#pentest #redteam

Ищем уязвимости в XMPP👺

XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями и информацией

В этой статье расскажут, почему XMPP представляет интерес для пентестеров, исследователей безопасности и защитников. Неправильно настроенные XMPP-серверы - отличный способ получить конфиденциальные данные (например, имена сотрудников и клиентов, журналы внутренних чатов или данные Pub/Sub) из компании, закрепиться в ее инфраструктуре и организовать дальнейшие атаки

XMPP Pentest

#itnews #infosec #hackers

Как киберпреступники используют индийский UPI для операций по отмыванию денег💸

Киберпреступники используют сеть наемных денежных мулов в Индии с помощью приложения на базе Android для организации масштабной схемы отмывания денег

Вредоносное приложение под названием XHelper является ключевым инструментом для привлечения и управления этими денежными мулами

говорится в отчете исследователей CloudSEK Спарша Кулшресты, Абхишека Мэтью и Сантрипти Бхуджела

Подробности об этой афере впервые появились в конце октября 2023 года, когда выяснилось, что китайские киберпреступники воспользовались тем, что индийские поставщики услуг унифицированного платежного интерфейса (UPI) работают без покрытия Закона о предотвращении отмывания денег (PMLA), чтобы инициировать незаконные транзакции под видом предложения мгновенного займа.
Незаконные доходы от операций переводятся на другие счета, принадлежащие наемным мулам, которых набирают в Telegram за комиссионные в размере 1-2 % от общей суммы транзакций

#soc #forensics #windows

Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket🖥

В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации

DCOMExec

#pentest #tools #windows

Туннелирование на Windows машинах с помощью Chisel🔗

Chisel - это приложение, которое упрощает проброс портов при работе с Windows-хостом. Это особенно полезно в тех случаях, когда запущена служба, доступная только на loopback-интерфейсе взломанного компьютера

Chisel Tunneling

#itnews #infosec

Cisco выпустила исправление для высоко опасной ошибки перехвата VPN в Secure Client🏴‍☠️

Компания Cisco выпустила исправления для устранения серьезной уязвимости в программном обеспечении Secure Client, которая может быть использована злоумышленниками для открытия VPN-сессии целевого пользователя.
Компания-производитель сетевого оборудования описала уязвимость под кодовым названием CVE-2024-20337 (CVSS score: 8.2), которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку CRLF

Возникая в результате недостаточной проверки вводимых пользователем данных, злоумышленник может использовать этот недостаток, чтобы обманом заставить пользователя перейти по специально созданной ссылке во время создания VPN-сессии

#pentest #tools

Крадем RDP-креды с помощью RDPThief🏠

RDPThief - инструмент, который производит захват функций, используемых mstsc, чтобы получить учетные данные в открытом виде и записать их в файл на диск

RDPThief

#pentest #redteam #windows

Дампим учетные данные RDP🖥

RDP - основной протокол удаленного управления, которым пользуются администраторы. Получение этих учетных данных - прекрасный способ как для горизонтального, так и для вертикального перемещения

Dumping RDP

#linux #redteam #pentest

FreeIPA Pentesting⚡️

FreeIPA - доменная инфраструктура, которая разворачивается на базе ОС семейства Linux. Для пентестера важно разбираться в тестировании не только среды Active Directory, но и FreeIPA

В статье будет представлена базовая информация для проведения пентеста данной среды: enumeration, действия с хешами учетных записей

FreeIPA

#itnews #infosec #malware

Новый банковский троян CHAVECLOAK нацелен на бразильских пользователей с помощью тактики фишинга😄

Пользователи в Бразилии стали жертвами нового банковского трояна под названием CHAVECLOAK, распространяющегося через фишинговые письма с вложениями в формате PDF

Эта сложная атака предполагает загрузку PDF-файла в формате ZIP и последующее использование методов побочной загрузки DLL для выполнения конечного вредоносного ПО

говорит исследователь Fortinet FortiGuard Labs Кара Лин

Цепочка атак включает в себя использование заманивающего письма DocuSign на тему контрактов, чтобы обманом заставить пользователей открыть PDF-файлы, содержащие кнопку для прочтения и подписания документов

В действительности нажатие на кнопку приводит к получению установочного файла по удаленной ссылке, сокращенной с помощью сервиса сокращения URL-адресов Goo.su.
Внутри инсталлятора находится исполняемый файл под названием "Lightshot.exe", который использует побочную загрузку DLL для загрузки "Lightshot.dll", являющейся вредоносной программой CHAVECLOAK, способствующей краже конфиденциальной информации

Вредонос собирает системные метаданные и выполняет проверку, чтобы определить, находится ли взломанная машина в Бразилии, и, если да, периодически отслеживает окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком

#windows #redteam

Искусство закрепления в Windows💻

При проведении пентестов после этапа эксплуатации очень важно закрепиться в системе для дальнейшего продвижения по сети. Данная статья содержит подробное руководство по закреплению в ОС семейства Windows: начиная профилями Powershell и реестром, заканчивая использованием сервисов

Windows Persistence

#itnews #infosec #malware

Пакеты PyPI для Python опустошают криптокошельки💸

Охотники за угрозами обнаружили в репозитории Python Package Index (PyPI) набор из семи пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютного кошелька

Кампания по атаке на цепочки поставок программного обеспечения получила кодовое название BIPClip от компании ReversingLabs. Пакеты были загружены 7451 раз до того, как их удалили из PyPI. Список пакетов выглядит следующим образом:
- jsBIP39-decrypt (126 загрузок)
- bip39-mnemonic-decrypt (689 загрузок)
- mnemonic_to_address (771 загрузка)
- erc20-scanner (343 загрузки)
- hashdecrypt (4,292 скачиваний)
- hashdecrypts (225 загрузок)

BIPClip, ориентированный на разработчиков, работающих над проектами, связанными с созданием и защитой криптовалютных кошельков, по слухам, активен как минимум с 4 декабря 2022 года, когда hashdecrypt был впервые опубликован в реестре

Это всего лишь последняя кампания по созданию цепочки поставок программного обеспечения, направленная на криптоактивы.Это подтверждает, что криптовалюта остается одной из самых популярных целей для участников цепочки поставок

заявил исследователь безопасности Карло Занки

#web #pentest #bugbounty

Эксплуатируем уязвимости GraphQL⌛

GraphQL - инструмент, который объединяет возможности SQL и REST на стороне клиента

В статье будут описаны основные приемы тестирования данного инструмента, которые будут полезны на Bug Bounty

GraphQL

#itnews #infosec #malware

Банковский троян PixPirate для Android использует новую тактику уклонения для бразильских пользователей📱

Злоумышленники, стоящие за банковским трояном PixPirate для Android, используют новый трюк, чтобы избежать обнаружения на взломанных устройствах и собирать конфиденциальную информацию пользователей из Бразилии.
Этот подход позволяет скрыть иконку вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM

Благодаря этой новой технике на этапах разведки и атаки PixPirate жертва остается в неведении относительно вредоносных операций, которые эта программа выполняет в фоновом режиме

заявил исследователь безопасности Нир Сомех

PixPirate, впервые задокументированный Cleafy в феврале 2023 года, известен тем, что использует сервисы доступности Android для скрытого осуществления несанкционированных переводов средств с помощью платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно мутирующая вредоносная программа также способна похищать учетные данные жертв онлайн-банкинга и информацию о кредитных картах, а также перехватывать нажатия клавиш и SMS-сообщения для получения доступа к кодам двухфакторной аутентификации

#forensics #linux

Цифровая криминалистика под Linux🐥

В статье содержатся основные приемы расследования инцидентов для ОС семейства Linux. Вы узнаете, какие контрольные точки нужно проверять для успешного поиска артефактов и следов компрометации системы

Linux Forensics

#malware #android

Исследуем ВПО под Android📱

В статье будет представлен подробный и полный разбор функций Malware Cerberus, нацеленный под устройства Android

Malware Cerberus

#pentest #redteam #tools

HackerGPT🤖

HackerGPT - это ваш незаменимый цифровой компаньон в мире хакинга. Созданный с учетом уникальных потребностей этичных хакеров, этот помощник на базе искусственного интеллекта находится на переднем крае знаний и помощи в области взлома. Оснащенный обширной базой данных по методам, инструментам и стратегиям взлома, HackerGPT - это не просто информационный ресурс, а активный участник вашего хакерского путешествия

HackerGPT

#forensics #soc #windows

Что такое RPC и как отслеживать его использование🖥

RPC - Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия IPC

В статье будут освещены основные протоколы, использующие технологию IPC, а также нахождение следов их применения в системе

RPC

#pentest #redteam #soc

Как устроен COM и как это использовать для построения вектора атак💀

В статье будет освещена работа Component Object Model в Windows, а также случаи его использования злоумышленниками для реализации атак

Component Object Model