#itnews #infosec #hackers

Китайские хакеры незаметно использовали уязвимость нулевого дня VMware в течение 2 лет🏚

Передовая китайская группа кибершпионажа, ранее связанная с эксплуатацией недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года занимается использованием критической уязвимости в VMware vCenter Server в качестве уязвимости нулевого дня

В отчете Google упоминается:

У UNC3886 есть опыт использования уязвимостей нулевого дня для незаметного выполнения своих задач, и этот последний пример еще раз демонстрирует их возможности

Речь идет об уязвимости CVE-2023-34048 (CVSS score: 9.8), которая представляет собой запись за пределы границ и может быть использована злоумышленником, имеющим сетевой доступ к vCenter Server. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года

#soc #phishing #apt

Как защищаться от APT-группировок🛡

Каждый сотрудник любой компании, будь он техническим специалистом или просто HR-ом, важно быть осведомленным о том, какими способами хакерские группировки проникают в вашу инфраструктуру

Данная статья не содержит подробных технических разъяснений и разборов, а рассказывает о базовых моментах предотвращения целевых атак. Для начинающих свое знакомство с миром ИБ будет очень полезно, а для опытных специалистов повторение - мать учения☯️

Статья Лаборатории Касперского

Обнаружен новый эксплойт для Outlook: CVE-2023-35636 приводит к краже паролей NTLM v2💻

CVE-2023-35636 - это уязвимость безопасности, обнаруженная в Microsoft Outlook, а именно в функции совместного использования календаря. Этот эксплойт позволяет злоумышленникам перехватывать хэши NTLM v2, которые используются для аутентификации в системах Microsoft Windows. NTLM v2, хотя и более безопасен, чем его предшественник, все еще подвержен автономным атакам перебора и повторной пересылке данных аутентификации.

Эксплойт для Outlook заключается в добавлении определенных заголовков в письмо, что заставляет Outlook делиться содержимым и взаимодействовать с указанным компьютером. Эта манипуляция создает возможность для злоумышленников перехватить хэши NTLM v2 в процессе аутентификации. Эксплойт требует наличия двух заголовков: "Content-Class" и "x-sharing-config-url", которые указывают на машину злоумышленника.

Помимо Outlook, злоумышленники могут использовать Windows Performance Analyzer (WPA) и Windows File Explorer для получения доступа к хэшам NTLM v2. Используя обработчики URI и специфические параметры, злоумышленники могут обманом заставить эти приложения раскрыть конфиденциальную информацию.

Microsoft устранила уязвимость Outlook (CVE-2023-35636) с помощью патча, выпущенного 12 декабря 2023 года, отнеся его к категории "важных". Однако уязвимости, связанные с WPA и Windows File Explorer, были признаны Microsoft "умеренно серьезными".

➡️ Чтобы обезопасить свои системы и данные от атак NTLM v2, рассмотрите возможность применения следующих мер безопасности:

1. Подписание SMB: Включите функцию подписи SMB для защиты SMB-трафика от несанкционированного доступа и атак типа "человек посередине". Эта функция подписывает все SMB-сообщения цифровой подписью, что позволяет получателям обнаруживать и отклонять любые поддельные сообщения.

2. Блокировка исходящего NTLM v2: Начиная с Windows 11 (сборка 25951), можно блокировать исходящую аутентификацию NTLM, добавляя дополнительный уровень безопасности.

3. Принудительная аутентификация Kerberos: По возможности применяйте аутентификацию Kerberos и блокируйте NTLM v2 как на сетевом уровне, так и на уровне приложений. Это поможет предотвратить использование NTLM v2 там, где это не требуется.

Приняв эти меры предосторожности, вы сможете значительно снизить риск стать жертвой атак NTLM v2 и обеспечить безопасность своих систем и данных.

#osint #pentest #redteam

Shodan Command Line: Ищем информацию, не выходя из CMD👩‍💻

Shodan - очень известный хакерский поисковик, который позволяет проводить разведку и доставать информацию как о конкретным хостах, так и о доменах. Не только базовую информацию, но и возможные уязвимости

Данная статья содержит гайд по полному использованию Shodan прямо из командной строки

Shodan Command Line 🌐

#itnews #infosec #malware

Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏

Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков

Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope

Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activator

исследователь безопасности Сергей Пузан

Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥

#byapsecurity #web #pentest

Используем SSTI для обхода песочницы🏃

Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей

Приятного прочтения📌

Хабр

#pentest #redteam #beginners

О том, как правильно пентестить для начинающих специалистов: об этике и правилах контрактов👩‍💻

Пентестер - профессия, в которой вы буквально ходите по лезвию ножа. Шаг влево или шаг вправо - вы уже попадаете под уголовную ответственность. Поэтому в данном деле важно знать базовые правила вашей работы, чтобы не допустить ошибок, которые до вас уже успели допустить большое количество специалистов

Хабр

#web #bugbounty

Не так давно лаборатория кибербезопасности AP Security делилась с читателями полученными результатами на Bug Bounty.

В приложении может быть много переменных, таких как «id», «pid», «uid». Хотя эти значения часто рассматриваются как параметры HTTP, их можно также найти в заголовках и файлах cookie. Исследователь может получить доступ, отредактировать или удалить любые объекты других пользователей, изменив значения вышеперечисленных параметров. Эта уязвимость называется IDOR.

Для автоматизации тестов на IDOR существует плагин AuthMatrix, фиксирующий cookie пользователей и необходимые заголовки, идентифицирующие объект ( например Authorization).

Как пользоваться данным плагином и искать точки входа, неплохо описано в следующем видео. Всё это можно подкрепить репортом нашего сотрудника в рамках крупной площадки.

Приятного просмотра📌

#itnews #infosec #malware

Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки😈

Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC

SystemBC можно приобрести на подпольных рынках, и он поставляется в архиве, содержащем имплант, сервер управления и контроля (C2) и портал веб-администрирования, написанный на PHP

говорится в анализе Kroll

Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить

Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта

Исследование Kroll

#pentest #redteam #pivoting

Свет в конце туннеля: техники pivoting-а и туннелирования👁

Pivoting - техника необходимая для получения доступа в недоступный сегмент сети или для обхода NAT или firewall-а

Данный ресурс содержит подробное руководство по использованию различных утилит (Empire, Metasploit, ProxyChains), а также эксплуатацию штатными средствами Windows netsh

Руководство по pivoting-у

#itnews #infosec #hackers

Вредоносные объявления в Google нацелены на китайских пользователей с поддельными приложениями для обмена сообщениями💬

Китайскоязычные пользователи стали жертвами вредоносной рекламы Google для приложений для обмена сообщениями с ограниченным доступом, таких как Telegram, в рамках продолжающейся кампании по вредоносной рекламе

Угрожающий субъект использует аккаунты рекламодателей Google для создания вредоносных объявлений и направления их на страницы, где ничего не подозревающие пользователи загружают троянские программы удаленного администрирования (RAT)

- сообщил Жером Сегура из Malwarebytes

Стоит отметить, что активность под кодовым названием FakeAPP является продолжением предыдущей волны атак, которая была направлена на гонконгских пользователей, искавших в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram, в конце октября 2023 года

#cve #exploit #poc

Jenkins RCE Arbitrary File Read CVE-2024-23897🖥

Критическая уязвимость в Jenkins, позволяющая выполнить RCE через ошибку в модуле args4j

PoC

#redteam #pentest #forensics

Bypass UAC: эксплуатация и детектирование🎭

UAC bypass - один из важнейших шагов для выполнения функций с повышенными привилегиями для достижения целей пентеста. Этот механизм как раз предотвращает такие действия

Статья опишет не только методы и способы выполнения данной техники, но и также расскажет как детектировать данные действия злоумышленника

UAC Bypass

Продолжая курс на отечественные решения, предлагаем обсудить российскую виртуализацию 👋

Облачная платформа SpaceVM – инструмент серверной виртуализации.

Space VDI — решение для организации виртуальных рабочих столов.

В свою очередь, продукт позиционируется как аналог VMware и Microsoft Hyper-V, включая в себя ключевые особенности зарубежных решений.

Обзор установки и технических возможностей системы виртуализации рассмотрен в следующей статье.

С какими продуктами отечественной разработки Вам удалось поработать? Своими мыслями по этому вопросу можно поделиться в чате канала или комментариях к этому посту.

Приятного прочтения📌

#vpn

Построение виртуальных частных сетей позволяет обеспечить безопасную коммуникацию между филиалами компании или обеспечить безопасный доступ к ней сотрудников, находящихся на удалёнке 📶

В своей основе заказчик желает видеть сертифицированное решение, соответствующее отечественному законодательству

Для тех, кто знакомится с технологиями VPN, предлагаем обзорный курс по сетям Vipnet, формирующий общее представление по данному продукту

➡️ Для обсуждения проектов или тестов по данной тематике обращаться к @ap_security_admin.

Приятного просмотра📌

#itnews #infosec #malware

Вредоносная программа AllaKore RAT нацелена на мексиканские фирмы и использует уловки финансового мошенничества💸

Мексиканские финансовые учреждения попали в поле зрения новой фишинговой кампании, в рамках которой распространяется модифицированная версия трояна удаленного доступа с открытым исходным кодом под названием AllaKore RAT

Команда BlackBerry Research and Intelligence Team приписывает эту активность неизвестному финансово мотивированному субъекту угроз, базирующемуся в Латинской Америке. Кампания активна как минимум с 2021 года

Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на легитимные, доброкачественные документы в процессе установки

Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угроз отправлять украденные банковские реквизиты и уникальную информацию об аутентификации на командно-контрольный (C2) сервер для целей финансового мошенничества

#pentest #redteam #powershell

Offensive Powershell: создание нагрузок для Windows💻

Powershell - стандартное легитимное средство ОС семейства Windows, которое имеет широкий функционал для управлением и администрированием системы. Этим же регулярно пользуются как хакеры, так и пентестеры

В статье будет показано несколько способов для удаленного подключения (Invoke-PowerShellTCP, Powercat)

Offensive Powershell