#windows #pentest #redteam
Powershell AMSI Bypass💻
В данном гайде будут рассмотрены основные базовые способы AMSI Bypass (ASCII Conversion, Powershell Downgrade и другие)
AMSI Bypass
Powershell AMSI Bypass
В данном гайде будут рассмотрены основные базовые способы AMSI Bypass (ASCII Conversion, Powershell Downgrade и другие)
AMSI Bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3🔥3
#infosec #itnews #malware
Meta предупреждает о 8 шпионских фирмах, нацеленных на устройства с iOS, Android и Windows👁
Компания Meta Platforms сообщила о принятии ряда мер по пресечению вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ) и работающих в сфере видеонаблюдения по найму
Результаты исследования являются частью отчета о неблагоприятных угрозах за четвертый квартал 2023 года. Шпионские программы были нацелены на устройства под управлением iOS, Android и Windows
говорится в сообщении компании
В число восьми компаний вошли Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries
Meta предупреждает о 8 шпионских фирмах, нацеленных на устройства с iOS, Android и Windows
Компания Meta Platforms сообщила о принятии ряда мер по пресечению вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ) и работающих в сфере видеонаблюдения по найму
Результаты исследования являются частью отчета о неблагоприятных угрозах за четвертый квартал 2023 года. Шпионские программы были нацелены на устройства под управлением iOS, Android и Windows
Различные вредоносные программы позволяли собирать и получать доступ к информации об устройстве, местоположении, фотографиям и медиафайлам, контактам, календарю, электронной почте, SMS, социальным сетям и приложениям для обмена сообщениями, а также включать микрофон, камеру и делать снимки экрана
говорится в сообщении компании
В число восьми компаний вошли Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries
Please open Telegram to view this post
VIEW IN TELEGRAM
👌6🤯4🤔2👍1
#malware #itnews #infosec
Спящий пакет PyPI скомпрометирован для распространения вредоносного ПО Nova Sentinel🖥
Спящий пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносной программы для кражи информации под названием Nova Sentinel
Пакет под названием django-log-tracker был впервые опубликован на PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочек поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления говорит о вероятной компрометации аккаунта PyPI, принадлежащего разработчику
На данный момент Django-log-tracker был загружен 3866 раз, причем на момент публикации вредоносная версия (1.0.4) была загружена 107 раз. Пакет больше не доступен для загрузки с PyPI
Спящий пакет PyPI скомпрометирован для распространения вредоносного ПО Nova Sentinel
Спящий пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносной программы для кражи информации под названием Nova Sentinel
Пакет под названием django-log-tracker был впервые опубликован на PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочек поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления говорит о вероятной компрометации аккаунта PyPI, принадлежащего разработчику
На данный момент Django-log-tracker был загружен 3866 раз, причем на момент публикации вредоносная версия (1.0.4) была загружена 107 раз. Пакет больше не доступен для загрузки с PyPI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2😁2
#activedirectory #pentest #redteam
Атаки на центры сертификации в среде Active Directory🏠
Данный репозиторий содержит не только подробное описание атак на AD CS, но и причину возможности ее осуществления. Также познакомитесь с применением такой незаменимой утилитой как Certipy
GitHub
Атаки на центры сертификации в среде Active Directory
Данный репозиторий содержит не только подробное описание атак на AD CS, но и причину возможности ее осуществления. Также познакомитесь с применением такой незаменимой утилитой как Certipy
GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - RayRRT/Active-Directory-Certificate-Services-abuse
Contribute to RayRRT/Active-Directory-Certificate-Services-abuse development by creating an account on GitHub.
🔥6🆒3❤🔥2
#itnews #infosec #hackers
Новые атаки на IDAT Loader используют стеганографию для развертывания Remcos RAT☝️
Украинские компании, расположенные в Финляндии, стали частью вредоносной кампании, распространяющей коммерческий троян удаленного доступа, известный как Remcos RAT, с помощью загрузчика вредоносного ПО под названием IDAT Loader
сообщил исследователь Morphisec
IDAT Loader, который пересекается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для передачи дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался угрожающим агентом под ником TA544 для распространения Remcos RAT и SystemBC через фишинговые атаки
Новые атаки на IDAT Loader используют стеганографию для развертывания Remcos RAT
Украинские компании, расположенные в Финляндии, стали частью вредоносной кампании, распространяющей коммерческий троян удаленного доступа, известный как Remcos RAT, с помощью загрузчика вредоносного ПО под названием IDAT Loader
Атака, как часть IDAT Loader, использовала технику стеганографии
Хотя стеганографические, или "стего", техники хорошо известны, важно понимать их роль в уклонении от защиты, чтобы лучше понимать, как защищаться от подобных тактик
сообщил исследователь Morphisec
IDAT Loader, который пересекается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для передачи дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался угрожающим агентом под ником TA544 для распространения Remcos RAT и SystemBC через фишинговые атаки
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - PeterGabaldon/CVE-2024-1346: Weak MySQL database root password in LaborOfficeFree affects version 19.10. This vulnerability…
Weak MySQL database root password in LaborOfficeFree affects version 19.10. This vulnerability allows an attacker to calculate the root password of the MySQL database used by LaborOfficeFree using ...
❤2👍2🔥1
#itnews #infosec #web
Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов📰
В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии
Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0
сообщил исследователь Patchstack Рафи Мухаммад
LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года
Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов
В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии
Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0
Этот плагин страдает от Stored XSS и может позволить любому неаутентифицированному пользователю украсть конфиденциальную информацию или повысить привилегии на сайте WordPress путем выполнения одного HTTP-запроса
сообщил исследователь Patchstack Рафи Мухаммад
LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔4😁1🤨1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
PayloadsAllTheThings/Methodology and Resources/Windows - Privilege Escalation.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
🔥4❤2👍1
#itnews #infosec #hackers
Сектор здравоохранения США подвержен атаке вымогателя BlackCat🐈
Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения
В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор
В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum
Сектор здравоохранения США подвержен атаке вымогателя BlackCat
Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения
С середины декабря 2023 года из почти 70 жертв утечки чаще всего страдает сектор здравоохранения. Вероятно, это реакция на пост администратора ALPHV/BlackCat, призывающий его филиалы атаковать больницы после оперативных действий против группы и ее инфраструктуры в начале декабря 2023 года
В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор
В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2👍1🫡1
#itnews #infosec #hackers
Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках😈
Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах
Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday
говорится в сообщении Microsoft
Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)
Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках
Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах
Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала нужно войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое воспользуется уязвимостью и получит контроль над затронутой системой
говорится в сообщении Microsoft
Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏3🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Kyuu-Ji/Awesome-Azure-Pentest: A collection of resources, tools and more for penetration testing and securing Microsofts…
A collection of resources, tools and more for penetration testing and securing Microsofts cloud platform Azure. - Kyuu-Ji/Awesome-Azure-Pentest
🔥3❤1👍1
#itnews #infosec #malware
Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp🖥
Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО
Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа
Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp
Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО
Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2😐2👨💻1
#beginners #pentest #redteam
Azure Pentesting: Введение👩💻
Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему
Intro to Azure Hacking
Azure Pentesting: Введение
Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему
Intro to Azure Hacking
Please open Telegram to view this post
VIEW IN TELEGRAM
bhavsec
Introduction to Azure Pentesting ☁️
More than 95 percent of Fortune 500 companies use Azure! Azure AD is one of world’s largest web-based identity provider. Having the ability to understand and hack (thus securing) Azure is a skill that is in huge demand.
This blog covers the lab work done…
This blog covers the lab work done…
🔥6❤2👍2
На прошедших выходных команда AP Security посетила прекрасное мероприятие OSINT mindset conference #2 .
В рамках ивента удалось не просто с пользой провести время, получив пищу для размышления, но и вдохновиться собравшимися в этот день энтузиастами и профессионалами своего направления.
Спасибо VKolenickova, стенду LockPick, команде организаторов всей конференции за интересные доклады, крутые активности и уютную атмосферу🔥
#byapsecurity #osint
В рамках ивента удалось не просто с пользой провести время, получив пищу для размышления, но и вдохновиться собравшимися в этот день энтузиастами и профессионалами своего направления.
Спасибо VKolenickova, стенду LockPick, команде организаторов всей конференции за интересные доклады, крутые активности и уютную атмосферу🔥
#byapsecurity #osint
🔥8❤3👍3
#pentest #redteam
Ищем уязвимости в XMPP👺
XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями и информацией
В этой статье расскажут, почему XMPP представляет интерес для пентестеров, исследователей безопасности и защитников. Неправильно настроенные XMPP-серверы - отличный способ получить конфиденциальные данные (например, имена сотрудников и клиентов, журналы внутренних чатов или данные Pub/Sub) из компании, закрепиться в ее инфраструктуре и организовать дальнейшие атаки
XMPP Pentest
Ищем уязвимости в XMPP
XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями и информацией
В этой статье расскажут, почему XMPP представляет интерес для пентестеров, исследователей безопасности и защитников. Неправильно настроенные XMPP-серверы - отличный способ получить конфиденциальные данные (например, имена сотрудников и клиентов, журналы внутренних чатов или данные Pub/Sub) из компании, закрепиться в ее инфраструктуре и организовать дальнейшие атаки
XMPP Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Bishop Fox
XMPP service is an underappreciated attack surface for pen testers
Misconfigured XMPP (aka Jabber) servers may not be the most common service you encounter during pen tests, but they can prove very valuable. Read more.
🔥5❤2👍1
#itnews #infosec #hackers
Как киберпреступники используют индийский UPI для операций по отмыванию денег💸
Киберпреступники используют сеть наемных денежных мулов в Индии с помощью приложения на базе Android для организации масштабной схемы отмывания денег
говорится в отчете исследователей CloudSEK Спарша Кулшресты, Абхишека Мэтью и Сантрипти Бхуджела
Подробности об этой афере впервые появились в конце октября 2023 года, когда выяснилось, что китайские киберпреступники воспользовались тем, что индийские поставщики услуг унифицированного платежного интерфейса (UPI) работают без покрытия Закона о предотвращении отмывания денег (PMLA), чтобы инициировать незаконные транзакции под видом предложения мгновенного займа.
Незаконные доходы от операций переводятся на другие счета, принадлежащие наемным мулам, которых набирают в Telegram за комиссионные в размере 1-2 % от общей суммы транзакций
Как киберпреступники используют индийский UPI для операций по отмыванию денег
Киберпреступники используют сеть наемных денежных мулов в Индии с помощью приложения на базе Android для организации масштабной схемы отмывания денег
Вредоносное приложение под названием XHelper является ключевым инструментом для привлечения и управления этими денежными мулами
говорится в отчете исследователей CloudSEK Спарша Кулшресты, Абхишека Мэтью и Сантрипти Бхуджела
Подробности об этой афере впервые появились в конце октября 2023 года, когда выяснилось, что китайские киберпреступники воспользовались тем, что индийские поставщики услуг унифицированного платежного интерфейса (UPI) работают без покрытия Закона о предотвращении отмывания денег (PMLA), чтобы инициировать незаконные транзакции под видом предложения мгновенного займа.
Незаконные доходы от операций переводятся на другие счета, принадлежащие наемным мулам, которых набирают в Telegram за комиссионные в размере 1-2 % от общей суммы транзакций
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👌2😁1
#soc #forensics #windows
Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket🖥
В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации
DCOMExec
Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket
В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации
DCOMExec
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Детектируем горизонтальное перемещение с DCOMExec
Привет, Хабр! Меня зовут Валерия Мавлютова, я младший аналитик-исследователь киберугроз в компании R-Vision. Эта статья является продолжением серии материалов об инструментах для...
👍2🔥2❤1