Когда попросил эникея аккуратно закрепить всё под столом, но не уточнил метод 😬

Типичный 🥸 Сисадмин

Очередной день, очередной факап в экосистеме Microsoft. Неизвестные группировки массово ломают энергетические компании по всему миру, используя в качестве тарана SharePoint.

Атакующие используют уже угнанные учетки, чтобы размещать фишинговые страницы прямо на легитимных сайтах SharePoint или генерировать ссылки на файлы, требующие аутентификации. Затем рассылаются письма с важными темами. Пользователь, которого годами дрессировали проверять адресную строку, видит родной корпоративный домен или доверенный sharepoint.com, расслабляется и вводит пароль.

Дальше, чтобы жертва не заметила, что с её почты прямо сейчас улетает 600 писем партнерам, скрипты мгновенно создают вредоносные правила. Все входящие ответы, отчеты о недоставке и вопросы коллег (Тебя шо, взломали?) молча удаляются или помечаются прочитанными и скрываются в архив. Админы, у которых не настроен алерт на событие New-InboxRule в Exchange Online, узнают об инциденте последними 😬

Типичный 🎄 Сисадмин

⌨️ Новая волна атак, нацеленная на российский корпоративный сектор

Бухгалтериям рассылают архив с файлом Задание_для_бухгалтера_02отдела.txt.lnk. Расчет строится на том, что условная Марьванна увидит знакомые слова, иконку текстового документа и рефлекторно кликнет дважды, запустив цепочку уничтожения всей инфры 💥

Внутри ярлыка спрятан запуск PowerShell с командой обхода политик выполнения. Это классический загрузчик, который тянет скрипт прямо с репозитория на GitHub. Малварь действует аккуратно... прячет черное окно консоли, создает в папке пользователя настоящий текстовый документ-приманку с инструкциями, открывает его, чтобы усыпить бдительность Марьванны, и тут же стучит в бот Телеги, докладывая хозяину об успешном запуске.

Далее стартует VBScript. Он проверяет, есть ли у текущего пользователя права админа. Если прав нет, то запускается бесконечный цикл запросов. Окна контроля учетных записей (UAC) начинают выскакивать каждые 3 секунды, пока доведенная до истерики Марьванна не нажмет (Да), просто чтобы это прекратилось 🤬

Как только права получены, вирус начинает выжигать средства защиты. Через PowerShell отключается защита в реальном времени, а папки с временными файлами добавляются в исключения. Но самый прикольный трюк с использование утилиты Defendnot. Загрузчик внедряется в доверенный системный процесс Taskmgr.exe, который затем регистрирует в Центре безопасности Windows фейковый антивирус. Система видит новую защиту и сама, штатно отключает родной Defender, чтобы избежать конфликтов ПО 🎩

Закрепление и зачистка следов тоже выполнены на уровне параноика. Через реестр блокируются запуск Диспетчера задач, редактора реестра и командной строки. Командой reagentc убивается среда восстановления, а следом сносятся все теневые копии, чтобы вы не смогли откатить систему назад. В завершении закачивается троян Amnesia, который специализируется на краже сессий десктопной Телеги (папка tdata), сохраненных паролей браузеров и крипты. После кражи данных запускается шифровальщик Hakuna Matata, который полирует всё это дело тотальным локером системы ⚰️

Вот такая нехитрая получилась атака, которая на 90% состоит из легитимных админских действий (PowerShell, WMI, правка реестра) и трафика на белые ресурсы. Единственная реальная защита здесь - это жесткие политики ограничения программ, запрет запуска скриптов из папок пользователя и, конечно, лишение бухгалтерии прав... отберите же у них права локальных админов, если вы этого еще не сделали 😱

Типичный 🥸 Сисадмин

🪣 Зимняя оттепель снова нашла уязвимость в гидроизоляции, приходится разворачивать временное аппаратное решение, типа ведро.
#предложка

Теперь главная задача с утра - мониторить буфер на предмет переполнения.

Типичный 🥸 Сисадмин

Умная духовка Miele выкачала почти 5 ГБ трафика за последнюю неделю... может быть она стала частью некого ботнета ⌨️
#предложка

Типичный 🥸 Сисадмин

😬 Когда увидел на Авитах неплохое предложение... будем поднимать домашний прод с новым обогревателем.

Типичный 🥸 Сисадмин

cd
ls
cd

Linux / Линукс 🥸

👨‍🔬 Microsoft случайно показала будущее, где блокнот не работает без интернетов

Тут некоторые легальные пользователи Win 11 внезапно обнаружили, что не могут открыть Блокнот, Paint, Ножницы и Windows Security. Приложения падали с ошибкой 0x803F8001, требуя проверить учетную запись в Microsoft Store.

Получается, чтобы просто отредактировать txt файл или обрезать скриншот, винда стучалась на свои сервера и проверяла цифровую подпись. Из-за сбоя на стороне Store (проблема была серверная) прилипли тысячи пользователей. Окна с ошибками лицензирования постоянно перехватывали фокус, делая работу невозможной, а особо ретивые пользователи, которые попытались переустановить софт, обнаружили, что скачать его обратно тоже нельзя 🤪

Microsoft пояснила, что проблему уже пофиксили на своей стороне, и накатывать патчи не нужно.

Представьте лицо Столлмана, если бы ему сказали, что для редактирования конфига нужно залогиниться в магазин приложений 😂

Типичный 🥸 Сисадмин

👩‍💻 Всем программистам посвящается!

Вот 14 авторских обучающих IT каналов по самым востребованным областям программирования:

Выбирай своё направление:

👩‍💻 Python — t.me/python_ready
👩‍💻 Linux — t.me/linux_ready
🤔 InfoSec & Хакинг — t.me/hacking_ready
🖼️ DevOps — t.me/devops_ready
🖥 SQL & Базы Данных — t.me/sql_ready
🤖 Нейросети — t.me/neuro_ready
👩‍💻 Frontend — t.me/frontend_ready
👩‍💻 IT Новости — t.me/it_ready
👩‍💻 C/C++ — https://t.me/cpp_ready
👩‍💻 C# & Unity — t.me/csharp_ready
👩‍💻 Java — t.me/java_ready
📖 IT Книги — t.me/books_ready
📱 JavaScript — t.me/javascript_ready
🖥 Design — t.me/design_ready

📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!

Прошло 2 часа, сделано 13%... впереди еще где-то часов 15 😱

Вероятность сбоя питания или отвала сети растет в геометрической прогрессии по мере приближения к соточке.

Типичный 🙏 Сисадмин

🔥 Оператор охранных систем Delta 26 января словил масштабную кибератаку. Сайт лёг, телефоны не отвечают, онлайн-сервисы временно ограничены.

Хуже всего пришлось владельцам авто с их сигнализациями. Люди пишут, что не могут запустить двигатель. Не могут выключить орущую сигнализацию. Не могут открыть двери собственного автомобиля.

Компания уже выпустила официальный успокоительный пресс-релиз. Там полный набор корпоративного бинго:

🟢"Мы занимаем лидирующие позиции" (ну, допустим);
🟢"Уделяем приоритетное внимание безопасности" (очевидно, недостаточное 💩).

Вот вам и пример рисков централизованных IoT-систем. Владельцам заблокированных тачек - сочувствую.

Типичный 🥸 Сисадмин

🤙 Представитель Delta вышел в эфир и объяснил, почему машины не заводятся (вчерашний взлом).

Руководитель маркетинга Delta ночью записал видеообращение, где вместо технических деталей или сроков восстановления, рассказал про масштабную, спланированную атаку, след которой ведет с территории иностранного государства. Всё по классике, т.е. если упал прод, то это не мы плохо защищали периметр или экономили на отказоустойчивости, это просто хацкеры слишком сильные. Если "лидерская архитектура" (цитата) отрасли не выстояла, то это какбэ намекает на качество этой самой архитектуры 🤔

Отдельно про персональные данные. Клиентов клятвенно заверили, что их данные остались неприкосновенны и никуда не утекли. Опытные админы знают... обычно такие заявления делаются ровно за неделю до того, как база появляется в паблике. Но хочется верить в чудо и что это не произойдёт.

Типичный 🥸 Сисадмин

Самый смешной анекдот в курилке разрабов Windows 😂

Типичный 🥸 Сисадмин

⌨️ Telnet снова дарит root-права без пароля (CVE-2026-24061)

Казалось бы, в 2026 году порт 23 должен быть закрыт не просто фаерволом, а залит бетоном. Но если в вашей инфре (или на старых железках) крутится GNU InetUtils telnetd, у меня для вас плохие новости.

В демоне нашли критическую уязвимость (CVSS 9.8), которая позволяет получить root-доступ, просто грамотно попросив. Дыра жила в коде 11 лет (с 2015 года), и никто её не замечал.

Демон telnetd принимает от клиента переменную окружения USER и, не особо задумываясь, передает её как аргумент утилите /bin/login. А что будет, если хацкер передаст значение -f root? Системный компонент видит флаг принудительного входа, который исторически использовался для доверенных сессий, и решает, что этот пользователь уже аутентифицирован и впускает под рутом 🎩

ИБшные компании уже фиксируют, что с IP-адресов Китая, США и Нидерландов начали активно сканить интернет в поисках мамонтов с открытым телнетом.

Если вы используете Telnet в 2026 году... то, во-первых, зачем? 🤡 А во-вторых, обновляйте пакет inetutils или наконец-то переходите на SSH.

Типичный 🥸 Сисадмин