S
S.E.Reborn
17.07.2026 12:19 · 👁 475
Новый OkoBot доставляет более 20 различных вредоносных ПО в рамках атак, направленных на кражу сид-фраз криптокошельков, учетных данных и другой конфиденциальной информации.
OkoBot проникает к жертвам через атаки ClickFix или вредоносные репозитории GitHub, выдавая себя за легитимные программные инструменты.
В одном случае репозиторий якобы представлял SQL Server Management Studio (SSMS), но вместо этого распространял троянизированную версию аудиоредактора Audacity.
Исследователи Лаборатории Касперского отмечают, что кампания OkoBot продолжается уже более года и стала продолжением активности, связанной с распространением вредоносного скрипта PowerShell TookPS.
Однако цепочка заражения полностью изменилась: теперь она включает несколько этапов атаки, а на первом этапе используется TookPS для установки и настройки SSH-бота, который доставляет другие вредоносные компоненты.
SSH-бот также отвечает за сбор системных данных (имя пользователя, антивирусное ПО, IP-адрес, версия ОС) и отключение уведомлений Windows Defender. Кроме того, он собирает файлы криптовалютных кошельков, cookie-файлы браузера и учетные данные.
Среди 20 модулей, задействуемых OkoBot в атаках, наиболее примечательны следующие:
- ext daemon/extl.exe: внедряется в браузер Chrome для скрытой установки вредоносных расширений, таких как Rilide, которые нацелены на учетные данные, файлы cookie, финансовую информацию и данные, связанные с криптовалютой.
- SeedHunter: внедряется в Trezor Suite, Ledger Wallet и Ledger Live для отображения фейкового экрана восстановления сид-фразы, предназначенного для кражи фраз восстановления кошелька у жертв.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированный текст, изображения и пути к файлам, а также может отслеживать USB-подключения и делать снимки экрана каждые 5 минут.
- OkoSpyware: отслеживает работу 100 программ, включая криптокошельки и менеджеры паролей, и использует FFmpeg для записи видео их окон, а также для захвата нажатий клавиш.
Телеметрия ЛК показывает, что большинство жертв OkoBot находятся в Бразилии, за ней следуют Вьетнам, Канада, Мексика и Турция. Однако охват кампании глобален.
В ЛК не связывают кампанию OkoBot с каким-либо конкретным злоумышленником, но исследователи отмечают, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован по географическому признаку.
Они заметили, что полезные нагрузки не доставляются при использовании IP из России или стран СНГ, и сервер возвращает пустой ответ.
Дополнительные признаки, указывающие на русскоязычного злоумышленника, включают комментарии на русском языке в исходном коде модуля SeedHunter и использование стилера, активно распространяемого на закрытых российских даркнет-ресурсах.
IOCs, включающий хеши вредоносных плагинов, полезных нагрузок инжекторов, утилит SSH-ботов, пути к файлам, домены и IP - в отчете.
S
S.E.Reborn
17.07.2026 11:33 · 👁 582
👾 Откуда появилось слово «баг»?
• Слово «баг» (bug на английском) это самый обыкновенный жучок. Нет, не тот, что в шпионских фильмах устанавливают в телефон для прослушки. А обыкновенное насекомое. Точнее выражаясь, любое насекомое из отряда Hemiptera, также именуемого как «настоящие / истинные жуки». Но как биологический термин стали применять в компьютерных технологиях?
• Самой распространенной теорией является случай с Грейс Хоппер. Она работала в Гарвардском университете с ЭВМ Harvard Mark II. Устройство работало не так, как следовало. В итоге Грейс обнаружила между замкнувшими контактами сгоревшего мотылька (я уже писал об этом вот тут). После этого госпожа Хоппер вклеила маленького диверсанта в свой технический отчет (см. фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага). Произошло все это в 1946 году 9 сентября.
• Случай действительно забавный, но не первый. До него, во времена Второй мировой, ошибки в работе электроники радиолокационных устройств также называли «багами».
• А еще раньше, в 1878 году, Томас Эдисон написал следующие строки:
Так было со всеми моими изобретениями. Первый шаг — интуиция, которая приходит как вспышка, затем возникают трудности — устройство отказывается работать, и именно тогда проявляются «жучки» — как называют эти мелкие ошибки и трудности — и требуются месяцы пристального наблюдения, исследований и усилий, прежде чем дело дойдёт до коммерческого успеха или неудачи.
• Но это не удивительно, назвать раздражающую тебя ошибку в честь насекомого, которые так же часто могут нас доставать, кружась вокруг, кусая, жаля и жужжа на ухо.
#Разное
S
S.E.Reborn
16.07.2026 13:08 · 👁 772
Исследователи Лаборатории Касперского обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации.
Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).
В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.
Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.
Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.
Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.
После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.
Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.
Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.
В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.
В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
S
S.E.Reborn
16.07.2026 11:33 · 👁 1K
💬 История подростков, создавших ботнет Mirai.
• Речь пойдет о короле ботнетов "Mirai" и о истории его создания. Этот ботнет разработали студенты, которые решили организовать DDOS-атаку на собственный университет. Но в конечном итоге Mirai стал самым крупным IoT-ботнетом, а ребят поймали и отправили в места не столь отдаленные.
• К слову, внутри Mirai — небольшой и чистый код, который не отличался технологичностью. Для распространения задействовалась всего 31 пара логин-пароль, но даже этого оказалось достаточно, чтобы захватить более полумиллиона IoT устройств.
➡ Читать статью [12 min].
#Разное
S
S.E.Reborn
16.07.2026 08:31 · 👁 1K
Используете ИИ в разработке? Проверьте, всё ли учли с точки зрения безопасности.
Эксперты «Лаборатории Касперского» подготовили бесплатный чек-лист, который поможет оценить, насколько безопасно внедрены ИИ-инструменты в вашей компании и поможет проверить:
🟢 защищены ли рабочие места разработчиков;
🟢 как организован доступ к LLM и корпоративным данным;
🟢 учтены ли риски промпт-инъекций;
🟢 безопасны ли MCP-серверы и цепочки поставок.
Материал основан на практическом опыте внедрения LLM во внутренние процессы компании и поможет выявить потенциальные слабые места до того, как они могут стать проблемой.
Более 20 лет «Лаборатория Касперского» развивает ИИ-технологии для кибербезопасности, помогая бизнесу обнаруживать сложные угрозы и быстрее реагировать на инциденты.
Достаточно заполнить короткую форму — и PDF откроется сразу.
🔗 Скачать чек-лист — по ссылке.
S
S.E.Reborn
15.07.2026 11:33 · 👁 1.2K
👩💻 PowerShell Commands for Pentesters.
• В продолжении к вчерашней публикации поделюсь с Вами полезными командами, которые будут полезны пентестерам и специалистам в области информационной безопасности:
+ Locating files with sensitive information:
- Find potentially interesting files;
- Find credentials in Sysprep or Unattend files;
- Find configuration files containing “password” string;
- Find database credentials in configuration files;
- Locate web server configuration files;
+ Extracting credentials:
- Get stored passwords from Windows PasswordVault;
- Get stored passwords from Windows Credential Manager;
- Dump passwords from Google Chrome browser;
- Get stored Wi-Fi passwords from Wireless Profiles;
- Search for SNMP community string in registry;
- Search for string pattern in registry;
+ Privilege escalation:
- Search registry for auto-logon credentials;
- Check if AlwaysInstallElevated is enabled;
- Find unquoted service paths;
- Check for LSASS WDigest caching;
- Credentials in SYSVOL and Group Policy Preferences (GPP);
+ Network related commands:
- Set MAC address from command-line;
- Allow Remote Desktop connections;
- Host discovery using mass DNS reverse lookup;
- Port scan a host for interesting ports;
- Port scan a network for a single port (port-sweep);
- Create a guest SMB shared drive;
- Whitelist an IP address in Windows firewall;
+ Other useful commands:
- File-less download and execute;
- Get SID of the current user;
- Check if we are running with elevated (admin) privileges;
- Disable PowerShell command logging;
- List installed antivirus (AV) products.
#PowerShell
S
S.E.Reborn
14.07.2026 17:01 · 👁 954
По меньшей мере два разных злоумышленника используют новый метод обхода защиты, называемый подменой идентификатора клиента OAuth, для валидации украденных учетных данных Microsoft Entra, уклоняясь при этом от сбора телеметрии.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
S
S.E.Reborn
14.07.2026 11:33 · 👁 1.2K
👩💻 Awesome PowerShell.
• Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.:
- API Wrapper;
- Blogs;
- Books;
- Build Tools;
- Code and Package Repositories;
- Commandline Productivity;
- Communities;
- Data;
- Documentation Helper;
- Editors and IDEs;
- Frameworks;
- Interactive Learning;
- Logging;
- Module Development Templates;
- Package Managers;
- Parallel Processing;
- Podcasts;
- Security;
- SharePoint;
- SQL Server;
- Testing;
- Themes;
- UI;
- Videos;
- Webserver;
- Misc.
#PowerShell
S
S.E.Reborn
13.07.2026 15:13 · 👁 1.1K
Уязвимость в ядре Linux оставалась скрытой практически во всех основных дистрибутивах Linux более 15 лет, прежде чем была исправлена в начале этого года.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
S
S.E.Reborn
13.07.2026 11:33 · 👁 1.3K
📄 История создания формата PDF.
• Создателем PDF (Portable Document Format) является Джон Уорнок, один из основателей Adobe, который захотел облегчить процесс распечатки текста и изображений с компьютера. В 1984 году Уорнок представил язык описания страниц PostScript.
• Изначально PostScript разрабатывался как инструмент для распечатки документов на принтере, но позже Уорнок решил, что с помощью нового языка можно не только выводить документы на печать, но и полностью «оцифровать» систему документооборота.
• В рамках этого видения в Adobe (основателем которой был Уорнок) создали формат IPS (расшифровывается аббревиатура как Interchange PostScript). Для работы с ним был создан Adobe Illustrator — кроссплатформенный графический редактор для Windows и Mac.
• Впервые IPS показали на конференции Seybold в Сан-Хосе в 1991 году, но с таким названием формат просуществовал два года — в 1993 его переименовали в PDF. Тогда же появились Acrobat Distiller и Acrobat Reader (позднее переименованная в Adobe Reader).
• Первое время PDF не пользовался популярностью. Всему виной была высокая цена на софт: Acrobat Distiller для личного пользования стоил 700 долларов, а для корпоративного — 2500 долларов. За Acrobat Reader просили еще 50 долларов. Со временем Adobe снизили цены, и популярность PDF стала набирать обороты.
• К началу нулевых Acrobat Reader 4.0 скачали сто миллионов человек, а PDF-формат стали использовать крупные ИТ-компании, например Microsoft и Apple.
#Разное