спокойного бегства и продолжения своих грязных дел в других штатах. • Но закончилось все предсказуемо - Ханта поймали и посадили в тюрьму. Однако и там он успел провернуть еще одну аферу, на этот раз связанную с тюремной охраной, продавая якобы рабочее программное обеспечение, известное как “Word Type”, включающее в себя почти 100 разных программ всего за 109,95 долларов, так он нашел себе новый рынок продажи программного воздуха наивным пользователям. • Любой неудачник, купивший этот комплект программ, если он все же получал их копию на руки, обнаруживал, что эти программы не запускаются совсем или являются переименованными копиями существующих программ. После вскрытия этой аферы, Ханта перевели в исправительный центр города Сан-Диего в 1981 году, где след его компьютерных злоключений окончательно затерялся. ➡ Первоисточник. #Разное

Правительство Великобритании намерено предоставить Jaguar Land Rover кредит в размере 1,5 млрд фунтов стерлингов, который уйдет на поддержку автопроизводителя после недавней кибератаки, парализовавшей работу предприятий почти на месяц. Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе. 31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat. С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября. Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе. Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам. Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики. Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска. Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней. В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании. Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок. Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода. По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов. Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.

• Максимально большая коллекция словарей для брутфорса, которые используют многие пентестеры в своей работе. Самое главное - весь материал абсолютно бесплатный, без ограничений и всего прочего. Ну и еще есть API для автоматизации и интеграции в собственные инструменты. Забираем отсюда: https://weakpass.com #Пентест

⚠️ WMI — это не только удобный инструмент администратора, но и один из самых скрытных векторов атак в Windows. 🔎 На открытом вебинаре вы узнаете, как работают такие атаки и как вовремя их выявлять. Разберем: - Что такое WMI и как он применяется в администрировании. - Почему WMI так любят злоумышленники. - Какие методы мониторинга помогают обнаружить скрытные атаки. 📅 Урок пройдёт 6 октября в 20:00 МСК в преддверии старта курса «Reverse Engineering». Присоединяюсь и получите скидку на обучение: https://otus.pw/HulE/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

💣 Zip-бомбы для защиты сервера. • Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт. • Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры. • В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных. • Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт. • Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре. #ИБ #Web