Хорошее время, чтобы заняться кибербезопасностью, потому что все эти приложения, разработанные методом вайб-кодирования (когда программист описывает задачу для ИИ, который генерирует код), всё больше попадают в продакшн.

А потом окажется, что вашу работу уже делает автоматизированный сканер уязвимостей и другая LLM, которая переводит его отчет на язык, понятный разве что другой LLM. Добро пожаловать в будущее, где баги фиксит бот, написанный ботом, на основе отчета бота 🤔

Типичный 😬 Сисадмин

🕵️‍♂️ Логи Slack помогли поймать корпоративного шпиона

HR-компания Rippling подала в суд на конкурента Deel, обвинив его в корпоративном шпионаже.

Что произошло?
• В 2023 году Rippling наняла сотрудника, который курировал вопросы по уровню зарплаты в Европе.
• Руководство заметило, что он часто посещает не связанные с его работой каналы в Slack и ищет информацию по ключевому слову "Deel".
• Чтобы подтвердить подозрения, Rippling организовала "ловушку": создала фальшивый канал в Slack с данными о Deel.
• Сотрудник попался на удочку, начав скачивать файлы из канала.

Как поймали шпиона?
• Rippling использовала логи Slack, чтобы получить ордер на изъятие смартфона сотрудника.
• Полиция Дублина прибыла в офис, но сотрудник попытался уничтожить телефон, смыв его в унитаз.
• Несмотря на его попытки, полиция задержала его и изъяла улики.

Типичный 🥸 Сисадмин

Когда получаешь внимания от сетевой команды.

10.69.69.69

Типичный 🥸 Сисадмин

PCI Express 7.0: финальный драфт спецификации опубликован. Готовимся к 512 ГБ/с

PCI-SIG объявила о публикации версии 0.9 спецификации PCI Express 7.0. Это финальный драфт, и, как обещают, никаких функциональных изменений больше не предвидится. Полная спецификация PCIe 7.0 должна выйти уже в этом году, в 2025-м.

Что нас ждет в PCIe 7.0 (напоминание):

* Скорость передачи данных 128 ГТ/с (гигатранзакций в секунду) в "сыром" виде.
* До 512 ГБ/с двунаправленной пропускной способности в конфигурации x16.
* Сигнализация PAM4 (Pulse Amplitude Modulation with 4 levels) - четырехуровневая амплитудная модуляция импульсов.
* Особое внимание к параметрам канала и дальности передачи сигнала.
* Улучшенная энергоэффективность.
* Сохранение низкой задержки и высокой надежности, как и в предыдущих поколениях PCIe.
* Обратная совместимость со всеми предыдущими поколениями PCI Express.

Увеличение пропускной способности до 512 ГБ/с в x16 серьезно повысит производительность GPU, NVMe SSD и сетевых карт. PCIe 7.0 станет основой для инфраструктур, работающих с большими данными и ресурсоемкими приложениями. Готовимся к развертыванию оборудования PCIe 7.0 для повышения производительности и масштабируемости IT-инфраструктур.

Скоро SSD будут быстрее оперативки работать? Или уже пора оперативку по PCIe подключать? 😏

Типичный 🥸 Сисадмин

🚨 Сисадминам на заметку: Head Mare & Twelve - Техника Проникновения и Закрепления в Российских Сетях

Kaspersky зафиксировал признаки коллаборации группировок Head Mare и Twelve, нацеленных на российские организации. Head Mare использует инструментарий и C2-инфраструктуру, ранее эксклюзивно ассоциированные с Twelve, что указывает на совместные кампании.

Техника Первоначального Проникновения:

🟢CVE-2023-38831 (WinRAR): Фишинг с вредоносными архивами. Эксплуатация уязвимости позволяет выполнить код при открытии архива, минуя защиту SmartScreen.
🟢CVE-2021-26855 (ProxyLogon - Exchange): Эксплуатация даже не пропатченных Exchange серверов (Server 2016/2012R2). Используется для прямого выполнения команд на сервере, в частности, для загрузки и запуска бэкдора CobInt. Уязвимость позволяет обойти аутентификацию и выполнить произвольный код через backend Exchange.
🟢Компрометация Подрядчиков (Supply Chain): Атака через доверенные отношения, используя доступ подрядчиков к платформам бизнес-автоматизации и RDP. Эксплуатация легитимных учетных записей и каналов связи для проникновения во внутреннюю сеть.

Техника Закрепления (Persistence) - Новый Подход:

🟢Привилегированные Локальные Учетки на Серверах Бизнес-Автоматизации: Вместо Scheduled Tasks. Создаются новые учетные записи с правами администратора локально на сервере. Обход стандартных механизмов мониторинга persistence на основе запланированных заданий. Используются для:
* RDP-доступа: Интерактивное управление, ручной запуск инструментов.
* Минимизации Заметности: Действия выполняются от имени легитимной (хоть и созданной атакующими) учетной записи, снижая срабатывание поведенческой аналитики.

🟢Localtonet + NSSM: Для постоянного удаленного доступа к хосту.
* Localtonet: Reverse proxy, обеспечивает доступ извне к локальным сервисам.
* NSSM (Non-Sucking Service Manager): Запускает Localtonet как Windows Service, обеспечивая автозапуск и устойчивость к перезагрузкам. Легальные утилиты используются в злонамеренных целях для создания постоянного канала управления.

Ключевые Инструменты (Технический Акцент):

🟢CobInt (Бэкдор): Связан с Twelve и Crypt Ghouls. Обеспечивает обратный шелл (reverse shell) на C2.
🟢PhantomJitter (Имплант): Кастомная разработка Head Mare. Аналогично - для удаленного исполнения команд на серверах.
🟢proxy.ps1 (PowerShell Скрипт): Автоматизирует развертывание Gost и Cloudflared для туннелирования трафика. PowerShell используется для быстрой настройки проксирования и обхода сетевых ограничений.

Рекомендации:

🟢Мониторинг: Усилить мониторинг Event Logs на предмет создания новых локальных пользователей, необычной активности RDP, запуска nssm.exe, сетевых соединений к подозрительным C2.
🟢Аудит Учетных Записей: Регулярно проверять список локальных пользователей на серверах, особенно на бизнес-платформах. Выявлять нелегитимные учетные записи.
🟢Патчинг Exchange: Критически важно пропатчить Exchange Server, особенно старые версии. CVE-2021-26855 – серьезная брешь.
🟢Контроль Подрядчиков: Аудит прав доступа, сегментация сети, MFA для подрядчиков. Мониторинг их активности.
🟢Белый Список Приложений: Рассмотреть внедрение AppLocker или аналогичных решений для контроля запуска исполняемых файлов, ограничив запуск Localtonet, nssm.exe и других потенциально опасных утилит.

Короче, пятница отменяется. Работа сисадмина становится все интереснее и интереснее. Теперь нужно не только за пользователями следить, но и за целыми киберпреступными синдикатами. Главное, чтобы зарплату за "интересность" тоже повысили 😬

---
P.S. Похоже, пора уже классифицировать "компрометацию подрядчика" как легитимный вектор пентеста.

Типичный 🥸 Сисадмин

🚫 IBM сократила тысячи сотрудников: подразделение Cloud Classic потеряло 25% персонала

• Затронуты также другие облачные подразделения, консалтинг, продажи, внутренние IT-системы и др.
• А ещё сотрудники теперь обязаны находиться в офисе минимум 3 дня в неделю.

На фоне этого гендиректор Арвинд Кришна продолжает повышать себе зарплату, что сотрудников тоже не радует.
🤵 Его заявление, что «ИИ не заменит программистов, а повысит их эффективность», вызвало насмешки в коллективе.

Типичный 🥸 Сисадмин