#activedirectory #pentest #redteam

Атаки на центры сертификации в среде Active Directory🏠

Данный репозиторий содержит не только подробное описание атак на AD CS, но и причину возможности ее осуществления. Также познакомитесь с применением такой незаменимой утилитой как Certipy

GitHub

#itnews #infosec #hackers

Новые атаки на IDAT Loader используют стеганографию для развертывания Remcos RAT☝️

Украинские компании, расположенные в Финляндии, стали частью вредоносной кампании, распространяющей коммерческий троян удаленного доступа, известный как Remcos RAT, с помощью загрузчика вредоносного ПО под названием IDAT Loader

Атака, как часть IDAT Loader, использовала технику стеганографии
Хотя стеганографические, или "стего", техники хорошо известны, важно понимать их роль в уклонении от защиты, чтобы лучше понимать, как защищаться от подобных тактик

сообщил исследователь Morphisec

IDAT Loader, который пересекается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для передачи дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался угрожающим агентом под ником TA544 для распространения Remcos RAT и SystemBC через фишинговые атаки

#cve #poc #exploit

CVE-2024-1346: MySQL Weak Password🖥

Слабый пароль корня базы данных MySQL в LaborOfficeFree затрагивает версию 19.10. Эта уязвимость позволяет злоумышленнику вычислить корневой пароль базы данных MySQL, используемой LaborOfficeFree, используя две константы

GitHub

#itnews #infosec #web

Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов📰

В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии

Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0

Этот плагин страдает от Stored XSS и может позволить любому неаутентифицированному пользователю украсть конфиденциальную информацию или повысить привилегии на сайте WordPress путем выполнения одного HTTP-запроса

сообщил исследователь Patchstack Рафи Мухаммад

LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года

#windows #redteam #pentest

Windows Privilege Escalation🪟

Репозиторий содержит полный список способов повышения привилегий в ОС семейства Windows

GitHub

#itnews #infosec #hackers

Сектор здравоохранения США подвержен атаке вымогателя BlackCat🐈

Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения

С середины декабря 2023 года из почти 70 жертв утечки чаще всего страдает сектор здравоохранения. Вероятно, это реакция на пост администратора ALPHV/BlackCat, призывающий его филиалы атаковать больницы после оперативных действий против группы и ее инфраструктуры в начале декабря 2023 года

В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор

В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum

#itnews #infosec #hackers

Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках😈

Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах

Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday

Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала нужно войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое воспользуется уязвимостью и получит контроль над затронутой системой

говорится в сообщении Microsoft

Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)

#pentest #redteam

Azure Pentesting⚡️

Репозиторий содержит большое количество обучающего материала для тестирования на проникновение облачной инфраструктуры Azure: статьи, лабораторные и практические примеры, утилиты книги и другое

GitHub

#itnews #infosec #malware

Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp🖥

Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО

Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа

#beginners #pentest #redteam

Azure Pentesting: Введение👩‍💻

Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему

Intro to Azure Hacking

#pentest #redteam

Ищем уязвимости в XMPP👺

XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями и информацией

В этой статье расскажут, почему XMPP представляет интерес для пентестеров, исследователей безопасности и защитников. Неправильно настроенные XMPP-серверы - отличный способ получить конфиденциальные данные (например, имена сотрудников и клиентов, журналы внутренних чатов или данные Pub/Sub) из компании, закрепиться в ее инфраструктуре и организовать дальнейшие атаки

XMPP Pentest

#itnews #infosec #hackers

Как киберпреступники используют индийский UPI для операций по отмыванию денег💸

Киберпреступники используют сеть наемных денежных мулов в Индии с помощью приложения на базе Android для организации масштабной схемы отмывания денег

Вредоносное приложение под названием XHelper является ключевым инструментом для привлечения и управления этими денежными мулами

говорится в отчете исследователей CloudSEK Спарша Кулшресты, Абхишека Мэтью и Сантрипти Бхуджела

Подробности об этой афере впервые появились в конце октября 2023 года, когда выяснилось, что китайские киберпреступники воспользовались тем, что индийские поставщики услуг унифицированного платежного интерфейса (UPI) работают без покрытия Закона о предотвращении отмывания денег (PMLA), чтобы инициировать незаконные транзакции под видом предложения мгновенного займа.
Незаконные доходы от операций переводятся на другие счета, принадлежащие наемным мулам, которых набирают в Telegram за комиссионные в размере 1-2 % от общей суммы транзакций

#soc #forensics #windows

Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket🖥

В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации

DCOMExec

#pentest #tools #windows

Туннелирование на Windows машинах с помощью Chisel🔗

Chisel - это приложение, которое упрощает проброс портов при работе с Windows-хостом. Это особенно полезно в тех случаях, когда запущена служба, доступная только на loopback-интерфейсе взломанного компьютера

Chisel Tunneling

#itnews #infosec

Cisco выпустила исправление для высоко опасной ошибки перехвата VPN в Secure Client🏴‍☠️

Компания Cisco выпустила исправления для устранения серьезной уязвимости в программном обеспечении Secure Client, которая может быть использована злоумышленниками для открытия VPN-сессии целевого пользователя.
Компания-производитель сетевого оборудования описала уязвимость под кодовым названием CVE-2024-20337 (CVSS score: 8.2), которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку CRLF

Возникая в результате недостаточной проверки вводимых пользователем данных, злоумышленник может использовать этот недостаток, чтобы обманом заставить пользователя перейти по специально созданной ссылке во время создания VPN-сессии

#pentest #tools

Крадем RDP-креды с помощью RDPThief🏠

RDPThief - инструмент, который производит захват функций, используемых mstsc, чтобы получить учетные данные в открытом виде и записать их в файл на диск

RDPThief

#pentest #redteam #windows

Дампим учетные данные RDP🖥

RDP - основной протокол удаленного управления, которым пользуются администраторы. Получение этих учетных данных - прекрасный способ как для горизонтального, так и для вертикального перемещения

Dumping RDP