Новая Triada в прошивках Android: крадет крипту, аккаунты и подменяет номера при звонках

"ЛК" обнаружили модифицированную версию известного троянца Triada (Backdoor.AndroidOS.Triada.z), предустановленную в прошивки новых, зачастую поддельных Android-смартфонов. Такие устройства можно случайно купить в неавторизованных онлайн-магазинах по сниженной цене. Проблема актуальна: уже >2600 пользователей столкнулись с этой версией, большинство — в РФ.

Технически, зловред внедрен глубоко — в системный фреймворк Android, что позволяет ему инжектироваться в каждый запущенный процесс на устройстве. Это дает атакующим практически полный контроль. Среди возможностей: кража аккаунтов мессенджеров, скрытая отправка сообщений от имени жертвы с последующим удалением следов, кража криптовалюты путем подмены адресов кошельков в легитимных приложениях, мониторинг браузера с подменой ссылок, и даже подмена номеров телефонов во время звонков для перенаправления на нужные злоумышленникам контакты. Также троянец контролирует SMS, может скачивать и запускать другие модули, и блокировать сетевые соединения (например, для обхода антифрод-систем).

Ущерб уже заметен: подтверждено хищение ~$270 тыс. в крипте (без учета Monero, который не отследить). Проблема усугубляется тем, что зловред предустановлен, вероятно, из-за компрометации на одном из этапов цепочки поставок — сами магазины могут не знать о заражении.

---
Купил новый телефон "по акции", а он уже с бэкдором 😭

Типичный 🚪 Сисадмин

#предложка
Пользователь уверял, что нанес тонкий слой 😬

Типичный 🌚 Сисадмин

Что первое приходит вам на ум, когда вы видите это?

Типичный 🥸 Сисадмин

Массовый взлом PostgreSQL для криптоджекинга: >1500 серверов уже под ударом, используется бесфайловый запуск

Исследователи Wiz обнаружили новую итерацию кампании по взлому PostgreSQL серверов, смотрящих в интернет и защищенных слабыми/угадываемыми паролями. Атаку связывают с группировкой JINX-0126, которая эволюционировала по сравнению с предыдущими атаками (замеченными Aqua Security). Теперь используются уникальные хеши бинарников для каждой цели и бесфайловый запуск майнера, вероятно, для обхода CWPP-решений, проверяющих репутацию файлов. Масштаб проблемы огромен: анализ кошельков показал более 1500 вероятных жертв, что говорит о высокой распространенности незащищенных инстансов PostgreSQL (по данным Wiz, треть self-hosted PostgreSQL в облаках доступны из интернета).

Технически, первоначальный доступ получают через стандартные или слабые креды, а затем эксплуатируют функцию COPY ... FROM PROGRAM для выполнения шелл-команд. После базовой разведки (whoami, uname) выполняется Base64-закодированный скрипт. Этот скрипт сначала терминирует процессы известных конкурирующих майнеров (kinsing, kdevtmpfsi и др.) и загружает первый бинарник pg_core (используя curl, wget или фоллбэк на /dev/tcp), который затем сразу выполняется и удаляется.

Далее загружается обфусцированный Golang-бинарник postmaster (упакован модифицированным UPX), маскирующийся под легитимный процесс PostgreSQL. К нему добавляется зашифрованная AES конфигурация (с инфо о жертве, кредах, кошельке атакующего). Этот postmaster обеспечивает персистентность через cron (запуск каждую минуту), правит pg_hba.conf для разрешения подключений с внутренних сетей (trust для 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), создает нового суперюзера psql_sys с хардкодным паролем (CREATE ROLE psql_sys WITH LOGIN SUPERUSER...) и понижает привилегии дефолтного юзера admin (ALTER USER "admin" WITH NOSUPERUSER...).

Наконец, postmaster записывает на диск еще один Golang-бинарник cpu_hu (также упакован UPX, с уникальной конфигурацией майнера в конце файла). cpu_hu скачивает последнюю версию майнера XMRig-C3 с GitHub, создает временный конфиг в /tmp и запускает майнер бесфайлово, используя технику memfd (T1620). После этого cpu_hu клонирует себя в дочерний процесс и удаляет оригинальный файл с диска. Использование memfd и уникальных хешей для postmaster и cpu_hu усложняет их обнаружение сигнатурными методами.

Получается, если ваш PostgreSQL торчит в интернет с паролем 'password123', то вы не только храните данные, но и щедро спонсируете майнинг Monero на CPU 😬

Типичный 🥸 Сисадмин

😐 VMware Workstation лишилась автообновлений: Broadcom сломала критическую функцию

Пользователи столкнулись с отказом системы автоматических обновлений после того, как Broadcom перенаправила URL-адрес сервера обновлений на общую страницу поддержки. Ошибки сертификатов делают функцию бесполезной, вынуждая пользователей вручную искать патчи.

Сломанный механизм:
— Автообновления пытаются подключиться к softwareupdate.broadcom.com, который теперь перенаправляет на support.broadcom.com.
— Ошибка сертификата блокирует проверку обновлений.
— Пользователи не получают уведомлений о новых версиях.

Типичный 🥸 Сисадмин

¯\_(ツ)_/¯ А чего она ожидала? Добро пожаловать в мой мир 🎹

Типичный 🥸 Сисадмин

Новый глава Intel, Лип Бу Тан, на Intel Vision публично признал проблемы компании: "Мы отстали в инновациях... Вы заслуживаете лучшего". Он отметил провалы в сегменте AI, где продажи ускорителей Gaudi не достигли цели, а разработку GPU-архитектуры свернули в пользу стоечных систем для конкуренции с Nvidia. Обещана конкурентная AI-платформа, но "не за одну ночь", с фокусом на производительности, цене и энергоэффективности, особенно на фоне планов Nvidia по 600kW стойкам.

Особое внимание уделено проблеме срыва сроков и качества продуктов, вспомнив почти двухлетнюю задержку Sapphire Rapids, уступившего AMD Epyc с DDR5/PCIe5/CXL. Девиз нового CEO: "Меньше обещать и больше делать". В планах – своевременные поставки качественных продуктов, включая грядущие клиентские CPU Panther Lake, которые Intel будет производить сама, а не на TSMC.

Тан подчеркнул желание вернуть Intel к инженерным корням и "культуре стартапа", ориентированной на клиентов, призвав к "предельно честной" обратной связи. Также упомянут интерес к фотонике и квантовым вычислениям как к будущим направлениям роста.

Обещание "меньше обещать и больше делать" от Intel – 😂

Типичный 🥸 Сисадмин

🫤 РКН планирует идентифицировать пользователей через роутеры

Провайдеров и операторов обяжут сообщать, кто и откуда подключается к интернету.

— Передавать будут данные об IP-адресах пользователей, регионах их использования и устройствах.

— При изменении данных информация должна обновляться максимум за 1 день.

Приказ пока только зарегистрирован, он еще не вступил в силу.

🥸 godnoTECH - Новости IT

✋ РКН против Cloudflare: TLS ECH объявлен угрозой «цифрового суверенитета»

Роскомнадзор усилил давление на Cloudflare, рекомендовав российским сайтам отказаться от TLS ECH — технологии, которая, по мнению ведомства, обходит блокировки запрещённого контента.

В феврале РКН принудительно включил Cloudflare в реестр организаторов распространения информации. Это произошло после двух штрафов, связанных с отказом Cloudflare уведомить ведомство о начале работы в качестве ОРИ.

Типичный 🥸 Сисадмин

Когда пытаешься запомнить шлюзы в разных VLAN'ах у клиента.

Типичный 🥸 Сисадмин

– А куда стойку? – Да подвесь пока где-нибудь тут...

Типичный 🎩 Сисадмин

Проектировщики явно предусмотрели место для IT-инфраструктуры. С запасом😂

Надо подумать, как заходить в тыл стойки...

Типичный 😬 Сисадмин

Когда админ насмотрелся передач про поезда и решил проблему доступа к задней панели, посадив стойку на рельсы.

Типичный 🥇 Сисадмин

Не работает камера на собеседовании. Решение: curl | sudo bash. Что может пойти не так? 🤔

Северокорейская Lazarus Group (она же Famous Chollima, DEV#POPPER) теперь использует набирающий популярность метод социнженерии ClickFix для доставки ранее неизвестного бэкдора GolangGhost, написанного на Go, на системы Windows и macOS. Цель – сотрудники крипто-компаний.

Атака начинается стандартно: контакт через LinkedIn или X с предложением работы (имперсонируют Coinbase, KuCoin, Kraken, Circle и др. – теперь фокус на централизованных финансах, а не только DeFi). Кандидата приглашают на видеоинтервью через якобы легитимную платформу (например, Willo). В процессе "настройки" возникает фейковая ошибка ("необходим драйвер для камеры/микрофона") – тут и применяется ClickFix.

Механика ClickFix различается по ОС:
* На Windows: Жертву просят открыть Command Prompt и выполнить команду `` curl `` для загрузки и запуска VBS-скрипта. Тот, в свою очередь, дергает batch-скрипт, который уже разворачивает GolangGhost.
* На macOS: Пользователя просят запустить Terminal и выполнить аналогичную команду `` curl `` для запуска shell-скрипта. Этот скрипт запускает второй shell-скрипт, который устанавливает стилер FROSTYFERRET (он же ChromeUpdateAlert) и сам бэкдор GolangGhost.

Стилер FROSTYFERRET показывает поддельное окно запроса доступа к камере/микрофону от имени Chrome и затем системное окно для ввода пароля. Введенный пароль (валидный или нет) отправляется злоумышленникам (вероятно, для доступа к iCloud Keychain). GolangGhost – это бэкдор с функциями удаленного управления: загрузка/выгрузка файлов, отправка информации о хосте, кража данных веб-браузеров.

Важное изменение в таргетинге: Атакуют теперь в основном не технических специалистов – менеджеров по развитию бизнеса, управлению активами, разработке продуктов, специалистов по DeFi. Ранее основной целью были разработчики и инженеры.

Google (GTIG) сообщает, что мошенническая схема с IT-работниками из КНДР, которые под видом легитимных удаленщиков внедряются в компании для шпионажа и заработка, активно расширяется на Европу (Германия, Португалия, UK). Они используют фейковые профили, площадки вроде Upwork, Telegram, получают оплату криптой (TransferWise, Payoneer). Целятся в компании с политикой BYOD (там меньше контроля) и все чаще прибегают к шантажу работодателей, угрожая слить данные.

---
Рынок труда настолько суров, что люди готовы запускать шелл-скрипты от анонимусов, лишь бы получить оффер... даже от Ким Чен Ына 😂

Типичный 🎹 Сисадмин

🔍 Критическая уязвимость в драйверах Canon

Исследователи Microsoft MORSE обнаружили опасную уязвимость (CVE-2025-1268) в драйверах Canon. Ошибка с оценкой 9.4/10 по CVSS позволяет хакерам выполнять произвольный код через отправку файлов на печать.

Уязвимые драйверы: Generic Plus PCL6, UFR II, LIPS4, LIPSXL, PS (версии ≤3.12).

📌 Угрозы:
Уязвимость может быть использована злоумышленником для блокировки печати или выполнения вредоносного кода, если отправка на печать происходит из специально созданного приложения. Это делает потенциальную атаку особенно опасной, поскольку эксплуатация может быть скрытой и происходить в рамках штатного процесса работы с документами.

Компания рекомендует проверить сайт Canon на наличие обновлённых версий драйверов. Обновления уже распространяются.

Типичный 🥸 Сисадмин

Главное не сколько вкладок открыто, а насколько тебе комфортно 🤔

Типичный 🥸 Сисадмин