S.E.Book

👨‍💻 Прорываемся к домен контроллеру через розетку. • Занимательная история про внутренний пентест, в ходе которого специалистам удалось добраться до администратора домена не имея учетной записи. • В этом проекте использовались много разнообразных техник: от декомпиляции приложения и расшифровки извлеченных учетных данных, до повышения привилегий через базу данных на сервере и сбора информации от имени учетной записи компьютера. В рассказе подробно разобрано, как они сложились в успешный вектор атаки. ➡ https://habr.com/ru/post/767706/ #Пентест

🛡 Аппаратное шифрование. • Шифрование – тема бездонная. Всегда найдется тема, которую либо не раскрыли, либо раскрыли чрезвычайно узко. Вот сегодня мы и поговорим про вот такую узкую тему в шифровании – а именно про аппаратное шифрование. • Итак, аппаратное шифрование. Его смысл в том, что если при обычном шифровании вся крипто-магия идет на вашем компьютере, то в аппаратном шифровании – на вашем устройства (например, на отделяемом жестком диске). Поэтому оно не требует специального софта: нужно только пустое гнездо для USB. Обычно, на таком аппарате есть клавиши для ввода числового пароля. Подключил диск, набрал комбинацию, он открылся. Набрал неправильную комбинацию – открылся шиш с маслом. • Какие ваши преимущества? Да очень простые. Во-первых, не нужен никакой софт. Во-вторых, цифровой пароль запоминается проще, чем численный и буквенный. В-третьих, аппаратный диск специально защищен от дешифровки софтовыми методами. Ну и физическим перебором его не возьмешь – заблокируется и все тут. В-четвертых, его не вытащить физически: весь диск залит эпоксидкой. Попытка его извлечь гарантированно убьет все данные. • Но это все цветочки. Самая главная ягодка – это пароль под давлением. Проблема вот в чем: когда оперативник видит архив, то он понимает, что в нем 2 гигабайта вещдоков, поэтому если ты вводишь пароль под давлением и он открывается пустым – значит ты уничтожил улики. А это уже срок. Аппаратное хранилище не показывает, есть на нем данные или нет. И поэтому тут пароль самоуничтожения работает. Наличие улик на этом жестком диске доказать невозможно. Так что я могу рекомендовать. • А что по минусам? Цена. Такие девайсы стоят много-много шекелей. Но они того стоят. #Шифрование

📦 Готовые образы VM для быстрого развертывания и экспериментов. • Полезный список хранилищ с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов. • Free VirtualBox Images от разработчиков VirtualBox. • Коллекция готовых VM от Oracle. • Абсолютно любые конфигурации VM на базе Linux и Open Sources. • Образа VMware cо старыми версиями Windows (98, 2000, XP) • VM на iOS и MacOS: - https://getutm.app - https://mac.getutm.app + Образы: - https://mac.getutm.app/gallery/ - https://github.com/utmapp/vm-downloads/releases #Виртуализация #VirtualBox #VMWare

🟢Motorola. С чего началась история великой компании? • Компания Motorola работает почти 100 лет. За это время она разработала массу инновационных технологий, включая первую коммерческую кабельную телесеть, выпускала телевизоры и компьютеры, радиоприёмники и радиотелефоны, смартфоны и умные часы. Процессоры от компании использовались в Apple Macintosh и в КПК Palm, а транспондеры летали в космос на Союз — Аполлон. • Началось всё в 1928 году, когда братья Пол и Джозеф Галвины купили оборудование для производства переходников, позволяющих подключать приёмники на батарейках к электросети. Оборудование с аукциона обошлось в 750 долларов. В первое время в компании работали всего пять человек, а стартовый капитал составил 565 долларов (около 16 тыс. баксов на текущий момент). • Производство таких переходников оказалось гиблым делом и приносило компании деньги всего два года. Новые радиоприёмники были способны работать от сети сразу из коробки, без «доработки» и дополнительных устройств. Но Пол Галвин узнал о том, что умельцы начали устанавливать радио в автомобилях, и бросил вызов своим инженерам. • Пол Галвин продемонстрировал рабочую модель радио для автомобилей в 1930 году на конвенции Ассоциации изготовителей радио. С конвенции в Атланти-Сити Галвин вернулся с заказами, спасшими молодую компанию от банкротства. • Радиоприёмник получил название Motorola, где «motor» — это «motorcar», а «ola» взята от названий виктрола, радиола и так далее и обозначает звук. Нечто вроде «звук в движении». Первую Моторолу установили в автомобиль марки Studebaker. В 1947 году компания сменила своё название с Galvin Manufacturing Corporation на Motorola, спустя четыре года после того, как разместила акции на бирже. • С ноября 1930 года автомобильные радиоприёмники компания начала продавать полицейским участкам. Многие продукты компании связаны с радио — это переходник для радио с батареек в сеть, радиоприёмники для авто, портативные рации, оборудование для сотовой связи, мобильные. • В 1955 году, спустя несколько лет после открытия исследовательского подразделения Motorola в Аризоне, компания представила первые доступные на массовом рынке германиевые транзисторы. В следующем году компания выпустила радио для автомобилей на этих транзисторах, меньше, энергоэффективнее, долговечнее, чем прыдыдущие модели. • Работая в этом направлении, в 1960 году Motorola представила кремниевый транзистор Mesa — один из самых маленьких на тот момент доступных транзисторов. И затем начала производство карманных радио на транзисторах. • К слову, американские экономисты подсчитали, что среди американских компаний, Motorola внесла наибольший вклад в победу над Германией во Второй мировой войне. Одним из важных вкладов стала рация Handie-Talkie SCR536 выпуска 1940 года. Это устройство весило 5,5 килограммов, работало 15 часов на одном заряде двух батарей и ловило сигнал в радиусе до 1,6 км. • Ну и стоит еще отметить то, что первые слова с Луны на Земле в 1969 году услышали благодаря передатчику разработки Motorola. А в 1975 году транспондеры производства Motorola полетели в космос с миссией Союз — Аполлон. Вот так и зарождалась великая компания, которая потом начала заниматься производством пейджеров, телефонов и даже телевизоров (на фото). #Разное

CISA предупреждает о том, что злоумышленники активно используют недавнюю критическую уязвимость в низкоуровневом конструкторе ИИ Langflow в неконтролируемых масштабах. Langflow - это основанный на Python, независимый от LLM конструктор искусственного интеллекта, представляющий собой настраиваемую визуальную среду, которая поддерживает разработку многоагентных и поисковых приложений дополненной генерации (RAG). Инструмент, имеющий почти 60 тыс. звезд и 6,3 тыс. форков на GitHub, используется разработчиками ИИ, исследователями и стартапами для создания прототипов чат-ботов, конвейеров данных, систем агентов и приложений ИИ. Отслеживаемая как CVE-2025-3248 (CVSS 9,8) и раскрытая в начале апреля ошибка описывается как проблема внедрения кода в конечную точку проверки кода, устранена в версии Langflow 1.3.0. Удаленный и неаутентифицированный злоумышленник может отправлять специально созданные HTTP-запросы для выполнения произвольного кода. 9 апреля Horizon3.ai опубликовала технические подробности об уязвимости, предупредив, что PoC, нацеленный на нее, уже выпущен и его можно использовать для получения полного контроля над уязвимыми серверами. После публикации отчета Horizon3.ai и появления PoC исследователи SANS заметили всплеск обращений к уязвимой конечной точке Langflow. Уязвимый код присутствует в самых ранних версиях Langflow, выпущенных два года назад. Проведенное исследователями тестирование показало, что большинство версий до 1.3.0, если не все, подвержены эксплуатации. Причем Horizon3.ai отмечает, что смогла обнаружить несколько путей эксплуатации ошибки для удаленного выполнения кода. При этом исправление в версии 1.3.0 добавило требование аутентификации, но не полностью устранило уязвимость. Ограничение сетевого доступа к фреймворку должно устранить риск эксплуатации. Технически эта уязвимость все еще может быть использована для повышения привилегий от обычного пользователя до суперпользователя Langflow, но это уже возможно и без этой уязвимости. Исследователи обращают внимание также на то, что не совсем понятно, зачем Langflow разделяет суперпользователей от обычных пользователей, если все обычные пользователи по умолчанию могут выполнять код на сервере. Результаты сканирования Censys указывают на существование около 460 хостов Langflow, доступных через интернет. Однако неясно, сколько из них уязвимы. CISA не предоставила никаких конкретных подробностей о наблюдаемой активности по эксплуатации и заявила, что в настоящее время неизвестно, используют ли уязвимость банды вымогателей. Но будем посмотреть.

🖥 Gopher. Протокол, который поддерживается энтузиастами по сей день. • Когда в 90-х годах к сети начали подключать все больше ПК, то появился спрос на специальный инструмент для поиска и считывания данных. Из-за этого и возник так называемый «Internet Gopher Protocol». В спецификации протокола RFC1436 мы можем встретить многие понятия, используемые и по сей день: соединение TCP/IP, модель «клиент-сервер» и т. п. Если коротко, то Gopher был своего рода протоколом «раннего веба» в простом текстовом виде, оптимизированным для медленных соединений. • На самом деле, Gopher был активен не так долго, его создали в 1991 году, а популярность начала снижаться в 1994 году. Проблемы были не только техническими, но и юридическими — лицензия на сервер Gopher была платной (её перелицензировали под GNU License только в 2000 году). Кроме того, компьютеры стали мощнее, и люди стали предпочитать более красивые страницы WWW вместо текстовых. Любопытно, что Internet Explorer в Windows 95 мог открывать ссылки Gopher, но уже в Windows XP этой функции больше не было. • Но всё-таки некоторые серверы Gopher поддерживаются энтузиастами и по сей день. Бесплатный клиент можно скачать со страницы https://github.com/jankammerath/gophie/releases, а потом попробовать открыть страницу gopher://gopherddit.com:70, обеспечивающую доступ к группам Reddit, ну или адресу gopher://gopherpedia.com:70 можно читать Википедию. #Разное

❓ DevSecOps, AppSec, Pentest, Audit, Compliance — кто чем занимается? Границы между направлениями в информационной безопасности размываются, а вопросы только множатся. 📆 7 мая в 20:00 МСК на открытом уроке разложим всё по полочкам. Вы узнаете: — чем DevSecOps отличается от AppSec и Pentest; — где заканчивается работа одного специалиста и начинается зона ответственности другого; — какие роли актуальны сегодня и зачем их столько. 👨‍💻 Спикер Артем Бердашкевич — руководитель направления DevSecOps в Positive Technologies. 💡 Полезно начинающим ИБ-специалистам, тимлидам, менеджерам и инженерам. ➡️ Регистрируйтесь и получите скидку на программу обучения "Внедрение и работа в DevSecOps": https://otus.pw/Ia7h/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Хакеры активировали секретные бэкдоры, которые им удалось внедрить еще шесть лет назад в плагины Magento, что позволило взломать почти 1000 Интернет-магазинов. Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren. По данным Sansec, хакеры модифицировали исходный код 21 плагина. Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии. Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины. Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере. Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа. На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов». Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует: - Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта; - Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте; - Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.

📶 Алгоритм установления соединения в протоколе SSH. • Алгоритм протокола SSH можно разделить на три уровня, каждый из которых располагается над предыдущим: транспорт (открытие защищённого канала), аутентификация, подключение. Для целостности картины добавим сюда уровень установки сетевого соединения, хотя официально этот уровень находится ниже SSH. 🟢 Установка TCP-соединения: на этом этапе происходит сетевое подключение клиента к серверу на TCP-порт, указанный в опции Port (по умолчанию: 22) в файле конфигурации сервера /etc/ssh/sshd_config 🟢 Открытие защищенного канала: - Обмен идентификационными данными: после установки TCP-соединения, клиент и сервер обмениваются версиями SSH-протокола и другими вспомогательными данными, необходимыми для выяснения совместимости протоколов и для выбора алгоритмов работы. - Выбор алгоритмов (обмена ключами, шифрования, сжатия и т.п.): на этом шаге стороны отсылают друг другу списки поддерживаемых алгоритмов, наибольший приоритет имеют алгоритмы в начале каждого списка. Затем сравнивают алгоритмы в полученных списках с алгоритмами, имеющимися в системе, и выбирают первый совпавший в каждом списке. Список доступных алгоритмов обмена ключами на стороне клиента (используются для получения сессионного ключа) можно посмотреть командой: ssh -Q kex - Получение сессионного ключа шифрования: Процесс получения сессионного ключа может отличаться в зависимости от версии алгоритма, но в общих чертах сводится к следующему: Сервер отсылает клиенту свой ключ (DSA, RSA или т.п.), если клиент производит соединение с данным сервером впервые, то пользователю будет задан вопрос о доверии ключу сервера. Если же соединение с данным сервером уже устанавливалось ранее, то клиент сравнивает присланный ключ с ключом, записанным в /home/username/.ssh/known_hosts. Если ключи не совпадают, то пользователь получит предупреждение о возможной попытке взлома. Как только клиент определился с доверием к ключу сервера, с помощью одной из реализаций алгоритма Диффи-Хеллмана клиент и сервер генерируют сеансовый ключ, который будет использоваться для симметричного шифрования канала. 🟢 Аутентификация клиента: только теперь, когда клиент и сервер установили канал для зашифрованной передачи данных, они могут произвести аутентификацию по паролю или ключам. - В общих чертах, аутентификация посредством ключей происходит следующим образом: клиент отсылает серверу имя пользователя и свой публичный ключ. Сервер проверяет в файле /home/username/.ssh/authorized_keys наличие присланного клиентом открытого ключа. Если открытый ключ найден, то сервер генерирует случайное число и шифрует его открытым ключом клиента, после чего результат отправляется клиенту. Клиент расшифровывает сообщение своим приватным ключом и отправляет результат серверу. Сервер проверяет полученный результат на совпадение с тем числом, которое он изначально зашифровал открытым ключом клиента, и в случае совпадения считает аутентификацию успешной. 🟢 Уровень подключения: после проведения всех вышеперечисленных процедур, пользователь получает возможность передавать команды серверу или копировать файлы. #SSH

Защищаете ли вы информацию должным образом? Криптография — ключевая составляющая информационной безопасности, и она становится всё более важной в мире современных технологий. На открытом уроке «Роль криптографии в ИБ. Криптографическая защита информации: цели, методы, технологии» мы разберём, как криптография помогает защищать данные, какие методы и технологии на передовой защиты информации, и почему она критична для вашей безопасности. Этот вебинар полезен специалистам по ИБ, криптографам, IT-архитекторам и руководителям подразделений безопасности, которые хотят глубже разобраться в защите данных. Открытый урок проходит в преддверии старта курса «Информационная безопасность. Basic», и все участники получат скидку на обучение. Встречаемся 7 мая в 20:00 МСК — не упустите шанс улучшить свои навыки в области ИБ и криптографии с OTUS: https://otus.pw/aczQ/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🖥 FAR Manager. • Вероятно Вы слышали, что Евгений Лазаревич Рошал, который является автором формата RAR и архиватора WinRAR, является еще создателем файлового менеджера FAR Manager. История создания FAR начинается через три года после создания WinRAR, а первая общедоступная бета-версия менеджера увидела свет 10 сентября 1996 года. • В то время FAR начал уверенно конкурировать с другим набиравшим популярность на постсоветском пространстве файловым менеджером: DOS Navigator, но обладал перед ним целым рядом преимуществ. Прежде всего, FAR умел взаимодействовать с файловой системой NTFS, благодаря чему с ним могли работать пользователи Windows NT. Кроме того, он корректно определял кодировки русского языка (в том числе, в именах каталогов и файлов), и позволял устанавливать подключаемые модули — плагины, которые значительно расширяли функциональность программы. • Первые редакции FAR Manager были проприетарными, но в 2000 году Рошал передал версию 1.64 нескольким авторам наиболее популярных плагинов «за спасибо», после чего программа получила дальнейшее развитие под лицензией BSD, а ее разработчики объединились в организацию под названием FAR Group. • В 2004 году Евгений передал все коммерческие права на свои разработки старшему брату Александру Рошалу, который впоследствии стал самостоятельно контролировать вопросы распространения его программных продуктов, а сам покинул Россию. Евгений Лазаревич ведет очень замкнутый образ жизни, поэтому о его нынешнем роде занятий практически ничего не известно. По слухам, он обосновался в Германии, а позже перебрался в США. • В настоящий момент архиватором Рошала продолжают пользоваться миллионы людей по всему миру, а FAR Manager до сих пор установлен на многих компьютерах под управлением Microsoft Windows — эту программу предпочитают те, кто привык к «двухппанельному» интерфейсу классического Norton Commander. #Разное

👩‍💻 Win11Debloat. • Очень полезный PowerShell скрипт, который поможет вырезать весь мусор и ускорить Ваш Windows. Возможности: — Удалить все бесполезные приложения, которые замедляют ОС; — Отключить рекламу в меню Пуск; — Вернуть панель задач из Windows 10; — Вырубить телеметрию и сбор данных; — Убрать бессмысленные опции в контекстном меню; — Вырезать Кортану, Copilot и Bing. • Работает на Windows 11 и 10. Если какие-то изменения не подходят — их легко откатить. Забираем с GitHub: ➡️ https://github.com/Raphire/Win11Debloat #PowerShell #Windows

🔃 BitTorrent over I2P: анонимный обмен файлами. • Пост выходного дня: интересный и полезный материал, который описывает сетевой протокол BitTorrent и затрагивает тему анонимной передачи файлов через скрытые сети вроде I2P: ➡️ https://habr.com/ru/articles/649151/ #Сети

• Я тут Вам очень крутую шпаргалку по командам Linux принёс. Надеюсь, что будет полезно. • Ну и ещё немного дополнительного материала: ➡Книга «Эффективная консоль»; ➡Руководство по безопасности Linux-сервера; ➡Упражнения для девопсов (сейчас 2624 упражнений и вопросов). Наверное, полезно также при подготовке к собеседованиям; ➡Управление Linux, подборка репозиториев на Github; #Linux

• В хорошем качестве. #Linux

• А вы знали, что установка Windows 95 проходила через три операционные системы: MS-DOS, Windows 3.1, а уже потом Windows 95. Почему не перейти от MS-DOS сразу к Windows 95? • Пользователь Twitter @tthirtle спросил:

Here’s another good question. Why does Windows 95 setup use 3 different UI’s. DOS,Win3.x,and Win9x? - - - Ещё один хороший вопрос: почему в установке Windows 95 используется три разных UI. DOS, Win3.x и Win9x?

• Установка Windows 95 может быть апгрейдом с трёх начальных точек: MS-DOS, Windows 3.1 или Windows 95. (Да, можно проапгрейдить Windows 95 до Windows 95. Это может понадобиться для того, чтобы восстановить повреждённую систему и сохранить при этом данные). • Один из вариантов решения — написать три версии установки Windows 95: одна для установки из MS-DOS, другая для установки из Windows 3.1 и третья для установки из Windows 95. Это не очень удобный вариант, ведь, по сути, придётся трижды выполнять одну и ту же работу, но реализованную по отдельности, так что потребуется в три раза больше кода. • Вариант получше: просто написать одну версию установки Windows 95 и использовать её для всех трёх начальных точек. Так вы сможете выбирать платформу, на которой будет базироваться ваш код. • Если написать установку Windows 95 как приложение MS-DOS, то оно запустится на всех трёх платформах. И это отлично! Достаточно написать только одну программу-установщик. Недостаток этого заключается в том, что это будет установщик в текстовом режиме, который будет выглядеть некрасиво и оставит неприятное первое впечатление от продукта, который должен познакомить пользователя с миром совершенно нового GUI. • Вариант с другого конца спектра: можно написать установщик Windows 95 как 32-битную GUI-программу, но если пользователь начинает с MS-DOS или Windows 3.1, то придётся установить Windows 95 до того, как можно будет запустить установку Windows 95! • Но есть и золотая середина: можно сделать так, чтобы программа-установщик для MS-DOS устанавливала минимальную версию Windows 3.1, в которой есть только ровно необходимое для 16-битной GUI-программы установки. Эта крошечная версия достаточно мала, чтобы её можно было скопировать и установить с небольшого количества гибких дисков. После завершения её установки можно загрузить крошечную версию Windows 3.1 и запустить 16-битную GUI-программу установки. • Итак, теперь у нас есть три программы-установщика. Первая используется при установке из MS-DOS: она устанавливает крошечную версию Windows 3.1, а затем загружает Windows 3.1, чтобы продолжить выполнение со следующего этапа. • Вторая программа-установщик запускается как 16-битная программа Windows или в миниатюрной копии Windows 3.1 (если пользователь выполняет апгрейд с MS-DOS), или в реальной копии Windows 3.1 (если пользователь апгрейдится с Windows 3.1), или в реальной копии Windows 95 (если пользователь обновляется с Windows 95). Эта вторая программа-установщик и выполняет практически всю реальную работу: она обеспечивает первоначальное взаимодействие с пользователем для получения информации о том, как устанавливать Windows 95, например, спрашивает, какие опциональные компоненты нужно установить, а также выполняет распознавание оборудования, чтобы знать, какие драйверы устанавливать2. Затем она копирует драйверы и файлы Windows 95 в систему, выполняет миграцию старых настроек в новую операционную систему и загружает Windows 95. • Третья программа-установщик запускается как 32-битное приложение Windows. Она работает в реальной системе Windows 95 и выполняет финальные шаги, требующие живой работающей системы, например, устанавливает принтеры. Именно поэтому установка Windows 95 — это, на самом деле, цепочка из трёх программ-установщиков. Это позволяет использовать одну копию кода во всех трёх сценариях установки. Каждая программа на один шаг приближает вас к цели. И всё это реализовано только один раз. ➡ Первоисточник || Источник. #Разное

👨‍💻 Attack methods for Windows Active Directory. • Этот репозиторий содержит информацию о методах, которые используются для атак Windows Active Directory. Материал постоянно обновляется и поддерживается автором в актуальном состоянии. Обязательно добавляйте в закладки и используйте на практике: • Pre-requisites; • PowerShell AMSI Bypass; • PowerShell Bypass Execution Policy; • Evasion and obfuscation with PowerShellArmoury; • Windows Defender; • Remote Desktop; - Enable Remote Desktop; - Login with remote desktop; - Login with remote desktop with folder sharing; • Enumeration; - Users Enumeration; - Domain Admins Enumeration; - Computers Enumeration; - Groups and Members Enumeration; - Shares Enumeration; - OUI and GPO Enumeration; - ACLs Enumeration; - Domain Trust Mapping; - Domain Forest Enumeration; - User Hunting; - Enumeration with BloodHound; - Gui-graph Queries; - Console Queries; • Local Privilege Escalation; • Lateral Movement; • Persistence; - Golden Ticket; - Silver Ticket; - Skeleton Key; - DCSync; • Privilege Escalation; - Kerberoast; - Targeted Kerberoasting AS REPs; - Targeted Kerberoasting Set SPN; - Kerberos Delegation; - Unconstrained Delegation; - Printer Bug; - Constrained Delegation; - Child to Parent using Trust Tickets; - Child to Parent using Krbtgt Hash; - Across Forest using Trust Tickets; - GenericAll Abused; • Trust Abuse MSSQL Servers; • Forest Persistence DCShadow. #Пентест #AD

Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия). По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации. Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы. Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY. Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake. Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной. В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам. Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger. Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda). Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их. Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных. Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО. Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe. В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2. KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe. Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2. Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx. Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем. Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа. Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat. ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра. Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.

👣 Docker Escape. • Очень крутой и содержательный урок (вебинар) про различные методы, которые злоумышленник может использовать для побега из контейнера Docker, а ещё мы разберем необходимые шаги для успешного побега на понятных примерах. Также обсудим причины возникновения таких уязвимостей и разберём, какие меры можно принять, чтобы предотвратить побег из контейнеров по следующим сценариям: ➡SYS_ADMIN; ➡SYS_PTRACE; ➡SYS_MODULE; ➡DAC_READ_SEARCH; ➡DAC_OVERRIDE; ➡docker soсket. ➡️ https://youtu.be/biC3TO7OELY ➡️ https://github.com/aleksey0xffd/docker-escape • К слову, у автора есть много другого полезного материала. Обязательно к просмотру: ➡Введение в безопасность Docker; ➡Ультимативный гайд по харденингу Docker. #Docker