#infosec

Иранские хакеры нацелены на официальных лиц США, чтобы повлиять на выборы

Исследователи Microsoft заявили в пятницу, что хакеры, связанные с правительством Ирана, в июне пытались взломать учётную запись «высокопоставленного чиновника» в президентской кампании США, спустя несколько недель после взлома учётной записи чиновника на уровне округа.

Представительство Ирана при ООН в Нью-Йорке сообщило Reuters в заявлении, что его киберпотенциалы были “защитными и пропорциональными угрозам, с которыми он сталкивается”, и что у него не было планов совершать кибератаки.

В отчёте Microsoft говорится: «Группа, управляемая разведывательным подразделением Корпуса стражей исламской революции (КСИР), отправила электронное письмо с фишинговым содержимым высокопоставленному чиновнику, участвующему в президентской кампании», а «другая группа, предположительно связанная с КСИР, взломала учётную запись пользователя с минимальными правами доступа в правительстве на уровне округа».

Читать полностью…

#saturday

Касперский: КГБ, США, Антивирус и спасение миллиардов людей и мировых компаний

Короткое мотивационное видео об одном из известнейших продуктов индустрии. Освещены как вопросы старта, так и трудностей в периоды санкций.

Приятного просмотра

Читать полностью…

#infosec

Kaspersky закроет британский офис и доверит местный бизнес партнерам

«Лаборатория Касперского» начинает сворачивать деятельность лондонского офиса и уволит всех сотрудников, общим числом около 50. Ведение бизнеса в Великобритании решено поручить партнерам, имена которых пока не оглашены.

В минувшем июле «Лаборатория Касперского» объявила об уходе с рынка США. Решение было принято из-за ввода запрета на продажу продуктов бренда Kaspersky в этой стране. Осиротевшую клиентуру подхватил новый партнер российской ИБ-компании: в прошлом месяце американцы обнаружили, что установленный ими софт Kaspersky заменен антивирусом UltraAV.

На днях также стало известно, что Google Play заблокировал доступ гражданам США к приложениям Antivirus by Kaspersky, Kaspersky VPN и Kaspersky Endpoint Security. По признанию Google, ограничение связано с вступившими в силу санкциями.

Читать полностью…

#infosec

Roblox стала золотой жилой для хакеров - геймеры сами ставят под угрозу свои данные

Эксперты Imperva Threat Research отмечают, что хакеры активно нацеливаются на молодую аудиторию, используя ее доверчивость и стремление к быстрому успеху.

Такие действия стали для злоумышленников настоящей «золотой жилой». Геймеры устанавливают поддельные читы и дополнения, отключая при этом антивирусную защиту и оставляя свои устройства беззащитными.

Вредоносные программы распространяются через популярные платформы, такие как GitHub, Discord и YouTube, что делает их легко доступными для массовой аудитории.

Эксперты настоятельно советуют геймерам не использовать сторонние читы и дополнения, особенно если они требуют отключения защитных функций.

Читать полностью…

#pentest #tools

Argus — это универсальный инструмент для упрощения процесса сбора и анализа информации

Argus предлагает богатую коллекцию инструментов, разделенных на три основные области:

Инструменты для сети
Инструменты анализа веб-приложений
Инструменты анализа угроз

✍️ GitHub

Читать полностью…

#soc

Best Practices для Event Logging и Threat Detection

Читать полностью…

Открыта регистрация на визионерскую конференцию по кибербезопасности — SecurityTech 2024!

Главные темы этого года - прогнозы ландшафта угроз для ключевых отраслей экономики и тренды в обеспечении корпоративной безопасности.

Обсудим:
💟Безопасность энергетических объектов, финансовых организаций, ритейла и телеком-отрасли
💟Готовность бизнеса и государства к новым угрозам
💟Облачную безопасность
💟Инвестиции в ИБ
💟Требования регуляторов

В программе 2 дискуссионных сессии и практический блок от экспертов рынка⚡️

Встречаемся в Москве 24 октября в 10.00

Участие бесплатное, нужна регистрация

Регистрируемся тут

Читать полностью…

#pentest #exploit

Microsoft Office NTLMv2 Disclosure (CVE-2024-38200)

Эксплойт включает в себя использование 302 редиректа и злоупотребление неправильными конфигурациями GPO для перехвата хэшей NTLMv2 по SMB и HTTP.

В свою очередь, компания Microsoft предупредила об уязвимости, затрагивающей различные версии Office, которая может раскрыть хеши NTLM удаленному злоумышленнику.

Проблема получила идентификатор CVE-2024-38200 и описывается как уязвимость раскрытия информации, позволяющая неавторизованным лицам получить доступ к защищенным данным. Сообщается, что баг затрагивает несколько 32- и 64-битных версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise.

Хотя по оценке Microsoft эксплуатация CVE-2024-38200 считается маловероятной, MITRE оценивает проблему иначе и предупреждает, что вероятность эксплуатации уязвимостей такого типа обычно высока.

Читать полностью…

#soc

Интерактивная и user-friendly матрица MITRE ATT&CK на русском языке

Любой специалист по информационной безопасности чётко ответит на вопрос: что такое матрица MITRE ATT&CK.

В статье показан её русскоязычный аналог, подробно описывается принцип работы с ней и указываются пути развития отечественного аналога.

Если не встречались раньше с этой статьёй, рекомендуем внимательно ознакомиться.

Приятного прочтения

Читать полностью…

#forensics

PowerShell Command History Forensics

Цель этой статьи - изучить различные артефакты, генерируемые PowerShell, и в случаях, когда они отсутствуют или изменены, выяснить, каковы могут быть последствия.

Приятного прочтения

Читать полностью…

#pentest

Kali Linux Penetration Testing Cheat Sheet

Это всеобъемлющее руководство содержит краткие ссылки, команды и техники для различных аспектов тестирования на проникновение.

Читать полностью…

Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!

Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.

Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.

До встречи в 2025 году 👋

Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.

📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity

Читать полностью…

#infosec

Сбербанк прогнозирует рост средств, украденных мошенниками у россиян

Объем хищений средств мошенниками по итогам 2024 года может достигнуть 300 миллиардов рублей, что на 20% больше, чем годом ранее, заявил зампред правления Сбербанка Станислав Кузнецов в интервью РИА Новости на полях ВЭФ.

Однако если бизнес и государство будут действовать максимально скоординировано и активно, то тренд на увеличение хищений может измениться, уверены в Сбербанке.

Читать полностью…

#infosec

Госорганам рекомендовали закрыть доступ к сайтам для зарубежных ботов

ФСТЭК считает, что зарубежные поисковые боты могут собирать информацию об уязвимостях сайтов госорганов и использовать для обучения нейросетей.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России, подведомственна Минобороны) рекомендовала госорганам закрыть доступ к своим сайтам для зарубежных поисковых ботов, пишет «Коммерсантъ» со ссылкой на письмо ФСТЭК от 20 августа, разосланное в федеральные органы исполнительной власти.

Служба считает, что зарубежные поисковые роботы «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать в зарубежных моделях машинного обучения». В этой связи там рекомендовали ограничить доступ для ботов, в том числе GPTBot компании OpenAI, к файлам robots.txt веб-сайтов и серверов.

Читать полностью…

#infosec

Глобальное исследование «Лаборатории Касперского»: 41% компаний испытывают нехватку специалистов в области информационной безопасности

С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%). Заметный дефицит также отмечается в телекоммуникациях и медиа (39%), ретейле и здравоохранении (по 37%). Меньше всего незакрытых вакансий в странах, где проводилось исследование, в ИТ (31%) и финансах (27%).

«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей», — сказал Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского».

Читать полностью…

#soc

Самые опасные уязвимости сентября: под угрозой Microsoft, VMware, Veeam и другие

В сентябре специалисты PT выделили семь трендовых уязвимостей. Их уже можно применять в процессах Threat hunting и Vulnerability management.

Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Приятного прочтения

Читать полностью…

#infosec

Смартфон Pixel 9 тайно передает данные пользователей на серверы Google

Исследователи Cybernews проанализировали веб-трафик нового смартфона Pixel 9 Pro XL, сосредоточив внимание на том, что новый смартфон отправляет в Google.

“Каждые 15 минут Google Pixel 9 Pro XL отправляет пакет данных в Google. Устройство сообщает местоположение, адрес электронной почты, номер телефона, состояние сети и другую телеметрию. Что еще более тревожно, телефон периодически пытается загрузить и запустить новый код, что потенциально создает риски для безопасности ”, - сказал Арас Назаровас, исследователь безопасности Cybernews.

Cybernews связалась с Google по поводу этих выводов. Компания объясняет, что передача данных необходима для законных сервисов на всех мобильных устройствах, независимо от производителя.

- В фоновом режиме неоднократно отправлялась личная информация, включая адрес электронной почты пользователя, номер телефона, местоположение, список приложений и другую телеметрию и статистику.

- Телефон постоянно запрашивает новые «эксперименты и конфигурации», пытается получить доступ к промежуточной среде и подключается к конечным точкам управления устройствами и применения политик, что указывает на возможности удалённого управления Google.

- Устройство Pixel было подключено к сервисам, которые не использовались и на использование которых не было дано явного согласия, например, к конечным точкам Face Grouping, что вызывает опасения по поводу конфиденциальности и права собственности.

- Приложение «Калькулятор» в некоторых случаях передаёт историю вычислений неавторизованным пользователям с физическим доступом.

Читать полностью…

PT Appsec Table-top - Методология безопасной разработки

Методология БР — это свод мер, принципов и подходов для обеспечения безопасности приложений на всех этапах их жизненного цикла.

Она отвечает на разные вопросы: не только «Что?», но и «Как?», «Когда?», «Зачем?» и «За что?».

Читать полностью…

#soc

Picosnitch - мониторинг сетевой активности программы в Linux

Если необходимо отследить сетевую активность конкретного приложения Linux, то можно воспользоваться утилитой picosnitch .

Через веб-интерфейс имеется возможность отледить информацию по конкретному приложению, IP адресу, домену, порту.

Читать полностью…

Формы восстановления пароля❓☄️

Казалось бы, что может быть необычного в таком привычном функционале, как восстановление пароля?

Но за обычной кнопкой на фронте скрывается порой то , что может удивить.

О таких багах, связанных с логикой сброса пароля, которые были найдены при реальных пентестах, и пойдет речь в данном посте 🔽

‼️ В данном кейсе при нажатии на кнопку отправлялся следующий запрос

{"email":"user@test.com","url":"http://domain.com/password-reset"}'

И на указанный емэил приходит письмо с предложением пользователю сменить пароль (пример этого письма на фото к посту).
Думаю, всем сразу же стало очевидно, что в запросе уязвимый параметр url, изменив который, мы сможем заставить пользователя перейти на контролируемый злоумышленником домен. Таким образом, пользователю пришло бы тоже самое письмо на почту, с той же самой кнопкой "Восстановить пароль", но нажав на нее, он перешел бы на контролируемый злоумышленником домен, куда мог бы ввести свой старый пароль.

‼️ Данный баг чем-то похож на предыдущий, но импакт от него посущественнее. Что ж опять перехватываем запрос после нажатия "Reset Password" и видим следующее

{"message":"To reset your password click https://domain.com/reset-password?hash=hash", "subject":"Password Recovery", "to_recipients":"user@test.com"}

И сразу же бросается в глаза, что не просто ссылка для восстановления пароля контролируется пользователем, а все параметры письма. Не долго думая, пробуем изменить параметры запроса.. И неужели...
Мы получили возможность от легитимной почты заказчика отправлять письма любого содержания кому-угодно. Импакт можно себе представить.. Наверное, нет лучшей находки для начала фишинговой рассылки.

‼️ Последний баг, про который хотелось бы рассказать, имеет самый огромный импакт, а именно полный Account Takeover через функционал восстановления пароля. Главным спонсором этого бага был всем известный HackTricks . Идея была очень простая... При отправке запроса на восстановления пароля

{"email":"user@test.com"}

можно было передать несколько емэйлов через массив, что выглядело следующим образом

{"email":["evil@test.com","user@test.com"]}

После чего на две почты приходило два одинаковы письма, с идентичными токенами для восстановления пароля. Таким образом, зная почту пользователя, можно было осуществить полноценный захват аккаунта.

Читать полностью…

#infosec

Microsoft Defender научился детектировать незащищённые сети Wi-Fi

Как известно, функциональность Defender VPN предусматривает защиту личных данных при подключении к общедоступным Wi-Fi-сетям, шифруя и перенаправляя трафик через серверы Microsoft.

Теперь корпорация пишет, что разработчики доработали Defender VPN и оснастили его возможностью автоматически детектировать и предупреждать пользователей о небезопасных сетях.

На данный момент нововведение доступно только в версиях Defender для Android, iOS и Windows. Аналогичные возможности должны скоро появиться и в macOS-версии.

Читать полностью…

#pentest #tools

Обновление NativeDump - BOF (Beacon Object Files)

Применимо для Cobalt Strike, TrustedSec's COFFLoader и Meterpreter's bofloader module.

Ознакомиться с утилитой можно по следующей ссылке

Читать полностью…

#infosec

NIST отменяет сложные пароли и обязательную смену паролей

Новые рекомендации фокусируются на создании длинных и уникальных паролей, что делает их более устойчивыми к взлому, при этом снижая стресс и неудобства для пользователей.

К 2027 году российский рынок безопасной разработки ПО может вырасти вдвое

Основными факторами, влияющими на развитие российского рынка безопасной разработки, являются развитие IT-отрасли в целом, уход иностранных вендоров, геополитическая обстановка, Указ президента РФ о переходе на отечественное ПО, увеличение числа кибератак на бизнес и государственный сектор.

30 рублей превращаются в 3000: новая мошенническая схема на маркетплейсах

Выбрав жертву, желающую приобрести товар или услугу, мошенники переводят разговор из внутреннего чата системы во внешний мессенджер – WhatsApp или Telegram, а затем предлагаются доплатить небольшую сумму (20-30 рублей) за оформление или ускоренную доставку.

Читать полностью…

#redteam

Уязвимости в C2-фреймворках с открытым исходным кодом

В этой статье представлен обзор C2, рассматриваются детали выявленных уязвимостей.

В конце приводятся некоторые заключительные соображения о текущем состоянии C2-ландшафта и о том, как могут выглядеть будущие разработки.

Приятного прочтения

Читать полностью…

7-8 октября в Москве пройдёт форум по информационной безопасности КИБЕРТЕХ. Организатор Минцифры, оператор ВИПФОРУМ. Повестка форума в 2024 году сфокусирована на решении ключевых задач в сфере ИБ, на укреплении безопасности промышленной инфраструктуры и достижении технологической независимости отраслей экономики Российской Федерации.

Участие для заказчиков бесплатное

Основные темы мероприятия:
🟣Информационная безопасность в экономике данных
🟣Технологическая независимость и информационная безопасность: две стороны устойчивости функционирования ИТ-инфраструктуры
🟣Обеспечение безопасности критически важной инфраструктуры
🟣Защита персональных данных

Площадка объединит более 1500 участников, не упустите шанс стать одним из них ⚠️

Дата и место: 7-8 октября, г. Москва, Кластер «Ломоносов»

Регистрация и подробная программа форума – на официальном сайте 🔗

Читать полностью…

🔐 Кибербез в одной папке

В продолжение выпусков bogatyreva_it">подкаста «Богатырёва о цифре» с Positive Technologies и BI.ZON собрала папку с Telegram-каналами о кибербезопасности.

Аналитика и полезные советы по защите от киберугроз, а также самые актуальные новости из мира ИБ. Если вы, как и я, заботитесь о сохранности своих данных и безопасности в Сети, эта подборка поможет вам 😉

Добавляйте к себе папку и делить с друзьями и коллегами

Читать полностью…

#pentest

LazyDork Tool

Генератор дорков в соответствии с заданным доменом и типом поиска.

Читать полностью…

#soc #pentest

Отчёт: 2024 State of the Phish

Представьте себе успешную кибератаку на Вашу организацию. На что это похоже?

Возможно, она включает в себя дьявольски умную социальную инженерию - убедительную замануху, которая застает получателя врасплох. А может быть, потребуется красивый эксплойт, чтобы обойти Вашу защиту. Но в действительности субъектам угроз не всегда приходится так уж стараться.

Зачастую самый простой способ взломать систему безопасности - это использовать человеческий фактор.

По данным исследования State of the Phish, проведенного в этом году, 71 % сотрудников признались, что совершали рискованные действия, такие как повторное использование или передача пароля, переход по ссылкам от неизвестных отправителей или предоставление учетных данных ненадежному источнику. При этом 96 % из них делали это, зная, что идут на риск.

Читать полностью…

#soc #realcase

Обход песочниц: состояние дел на 2024 год

Этот пост посвящен методам уклонения от песочницы.

Существует множество методов обхода песочницы, некоторые из них просты: запрашивают WMI.

Некоторые сложнее: анализируют таблицы SMBIOS, а большинство пытаются обнаружить артефакты песочницы.

Автор статьи решил проверить, по-прежнему ли эти методы эффективны для обнаружения песочниц, или с тех пор песочницы были обновлены для противодействия существующим методам.

Приятного прочтения 🎯

Читать полностью…

#realcase

CVE-2023-29360: госсекреты США на волоске от масштабной компрометации

Такие заголовки новостей появлялись не так давно, в начале марта нынешнего года.

Как раз с подробным исследовательским отчётом по данной уязвимости можно ознакомиться по следующей ссылке.

Сам же PoC можно найти на GitHub

Читать полностью…