3957
Лаборатория инновационных технологий и кибербезопасности. ( Laboratory of innovation technologies and cybersecurity ) Новости, события, мероприятия, технические обзоры По вопросам сотрудничества: @P1N_C0DE
#itnews #infosec
⚡️Шпионы Shedding Zmiy проникли в десятки российских организаций
По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности. Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram. Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику
⚠️Критическая уязвимость Fluent Bit актуальна для AWS, Azure, Google Cloud
В инструменте телеметрии Fluent Bit найдена уязвимость, грозящая крахом службы, сливом закрытых данных и даже RCE. Исправления уже готовы, затронутые облачные провайдеры (Google, Amazon, Microsoft) поставлены в известность. По состоянию на март, ее суммарно скачали более 13 млрд раз; такой агент активно используют облачные сервисы AWS, GCP и Azure. Критическая уязвимость CVE-2024-4323 (9,8 балла CVSS, по оценке авторов находки) была привнесена в Fluent Bit с выпуском сборки 2.0.7. Она связана с ошибкой переполнения буфера, которая может возникнуть при парсинге встроенным сервером HTTP запросов на трассировку
🔓Innostage запускает bug bounty в формате испытаний
На стартовавшем сегодня Positive Hack Days 2 компания Innostage объявила о готовящейся к запуску программе по поиску уязвимостей в формате открытых кибериспытаний. Баг-баунти будет работать на платформе Standoff Bug Bounty. Исследователям предлагается реализовать недопустимые события, которые с гарантией окажут влияние на деятельность организации, а также в целом прощупать киберустойчивость ИТ-инфраструктуры. Помочь организовать кибериспытания Innostage вызвались компании АО «Кибериспытания» и Positive Technologies
#cve #poc
🕷CVE-2024-21683: Confluence Data Center RCE
Эта уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на уязвимом сервере Confluence. Баг существует из-за некорректной проверки пользовательского ввода в Confluence REST API. Это позволяет злоумышленнику внедрить вредоносный код на сервер Confluence
Proof-Of-Concept
#itnews #infosec
😈EMB3D - новая система моделирования угроз для встраиваемых устройств
Новая система моделирования угроз EMB3D представлена корпорацией MITRE и предназначена для производителей встраиваемых устройств, используемых в критической информационной инфраструктуре. Модель включает в себя базу знаний о киберугрозах, что дает общее представление о них
Предполагается, что EMB3D, как и фреймворк ATT&CK, будет «живой моделью», дополняемой обновленными средствами защиты по мере появления новых уязвимостей и векторов атак. В EMB3D упор сделан на встраиваемые устройства, где главной целью является полная картина брешей в технологиях производителей
⚡️Вышел Solar Dozor 7.12 с новым уровнем контроля графической информации
Новая версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы
🔔Microsoft все еще не пропатчила уязвимости, выявленные на Pwn2Own 2024
Из семи уязвимостей повышения привилегий, выявленных в марте на Pwn2Own, Microsoft устранила только одну, да и то портом заплатки Google для Chrome. Остался месяц до публикации, и появились опасения, что дедлайн Windows встретит непропатченной. Участники проекта Zero Day Initiative (ZDI), ежегодно проводящие Pwn2Own, обычно дают вендорам 90 дней на выпуск патчей к уязвимостям. Показанные в Ванкувере 0-day уже устранили Oracle, Apple, Google, VMware, Mozilla. Все думали, что Microsoft последует их примеру, но разработчик популярной ОС исправил только Edge к апрельскому «вторнику патчей». Майский набор обновлений для Windows ожиданий не оправдал
#cve #exploit #poc
💉CVE-2024-27956: WordPress RCE
PoC для CVE-2024-27956, SQL Injection в плагине ValvePress Automatic. Данный PoC эксплуатирует уязвимость, создавая пользователя и предоставляя ему права администратора. Статус администратора в Wordpress может привести к удаленному выполнению кода
🐱GitHub
Команда компании AP Security от души поздравляет с Днём Победы в Великой Отечественной войне. Никто не забыт, ничто не забыто!
Читать полностью…
#redteam #pentest #bypassav
👁Обход AVs/EDRs с помощью SysCalls
Syscalls позволяют любой программе переходить в режим ядра для выполнения привилегированных операций, например, записи файла
Большинство антивирусов, EDR и песочниц используют пользовательские хуки, что означает, что они могут отслеживать и перехватывать любой пользовательский вызов API. Однако если мы выполним системный вызов и перейдем в режим ядра, они не смогут ничего отследить
В статье вы узнаете как работают AVs/EDRs, и как с помощью SysCalls выполнить их обход для выполнения вредоносного кода
⌨️SysCalls
#windows #exploit #privesc
Silver Potato 🥔
Новый эксплойт из семейства "картофельных", предназначенных для повышения привилегий через SeImpersonate
Silver Potato
#forensics #soc
🐺Обзор атаки хакеров Sticky Werewolf
F.A.C.C.T подготовила отчет о действиях проукраинской хакерской группировки Sticky Werewolf, действия которой были направлены против государственных учреждений России, Беларуси и Польши
Общая цепочка атаки выглядит следующим образом: после загрузки и запуска исполняемого файла происходит запуск архива, содержащего обфусцированный BAT-скрипт с именем Grave и 10 файлов. Данный скрипт собирает из них легитимный AutoIt интерпретатор и AutoIt скрипт, а затем запускает собранный скрипт при помощи собранного интерпретатора. Затем в процесс Recognition.pif внедряется полезная нагрузка – Rhadamanthys Stealer (основной модуль), отвечающая за разворачивание в памяти различных модулей Rhadamanthys, а также внедрение своего кода в процесс dialer.exe, загрузку с C2-сервера модуля стилера и его запуск в памяти процесса dialer.exe
Хабр 🖥
Trust Wallet сообщила, что криптовалюта пользователей iOS находится под угрозой из-за уязвимости в iMessage. Компания отмечает, что злоумышленники могут использовать её без участия со стороны пользователя
Apple уже знает об уязвимости, но пока ещё не успела исправить её. Специалисты Trust Wallet рекомендуют на время отключить iMessage в настройках до тех пор, пока не выйдет обновление. Компания не сообщает подробности уязвимости
#cve #poc #exploit
Telegram Desktop Client-side RCE✈️
Наверное, многие уже успели увидеть нашумевшую демонстрацию RCE в Desktop-приложении Telegram. Уязвимость вызвана опечаткой в списке расширений исполняемых файлов, захардкоженном в коде Telegram Desktop. Так, вместо pyzw (файл типа Python Zip Application) в строке с запрещенными расширениями было pywz
В статье будут объяснены причины возникновения уязвимости, условия ее эксплуатации и способы защиты
Хабр🖥
#windows #pentest
Достаем учетные данные из системы Windows🔍
Необходимый и важный шаг для вертикального и горизонтального перемещений - получение хешей или учетных записей пользователей. Все знакомы с сохранением файлов реестра через reg save, дампом с помощью mimikatz, MirrorDump
💻Но это не единственные способы получения учетных данных. В системах Windows есть различные типы аутентификации:
- Interactive Logon
- NewCredentials Logon
- Network Logon
- Batch Logon
- Remote Interactive Logon
В статье будут рассмотрены эти типы аутентификации, места сохранения чувствительных данных и способы получения доступа к ним
Хабр 🖥
☄️ Участвуйте в конкурсе и выиграйте бесплатное обучение на курсе Kubernetes База от Слёрм
Разыгрываем 3 места на курс! Сможете пройти сами, подарить коллеге и даже младшему брату 😉
🔸 Узнаете основы, разберетесь с компонентами и абстракциями
🔸 Получите опыт настройки кластеров
🔸 Научитесь организовывать правильную разработку и деплой
🔸 Сможете запускать приложения в кластерах
Старт курса — 15 апреля
🚩 Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и оставьте комментарий "+" под этим постом. Комментарий обязательно оставлять в официальном аккаунте KazDevOps
🥳 12 апреля подведем итоги и выберем 3 победителей методом генерации случайных чисел. Каждый получит доступ к курсу.
Go-go-go, и успехов!
#kubernetes
@DevOpsKaz
#itnews #infosec
Telegram предлагает Премиум-подписку в обмен на использование Вашего номера для отправки OTP-сообщений✈️
В июне 2017 года исследование, в котором приняли участие более 3000 студентов Массачусетского технологического института (MIT), опубликованное Национальным бюро экономических исследований (NBER), показало, что 98% из них были готовы отдать адреса электронной почты своих друзей в обмен на бесплатную пиццу, что говорит о парадоксе конфиденциальности.
Теперь, почти семь лет спустя, Telegram представил новую функцию, которая предоставляет некоторым пользователям бесплатное премиум-членство в обмен на разрешение популярному приложению для обмена сообщениями использовать их телефонные номера в качестве ретранслятора для отправки одноразовых паролей (OTP) другим пользователям, которые пытаются войти на платформу.
Функция, называемая Peer-to-Peer Login (P2PL), в настоящее время тестируется в отдельных странах для пользователей Telegram на Android.
#pentest #activedirectory #redteam
Diamond And Saphire Tickets💎
Все наверняка слышали про техники закрепления под названием Golden и Silver Tickets, когда мы используем хеш учетной записи krbtgt для подделки билетов. Атаки типа Diamond и Saphire Tickets, имеют более сложный механизм, использующий S4U2Self и U2U
В статье будут представлены как теоретические аспекты работы атаки, так и ее применение на практике
Diamond Ticket
#reverse #soc
🤖Анализ ВПО DarkGate
DarkGate — вредоносное ПО, которое реализует функциональность загрузчика, стилера и RAT. Таким образом, оно представляет собой комплексный тулкит для кражи различной информации, удаленного управления зараженным хостом, майнинга криптовалюты
Ребята из BI.ZONE провели детальный анализ, чтобы показать все функции этого ВПО: от проверки на хосте наличия антивируса до общения с С2-сервером
🖥Хабр
#pentest #redteam #cheatsheet
✈️Pivoting CheatSheet by Offensive Security
Крайне подробная шпоргалка по техникам перенаправления трафика. Представлены способы проброса портов с помощью SSH, Metasploit, NetCat, Chisel, PivotSuite
Offensive Route
Ежегодная независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
#windows #redteam
💻AMSI Bypass
Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell
🖥GitHub
#pentest #tools
📶Havoc C2 Framework
Havoc - новичок среди C2-серверов, и появился относительно недавно в поле зрения пентестеров. Имеет широкий функционал генерации агентов, возможности туннелирования, постэксплуатации и встроенные техника обхода антивирусных средств
В статье будут рассмотрены базовая установка и настройка описанного выше C2.
https://redfoxsec.com/blog/havoc-c2-framework/
Делаем с ребятами из ИБ сообщества благотворительную активность.
Собираем средства на компенсацию билетов на PHDays перспективным студентам и школьникам. Бюджет формируется за счёт неравнодушных донатеров (напишите в личку, если хотите помочь).
Очень рад, что принимаю в этом участие в качестве организатора. Более подробная инфа по ссылке:
/channel/yrrp_official/6
Репост и участие приветствуется!
#itnews #infosec
📱Количество атак на Android в России увеличилось в 5 раз
Рост вредоносной активности, по мнению «Лаборатории Касперского», связан с расширением использования сторонних источников софта: многие ходовые приложения исчезли из Google Play. Наиболее часто на смартфонах детектировались модульный загрузчик Dwphon и банковский троян Mamont.
👮♀Россиян предупреждают о действиях мошенников перед майскими праздниками
По словам Виталия Фомина, руководителя группы аналитиков по информационной безопасности Лиги Цифровой Экономики, наиболее распространённой разновидностью мошенничества в предстоящие майские праздники станут фишинговые сайты, на которых злоумышленники будут предлагать доверчивым пользователям приобрести авиа- и железнодорожные билеты, а также арендовать жильё во время длительных выходных.
💻В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом
Такой результат показало исследование МТС RED совместно с hh.ru.
Самыми быстрорастущими ежегодно оказываются разные ИИ-навыки в зависимости от трендов. Так в 2021 году наибольший рост показали вакансии с упоминанием терминов "Искусственный интеллект" или AI. В 2022 быстрее всего росла востребованность специалистов с навыками по запросам к ИИ-системам, таких как промпт-инженеры, что связано с популярностью и развитием технологий на базе генеративного интеллекта. А в 2023 году резко возросла востребованность сотрудников, умеющих работать непосредственно с GPT-моделями и конкретно с сервисом ChatGPT, — количество вакансий с этим ИИ-навыком увеличилось в 6,6 раза по сравнению с 2022 годом. Чаще всего от специалистов по информационной безопасности требуют знания методов машинного обучения (ML) — примерно в 65% случаев на протяжении всего исследуемого периода с 2020 по 2023 год.
#activedirectory #windows
🖥Глубокое погружение в ACL
ACL (Access Control List) в Active Directory — это таблицы или простые списки, которые определяют, кто имеет доступ к объекту, а также тип доступа, который он имеет
В статье будет представлена полная и развернутая информация про наследование правил доступа, получение атрибутов для объекта в Active Directory и основные виды ACE
Хабр 🖥
#itnews #infosec
🔒Kaspersky подтвердила зрелый уровень кибербезопасности SystemeLogic Х
Специалисты Kaspersky ICS CERT проверили уровень кибербезопасности электронного блока управления SystemeLogic Х, разработанного российской компанией Systeme Electric
По итогам тестирований эксперты пришли к выводу, что SystemeLogic Х соответствует целевому уровню зрелости кибербезопасности. Другими словами, электронный блок от Systeme Electric способен обеспечить защищённость распределительной сети на протяжении всего срока службы оборудования
👺Мошенники пугают россиян видеозвонками, чтобы получить ключи от Госуслуг
Мошенническая схема получения займов на чужое имя через взлом аккаунтов «Госуслуг» усовершенствована. Чтобы выманить ключи доступа к личному кабинету гражданина, злоумышленники звонят в мессенджер по видеосвязи и представляются сотрудником полиции
Новую уловку обнаружили специалисты Сбербанка. По всей видимости, аудиовызовы стали терять свою эффективность, и мошенники решили, что видеосвязь сделает имитацию более убедительной. Поддержать иллюзию помогает демонстрация служебного удостоверения — разумеется, поддельного. Раскрыть пароль к «Госуслугам» и код подтверждения из СМС собеседника убеждают различными методами, в основном запугиванием
💻Волокна Windows позволяют выполнить вредоносный шеллкод незаметно для EDR
На проходящей в Сингапуре конференции Black Hat Asia были представлены два новых способа использования волокон Windows (fibers) для выполнения вредоносного кода. Один из них, Poison Fiber, допускает проведение атаки удаленно. Автором обоих PoC является независимый ИБ-исследователь Даниел Джэри (Daniel Jary). По его словам, атаки Poison Fiber и Phantom Thread представляют собой улучшенные варианты opensource-разработок: они позволяют надежнее скрыть сторонний шеллкод или другую полезную нагрузку в системе, находящейся под защитой EDR
С какими уязвимостями беспроводных сетей Вы сталкиваетесь на практике? Опытом или полезным материалом можно поделиться в комментариях к данному посту✔️
Читать полностью…
#itnews #infosec
📞МТС тестирует ИИ-механизмы, вычисляющие мошенников во время звонка
МТС, один из крупнейших операторов страны, планирует запустить услугу определения мошеннических звонков с помощью искусственного интеллекта. Задача — предупреждать абонента о возможном мошенничестве прямо во время звонка
Эту возможность оператор добавит к уже работающей услуге «Защитник». На сегодняшний день последняя неплохо справляется с фильтрацией подозрительных и нежелательных звонков
🖥F.A.C.C.T. обнаружили новую преступную группу вымогателей Muliaka
Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом
Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management)
😠Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета
10 апреля 2024 года Роскомнадзор запустил два новых сервиса для российского сегмента интернета. Первый сервис является аналогом Whois и позволяет получать информацию о доменах, используемых ими IP-адресах, почтовых и веб-серверах
Второй сервис — это Реестр адресно-номерных ресурсов (РАНР) российского сегмента интернета. Он предоставляет информацию (whois) об IP-адресах и автономных системах. РАНР использует собственные базы данных, а также данные от RIPE (организация, ответственная за распределение IP-адресов в Европе). Подсистема РАНР предназначена для ведения реестра адресно-номерных ресурсов российского сегмента сети Интернет и автоматизирует ведение, наполнение, распространение и предоставление заинтересованным сторонам данных базы РАНР
#poc #exploit #cve
👮♀CVE-2024-3273: Получение доступа к D-Link
Этот скрипт представляет собой мощный инструмент для эксплуатации уязвимости CVE-2024-3273, обнаруженной в определенных версиях NAS-устройств D-Link. Он позволяет выполнять команды и получать несанкционированный доступ к затронутым устройствам
🕷Уязвимые версии:
1. DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
2. DNS-325 Version 1.01
3. DNS-327L Version 1.09, Version 1.00.0409.2013
4. DNS-340L Version 1.08
GitHub Эксплойта 🖥
#itnews #infosec #новостиИБ
Самые горячие новости ИБ за неделю
⭐PT Sandbox добавили в реестр российских программ
Песочница PT Sandbox первой среди других продуктов этого класса была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется современные вредоносные программы. ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают
🔎У платформы Pandabuy утекли данные 1,3 млн пользователей
PandaBuy — это торговая площадка, позволяющая пользователям из разных стран мира приобретать товары из Китая, например, с Tmall, Taobao и JD.com. Данные о пользователях PandaBuy были опубликованы на хак-форуме BreachForums и теперь доступны любому зарегистрированному пользователю в обмен на символическую плату в криптовалюте.
В качестве доказательства подлинности информации для незарегистрированных пользователей Sanggiero опубликовал небольшую выборку, содержащую адреса электронной почты, имена покупателей, номера и детали заказов, адреса доставки, даты и время транзакций, а также идентификаторы платежей
📩Вымогатели WereWolves выставляют претензии и зовут на военные сборы
Эксперты F.A.C.C.T. зафиксировали новый всплеск атак вымогателей Werewolves на российские организации. Активно рассылаемые вредоносные письма используют темы весеннего призыва и досудебных претензий. Атакам по имейл подвергаются производственные, энергетические, геологоразведочные компании. Анализ показал, что вложения в форматах .doc и .xls содержат загрузчик маячка Cobalt Strike, облегчающего проникновение в корпоративные сети
#pentest #redteam #beginners
Изучаем техники получения доступа к внутренней инфраструктуре и ее дальнейшей компрометации🌐
Цикл статей, который расскажет про все этапы так называемого kill-chain: от получения первичного доступа, до получения конечной цели (утечка данных и получение доступа)
Статья представит в подробности различные техники для каждого этапа и затронет кейсы, связанные с разными семействами ОС
Adversarial Tactics
#cve #exploit #poc
CVE-2024-20767: Adobe ColdFusion⌨️
CVE-2024-20767 — это уязвимость в Adobe ColdFusion 2021 и ColdFusion 2023, которая связана с контролем доступа
Exploit