Forwarded from SecAtor
Северокорейские хакеры выполняют и перевыполняют планы из года в год, ставя все новые рекорды по части привлечения «инвестиций».
Если в 2022 году им удалось слямзить 1,1 млрд долл., то в 2024 году - 1,34 млрд долларов в ходе 47 кибератак (по данным статистики Chainalysis).
А на 2025 год - план перевыполнен уже в первом квартале в результате крупнейшего в истории криптоограбления на на сумму более 1,5 млрд долл.
Пострадавшая - Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, а после инцидента - первая в антирейтинге по грабежам (лидерство перешло от Ronin Network с украденными 625 млн. долл.).
Взлом состоялся в пятницу, 21 февраля и к настоящему времени теперь признается одним из самых сложных криптоограблений.
Злоумышленники проникли в сеть Bybit, изучили внутренние корпоративные регламенты работы, идентифицировали, а затем заразили вредоносным ПО всех сотрудников, которые обладают правом подписи транзакций и распоряжения средствами компании.
Хакеры специально нацелились на процесс пополнения активных кошельков компании, называемых горячими кошельками, где компания хранит средства, необходимые для ежедневных операций.
Как отмечают в Bybit, когда в пятницу сотрудники выполняли пополнение горячих кошельков, хакеры модифицировали пользовательский интерфейс ПО для перемещения средств с холодных кошельков, что привело к изменению логики смарт-контракта.
Причем «обновление» затронуло системы всех инженеров, которым необходимо было его подписать, в ходе так называемой транзакции с несколькими подписями.
Согласно отчету Bybit, транзакция привела к запуску вредоносного кода, который отправил средства с этого конкретного холодного кошелька на подконтрольные злоумышленникам счета.
Таким образом, более 400 000 ETH и stETH на сумму более 1,5 млрд долл. были переведены на неопознанный адрес.
Затем были распределены по 50 разным кошелькам в течение двух часов и начали выводиться через различные криптосервисы, включая такие как eXch.
Изначально не было понятно, кто осуществил атаку, но исследователи, известные как Arkham и ZachXBT, связали взлом с северокорейской Lazarus, а точнее с той же командой, которая в январе украла 70 млн. долл. у сингапурской биржи Phemex.
Что касается Bybit, у нее достаточно резервов, чтобы покрыть все убытки 1 к 1.
Компания приостановила транзакции на день для расследования инцидента и с тех пор возобновила все операции.
Также была оперативно учреждена программа вознаграждений, согласно которой компания намерена реализовать до 10% суммы украденных средств любому, кто сможет вернуть украденные токены.
Будем следить, но Белой шляпы, как в случае с Poly Network, ожидать явно не стоит.
Если в 2022 году им удалось слямзить 1,1 млрд долл., то в 2024 году - 1,34 млрд долларов в ходе 47 кибератак (по данным статистики Chainalysis).
А на 2025 год - план перевыполнен уже в первом квартале в результате крупнейшего в истории криптоограбления на на сумму более 1,5 млрд долл.
Пострадавшая - Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, а после инцидента - первая в антирейтинге по грабежам (лидерство перешло от Ronin Network с украденными 625 млн. долл.).
Взлом состоялся в пятницу, 21 февраля и к настоящему времени теперь признается одним из самых сложных криптоограблений.
Злоумышленники проникли в сеть Bybit, изучили внутренние корпоративные регламенты работы, идентифицировали, а затем заразили вредоносным ПО всех сотрудников, которые обладают правом подписи транзакций и распоряжения средствами компании.
Хакеры специально нацелились на процесс пополнения активных кошельков компании, называемых горячими кошельками, где компания хранит средства, необходимые для ежедневных операций.
Как отмечают в Bybit, когда в пятницу сотрудники выполняли пополнение горячих кошельков, хакеры модифицировали пользовательский интерфейс ПО для перемещения средств с холодных кошельков, что привело к изменению логики смарт-контракта.
Причем «обновление» затронуло системы всех инженеров, которым необходимо было его подписать, в ходе так называемой транзакции с несколькими подписями.
Согласно отчету Bybit, транзакция привела к запуску вредоносного кода, который отправил средства с этого конкретного холодного кошелька на подконтрольные злоумышленникам счета.
Таким образом, более 400 000 ETH и stETH на сумму более 1,5 млрд долл. были переведены на неопознанный адрес.
Затем были распределены по 50 разным кошелькам в течение двух часов и начали выводиться через различные криптосервисы, включая такие как eXch.
Изначально не было понятно, кто осуществил атаку, но исследователи, известные как Arkham и ZachXBT, связали взлом с северокорейской Lazarus, а точнее с той же командой, которая в январе украла 70 млн. долл. у сингапурской биржи Phemex.
Что касается Bybit, у нее достаточно резервов, чтобы покрыть все убытки 1 к 1.
Компания приостановила транзакции на день для расследования инцидента и с тех пор возобновила все операции.
Также была оперативно учреждена программа вознаграждений, согласно которой компания намерена реализовать до 10% суммы украденных средств любому, кто сможет вернуть украденные токены.
Будем следить, но Белой шляпы, как в случае с Poly Network, ожидать явно не стоит.
• Эта история от первого ведущего архитектора проекта, Брайана Гранта, который постил в Twitter серию тредов о технической истории проекта. Он рассказал о появлении разных фичей в K8s и логике, которая стояла за принятием отдельных решений.
• В честь юбилея оркестратора Брайан собрал все твиты в одну статью. Это её перевод, из которого вы узнаете, как появились контроллеры рабочих нагрузок, декларативная модель ресурсов, descheduler и многое другое:
#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Check Point сообщает об обнаружении масштабной вредоносной кампании, в которой используется уязвимый драйвер Windows, связанный с пакетом продуктов Adlice, для обхода обнаружения и распространения Gh0st RAT.
При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.
Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.
На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.
Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.
Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.
В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.
Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.
Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.
Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.
Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.
Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.
Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.
Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.
Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.
По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.
Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.
При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.
При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.
Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.
На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.
Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.
Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.
В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.
Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.
Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.
Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.
Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.
Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.
Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.
Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.
Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.
По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.
Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.
При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.
Check Point Research
Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign - Check Point Research
Highlights Introduction While the abuse of vulnerable drivers has been around for a while, those that can terminate arbitrary processes have drawn increasing attention in recent years. As Windows security continues to evolve, it has become more challenging…
• Мало кто знает, что первая DOS-атака была организована еще в 1974 году! Это событие произошло в Университете Иллинойса, одним из студентов, который вывел из строя c помощью простого скрипта 31 PLATO-терминал (Programmed Logic for Automated Teaching Operations — первая система электронного обучения, соединенная общей компьютерной сетью), (на фото).
• Студент распространял команду «
ext», отвечавшую за подключение внешних устройств к терминалу. Если при обработке запроса они не были обнаружены, система зависала, и продолжить работу можно было только после перезагрузки. Эта шалость была вызвана простым любопытством, но стала она первым в истории зафиксированным случаем DoS-атаки.• Разработчики PLATO исправили ошибку в том же году. Кстати, есть мнение, что атаку нельзя считать dinial-of-service в силу природы PLATO-терминалов. Также похожие «уязвимости» к тому времени уже отмечали и для других систем.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.
rt-solar.ru
Erudite Mogwai использует кастомный Stowaway для скрытного продвижения в сети
Узнайте, как группировка Erudite Mogwai адаптирует утилиту Stowaway для скрытного продвижения в сетях. Статья описывает модификации инструмента и его использование в кибератаках на российские ИТ-организации. Подробности об эволюции версий и методах злоумышленников
This media is not supported in your browser
VIEW IN TELEGRAM
• Если Вы не знали как выглядит процессор вашего смартфона, то вот его наглядная демонстрация под микроскопом, на фоне волоска толщиной 0.06 мм.
#Разное
#Разное
Forwarded from SecAtor
ФБР США официально связало рекордный взлом Bybit на сумму в 1,5 млрд. долл. с северокорейскими хакерами, приписав инцидент конкретному кластеру, который отслеживается как TraderTraitor (Jade Sleet, Slow Pisces и UNC4899).
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
• В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса.
• Этот репозиторий содержит тонну полезных техник, примеров и теории на тему ручной обфускации скриптов PowerShell. Ну и что самое главное, содержимое этого репо является результатом проб и ошибок автора, который имеет огромный опыт в проведении тестов на проникновение.
#PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:
• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:
#Docker #Trivy
Please open Telegram to view this post
VIEW IN TELEGRAM
• А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря,
• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.
➡️ https://spectrum.ieee.org/chinese-keyboard
#Разное
а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.
➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships
#Разное
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Всем начинающим для прочтения строго обязательно.
• В дополнение: Практические примеры SSH.
#SSH #Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Proofpoint раскрывают новую узкотаргетированную фишинговую кампанию, нацеленную на не менее пяти организации ОАЭ в области авиации, спутниковой связи и критической инфраструктуры с использованием ранее недокументированного бэкдора Sosano.
Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.
Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.
Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.
В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.
Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.
Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.
Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.
Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.
Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.
Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.
Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).
При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.
Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.
Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.
Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.
В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.
Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.
Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.
Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.
Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.
Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.
Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.
Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).
При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.
Proofpoint
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware | Proofpoint US
Key findings Proofpoint researchers identified a highly targeted email-based campaign targeting fewer than five Proofpoint customers in the United Arab Emirates with a distinct
• Как обеспечить передачу конфиденциальной информации через недоверенную сеть — интернет, где каждый, начиная провайдером и заканчивая администратором почтового сервера, может перехватить и прочитать передаваемую информацию?
• Если Вы используете Android, обратите внимание на приложение OpenKeychain, которое имеет открытый исходный код, проверенный компанией Cure53 на безопасность, прозрачно интегрируется с почтовым клиентом K-9 Mail, Jabber-клиентом Conversations и даже может передавать зашифрованные файлы в приложение EDS (Encrypted Data Store). Всё что нужно - это сгенерировать ключ и правильно передать его тому с кем мы хотим осуществить обмен информацией.
#Шифрование
Please open Telegram to view this post
VIEW IN TELEGRAM
• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.
• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.
• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
Cisco Talos Blog
Lotus Blossom espionage group targets multiple industries with different versions of Sagerunex and hacking tools
Forwarded from SecAtor
Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
securelist.ru
Стилеры и бэкдоры распространяются под видом клиента для DeepSeek
Эксперты «Лаборатории Касперского» обнаружили кампании по распространению стилеров, вредоносных PowerShell-скриптов и бэкдоров через веб-страницы, копирующие дизайн сайтов DeepSeek и Grok.
📦 Первые контейнеры.
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
• Многие из Вас знают, что почта появилась задолго до интернета: первые электронные сообщения начали отправлять еще в 1965 году на суперкомпьютерах IBM. Для этого использовали команду
write на операционной системе Unix, а в Tenex приписывали послания к концу отправляемого файла. Передача сообщений происходила в рамках одного компьютера, а позже — локальной сети, но само общение на компьютере больше расценивалось как развлечение.• В конце 60-х компьютеры считались машинами исключительно для вычислений, а поговорить можно было по телефону или устроив личную встречу. Но даже спустя тридцать лет, когда интернет уже захватывал умы, находились люди, которые продолжали считать так же.
• Технологии развивались. Когда в США появился ARPANET, который начал объединять десятки компьютеров в одну сеть, потребовался общий протокол, который сделает отправку и получение электронных писем стандартным для всех устройств. Так появился SMTP, который используют до сих пор.
• К концу 80-х компьютеры стали достаточно мощными, чтобы между ними можно было постоянно обмениваться электронными письмами. Почта закреплялась как формат общения в сети. Для нее начали делать графические клиенты — так появился Elm, а за ним TUI, Mutt, Pine и другие. Их продолжали делать ученые, но с расчетом на технически менее продвинутую публику.
• В 1993 Всемирная паутина, которая объединила научные сети в одну, становится открытой для всех. Интернет начинают заполнять сайты, доски объявлений, форумы, но для большинства пользователей еще несколько лет он будет оставаться недоступным: скорости входа в сеть еще было недостаточно. Зато общение через электронную почту, которая была встроена как услуга у первых интернет-провайдеров, было популярной точкой входа в киберпространство.
• Один из них — America Online (AOL). После подключения к сети по диалап-модему всплывает стартовое окно со встроенным почтовым ящиком и чатом. При появлении нового письма приходило голосовое уведомление “You've got mail” — такое же узнаваемое для американских пользователей начала 90-х, как для нас звук нового сообщения в ICQ.
• Несмотря на то что стандарты отправки писем уже были, провайдеры и хостинги использовали разные шлюзы. Например, у CompuServe не было имен — только цифры, который достались в наследство от старой архитектуры. Общаясь внутри сети, вы могли слать письма на, например,
71543,310. Но если вы хотели отправить письмо с того же AOL, то нужно было указать шлюз и убрать запятую: [email protected]. Для тех лет проблема с разными форматами почтовых имен встречалась достаточно часто. The New York Times обращал внимание, что даже простые адреса могли казаться «написанными по-марсиански: [email protected]».• Когда доступ к интернету стал дешевле, а модемы — чуть быстрее, то вход в браузер перестал быть проблемой. Появилась веб-почта, одной из первых была HotMail — она была бесплатной и удобной для пользователя. Это серьезно упрощало доступ к обмену почтой: не нужно было разбираться с командными строками, операционными системами и общаться через ящик своего провайдера.
• Спустя несколько лет HotMail выкупит Microsoft и позже превратит его в Outlook. Эта сделка станет знаковой и для РФ: один из создателей Mail.ru, Алексей Кривенков, вдохновится продажей и начнет делать свою почтовую службу.
• К концу 90-х университеты и крупные корпорации обмениваются письмами наравне с бумажными документами. Первые юзеры интернета активно заводят ящики в бесплатных службах Hotmail и RocketMail либо продолжают пользоваться ящиками своих провайдеров. Популярность общения в сети растет.
• СМИ называли этот тренд интернет-манией: сеть начала захватывать умы не только обычных юзеров, но и бизнеса. В 1993 году интернет привлекал по 150 тысяч пользователей ежемесячно, а к 1994 году почтой пользовались от 40 до 50 млн человек, из которых 16 млн — команды и бизнес.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• В цифровую эпоху уже никто не удивляется, когда ему названивают с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
• Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.
• В этой статье автор описывает кликджекинг-сервисы, которые пытаются получить сторонние cookies у зашедшего на страницу пользователя, чтобы затем проверить их у своих партнёров. Если у этого партнёра по переданным куки-файлам будет привязан номер телефона, то дело сделано, ваш номер найден.
• И всё вроде здорово, ведь по такой схеме, чтобы защититься от сбора ваших данных, пользователю можно просто запретить сторонние cookies... Но увы, не всё так просто, тут, как всегда, есть несколько очень важных нюансов:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM