#itnews #infosec #hackers

США ввели санкции против 6 иранских чиновников за кибератаки на объекты критической инфраструктуры⚡️

Управление по контролю за иностранными активами Министерства финансов США (OFAC) объявило о введении санкций против шести чиновников, связанных с иранской разведкой, за атаки на объекты критической инфраструктуры в США и других странах

Среди них Хамид Реза Лашгариан, Махди Лашгариан, Хамид Хомаюнфал, Милад Мансури, Мохаммад Багер Ширинкар и Реза Мохаммад Амин Сабериан, которые входят в состав Киберэлектронного командования Корпуса стражей исламской революции Ирана (IRGC-CEC)

Реза Лашгариан также является главой IRGC-CEC и командиром IRGC-Qods Force. Предполагается, что он участвовал в различных кибер- и разведывательных операциях КСИР

В конце ноября 2023 года Агентство кибербезопасности и защиты инфраструктуры США (CISA) сообщило, что муниципальное управление водоснабжения города Аликиппа на западе Пенсильвании подверглось атаке иранских хакеров, использовавших Unitronic

Читать полностью…

#osint

GeoSpy AI может определять местонахождение не только фотографий c улиц, интерьеров, но и cо спутниковых снимков рельефа Земли, предлагая в выводах координаты предполагаемого места.

Данный инструмент будет особенно полезен при решении задач GeoSINT, когда в первую очередь по надписям на зданиях, вывесках, указателях пытаются определить страну, город и позже район.
Однако не забываем про метаданные загружаемых фото🏪

Делитесь результатами тестирования данного сервиса в комментариях к посту⬇️

Читать полностью…

#itnews #infosec #apt

APT28 атакует крупные организации с помощью NTLM-relay атак🏴‍☠️

С апреля 2022 по ноябрь 2023 года хакеры проводили атаки с использованием различных методов relay-атак NT LAN Manager (NTLM) v2, направленных на важные цели по всему миру

Атаки, приписываемые хакерской группе APT28, были направлены на организации, занимающиеся иностранными делами, энергетикой, обороной и транспортом, а также на организации, связанные с финансами

В декабре эти объекты попали в поле зрения за использование дефекта повышения привилегий в Microsoft Outlook (CVE-2023-23397, CVSS score: 9.8) и WinRAR (CVE-2023-38831, CVSS score: 7.8) для получения доступа к хэшу Net-NTLMv2 пользователя и использования его для атаки NTLM Relay на другой сервис для аутентификации пользователя

Читать полностью…

#web #pentest #tools

Обзор популярных сканеров для поиска уязвимостей в веб-приложениях⚛️

Статья расскажет про топ популярных сканеров веб-уязвимостей, а также сравнит их по функционалу, возможностям и удобству, подробно рассмотрев каждый аспект

Web-сканеры

Читать полностью…

#cheatsheet

Пути Wordpress, которые могут содержать конфиденциальную информацию.

Читать полностью…

#pentest #redteam #forensics

UAC Bypass: эксплуатация и детектирование. Часть 2🔍

Продолжение статьи, затрагивающей эксплуатацию и обнаружение данной техники. На этот раз тема будет касаться таких методик как Shell API, UIPI bypass, APIINFO command line spoofing и другие

UAC Bypass Part 2

Читать полностью…

#pentest #redteam #powershell

Offensive Powershell: создание нагрузок для Windows💻

Powershell - стандартное легитимное средство ОС семейства Windows, которое имеет широкий функционал для управлением и администрированием системы. Этим же регулярно пользуются как хакеры, так и пентестеры

В статье будет показано несколько способов для удаленного подключения (Invoke-PowerShellTCP, Powercat)

Offensive Powershell

Читать полностью…

#vpn

Построение виртуальных частных сетей позволяет обеспечить безопасную коммуникацию между филиалами компании или обеспечить безопасный доступ к ней сотрудников, находящихся на удалёнке 📶

В своей основе заказчик желает видеть сертифицированное решение, соответствующее отечественному законодательству

Для тех, кто знакомится с технологиями VPN, предлагаем обзорный курс по сетям Vipnet, формирующий общее представление по данному продукту

➡️ Для обсуждения проектов или тестов по данной тематике обращаться к @ap_security_admin.

Приятного просмотра📌

Читать полностью…

#redteam #pentest #forensics

Bypass UAC: эксплуатация и детектирование🎭

UAC bypass - один из важнейших шагов для выполнения функций с повышенными привилегиями для достижения целей пентеста. Этот механизм как раз предотвращает такие действия

Статья опишет не только методы и способы выполнения данной техники, но и также расскажет как детектировать данные действия злоумышленника

UAC Bypass

Читать полностью…

#itnews #infosec #hackers

Вредоносные объявления в Google нацелены на китайских пользователей с поддельными приложениями для обмена сообщениями💬

Китайскоязычные пользователи стали жертвами вредоносной рекламы Google для приложений для обмена сообщениями с ограниченным доступом, таких как Telegram, в рамках продолжающейся кампании по вредоносной рекламе

Угрожающий субъект использует аккаунты рекламодателей Google для создания вредоносных объявлений и направления их на страницы, где ничего не подозревающие пользователи загружают троянские программы удаленного администрирования (RAT)
- сообщил Жером Сегура из Malwarebytes

Стоит отметить, что активность под кодовым названием FakeAPP является продолжением предыдущей волны атак, которая была направлена на гонконгских пользователей, искавших в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram, в конце октября 2023 года

Читать полностью…

#itnews #infosec #malware

Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки😈

Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC

SystemBC можно приобрести на подпольных рынках, и он поставляется в архиве, содержащем имплант, сервер управления и контроля (C2) и портал веб-администрирования, написанный на PHP
говорится в анализе Kroll

Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить

Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта

Исследование Kroll

Читать полностью…

#pentest #redteam #beginners

О том, как правильно пентестить для начинающих специалистов: об этике и правилах контрактов👩‍💻

Пентестер - профессия, в которой вы буквально ходите по лезвию ножа. Шаг влево или шаг вправо - вы уже попадаете под уголовную ответственность. Поэтому в данном деле важно знать базовые правила вашей работы, чтобы не допустить ошибок, которые до вас уже успели допустить большое количество специалистов

Хабр

Читать полностью…

#itnews #infosec #malware

Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏

Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков

Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope

Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activator исследователь безопасности Сергей Пузан

Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥

Читать полностью…

Обнаружен новый эксплойт для Outlook: CVE-2023-35636 приводит к краже паролей NTLM v2💻

CVE-2023-35636 - это уязвимость безопасности, обнаруженная в Microsoft Outlook, а именно в функции совместного использования календаря. Этот эксплойт позволяет злоумышленникам перехватывать хэши NTLM v2, которые используются для аутентификации в системах Microsoft Windows. NTLM v2, хотя и более безопасен, чем его предшественник, все еще подвержен автономным атакам перебора и повторной пересылке данных аутентификации.

Эксплойт для Outlook заключается в добавлении определенных заголовков в письмо, что заставляет Outlook делиться содержимым и взаимодействовать с указанным компьютером. Эта манипуляция создает возможность для злоумышленников перехватить хэши NTLM v2 в процессе аутентификации. Эксплойт требует наличия двух заголовков: "Content-Class" и "x-sharing-config-url", которые указывают на машину злоумышленника.

Помимо Outlook, злоумышленники могут использовать Windows Performance Analyzer (WPA) и Windows File Explorer для получения доступа к хэшам NTLM v2. Используя обработчики URI и специфические параметры, злоумышленники могут обманом заставить эти приложения раскрыть конфиденциальную информацию.

Microsoft устранила уязвимость Outlook (CVE-2023-35636) с помощью патча, выпущенного 12 декабря 2023 года, отнеся его к категории "важных". Однако уязвимости, связанные с WPA и Windows File Explorer, были признаны Microsoft "умеренно серьезными".

➡️ Чтобы обезопасить свои системы и данные от атак NTLM v2, рассмотрите возможность применения следующих мер безопасности:

1. Подписание SMB: Включите функцию подписи SMB для защиты SMB-трафика от несанкционированного доступа и атак типа "человек посередине". Эта функция подписывает все SMB-сообщения цифровой подписью, что позволяет получателям обнаруживать и отклонять любые поддельные сообщения.

2. Блокировка исходящего NTLM v2: Начиная с Windows 11 (сборка 25951), можно блокировать исходящую аутентификацию NTLM, добавляя дополнительный уровень безопасности.

3. Принудительная аутентификация Kerberos: По возможности применяйте аутентификацию Kerberos и блокируйте NTLM v2 как на сетевом уровне, так и на уровне приложений. Это поможет предотвратить использование NTLM v2 там, где это не требуется.

Приняв эти меры предосторожности, вы сможете значительно снизить риск стать жертвой атак NTLM v2 и обеспечить безопасность своих систем и данных.

Читать полностью…

#itnews #infosec #hackers

Китайские хакеры незаметно использовали уязвимость нулевого дня VMware в течение 2 лет🏚

Передовая китайская группа кибершпионажа, ранее связанная с эксплуатацией недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года занимается использованием критической уязвимости в VMware vCenter Server в качестве уязвимости нулевого дня

В отчете Google упоминается:

У UNC3886 есть опыт использования уязвимостей нулевого дня для незаметного выполнения своих задач, и этот последний пример еще раз демонстрирует их возможности

Речь идет об уязвимости CVE-2023-34048 (CVSS score: 9.8), которая представляет собой запись за пределы границ и может быть использована злоумышленником, имеющим сетевой доступ к vCenter Server. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года

Читать полностью…

#osint #tools #pentest

Лучшие инструменты для проведения OSINT👁

OSINT - разведка по открытым источникам. Один из важнейших этапов, так как позволяет собрать информацию об инфраструктуре заказчика, а также узнать на каких технологиях строиться его сеть

В статье будет рассмотрено несколько утилит для разведки. Будут указаны как достоинства, так и их недостатки

OSINT-tools

Читать полностью…

#pentest #redteam #tools

❄️Nuclei - многофункциональный сканер для получения информации о службах, используемых на хосте, а также для нахождения уязвимостей, в том числе и с идентификатором CVE. Сканер написан на GO, что делает его очень быстрым в работе. Имеет широкий функционал и большую поддержку сообщества в разработке кастомных templates для проведения сканирования. Также есть в репозитории Kali Linux

GitHub

Читать полностью…

#pentest

AI Exploits 👍

Репозиторий ai-exploits представляет собой коллекцию эксплойтов и шаблонов сканирования для реализаций, затрагивающих инструменты машинного обучения.

В наборе имеются средства для трёх типов утилит: модули Metasploit, шаблоны Nuclei и шаблоны CSRF. Модули Metasploit предназначены для специалистов по безопасности, желающих эксплуатировать уязвимости, а шаблоны Nuclei - для сканирования большого количества удаленных серверов на предмет наличия уязвимости.

Читать полностью…

#itnews #infosec #фишинг

Telegram-маркеты способствуют фишинговым атакам с помощью простых в использовании наборов и вредоносного ПО✈️

Исследователи в области кибербезопасности обращают внимание на "демократизацию" экосистемы фишинга благодаря появлению Telegram в качестве эпицентра киберпреступности, позволяющего участникам угроз организовать массовую атаку всего за 230 долларов

Это приложение для обмена сообщениями превратилось в оживленный центр, где опытные киберпреступники и новички обмениваются незаконными инструментами и знаниями, создавая темную и хорошо отлаженную цепочку поставок инструментов и данных жертв

отмечают в новом отчете исследователи Guardio Labs Олег Зайцев и Нати Таль

Это не первый случай, когда популярная платформа обмена сообщениями попадает в поле зрения за содействие вредоносной деятельности, которая отчасти обусловлена ее мягкой модерацией

В результате то, что раньше было доступно только на форумах для приглашенных в темной паутине, теперь стало легкодоступным через публичные каналы и группы, тем самым открывая двери киберпреступности для начинающих и неопытных киберпреступников

Читать полностью…

#криптография

SSL, сертификат, цифровая подпись - всё это элементы большой и сложной системы под названием PKI 🔑

➡️PKI (public key infrastructure) - это инфраструктура открытых ключей

PKI - это инфраструктура, которая стала неотъемлемой частью нашей повседневной жизни - и подавляющее большинство из нас даже не знают, что это такое!

В предложенной статье рассмотрены базовые определения описанного выше термина, в простой и доступной форме с житейскими примерами расписана их роль не только в жизни юридического лица, но и обыкновенного пользователя

Приятного прочтения📌

Читать полностью…

#itnews #infosec #windows

Исследователи раскрыли, как уязвимость Outlook могла привести к утечке паролей NTLM🔑

Исправленный дефект безопасности в Microsoft Outlook может быть использован угрожающими лицами для получения доступа к хешированным паролям NT LAN Manager (NTLM) v2 при открытии специально созданного файла.

Проблема, отслеживаемая как CVE-2023-35636 (CVSS score: 6.5), была устранена технологическим гигантом в рамках обновления Patch Tuesday за декабрь 2023 года

В сценарии атаки по электронной почте злоумышленник может использовать уязвимость, отправив пользователю специально созданный файл и убедив его открыть этот файл, - говорится в сообщении Microsoft, выпущенном в прошлом месяце

При веб-атаке злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает контент, предоставленный пользователем), содержащий специально созданный файл, предназначенный для использования уязвимости

Читать полностью…

#itnews #infosec #malware

Вредоносная программа AllaKore RAT нацелена на мексиканские фирмы и использует уловки финансового мошенничества💸

Мексиканские финансовые учреждения попали в поле зрения новой фишинговой кампании, в рамках которой распространяется модифицированная версия трояна удаленного доступа с открытым исходным кодом под названием AllaKore RAT

Команда BlackBerry Research and Intelligence Team приписывает эту активность неизвестному финансово мотивированному субъекту угроз, базирующемуся в Латинской Америке. Кампания активна как минимум с 2021 года

Приманки используют схемы именования Мексиканского института социального обеспечения (IMSS) и ссылки на легитимные, доброкачественные документы в процессе установки

Полезная нагрузка AllaKore RAT сильно модифицирована, чтобы позволить субъектам угроз отправлять украденные банковские реквизиты и уникальную информацию об аутентификации на командно-контрольный (C2) сервер для целей финансового мошенничества

Читать полностью…

Продолжая курс на отечественные решения, предлагаем обсудить российскую виртуализацию 👋

Облачная платформа SpaceVM – инструмент серверной виртуализации.

Space VDI — решение для организации виртуальных рабочих столов.

В свою очередь, продукт позиционируется как аналог VMware и Microsoft Hyper-V, включая в себя ключевые особенности зарубежных решений.

Обзор установки и технических возможностей системы виртуализации рассмотрен в следующей статье.

С какими продуктами отечественной разработки Вам удалось поработать? Своими мыслями по этому вопросу можно поделиться в чате канала или комментариях к этому посту.

Приятного прочтения📌

Читать полностью…

#cve #exploit #poc

Jenkins RCE Arbitrary File Read CVE-2024-23897🖥

Критическая уязвимость в Jenkins, позволяющая выполнить RCE через ошибку в модулю модуль args4j

PoC

Читать полностью…

#pentest #redteam #pivoting

Свет в конце туннеля: техники pivoting-а и туннелирования👁

Pivoting - техника необходимая для получения доступа в недоступный сегмент сети или для обхода NAT или firewall-а

Данный ресурс содержит подробное руководство по использованию различных утилит (Empire, Metasploit, ProxyChains), а также эксплуатацию штатными средствами Windows netsh

Руководство по pivoting-у

Читать полностью…

#веб #багбаунти

Не так давно лаборатория кибербезопасности AP Security делилась с читателями полученными результатами на Bug Bounty.

В приложении может быть много переменных, таких как «id», «pid», «uid». Хотя эти значения часто рассматриваются как параметры HTTP, их можно также найти в заголовках и файлах cookie. Исследователь может получить доступ, отредактировать или удалить любые объекты других пользователей, изменив значения вышеперечисленных параметров. Эта уязвимость называется IDOR.

Для автоматизации тестов на IDOR существует плагин AuthMatrix, фиксирующий cookie пользователей и необходимые заголовки, идентифицирующие объект ( например Authorization).

Как пользоваться данным плагином и искать точки входа, неплохо описано в следующем видео. Всё это можно подкрепить репортом нашего сотрудника в рамках крупной площадки.

Приятного просмотра📌

Читать полностью…

#byapsecurity #web #pentest

Используем SSTI для обхода песочницы🏃

Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей

Приятного прочтения📌

Хабр

Читать полностью…

#osint #pentest #redteam

Shodan Command Line: Ищем информацию, не выходя из CMD👩‍💻

Shodan - очень известный хакерский поисковик, который позволяет проводить разведку и доставать информацию как о конкретным хостах, так и о доменах. Не только базовую информацию, но и возможные уязвимости

Данная статья содержит гайд по полному использованию Shodan прямо из командной строки

Shodan Command Line 🌐

Читать полностью…

#soc #фишинг #apt

Как защищаться от APT-группировок🛡

Каждый сотрудник любой компании, будь он техническим специалистом или просто HR-ом, важно быть осведомленным о том, какими способами хакерские группировки проникают в вашу инфраструктуру

Данная статья не содержит подробных технических разъяснений и разборов, а рассказывает о базовых моментах предотвращения целевых атак. Для начинающих свое знакомство с миром ИБ будет очень полезно, а для опытных специалистов повторение - мать учения☯️

Статья Лаборатории Касперского

Читать полностью…

#pentest #redteam #фишинг

Крадем NTLM-креды👁

Статья содержит подробное руководство о способах закладки вредоносной нагрузки и атаках для кражи NTLM-хеша: вложение в xml,docx,pdf, а также LFI, XXE и различные инъекции

HackTricks

Читать полностью…