Forwarded from SecAtor
iOS и macOS 26.4 получили новые обновления безопасности. Apple также выпустила исправления и для более старых устройств в iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 и macOS Sonoma 14.8.5.
В целом, в рамках новой волны обновлений устранено более 80 уязвимостей.
Для устройств iPhone и iPad последнего поколения были выпущены iOS 26.4 и iPadOS 26.4, содержащие исправления почти для 40 уязвимостей.
В WebKit были исправлены 8 ошибок, которые могли быть использованы вредоносными сайтами для обхода мер безопасности, проведения XSS-атак, идентификации пользователей, выхода из песочницы или сбоя процесса.
Уязвимости в других компонентах потенциально могли привести к перехвату сетевого трафика, доступу к приложениям, защищенным биометрической идентификацией, сбоям процессов, завершению работы приложений, DoS, перечислению установленных приложений, выходу из песочницы и доступу к конфиденциальной информации.
В рамках обновлений для iOS 18.7.7 и iPadOS 18.7.7 пользователям более старых устройств были предоставлены исправления примерно для двух десятков таких уязвимостей.
Apple также выпустила macOS Tahoe 26.4 с исправлениями более чем 75 ошибок, включая примерно 30 уязвимостей, которые были устранены в обновлениях iOS 26.4 и iPadOS 26.4.
Патчи устраняют проблемы в десятках собственных компонентов, а также уязвимости в сторонних зависимостях с открытым исходным кодом, включая несколько библиотек Apache, Curl и LibPNG.
Кроме того, Apple представила macOS Sequoia 15.7.5 и macOS Sonoma 14.8.5 с исправлениями для более чем 50 подобных уязвимостей в каждой из них.
TvOS 26.4 и watchOS 26.4 также получили патчи для исправления более десятка уязвимостей в каждой, а в visionOS 26.4 - для 30 ошибок.
Apple анонсировала выпуск Safari 26.4 с исправлениями восьми ошибок WebKit. Xcode 26.4 получил патч для двух уязвимостей.
В компании не сообщают о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях. Но будем посмотреть, прекрасно помним и Триангуляцию, и Coruna, и…
В целом, в рамках новой волны обновлений устранено более 80 уязвимостей.
Для устройств iPhone и iPad последнего поколения были выпущены iOS 26.4 и iPadOS 26.4, содержащие исправления почти для 40 уязвимостей.
В WebKit были исправлены 8 ошибок, которые могли быть использованы вредоносными сайтами для обхода мер безопасности, проведения XSS-атак, идентификации пользователей, выхода из песочницы или сбоя процесса.
Уязвимости в других компонентах потенциально могли привести к перехвату сетевого трафика, доступу к приложениям, защищенным биометрической идентификацией, сбоям процессов, завершению работы приложений, DoS, перечислению установленных приложений, выходу из песочницы и доступу к конфиденциальной информации.
В рамках обновлений для iOS 18.7.7 и iPadOS 18.7.7 пользователям более старых устройств были предоставлены исправления примерно для двух десятков таких уязвимостей.
Apple также выпустила macOS Tahoe 26.4 с исправлениями более чем 75 ошибок, включая примерно 30 уязвимостей, которые были устранены в обновлениях iOS 26.4 и iPadOS 26.4.
Патчи устраняют проблемы в десятках собственных компонентов, а также уязвимости в сторонних зависимостях с открытым исходным кодом, включая несколько библиотек Apache, Curl и LibPNG.
Кроме того, Apple представила macOS Sequoia 15.7.5 и macOS Sonoma 14.8.5 с исправлениями для более чем 50 подобных уязвимостей в каждой из них.
TvOS 26.4 и watchOS 26.4 также получили патчи для исправления более десятка уязвимостей в каждой, а в visionOS 26.4 - для 30 ошибок.
Apple анонсировала выпуск Safari 26.4 с исправлениями восьми ошибок WebKit. Xcode 26.4 получил патч для двух уязвимостей.
В компании не сообщают о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях. Но будем посмотреть, прекрасно помним и Триангуляцию, и Coruna, и…
Apple Support
Apple security releases - Apple Support
This document lists security updates and Rapid Security Responses for Apple software.
• В 2003 году был обнаружен компьютерный вирус Slammer, который наделал очень много шума во всем мире. А знаете, что было самым интересным? Размер вируса был чрезвычайно мал — всего 376 байт, однако распространялся он так активно, что буквально забил интернет-каналы своими копиями. Но, обо всем по порядку.
• Данный компьютерный червь буквально ворвался с двух ног в просторы Интернета, заразив более 75.000 машин за первые 10 минут своего существования.
• Технология Slammer, как вредоносной программы, была очень проста и базировалась на недостатках в Microsoft's SQL и Desktop Engine. За пол года до распространения червя вышел патч MS02-039, который должен был закрыть все дыры и ликвидировать уязвимости, но далеко не все владельцы ПК этот патч установили. Это и дало лазейку для распространения Slammer.
• Червь, состоящий из пары строчек кода, всего лишь генерировал случайный IP и пересылал себя на него. Если выбранный IP принадлежал устройству с непропатченым Microsoft's SQL, червь его инфицировал и уже через это устройство распространялся дальше.
• Slammer вызвал самую настоящую цепную реакцию. Когда через маршрутизатор проходит слишком много трафика, то он его либо замедляет либо прерывает передачу. Однако, маршрутизаторы, зараженные червем, просто выходили из строя. Другие маршрутизаторы получали своего рода уведомление об этом и передавали его другим маршрутизаторам. Поток уведомлений об обновлении таблиц маршрутизации приводил к сбою работы новых маршрутизаторов, которые при перезагрузке заново начинали обновлять свой статус в таблице. Все это стало возможно еще и потому, что Slammer занимал всего 376 байт, и мог поместится в один единственный пакет. Как говорится, мал, да удал.
• В результате нагрузка на интернет возросла в среднем на 25%, а в отдельных случаях сеть была почти полностью парализована. Южная Корея была фактически отрезана от глобальной сети, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде, а в штате Вашингтон отказала система экстренной помощи 911.
• Кстати, автор, который создал Slammer, так и не был найден. А еще существует теория, что авторов вируса было несколько, так как в Slammer задействовано как минимум два стиля, что предполагает наличие более одного автора. Но это всего лишь теория.
#Разное
• Данный компьютерный червь буквально ворвался с двух ног в просторы Интернета, заразив более 75.000 машин за первые 10 минут своего существования.
• Технология Slammer, как вредоносной программы, была очень проста и базировалась на недостатках в Microsoft's SQL и Desktop Engine. За пол года до распространения червя вышел патч MS02-039, который должен был закрыть все дыры и ликвидировать уязвимости, но далеко не все владельцы ПК этот патч установили. Это и дало лазейку для распространения Slammer.
• Червь, состоящий из пары строчек кода, всего лишь генерировал случайный IP и пересылал себя на него. Если выбранный IP принадлежал устройству с непропатченым Microsoft's SQL, червь его инфицировал и уже через это устройство распространялся дальше.
• Slammer вызвал самую настоящую цепную реакцию. Когда через маршрутизатор проходит слишком много трафика, то он его либо замедляет либо прерывает передачу. Однако, маршрутизаторы, зараженные червем, просто выходили из строя. Другие маршрутизаторы получали своего рода уведомление об этом и передавали его другим маршрутизаторам. Поток уведомлений об обновлении таблиц маршрутизации приводил к сбою работы новых маршрутизаторов, которые при перезагрузке заново начинали обновлять свой статус в таблице. Все это стало возможно еще и потому, что Slammer занимал всего 376 байт, и мог поместится в один единственный пакет. Как говорится, мал, да удал.
• В результате нагрузка на интернет возросла в среднем на 25%, а в отдельных случаях сеть была почти полностью парализована. Южная Корея была фактически отрезана от глобальной сети, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде, а в штате Вашингтон отказала система экстренной помощи 911.
• Кстати, автор, который создал Slammer, так и не был найден. А еще существует теория, что авторов вируса было несколько, так как в Slammer задействовано как минимум два стиля, что предполагает наличие более одного автора. Но это всего лишь теория.
#Разное
• Если помните, то в январе я делился с вами новостью о том, что игру "Герои Меча и Магии III" можно запустить в браузере!
• Так вот, автор проделал какую-то невероятную работу и реализовал web-порт игры: Quake III: Arena. Культовая игра во многом определившая развитие жанра сетевых соревновательных баталий теперь доступна практически на любом устройстве в браузере. Думаю олды вспомнят и оценят! Хороших выходных
#оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
• Нужно отметить, что Git - это одна из систем контроля версий проекта, которая позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.
• В этой статье будут рассмотрены начальные аспекты работы с Git (ключевые команды для управления репозиториями, включая создание, редактирование и управление ветками), настройка SSH для Git (пошаговое руководство по настройке подключения по SSH для безопасной и удобной работы с удаленными репозиториями), а также подписью коммитов. Надеюсь, что эта статья станет началом большого пути для тех, кто начинает осваивать Git.
• Напоминаю про дополнительный материал:
#Git
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Forwarded from SecAtor
Apple добавила в macOS скрытую функцию безопасности, предупреждающую пользователей о возможных атаках ClickFix. Она была незаметно реализована в macOS 26.4, выпущенную на прошлой неделе.
Принцип заключается во введении всплывающего окна на экране всякий раз, когда пользователь пытается скопировать и вставить команды из браузера в окно Терминала.
Такое всплывающее окно призвано привлечь внимание менее технически подкованных пользователей macOS к новой технике атаки.
ClickFix впервые была обнаружена в реальных условиях в 2024 году. Злоумышленники используют веб-сайты с поддельными ошибками или неработающими CAPTCHA, которые предлагают пользователям скопировать и вставить фрагмент кода в окно командной строки терминала.
Блок кода обычно содержит закодированные или замаскированные команды операционной системы, которые загружают и устанавливают вредоносное ПО.
Первоначально атаки были направлены на Windows, но в прошлом году расширились на macOS и впоследствии на Linux. При этом ClickFix на macOS стала особенно популярна к концу 2025 года.
В настоящее время это один из наиболее распространенных методов распространения вредоносного ПО, столь же популярный, как электронная почта и загрузка бесплатного программного обеспечения с ловушками.
Huntress сообщила, что более половины инцидентов с вредоносным ПО, отслеженных ею в прошлом году, произошли через ClickFix.
Всплывающее окно, изображенное ниже, не блокирует пользователям возможность вставки команд, но выдаст предупреждение тем, кто не знаком с методом ClickFix.
Помимо этого в ответ на Coruna и DarkSword Apple теперь также отправляет уведомления на экран блокировки iPhone и iPad с более старыми версиями iOS и iPadOS, предупреждая пользователей о веб-атаках с призывом установить обновление.
Это произошло спустя неделю после того, как Apple выпустила бюллетень, в котором просила пользователей старых версий iOS и iPadOS обновить свои устройства в связи с обнаружением новых эксплойт-комплектов.
Но обольщаться по поводу «яблочной» заботы не стоит.
Согласно недавно рассекреченным судебным документам, Apple предоставляла правоохранительным органам США подлинные данные анонимизированного адреса электронной почты iCloud, сгенерированного с помощью функции «Скрыть мою электронную почту».
В документах подробно описывается расследование ФБР по поводу электронного письма с угрозами, отправленного 28 февраля 2026 года Алексис Уилкинс, которая в своем заявлении под присягой указана как подруга директора ФБР Кеша Пателя.
Согласно показаниям под присягой, Уилкинс получила сообщение с адреса созданного с помощью функции Apple. После обращения агентов к Apple, компания предоставила все исчерпывающие данные пользователя, связывающие псевдоним с основным Apple ID.
В числе дополнительных технических данных, предоставленных Apple, были указаны устройства, связанные с учетной записью, такие как iPhone 17 Pro, iPad Mini и Apple Watch Ultra 3.
Все эти сведения, наряду с журналами и метаданными в сервисах Apple, включая IP и историю активности учетной записи, помогли следователям установить причастность к инциденту.
Принцип заключается во введении всплывающего окна на экране всякий раз, когда пользователь пытается скопировать и вставить команды из браузера в окно Терминала.
Такое всплывающее окно призвано привлечь внимание менее технически подкованных пользователей macOS к новой технике атаки.
ClickFix впервые была обнаружена в реальных условиях в 2024 году. Злоумышленники используют веб-сайты с поддельными ошибками или неработающими CAPTCHA, которые предлагают пользователям скопировать и вставить фрагмент кода в окно командной строки терминала.
Блок кода обычно содержит закодированные или замаскированные команды операционной системы, которые загружают и устанавливают вредоносное ПО.
Первоначально атаки были направлены на Windows, но в прошлом году расширились на macOS и впоследствии на Linux. При этом ClickFix на macOS стала особенно популярна к концу 2025 года.
В настоящее время это один из наиболее распространенных методов распространения вредоносного ПО, столь же популярный, как электронная почта и загрузка бесплатного программного обеспечения с ловушками.
Huntress сообщила, что более половины инцидентов с вредоносным ПО, отслеженных ею в прошлом году, произошли через ClickFix.
Всплывающее окно, изображенное ниже, не блокирует пользователям возможность вставки команд, но выдаст предупреждение тем, кто не знаком с методом ClickFix.
Помимо этого в ответ на Coruna и DarkSword Apple теперь также отправляет уведомления на экран блокировки iPhone и iPad с более старыми версиями iOS и iPadOS, предупреждая пользователей о веб-атаках с призывом установить обновление.
Это произошло спустя неделю после того, как Apple выпустила бюллетень, в котором просила пользователей старых версий iOS и iPadOS обновить свои устройства в связи с обнаружением новых эксплойт-комплектов.
Но обольщаться по поводу «яблочной» заботы не стоит.
Согласно недавно рассекреченным судебным документам, Apple предоставляла правоохранительным органам США подлинные данные анонимизированного адреса электронной почты iCloud, сгенерированного с помощью функции «Скрыть мою электронную почту».
В документах подробно описывается расследование ФБР по поводу электронного письма с угрозами, отправленного 28 февраля 2026 года Алексис Уилкинс, которая в своем заявлении под присягой указана как подруга директора ФБР Кеша Пателя.
Согласно показаниям под присягой, Уилкинс получила сообщение с адреса созданного с помощью функции Apple. После обращения агентов к Apple, компания предоставила все исчерпывающие данные пользователя, связывающие псевдоним с основным Apple ID.
В числе дополнительных технических данных, предоставленных Apple, были указаны устройства, связанные с учетной записью, такие как iPhone 17 Pro, iPad Mini и Apple Watch Ultra 3.
Все эти сведения, наряду с журналами и метаданными в сервисах Apple, включая IP и историю активности учетной записи, помогли следователям установить причастность к инциденту.
Cloudsek
AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers | CloudSEK
CloudSEK researchers have uncovered a sophisticated campaign leveraging typo-squatted “Spectrum” domains to spread a new Atomic macOS Stealer (AMOS) variant. Disguised as a CAPTCHA verification, the attack uses dynamic payloads tailored to the victim's OS—stealing…
• Автор этого материала поделиться личным опытом превращения старенького ноутбука ASUS, который был выпущен 12 лет назад, в полноценный домашний сервер под Linux Ubuntu Server 24.04.5 LTS.
• Получилось что-то вроде мини-датацентра — он хранит файлы на жёстком диске с бэкапом в облаке, Docker-контейнеры крутит для дата-аналитики и даже имеет легковесный интерфейс XFCE, при этом есть потенциал к росту до терминала для управления умным домом. В статье описано, почему было решено отказаться от WSL на ноутбуке Huawei, как настроить удалённый доступ через xRDP (чтобы не было чёрного экрана), запустить там Docker, сборку Superset и JupyterLab с Anaconda (с разными версиями Python), прикрутить Samba-шару для домашнего использования и организовать бэкап в облачное хранилище.
• В общем и целом, статья окажется полезной всем желающим и особенно тем, кто не знает, куда девать и что делать со своим старым ноутбуком \ ПК.
• P.S. Читайте комменты, там много советов и другой ценной информации.
#Разное #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Большинство систем безопасности слепы не из-за отсутствия инструментов, а из-за отсутствия данных. Если аудит в Windows настроен формально — система событий есть, но пользы от неё нет.
На открытом уроке разберём, как превратить операционную систему в полноценный источник данных для систем класса SIEM. Мы покажем, как работает журнал событий Windows, как настраивать расширенный аудит, какие события действительно важны и как организовать их сбор.
Разберём установку агента Wazuh и практические подходы к построению наблюдаемости. Вы получите чёткое понимание, как формируется телеметрия и как сделать её пригодной для анализа и выявления инцидентов.
🗓 Урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Специалист по внедрению SIEM».
👉Зарегистрируйтесь и начните работать с данными, а не просто собирать их: https://otus.pw/Th3q/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
На открытом уроке разберём, как превратить операционную систему в полноценный источник данных для систем класса SIEM. Мы покажем, как работает журнал событий Windows, как настраивать расширенный аудит, какие события действительно важны и как организовать их сбор.
Разберём установку агента Wazuh и практические подходы к построению наблюдаемости. Вы получите чёткое понимание, как формируется телеметрия и как сделать её пригодной для анализа и выявления инцидентов.
🗓 Урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Специалист по внедрению SIEM».
👉Зарегистрируйтесь и начните работать с данными, а не просто собирать их: https://otus.pw/Th3q/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
• Изучая географию дата-центров по всему миру, можно найти необычные и интересные места их расположения. Например, в ядерном бункере или в церкви....
• Вот вы бы догадались, что за пределами часовни расположен ЦОД? А вот в хитрые испанцы взяли и построили. В 2005 году серверная площадью около 120 кв. м. успешно начала функционировать в бывшей часовне Torre Girona, где разместили один из самых мощных (на тот момент) суперкомпьютеров Европы, производительностью около 94 терафлопс.
• Таким образом «модернизированная» часовня помогала ученым решать различные задачи, такие как прогнозирование погоды, исследование генома человека или же изобретение нового лекарства. Несколько фото можете глянуть выше.
• Но есть еще один интересный ЦОД (фото 3 и 4), который находится в Стокгольме и очень напоминает строение из фильмов о Джеймсе Бонде, его имя Bahnhof или Pionen White Mountains (кодовое название, сохранившееся у объекта со времен войны). Он расположился в 30 метрах под скалой в бывшем ядерном убежище. От внешнего мира Дата Центр отделяет 40-сантиметровая стальная дверь, так же на территории убежища расположен офис телекоммуникационной компании и точка обмена трафиком. Кстати, вот несколько интересных фактов:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Тем временем, TeamPCP переключается с открытого программного обеспечения на среду AWS. После перероверки украденных учетных данных с помощью TruffleHog хакерская группа приступила к нацеливанию на сервисы AWS.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
Opensourcemalware
TeamPCP Supply Chain Campaign: A March 2026 Retrospective
TeamPCP executed a cascading multi-phase supply chain attack in March 2026, leveraging a single unrevoked credential stolen from Trivy's CI pipeline to compromise several ecosystems — Aqua Security, npm, LiteLLM/PyPI, Checkmarx, and Telnyx — harvesting CI/CD…
• Самый первый компьютерный баг.
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер обнаружила насекомое между точками на реле N70 панели F. После этого Грейс вклеила маленького диверсанта в свой технический отчет (на фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага).
• Кстати, журнал с записью в настоящее время проживает в Национальном музее американской истории. Но на всеобщее обозрение по неизвестным причинам не выставлен.
#Разное
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер обнаружила насекомое между точками на реле N70 панели F. После этого Грейс вклеила маленького диверсанта в свой технический отчет (на фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага).
• Кстати, журнал с записью в настоящее время проживает в Национальном музее американской истории. Но на всеобщее обозрение по неизвестным причинам не выставлен.
#Разное
• Очень интересная статья от ребят из Бастион, где представлен подробный разбор операции «Троянский щит», одной из самых изощренных цифровых ловушек ФБР в истории, основанный на докладах с DEF CON, внутренних документах и свидетельствах участников по обе стороны закона.
Наркоторговец из Южной Австралии Доменико Катанзарати был уверен, что провернул сделку века. Он использовал Anom — свой анонимный защищенный смартфон — для координации поставки кокаина, спрятанного внутри промышленного сварочного аппарата.
Катанзарати был спокоен. Anom считался «Роллс-Ройсом» в мире шифрованной связи, его рекомендовали влиятельные люди из криминального мира. Устройство работало на кастомной операционке, а сообщения шифровались так надежно, что, казалось, никакие спецслужбы не вскроют переписку. «Окей, давай заработаем миллионы», — беспечно писал Катанзарати своему подельнику в защищенном чате.
Когда пришло время забирать «сварочник» из порта, получателей ждал сюрприз: груза не было. Через несколько дней Доменико сообщили: «Ваш груз изъят пограничной службой Австралии». Подельники Катанзарати написали в тот же безопасный чат: «Pigs grabbed him» («Менты его взяли»).
Оказалось, каждое сообщение наркоторговца и его подельников читал специальный агент ФБР. «Безопасный» Anom был тщательно продуманной ловушкой, которую втайне создало и финансировало Федеральное бюро расследований.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Хорошая статья, которая содержит информацию о том, как сайты и провайдеры выявляют использование VPN по IP, DNS- и WebRTC-утечкам, геолокации и DPI, зачем это делают сервисы и банки. Думаю, что многим будет весьма интересно:
➡ Читать статью [7 min].
#Разное
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• А вы знали, что в 1999 году был обнаружен первый в мире макро-вирус для MS Word, который распространялся по электронной почте? Вирус был написал неким
• Для рассылки своих копий использовалась возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:
• К сообщению также прилагался файл
• Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка.
• Кстати, вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:
• Быстро распространившись, вирус Melissa нанес ущерб в размере $80 миллионов (около $155 млн. на данный момент). Такое не остается безнаказанным.
• Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан. Д. Смит разместил первые копии червя в одной группе новостей и во всех этих копиях были его данные. ФБР не составило никакого труда найти его. По итогу он был осужден к 10 годам заключения и штрафу в размере 5000 баксов.
#Разное
Kwyjibo (Дэвидом Смитом) и назывался "Melissa" (Дэвид назвал вирус в честь стриптизёрши). Сразу же после заражения системы вирус считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. За считаные часы вирус заразил более миллиона компьютеров по всему миру, парализовав их работу.• Для рассылки своих копий использовалась возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:
Тема: "Important Message From [UserName]" (UserName берется из базы адресов)
Тело письма: "Here is that document you asked for ... don't show anyone else ;-)"
• К сообщению также прилагался файл
LIST.DOC, который якобы содержит пароли для доступа к 80 платным сайтам для взрослых, но на самом деле, в теле документа содержался макрос, который запускался при открытии файла.• Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка.
• Кстати, вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... by Kwyjibo". Если этот ключ не найден, то вирус посылает сообщения электронной почты с приложенными зараженными документами и создает этот ключ в реестре.• Быстро распространившись, вирус Melissa нанес ущерб в размере $80 миллионов (около $155 млн. на данный момент). Такое не остается безнаказанным.
• Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан. Д. Смит разместил первые копии червя в одной группе новостей и во всех этих копиях были его данные. ФБР не составило никакого труда найти его. По итогу он был осужден к 10 годам заключения и штрафу в размере 5000 баксов.
#Разное
• 1874 год, вся западная часть США представляет из себя множество фермерских хозяйств с огромными территориями, которые располагались друг от друга на расстоянии многих километров.
• Крупный рогатый скот, который пасся на территориях этих хозяйств, постоянно пытался уйти за территорию и погулять по пастбищам ближайших соседей. В то время для ограждения использовали обыкновенную проволоку и животные, зачастую, преодолевали этот барьер. Все изменилось, когда Джозеф Глидден получил патент на изготовление колючей проволоки.
• Новые технологии производства сделали колючую проволоку дешевой и доступной, что повлияло на ее стремительное распространение. Благодаря этому, уже к 1880 году на Старом Западе производилось и устанавливалось около миллиона километров ограждений из колючей проволоки в год.
• Спустя два года после того, как американские фермеры начали окутывать собственные земли колючим забором, изобретатель Александр Грэм Белл патентует собственное революционное изобретение – телефонный аппарат. Устройство произвело настоящий фурор и полностью перевернуло возможности общения людей на расстоянии. Если что, в то время единственным вариантом удалённой связи был телеграф, требующий наличия квалифицированного оператора, и не позволявший передавать такой объём информации, как телефон!
• Естественно, что телефонные сети стали расти бурными темпами. Но телефонные компании обращали свой взгляд лишь на крупные города, обходя вниманием малонаселенные районы американского Запада, поскольку не видели экономической выгоды в развёртывании сотен километров телефонного кабеля. В итоге, фермеры попросту не имели никакой возможности подключиться к современным, на тот момент, системам коммуникации.
• Однако телефонные компании явно недооценивали новаторский дух этих мужчин и женщин. Неизвестный гений обнаружил, что если подключить два телефонных аппарата к верхнему проводу на заграждении с колючей проволокой, то можно разговаривать так же легко, как между двумя «городскими» телефонами. Огромные сети колючей проволоки, растянувшиеся на многие километры вдоль фермерских хозяйств, вмиг стали отличным подспорьем для создания собственной сети связи. Телефонные аппараты с помощью куска обычной гладкой проволоки начали подключать к колючим ограждениям, используя последние в качестве магистральных линий связи.
• Технология была очень проста. Стальная проволока – неплохой проводник электрического тока, что позволяло проводить телефонный сигнал. Подключение к линии обходилось фермерам в 25 долларов. В комплект поставки входил телефонный аппарат с двумя сухими батареями, заземляющий стержень, фарфоровые набалдашники и трубки, плюс 3 метра провода для внутренней проводки и более 15 метров для соединения с линией за пределами помещения.
• В этой локальной сети не было регулярной абонентской платы, хотя члены кооператива платили несколько долларов в год за текущее обслуживание и замену сухих батарей (вместо которых они иногда применяли старые автомобильные аккумуляторы). И разумеется, никто не оплачивал никаких телефонных счетов.
• Телефонный аппарат обычной гладкой проволокой подключали к колючему ограждению и сигнал шел по всей длине колючей проволоки либо к коммутатору, либо к другим домам. В некоторых случаях в одну сеть объединялось до двадцати телефонов. При звонке одновременно срабатывали все телефонные аппараты, что создавало определенную путаницу. В итоге, фермерские общины согласовали между собой специальную систему кодов, чтобы распознавать для кого предназначен звонок.
• С помощью колючей проволоки фермеры активно осваивали и использовали телефонную связь с начала 1900-х до 1920-х годов. В свой расцвет эти телефонные сети обслуживали примерно 3 миллиона человек, то есть больше чем официальная телефонная система Белла. К 20-м годам многие сельские районы получили официальную телефонную связь, но, не смотря на это, старые сети на базе колючей проволоки в некоторых районах сохранялись до сороковых годов 19 века.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM