Хорошее время, чтобы заняться кибербезопасностью, потому что все эти приложения, разработанные методом вайб-кодирования (когда программист описывает задачу для ИИ, который генерирует код), всё больше попадают в продакшн.

А потом окажется, что вашу работу уже делает автоматизированный сканер уязвимостей и другая LLM, которая переводит его отчет на язык, понятный разве что другой LLM. Добро пожаловать в будущее, где баги фиксит бот, написанный ботом, на основе отчета бота 🤔

Типичный 😬 Сисадмин

🕵️‍♂️ Логи Slack помогли поймать корпоративного шпиона

HR-компания Rippling подала в суд на конкурента Deel, обвинив его в корпоративном шпионаже.

Что произошло?
• В 2023 году Rippling наняла сотрудника, который курировал вопросы по уровню зарплаты в Европе.
• Руководство заметило, что он часто посещает не связанные с его работой каналы в Slack и ищет информацию по ключевому слову "Deel".
• Чтобы подтвердить подозрения, Rippling организовала "ловушку": создала фальшивый канал в Slack с данными о Deel.
• Сотрудник попался на удочку, начав скачивать файлы из канала.

Как поймали шпиона?
• Rippling использовала логи Slack, чтобы получить ордер на изъятие смартфона сотрудника.
• Полиция Дублина прибыла в офис, но сотрудник попытался уничтожить телефон, смыв его в унитаз.
• Несмотря на его попытки, полиция задержала его и изъяла улики.

Типичный 🥸 Сисадмин

Когда получаешь внимания от сетевой команды.

10.69.69.69

Типичный 🥸 Сисадмин

PCI Express 7.0: финальный драфт спецификации опубликован. Готовимся к 512 ГБ/с

PCI-SIG объявила о публикации версии 0.9 спецификации PCI Express 7.0. Это финальный драфт, и, как обещают, никаких функциональных изменений больше не предвидится. Полная спецификация PCIe 7.0 должна выйти уже в этом году, в 2025-м.

Что нас ждет в PCIe 7.0 (напоминание):

* Скорость передачи данных 128 ГТ/с (гигатранзакций в секунду) в "сыром" виде.
* До 512 ГБ/с двунаправленной пропускной способности в конфигурации x16.
* Сигнализация PAM4 (Pulse Amplitude Modulation with 4 levels) - четырехуровневая амплитудная модуляция импульсов.
* Особое внимание к параметрам канала и дальности передачи сигнала.
* Улучшенная энергоэффективность.
* Сохранение низкой задержки и высокой надежности, как и в предыдущих поколениях PCIe.
* Обратная совместимость со всеми предыдущими поколениями PCI Express.

Увеличение пропускной способности до 512 ГБ/с в x16 серьезно повысит производительность GPU, NVMe SSD и сетевых карт. PCIe 7.0 станет основой для инфраструктур, работающих с большими данными и ресурсоемкими приложениями. Готовимся к развертыванию оборудования PCIe 7.0 для повышения производительности и масштабируемости IT-инфраструктур.

Скоро SSD будут быстрее оперативки работать? Или уже пора оперативку по PCIe подключать? 😏

Типичный 🥸 Сисадмин

🚨 Сисадминам на заметку: Head Mare & Twelve - Техника Проникновения и Закрепления в Российских Сетях

Kaspersky зафиксировал признаки коллаборации группировок Head Mare и Twelve, нацеленных на российские организации. Head Mare использует инструментарий и C2-инфраструктуру, ранее эксклюзивно ассоциированные с Twelve, что указывает на совместные кампании.

Техника Первоначального Проникновения:

🟢CVE-2023-38831 (WinRAR): Фишинг с вредоносными архивами. Эксплуатация уязвимости позволяет выполнить код при открытии архива, минуя защиту SmartScreen.
🟢CVE-2021-26855 (ProxyLogon - Exchange): Эксплуатация даже не пропатченных Exchange серверов (Server 2016/2012R2). Используется для прямого выполнения команд на сервере, в частности, для загрузки и запуска бэкдора CobInt. Уязвимость позволяет обойти аутентификацию и выполнить произвольный код через backend Exchange.
🟢Компрометация Подрядчиков (Supply Chain): Атака через доверенные отношения, используя доступ подрядчиков к платформам бизнес-автоматизации и RDP. Эксплуатация легитимных учетных записей и каналов связи для проникновения во внутреннюю сеть.

Техника Закрепления (Persistence) - Новый Подход:

🟢Привилегированные Локальные Учетки на Серверах Бизнес-Автоматизации: Вместо Scheduled Tasks. Создаются новые учетные записи с правами администратора локально на сервере. Обход стандартных механизмов мониторинга persistence на основе запланированных заданий. Используются для:
* RDP-доступа: Интерактивное управление, ручной запуск инструментов.
* Минимизации Заметности: Действия выполняются от имени легитимной (хоть и созданной атакующими) учетной записи, снижая срабатывание поведенческой аналитики.

🟢Localtonet + NSSM: Для постоянного удаленного доступа к хосту.
* Localtonet: Reverse proxy, обеспечивает доступ извне к локальным сервисам.
* NSSM (Non-Sucking Service Manager): Запускает Localtonet как Windows Service, обеспечивая автозапуск и устойчивость к перезагрузкам. Легальные утилиты используются в злонамеренных целях для создания постоянного канала управления.

Ключевые Инструменты (Технический Акцент):

🟢CobInt (Бэкдор): Связан с Twelve и Crypt Ghouls. Обеспечивает обратный шелл (reverse shell) на C2.
🟢PhantomJitter (Имплант): Кастомная разработка Head Mare. Аналогично - для удаленного исполнения команд на серверах.
🟢proxy.ps1 (PowerShell Скрипт): Автоматизирует развертывание Gost и Cloudflared для туннелирования трафика. PowerShell используется для быстрой настройки проксирования и обхода сетевых ограничений.

Рекомендации:

🟢Мониторинг: Усилить мониторинг Event Logs на предмет создания новых локальных пользователей, необычной активности RDP, запуска nssm.exe, сетевых соединений к подозрительным C2.
🟢Аудит Учетных Записей: Регулярно проверять список локальных пользователей на серверах, особенно на бизнес-платформах. Выявлять нелегитимные учетные записи.
🟢Патчинг Exchange: Критически важно пропатчить Exchange Server, особенно старые версии. CVE-2021-26855 – серьезная брешь.
🟢Контроль Подрядчиков: Аудит прав доступа, сегментация сети, MFA для подрядчиков. Мониторинг их активности.
🟢Белый Список Приложений: Рассмотреть внедрение AppLocker или аналогичных решений для контроля запуска исполняемых файлов, ограничив запуск Localtonet, nssm.exe и других потенциально опасных утилит.

Короче, пятница отменяется. Работа сисадмина становится все интереснее и интереснее. Теперь нужно не только за пользователями следить, но и за целыми киберпреступными синдикатами. Главное, чтобы зарплату за "интересность" тоже повысили 😬

---
P.S. Похоже, пора уже классифицировать "компрометацию подрядчика" как легитимный вектор пентеста.

Типичный 🥸 Сисадмин

🚫 IBM сократила тысячи сотрудников: подразделение Cloud Classic потеряло 25% персонала

• Затронуты также другие облачные подразделения, консалтинг, продажи, внутренние IT-системы и др.
• А ещё сотрудники теперь обязаны находиться в офисе минимум 3 дня в неделю.

На фоне этого гендиректор Арвинд Кришна продолжает повышать себе зарплату, что сотрудников тоже не радует.
🤵 Его заявление, что «ИИ не заменит программистов, а повысит их эффективность», вызвало насмешки в коллективе.

Типичный 🥸 Сисадмин

#предложка
Получается, наладили производство? 🤔

Типичный 🥸 Сисадмин

⌨️ Бэкдор с CVSS 9.8: хакеры атакуют Cisco через «зашитые» пароли

В сетевых устройствах с Cisco Smart Licensing Utility (CSLU) начались массовые атаки через критическую уязвимость, которая открывает полный доступ к системе через скрытую учётку администратора. Патчи выпущены в сентябре 2024 года, но тысячи устройств до сих пор уязвимы.

🤔 Суть угрозы:
• CVE-2024-20439 (CVSS 9.8): Жёстко прописанные в коде CSLU логин и пароль администратора позволяют хакерам удалённо выполнять команды с правами root.
• CVE-2024-20440 (CVSS 7.5): Утечка конфиденциальных логов (API-ключи, токены) через поддельные HTTP-запросы.
• CSLU должен быть запущен вручную — приложение не работает в фоне по умолчанию.
• Злоумышленники используют связку CVE-2024-20439 и CVE-2024-20440 для кражи данных и захвата контроля.

😱 В чем опасность:
• Цель — не только Cisco: атаки распространились на другие устройства, включая DVR Guangzhou Yingke Electronic (эксплойт CVE-2024-0305).
• Учётные данные были вшиты в код CSLU годами, но обнаружили их только сейчас.
• Компания заявляет, что не нашла следов эксплуатации на момент публикации бюллетеня.

👍 Что делать?
• Удалить CSLU с серверов, если он не используется.
• Установить обновления для CVE-2024-20439 и CVE-2024-20440.
• Проверить логи на предмет подозрительных запросов к портам 8915/TCP (CSLU API).

P.S. Если ваш пароль администратора — «Cisco@123», срочно меняйте его.

Типичный 🥸 Сисадмин

🤫 Keenetic 2 года скрывала о взломе базы данных своего мобильного приложения

Компания официально подтвердила взлом IT-инфраструктуры: злоумышленники получили доступ к данным пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года. Инцидент раскрыли только в феврале 2025-го — два года информация могла быть в руках третьих лиц.

Что украли хакеры?
• 📧 Почта и логины аккаунтов.
• 🔑 Пароли VPN (PPTP/L2TP, IPSec).
• ⚙️ Настройки устройств.

Keenetic утверждает, что до февраля 2025 не было признаков утечки. Тем не менее, компания рекомендовала пользователям мобильного приложения Keenetic из группы риска сменить пароли учётных записей, пароли Wi-Fi, VPN-клиентов/предварительные ключи для: PPTP/L2TP, L2TP/IPSec, IPSec Site-to-Site, SSTP.

😢 — Халатность Keenetic разочаровала
🤷 — Не вижу ничего такого

🥸 godnoTECH - Новости IT

✋ Cloudflare полностью отключает HTTP для своего API

С 20 марта доступ к API (api.cloudflare.com) возможен исключительно через HTTPS. Незашифрованные HTTP-запросы теперь не просто блокируются — они физически не могут установить соединение.

Раньше запросы перенаправлялись на HTTPS или получали ошибку 403. Теперь соединение полностью обрывается на уровне рукопожатия.

⚡️ Под ударом:
— Устаревшие скрипты и боты, работающие по HTTP.
— IoT-устройства без поддержки HTTPS.
— Низкоуровневые клиенты, игнорирующие шифрование.

В IV квартале 2025 Cloudflare разрешит клиентам отключать HTTP-порты для своих доменов.

🤔 Кстати:
— 2.4% всего трафика Cloudflare до сих пор идёт по HTTP.
— Среди автоматизированных систем (боты, скрипты) доля HTTP — 17%.

Типичный 🥸 Сисадмин