🚨 Сисадминам на заметку: Head Mare & Twelve - Техника Проникновения и Закрепления в Российских Сетях
Kaspersky зафиксировал признаки коллаборации группировок Head Mare и Twelve, нацеленных на российские организации. Head Mare использует инструментарий и C2-инфраструктуру, ранее эксклюзивно ассоциированные с Twelve, что указывает на совместные кампании.
Техника Первоначального Проникновения:
🟢 CVE-2023-38831 (WinRAR): Фишинг с вредоносными архивами. Эксплуатация уязвимости позволяет выполнить код при открытии архива, минуя защиту SmartScreen.
🟢 CVE-2021-26855 (ProxyLogon - Exchange): Эксплуатация даже не пропатченных Exchange серверов (Server 2016/2012R2). Используется для прямого выполнения команд на сервере, в частности, для загрузки и запуска бэкдора CobInt. Уязвимость позволяет обойти аутентификацию и выполнить произвольный код через backend Exchange.
🟢 Компрометация Подрядчиков (Supply Chain): Атака через доверенные отношения, используя доступ подрядчиков к платформам бизнес-автоматизации и RDP. Эксплуатация легитимных учетных записей и каналов связи для проникновения во внутреннюю сеть.
Техника Закрепления (Persistence) - Новый Подход:
🟢 Привилегированные Локальные Учетки на Серверах Бизнес-Автоматизации: Вместо Scheduled Tasks. Создаются новые учетные записи с правами администратора локально на сервере. Обход стандартных механизмов мониторинга persistence на основе запланированных заданий. Используются для:
* RDP-доступа: Интерактивное управление, ручной запуск инструментов.
* Минимизации Заметности: Действия выполняются от имени легитимной (хоть и созданной атакующими) учетной записи, снижая срабатывание поведенческой аналитики.
🟢 Localtonet + NSSM: Для постоянного удаленного доступа к хосту.
* Localtonet: Reverse proxy, обеспечивает доступ извне к локальным сервисам.
* NSSM (Non-Sucking Service Manager): Запускает Localtonet как Windows Service, обеспечивая автозапуск и устойчивость к перезагрузкам. Легальные утилиты используются в злонамеренных целях для создания постоянного канала управления.
Ключевые Инструменты (Технический Акцент):
🟢 CobInt (Бэкдор): Связан с Twelve и Crypt Ghouls. Обеспечивает обратный шелл (reverse shell) на C2.
🟢 PhantomJitter (Имплант): Кастомная разработка Head Mare. Аналогично - для удаленного исполнения команд на серверах.
🟢 proxy.ps1 (PowerShell Скрипт): Автоматизирует развертывание Gost и Cloudflared для туннелирования трафика. PowerShell используется для быстрой настройки проксирования и обхода сетевых ограничений.
Рекомендации:
🟢 Мониторинг: Усилить мониторинг Event Logs на предмет создания новых локальных пользователей, необычной активности RDP, запуска
🟢 Аудит Учетных Записей: Регулярно проверять список локальных пользователей на серверах, особенно на бизнес-платформах. Выявлять нелегитимные учетные записи.
🟢 Патчинг Exchange: Критически важно пропатчить Exchange Server, особенно старые версии. CVE-2021-26855 – серьезная брешь.
🟢 Контроль Подрядчиков: Аудит прав доступа, сегментация сети, MFA для подрядчиков. Мониторинг их активности.
🟢 Белый Список Приложений: Рассмотреть внедрение AppLocker или аналогичных решений для контроля запуска исполняемых файлов, ограничив запуск
Короче, пятница отменяется. Работа сисадмина становится все интереснее и интереснее. Теперь нужно не только за пользователями следить, но и за целыми киберпреступными синдикатами. Главное, чтобы зарплату за "интересность" тоже повысили😬
---
P.S. Похоже, пора уже классифицировать "компрометацию подрядчика" как легитимный вектор пентеста.
Типичный🥸 Сисадмин
Kaspersky зафиксировал признаки коллаборации группировок Head Mare и Twelve, нацеленных на российские организации. Head Mare использует инструментарий и C2-инфраструктуру, ранее эксклюзивно ассоциированные с Twelve, что указывает на совместные кампании.
Техника Первоначального Проникновения:
Техника Закрепления (Persistence) - Новый Подход:
* RDP-доступа: Интерактивное управление, ручной запуск инструментов.
* Минимизации Заметности: Действия выполняются от имени легитимной (хоть и созданной атакующими) учетной записи, снижая срабатывание поведенческой аналитики.
* Localtonet: Reverse proxy, обеспечивает доступ извне к локальным сервисам.
* NSSM (Non-Sucking Service Manager): Запускает Localtonet как Windows Service, обеспечивая автозапуск и устойчивость к перезагрузкам. Легальные утилиты используются в злонамеренных целях для создания постоянного канала управления.
Ключевые Инструменты (Технический Акцент):
Рекомендации:
nssm.exe, сетевых соединений к подозрительным C2.Localtonet, nssm.exe и других потенциально опасных утилит.Короче, пятница отменяется. Работа сисадмина становится все интереснее и интереснее. Теперь нужно не только за пользователями следить, но и за целыми киберпреступными синдикатами. Главное, чтобы зарплату за "интересность" тоже повысили
---
P.S. Похоже, пора уже классифицировать "компрометацию подрядчика" как легитимный вектор пентеста.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20😱8✍5😭4🍌1😈1
• Затронуты также другие облачные подразделения, консалтинг, продажи, внутренние IT-системы и др.
• А ещё сотрудники теперь обязаны находиться в офисе минимум 3 дня в неделю.
На фоне этого гендиректор Арвинд Кришна продолжает повышать себе зарплату, что сотрудников тоже не радует.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁53👍6💔5🤔4❤1🔥1
В сетевых устройствах с Cisco Smart Licensing Utility (CSLU) начались массовые атаки через критическую уязвимость, которая открывает полный доступ к системе через скрытую учётку администратора. Патчи выпущены в сентябре 2024 года, но тысячи устройств до сих пор уязвимы.
• CVE-2024-20439 (CVSS 9.8): Жёстко прописанные в коде CSLU логин и пароль администратора позволяют хакерам удалённо выполнять команды с правами root.
• CVE-2024-20440 (CVSS 7.5): Утечка конфиденциальных логов (API-ключи, токены) через поддельные HTTP-запросы.
• CSLU должен быть запущен вручную — приложение не работает в фоне по умолчанию.
• Злоумышленники используют связку CVE-2024-20439 и CVE-2024-20440 для кражи данных и захвата контроля.
• Цель — не только Cisco: атаки распространились на другие устройства, включая DVR Guangzhou Yingke Electronic (эксплойт CVE-2024-0305).
• Учётные данные были вшиты в код CSLU годами, но обнаружили их только сейчас.
• Компания заявляет, что не нашла следов эксплуатации на момент публикации бюллетеня.
• Удалить CSLU с серверов, если он не используется.
• Установить обновления для CVE-2024-20439 и CVE-2024-20440.
• Проверить логи на предмет подозрительных запросов к портам 8915/TCP (CSLU API).
P.S. Если ваш пароль администратора — «Cisco@123», срочно меняйте его.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26😁9❤2
Бобровый Workload Management и балансировщики нагрузки 🦫
Коллеги, выбрался я тут на выходных за город — устроить себе небольшую дефрагментацию мозга. Иду вдоль речки, весна вовсю вступает в свои права: солнце греет, птички отлаживают новый вокальный кодек. И вдруг мой взгляд цепляется за что-то посреди водной глади. Сначала подумал — очередная утечка памяти в виде плывущего мусора. Пригляделся — а там БОБЁР! Да не один, а целый кластер, правда, всех в кадр поймать не удалось.
И тут меня осенило: да это же чистая квинтэссенция автоматизации по-бобровому! Эти ребята безо всяких Python-скриптов и Kubernetes-оркестрации строят такие системы, что любой архитектор ЦОДа позавидует. Их плотины — не просто запруды, а полноценные природные файрволы: регулируют поток данных, отсекают лишний трафик и держат всё под контролем.
Один мохнатый DevOps-инженер тащит ветку — прямо как заливает фичу на продакшен. Другой утрамбовывает щепки — сисадмин, латающий дыры в системе безопасности. А где-то в сторонке, уверен, сидит их лид-архитектор, утверждающий роадмап по масштабированию бобровой инфраструктуры.
Смотрю, как вода медленно просачивается сквозь их файрвол в новое хранилище, и понимаю: вот оно, резервное копирование данных в чистом виде. Никаких тебе backup failed или сбоев при восстановлении — медленно, но надёжно данные перетекают в безопасное место. Природа знает, как строить отказоустойчивые системы.
Так что, коллеги, в следующий раз, когда будете разбираться с узким горлышком в сети или оптимизировать базу данных, вспомните этих мохнатых речных админов. Их подход к созданию инфраструктуры — на инстинктах и натуральных материалах — вполне может вдохновить нас.
P.S.😂 На секунду задумался: а есть ли у бобров свой чат поддержки? Вдруг и у них случаются тикеты вроде "Куда делась вся вода?" или "Как правильно закрепить эту корягу?"
Типичный🥸 Сисадмин
Коллеги, выбрался я тут на выходных за город — устроить себе небольшую дефрагментацию мозга. Иду вдоль речки, весна вовсю вступает в свои права: солнце греет, птички отлаживают новый вокальный кодек. И вдруг мой взгляд цепляется за что-то посреди водной глади. Сначала подумал — очередная утечка памяти в виде плывущего мусора. Пригляделся — а там БОБЁР! Да не один, а целый кластер, правда, всех в кадр поймать не удалось.
И тут меня осенило: да это же чистая квинтэссенция автоматизации по-бобровому! Эти ребята безо всяких Python-скриптов и Kubernetes-оркестрации строят такие системы, что любой архитектор ЦОДа позавидует. Их плотины — не просто запруды, а полноценные природные файрволы: регулируют поток данных, отсекают лишний трафик и держат всё под контролем.
Один мохнатый DevOps-инженер тащит ветку — прямо как заливает фичу на продакшен. Другой утрамбовывает щепки — сисадмин, латающий дыры в системе безопасности. А где-то в сторонке, уверен, сидит их лид-архитектор, утверждающий роадмап по масштабированию бобровой инфраструктуры.
Смотрю, как вода медленно просачивается сквозь их файрвол в новое хранилище, и понимаю: вот оно, резервное копирование данных в чистом виде. Никаких тебе backup failed или сбоев при восстановлении — медленно, но надёжно данные перетекают в безопасное место. Природа знает, как строить отказоустойчивые системы.
Так что, коллеги, в следующий раз, когда будете разбираться с узким горлышком в сети или оптимизировать базу данных, вспомните этих мохнатых речных админов. Их подход к созданию инфраструктуры — на инстинктах и натуральных материалах — вполне может вдохновить нас.
P.S.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁51👍32💊12🔥8❤6🗿2👎1🐳1
Forwarded from godnoTECH - Новости IT
Компания официально подтвердила взлом IT-инфраструктуры: злоумышленники получили доступ к данным пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года. Инцидент раскрыли только в феврале 2025-го — два года информация могла быть в руках третьих лиц.
Что украли хакеры?
• 📧 Почта и логины аккаунтов.
• 🔑 Пароли VPN (PPTP/L2TP, IPSec).
• ⚙️ Настройки устройств.
Keenetic утверждает, что до февраля 2025 не было признаков утечки. Тем не менее, компания рекомендовала пользователям мобильного приложения Keenetic из группы риска сменить пароли учётных записей, пароли Wi-Fi, VPN-клиентов/предварительные ключи для: PPTP/L2TP, L2TP/IPSec, IPSec Site-to-Site, SSTP.
😢 — Халатность Keenetic разочаровала
🤷 — Не вижу ничего такого
Please open Telegram to view this post
VIEW IN TELEGRAM
😢193🤷35😁12🌚8👍4🤔2❤1😱1
С 20 марта доступ к API (api.cloudflare.com) возможен исключительно через HTTPS. Незашифрованные HTTP-запросы теперь не просто блокируются — они физически не могут установить соединение.
Раньше запросы перенаправлялись на HTTPS или получали ошибку 403. Теперь соединение полностью обрывается на уровне рукопожатия.
⚡️ Под ударом:
— Устаревшие скрипты и боты, работающие по HTTP.
— IoT-устройства без поддержки HTTPS.
— Низкоуровневые клиенты, игнорирующие шифрование.
В IV квартале 2025 Cloudflare разрешит клиентам отключать HTTP-порты для своих доменов.
— 2.4% всего трафика Cloudflare до сих пор идёт по HTTP.
— Среди автоматизированных систем (боты, скрипты) доля HTTP — 17%.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26✍11❤1🗿1
Привет, коллеги 🎩
#предложка
Наткнулся тут на одном зарубежном ресурсе про взлом аккаунта СЕО, несмотря на SMS-подтверждение. Задумался: а как разумно и безопасно передавать первичные пароли пользователям, если нет возможности встретиться лично? Как вы выкручиваетесь? Какие у вас рабочие схемы? Поделитесь опытом, коллеги!
Типичный🥸 Сисадмин
#предложка
Наткнулся тут на одном зарубежном ресурсе про взлом аккаунта СЕО, несмотря на SMS-подтверждение. Задумался: а как разумно и безопасно передавать первичные пароли пользователям, если нет возможности встретиться лично? Как вы выкручиваетесь? Какие у вас рабочие схемы? Поделитесь опытом, коллеги!
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔15👍12
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥51😁20🌚5🤯2💊2
#предложка
Позвонил отдел кадров. Сказали зажевало паспорт. На вопрос: "зачем?" Ничего не смогли ответить🤔
Типичный🥸 Сисадмин
Позвонил отдел кадров. Сказали зажевало паспорт. На вопрос: "зачем?" Ничего не смогли ответить
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡93😁64🤯12😱4🤷4👍1💊1
Forwarded from godnoTECH - Новости IT
Учёные представили Aardvark Weather — ИИ-систему, которая делает прогнозы погоды в 1000 раз быстрее традиционных методов и работает на обычном компьютере.
⚡️ Скорость: прогноз на 8 дней — за минуты, а не часы.
💻 Доступность: запускается на обычном ПК — не нужны дорогие серверы.
🌍 Точность: превышает показатели американской GFS и не уступает комбинированным моделям NWS.
Aardvark заменяет сложные гибридные системы единой моделью машинного обучения. Она анализирует данные со спутников, метеостанций и исторических архивов, превращая их в прогнозы.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23🤔6👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁93💊34👍12🌚9🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
💊83⚡24✍17🤔9👍6🔥5👏2🌚2
#предложка
Какое офисное кресло самое удобное для долгих часов работы?
Я присматриваюсь к новому креслу и был бы рад получить рекомендации от коллег-сисадминов, которые понимают, насколько важен комфорт во время длительных смен. Моё нынешнее кресло мне не подходит, и в последнее время у меня начала болеть спина.
Спасибо🙏
Типичный🥸 Сисадмин
Какое офисное кресло самое удобное для долгих часов работы?
Я присматриваюсь к новому креслу и был бы рад получить рекомендации от коллег-сисадминов, которые понимают, насколько важен комфорт во время длительных смен. Моё нынешнее кресло мне не подходит, и в последнее время у меня начала болеть спина.
Спасибо
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱25✍11😁3🤷3👍1
ИБП умер и единственный способ отключить звук - удерживать кнопку нажатой, иначе работа в комнате невозможна.
#предложка
Типичный🥸 Сисадмин
#предложка
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍56😁51🗿22💊8🤯4✍1
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚43🤯38🫡12👍1
Forwarded from Linux / Линукс
Linux 6.14 вышел: новые драйверы и «забывчивость» Линуса
Линус Торвальдс представил стабильный релиз ядра Linux 6.14, несмотря на то, что чуть не пропустил дату из-за банальной рассеянности. «Всё готово, но я просто забыл нажать кнопку», — признался он. Зато окно для слияния изменений в следующую версию 6.15 уже открыто.
❓ Что нового в Linux 6.14?
Почему релиз задержался?
Линус в своём стиле:
Что дальше?
Версия 6.15, которая выйдет в мае-июне, обещает больше изменений. Уже сейчас в очереди — крупные пул-реквесты.
Linux / Линукс🥸
Линус Торвальдс представил стабильный релиз ядра Linux 6.14, несмотря на то, что чуть не пропустил дату из-за банальной рассеянности. «Всё готово, но я просто забыл нажать кнопку», — признался он. Зато окно для слияния изменений в следующую версию 6.15 уже открыто.
Поддержка железа:
— Чипы Qualcomm (X1P42100, QCS615, SM8750), AMD XDNA Ryzen AI NPU, Realtek 8922AE-VS PCI.
— Драйверы для Synopsys MIPI DSI, TI TPS25990, STMicroelectronics LED1202 и других.
Файловые системы:
— Балансировка чтения Btrfs RAID1.
— Рефлинки и обратное отображение в XFS.
Игровые фишки:
— Подсистема ntsync для Wine (ускорение эмуляции Win NT-примитивов).
Безопасность:
— Расширенные разрешения SELinux.
— DRM Panic для AMDGPU (экран паники при сбоях GPU).
Прочее:
— FUSE для io_uring.
— Новый контроллер cgroup.
— Улучшения для Rust: сборка ядра на стабильных функциях языка.
Почему релиз задержался?
Линус в своём стиле:
«Вчера не случилось ничего экстренного. Я просто увлёкся уборкой кода и… забыл выпустить релиз. Вот так. Нет оправданий — только моя некомпетентность».
Что дальше?
Версия 6.15, которая выйдет в мае-июне, обещает больше изменений. Уже сейчас в очереди — крупные пул-реквесты.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍32❤5