#itnews #infosec #web

Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов📰

В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии

Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0

Этот плагин страдает от Stored XSS и может позволить любому неаутентифицированному пользователю украсть конфиденциальную информацию или повысить привилегии на сайте WordPress путем выполнения одного HTTP-запроса

сообщил исследователь Patchstack Рафи Мухаммад

LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года

#windows #redteam #pentest

Windows Privilege Escalation🪟

Репозиторий содержит полный список способов повышения привилегий в ОС семейства Windows

GitHub

#itnews #infosec #hackers

Сектор здравоохранения США подвержен атаке вымогателя BlackCat🐈

Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения

С середины декабря 2023 года из почти 70 жертв утечки чаще всего страдает сектор здравоохранения. Вероятно, это реакция на пост администратора ALPHV/BlackCat, призывающий его филиалы атаковать больницы после оперативных действий против группы и ее инфраструктуры в начале декабря 2023 года

В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор

В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum

#itnews #infosec #hackers

Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках😈

Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах

Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday

Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала нужно войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое воспользуется уязвимостью и получит контроль над затронутой системой

говорится в сообщении Microsoft

Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)

#pentest #redteam

Azure Pentesting⚡️

Репозиторий содержит большое количество обучающего материала для тестирования на проникновение облачной инфраструктуры Azure: статьи, лабораторные и практические примеры, утилиты книги и другое

GitHub

#itnews #infosec #malware

Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp🖥

Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО

Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа

#beginners #pentest #redteam

Azure Pentesting: Введение👩‍💻

Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему

Intro to Azure Hacking

#pentest #redteam

Ищем уязвимости в XMPP👺

XMPP - открытый, основанный на XML, свободный для использования протокол для мгновенного обмена сообщениями и информацией

В этой статье расскажут, почему XMPP представляет интерес для пентестеров, исследователей безопасности и защитников. Неправильно настроенные XMPP-серверы - отличный способ получить конфиденциальные данные (например, имена сотрудников и клиентов, журналы внутренних чатов или данные Pub/Sub) из компании, закрепиться в ее инфраструктуре и организовать дальнейшие атаки

XMPP Pentest

#itnews #infosec #hackers

Как киберпреступники используют индийский UPI для операций по отмыванию денег💸

Киберпреступники используют сеть наемных денежных мулов в Индии с помощью приложения на базе Android для организации масштабной схемы отмывания денег

Вредоносное приложение под названием XHelper является ключевым инструментом для привлечения и управления этими денежными мулами

говорится в отчете исследователей CloudSEK Спарша Кулшресты, Абхишека Мэтью и Сантрипти Бхуджела

Подробности об этой афере впервые появились в конце октября 2023 года, когда выяснилось, что китайские киберпреступники воспользовались тем, что индийские поставщики услуг унифицированного платежного интерфейса (UPI) работают без покрытия Закона о предотвращении отмывания денег (PMLA), чтобы инициировать незаконные транзакции под видом предложения мгновенного займа.
Незаконные доходы от операций переводятся на другие счета, принадлежащие наемным мулам, которых набирают в Telegram за комиссионные в размере 1-2 % от общей суммы транзакций

#soc #forensics #windows

Ищем следы горизонтального перемещения инструмента DCOMExec из пакета Impacket🖥

В статье будут освещены аспекты работы скрипта dcomexec, возможные способы детектирования этого инструмента и варианты обнаружения его эксплуатации

DCOMExec

#pentest #tools #windows

Туннелирование на Windows машинах с помощью Chisel🔗

Chisel - это приложение, которое упрощает проброс портов при работе с Windows-хостом. Это особенно полезно в тех случаях, когда запущена служба, доступная только на loopback-интерфейсе взломанного компьютера

Chisel Tunneling

#itnews #infosec

Cisco выпустила исправление для высоко опасной ошибки перехвата VPN в Secure Client🏴‍☠️

Компания Cisco выпустила исправления для устранения серьезной уязвимости в программном обеспечении Secure Client, которая может быть использована злоумышленниками для открытия VPN-сессии целевого пользователя.
Компания-производитель сетевого оборудования описала уязвимость под кодовым названием CVE-2024-20337 (CVSS score: 8.2), которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку CRLF

Возникая в результате недостаточной проверки вводимых пользователем данных, злоумышленник может использовать этот недостаток, чтобы обманом заставить пользователя перейти по специально созданной ссылке во время создания VPN-сессии

#pentest #tools

Крадем RDP-креды с помощью RDPThief🏠

RDPThief - инструмент, который производит захват функций, используемых mstsc, чтобы получить учетные данные в открытом виде и записать их в файл на диск

RDPThief

#pentest #redteam #windows

Дампим учетные данные RDP🖥

RDP - основной протокол удаленного управления, которым пользуются администраторы. Получение этих учетных данных - прекрасный способ как для горизонтального, так и для вертикального перемещения

Dumping RDP

#linux #redteam #pentest

FreeIPA Pentesting⚡️

FreeIPA - доменная инфраструктура, которая разворачивается на базе ОС семейства Linux. Для пентестера важно разбираться в тестировании не только среды Active Directory, но и FreeIPA

В статье будет представлена базовая информация для проведения пентеста данной среды: enumeration, действия с хешами учетных записей

FreeIPA

#itnews #infosec #malware

Новый банковский троян CHAVECLOAK нацелен на бразильских пользователей с помощью тактики фишинга😄

Пользователи в Бразилии стали жертвами нового банковского трояна под названием CHAVECLOAK, распространяющегося через фишинговые письма с вложениями в формате PDF

Эта сложная атака предполагает загрузку PDF-файла в формате ZIP и последующее использование методов побочной загрузки DLL для выполнения конечного вредоносного ПО

говорит исследователь Fortinet FortiGuard Labs Кара Лин

Цепочка атак включает в себя использование заманивающего письма DocuSign на тему контрактов, чтобы обманом заставить пользователей открыть PDF-файлы, содержащие кнопку для прочтения и подписания документов

В действительности нажатие на кнопку приводит к получению установочного файла по удаленной ссылке, сокращенной с помощью сервиса сокращения URL-адресов Goo.su.
Внутри инсталлятора находится исполняемый файл под названием "Lightshot.exe", который использует побочную загрузку DLL для загрузки "Lightshot.dll", являющейся вредоносной программой CHAVECLOAK, способствующей краже конфиденциальной информации

Вредонос собирает системные метаданные и выполняет проверку, чтобы определить, находится ли взломанная машина в Бразилии, и, если да, периодически отслеживает окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком