#itnews #infosec

🔒Kaspersky подтвердила зрелый уровень кибербезопасности SystemeLogic Х

Специалисты Kaspersky ICS CERT проверили уровень кибербезопасности электронного блока управления SystemeLogic Х, разработанного российской компанией Systeme Electric

По итогам тестирований эксперты пришли к выводу, что SystemeLogic Х соответствует целевому уровню зрелости кибербезопасности. Другими словами, электронный блок от Systeme Electric способен обеспечить защищённость распределительной сети на протяжении всего срока службы оборудования

👺Мошенники пугают россиян видеозвонками, чтобы получить ключи от Госуслуг

Мошенническая схема получения займов на чужое имя через взлом аккаунтов «Госуслуг» усовершенствована. Чтобы выманить ключи доступа к личному кабинету гражданина, злоумышленники звонят в мессенджер по видеосвязи и представляются сотрудником полиции

Новую уловку обнаружили специалисты Сбербанка. По всей видимости, аудиовызовы стали терять свою эффективность, и мошенники решили, что видеосвязь сделает имитацию более убедительной. Поддержать иллюзию помогает демонстрация служебного удостоверения — разумеется, поддельного. Раскрыть пароль к «Госуслугам» и код подтверждения из СМС собеседника убеждают различными методами, в основном запугиванием

💻Волокна Windows позволяют выполнить вредоносный шеллкод незаметно для EDR

На проходящей в Сингапуре конференции Black Hat Asia были представлены два новых способа использования волокон Windows (fibers) для выполнения вредоносного кода. Один из них, Poison Fiber, допускает проведение атаки удаленно. Автором обоих PoC является независимый ИБ-исследователь Даниел Джэри (Daniel Jary). По его словам, атаки Poison Fiber и Phantom Thread представляют собой улучшенные варианты opensource-разработок: они позволяют надежнее скрыть сторонний шеллкод или другую полезную нагрузку в системе, находящейся под защитой EDR

#forensics #soc

🐺Обзор атаки хакеров Sticky Werewolf

F.A.C.C.T подготовила отчет о действиях проукраинской хакерской группировки Sticky Werewolf, действия которой были направлены против государственных учреждений России, Беларуси и Польши

Общая цепочка атаки выглядит следующим образом: после загрузки и запуска исполняемого файла происходит запуск архива, содержащего обфусцированный BAT-скрипт с именем Grave и 10 файлов. Данный скрипт собирает из них легитимный AutoIt интерпретатор и AutoIt скрипт, а затем запускает собранный скрипт при помощи собранного интерпретатора. Затем в процесс Recognition.pif внедряется полезная нагрузка – Rhadamanthys Stealer (основной модуль), отвечающая за разворачивание в памяти различных модулей Rhadamanthys, а также внедрение своего кода в процесс dialer.exe, загрузку с C2-сервера модуля стилера и его запуск в памяти процесса dialer.exe

Хабр 🖥

#activedirectory #windows

🖥Глубокое погружение в ACL

ACL (Access Control List) в Active Directory — это таблицы или простые списки, которые определяют, кто имеет доступ к объекту, а также тип доступа, который он имеет

В статье будет представлена полная и развернутая информация про наследование правил доступа, получение атрибутов для объекта в Active Directory и основные виды ACE

Хабр 🖥

#itnews #infosec

📱Количество атак на Android в России увеличилось в 5 раз

Рост вредоносной активности, по мнению «Лаборатории Касперского», связан с расширением использования сторонних источников софта: многие ходовые приложения исчезли из Google Play. Наиболее часто на смартфонах детектировались модульный загрузчик Dwphon и банковский троян Mamont.

👮‍♀Россиян предупреждают о действиях мошенников перед майскими праздниками

По словам Виталия Фомина, руководителя группы аналитиков по информационной безопасности Лиги Цифровой Экономики, наиболее распространённой разновидностью мошенничества в предстоящие майские праздники станут фишинговые сайты, на которых злоумышленники будут предлагать доверчивым пользователям приобрести авиа- и железнодорожные билеты, а также арендовать жильё во время длительных выходных.


💻В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом

Такой результат показало исследование МТС RED совместно с hh.ru.
Самыми быстрорастущими ежегодно оказываются разные ИИ-навыки в зависимости от трендов. Так в 2021 году наибольший рост показали вакансии с упоминанием терминов "Искусственный интеллект" или AI. В 2022 быстрее всего росла востребованность специалистов с навыками по запросам к ИИ-системам, таких как промпт-инженеры, что связано с популярностью и развитием технологий на базе генеративного интеллекта. А в 2023 году резко возросла востребованность сотрудников, умеющих работать непосредственно с GPT-моделями и конкретно с сервисом ChatGPT, — количество вакансий с этим ИИ-навыком увеличилось в 6,6 раза по сравнению с 2022 годом. Чаще всего от специалистов по информационной безопасности требуют знания методов машинного обучения (ML) — примерно в 65% случаев на протяжении всего исследуемого периода с 2020 по 2023 год.

#redteam #pentest #bypassav

👁Обход AVs/EDRs с помощью SysCalls

Syscalls позволяют любой программе переходить в режим ядра для выполнения привилегированных операций, например, записи файла

Большинство антивирусов, EDR и песочниц используют пользовательские хуки, что означает, что они могут отслеживать и перехватывать любой пользовательский вызов API. Однако если мы выполним системный вызов и перейдем в режим ядра, они не смогут ничего отследить

В статье вы узнаете как работают AVs/EDRs, и как с помощью SysCalls выполнить их обход для выполнения вредоносного кода

⌨️SysCalls

#pentest #tools

📶Havoc C2 Framework

Havoc - новичок среди C2-серверов, и появился относительно недавно в поле зрения пентестеров. Имеет широкий функционал генерации агентов, возможности туннелирования, постэксплуатации и встроенные техника обхода антивирусных средств

В статье будут рассмотрены базовая установка и настройка описанного выше C2.

https://redfoxsec.com/blog/havoc-c2-framework/

#windows #redteam

💻AMSI Bypass

Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell

🖥GitHub

#cve #exploit #poc

💉CVE-2024-27956: WordPress RCE

PoC для CVE-2024-27956, SQL Injection в плагине ValvePress Automatic. Данный PoC эксплуатирует уязвимость, создавая пользователя и предоставляя ему права администратора. Статус администратора в Wordpress может привести к удаленному выполнению кода

🐱GitHub