S.E.Book

💬 true story... О скрытии сообщений в эмодзи и взломе казначейства США. • 30 декабря 2024 года, пока большинство людей суетились в преддверии празднования Нового года, Казначейство США готовило для Финансового комитета Сената США важное уведомление. В нём сообщалось, что его системы, которые содержат особо чувствительные конфиденциальные данные, были взломаны группой правительственных хакеров Китая. • И это ещё не самое безумное. Начнём с того, что это была старая добрая атака посредством внедрения SQL-кода. За защиту серверов казначейства отчасти отвечает инструмент управления привилегированным доступом (Privileged Access Management, PAM) компании Beyond Trust. К сожалению для них, сотрудники Beyond Trust были вынуждены сообщить эту новость правительству, поскольку именно их ПО хакеры использовали в качестве точки входа. • Но на месте Beyond Trust могла оказаться любой другая компания, так как в основе уязвимости лежит PostgreSQL — одна из самых распространённых реляционных баз данных в мире. Как же так получилось, что в PostgreSQL более 9 лет просидела нераскрытой уязвимость нулевого дня? Причём ещё и уязвимость SQLi. ➡ Оригинал. ➡ Перевод. S.E. ▪️ infosec.work ▪️ VT

Реализована первая успешная атака на цепочку поставок с использованием ИИ, нацеленную на разработчиков JavaScript, работающих с популярной системой сборки Nx с открытым исходным кодом, которая имеет более чем 4 млн. загрузок еженедельно. В рамках недавно обнаруженной атаки, получившей название s1ngularity, хакеры украли токен Nx NPM, позволяющий им публиковать вредоносные версии пакета в реестре. Как объясняют разработчики Nx, в основе атаки лежал уязвимый рабочий процесс, представленный 21 августа, который можно было использовать для внедрения кода. Несмотря на то, что ошибка была устранена в основной ветке почти сразу после того, как была обнаружена возможность ее вредоносной эксплуатации, злоумышленник использовал ее в запросе на включение изменений в репозиторий nrwl/nx, нацелившись на устаревшую ветку, чтобы украсть GITHUB_TOKEN, имеющий разрешения на чтение и запись в репозитории. Затем GITHUB_TOKEN использовался для запуска рабочего процесса publish.yml, содержащего токен NPM, используемый для публикации нескольких вредоносных версий Nx и поддерживающих пакетов плагинов. Причем пользователи расширения Nx Console IDE также пострадали, даже если у них не было рабочих пространств с Nx. В период с 18:32 до 20:37 по восточному времени 26 августа было опубликовано восемь вредоносных версий Nx. Они были удалены в 22:44, а все токены NPM с разрешениями на публикацию были отозваны в 23:57. Как отмечают разработчики, спустя несколько часов все пакеты NPM в Nx стали требовать 2Fa и больше не могли публиковаться с токенами NPM. Во всех пакетах NPM также был реализован новый механизм доверенного издателя, который не использует токены NPM. Wiz отмечает, что Nx 21.5.0, 20.9.0, 21.6.0, 20.10.0, 21.7.0, 20.11.0, 21.8.0 и 20.12.0 были упакованы скриптом, который запускал вредоносный файл telemetry.js в системах Linux и macOS. Полезная нагрузка была разработана для систематического поиска в системах конфиденциальных файлов и переменных среды, содержащих ключи SSH, токены NPM и GitHub, ключи API и данные криптовалютных кошельков. Все найденные данные были закодированы и записаны в файл. Вредоносный код также использовал API GitHub для создания нового публичного репозитория в учетной записи GitHub зараженного пользователя и загрузки файла со всеми украденными данными. Все публичные репозитории GitHub, содержащие украденные данные, использовали один и тот же префикс s1ngularity-repository-, что позволяло легко обнаружить их на GitHub. Вероятно, именно таким образом злоумышленник собрал украденные данные, не используя сторонний сервер. Кроме того, код был также адаптирован для его задействования в отношении таких инструментов ИИ, как Claude и Gemini, для разведки и кражи данных. В свою очередь, GitGuardian  отметили, что вредоносная ПО также наносила ущерб, изменяя файлы запуска оболочки пользователя, добавляя команды завершения работы, которые приводили к сбою систем при открытии новых сеансов терминала. По данным GitGuardian, хакерам удалось похитить 2349 различных секретов из 1079 репозиториев, выявленных 27 августа. На пике атаки почти 1400 таких репозиториев были общедоступны. Среди разнообразных утекших данных Wiz обнаружила более тысячи действительных токенов Github, десятки действительных облачных учётных данных и токенов NPM, а также около двадцати тысяч украденных файлов. Во многих случаях вредоносное ПО, по-видимому, запускалось на компьютерах разработчиков, часто через расширение NX VSCode. Также наблюдались случаи, когда вредоносное ПО запускалось в конвейерах сборки, таких как Github Actions. По мнению StepSecurity, это первый известный случай, когда злоумышленники превратили ИИ-помощников разработчиков в инструменты для эксплуатации цепочек поставок.

• Нашел очень крутой агрегатор новостей для ИБ специалистов, который парсит соответствующие ресурсы и формирует список в зависимости от категорий: ➡Application Security; ➡Cloud Security; ➡Cryptography; ➡Exploit Development; ➡Computer Forensics; ➡Industrial Control Systems; ➡Network Security; ➡Reverse Engineering; ➡Social Engineering; ➡Operating System; ➡Malware Analysis. • Судя по описанию, сервис использует ИИ от OpenAI, имеет интеграцию с Shodan и базой NVD, а еще там есть открытое api. ➡️ Сервис доступен по этой ссылке: https://talkback.sh ➡️ Подробное описание можно найти тут: https://www.elttam.com/blog/talkback-intro #ИБ

Sangoma FreePBX предупреждает об активно эксплуатируемой 0-day FreePBX, которая затрагивает системы с панелью управления администратора (ACP), доступные через Интернет. FreePBX - это платформа Private Branch Exchange с открытым исходным кодом, созданная на основе Asterisk, широко используемая предприятиями, колл-центрами и поставщиками услуг по управлению голосовой связью. Согласно сообщению группы безопасности Sangoma FreePBX, с 21 августа киберподполье начало пылесосить доступные в глобальной сети админские панелях FreePBX с использованием нуля. К настоящему времени Sangoma FreePBX уже разобралась в проблеме и работает над исправлениями, которые будут развернуты в ближайшие 36 часов. Пользователям рекомендуется ограничить доступ к FreePBX Administrator с помощью модуля брандмауэра,ограничив доступ только известными доверенными хостами. Пока же команда разработчиков выпустила исправление модуля EDGE для тестирования, а полноценный стандартный выпуск запланирован на сегодня. Также следует учесть, что существующие системы 16 и 17 могли быть затронуты, если в них был установлен модуль конечной точки и их страница входа в FreePBX Administrator была напрямую открыта в сети. После вышедшего заявления Sangoma, достаточно большое число пользователей FreePBX стали сообщать о компрометации их серверов с помощью этой уязвимости. При этом замеченный эксплойт, по сути, позволяет злоумышленнику выполнить любую команду, доступную пользователю Asterisk. Пока в Sangoma не раскрывают подробности наблюдаемой кампании, но поделились МОК для определения того, был ли сервер взломан: - Отсутствует или изменен файл конфигурации /etc/freepbx.conf. - Наличие скрипта оболочки /var/www/html/.clean.sh. Предполагается, что он был загружен злоумышленниками. - Подозрительные записи журнала Apache для modular.php. - Необычные звонки на номер 9998 в журналах Asterisk начиная с 21 августа. - Неавторизованные записи в таблице ampusers в MariaDB/MySQL, в частности поиск имени пользователя ampuser в крайнем левом столбце. Если так случилось, что сервер был скомпрометирован, Sangoma рекомендует выполнить восстановление из резервных копий, созданных до 21 августа, развернуть исправленные модули на новых системах и провести ротацию всех системных и связанных с SIP учетных данных. В общем, как отмечает разработчики, чьи интерфейсы FreePBX ACP открыты, уже могут быть скомпрометированы, так что администраторам настоятельно рекомендуется проверить свои установки и системы, пока не будет применено исправление.

• Недавно на хабре был обновлен очень объемный гайд по установке Kubernetes, который включает в себя очень много полезной информации для новичков. Стоит отметить, что Kubernetes — это большая и довольно сложная тема, но если вы изучите это пошаговое руководство, то у вас появился работающий стенд для экспериментов, что послужит отличным началом для изучения k8s: https://habr.com/ru/articles/725640 • Обратите внимание, что руководство содержит много дополнительного материала: ➡Основы Kubernetes; ➡Руководство начинающим для понимания основных концепций Kubernetes; ➡Различия между Docker, containerd, CRI-O и runc; ➡Визуальное руководство по диагностике неисправностей в Kubernetes; ➡Записки о containerd; ➡Зачем нужен контейнер pause в Kubernetes; ➡Как я клонировал Томми Версетти, или запускаем GUI/GPU приложения в Kubernetes; ➡Отказоустойчивый кластер с балансировкой нагрузки с помощью keepalived. • Ну и вот еще очень содержательный репозиторий, который содержит сотни инструментов для работы с Kubernetes и контейнерами: Awesome Open Source K8s And Container Tools. #Kubernetes

• Недавно рассказывал вам про сервис Web-Check, который позволяет анализировать web-ресурсы и предоставляет следующую информацию о URL-адресе: ➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection и еще кучу всяких разных данных... • Так вот, мы реализовали функционал данного сервиса в нашем боте S.E. Virus Detect. Теперь вы можете получить всю необходимую информацию из Web-Check не выходя из Telegram! Нужно нажать всего одну кнопку (на фото) и бот сформирует красивый отчет с необходимыми данными. Думаю, что многим будет полезно. #VT

🗣 Игорь Сорокин, Максим Козлов, GitFlic: Мы не просто импортозамещаем, а формируем экосистему, где безопасность и интеграция с российскими инструментами — база После новости о переходе GitHub под контроль CoreAI Microsoft российские разработчики оказались перед выбором: оставаться зависимыми от западных платформ или искать независимые решения. ➡️ Максим Козлов, технический директор GitFlic, и Игорь Сорокин, коммерческий директор платформ GitFlic и «Боцман», в интервью для Cyber Media рассказали: 🟢как отечественные платформы позволяют строить полный цикл разработки; 🟢какие команды уже успешно мигрировали и с какими вызовами столкнулись; 🟢какие новые функции станут главным «магнитом» для разработчиков в ближайшие 1–2 года. 😎 Здесь о кибербезе

👾 Разбор CVE-2025-24071. • Речь пойдет про уязвимость CVE-2025-24071, которая позволяет атакующим получить NetNTLMv2 - хеш суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer. • Суть заключается в том, что при распаковке файла из RAR-/ZIP-архива Windows Explorer из-за доверия к файлам .library-ms автоматически анализирует их. Если в теге <url> указана ссылка на SMB-шару атакующего, то происходит автоматическая попытка NTLM-аутентификации с вытекающей из этого кражей NetNTLMv2-хешей учетной записи жертвы. Как было замечено исследователями, уязвимость также эксплуатируется при обычном сохранении вложения письма в файловую систему. Также было выявлено, что аутентификация на удаленной SMB-шаре будет необходима при любой работе с файлом .library-ms, включая его создание, удаление или перемещение по диску. • В данной статье автор продемонстрировал процесс эксплуатации CVE-2025-24071, описал суть уязвимости, генерируемые при активности события, а также предложения по детектированию. Стоит отметить, что, хотя, по версии Microsoft, уязвимость не будет популярна в публичной эксплуатации, она может быть крайне популярна в фишинговых кампаниях из-за широкой применимости в новейших ОС, а также из-за простоты эксплуатации. ➡ Читать статью [7 min]. • К слову, данная уязвимость продавалась в даркнете до выхода патча от Microsoft. Цена начиналась от 200к баксов (на фото). #ИБ

🚀💪 Как администратору Linux выйти на уровень Middle+? 👉 Приобрести необходимые навыки под руководством топовых экспертов из ведущих российских и международных компаний на онлайн-курсе «Administrator Linux. Professional» от OTUS. ⚠️ Программа идеально подойдет для системных администраторов Linux и Windows, DevOps-инженеров и SRE, Fullstack и Backend-разработчиков, сетевых и инженеров по нагрузочному тестированию, а также для специалистов по ИБ. 💪 Вы на профессиональном уровне изучите подбор конфигураций, управление процессами, обеспечение безопасности, развертывание, настройку и обслуживание сетей, что позволит вам претендовать на вакантные должности в крупных компаниях. 🎁 За успешное прохождение вступительного тестирования на странице курса вам откроется доступ к записям вебинаров от экспертов курса. 👉 Пройти вступительный тест https://otus.pw/0mSC/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

• Нашел ещё один бесплатный курс на платформе Stepik, который содержит в себе сразу несколько направлений и множество интересных задач по различным дисциплинам: ➡Введение и работа с терминалом; ➡Криптография; ➡Сети; ➡Стеганография; ➡Разведка по открытым источникам; ➡Компьютерная криминалистика; ➡Обратная разработка. • В курс входят: 25 уроков, 36 минут видео и 59 тестов. ➡ https://stepik.org/course/132488 • Учитывайте, что данный курс предназначен для студентов, которые хотят погрузиться в направление ИБ. #Курс

Исследователи Trellix раскрывают новую цепочку атак, в которой используются фишинговые электронные письма для доставки бэкдора с открытым исходным кодом под названием VShell. Цепочка заражения специфичным для Linux вредоносными ПО начинается со спам-письма с вредоносным архивом RAR. Причем полезная нагрузка не скрыта внутри содержимого файла или макроса, а закодирована непосредственно в самом имени файла. Такая техника реализует дополнительное преимущество в обходе традиционной защиты, поскольку антивирусные движки обычно не сканируют имена файлов. Отправной точкой атаки является email с архивом RAR, который включает в себя файл со вредоносным именем файла: ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`. Имя файла включает в себя Bash-совместимый код, который предназначен для выполнения команд при интерпретации оболочкой. Стоит отметить, что простое извлечение файла из архива не вызывает его выполнения. Это происходит только тогда, когда скрипт оболочки или команда пытается считать имя файла. Еще один важный аспект, который следует учитывать, заключается в том, что невозможно вручную создать имя файла с этим синтаксисом, что означает, что оно, вероятно, было создано с использованием другого языка, внешнего инструмента или скрипта, который обходит проверку ввода оболочки. Запуск, в свою очередь, приводит к выполнению встроенного загрузчика с кодировкой Base64, который затем извлекает с внешнего сервера двоичный файл ELF для соответствующей системной архитектуры (x86_64, i386, i686, armv7l или aarch64). Двоичный файл, со своей стороны, инициирует связь с C2 для получения зашифрованной полезной нагрузки VShell, декодирования и ее выполнения на хосте. Trellix отмечает, что фишинговые электронные письма замаскированы под приглашение на опрос по косметической продукции, заманивая получателей денежным вознаграждением (10 юаней) за его за его заполнение. При этом вектор социнженерии достотачно тонкий: пользователь отвлекается на содержание опроса, и наличие вложения может быть принято за документ или файл данных, связанный с опросом. VShell - это инструмент удаленного доступа на основе Go, который в последние годы широко использовался китайскими APT, включая UNC5174, поддерживающий обратную оболочку, файловые операции, управление процессами, переадресацию портов и зашифрованную связь C2. Причем вредоносное ПО работает полностью в памяти, избегая обнаружения на диске, не говоря уже о том, что оно может быть нацелено на широкий спектр устройств Linux. Результаты анализа Trellix указывают на весьма опасную эволюцию в доставке вредоносных ПО для Linux, когда простое имя файла, встроенное в архив RAR, может быть задействовано для выполнения произвольных команд и злоупотребления доверенной средой выполнения. В данном случае - обеспечивая работу мощного бэкдора VShell, способного полностью удаленно управлять системой.

Число DDoS-атак выросло в 2 раза в первом полугодии 2025 🔒 Как изменились угрозы и что поможет защититься, рассказали эксперты Selectel в регулярном отчете   Подходы злоумышленников к DDoS изменились. А вы успели перестроиться? Провайдер IT-инфраструктуры Selectel подготовил аналитический отчет по DDoS за первое полугодие 2025 и проследил тенденции. Ищите подробную статистику и комментарии экспертов в полной версии исследования.   Согласно отчету, количество атак растет, а максимальный их объем и скорость снижаются. Все говорит об изменении типа угроз: экстремально мощные атаки трансформировались в атаки типа Pulse Wave, при которых потоки вредоносного трафика идут волнами с паузами. Они стали продолжительнее — их длительность выросла в 2,5 раза.   Читайте полную версию отчета, чтобы укрепить защиту ваших IT-систем →

• Пост выходного дня: Вы когда-нибудь задумывались, что будет, если не использовать TCP или UDP при передаче данных?

Коммутаторы, маршрутизаторы, брандмауэры — все это устройства, на которых держится интернет. Они перекидывают, фильтруют, дублируют и вырезают трафик такими способами, о которых большинство даже не догадывается. Без них вы бы не смогли прочитать этот текст. Но сеть — это всего лишь один из уровней. Операционная система тоже играет по своим правилам: классификация, очереди, правила фаервола, NAT — все это влияет на то, что проходит, а что отбрасывается без следа. Каждый слой работает по-своему, и вместе они формируют ответ на вопрос: «А этот пакет вообще можно пропустить?» Однажды мне стало интересно: а что будет, если отправить пакет с несуществующим транспортным протоколом? Не TCP, не UDP, не ICMP — вообще что-то выдуманное. Пропустит ли его ОС? Дойдет ли он хотя бы до сетевого интерфейса? Не зарежет ли его какой-нибудь промежуточный маршрутизатор? А вдруг он еще и быстрее обычного дойдет, потому что никто не знает, что с ним делать? Ответа у меня не было. Так что я решил проверить...

➡️ Читать статью [16 min]. #Сети #Разное

⚠ Error 404. • 4 апреля еще с 1990-х годов привлекало активных пользователей интернета как символический повод отметить день всего, что связано со Всемирной сетью. Правда, у этой даты есть могучий соперник, 17 мая — день, когда был утвержден стандарт для страниц WWW (World Wide Web), разработанный Тимоти Бернерсом-Ли. • Но что такое 404? Дело в том, что HTTP использует для выдачи сообщений об ошибках трехзначные коды. Первая цифра, 4 означает, что ошибка произошла на стороне пользователя (например, он неправильно набрал URL-адрес и набрал адрес, которого не существует). Другие две цифры, 04 — порядковый номер статуса в блоке 4хх. По умолчанию код ответа 404 сопровождается стандартным сообщением на «человеческом» языке — «Not Found» («не найдено»). • По данным SpringTrax.com, почти 75% пользователей сразу закрывают страницу с кодом ответа 404 и идут искать информацию в другом месте. Однако, кастомизировав страницу 404, вместо стандартной протокольной, можно достичь различных целей, в том числе маркетинговых. • Так как страница с кодом ответа 404 — одна из самых часто встречающихся в интернете, многие сайты превратили функциональную выдачу информации об этой ошибке в настоящие произведения искусства. Нередко там помещают бренд компании, шуточные сообщения, ссылки на альтернативные материалы и т.д. Это повышает лояльность пользователей и шансы, что они запомнят посещенный сайт и вернутся к нему однажды. • К примеру Marvel обыгрывает все в рамках своей супергеройской вселенной (на фото). У них несколько разных страниц для 404. А некоторые (раз, два) даже анимированные! Вот еще 404 от Figma, которая полностью интерактивна, ее можно править, как и в самом редакторе! И страница 404 от github, которая обыгрывает цитату из Star Wars. Вот такие дела... #Разное

• На DEF CON показали красивое: два инженера Mark Omo и James Rowley нашли несколько актуальных методов взлома электронных замков для сейфов SecuRam. Они смогли вытащить секретный код, используя диагностический разъем внутри замка, в отсеке для батареи. А еще в замках был найден бэкдор, который позволяет взломать сейф без дополнительного аппаратного обеспечения. • Но самое забавное знаете что? Исследователи направили подробный отчет об уязвимостях в SecuRam, на что в ответ получили угрозы от юристов, которые пообещали направить иск в суд... Чем все закончилось - неизвестно (а может еще и не закончилось), но ребята представили подробный доклад на DEF CON и опубликовали демонстрацию взлома на ютубе. Надеюсь, что у них будет все хорошо =)) • Кстати, производитель планирует закрыть уязвимости в следующих моделях электронных замков, а те, что уже были выпущены и установлены, скорее всего, так и останутся уязвимыми. Тут важно отметить, что замки SecuRam используются более чем у 70% потребительских “умных” сейфов на рынке Северной Америки (около 3 млн клиентов). Они применяются, в частности, в аптечных сейфах, автоматах для сдачи наличных (Cash drop), в сетях Subway, T-Mobile и т.д. ➡️ Видео на YT; ➡️ Слайды с презентации на DEF CON. #Разное

Мы не раз шутили предупреждали, что ваш умный чайник или роутер вполне может атаковать Пентагон, пока вы неспешно проводите церемонию чаепития. Во всяком случае в кейсе RapperBot так и получилось, ботнет реально как минимум трижды использовался для атак на сети Пентагона. Но больше не будет. Его создатель и оператор 22-летний Итан Фольц, житель Орегона, был арестован. Власти США предъявили ему обвинение в создании и эксплуатации DDoS-ботнета RapperBot, который он использовал совместно с Slaykings для заказных атак. Нейтрализация ботнета проводилась в рамках операции PowerOff 6 августа во время рейда на резиденцию Фольца в Орегоне. Вредоносный ботнет на базе Mirai, также известный как Eleven Eleven и CowBot, активен как минимум с 2021 года и заразил десятки тысяч цифровых видеорегистраторов (DVR) и маршрутизаторов. Пропускная способность составляла от 2 до 6 Тбит/с. В среднем количество заражённых устройств достигало от 65 000 до 95 000. Rapper Bot использовался для атак на более чем 18 000 организаций в 80 странах, включая правительственные системы, медиаплатформы и крупные технологические компании, а также поддерживал криптомайнинг. Amazon Web Services (AWS) помогла отследить инфраструктуру С2 и предоставила спецслужбам важную развединформацию, согласно которой с апреля 2025 года Rapper Bot осуществил 370 000 атак. Мощность этих атак варьировалась от нескольких терабит до более 1 миллиарда пакетов в секунду (pps), при этом мощность осуществлялась с помощью более чем 45 000 взломанных устройств в 39 странах. Атаки часто сопровождались вымогательством. Согласно судебным документам, установить личность Фольца удалось после того, как он оплатил сервера С2 RapperBot со своего счёта PayPal.

• Многие из вас уже слышали о такой тулзе как Bettercap - это интерактивный фреймворк для автоматизации сетевых атак, который активно используется пентестерами и ИБ специалистами. Один из многочисленных плюсов Bettercap - кроссплатформенность, которая позволяет использовать весь функционал на различных ОС, включая Android. • Для настройки и использования Bettercap на Android существует очень объемное руководство, которое содержит информацию по настройке и поможет разобраться с функционалом данного инструмента. Содержание следующее: - Why Use Bettercap on Android? ➡Bettercap on Android. - Prerequisites; - Installing Bettercap in Termux; ➡Installing Termux. - Bettercap Usage and Interface: ➡Web UI; ➡Interactive Mode; ➡Eval; ➡Caplets; ➡Scripting. - Modules: ➡Wi-fi; ➡PMKID attack without connected clients; ➡Rogue Access Point; ➡Fake Access Point; ➡Evil Twin Access Point. - Bluetooth Low Energy scanning: ➡Enable Bluetooth. - Bettercap on local network: ➡Wake On Lan. - HTTP/HTTPS sniffing; - DNS spoofing: ➡Enable DNS Spoofing; ➡Set the DNS Spoofing Domain; ➡Start the DNS Spoofing Attack. - HID Attacks on 2.4GHz; - CAN-Bus; - Disconnect a device on network with ARP Ban; - Recap of Key Features; - How to Use Bettercap to Elevate Your Network Security; - Final Thoughts; - Keep Learning & Stay Ethical! ➡ https://www.mobile-hacker.com/2025/02/21/bettercap #Mitm #Tools #Пентест

• Интересный факт: первоначальное название Windows было Interface Manager. Именно под этим названием и был анонсирован проект в 1983 году, но позже был изменен на Windows перед выпуском в 1985 году. Компания приняла решение отказаться от названия Interface Manager в пользу названия Windows, поскольку оно лучше отражало основные функциональные возможности операционной системы, которая была основана на концепции графических «окон» на экране, ключевой функции пользовательского интерфейса в то время. В конце концов, Windows посчитали более удобным и описательным названием для основной функции программного обеспечения (использование окон для организации и отображения информации). ➡️ https://osm.fandom.com/wiki/Interface_Manager_0.1 #Разное

Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT. Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype. Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2. Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию. GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT. Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами. Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41). SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом. DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT. Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов. Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer. Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте. Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT. Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки. При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif. Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.

• Компания Postgres Professional опубликовали бесплатную книгу «PostgreSQL. Профессиональный SQL», которая является продолжением книги «PostgreSQL. Основы языка SQL». В книге рассмотрены общие табличные выражения, агрегатные и оконные функции, подзапросы LATERAL, создание пользовательских функций и процедур. • Учебное пособие и сопутствующие материалы (включая виртуальную машину с предустановленной СУБД и учебной базой данных) доступны бесплатно на официальном сайте Postgres Professional. • P.S. Не забывайте, что на сайте postgrespro есть еще очень много полезного материала и ряд других бесплатных книг (их теперь 7): https://postgrespro.ru/education/books #PostgreSQL #Книга