Вопрос «Что происходит, когда пользователь вводит URL в браузере?» мы на собеседованиях больше НЕ задаём.
Кандидат сегодня был очень напористый. Он поставил себе цель рассказать вообще всё!
За первые 20 минут он рассказал, как сигналы с клавиатуры передаются в операционную систему и как происходит парсинг url в браузерах. Я пытался его остановить, но он всё же прочитал небольшую лекцию по модели OSI. И даже для наглядности обжал витую пару прямо во время собеседования. Ещё час он рассказывал про устройство DNS и детали работы WiFi сетей...
Собеседование закончилось 3 часа назад. А он продолжает писать нам на почту: про SSL/TLS Handshake, DOM, рендеринг, кеш, CSSOM, алгоритмы сжатия.
• Ну а если серьезно, то вот вам очень крутой Cheat Sheet и отличная статья с хабра, которая описывает весь жизненный цикл обработки URL-запроса. Эти знания являются базовыми и важными для общего развития, независимо от уровня и опыта. Они помогают не только понять, сколько времени и ресурсов требуется для загрузки страницы, но и как это влияет на взаимодействие пользователя с сайтом, его производительность и оптимизацию!
#Сети #ИТ
Please open Telegram to view this post
VIEW IN TELEGRAM
• В 2008 году по миру распространился червь — Conficker. Он поражал компьютеры под управлением Windows XP, используя критическую уязвимость операционной системы.
• Вся соль заключалась в том, что еще до начала распространения червя Microsoft выпустила обновление безопасности MS08-067, которое закрывало уязвимость ОС и не позволяло заражать систему малварью. В итоге от атаки червя пострадали те пользователи, которые не установили данное обновление.
• Общее количество заражённых Conficker устройств сложно оценить. Только за январь 2009 года их насчитывалось по разным оценкам от 9 до 15 миллионов. Также червь использовал возможность автозагрузки и инфицировал очищенные системы повторно.
• Плюс ко всему этот червь был вездесущим, в прямом смысле слова. Малварь даже смогли обнаружить на атомной электростанции в Германии, червь был обнаружен по меньшей мере на 18 мобильных носителях данных, в основном на USB-флешках и офисных компьютерах, которые использовались отдельно от основных систем АЭС. А еще была новость, что камеры, которые носит полиция в США на своей форме, также заражены червем. Причем червь попадал туда с самого производства этих устройств, а потом распространялся по сети, если камеру подключали к ПК.
• Количество заражённых устройств уменьшалось по мере отказа от использования старой операционной системы. Однако в 2019 году (спустя 10 лет после первого эпизода!) в статье New York Times указывалось, что по-прежнему заражены около 500 000 устройств, а в 2021 году (12 лет после первого заражения) эксперты BitDefender обнаружили малварь на 150 тыс. устройств.
• ВМС Франции (Intrama) пришлось приостановить из-за червя полёты на нескольких своих авиабазах. Вызванный червём сбой сети стоил городскому совету Манчестера £1,5 млн. McAfee оценила общемировой ущерб от Conficker в $9,1 млрд.
• Если интересно почитать о методах распространения и работы червя, то на хабре есть отличная статья, которая все нюансы реализации Conficker.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Разработчики LastPass предупреждают о широкомасштабной кампании, нацеленной на кражу информации у пользователей macOS.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Lastpass
Large-Scale Attack Targeting Macs via GitHub Pages Impersonating Companies to Attempt to Deliver Stealer Malware - The LastPass…
Were tracking an ongoing, widespread infostealer campaign targeting Mac users through fraudulent GitHub repositories.
• Turnkey Linux - отличный проект, который содержит огромное кол-во дистрибутивов на базе Linux с преднастроенным набором ПО (на выбор). Самое главное: сервис бесплатный, имеет открытый исходный код и более 100 готовых решений.
• В общем и целом, если нужен готовый образ под определенные нужды, то загляните сюда. Да, вы можете всё сделать самостоятельно (скачать отдельно нужный образ, настроить ПО и т.д.), но тут всё уже сделали за вас:
➡️ https://www.turnkeylinux.org
#Linux
• В общем и целом, если нужен готовый образ под определенные нужды, то загляните сюда. Да, вы можете всё сделать самостоятельно (скачать отдельно нужный образ, настроить ПО и т.д.), но тут всё уже сделали за вас:
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
💾 Бизнес на дискетах.
• Дискеты — технологический артефакт прошлого, о котором очень мало знают многие представители нового поколения. Те же дети, разбирая иконки в каком-нибудь текстовом редакторе, частенько задают вопрос о том, что представляет собой этот странный квадратик. Понемногу иконка дискеты уходит из употребления и дизайнерами различных приложений — просто потому, что все меньше людей может связать иконку и функцию, которая к ней привязана.
• Но флопики (дискеты) все же еще в ходу, а значит, их кто-то продает. Это, в основном, мелкий бизнес, но есть и относительно крупная компания, которая предлагает своим покупателям как новые, так и б/у дискеты с гарантией работоспособности. Только представьте, что более 50 лет назад дискеты имели массовое использование и были основными для хранения информации, а спустя такое кол-во времени они всё еще в строю.
• Есть даже компания, которая называется floppydisk. К сожалению, она не производит гибкие диски, а перепродает их — закупает на складах разных компаний, у частных владельцев и т.п. Новые дискеты проверяет, форматирует и продает. Старые — тоже проверяет, форматирует, меняет старую использованную наклейку на новую и тоже продает.
• Вроде бы последней компанией, которая производила гибкие диски, была Sony, она закрыла все производственные линии этого направления, еще 15 лет назад. А вот floppydisk к тому времени смог накопить солидные запасы гибких дисков — на складах хранилось около 2 млн дискет. Со временем их распродали (продолжая при этом закупать и мелкие партии из разных стран мира).
• Владелец бизнеса, Том Перски еще 3 года назад говорил, что, по его расчетам «бизнес на дискетах» протянет еще года четыре, и после этого дискеты если и будут где-то применяться, то уж в совсем единичных случаях. Ну т.е. по его словам, дискеты протянут еще год. Хотя у меня есть сомнения на этот счет )).
• Судя по всему, сейчас компания продолжает закупать дискеты у других организаций. Стоимость закупки минимальна, а продают они их по $35 за 50 штук. Тоже недорого, но как бы и делать мало что приходится, это вам не высокорисковый бизнес или стартап.
➡️ https://www.floppydisk.com
• P.S. Стоит отметить, что на складах компании не только привычные всем флопики, на полках есть как стандартные дискеты, так и более старые 5,25- 8-дюймовые, плюс совсем уж нестандартные форматы.
#Разное
• Дискеты — технологический артефакт прошлого, о котором очень мало знают многие представители нового поколения. Те же дети, разбирая иконки в каком-нибудь текстовом редакторе, частенько задают вопрос о том, что представляет собой этот странный квадратик. Понемногу иконка дискеты уходит из употребления и дизайнерами различных приложений — просто потому, что все меньше людей может связать иконку и функцию, которая к ней привязана.
• Но флопики (дискеты) все же еще в ходу, а значит, их кто-то продает. Это, в основном, мелкий бизнес, но есть и относительно крупная компания, которая предлагает своим покупателям как новые, так и б/у дискеты с гарантией работоспособности. Только представьте, что более 50 лет назад дискеты имели массовое использование и были основными для хранения информации, а спустя такое кол-во времени они всё еще в строю.
• Есть даже компания, которая называется floppydisk. К сожалению, она не производит гибкие диски, а перепродает их — закупает на складах разных компаний, у частных владельцев и т.п. Новые дискеты проверяет, форматирует и продает. Старые — тоже проверяет, форматирует, меняет старую использованную наклейку на новую и тоже продает.
• Вроде бы последней компанией, которая производила гибкие диски, была Sony, она закрыла все производственные линии этого направления, еще 15 лет назад. А вот floppydisk к тому времени смог накопить солидные запасы гибких дисков — на складах хранилось около 2 млн дискет. Со временем их распродали (продолжая при этом закупать и мелкие партии из разных стран мира).
• Владелец бизнеса, Том Перски еще 3 года назад говорил, что, по его расчетам «бизнес на дискетах» протянет еще года четыре, и после этого дискеты если и будут где-то применяться, то уж в совсем единичных случаях. Ну т.е. по его словам, дискеты протянут еще год. Хотя у меня есть сомнения на этот счет )).
• Судя по всему, сейчас компания продолжает закупать дискеты у других организаций. Стоимость закупки минимальна, а продают они их по $35 за 50 штук. Тоже недорого, но как бы и делать мало что приходится, это вам не высокорисковый бизнес или стартап.
• P.S. Стоит отметить, что на складах компании не только привычные всем флопики, на полках есть как стандартные дискеты, так и более старые 5,25- 8-дюймовые, плюс совсем уж нестандартные форматы.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Ранее я уже рассказывал вам об этом инструменте, но недавно тулза обновилась, а на хабре вышло отличное пошаговое руководство по установке. Итак, для тех кто не знает о тулзе, напоминаю, что Uptime Kuma является инструментом мониторинга ресурсов сети. Умеет слать алерты вам в Телегу, Discord, Gotify, Slack, Pushover, Email и еще кучу разных сервисов. А еще позволяет мониторить срок действия SSL-сертификатов, сайты по HTTP, DNS записи, открытые TCP порты, статус Docker контейнеров, SQL сервера и еще кучу всего разного...
• Из минусов: не хватает мониторинга параметров сервера (место на диске, нагрузка). Вы, конечно, можете использовать Zabbix, но для многих он будет тяжеловесным и избыточным решением.
• В новой версии добавили следующее:
• Возвращаемся к статье: по ссылке ниже можно найти пошаговое руководство, в котором подробно, с картиночками, расписан процесс установки Uptime Kuma 2 и каким образом можно работать с данной тулзой.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Секретная служба в США в ходе облавы накрыла условный «колл-центр», инфраструктура которого задействовалась в весьма специфичных целях и действовал на территории трех штатов.
Расследование деятельности SIM-ферм началось после того, как в начале этого года в адрес высокопоставленных чиновников США были совершены анонимные звонки с угрозами.
По данным NYT, жертвами некоторых из этих угроз стали два сотрудника Белого дома и один сотрудник самой Секретной службы.
Представители сикрет сёрвиса полагают, что обнаруженный ими «колл-центр» был одним из крупнейших, который когда-либо действовал в США. В ходе мероприятий удалось изъять более 300 совмещенных SIM-серверов и 100 000 SIM-карт.
Причем ферма работала в 56 км от штаб-квартиры ООН, где в настоящее время проходит заседание Генеральной Ассамблеи с участием мировых лидеров.
Причем спецслужбам удалось нейтрализовать ферму за несколько часов до заседания.
Мощности фермы позволяли за несколько минут разослать спам практически на все американские телефонные номера, а также вывести из строя всю национальную телекоммуникационную сеть, что особенно опасно в условиях чрезвычайных ситуаций.
Но, пожалуй, основной функционал фермы обеспечивал злоумышленникам анонимный, зашифрованный канал связи для решения других различных задач.
Собственно, в пресс-релизе Секретной службы имеется одна очень расплывчатая формулировка о причастности к работе фермы неназванного государства. А именно отмечается следующее.
Несмотря на то, что криминалистическая экспертиза изъятых устройств продолжается, предварительный анализ «указывает на наличие связи между субъектами угроз национального масштаба и лицами, известными федеральным правоохранительным органам».
Помимо самой фермы, как передают CNN и NBC News, в ходе расследования оперативники вышли на пустые конспиративные квартиры, арендованные в Армонке (штат Нью-Йорк), Гринвиче (штат Коннектикут), Квинсе (штат Нью-Йорк) и Нью-Джерси.
Агенты также обнаружили незаконное огнестрельное оружие, компьютеры, мобильные телефоны и 80 гр. кокаина вместе с оборудованием связи.
Полагаем, что о работе сервиса спецслужбы узнали достаточно давненько и, по всей видимости, мониторили всю активность, соответственно, все тайные операции, осуществляемые посредством фермы.
Однако в условиях проведения значимого международного мероприятия, дабы локализовать любые возможные негативные сценарии, сотрудники Секретной службы просто обязаны были свернуть работу фермы, что и случилось.
Так или иначе, в ближайшее время вполне возможно, что последует продолжение с участием представителей ФБР, ЦРУ и Министерства внутренней безопасности, если, конечно, на ферме занимались чем-то больше, чем ботоводством.
Но будем посмотреть.
Расследование деятельности SIM-ферм началось после того, как в начале этого года в адрес высокопоставленных чиновников США были совершены анонимные звонки с угрозами.
По данным NYT, жертвами некоторых из этих угроз стали два сотрудника Белого дома и один сотрудник самой Секретной службы.
Представители сикрет сёрвиса полагают, что обнаруженный ими «колл-центр» был одним из крупнейших, который когда-либо действовал в США. В ходе мероприятий удалось изъять более 300 совмещенных SIM-серверов и 100 000 SIM-карт.
Причем ферма работала в 56 км от штаб-квартиры ООН, где в настоящее время проходит заседание Генеральной Ассамблеи с участием мировых лидеров.
Причем спецслужбам удалось нейтрализовать ферму за несколько часов до заседания.
Мощности фермы позволяли за несколько минут разослать спам практически на все американские телефонные номера, а также вывести из строя всю национальную телекоммуникационную сеть, что особенно опасно в условиях чрезвычайных ситуаций.
Но, пожалуй, основной функционал фермы обеспечивал злоумышленникам анонимный, зашифрованный канал связи для решения других различных задач.
Собственно, в пресс-релизе Секретной службы имеется одна очень расплывчатая формулировка о причастности к работе фермы неназванного государства. А именно отмечается следующее.
Несмотря на то, что криминалистическая экспертиза изъятых устройств продолжается, предварительный анализ «указывает на наличие связи между субъектами угроз национального масштаба и лицами, известными федеральным правоохранительным органам».
Помимо самой фермы, как передают CNN и NBC News, в ходе расследования оперативники вышли на пустые конспиративные квартиры, арендованные в Армонке (штат Нью-Йорк), Гринвиче (штат Коннектикут), Квинсе (штат Нью-Йорк) и Нью-Джерси.
Агенты также обнаружили незаконное огнестрельное оружие, компьютеры, мобильные телефоны и 80 гр. кокаина вместе с оборудованием связи.
Полагаем, что о работе сервиса спецслужбы узнали достаточно давненько и, по всей видимости, мониторили всю активность, соответственно, все тайные операции, осуществляемые посредством фермы.
Однако в условиях проведения значимого международного мероприятия, дабы локализовать любые возможные негативные сценарии, сотрудники Секретной службы просто обязаны были свернуть работу фермы, что и случилось.
Так или иначе, в ближайшее время вполне возможно, что последует продолжение с участием представителей ФБР, ЦРУ и Министерства внутренней безопасности, если, конечно, на ферме занимались чем-то больше, чем ботоводством.
Но будем посмотреть.
NY Times
Cache of Devices Capable of Crashing Cell Network Is Found Near U.N.
The Secret Service discovered more than 100,000 SIM cards and 300 servers, which could disable cellular towers or be used to conduct surveillance.
• Утилита Zev подскажет вам команды в терминале по её описанию на естественном языке. В основе утилиты лежит языковая модель.
• Если пользователь забыл структуру команды, то он может описать её на естественном языке прямо в терминале. Языковая модель проанализирует запрос и выведет подходящие команды с кратким описанием. Команду из выдачи можно скопировать и выполнить в этом же окне терминала.
• Код утилиты написан на Python, а для использования есть два варианта: можно подключить API от OpenAI или использовать локальную нейросеть через Ollama.
• Саму утилиту в терминале можно запустить двумя способами:
➡️ https://github.com/dtnewman/zev
#Ai #Linux
• Если пользователь забыл структуру команды, то он может описать её на естественном языке прямо в терминале. Языковая модель проанализирует запрос и выведет подходящие команды с кратким описанием. Команду из выдачи можно скопировать и выполнить в этом же окне терминала.
• Код утилиты написан на Python, а для использования есть два варианта: можно подключить API от OpenAI или использовать локальную нейросеть через Ollama.
• Саму утилиту в терминале можно запустить двумя способами:
zev — интерактивный режим с пошаговым выполнением, zev <запрос> — прямой вопрос. Код утилиты открыт и доступен на GitHub.#Ai #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
• У хостера Selectel пополнение в списке бесплатных курсов на их сайте. На этот раз добавили свежий курс по изучению Docker. Внутри курса — практика и понятные инструкции, а теории только в меру. Подойдет даже тем, кто не знает, что такое контейнеры.
• Шаг за шагом вам предстоит разобраться, как работает контейнеризация! А начнете с самых азов: как установить Docker, собирать образы, запускать контейнеры и работать с Docker Compose. В общем и целом, если совсем нет опыта, но хотите разобраться в теме и получить опыт, то добро пожаловать: https://selectel.ru/docker
#Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Подкатили подробности эксплуатации недавней 0-day Fortra GoAnywhere MFT, которая задействовалась в атаках еще за восемь дней до выхода исправлений для создания бэкдор-учетной записи администратора.
Fortra устранила CVE-2025-10035 (CVSS 10/10), 18 сентября, не упомянув о ее реальной эксплуатации, но предоставив IoC, которые должны были помочь организациям выявлять потенциальные атаки.
Ошибка описывается как уязвимость десериализации в сервлете лицензии приложения безопасной передачи файлов, которая может позволить злоумышленнику с поддельной подписью ответа лицензии десериализовать созданный объект и осуществить инъекцию команд.
Как отмечает Fortra, клиентам необходимо убедиться, что доступ к консоли администратора GoAnywhere закрыт для всех. Эксплуатация этой уязвимости в значительной степени зависит от наличия внешнего доступа к интернету на системах.
По данным watchTowr, Fortra опоздала на восемь дней с выпуском исправлений для CVE-2025-10035, поскольку эта уязвимость уже эксплуатировалась как ноль на момент ее обнаружения 11 сентября.
В распоряжении исследователей оказались достоверные доказательства эксплуатации уязвимости Fortra GoAnywhere CVE-2025-10035 в реальных условиях, начиная с 10 сентября 2025 года.
В ходе наблюдаемых атак хакеры использовали RCE-уязвимость без аутентификации, чтобы создать скрытую учетную запись администратора на уязвимых экземплярах.
Затем они задействовали учетную запись для создания веб-пользователя, который предоставлял им доступ к сервису MFT, и использовали его для загрузки и выполнения различных дополнительных полезных нагрузок.
В техническом анализе CVE watchTowr отметила, что из Интернета доступно более 20 000 экземпляров GoAnywhere MFT, включая развертывания, относящиеся к компаниям из списка Fortune 500.
В свою очередь, Rapid7 также провела собственный углубленный анализ ошибки, пояснив, что это не простая проблема десериализации, а цепочка из трех отдельных ошибок.
Сюда входит обход контроля доступа, известный с 2023 года, небезопасная уязвимость десериализации CVE-2025-10035 и пока неизвестная проблема, связанная с тем, как злоумышленники могут узнать конкретный закрытый ключ.
Компания сообщила об обходе контроля доступа в феврале 2023 года, когда Fortra исправила ошибку удаленного выполнения кода до аутентификации в GoAnywhere MFT, которая эксплуатировалась как ноль.
И watchTowr, и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая требуется для успешной эксплуатации CVE-2025-10035.
Обе компании отмечают, что эксплуатация уязвимости возможна в случае попадания его в руки злоумышленников, если они обманом заставят сервер лицензий принять вредоносную подпись или если злоумышленники получат доступ к serverkey1 другим неустановленным способом.
Так что жертвы атак, по всей видимости, в скорой перспективе могут появиться на той или иной DLS.
Но будем посмотреть.
Fortra устранила CVE-2025-10035 (CVSS 10/10), 18 сентября, не упомянув о ее реальной эксплуатации, но предоставив IoC, которые должны были помочь организациям выявлять потенциальные атаки.
Ошибка описывается как уязвимость десериализации в сервлете лицензии приложения безопасной передачи файлов, которая может позволить злоумышленнику с поддельной подписью ответа лицензии десериализовать созданный объект и осуществить инъекцию команд.
Как отмечает Fortra, клиентам необходимо убедиться, что доступ к консоли администратора GoAnywhere закрыт для всех. Эксплуатация этой уязвимости в значительной степени зависит от наличия внешнего доступа к интернету на системах.
По данным watchTowr, Fortra опоздала на восемь дней с выпуском исправлений для CVE-2025-10035, поскольку эта уязвимость уже эксплуатировалась как ноль на момент ее обнаружения 11 сентября.
В распоряжении исследователей оказались достоверные доказательства эксплуатации уязвимости Fortra GoAnywhere CVE-2025-10035 в реальных условиях, начиная с 10 сентября 2025 года.
В ходе наблюдаемых атак хакеры использовали RCE-уязвимость без аутентификации, чтобы создать скрытую учетную запись администратора на уязвимых экземплярах.
Затем они задействовали учетную запись для создания веб-пользователя, который предоставлял им доступ к сервису MFT, и использовали его для загрузки и выполнения различных дополнительных полезных нагрузок.
В техническом анализе CVE watchTowr отметила, что из Интернета доступно более 20 000 экземпляров GoAnywhere MFT, включая развертывания, относящиеся к компаниям из списка Fortune 500.
В свою очередь, Rapid7 также провела собственный углубленный анализ ошибки, пояснив, что это не простая проблема десериализации, а цепочка из трех отдельных ошибок.
Сюда входит обход контроля доступа, известный с 2023 года, небезопасная уязвимость десериализации CVE-2025-10035 и пока неизвестная проблема, связанная с тем, как злоумышленники могут узнать конкретный закрытый ключ.
Компания сообщила об обходе контроля доступа в феврале 2023 года, когда Fortra исправила ошибку удаленного выполнения кода до аутентификации в GoAnywhere MFT, которая эксплуатировалась как ноль.
И watchTowr, и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая требуется для успешной эксплуатации CVE-2025-10035.
Обе компании отмечают, что эксплуатация уязвимости возможна в случае попадания его в руки злоумышленников, если они обманом заставят сервер лицензий принять вредоносную подпись или если злоумышленники получат доступ к serverkey1 другим неустановленным способом.
Так что жертвы атак, по всей видимости, в скорой перспективе могут появиться на той или иной DLS.
Но будем посмотреть.
watchTowr Labs
It Is Bad (Exploitation of Fortra GoAnywhere MFT CVE-2025-10035) - Part 2
We’re back, just over 24 hours later, to share our evolving understanding of CVE-2025-10035.
Thanks to everyone who reached out after Part 1, and especially to the individual who shared credible intel that informed this update.
In Part 1 we laid out an…
Thanks to everyone who reached out after Part 1, and especially to the individual who shared credible intel that informed this update.
In Part 1 we laid out an…
Forwarded from Cyber Media
Обсудили с экспертами, как в 2025 году продвигать продукты на рынке информационной безопасности в России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Книга, которую вы найдете по ссылке ниже, посвящена принципам построения сетей и работе с сетевыми технологиями. В материале смогут разобраться даже те, кто только знакомится с темой! Благодаря этой книге вы изучите ключевые концепции и принципы построения сетей, а также разберете ряд примеров современных технологий и сервисов. Например, тему облака и работу крупных площадок вроде Spotify и Netflix.
• Среди других тем: переход с IPv4 на IPv6, работа с различными типами данных и прочие базовые моменты. Авторы позиционируют книгу как универсальный материал, на основе которого любой специалист может разобраться в сетевых технологиях. Книга на английском языке, так что если у вас с этим сложности, то воспользуйтесь chatgpt и deepl.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Зацените винтажные часы от Casio, модель BP-300, которые имели функцию тонометра еще в далеком 1994 году. Только представьте, что данный функционал был доступен в часах уже 30 лет назад и это считалось настоящим технологическим чудом =) Вообще, часы от Casio по функционалу опережали время, чего уж там говорить. Взять даже модель Casio TM-100, которые имели телескопическую антенну для передачи сигналов на ближайшие радиоприемники в FM-диапазоне. Это вам не Apple Watch или Samsung Galaxy Watch. Вот настоящий прадедушка умных часов!
#Разное
#Разное
• Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт.
• Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры.
• В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных.
• Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт.
• Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре.
#ИБ #Web
Please open Telegram to view this post
VIEW IN TELEGRAM
• Максимально большая коллекция словарей для брутфорса, которые используют многие пентестеры в своей работе. Самое главное - весь материал абсолютно бесплатный, без ограничений и всего прочего. Ну и еще есть API для автоматизации и интеграции в собственные инструменты. Забираем отсюда: https://weakpass.com
#Пентест
#Пентест
Forwarded from SecAtor
Правительство Великобритании намерено предоставить Jaguar Land Rover кредит в размере 1,5 млрд фунтов стерлингов, который уйдет на поддержку автопроизводителя после недавней кибератаки, парализовавшей работу предприятий почти на месяц.
Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе.
31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat.
С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября.
Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе.
Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам.
Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики.
Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска.
Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней.
В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании.
Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок.
Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода.
По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов.
Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.
Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе.
31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat.
С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября.
Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе.
Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам.
Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики.
Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска.
Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней.
В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании.
Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок.
Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода.
По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов.
Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.
GOV.UK
Government backs Jaguar Land Rover with £1.5 billion loan guarantee
The Government announces support package for JLR following the recent cyber-attack.
• Первое IT мошенничество с причинением значительного финансового ущерба было совершено Норманом Хантом в 1977 году, когда Хант, под вымышленным именем Дэвид Уинтроп, основал компанию DataSync Corp, в городке Санта-Мария, штат Калифорния. Компания Datasync агрессивно рекламировалась в компьютерных журналах, где в объявлениях с красивыми цветными фото Хант предлагал купить у него оборудование по невероятно низким ценам для того времени. Хант мог спокойно заманивать покупателей любой ценой, потому что оборудования, которое таким образом он «виртуально» продавал, по факту даже не существовало.
• В июне 1977 года Хант был арестован за мошенничество и приговорен судом штата к трем годам заключения. Однако, Норман провел в тюрьме менее шести месяцев. За это время он организовал побег и смог перебраться в штат Аризона, где сменил свое имя на Джим Андерсон и основал компанию World Power Systems (WPS).
• Норман снова хотел вернутся к своим старым трюкам и начать рекламировать вымышленное оборудование по невероятно низким ценам. Но некоторые компьютерные энтузиасты начали замечать, что рекламируемое оборудование на фотографиях в журналах было собрано неправильно, а некоторые устройства даже не имели нужных контактов для электропитания! Поэтому, некоторое время после своего основания, компания WPS работала для обретения хорошей репутации, соблюдая все законы и правила, заказы поступали, их быстро отправляли клиентам, но по мере того, как объем заказов начал увеличиваться, Хант начал реализовывать новые схемы мошенничества.
• От имени компании WPS им отправлялись предупреждающие письма клиентам, в которых уведомлялось, что, к сожалению, клиенты не могут получить свой продукт вовремя, так как у поставщика нет нужного количества заказанного оборудования. В то же время, компания WPS начала запрашивать у своих прямых поставщиков оборудования отсрочку по платежам и даже возможность поставки оборудования в кредит. Если поставщики соглашались, то Хант делал крупные заказы на дорогостоящие компоненты, обещая поставщикам, что платежи за заказы будут произведены через 30 дней после поставки. Склады компании заполнялись оборудованием, а клиентам фактически ничего не отгружалось.
• Когда ситуация в компании начала усугубляться, а кредиторы угрожали подать в суд, то Хант начал реализовать следующий этап своего обмана — он обнуляет банковские счета компании и переводит деньги на свои счета, усложняет логистику и начинает перемещать оборудование по разным трудно отслеживаемым направлениям и скрытым складам, чтобы максимально замести следы для полиции, и, самое главное, находит козла отпущения, который возьмет на себя всю вину за происходящее.
• Хант заранее находил простоватого сотрудника, которого продвигал на пост президента компании, порулив активами компании и максимально приготовив все к бегству, Хант уходил в долгосрочный отпуск, отдавая руководство компанией в руки новоиспеченного президента. А сам Хант с денежками и оборудованием пропадал из штата.
• Полиция же арестовывает ничего не понимающего президента чуть ли не в первый его рабочий день и начинает расследование, в то время, как Хант получил хорошую временную фору для спокойного бегства и продолжения своих грязных дел в других штатах.
• Но закончилось все предсказуемо - Ханта поймали и посадили в тюрьму. Однако и там он успел провернуть еще одну аферу, на этот раз связанную с тюремной охраной, продавая якобы рабочее программное обеспечение, известное как “Word Type”, включающее в себя почти 100 разных программ всего за 109,95 долларов, так он нашел себе новый рынок продажи программного воздуха наивным пользователям.
• Любой неудачник, купивший этот комплект программ, если он все же получал их копию на руки, обнаруживал, что эти программы не запускаются совсем или являются переименованными копиями существующих программ. После вскрытия этой аферы, Ханта перевели в исправительный центр города Сан-Диего в 1981 году, где след его компьютерных злоключений окончательно затерялся.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Еще в апреле на хабре был опубликован перевод очень интересной статьи, в которой описана схема распространения вредоносного ПО через тысячи GitHub репозиториев - от модов для Fortnite до «взломанного» Photoshop.
• Если жертва скачивает и запускает такое ПО, то все данные с ПК отправляются на Discord-сервер, где сотни злоумышленников просматривают их в поисках ключей от криптокошельков, учётных данных от социальных сетей, банковских данных, а также аккаунтов Steam и Riot Games.
• В общем и целом, автор проделал огромную работу и подробно описал это в статье:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Если вы арендовали свой первый VDS-сервер и не знаете, с чего начать, это нормально — поначалу всё может казаться сложным: терминал, настройки, безопасность… В этой статье собран хороший список утилит, которые помогут осуществить настройку сервера под ваши задачи и потребности, повысят удобство использования сервера и защитят его от потенциальных угроз:
#Tools #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Софт для VDS-сервера, на который стоит обратить внимание новичкам
Если вы арендовали свой первый VDS-сервер и не знаете, с чего начать, это нормально — поначалу всё может казаться сложным: терминал, настройки, безопасность… Чтобы упростить старт, я собрал список...
Forwarded from SecAtor
Почти 50 000 устройств Cisco Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD), доступных в общедоступной сети, подвержены двум активно эксплуатируемым уязвимостям.
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Cisco
Cisco Security Advisory: Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software…
Update: On November 5, 2025, Cisco became aware of a new attack variant against devices running Cisco Secure ASA Software or Cisco Secure FTD Software releases that are affected by CVE-2025-20333 and CVE-2025-20362. This attack can cause unpatched devices…
• Первым компьютером с графическим пользовательским интерфейсом считается Xerox Alto, разработанный в лаборатории Xerox PARC в 1973 году. Это был экспериментальный продукт, не предназначенный для широкого рынка. Тем не менее, к концу 1970-х было произведено порядка 2000 машин этой линейки. Большая их часть, порядка полутора тысяч, были установлены непосредственно в Xerox Laboratories, остальные продавались университетам в качестве учебных и вычислительных машин.
• Уже в первые годы существования Alto приобрел широкую известность в Кремниевой долине. Еще большую популярность Xerox принесла разработка усовершенствованной версии Alto, Xerox Star. Первые лица крупных технологических компаний, в том числе представители Microsoft и глава Apple Стив Джобс посещали Xerox Laboratories, чтобы поработать с этими компьютерами. Известно, что в 1979 Джобс договорился о специальных демонстрационных сессиях в обмен на некоторые бонусы для Xerox от компании Apple. В следующие несколько лет на свет появились Apple Lisa и Macintosh, первые рыночные образцы ПК с графическим пользовательским интерфейсом.
• Помимо Джобса, вдохновение для собственных GUI у Xerox черпал и Билл Гейтс. В мире высоких технологий всегда действовал принцип «кто первый показал, тот лучше продается», поэтому времени на разработку уникального интерфейса ни у Apple, ни у Microsoft толком не было. Именно поэтому ранние версии графических ОС у обеих компаний выглядят как близнецы-братья.
• Xerox Alto дал толчок отрасли разработки графических пользовательский интерфейсов. Тем не менее, ввиду дороговизны компьютерных компонентов, сложности разработки GUI и неготовности крупных игроков менять подход к созданию компьютеров и ПО, первые машины, снабженные графическим интерфейсом, стали массово появляться на рынке лишь десятилетие спустя, в начале 1980-х.
• В 1981 году эпоха персональных компьютеров только-только начиналась, однако по-настоящему актуальные и прогрессивные ЭВМ (наподобие Alto) простым пользователям были недоступны. Сказывались и молодость рынка, и высокая стоимость отдельных комплектующих.
• Однако крупные компании уже активно пользовались подобными устройствами. Quantel Paintbox, специализированная рабочая станция для работы с компьютерной графикой, применялась для создания телевизионных «спецэффектов» (на фото).
• Машину разработала британская технологическая компания Quantel, а одной из первостепенных задач, которые ставились перед Paintbox, являлось создание графики (титры, переходы и т.п.) для выпусков новостей в прямом эфире.
• Компьютеры продавались по цене порядка 250 000 долларов (по курсу на 1980 год), поэтому позволить их себе могли исключительно крупные телевизионные сети, такие как NBC.
• В 1981 году Paintbox произвел революцию в производстве телевизионной графики. Со временем практически все телекомпании, включая небольшие региональные каналы, переключились на полностью «компьютерный» монтаж. Кроме того, считается, что именно в Paintbox впервые появились так называемые всплывающие меню.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM