• Олды вспомнят и прослезятся: по ссылке ниже можно поиграть в Heroes Of Might And Magic III и даже загрузить свое сохранение для продолжения игры с определенного момента. Всё идеально работает в вашем браузере, без рекламы и без регистрации.
#оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
Heroes Of Might And Magic III: Browser Version (Online)
Immerse yourself in the legendary world of Heroes of Might and Magic 3 online, right in your browser! This iconic turn-based strategy series, beloved by millions since 1999, is now available without installation. Explore vast worlds, develop towns, battle…
• Вы знали, что задолго до появления Google Drive и Dropbox Microsoft представила свою первую концепцию синхронизации данных между несколькими устройствами — «Briefcase»? Эта утилита впервые появилась в Windows 95 и была предназначена для синхронизации файлов. Именно она позволяла пользователям работать с одними и теми же документами на разных устройствах, упрощая управление данными.
• Хотя механизм «Briefcase» был значительно проще, чем современные облачные решения, он предоставлял базовые функции синхронизации. Пользователи могли копировать файлы в «портфель», работать с ними на другом устройстве, а затем обновлять изменения в исходной папке. Briefcase — это первый шаг к удобной работе с файлами в разных средах. Интересно, что «Briefcase» оставался частью Windows вплоть до Windows 8, прежде чем был окончательно удалён.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского в своем новом отчете обращают внимание на актуальность проблем, связанных с защитой контейнеризованной инфраструктуры.
Несмотря на то, что атаки на контейнеры происходят не так часто, как на другие системы, но это не делает их менее опасными.
В новой раскрытой ЛК кампании контейнеризованные среды были скомпрометированы комбинацией ранее известного майнера и нового вредоносного ПО под названием nginx.
Причем один зараженный контейнер сканирует интернет в поисках открытых API Docker, эксплуатирует их, создавая новые вредоносные контейнеры и заражая существующие.
Новые «зомби» приступают к добыче криптовалюты Dero и распространяют инфекцию дальше.
Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
Как показал анализ, злоумышленники получили начальный доступ к активной контейнеризованной инфраструктуре через открытый API Docker, не защищенный должным образом.
В результате были скомпрометированы существующие контейнеры и развернуты новые - не только для майнинга криптовалюты на ресурсах жертвы, но и для проведения внешних атак с целью распространения в других сетях.
Согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375, что дает представление о разрушительном потенциале описанной угрозы и подчеркивает необходимость адежной защиты контейнеров.
Технические подробности цепочки заражения и индикаторы компрометации - в отчете.
Несмотря на то, что атаки на контейнеры происходят не так часто, как на другие системы, но это не делает их менее опасными.
В новой раскрытой ЛК кампании контейнеризованные среды были скомпрометированы комбинацией ранее известного майнера и нового вредоносного ПО под названием nginx.
Причем один зараженный контейнер сканирует интернет в поисках открытых API Docker, эксплуатирует их, создавая новые вредоносные контейнеры и заражая существующие.
Новые «зомби» приступают к добыче криптовалюты Dero и распространяют инфекцию дальше.
Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
Как показал анализ, злоумышленники получили начальный доступ к активной контейнеризованной инфраструктуре через открытый API Docker, не защищенный должным образом.
В результате были скомпрометированы существующие контейнеры и развернуты новые - не только для майнинга криптовалюты на ресурсах жертвы, но и для проведения внешних атак с целью распространения в других сетях.
Согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375, что дает представление о разрушительном потенциале описанной угрозы и подчеркивает необходимость адежной защиты контейнеров.
Технические подробности цепочки заражения и индикаторы компрометации - в отчете.
securelist.ru
Майнер Dero заражает контейнеризованные среды Linux
Эксперты «Лаборатории Касперского» разбирают активную кампанию, нацеленную на контейнеризованные среды: криптомайнер Dero заражает контейнеры через API Docker.
• В далеком 1997 году боты начали добавлять спам-ссылки в поисковом сервисе Alta-Vista. Этот сервис был построен таким образом, что пользователи могли сами вносить URL-ссылки в библиотеку. Чтобы сохранить эту возможность, ведущий научный сотрудник компании Андрей Бродер создал специальный фильтр. Он генерировал случайный набор символов, которые мог легко распознать человек, но не боты того времени. Это, по словам Бродера, снизило наплыв последних на 95%. Так появилась CAPTCHA!
• Для владельцев сайтов капча много лет была бесценным инструментом для предотвращения атак злоумышленников, а для их пользователей — раздражающим всплывающим окном, отнимающим время. На фоне стремительного развития ИИ многие заговорили о том, что капча, какой мы ее знаем, скоро останется в прошлом. Но сможет ли ИИ справится с DOOM Капчей?
• Дело в том, что глава компании Vercel Гильермо Раух создал свою собственную капчу! Раух решил отойти от традиционных методов, которые легко обходит ИИ, и предложил пользователям поиграть в классический Doom. Для прохождения капчи необходимо уничтожить трёх монстров (к слову, уровень сложности выставлен на Nightmare).
• Один из пользователей заметил, что автор выбрал секретный уровень под названием E1M9: Military Base. В обычной игре, когда геймер добирается до него, он обладает внушительным набором оружия и брони, поэтому в этот момент сложностей не возникает. Но пройти уровень с одним пистолетом — дело не шуточное.
#Новости #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Знаете, в чем заключается разница между прямым прокси и обратным? Если нет, то есть отличный пример:
• Представьте, что вы планируете проверить своё здоровье в многопрофильном медицинском центре, который регулярно посещаете. Но по какой‑то причине вы не желаете напрямую взаимодействовать с персоналом медучреждения. У вас есть личный помощник, который от вашего имени решает подобного рода задачи. По этой же причине медицинский персонал никогда не взаимодействует с вами напрямую, только с вашим помощником. В этом сценарии вас можно ассоциировать с ноутбуком, через который ищет информацию в интернете, а ваш личный помощник — это прокси‑сервер, который действует как посредник между вашей частной сетью, к которой подключён ноутбук, и общедоступным интернетом, куда отправляются ваши запросы. Прокси‑сервер защищает ноутбук, фильтруя трафик и блокируя вредоносные веб‑сайты и скрипты, прежде чем ответ будет перенаправлен обратно. Это аналогия с прямым прокси.
• Теперь давайте проведем аналогию с обратным прокси. Представим, что Ваш личный помощник записал вас на проверку здоровья и вы приходите в клинику в назначенное время. Теперь вместо того, чтобы самостоятельно в огромном здании искать нужный кабинет, вы подходите к стойке регистрации. Администратор вас регистрирует, затем приглашает следовать за ним и приводит в нужный кабинет. В этой ситуации администратор — это тоже прокси, но на этот раз на принимающей запрос стороне. Сидит он в клинике в окружении всевозможных кабинетов (в нашем случае серверов) и управляет пациентами (входящими запросами), распределяя их по нужным врачам, этажам и кабинетам, проверяя загруженность и имея обзор всего внутреннего потока.
• Ну а теперь, когда мы выяснили разницу между прямым и обратным прокси, предлагаю ознакомиться с очень полезным репозиторием, который можно использовать в качестве шпаргалки для специалистов в области ИБ. Суть - изучить скрытые проблемы безопасности данных технологий и понять их специфические особенности для поиска и эксплуатации слабых мест.
#Сети #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Media
Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М. Губкина, рассказал порталу Cyber Media:
Please open Telegram to view this post
VIEW IN TELEGRAM
• Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно прикинуть, какие области знаний Вами не покрыты для самостоятельного обучения.
• Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов. Порядок вопросов и их категория носят субъективный характер. По утверждению автора, репозиторий будет поддерживаться в актуальном состоянии и обновляться.
• Если у Вас есть вопросы, желание внести свой вклад в развитие проекта или пообщаться с автором, то вся необходимая информация есть в этом посте: https://www.tg-me.com/pathsecure/357
#ИБ #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Patchstack раскрыли критическую неисправленную уязвимость, влияющую на плагин TI WooCommerce Wishlist для WordPress, которую могут использовать неавторизованные злоумышленники для загрузки произвольных файлов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
Patchstack
Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack
🚨 A critical unpatched vulnerability in the TI WooCommerce Wishlist plugin allows unauthenticated file uploads and potential RCE. Over 100K sites affected. As usual, Patchstack users are protected. 🛡️
• Всякий раз, когда мы отправляем данные из одного узла в другой в компьютерной сети, данные инкапсулируются на стороне отправителя, а деинкапсулируются на стороне получателя.
• Инкапсуляция данных - это процесс, в котором некоторая дополнительная информация добавляется к элементу данных, чтобы добавить к нему некоторые функции. В нашей сети мы используем модель OSI или TCP/IP, и в этих моделях передача данных происходит через различные уровни. Инкапсуляция данных добавляет к данным информацию протокола, чтобы передача данных могла происходить надлежащим образом. Эта информация может быть добавлена в заголовок
header или в конец footer или trailer данных.• Данные инкапсулируются на стороне отправителя, начиная с уровня приложения и заканчивая физическим уровнем. Каждый уровень берет инкапсулированные данные из предыдущего слоя и добавляет некоторую дополнительную информацию для их инкапсуляции и некоторые другие функции с данными. Эти функции могут включать в себя последовательность данных, контроль и обнаружение ошибок, управление потоком, контроль перегрузки, информацию о маршрутизации и так далее.
• Деинкапсуляция данных - это процесс, обратный инкапсуляции данных. Инкапсулированная информация удаляется из полученных данных для получения исходных данных. Этот процесс происходит на стороне получателя. Данные деинкапсулируются на том же уровне на стороне получателя, что и инкапсулированный уровень на стороне отправителя. Добавленная информация заголовка и футера удаляется из данных в этом процессе. Данные инкапсулируются на каждом уровне на стороне отправителя, а также деинкапсулируются на том же уровне на стороне получателя модели OSI или TCP/IP.
• Выше подгрузил красивую шпаргалку, которая поможет разобраться в данной теме. Ну и вот тут есть более детальная информация и примеры: https://infocisco.ru
• P.S. Не забывайте про мой репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network/tree/main
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F6 выкатили новый отчет, в котором затронули проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы».
Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.
Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.
Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.
И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.
Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:
- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.
Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.
- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.
- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.
По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.
Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.
Так, только в одном документе нашлось почти 1300 записей.
И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.
Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.
Подробный отчет с примерами выявленных утечек - в блоге F6.
Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.
Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.
Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.
И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.
Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:
- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.
Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.
- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.
- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.
По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.
Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.
Так, только в одном документе нашлось почти 1300 записей.
И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.
Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.
Подробный отчет с примерами выявленных утечек - в блоге F6.
• Не перестану утверждать, что курсы по сетям от Андрея Созыкина являются лучшими в своем роде на текущий момент времени. Однако, у Андрея есть бесплатные курсы и на другие темы. Одним из них является курс "Основы SQL", который рассчитан на начинающих разработчиков, data scientist'ов, аналитиков, тестировщиков и других ИТ-специалистов, которые хотят научиться работать с данными в базах.
#SQL #Курс
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Если Вы не знали, что из себя представляют ботофермы, то вот небольшое видео из поднебесной. Основное предназначение такой реализации является накрутка голосов, лайков, кликов, ну и всего прочего.. Всё, что необходимо - это извлечь материанскую плату из смартфона и подключить их в единый "хаб", далее можно масштабироваться до бесконечности и прикрутить сюда ИИ. Всячески осуждаю, но выглядит красиво.
#Разное
#Разное
Forwarded from SecAtor
Правоохранительные органы Финляндии, Нидерландов (1) и США (2) нейтрализовали инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.
AVCheck функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.
Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.
Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.
Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.
В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».
В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.
Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.
К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.
AVCheck функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.
Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.
Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.
Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.
В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».
В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.
Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.
К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.
www.politie.nl
Sleuteldienst voor ontwikkelaars van malware onderuitgehaald
In een gecoördineerde, internationale operatie met Amerika en Finland heeft Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies, onder gezag van het Landelijk Parket, er deze week voor gezorgd dat een sleuteldienst voor ontwikkelaars…
• В 1970 году на курсах программирования практиковалась такая схема: учащиеся составляли программу, пробивали её на перфокартах с использованием табулятора и сдавали их преподавателю. Перфокарты отправлялись в ближайший вычислительный центр, и через день-другой студенты получали распечатку с результатами работы своей программы. Это был чрезвычайно длительный процесс, поэтому один из студентов мечтал создать компьютер, который решил бы эту проблему. Этого студента звали Джон Бланкенбейкер. Начал он с заказа каталогов электронных компонентов от разных компаний, в которых отыскал довольно дешёвую последовательную память с 1024-битным сдвиговым регистром (1404A), которую выпускала Intel. Общий объём памяти в конструкции его компьютера составлял 256 байт. Логику конструктор решил реализовать на TTL-микросхемах серии 7400 — всего ЭВМ содержала 45 таких микросхем, и ещё 90 других чипов.
• Джон сам создал плату для своего компьютера, а затем собрал машину в готовом корпусе, купленном у компании Bud Industries. В качестве названия ЭВМ он выбрал среднюю часть своей фамилии — Kenbak-1, поскольку считал, что фамилия целиком слишком длинная и сложная для запоминания, а слово «Kenbak» чем-то напоминает название «Kodak».
• Kenbak-1 не имел дисплея или клавиатуры: ввод данных выполнялся нажатием восьми клавиш на лицевой панели, а за вывод отвечали расположенные восемь световых индикаторов. Помимо клавиш для ввода данных рядом размещались кнопки «Установить адрес» (для ввода адресов ячеек памяти), «Сохранить» (для запоминания введённого значения), «Очистить», а также «Старт» и «Стоп» для запуска программы. Сама программа писалась прямо в машинном коде, который включал в себя только примитивные операции с отдельными байтами данных.
• Помимо полезных научных программ для Kenbak-1 существовали игры — например, «бросание кубиков» или «крестики-нолики». Очень популярной была программа, позволявшая ввести любую дату с 1900 по 1999 год, а Kenbak-1 показывал, на какой день недели она приходится, зажигая один из индикаторов. Компьютер работал примерно так, как показано на этом видео: https://youtu.be/k_qYGalb6pM
• Джон планировал продавать свой компьютер в виде набора компонентов для самостоятельной сборки, который по его расчётам должен был стоить 150 долларов — фантастически дешёво для 1971 года. Цена готового компьютера (без блока питания) предполагалась в размере 750 долларов США. Однако идея продавать Kenbak-1 в школы с треском провалилась: схема финансирования американских школ была слишком сложна и многоэтапна, и чтобы пробиться сквозь всю эту бюрократию требовался целый штат зубастых менеджеров. Реклама в журналах для радиолюбителей тоже работала плохо: читатели просто не понимали, что это за устройство и зачем оно нужно. В итоге Джон разработал оригинальную маркетинговую схему: он отправлял свой компьютер потенциальному покупателю по почте, тот мог использовать его в течение двух недель, после чего-либо высылал чек, либо возвращал машину.
• Компьютер был очень привлекательным благодаря низкой стоимости, но оказался не лишён конструктивных недостатков. Во-первых, он сильно перегревался во время работы, что приводило к периодическим сбоям и зависаниям. Джону пришлось модифицировать корпус, просверлив отверстия в крышке и использовав внешний вентилятор. Второй проблемой стала ненадёжность переключателей: ради экономии Бланкенбейкер использовал недорогие кнопки, которые часто ломались при слишком сильном нажатии. Но главной архитектурной проблемой Kenbak-1 была невозможность сохранить введённую программу: после выключения питания содержимое памяти сбрасывалось, и всё приходилось начинать сначала.
• Сегодня в мире сохранилось всего несколько оригинальных экземпляров Kenbak-1, представленных в музейных экспозициях. Известны современные проекты работающих реплик Kenbak-1 на основе контроллеров Arduino. Компьютер, безусловно, был необычным и опередившим своё время. Жаль, что он не нашёл признания у пользователей, но зато занял видное место в истории компьютерных технологий.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Media
В этом году мы обновили список номинаций, сделав их более емкими, отразив тренды ИБ-индустрии.
Но главные принципы прежние. «Киберпросвет» отмечает компании и экспертов:
Сбор заявок до 23.06
Подведение итогов 7.07
Участие в Премии бесплатное.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи FearsOff раскрыли подробности критической уязвимости в программном обеспечении веб-почты Roundcube, которая оставалась незамеченной в течение десятилетия и могла быть использована для захвата уязвимых систем и выполнения произвольного кода.
Уязвимость отслеживается как CVE-2025-49113 и имеет оценку CVSS 9,9 из 10,0.
Она связана с удаленным выполнением кода после аутентификации посредством десериализации объекта PHP.
Риску подвержены Roundcube Webmail до версии 1.5.10 и 1.6.x до версии 1.6.11, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объектов PHP
Недостаток, который затрагивал все версии программного обеспечения до 1.6.10 включительно, был устранен в 1.6.11 и 1.5.10 LTS.
FearsOff намерена опубликовать дополнительные технические подробности и представить PoC в ближайшее время, но оставляет временной лаг для установки необходимых исправлений.
Медлить не стоить, ведь ранее раскрытые уязвимости в Roundcube уже становились целями атак, как в случае с CVE-2024-37383 в прошлом году.
Тогда Positive Technologies сообщала об эксплуатации уязвимости Roundcube в рамках фишинговой атаки, направленной на кражу учетных данных пользователей.
Уязвимость отслеживается как CVE-2025-49113 и имеет оценку CVSS 9,9 из 10,0.
Она связана с удаленным выполнением кода после аутентификации посредством десериализации объекта PHP.
Риску подвержены Roundcube Webmail до версии 1.5.10 и 1.6.x до версии 1.6.11, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объектов PHP
Недостаток, который затрагивал все версии программного обеспечения до 1.6.10 включительно, был устранен в 1.6.11 и 1.5.10 LTS.
FearsOff намерена опубликовать дополнительные технические подробности и представить PoC в ближайшее время, но оставляет временной лаг для установки необходимых исправлений.
Медлить не стоить, ведь ранее раскрытые уязвимости в Roundcube уже становились целями атак, как в случае с CVE-2024-37383 в прошлом году.
Тогда Positive Technologies сообщала об эксплуатации уязвимости Roundcube в рамках фишинговой атаки, направленной на кражу учетных данных пользователей.
fearsoff.org
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113]
A deep technical breakdown of CVE-2025-49113, a critical Roundcube vulnerability involving PHP session serialization. Learn how the bug was discovered, exploited, and responsibly disclosed with full PoC and recommendations for defenders and developers. Kirill…
• Использование Linux - namespace и seccomp — это не просто защита, а мощный щит для предотвращения атак. Namespace изолирует процессы, а seccomp блокирует доступ к более чем 200 системным вызовам, из которых более 50 считаются высокорисковыми для безопасности.
• По сути, это как строить защиту для вашего дома: namespace — это стены, разделяющие различные комнаты, а seccomp — это система безопасности, которая блокирует нежелательные действия, даже если злоумышленник каким-то образом окажется за дверью. Как раз об этом и поговорим: https://habr.com/ru/post/866942/
#ИБ #Linux #namespaces #seccomp
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Sophos предупреждают киберподполье о вскрытой кампании, связанной с трояном Sakura RAT, исходный код которого доступен на GitHub и содержит скрытые бэкдоры, позволяющие злоумышленнику получить удаленный доступ к зараженным устройствам.
Исследователи обнаружили, что код Sakura RAT по сути нефункционален, но имеет PreBuildEvent в проекте Visual Studio, который загружает и устанавливает вредоносное ПО на устройства тех, кто пытается его скомпилировать.
Издатель ischhfd83 напрямую или косвенно связан с еще 141 репозиторием GitHub, 133 из которых включают скрытые бэкдоры, что свидетельствует о скоординированной кампании по распространению вредоносного ПО.
Подборка бэкдоров включает в себя скрипты Python с запутанными полезными нагрузками, вредоносные файлы заставок (.scr), файлы JavaScript с закодированными полезными нагрузками и события Visual Studio PreBuild.
Несмотря на то, что ряд репозиториев, по-видимому, заброшены с конца 2023 года, но многие из них активны и регулярно обновляются.
Коммиты полностью автоматизированы, поэтому их единственная цель - создать ложное представление о ведущейся разработке, которое придает вредоносным проектам иллюзию легитимности.
В виду автоматизированных запусков рабочих процессов во многих проектах набралось большое количество коммитов (в одном из них их было почти 60 000, а создан он был лишь в марте 2025 года). Среднее количество коммитов в репозиториях составляло 4446.
Число участников ограничено тремя конкретными пользователями для каждого репозитория, и для каждого из них используются разные учетные записи издателей, при этом количество репозиториев, назначенных на одну учетную запись, никогда не превышает девяти.
Продвижение репозиториев реализуется через YouTube, Discord и постов в даркнете. Кроме того, Sakura RAT упоминался в публикациях СМИ.
После загрузки и запуска реализуется многоступенчатая цепочка заражения, включающая выполнение скриптов VBS на диске, загрузку PowerShell закодированной полезной нагрузки с жестко закодированных URL, получение архива 7zip из GitHub и запуск приложения Electron (SearchFilter.exe).
Приложение загружает объединенный архив, содержащий зашифрованный файл main.js и связанные с ним файлы, включая код для профилирования системы, выполнения команд, деактивации Защитника Windows и извлечения полезной нагрузки.
Дополнительные полезные нагрузки, загружаемые бэкдором, включают в себя Lumma Stealer, AsyncRAT и Remcos, все из которых обладают обширными возможностями кражи данных.
Помимо нацеливания на хакерское сообщество, троянизированные репозитории также таргетируются на геймеров, студентов и даже исследователей с использованием широкого спектра приманок, таких как игровые читы, инструментов для моддинга и фейковых эксплойтов.
Исследователи обнаружили, что код Sakura RAT по сути нефункционален, но имеет PreBuildEvent в проекте Visual Studio, который загружает и устанавливает вредоносное ПО на устройства тех, кто пытается его скомпилировать.
Издатель ischhfd83 напрямую или косвенно связан с еще 141 репозиторием GitHub, 133 из которых включают скрытые бэкдоры, что свидетельствует о скоординированной кампании по распространению вредоносного ПО.
Подборка бэкдоров включает в себя скрипты Python с запутанными полезными нагрузками, вредоносные файлы заставок (.scr), файлы JavaScript с закодированными полезными нагрузками и события Visual Studio PreBuild.
Несмотря на то, что ряд репозиториев, по-видимому, заброшены с конца 2023 года, но многие из них активны и регулярно обновляются.
Коммиты полностью автоматизированы, поэтому их единственная цель - создать ложное представление о ведущейся разработке, которое придает вредоносным проектам иллюзию легитимности.
В виду автоматизированных запусков рабочих процессов во многих проектах набралось большое количество коммитов (в одном из них их было почти 60 000, а создан он был лишь в марте 2025 года). Среднее количество коммитов в репозиториях составляло 4446.
Число участников ограничено тремя конкретными пользователями для каждого репозитория, и для каждого из них используются разные учетные записи издателей, при этом количество репозиториев, назначенных на одну учетную запись, никогда не превышает девяти.
Продвижение репозиториев реализуется через YouTube, Discord и постов в даркнете. Кроме того, Sakura RAT упоминался в публикациях СМИ.
После загрузки и запуска реализуется многоступенчатая цепочка заражения, включающая выполнение скриптов VBS на диске, загрузку PowerShell закодированной полезной нагрузки с жестко закодированных URL, получение архива 7zip из GitHub и запуск приложения Electron (SearchFilter.exe).
Приложение загружает объединенный архив, содержащий зашифрованный файл main.js и связанные с ним файлы, включая код для профилирования системы, выполнения команд, деактивации Защитника Windows и извлечения полезной нагрузки.
Дополнительные полезные нагрузки, загружаемые бэкдором, включают в себя Lumma Stealer, AsyncRAT и Remcos, все из которых обладают обширными возможностями кражи данных.
Помимо нацеливания на хакерское сообщество, троянизированные репозитории также таргетируются на геймеров, студентов и даже исследователей с использованием широкого спектра приманок, таких как игровые читы, инструментов для моддинга и фейковых эксплойтов.
Sophos News
The strange tale of ischhfd83: When cybercriminals eat their own
A simple customer query leads to a rabbit hole of backdoored malware and game cheats
📦 Виртуализация 90-х годов и начало VirtualBox.
• В 90-е годы 20 века происходило бурное развитие технологий, при этом создавались не только средства для виртуализации, но и разнообразные эмуляторы. Вкратце, с помощью последних пользователи получали возможность воспроизводить работу софта, предназначено для конкретной ОС на другой (например, запускать ПО для Windows на Mac).
• В то же время с помощью виртуализации можно «разбить» одну систему на два (или больше) виртуальных сервера, со своим софтом и железом — каждый из них будет функционировать как реальная машина, что является более производительным вариантом.
• Одним из первых эмуляторов стал проект DOSEMU, позволявший запускать системы-клоны DOS и софт для DOS на компьютерах IBM PC x86 под управлением Linux. Выпущенный в 1992 году DOSEMU одновременно использовал подход виртуализации и эмуляции, что позволяло добиваться довольно высокой скорости работы.
• В июле 1993 года Алексадр Жюльярд выпустил первую версию созданного им Wine — средства для запуска программ Windows на компьютерах с установленными ОС семейства Unix (отсюда и название проекта — Windows Emulator).
• Ярким представителем семейства эмуляторов стал и продукт Bochs, выпущенный в 1994 году. С помощью Bochs пользователи могли эмулировать среду, необходимую для запуска гостевой операционной системы (в т.ч. жесткие и флоппи диски, звуковые и видео карты и т.д.) на архитектуре x86, что в то время было новинкой. Изначально Bochs продавался за $25, а для подключения возможности эмуляции дополнительного софта необходимо было обсуждать с разработчиком отдельную лицензию.
• В 1997 году Apple создала программный пакет виртуализации Virtual PC (продавалась через дочернюю компанию Connectix). С помощью этого продукта пользователи Mac могли запускать ОС Windows — на тот момент под эту операционную систему существовало гораздо больше программ, поэтому запуск Virtual PC помог сгладить недостаток Mac-софта.
• Продукт, включающий программы десктоп и серверной виртуализации Virtual PC и Virtual Server был востребован компаниями, которые занимались разработкой софта под различные платформы. В 2003 году компания Connectix была куплена Microsoft, в 2006 году было решено отказаться от развития версии для Mac.
• В 1998 года была основана компания VMware, а в 1999 году она вывела на рынок аналогичный продукт под названием VMware Workstation. Изначально он предназначался для работы на Windows, однако позднее разработчики добавили поддержку других операционных систем. К 2001 году были разработаны первые серверные продукты (VMware GSX Server, VMware ESX Server, который можно было устанавливать прямо «на железо» без необходимости наличия на нем операционной системы).
• В 1997 году российский предприниматель Сергей Белоусов запустил компанию SWSoft, в то время ее главный офис располагался в Сингапуре. В 2004 году эта компания приобрела американский стартап Parallels, который занимался десктоп- и серверной виртуализацией. После того, как Apple выпустила новые MacBook на чипсете от Intel, который мы очень хорошо знали, родился продукт Parallels Desktop для Mac, позволявший запускать Windows на Mac без перезагрузки.
• Еще одним заметным продуктом в начале двухтысячных годов стал эмулятор DOSBox — он был выпущен в 2002 году. С его помощью пользователи могли запускать «старые» программы для DOS на современных операционных системах.
• С этого момента начинается история Virtual Box, первая версия которой была выпущена немецкой компание innotek GmbH в 2007 году. С ее помощью пользователи могли запускать в качестве гостевых операционные системы Windows, Linux, BSD, OS/2, Solaris, Haiku и некоторые другие. В феврале 2008 года Sun Microsystems купила innotek для «создания собственных продуктов в области виртуализации». А уже в 2010 году сама Sun Microsystems была поглощена Oracle (переговоры велись с 2009 года), а пакет виртуализации подвергся ребрендингу и получил имя Oracle VM VirtualBox.
#Разное
• В 90-е годы 20 века происходило бурное развитие технологий, при этом создавались не только средства для виртуализации, но и разнообразные эмуляторы. Вкратце, с помощью последних пользователи получали возможность воспроизводить работу софта, предназначено для конкретной ОС на другой (например, запускать ПО для Windows на Mac).
• В то же время с помощью виртуализации можно «разбить» одну систему на два (или больше) виртуальных сервера, со своим софтом и железом — каждый из них будет функционировать как реальная машина, что является более производительным вариантом.
• Одним из первых эмуляторов стал проект DOSEMU, позволявший запускать системы-клоны DOS и софт для DOS на компьютерах IBM PC x86 под управлением Linux. Выпущенный в 1992 году DOSEMU одновременно использовал подход виртуализации и эмуляции, что позволяло добиваться довольно высокой скорости работы.
• В июле 1993 года Алексадр Жюльярд выпустил первую версию созданного им Wine — средства для запуска программ Windows на компьютерах с установленными ОС семейства Unix (отсюда и название проекта — Windows Emulator).
• Ярким представителем семейства эмуляторов стал и продукт Bochs, выпущенный в 1994 году. С помощью Bochs пользователи могли эмулировать среду, необходимую для запуска гостевой операционной системы (в т.ч. жесткие и флоппи диски, звуковые и видео карты и т.д.) на архитектуре x86, что в то время было новинкой. Изначально Bochs продавался за $25, а для подключения возможности эмуляции дополнительного софта необходимо было обсуждать с разработчиком отдельную лицензию.
• В 1997 году Apple создала программный пакет виртуализации Virtual PC (продавалась через дочернюю компанию Connectix). С помощью этого продукта пользователи Mac могли запускать ОС Windows — на тот момент под эту операционную систему существовало гораздо больше программ, поэтому запуск Virtual PC помог сгладить недостаток Mac-софта.
• Продукт, включающий программы десктоп и серверной виртуализации Virtual PC и Virtual Server был востребован компаниями, которые занимались разработкой софта под различные платформы. В 2003 году компания Connectix была куплена Microsoft, в 2006 году было решено отказаться от развития версии для Mac.
• В 1998 года была основана компания VMware, а в 1999 году она вывела на рынок аналогичный продукт под названием VMware Workstation. Изначально он предназначался для работы на Windows, однако позднее разработчики добавили поддержку других операционных систем. К 2001 году были разработаны первые серверные продукты (VMware GSX Server, VMware ESX Server, который можно было устанавливать прямо «на железо» без необходимости наличия на нем операционной системы).
• В 1997 году российский предприниматель Сергей Белоусов запустил компанию SWSoft, в то время ее главный офис располагался в Сингапуре. В 2004 году эта компания приобрела американский стартап Parallels, который занимался десктоп- и серверной виртуализацией. После того, как Apple выпустила новые MacBook на чипсете от Intel, который мы очень хорошо знали, родился продукт Parallels Desktop для Mac, позволявший запускать Windows на Mac без перезагрузки.
• Еще одним заметным продуктом в начале двухтысячных годов стал эмулятор DOSBox — он был выпущен в 2002 году. С его помощью пользователи могли запускать «старые» программы для DOS на современных операционных системах.
• С этого момента начинается история Virtual Box, первая версия которой была выпущена немецкой компание innotek GmbH в 2007 году. С ее помощью пользователи могли запускать в качестве гостевых операционные системы Windows, Linux, BSD, OS/2, Solaris, Haiku и некоторые другие. В феврале 2008 года Sun Microsystems купила innotek для «создания собственных продуктов в области виртуализации». А уже в 2010 году сама Sun Microsystems была поглощена Oracle (переговоры велись с 2009 года), а пакет виртуализации подвергся ребрендингу и получил имя Oracle VM VirtualBox.
#Разное
• История обмена информационными сообщениями начинается с каменного века, когда информация передавалась дымом костров (думаю, что вы видели этот способ в фильмах. К примеру, во властелине колец), ударами в сигнальный барабан, звуками труб через развитую сеть сигнальных башен и т.д. Позже стали посылать гонцов с устными вестями. Пожалуй, это самый первый и действенный способ передать срочное сообщение между людьми. Такой вестник заучивал «письмо» со слов отправителя, а затем пересказывал его адресату. Но сегодня поговорим о том, какой метод передачи сообщения использовали 230 лет назад.
• Как быстр не был бы гонец — ему не угнаться за птицей. Поэтому огромный вклад в общение людей внесли почтовые голуби. Своеобразный сервис коротких сообщений — ведь голубь мог нести лишь небольшой груз, короткое письмо или вовсе записку. Однако голубиная почта была очень эффективным информационным каналом, которые использовали политики, брокеры, военные и простой люд.
• Плюс заключается в том, что практически любой голубь может стать почтовым. Эти птицы имеют удивительную способность находить дорогу к гнезду, но при условии, что он там был рожден, встал на крыло и прожил примерно 1 год. После этого голубь может найти дорогу к дому из любой точки, но максимальное удаление не может быть 1500 км. До сих пор не понятно, как ориентируются голуби в пространстве. Бытует мнение, что они чувствительны к магнитному полю Земли и инфразвуку. Также им помогает солнце и звезды. Однако есть и недостатки. Голубиная почта — симплексная связь. Голуби не могут летать туда-обратно. Они способны возвращаться только в родительское гнездо. Поэтому голубей для информационных целей увозили в специальных клетках или машинах в другое место, там, где необходимо было наладить «информационный канал».
• Существуют, наверное, тысячи историй и легенд о том, какую роль сыграли почтовые голуби в жизни человека. Одна из таких про семейство Ротшильдов. Известие о поражении Наполеона при Ватерлоо в 1815 году было получено Натаном Ротшильдом через голубя на двое суток раньше официальных новостей, что дало ему возможность удачно повести кампанию на бирже с французскими бумагами и получить 40 миллионов долларов прибыли от этой сделки в ценах 1815 года! Даже по нашим временам это неплохо. Типичный пример важности информации, особенно в финансовых сферах!
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM