#itnews #infosec

📱Количество атак на Android в России увеличилось в 5 раз

Рост вредоносной активности, по мнению «Лаборатории Касперского», связан с расширением использования сторонних источников софта: многие ходовые приложения исчезли из Google Play. Наиболее часто на смартфонах детектировались модульный загрузчик Dwphon и банковский троян Mamont.

👮‍♀Россиян предупреждают о действиях мошенников перед майскими праздниками

По словам Виталия Фомина, руководителя группы аналитиков по информационной безопасности Лиги Цифровой Экономики, наиболее распространённой разновидностью мошенничества в предстоящие майские праздники станут фишинговые сайты, на которых злоумышленники будут предлагать доверчивым пользователям приобрести авиа- и железнодорожные билеты, а также арендовать жильё во время длительных выходных.


💻В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом

Такой результат показало исследование МТС RED совместно с hh.ru.
Самыми быстрорастущими ежегодно оказываются разные ИИ-навыки в зависимости от трендов. Так в 2021 году наибольший рост показали вакансии с упоминанием терминов "Искусственный интеллект" или AI. В 2022 быстрее всего росла востребованность специалистов с навыками по запросам к ИИ-системам, таких как промпт-инженеры, что связано с популярностью и развитием технологий на базе генеративного интеллекта. А в 2023 году резко возросла востребованность сотрудников, умеющих работать непосредственно с GPT-моделями и конкретно с сервисом ChatGPT, — количество вакансий с этим ИИ-навыком увеличилось в 6,6 раза по сравнению с 2022 годом. Чаще всего от специалистов по информационной безопасности требуют знания методов машинного обучения (ML) — примерно в 65% случаев на протяжении всего исследуемого периода с 2020 по 2023 год.

#redteam #pentest #bypassav

👁Обход AVs/EDRs с помощью SysCalls

Syscalls позволяют любой программе переходить в режим ядра для выполнения привилегированных операций, например, записи файла

Большинство антивирусов, EDR и песочниц используют пользовательские хуки, что означает, что они могут отслеживать и перехватывать любой пользовательский вызов API. Однако если мы выполним системный вызов и перейдем в режим ядра, они не смогут ничего отследить

В статье вы узнаете как работают AVs/EDRs, и как с помощью SysCalls выполнить их обход для выполнения вредоносного кода

⌨️SysCalls

#pentest #tools

📶Havoc C2 Framework

Havoc - новичок среди C2-серверов, и появился относительно недавно в поле зрения пентестеров. Имеет широкий функционал генерации агентов, возможности туннелирования, постэксплуатации и встроенные техника обхода антивирусных средств

В статье будут рассмотрены базовая установка и настройка описанного выше C2.

https://redfoxsec.com/blog/havoc-c2-framework/

#windows #redteam

💻AMSI Bypass

Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell

🖥GitHub

#cve #exploit #poc

💉CVE-2024-27956: WordPress RCE

PoC для CVE-2024-27956, SQL Injection в плагине ValvePress Automatic. Данный PoC эксплуатирует уязвимость, создавая пользователя и предоставляя ему права администратора. Статус администратора в Wordpress может привести к удаленному выполнению кода

🐱GitHub

#itnews #infosec

😈EMB3D - новая система моделирования угроз для встраиваемых устройств

Новая система моделирования угроз EMB3D представлена корпорацией MITRE и предназначена для производителей встраиваемых устройств, используемых в критической информационной инфраструктуре. Модель включает в себя базу знаний о киберугрозах, что дает общее представление о них

Предполагается, что EMB3D, как и фреймворк ATT&CK, будет «живой моделью», дополняемой обновленными средствами защиты по мере появления новых уязвимостей и векторов атак. В EMB3D упор сделан на встраиваемые устройства, где главной целью является полная картина брешей в технологиях производителей

⚡️Вышел Solar Dozor 7.12 с новым уровнем контроля графической информации

Новая версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы

🔔Microsoft все еще не пропатчила уязвимости, выявленные на Pwn2Own 2024

Из семи уязвимостей повышения привилегий, выявленных в марте на Pwn2Own, Microsoft устранила только одну, да и то портом заплатки Google для Chrome. Остался месяц до публикации, и появились опасения, что дедлайн Windows встретит непропатченной. Участники проекта Zero Day Initiative (ZDI), ежегодно проводящие Pwn2Own, обычно дают вендорам 90 дней на выпуск патчей к уязвимостям. Показанные в Ванкувере 0-day уже устранили Oracle, Apple, Google, VMware, Mozilla. Все думали, что Microsoft последует их примеру, но разработчик популярной ОС исправил только Edge к апрельскому «вторнику патчей». Майский набор обновлений для Windows ожиданий не оправдал

#pentest #redteam #cheatsheet

✈️Pivoting CheatSheet by Offensive Security

Крайне подробная шпаргалка по техникам перенаправления трафика. Представлены способы проброса портов с помощью SSH, Metasploit, NetCat, Chisel, PivotSuite

Offensive Route

#cve #poc

🕷CVE-2024-21683: Confluence Data Center RCE

Эта уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на уязвимом сервере Confluence. Баг существует из-за некорректной проверки пользовательского ввода в Confluence REST API. Это позволяет злоумышленнику внедрить вредоносный код на сервер Confluence

Proof-Of-Concept

#reverse #soc

🤖Анализ ВПО DarkGate

DarkGate — вредоносное ПО, которое реализует функциональность загрузчика, стилера и RAT. Таким образом, оно представляет собой комплексный тулкит для кражи различной информации, удаленного управления зараженным хостом, майнинга криптовалюты

Ребята из BI.ZONE провели детальный анализ, чтобы показать все функции этого ВПО: от проверки на хосте наличия антивируса до общения с С2-сервером

🖥Хабр

#itnews #infosec

⚡️Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности. Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram. Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику

⚠️Критическая уязвимость Fluent Bit актуальна для AWS, Azure, Google Cloud

В инструменте телеметрии Fluent Bit найдена уязвимость, грозящая крахом службы, сливом закрытых данных и даже RCE. Исправления уже готовы, затронутые облачные провайдеры (Google, Amazon, Microsoft) поставлены в известность. По состоянию на март, ее суммарно скачали более 13 млрд раз; такой агент активно используют облачные сервисы AWS, GCP и Azure. Критическая уязвимость CVE-2024-4323 (9,8 балла CVSS, по оценке авторов находки) была привнесена в Fluent Bit с выпуском сборки 2.0.7. Она связана с ошибкой переполнения буфера, которая может возникнуть при парсинге встроенным сервером HTTP запросов на трассировку

🔓Innostage запускает bug bounty в формате испытаний

На стартовавшем сегодня Positive Hack Days 2 компания Innostage объявила о готовящейся к запуску программе по поиску уязвимостей в формате открытых кибериспытаний. Баг-баунти будет работать на платформе Standoff Bug Bounty. Исследователям предлагается реализовать недопустимые события, которые с гарантией окажут влияние на деятельность организации, а также в целом прощупать киберустойчивость ИТ-инфраструктуры. Помочь организовать кибериспытания Innostage вызвались компании АО «Кибериспытания» и Positive Technologies

#redteam #pivoting

🖥RevSocks: швейцарский нож для проброса портов и туннелирования трафика

revsocks - утилита для туннелирования, написанная на Golang

⚙️Основные фишки:
- Поддержка Linux/Windows/Mac/BSD
- Шифрованное соединение с TLS
- Поддержка DNS туннелирования (SOCKS поверх DNS)
- Поддержка прокси (с аутентификацией и без)
- Генерация SSL/TLS сертификатов


🖥GitHub

#pentest

Совсем недавно в чате канала обсуждали тему безопасности беспроводных сетей.

Актуален ли WPS? А что насчёт PMKID?🛜

И вообще, airgeddon или airmon-ng?

Представленная статья является наглядным отражением практического применения знаний из курса PEN-210 и будет полезна всем, кто либо начинает свой путь в аудите Wi-Fi, либо же расширяет свой арсенал.