S.E.Book
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
نمایش بیشتر📈 تحلیل کانال تلگرام S.E.Book
کانال S.E.Book (@s_e_book) در بخش زبانی روسی بازیگری فعال است. در حال حاضر جامعه شامل 23 229 مشترک است و جایگاه 5 753 را در دسته فناوری و برنامهها و رتبه 28 639 را در منطقه روسيا دارد.
📊 شاخصهای مخاطب و پویایی
از زمان ایجاد در невідомо، پروژه رشد سریعی داشته و 23 229 مشترک جذب کرده است.
بر اساس آخرین دادهها در تاریخ 08 ژوئیه, 2026، کانال فعالیت پایداری دارد. در ۳۰ روز گذشته تغییر اعضا برابر -61 و در ۲۴ ساعت گذشته برابر -9 بوده و همچنان دسترسی گستردهای حفظ شده است.
- وضعیت تأیید: تأیید نشده
- نرخ تعامل (ER): میانگین تعامل مخاطب 6.73% است و در ۲۴ ساعت نخست پس از انتشار، محتوا معمولاً 3.51% واکنش نسبت به کل مشترکان کسب میکند.
- دسترسی پستها: هر پست به طور میانگین 1 564 بازدید دریافت میکند. در اولین روز معمولاً 815 بازدید جمعآوری میشود.
- واکنشها و تعامل: مخاطبان بهطور فعال حمایت میکنند؛ میانگین واکنش به هر پست 0 است.
- علایق موضوعی: محتوا بر موضوعات کلیدی مانند linux, microsoft, kubernetes, интерфейс, api تمرکز دارد.
📝 توضیح و سیاست محتوایی
نویسنده این فضا را محل بیان دیدگاههای شخصی توصیف میکند:
“Copyright: @SEAdm1n
Вакансии: @infosec_work
Сотрудничество - @SEAdm1n
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
РКН: https://vk.cc/cN3VGo”
به لطف بهروزرسانیهای پرتکرار (آخرین داده در تاریخ 09 ژوئیه, 2026)، کانال همواره بهروز و دارای دسترسی بالاست. تحلیلها نشان میدهد مخاطبان بهطور فعال با محتوا تعامل دارند و آن را به نقطه اثرگذاری مهم در دسته فناوری و برنامهها تبدیل کردهاند.
در حال بارگیری داده...
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 09 ژوئیه | 0 | |||
| 08 ژوئیه | 0 | |||
| 07 ژوئیه | +1 | |||
| 06 ژوئیه | +2 | |||
| 05 ژوئیه | 0 | |||
| 04 ژوئیه | +1 | |||
| 03 ژوئیه | +5 | |||
| 02 ژوئیه | +1 | |||
| 01 ژوئیه | +1 |
• Каждый день тысячи людей используют SSH для подключения к серверам, домашним ПК, роутерам и смартфонам. SSH-клиенты есть для всех сколько-нибудь популярных платформ, а сервер SSH встраивают даже в умные лампочки.
• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Всем начинающим для прочтения строго обязательно.
➡️ https://iximiuz.com/en/posts/ssh-tunnels/
• В дополнение: Практические примеры SSH.
➡SSH socks-прокси;
➡SSH через сеть Tor;
➡SSH к инстансу EC2;
➡Установка VPN по SSH;
➡Обратный прокси SSH;
➡Обратный SSH-туннель;
➡SSH-туннель на третий хост;
➡Прыжки по хостам с SSH и -J;
➡Двухфакторная аутентификация;
➡Копирование ключа SSH (ssh-copy-id);
➡Туннель SSH (переадресация портов);
➡Потоковое видео по SSH с помощью VLC и SFTP;
➡Удалённое выполнение команд (неинтерактивно);
➡SSH Escape для изменения переадресации портов;
➡SSH Escape для изменения переадресации портов;
➡Мультиплексирование SSH с помощью ControlPath;
➡Удалённый перехват пакетов и просмотр в Wireshark;
➡Удалённые приложения GUI с переадресацией SSH X11;
➡Удалённое копирование файлов с помощью rsync и SSH;
➡Блокировка попыток брутфорса SSH с помощью iptables;
➡Копирование локальной папки на удалённый сервер по SSH;
➡Монтирование удалённого SSH как локальной папки с SSHFS;
➡Редактирование текстовых файлов с помощью VIM через ssh/scp;
#SSH #Сети| 2 | • Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.
➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships
#Разное | 836 |
| 3 | Исследователи Лаборатории Касперского совсем разошлись и выкатывают отчет за отчетом, на этот раз в их поле зрения - Armored Likho, APT-группа, реализующая сложные таргетированные атаки на правительственные организации и ТЭК в нескольких странах.
Злоумышленник использует модульные RAT и стилеры в рамках как финансово мотивированными атаках на отдельных лиц, так и кибершпионажа в отношении организаций в России, Бразилии и Казахстане.
В арсенале злоумышленника - BusySnake Stealer на основе Python, а также такие инструменты, как Go2Tunnel, для удаленного доступа и сетевого туннелирования.
Разнообразный набор вредоносных ПО позволяет злоумышленнику сохранять скрытый контроль над скомпрометированными хостами, похищать учетные данные и другую конфиденциальную информацию, а также динамически развертывать загружаемые модули, адаптированные к профилю жертвы и выполняемым задачам.
Armored Likho в основном использует целевой фишинг для первоначального доступа. Архивы, прикрепленные к его электронным письмам, содержат исполняемые файлы или LNK-файлы, которые после открытия отображают ложные цели, в то время как вредоносное ПО устанавливается в фоновом режиме.
Загрузчик, внедряемый в память через такой исполняемый файл, загружает архивы из репозиториев GitHub, содержащие ранние сборки и тестовые образцы вредоносного ПО. Файлы LNK отображают фейковый документ, в то время как интерпретатор Python 3.12 и архив загружаются в фоновом режиме.
В числе прочих компонентов архивы содержат вредоносную ПО на основе Python, которую в ЛК отслеживают как BusySnake Stealer.
Эта вредоносная ПО использует множество методов обхода защиты, динамически расшифровывает байт-код при вызове функции, сразу же шифруя его после вызова, и работает в фоновом режиме без окна консоли.
Стилер задействует сразу несколько обработчиков для выполнения различных функций, таких как кража данных из буфера обмена, перечисление файлов, извлечение 64-символьных шестнадцатеричных ключей, эксфильтрация документов, захват скриншотов, архивирование скриншотов, проверка на сохранение активности и выполнение команд.
На основе команд, полученных от С2, вредоносная ПО может делать снимки экрана, извлекать данные о нажатиях клавиш, расшифровывать сохраненные пароли из браузеров на основе Chromium и Firefox, извлекать файлы cookie из браузеров, собирать данные с машины в виде одноразовых паролей (OTP), находить криптокошельки, собирать данные о сессиях и учетные данные Telegram, устанавливать обратный SSH-туннель и перезапускать RustDesk для захвата учетных данных пользователей.
До появления BusySnake Stealer группа Armored Likho использовала Go2Tunnel для установления обратного SSH-туннеля, но реализовала эту функциональность в своем стилере, который теперь предоставляет злоумышленникам постоянный удаленный доступ и интерактивное управление системой жертвы.
Деятельность Armored Likho, по всей видимости, пересекается с деятельностью Eagle Werewolf. Ранее эта хакерская группа использовала RAT-программу AquilaRAT, которая имеет схожую структуру и механизм обеспечения устойчивости с BusySnake Stealer.
При этом вредоносная нагрузка первого этапа (загрузчики и стейджеры) сгенерирована при помощи ИИ, что размывает TTP атакующих, усложняя атрибуцию атак.
В ходе анализа Касперы также выявили признаки, указывающие на то, что операторы стилера владеют украинским языком, на основе языковых и инфраструктурных артефактов.
Наблюдаемая кампания демонстрирует сразу несколько трендов: рост технической зрелости Armored Likho, морфизм инструментов и переход к более сложным схемам в попытках обойти защитные решения, от обфускации исходного кода на Python до внедрения сетевых механизмов прямо в код вредоносного ПО.
Технические подробности и IOCs - в отчете. | 820 |
| 4 | • А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.
• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.
➡️ https://spectrum.ieee.org/chinese-keyboard
#Разное | 951 |
| 5 | В ядре Linux обнаружена новая уязвимость Bad Epoll (CVE-2026-46242), позволяющая обычному пользователю без специальных прав получить полный контроль над машиной в качестве root-пользователя.
Она затрагивает настольные компьютеры Linux, серверы и устройства Android, и уже выпущено исправление. Bad Epoll находится в том же небольшом участке кода ядра, где недавно была обнаружена другая ошибка в Anthropic Mythos.
ИИ обнаружил одну уязвимость, но пропустил эту, однако исследователь Чжэён Чон все же обнаружил её и представил реально работающую атаку.
Epoll - это стандартная функция Linux, позволяющая программе отслеживать множество файлов или сетевых подключений одновременно. Серверы, сетевые службы и веб-браузеры - все они используют её.
Bad Epoll - это ошибка «использование памяти после освобождения». Главная загвоздка в тайминге. Окно, где пересекаются два пути, имеет ширину всего около шести машинных инструкций, поэтому случайная попытка почти никогда не попадает в него.
Эксплойт расширяет это окно и повторяет попытки без сбоя, достигая корневого узла примерно в 99% случаев на протестированных системах.
При этом процесс можно активировать изнутри песочницы рендеринга Chrome, которая блокирует почти все остальные ошибки ядра, чего не могут сделать большинство уязвимостей, связанных с привилегиями в Linux.
Пока никаких признаков того, что она использовалась в реальных атаках, не обнаружено: она не включена в список известных эксплуатируемых уязвимостей CISA, а единственный работающий код - это PoC, представленный в рамках kernelCTF. Разработка версии для Android все еще продолжается.
Обе ошибки связаны с одним изменением в коде epoll, внесенным в 2023 году. Чанг полагает, что Mythos обнаружила первую из двух ошибок, которая теперь отслеживается как CVE-2026-43074, а исправление было выпущено в начале 2026 года.
Anthropic отдельно сообщила об уязвимостях, приводящих к повышению привилегий в ядре Linux, хотя публично не связывала эту работу с Bad Epoll. Обнаружение первой такой уязвимости стало реальным результатом, поскольку ошибки, связанные с состоянием гонки, как известно, очень трудно обнаружить.
Почему же тот же самый ИИ пропустил ошибку, связанную с наличием «родственных» элементов, Чанг связывает с двумя вероятными причинами, но не уверен на 100%.
Во-первых, временной интервал очень мал, поэтому точную последовательность событий трудно представить, даже просто глядя на код. Во-вторых, на этапе выполнения программы имеется мало подтверждающих данных.
После исправления первой ошибки ошибка памяти Bad Epoll обычно не срабатывает на KASAN, основной детектор ошибок ядра, поэтому ничто не указывает на наличие проблемы.
Отключить Epoll невозможно, поэтому обходного пути нет. Следует применить коммит a6dc643c6931 из основного репозитория или установить бэкпорт дистрибутива, когда он появится. Ядра, собранные на версиях 6.4 или новее, затронуты, если в них еще не установлено исправление.
Более старые ядра на базе версии 6.1, включая некоторые телефоны Android, такие как Pixel 8, не поддерживаются, поскольку ошибка появилась в версии 6.4.
Таким образом, Bad Epoll пополнил известное семейство ошибок ядра, используемых для получения root-прав на Android, вслед за более ранними ошибками Bad Binder, Bad IO_uring и Bad Spin. | 952 |
| 6 | • Исследователи из команды Sysdig обнаружили первый случай атаки шифровальщика, который был полностью реализован с помощью ИИ, без участия человека. Кампания получила название JADEPUFFER.
• Точкой входа стал доступный из интернета сервер с Langflow - популярным инструментом, на котором собирают приложения на основе ИИ. В инструменте была обнаружена уязвимость (CVE-2025-3248), позволяющая без всякого пароля запустить на сервере произвольный код. К слову, уязвимость исправили еще в мае 2025 года, но в сети еще куча серверов, которые не обновлялись.
• Что касается атаки, то ИИ смог найти у жертвы ключи от OpenAI, Anthropic, DeepSeek, доступы к облакам, пароли к базам данных и криптокошельки. Также был найден сервер с базой данных MySQL и сервисом хранения настроек Nacos. К самой базе ИИ подключился с правами администратора, причем откуда у него взялся этот доступ, эксперты Sysdig выяснить не смогли.
• Ну и под конец ИИ выполнил шифрование системы и всех файлов, удалил исходные таблицы и оставил записку с требованием выкупа - btc-адресом и почтой для связи.
• Соль в том, что программу-вымогатель было невозможно расшифровать, так как ИИ-агент нигде не хранил ключ шифрования, так что вернуть данные и восстановить инфраструктуру жертва не смогла бы даже после оплаты.
➡️ Более детальная информация и технические подробности можно найти тут: https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
#AI #Исследование | 912 |
| 7 | 👩💻 Проверка безопасности Docker образов с помощью Trivy.
• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:
➡Безопасность образов контейнеров;
➡Безопасность базового образа;
➡Обнаружение уязвимостей пакетов;
➡Всесторонняя поддержка баз данных об уязвимостях;
➡Интеграция с контейнерной оркестровкой;
➡Интеграция с конвейером CI/CD;
➡Обнаружение неправильной конфигурации;
➡Сканирование на нескольких уровнях;
➡Быстрое сканирование.
• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:
➡️ Читать статью [10 min].
#Docker #Trivy | 1 197 |
| 8 | #Юмор | 1 431 |
| 9 | • Знаете в чем заключается проблема, когда Вы пользуетесь утилитами для подсветки всякого разного в логах? Когда зайдете на новый сервак и нужной утилиты под рукой не окажется, то будет очень проблематично читать логи. Поэтому лучше сразу о них забыть... Проверено )))
#Разное | 1 490 |
| 10 | 🖥 47 лет OpenVMS.
• Жизненный цикл операционных систем исчисляется годами, а их поколений — десятилетиями. Так, семейство Unix считается долгожителем в мире IT-технологий: первые версии этой ОС появились в лабораториях Bell Labs еще в конце 60-х. Однако существует — и до сих пор развивается — как минимум еще одна серверная операционная система, которую вполне можно назвать «сверстником динозавров»: OpenVMS.
• Эта ОС разрабатывалась корпорацией DEC для компьютеров серии VAX-11/780, и называлась ранее VAX/VMS, что расшифровывалось как Virtual Address eXtension/Virtual Memory System. Как следует из этого названия, VAX/VMS представляла собой многопользовательскую, основанную на виртуальной памяти операционную систему, работавшую по принципу разделения времени.
• Операционная система изначально была рассчитана на работу в сети: поддерживался удаленный вход в систему, доступ к файлам, принтерам и общим папкам, причем компьютеры под управлением VAX/VMS могли подключаться как к Ethernet, так и к сети собственного стандарта, разработанного в DEC — DECnet. Если в сети присутствовали машины под управлением других ОС, например, MS-DOS, OS/2 или Windows, они могли подключаться к сети DEC с помощью платного приложения PathWorks.
• DEC разработала несколько дистрибутивов своей операционной системы— MicroVMS для ЭВМ MicroVAX, и Desktop-VMS для персональных компьютеров VAXstation. Позже ОС была переписана для архитектуры DEC Alpha, и в апреле 1988 года из ее названия исчезла приставка «VAX». Примерно в тот же период DEC передала дальнейшую разработку ОС в отдельное подразделение, которое вскоре стало самостоятельной компанией VMS Software Inc. В ноябре 1992 года к наименованию добавили слово «Оpen», после чего система обрела свое современное имя — OpenVMS.
• В 2001 году компания Compaq объявила о переносе OpenVMS на платформу Intel Itanium, и в 2003 году была анонсирована первая версия этой ОС для рабочих станций HP i2000. Вскоре начались работы по портированию системы на архитектуру x86-64 с целью устанавливать ее на серверах HP и Dell, а также запускать на гипервизорах. О поддержке VMware было объявлено в 2020 году, а Hyper-V был описан как будущая цель. В 2021 году была продемонстрирована работа порта x86-64 на одноплатном компьютере на базе Intel Atom.
• Изначально OpenVMS использовала интерфейс с командной строкой, но уже начиная с версии Desktop-VMS, то есть, с 1984 года она стала использовать проприетарную систему с оконным графическим интерфейсом собственной разработки DEC. В 1989 году DEC заменила ее новой оконной системой на основе X11 под названием DECwindows.
• OpenVMS до сих пор используется в банках, больницах и учреждениях здравоохранения, на промышленных предприятиях и в дата-центрах операторов связи. В 2000-х годах во всем мире действовало около полумиллиона систем под управлением OpenVMS, сейчас их число кратно уменьшилось, но, тем не менее, ОС всё еще используется во многих организациях по всему миру...
#Разное | 1 529 |
| 11 | Take my money.... 😁😁
link
#Юмор | 1 828 |
| 12 | 🚨 Сервер лег, а до стойки — 300 км. Знакомо?
Именно для таких случаев в HPE ProLiant есть iLO — отдельный контур управления, который живет своей жизнью и остается на связи, когда основная железка молчит. Ребята из ITELON (те, что 21 год возят серверное железо и знают его вдоль и поперек) выкатили большой разбор.
Три вещи, которые оттуда стоит забрать:
📌 iLO жестко привязан к поколению. iLO 5 — Gen10/10 Plus, iLO 6 — Gen11, iLO 7 — свежий Gen12.
📌 В КП пишут «iLO есть» — не стоит верить наслово. Без Advanced-лицензии на iLO 5/6 удаленной графической консоли просто нет. Только питание и мониторинг.
📌 iLO Federation на Gen12 больше не работает. Централизация переехала в HPE OneView и Compute Ops Management.
🖥 Подробнее можно узнать в блоге
Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFHrhhmT | 1 637 |
| 13 | 👩💻 Обфускация PowerShell.
• В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса.
• Этот репозиторий содержит тонну полезных техник, примеров и теории на тему ручной обфускации скриптов PowerShell. Ну и что самое главное, содержимое этого репо является результатом проб и ошибок автора, который имеет огромный опыт в проведении тестов на проникновение.
➡ https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
#PowerShell | 1 562 |
| 14 | Исследователи BI.ZONE сообщают об атаках Clubfoot Wolf, которая массово компрометирует российские компании, используя для получения первоначального доступа фишинговые рассылки и доставляя NetSupport Manager.
Бизоны выяснили, что в мае и июне 2026 года кластер Clubfoot Wolf провернул масштабную кампанию, нацеленную на российские организации в сфере обрабатывающей промышленности, розничной торговли, электронной коммерции, сельского хозяйства, IT, логистики, медицины и науки.
Основной мишенью стали российские компании, занимающиеся оптовой продажей химической продукции. Злоумышленники также атаковали несколько организаций из Республики Беларусь.
Для получения первоначального доступа Clubfoot Wolf рассылала фишинговые письма, доставляя в целевые системы легитимное ПО для удаленного администрирования NetSupport Manager, которое затем использовал для нанесения ущерба.
В письмах злоумышленники представлялись сотрудниками компании, заинтересованной в закупке продукции у целевой организации.
Как и в ранее зафиксированных кампаниях, Clubfoot Wolf распространяет архивы с фейковыми документами, имитируя деятельность российских организаций. Отвлекающие файлы используются, чтобы войти в доверие к жертве и убедить ее запустить вредоносное вложение.
К письмам был приложен ZIP‑архив, содержащий набор отвлекающих файлов различных форматов (PDF, JPG, PNG, DOC и DOCX) и вредоносный LNK‑файл. Для рассылки фишинга Clubfoot Wolf использовала почтовый сервис Яндекс Почта.
При запуске пользователем вредоносного LNK‑файла выполняется закодированная Base64‑команда в интерпретаторе PowerShell.
Данная команда выполняет HTTPS GET - запрос к удаленному ресурсу hxxps://crop[.]sh/6zUo8Ok (исходная ссылка: hxxps://sunlightfriends[.]tech/weather/news), получает содержимое ответа и передает его на исполнение через Invoke‑Expression.
Таким образом реализуется бесфайловая (fileless) загрузка и выполнение следующей стадии непосредственно в памяти процесса PowerShell.
Группа использует сервисы сокращения ссылок urlcrop.com, чтобы скрыть инфраструктуру доставки последующих стадий атаки, а также затруднить анализ и выявление конечных URL-адресов средствами защиты.
Загруженный в память PowerShell‑скрипт представляет собой загрузчик (loader), содержащий PowerShell‑код, закодированный Base64 и зашифрованный AES‑128‑CBC с использованием PKCS7 Padding.
После декодирования и расшифровки полученный PowerShell‑скрипт преобразуется в строку UTF‑8 и выполняется в памяти. Данный PowerShell‑скрипт приводит к загрузке ZIP‑архива, в котором содержатся файлы ПО удаленного администрирования NetSupport Manager.
Кроме того, декодирует и расшифровывает PowerShell‑код, отвечающий за закрепление NetSupport Manager в реестре ОС.
Помимо основных компонентов ПО, загружаемый ZIP содержал набор файлов, заполненных автоматически сгенерированным бессмысленным текстом. Вероятно, они были добавлены для изменения хеш‑суммы архива, а также придания ему вида легитимного программного дистрибутива.
При этом злоумышленники экспериментируют со способами доставки ПО в целевые системы: модифицируют используемые цепочки заражения и методы маскировки вредоносной активности.
Техническое подробности - в отчете. | 1 433 |
| 15 | • Если Вы не знали как выглядит процессор вашего смартфона, то вот его наглядная демонстрация под микроскопом, на фоне волоска толщиной 0.06 мм.
#Разное | 1 523 |
| 16 | Список жертв взлома Klue Breach стремительно растет: число компаний, затронутых утечкой данных в Klue, значительно увеличилось за последнюю неделю и теперь приближается к 20.
Примерно два десятка клиентов Klue подтвердили, что их экземпляры Salesforce были скомпрометированы в результате атаки на цепочку поставок в начале этого месяца.
Атака произошла 11-12 июня, хакеры, используя скомпрометированные устаревшие учетные данные, получили доступ к платформе анализа рынка Klue, завладели токенами OAuth для интеграций клиентов с Klue и выкрали данные в больших объемах. Salesforce отключила интеграцию с Klue 17 июня.
В список пострадавших организаций вошли AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 и Tines. Наряду с Huntress, Recorded Future, Snyk, Jamf, Tanium, Sprout Social, Gong и Insurity.
Учитывая, что у Klue сотни клиентов, и масштабы последствий могут быть шире, но пока никаких других уведомлений об инциденте не упоминается.
Следует также отметить, что некоторые клиенты Klue, например Autodesk, могли не использовать интеграцию Salesforce с Klue и не были затронуты этой проблемой.
Ответственность за атаку взяла на себя некая группа Icarus, которая добавила Klue и нескольких его клиентов на сайт DLS в сети Tor, угрожая опубликовать украденную информацию - в основном, контактные данные и данные службы поддержки - если не будет выплачен выкуп.
В понедельник Klue подтвердила факт утечки, заявляя о начале расследования, но пока не представила обновленную информацию о результатах.
Однако, как сообщает TechCrunch, компания уведомила своих клиентов в частном порядке о том, что она связалась с злоумышленником, который начал удалять украденные данные.
Сейчас страница Icarus с утечками недоступна уже несколько дней, вероятно, в результате переговоров с Klue, что позволяет предположить уплату компанией выкупных.
Кроме того, Klue, как сообщается, заявил клиентам, что компания Icarus сама была взломана, а украденные данные теперь находятся в руках другого злоумышленника, который ведет собственную кампанию по вымогательству.
По имеющимся данным, инцидент затронул 195 клиентов Klue, но вторая группа, предположительно, украла у Icarus только образцы данных.
Но на текущий момент ни одна известная группа вымогателей, кроме Icarus, публично не заявляла о владении данными, украденными во время инцидента с Klue. Будем следить. | 1 504 |
| 17 | ⚠️ Первая DoS-атака.
• Мало кто знает, что первая DOS-атака была организована еще в 1974 году! Это событие произошло в Университете Иллинойса, одним из студентов, который вывел из строя c помощью простого скрипта 31 PLATO-терминал (Programmed Logic for Automated Teaching Operations — первая система электронного обучения, соединенная общей компьютерной сетью), (на фото).
• Студент распространял команду «ext», отвечавшую за подключение внешних устройств к терминалу. Если при обработке запроса они не были обнаружены, система зависала, и продолжить работу можно было только после перезагрузки. Эта шалость была вызвана простым любопытством, но стала она первым в истории зафиксированным случаем DoS-атаки.
• Разработчики PLATO исправили ошибку в том же году. Кстати, есть мнение, что атаку нельзя считать dinial-of-service в силу природы PLATO-терминалов. Также похожие «уязвимости» к тому времени уже отмечали и для других систем.
#Разное | 1 556 |
| 18 | Отменить потерю данных?
Подключите резервную площадку для быстрого восстановления ИТ-инфраструктуры
Ваши сервисы будут работать без простоя и потерь даже при сбоях основной инфраструктуры, если подключить аварийное восстановление в облако Selectel. Решение поддерживает актуальную копию системы и по клику переключается на резервный контур при неисправности.
Самостоятельно настраивать инфраструктуру не нужно. Выделенная под вас команда инженеров Selectel проведет аудит, составит план работ, настроит репликацию данных и сценарий восстановления. А после — проводит тестовое восстановление системы, чтобы в нужный момент все работало без ошибок. Вы получаете не просто сервис, а готовую резервную площадку для вашей инфраструктуры.
В Selectel бесплатно проведет пилотный проект для восстановления до 10 виртуальных машин при оплате лицензии «Хайстекс Акура». Оставляйте заявку здесь: https://slc.tl/1tl9j
Реклама. АО "Селектел". erid:2W5zFHg82iD | 1 460 |
| 19 | 👩💻 Как создавалось ядро Linux.
• В далёком 2013 году один из разработчиков Microsoft детально объяснил, в чём главные технические проблемы при разработке ядра Windows NT. Спустя десять лет Windows 10/11 работает на том же ядре, а многие старые проблемы так и остались нерешёнными.
• Хотя в ряде задач Windows превосходит Linux, но в большинстве тестов она на порядок медленнее. По словам разработчика, это отставание усугубляется, а причина «социальная». Суть в том, как организован процесс разработки, внесения изменений в ОС. Если в мире опенсорса это открытый процесс, который несёт пользу и улучшает систему, то в мире корпоративного ПО зачастую изменения вносятся по причинам эгоизма, желания продвижения по карьерной лестнице, славы и т.д. Всё это ведёт к деградации продукта.
• Один из студенческих товарищей Линуса Торвальдса вспоминает ранние дни Linux, как всё начиналось. С исторической точки зрения в воспоминаниях Ларса Вирцениуса много интересных фактов. Они дают понять, под влиянием каких концепций создавалось ядро Linux. Сообщество Open Source — это абсолютно другой мир, который кардинально отличается от корпоративной разработки.
• Ларс познакомился с Линусом Торвальдсом на первом курсе в университете Хельсинки, тогда же они получили доступ к серверу Unix и случайно обнаружили на нём Usenet, когда по ошибке ввели команду rn вместо rm (подробнее вот тут). После службы в армии в 1990 году ребята взяли курс обучения по C и программированию Unix, что включало в себя изучение архитектуры ядра Unix. Ларс и Линус также заинтересовались и изучили устройства ядра других ОС, таких как QNX и Plan 9.
• В январе 1991 года Линус купил свой первый ПК и сутками зависал в Prince of Persia, а позже приобрёл ОС MINIX, потому что с университета привык к Unix и хотел установить на домашнем компьютере похожую систему.
• Когда Линус наконец прошёл игру, он начал изучать ассемблер и в качестве эксперимента реализовал программу с многозадачностью. Затем начал понемногу писать ядро, добавляя функцию за функцией. Например, однажды он случайно запустил HDD вместо модема, так что в загрузочный сектор записалась инструкция ATDT с номером университетской BBS — после этого Линус прописал в ядре права доступа к файлам. Так и шёл процесс. Постепенно появлялась и другая функциональность. Во время рождественских каникул 1991 года после сессии Линус реализовал виртуальную память, и т. д.
• Ядро Linux было написано студентами под сильным влиянием Unix. В августе 1991 года Линус впервые упомянул о своём проекте в эхоконференции comp.os.minix. Первоначально система называлась Freax. В 1992 году вышел первый дистрибутив Softlanding Linux System (SLS), а также под Linux была портирована система X11, что сильно повлияло на популярность Linux.
• Когда Линус программировал на рабочем ПК, его раздражала медлительность машины — и он потратил целый день, чтобы переписать на ассемблере парсер командной строки в ядре (потом его переписали обратно на С). А потом Линус несколько дней играл в Quake, выдавая это за стресс-тест управления памятью ядра.
• Так или иначе, но разработчики Linux изначально ориентировались на производительность, они писали на С и ассемблере, и в общем это была цельная, мощная концепция. Наверное, в этом одно из отличий с ядром Windows NT, над которым работают тысячи программистов в корпорации Microsoft, не имея единого видения.
• Весной 1994 года работа над ядром Linux была в основном закончена, так что Ларс организовал торжественную презентацию Linux 1.0 с приглашением прессы:
➡ https://youtu.be/qaDpjlFpbfo
• На презентации 30 марта 1994 года Линус Торвальдс пошутил, что коммерческая лицензия на Unix стоит так дорого, что проще написать собственную операционную систему.
#Linux | 1 506 |
| 20 | 👨💻 Art of Post-Exploitation.
• Steps;
• Perspective;
• Command and Control (C2) Techniques;
• Persistence Techniques;
• Credential Access Techniques;
• Privilege Escalation Techniques;
• Lateral Movement Techniques;
• Stories:
➡RedJuliett APT;
➡UNC3886 VMware Attacks;
➡Mustang Panda’s Korplug Loader;
➡MuddyWater RMM Abuse;
➡POLONIUM’s Python Backdoor;
➡Credential Access Techniques;
➡Exfiltration Techniques;
➡Evasion Techniques;
➡Security Researcher.
#Пентест | 1 573 |
