• Все знают, что трансформаторы гудят. Но не все знают, почему...

#Разное #Юмор

Исследователи Shadowserver сообщают об отслеживании почти 800 000 IP-адресов посредством Telnet-отпечатков на фоне продолжающихся атак, нацеленных на критическую уязвимость обхода аутентификации в сервере telnetd GNU InetUtils.

CVE-2026-24061 затрагивает GNU InetUtils в версиях от 1.9.3 (выпущенной 11 лет назад, в 2015 году) до 2.7, исправлена в версии 2.8 (выпущенной 20 января).

Сервер telnetd вызывает /usr/bin/login (обычно работающий от имени root), передавая в качестве последнего параметра значение переменной среды USER, полученное от клиента.

Если клиент предоставляет тщательно сформированное значение среды USER в виде строки "-f root" и передает параметр telnet(1) -a или --login для отправки этой среды USER на сервер, клиент будет автоматически авторизован как root, минуя процессы аутентификации.

Из 800 тысяч упомянутых IP более 380 000 находятся в Азии, почти 170 000 - в Южной Америке и чуть более 100 000 - в Европе, а также более 24 000 - в России.

Однако телеметрия не покрывает, сколько из доступных по всему миру устройств затрагивает CVE-2026-24061.

Безусловно, как отмечает в Shadowserver, Telnet не должен быть общедоступным, но часто таковым оказывается, особенно на устаревших устройствах IoT.

В частности, GNU InetUtils - это набор сетевых утилит (включая telnet/telnetd, ftp/ftpd, rsh/rshd, ping и traceroute), используемых в различных дистрибутивах Linux, которые могут работать без обновлений более десяти лет на многих устаревших и встроенных устройствах.

В четверг, спустя несколько дней после раскрытия уязвимости CVE-2026-24061, исследователи GreyNoise сообщили об обнаружении работающих эксплойтов для CVE-2026-24061, которые уже задействовались в целевых атаках.

Вредоносная активность стартовала 21 января (через день после исправления уязвимости) и исходила с 18 IP-адресов в рамках 60 сессий Telnet, используя проблему в согласовании параметров IAC Telnet для внедрения 'USER=-f <user>' и предоставления злоумышленникам доступа к командной оболочке скомпрометированных устройств без аутентификации.

Несмотря на различия в скорости терминала и значений X11 DISPLAY, в 83,3% случаев атака была направлена на пользователя с правами root.

Кроме того, несмотря на то, что большинство атак кажутся автоматизированными, GreyNoise зафиксировала ряд случаев, когда атаку производилась в ручном режиме.

Получив доступ, злоумышленники также попытались развернуть вредоносное ПО на Python, используя автоматизированную разведку, но эти попытки провалились из-за отсутствия каталогов и исполняемых файлов.

Так что администраторам, которые не могут немедленно обновить свои устройства до исправленной версии, рекомендуется отключить уязвимую службу telnetd или заблокировать TCP-порт 23 на всех межсетевых экранах.

Медленно накрывающая мир технологическая сегментация вынуждает правительства помимо локализации инфраструктуры и софта расширять свое влияние внутри создаваемых кластеров.

Вслед за немецкими спецслужбами новыми более широкими полномочиями обзавелись их коллеги в Ирландии, чиновники которой инициировали продвижение нового всеобъемлющего «Закона о связи».

Согласно задумки местных законодателей, новый нормативный акт существенно расширит возможности государства по контролю всех форм цифровых коммуникаций, включая зашифрованные сообщения, данные IoT, электронную почту и мессенджеры.

Помимо этого, по предложению министра юстиции, внутренних дел и миграции Джима О'Каллагана будет создана правовая база для легального использования spyware и мониторинга мобильных устройств. Безусловно, все это под соусом борьбы с киберпреступностью.

Согласно заявлению Минюста, обновленная законодательная система направлена на приведение полномочий по перехвату информации в соответствие с технологическими реалиями и угрозами безопасности XXI века, заменяя Закон о регулировании перехвата почтовых отправлений и телекоммуникационных сообщений 1993 года, который был разработан для стационарной и почтовой связи.

Работа над общей концепцией законопроекта уже ведется в сотрудничестве с генпрокуратурой, заинтересованными ведомствами и госорганами, запланированы общественные слушания.

Предложенный законопроект при этом обязывает спецслужбы запрашивать судебные разрешения на проведение соответствующих мероприятий. Ранее запросы на перехват санционирвались исключительно министром.

Ключевым спорным моментом, как в аналогичных законопроектах по всей Европе, является использование шпионского ПО.

По этой части министр сослался на доклад Венецианской комиссии 2024 года под названием «Доклад о регулировании шпионского программного обеспечения в соответствии с принципами верховенства права и прав человека», указав, что «конфиденциальность, цифровая безопасность и правовая соразмерность будут центральными факторами при внедрении этой технологии в Ирландии».

Правда, конкретные детали не разглашаются и находятся еще на стадии прорабатки.

Тем не менее, О’Каллаган заверил, что законопроект обеспечит баланс между сбором развединформации и защитой конфиденциальности, подчеркнув, что любое вмешательство спецслужб должно быть «необходимым и соразмерным» и подлежать независимому надзору.

В свою очередь, гражданское общество в Европе придерживается противоположного мнения в этом вопросе.

В частности, Европейская организация по защите цифровых прав (EDRi) даже запустила специальный ресурс для отслеживания злоупотреблений шпионским ПО, продвигая полный запрет таких технологий на всей территории ЕС.

Инициатива появилась на фоне растущей обеспокоенности по поводу нормализации использования коммерческого шпионского ПО как минимум в 14 странах-членах ЕС, которые в большинстве случаев применяются в угоду политическим интересам действующих властей.

Так или иначе, в условиях сегментации тотализация контроля, как показывает практика, становится неизбежной, а поставщики spyware из изгоев превращаются в стратегических подрядчиков для Большого брата.

Исследователи Лаборатории Касперского сообщают о новых похождениях китайской APT-группы HoneyMyte (Mustang Panda и Bronze President), в арсенале которой были замечены новые версии вредоносного ПО.

Ее кампании затрагивают Европу и Азию, при этом особое внимание уделяется Юго-Восточной Азии, а основными целями являются государственные организации.

Как и другие APT-группы, HoneyMyte использует ряд сложных инструментов, включая бэкдоры ToneShell и CoolClient, USB-черви Tonedisk и SnakeDisk, а также другие зловреды.

В 2025 году группа продолжила обновлять арсенал: добавила новые функции в бэкдор CoolClient, развернула несколько вариантов браузерного стилера и применяла различные скрипты для разведки и кражи данных.

CoolClient используется Mustang Panda с 2022 года в качестве вторичного бэкдора наряду с PlugX и LuminousMoth. Обновленный вариант способен красть данные для входа в браузеры и отслеживать содержимое буфера обмена.

По данным ЛК, вредоносная ПО также использовалась для распространения ранее неизвестного руткита. Однако технический анализ будет представлен в будущем отчете.

Новый CoolClient был детектирован в атаках на госструктуры в Мьянме, Монголии, Малайзии, России и Пакистане, где был развернут с помощью легитимного ПО от китайской Sangfor.

Ранее операторы CoolClient запускали вредоносное ПО путем установки DLL-файлов, используя подписанные бинарные файлы от Bitdefender, VLC Media Player и Ulead PhotoImpact.

CoolClient использует зашифрованные файлы .DAT в многоэтапном режиме выполнения и обеспечивает постоянное присутствие в системе за счет изменений в реестре, добавления новых служб Windows и запланированных задач, поддерживая обход UAC и EoP.

Основные функции CoolClient интегрированы в DLL-библиотеку, встроенную в файл main.dat. При запуске программа сначала проверяет, включены ли кейлоггер, программа для кражи буфера обмена и программа для перехвата учетных данных HTTP-прокси.

Основные функции вредоносной ПО включают: профилирование системы и пользователя, файловые операции, перехват нажатий клавиш, TCP-туннелирование, обратное проксирование и выполнение динамически загружаемых плагинов в оперативной памяти.

Причем все они доступны как в старых, так и в новых версиях, но в самых последних вариантах они достаточно усовершенствованы.

Уникальными новыми функциями последней версии CoolClient являются: модуль мониторинга буфера обмена, возможность отслеживания заголовков активных окон и перехват учетных данных HTTP-прокси на основе анализа необработанных пакетов и извлечения заголовков.

Кроме того, экосистема плагинов была расширена за счет внедрения специального плагина удаленной оболочки, плагина управления службами и более функционального плагина управления файлами.

Плагин управления службами позволяет операторам сканировать, создавать, запускать, останавливать, удалять и изменять конфигурацию запуска служб Windows, а плагин управления файлами предоставляет расширенные возможности работы с файлами, включая анализ дисков, поиск файлов, сжатие ZIP-архивов, сопоставление сетевых дисков и выполнение файлов.

Функциональность удаленной оболочки реализована с помощью отдельного плагина, который запускает скрытый процесс cmd.exe и перенаправляет его стандартный ввод и вывод через каналы, обеспечивая интерактивное выполнение команд по каналу C2.

Новинкой в работе CoolClient является использование инфостиллеров для сбора данных для входа в систему из браузеров.

В ЛК задокументировали три различных семейства ПО, нацеленных на Chrome (вариант A), Edge (вариант B) и более универсальный вариант C, нацеленный на любой Chromium-браузер.

Еще одно заметное изменение в операционной деятельности заключается в том, что кража данных из браузера и документов теперь реализуется через жестко закодированные токены API для легитимных общедоступных сервисов, Google Drive или Pixeldrain.

Технический разбор и подробности - в отчете.

• Смотрите какая удобная тулза для работы с логами: logmerger. Иногда бывает нужно осуществить сортировку данных из нескольких лог-файлов по времени и сравнить их между собой, так вот эта софтина как раз и предназначена для этого. Само собой logmerger имеет открытый исходный код. Детальное описание есть тут: https://github.com/ptmcg/logmerger

• Кстати, в качестве альтернативы есть еще https://lnav.org, тут найдете удобную фильтрацию, подсветку синтаксиса и другие полезные фичи.

#Разное #Tools

Подкатило еще одно совместное исследование от SentinelOne, SentinelLABS и Censys, демонстрирующее масштаб угроз, связанных с внедрением ИИ с открытым исходным кодом.

Согласно результатам, «обширный неуправляемый и общедоступный уровень вычислительной инфраструктуры ИИ» охватывает 175 000 уникальных хостов Ollama в 130 странах.

Исследователи подчеркивают, что эти системы, как облачные, так и частные сети по всему миру, работают вне рамок защитных механизмов и систем мониторинга, которые поставщики платформ внедряют по умолчанию.

Подавляющее большинство уязвимостей сосредоточено в КНР, на его долю приходится чуть более 30%. К странам с наибольшей инфраструктурой относятся США, Германия, Франция, Южная Корея, Индия, Россия, Сингапур, Бразилия и Великобритания.

Почти половина наблюдаемых хостов настроена с возможностями вызова инструментов, позволяющими им выполнять код, получать доступ к API и взаимодействовать с внешними системами, что демонстрирует растущее внедрение LLM в более крупные системные процессы.

Ollama представляет собо фреймворк с открытым исходным кодом, позволяющий пользователям легко загружать, запускать и управлять большими языковыми моделями (LLM) локально в Windows, macOS и Linux.

По умолчанию сервис привязывается к адресу localhost 127.0.0[.]1:11434, но он может оказаться доступным из интернета с помощью простого изменения: настройки на привязку к 0.0.0[.]0 или публичному интерфейсу.

Ollama, как и недавно обозреваемый нами Moltbot (Clawdbot), размещается локально и работает за пределами периметра корпоративной безопасности, создавая таким образом новые вызовы по части безопасности, что, в свою очередь, требует новых подходов для защиты вычислительных ресурсов ИИ.

Среди наблюдаемых хостов более 48% рекламируют возможности вызова инструментов через свои API-интерфейсы, которые при запросе возвращают метаданные, описывающие поддерживаемые ими функции.

Вызов инструментов (или вызов функций) позволяет LLM взаимодействовать с внешними системами, API и базами данных, расширяя их возможности или получая данные в режиме реального времени.

Однако возможности вызова инструментов коренным образом меняют модель угроз. Конечная точка генерации текста может создавать вредоносный контент, а конечная точка с поддержкой инструментов - выполнять привилегированные операции.

В сочетании с недостаточной аутентификацией и уязвимостью сети - это создает, по оценке исследователей, самый высокий уровень риска в экосистеме.

Анализ также выявил хосты, поддерживающие различные режимы работы, выходящие за рамки текста, включая возможности логического мышления и визуального анализа, при этом 201 хост использовал шаблоны подсказок без цензуры и без защитных ограничений.

Открытость подвергает такие системы LLMjacking, когда ресурсы инфраструктуры LLM жертвы используются злоумышленниками в своих интересах, а жертва оплачивает все расходы.

Причем обозначенные риски теперь имею вполне практическую реализацию, если верить результатам упомянутого выше отчета Pillar Security в отношении Operation Bizarre Bazaar.

• Знаете, почему, придя на новое место, никто не любит разбираться с наследием предыдущего владельца, а предпочитает снести всё и начать заново?
Так вот именно поэтому!

#Юмор