S.E.Reborn

Солары поделились новой аналитикой по ландшафту вредоносных атак на инфраструктуру российских организаций, собранную с сенсоров сервиса PDNS в 4-м квартале (сравнивая с результатами третьего квартала и четвертого квартала 2024), и включая краткие итоги за 2025 год. По мнению исследователей, отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет прийти к общему пониманию того, какие угрозы представляют наибольшую опасность. Подробно обозревать не будем, отчет достаточно объемный, остановимся на главном. Общая статистика: - Общее число срабатываний продолжило снижаться. Если в 3-м квартале оно вернулось на уровень 4-го квартала 2024 года, то в 4-м квартале 2025-го снизилось на 44,6% год к году. - Количество атакованных организаций также значительно снизилось. - После снижения в 3-м квартале интенсивность атак (среднее число заражений на одну организацию) увеличилась более чем на 50%, а по сравнению с 4-м кварталом 2024 года этот показатель возрос почти в четыре раза. Основные результаты 4-го квартала 2025 года: - Интенсивность заражений различным вредоносным ПО в 4-м квартале после снижения активности в 3-м квартале выросла на 51%. В среднем каждая компания сталкивается со 157 потенциальными заражениями в месяц. - Интенсивность подобных атак выросла во всех исследуемых индустриях, кроме образования и IT. Больше всего (более чем на 200%, до 1205 срабатываний) она выросла в ТЭК. - Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 4-м квартале сократилось на 160% - до 5305. На это в том числе повлияло снижение бизнес-активности в 4-м квартале, обусловленное наступлением праздничного периода. - Стилеры - вновь главная угроза. В 4-м квартале их доля выросла на 11 п. п., до 41,7% - и это после снижения числа заражений, которое длилось с лета по конец 3-го квартала. На втором и третьем месте - инструменты APT-группировок и средства удаленного доступа. - Госсектор, IT, ТЭК, телеком и образование стали отраслями, в которых увеличилась доля событий, связанных с заражением посредством почти всех отслеживаемых типов угроз. Основные результаты 2025 года - Всего за год Солары зафиксировали 9 326 764 срабатывания в сетях 38 493 организаций. В среднем каждую организацию атаковали 242 раза. - Стилеры стали самой часто встречающейся угрозой в 2025 году - на них пришлось 36% срабатываний. Индикаторы APT-группировк (27%) - на втором месте. Средства удаленного доступа (19%) - на третьем. - Индустрии, в которых зафиксировано больше всего срабатываний, - промышленность (29%), здравоохранение (20%) и ТЭК (15%). Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов. Похищение конфиденциальной информации остается основной целью злоумышленников, а интенсивность атак, даже несмотря на снижение их общего количества, растет. В фокусе атакующих - отрасли, оперирующие большим количеством конфиденциальных сведений. Как и предполагалось, ТЭК, промышленность и госсектор продолжают быть наиболее подверженными угрозам прежде всего шпионских атак. Инфографика и рекомендации - в отчете.

🖱 Зарождение компьютерной мышки. • Начнем с того, что изобретателем мышки считается Дуглас Энгельбарт — учёный, который стремился не просто изобретать, но и делать свои изобретения простыми и доступными. Первый прототип был разработан в 1964 году, а само устройство в заявке на патент обозначалось как «Индикатор положения XY для системы с дисплеем». • Мышь Энгельбарта была сделана из дерева (фото 1), имела удобный для человеческой руки размер и вообще выглядела как стимпанк до того, как появился сам стимпанк. Под деревянной «спинкой» располагались схема и два металлических колёсика, а на спинке — не очень-то удобная кнопка. Вторым неудобством был шнур, который шёл не вперёд, а мешался под всей рукой пользователя. Мышкой можно было рисовать линии и передвигать курсор по экрану. • Идея создания устройства для перемещения по столу пришла в голову Энгельбарту в 1964 году, когда он участвовал в конференции по компьютерной графике. Он размышлял о том, как перемещать курсор на дисплее компьютера. Вернувшись на работу, он передал копию эскиза Уильяму Инглишу, сотруднику и инженеру-механику, который с помощью чертежника изготовил сосновый корпус для размещения механического содержимого. • Когда и при каких обстоятельствах возник термин «мышь», достоверно установить невозможно. Сам Энгельбарт говорил, что не помнит, почему устройство назвали именно так. Возможно, что коробка с проводом просто напоминала мелкого грызуна с хвостом. • Первым мышам движение передавалось через большие выступающие колеса, прикрепленные к потенциометрам. Колеса располагались под прямым углом и определяли движение устройства по осям X и Y на рабочем столе: https://www.yorku.ca/mack/axia.html • Дальнейшее развитие мышь получила в исследовательском центре Xerox в Пало-Альто, наиболее заметным изменением стало введение шарикового механизма. В продаже она появилась в 1981 году на рабочей станции Xerox Star, примерно через 15 лет после ее изобретения. • Кстати, Дуглас Энгельбарт не получил за свой патент ни цента. Патент истек как раз перед тем, как устройство стало широко использоваться на всех компьютерах мира. Но это не значит, что учёный влачил нищее существование — за свои другие изобретения (в том числе разработки, связанные с гипертекстом) он получил более полумиллиона долларов. А мышка так и осталась его гордостью и вкладом в развитие не только компьютерной техники, но и всего человечества (только подумайте, чего были бы мы лишены без мыши). #Разное

Исследователи Oasis Security обнаружили серьезную уязвимость, названную ClawJacked, в популярном ИИ-агенте OpenClaw, которая позволяла вредоносному сайту незаметно взламывать локально запущенный экземпляр и получать над ним полный контроль. О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление. По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket. Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений. OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы. В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались. При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут. После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя. Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений. Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах. Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь). В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости. Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.

Одна из крупнейших утечек настигла Францию, хакеры украли личные данные 15 млн. граждан непосредственно из национального Министерства здравоохранения. Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов. Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов. Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом. По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante. Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя. Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО. В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия». Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.

🔒 API Security Academy. • По ссылке ниже можно найти бесплатную коллекцию заданий, которые научат Вас атаковать и защищать приложения, использующие GraphQL. • Академия предоставляет подробные уроки, из которых Вы узнаете о различных уязвимостях и передовых методах обеспечения защиты. Список доступных уроков: - Prevent Mutation Brute-Force Attacks; - Implement Object-Level Authorization; - Disable Debug Mode for Production; - Combat SQL Injections; - Limit Query Complexity; - Implement Field-Level Authorization; - Configure HTTP Headers for User Protection; - Validate JSON Inputs; - Implement Resolver-Level Authorization. В будущем будут опубликованы и другие уроки: - Mitigate Server Side Request Forgery; - Implement Rate-Limiting for Bot Deterrence; - Abort Expensive Queries for Protection; - Configure a Secure API Gateway; - Limit Query Batching to Safeguard Resources; - Implement List Pagination; - Secure Third-Party API Interactions. #API #GraphQL

🎥 Вебинар по Linux: GREP и другие регулярные выражения Linux На вебинаре вы узнаете: - Разберём, что такое регулярные выражения и в чём разница между их основными типами (Basic, Extended, PCRE) - Узнаем, как не сломать grep, sed и awk одной неловкой скобкой и заставить их делать ровно то, что вам нужно. - Составим шаблоны для логов, чтобы находить не просто «ошибки», а именно ту ошибку, которая мешает спать. И чтобы конфиги сами себя проверяли (ну, почти). - Научимся отлаживать и тестировать регулярные выражения на практике. В результате вебинара вы: - Перестанете путать .* с .+ и будете знать, почему это важно. - Научитесь писать выражения, которые работают с первого раза (ладно, со второго). - Автоматизируете хотя бы одну рутину прямо на вебинаре. Хватит уже это делать руками. - Уйдёте с готовыми шаблонами, которые не страшно показать коллегам. 👉 Для участия зарегистрируйтесь: https://otus.pw/Obxo/ 🎁 Все участники вебинара получат специальные условия на полное обучение курса "Administrator Linux. Professional" Курс от OTUS — для тех, кто хочет работать с Linux на уровне профессионала. Упор на Ubuntu 22.04 и реальные задачи: от RAID и LVM до сетей, firewall, мониторинга и тонкой настройки систем под нагрузку. В программе: Zabbix, Prometheus, Nginx, Docker, ELK, Ansible, SELinux, BGP и другие инструменты, которые реально используются в продакшене. Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👨‍💻 Изучаем Jenkins. Мини-курс на русском языке. • Автоматизация CI/CD - полный курс на простом языке; • Установка на Linux Ubuntu; • Администрирование Jenkins; • Управление Plugins; • Простейшие Jobs включая Deployment; • Добавление Slave/Node; • Удалённое и локальное управление через CLI Client; • Деплоим из GitHub; • Автоматизация запуска Build Job из GitHub - Build Triggers; • Автоматизация запуска Build из GitHub - trigger from GitHub, webhook; • Build с параметрами; • Deploy в AWS Elastic Beanstalk - пример решения задания на интервью для DevOps Engineer; • Запуск Groovy Script - обнуление счетчика Build; • Основы Pipeline и Jenkinsfile. В дополнение: • Сравнение систем CI/CD; • Установка, описание работы агентов; • Управление удаленными серверами; • Первый pipeline; • Простой docker build; • Запуск сборки по комиту; • Скрытие паролей в пайпах; • Multibranch pipeline или обнаружение веток. #DevOps #Jenkins #RU #Курс

👩‍💻 FHS (Filesystem Hierarchy Standard) — стандарт иерархии файловой системы. • Раньше я очень любил простоту Windows. A:\ для флоппика, C:\ для системы, D:\ для дистрибутивов игр, фото и видео, E:\ для CD-ROM. Всё просто! • А теперь обратите внимание на gif к этому посту, так наглядно показан минимальный минимум, который встретится Вам в большинстве UNIX-подобных систем. • Если нужно подробное описание, то информация есть на вики: https://ru.wikipedia.org/wiki/FHS #Linux

Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google. Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации. Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик. Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate). Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов. Причем GTFire примечательна не только своей технической изощренностью, но и масштабом. Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки. Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании. Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах. Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные. Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены. С точки зрения защиты, GTFire открыла ряд неприятных моментов: - доверенные сервисы могут быть задействованы с минимальными усилиями, - традиционное обнаружение на основе URL неэффективно, - злоупотребление брендом остается - наиболее эффективным способов социнженерии. Технические подробности реализации GTFire и рекомендации - в отчете.

👨‍💻 Reverse Shell. Простой способ генерации обратной оболочки. • Из названия можно предположить, что это какой-то вид оболочки (некоторого доступа к определённым ресурсам), как например, SSH для доступа к удалённой машине или обычная консоль в #Linux, которая также является видом оболочки. • Reverse — обозначает тип оболочки, всё дело в том, что смысл такой оболочки заключается в коннекте (связи) с удалённым хостом и постоянном взаимодействии с ним. То есть, вы выполняете команду на некоторой машине, после которой данная машина подключается к другой и предоставляет доступ вместе с этим подключением. Как можно предположить, данная вещь используется после эксплуатации уязвимости (например RCE) для закрепления на атакуемой машине и удобного взаимодействия с ней. • В этой статье мы узнаем, как получить Reverse Shell за несколько простых шагов и разберем несколько инструментов: https://www.hackingarticles.in/easy-way-to-generate-reverse-shell/ #Пентест