#itnews #infosec #malware

Шпионская программа Pegasus нацелилась на айфоны журналистов и активистов в Иордании🍏

Айфоны, принадлежащие почти трем десяткам журналистов, активистов, адвокатов по правам человека и представителей гражданского общества в Иордании, подверглись атаке шпионского ПО Pegasus от NSO Group, согласно совместным выводам Access Now и Citizen Lab

Девять из 35 человек были публично подтверждены в качестве жертв, из них у шести устройства были заражены наемным инструментом для слежки. По оценкам, заражения произошли как минимум с 2019 года по сентябрь 2023 года

В некоторых случаях злоумышленники выдавали себя за журналистов, добиваясь от жертв интервью или цитат, вставляя вредоносные ссылки на шпионское ПО Pegasus среди сообщений и между ними

говорится в сообщении Access Now

NSO Group в своем отчете о прозрачности и ответственности за 2023 год отметила "значительное снижение" числа сообщений о ненадлежащем использовании продукции в 2022 и 2023 годах, объяснив это снижением эффективности процесса должной осмотрительности и проверки

#pentest

То, без чего не проходит ни одно собеседование👋

О преимуществах использования Active Directory в организациях с точки зрения администрирования не может быть и речи.
И, безусловно, в разговорах о тестировании внутренней инфраструктуры каждый специалист рассказывает о том, каким образом была достигнута основная цель: захват домена.

Для успешной подготовки к стажировке рекомендуем ознакомиться со следующим циклом статей на данную тематику, где простым языком и в красочных схемам дана база, необходимая для углубления собственных компетенций.

В этом цикле статей буду пытаться разобрать, как в теории устроен протокол Kerberos и какие атаки с его использованием можно осуществить на практике в Active Directory. Также будут приведены некоторые рекомендации по противодействию рассматриваемым атакам.

Приятного прочтения📌

#pentest #redteam #activedirectory

Получение привилегий админа с помощью уязвимости PetitPotam👩‍💻

PetitPotam - relay-атака направленная на перехват аутентификационных данных контроллера домена

В статье вы подробнее познакомитесь с данной уязвимостью, узнаете условия для ее успешной эксплуатации и на конкретном примере разберете работу атаки

Хабр

#itnews #infosec #linux

Критическая уязвимость загрузчика в Shim затрагивает почти все дистрибутивы Linux🐥

Разработчики shim выпустили версию 15.8, в которой устранены шесть недостатков безопасности, включая критическую ошибку, которая при определенных обстоятельствах может привести к удаленному выполнению кода.

Отслеживаемая, как CVE-2023-40547 (CVSS score: 9.8), уязвимость может быть использована для обхода Secure Boot. Обнаружение и сообщение об ошибке принадлежит Биллу Демиркапи из Microsoft Security Response Center (MSRC)

Поддержка http boot в shim (httpboot.c) доверяет значениям, контролируемым злоумышленником, при разборе HTTP-ответа, что приводит к полностью контролируемому примитиву записи за пределы границ

отметил Алан Куперсмит из Oracle в сообщении, опубликованном в списке рассылки Open Source Security oss-security

#redteam #pentest #activedirectory

Способы эксплуатации PetitPotam для полного захвата домена💀

В статье будут освещены способы компрометации домена с помощью уязвимости PetitPotam. Подробно будут описаны атаки с понижением аутентификации до NTLMv1, выпуском сертификата и механизмами делегирования

Хабр

#pentest #redteam

Идеальный DLL Hijacking🖥

Команда AP Security подготовила для Вас очередную статью, в которой подробно будет рассмотрено исследование такой техники, как DLL Hijacking. Статья подробно расскажет, как работает данный механизм и как его эксплуатировать

Хабр

#itnews #infosec #hackers

Китайские хакеры действовали незамеченными в критической инфраструктуре США в течение 5 лет⌨️

Правительство США в среду заявило, что спонсируемая китайским государством хакерская группа, известная как Volt Typhoon, была внедрена в некоторые сети критической инфраструктуры в стране на протяжении как минимум пяти лет

Целями хакеров являются сектора связи, энергетики, транспорта, водоснабжения и канализации в США и на острове Гуам

Выбор целей и модель поведения Volt Typhoon не соответствуют традиционным операциям кибершпионажа или сбора разведданных, и американские ведомства с высокой степенью уверенности полагают, что участники Volt Typhoon заранее позиционируют себя в ИТ-сетях, чтобы обеспечить возможность латерального перемещения к ОТ-активам для нарушения функционирования

заявили в правительстве США

Совместный совет, выпущенный Агентством кибербезопасности и защиты инфраструктуры (CISA), Агентством национальной безопасности (NSA) и Федеральным бюро расследований (FBI), был также поддержан другими странами, входящими в разведывательный альянс "Пять глаз" (FVEY), в который входят Австралия, Канада, Новая Зеландия, Великобритания

Volt Typhoon, которую также называют Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, - скрытная базирующаяся в Китае группа кибершпионажа, которая, как считается, действует с июня 2021 года

#pentest

Использование легитимных программ и функций для выполнения вредоносных действий в целевой системе ✅

LotL-атака - Living off the Land

Это безфайловая обратная оболочка living off the land, написанная на JScript и Powershell script. Она запускается каждый раз при загрузке Windows и полагается исключительно на реестр Windows и переменные среды c целью выполнения в системе без создания каких-либо файлов.
Программа предназначена только для образовательных целей!

#SOC

Agent Tesla, сложная вредоносная программа, проникающая в системы через фишинговые письма🏚

➡️ В своей начинке вредонос оснащён различными дропперами, а его основная цель - извлечь конфиденциальную информацию, в частности пароли от веб-браузеров, электронной почты, VPN и FTP-клиентов. Похищенные данные отправляются на электронную почту злоумышленника. В этом отчете Вы узнаете о тактиках, техниках и методах работы Agent Tesla.

#itnews #infosec #malware

Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS🔑

Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.

Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm

Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O

На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года

Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке

#pentest #redteam #osint

Знакомимся с Google Dorks🔗

Google Dorks - операторы, используемые для поиска в Google. Этот мощный инструмент позволяет находить ошибочные конфигурации, торчащие пароли и даже уязвимости в сервисах. При проведении первичного рекона незаменимая вещь

Google Dorks

#itnews #infosec #hackers

Rhysida Ransomware взломана, выпущен бесплатный инструмент для расшифровки👤

Исследователи в области кибербезопасности обнаружили "уязвимость в реализации", которая позволила восстановить ключи шифрования и расшифровать данные, заблокированные программой Rhysida ransomware

Результаты исследования были опубликованы на прошлой неделе группой исследователей из Университета Кукмин и Корейского агентства Интернета и безопасности (KISA)

Проведя всесторонний анализ Rhysida Ransomware, мы обнаружили уязвимость в реализации, которая позволила нам регенерировать ключ шифрования, используемый вредоносным ПО

заявили исследователи

Эта разработка стала первой успешной расшифровкой штамма ransomware, который впервые появился в мае 2023 года. Инструмент для восстановления распространяется через KISA.
Исследование также является последним, в котором удалось добиться расшифровки данных за счет использования уязвимостей в реализации ransomware, после Magniber v2, Ragnar Locker, Avaddon и Hive

#pentest #redteam #osint

Сборник Google Dorks🖥

Данный ресурс содержит огромное число Google Dorks, используемых для разведки. Сайт содержит архивы за каждый год, в который появилась та или иная дорка

Google Dorks

#itnews #infosec #malware

Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit🤖

В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности

Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать незаметное постоянство, которое крайне сложно обнаружить и удалить

заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе

Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа

#pentest #tools #web

Эксплуатация ViewState Deserealization с помощью Blacklist3r и YSoSerial.NET🖥

ViewState служит стандартным механизмом в ASP.NET для сохранения данных страницы и элементов управления на веб-страницах

В статье будет рассмотрено несколько кейсов, в которых будут применены различные техники эксплуатации в зависимости от условий

ViewState Deserealization

#itnews #infosec #hackers

Хакеры теперь все чаще используют искусственный интеллект для атак👩‍💻

Государственные хакеры, связанные с Северной Кореей, Ираном и Китаем, экспериментируют с искусственным интеллектом и большими языковыми моделями, чтобы дополнить свои операции по кибератакам

Такие выводы содержатся в отчете, опубликованном компанией Microsoft совместно с OpenAI. Обе компании заявили, что пресекли попытки пяти субъектов, которые использовали их сервисы ИИ для осуществления вредоносной деятельности, прекратив работу их активов и учетных записей

Поддержка языка является естественной особенностью LLM и привлекательна для угроз, которые постоянно фокусируются на социальной инженерии и других методах, основанных на ложных, обманчивых сообщениях, адаптированных к работе, профессиональным сетям и другим связям их целей

говорится в отчете Microsoft

Эти субъекты обычно пытались использовать сервисы OpenAI для запроса информации из открытых источников, перевода, поиска ошибок в коде и выполнения базовых задач кодирования

заявили в компании, занимающейся разработкой ИИ

#web #pentest #cheatsheet #beginners

Большой RoadMap по Web Pentest💥

Эта дорожная карта по тестированию на проникновению веб сервисов содержит подробное руководство для каждого, кто начинает свое знакомство с данной областью: от введения и общей базы до продвинутого уровня

RoadMap

#pentest #windows #redteam

WinAPI для пентестера🖥

WinAPI - общее наименование набора базовых функций интерфейсов программирования приложений ОС семейства Windows. Крайне необходима для пентестера при написании собственных нагрузок, скриптов и малварей

WinAPI

#pentest #web #microsoft

Эксплуатация десериализации в ASP.NET с помощью ViewState⌨️

Ранее выкладывали пост про данную атаку при помощи blacklist3r и YSoSerial.Net

Данная статья расскажет что такое ASP.NET, про его функции, как это использовать для атак, а также даст дополнительные советы для пентестеров

ASP.NET