Forwarded from s0ld13r ch. (s0ld13r)
Новая годнота по MalDev для мобилок 🔥
@maldevcc релизнул новую книгу по Malware Development for Mobile Devices - AIYA MMD, преследуя благородную цель помощи людям, за что отдельный респект❤️
Задонатить можно по этим реквизитам:
BTC: 1MMDN38mheQn9h2Xa2H6hqMSfFYKW4nQUE
ETH: 0xf6ed40f61b603a4b2ac7c077034053df4f718f37
PayPal: https://www.paypal.com/paypalme/cocomelonc/16
🔗 Книга: https://t.me/maldevcc/69
🧢 s0ld13r
Mobile malware - it's a constantly evolving battlefield. What you learned here is just the beginning. Tools change, defenses adapt, but the mindset stays the same: think like the adversary to build stronger defenses.
@maldevcc релизнул новую книгу по Malware Development for Mobile Devices - AIYA MMD, преследуя благородную цель помощи людям, за что отдельный респект
Задонатить можно по этим реквизитам:
BTC: 1MMDN38mheQn9h2Xa2H6hqMSfFYKW4nQUE
ETH: 0xf6ed40f61b603a4b2ac7c077034053df4f718f37
PayPal: https://www.paypal.com/paypalme/cocomelonc/16
🔗 Книга: https://t.me/maldevcc/69
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
IXON VPN client Local Privilege Escalation
This post will describe three new vulnerabilities CVE-2025-ZZZ-01, CVE-2025-ZZZ-02 and CVE-2025-ZZZ-03 which were found in the IXON VPN client. These vulnerabilities results in Local Privilege Escalation on Windows and Linux.
This post will describe three new vulnerabilities CVE-2025-ZZZ-01, CVE-2025-ZZZ-02 and CVE-2025-ZZZ-03 which were found in the IXON VPN client. These vulnerabilities results in Local Privilege Escalation on Windows and Linux.
Forwarded from Похек
AWS Pentesting: S3 Bucket Recon
#S3 #Bucket #recon #разведка #AWS
TLDR: у автора статьи своя лаба по практике пентеста AWS S3, а сама статья райтап по её похеку
AWS S3 is one of the most popular storage solutions, but it's also a common misconfiguration target that can lead to critical data exposure. As a cloud penetration tester, understanding how to conduct recon for S3 buckets is crucial in assessing the external security posture of an organization's AWS environment. In this walkthrough, we'll cover the methods to check for exposed S3 buckets and analyze the access level for different scenarios: when a bucket is publicly exposed, when you have AWS keys, and how to validate access permissions.
In this walkthrough, we will use a combination of S3 buckets from flaws.cloud, Dafthack's glitchcloud bucket, and my own s3 bucket.
http://flaws.cloud/
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч
#S3 #Bucket #recon #разведка #AWS
TLDR: у автора статьи своя лаба по практике пентеста AWS S3, а сама статья райтап по её похеку
AWS S3 is one of the most popular storage solutions, but it's also a common misconfiguration target that can lead to critical data exposure. As a cloud penetration tester, understanding how to conduct recon for S3 buckets is crucial in assessing the external security posture of an organization's AWS environment. In this walkthrough, we'll cover the methods to check for exposed S3 buckets and analyze the access level for different scenarios: when a bucket is publicly exposed, when you have AWS keys, and how to validate access permissions.
In this walkthrough, we will use a combination of S3 buckets from flaws.cloud, Dafthack's glitchcloud bucket, and my own s3 bucket.
http://flaws.cloud/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
DBatLoader (aka ModiLoader) атакует пользователей в Турции через фишинг
Infostealer / LOLBIN abuse / Telegram C2
В мае 2025 AhnLab ASEC зафиксировал атаку с использованием DBatLoader, распространяемого через фишинговые письма от имени турецких банков. Злоумышленники используют цепочку BAT- и PIF-файлов, маскирующихся под системные утилиты, для установки инфостилера SnakeKeylogger, написанного на .NET.
Этапы атаки:
1. Инициация через e-mail
ZIP-вложение содержит
2. Уклонение от детектирования
DLL sideloading: запускается
Process injection: SnakeKeylogger внедряется в процесс
LOLBIN abuse:
Скрипт
Используются дополнительные вспомогательные скрипты (`5696.cmd`,
3. Сбор и передача данных
SnakeKeylogger крадёт нажатия клавиш, буфер обмена и системную информацию.
Все данные отправляются через Telegram Bot API (`api.telegram.org/bot.../sendDocument`) с заранее заданным токеном и chat\_id.
Детек:
Мониторинг запуска
Охота по нестандартным
Контроль Telegram API-трафика и телеметрии процессов .NET.
🔗 https://asec.ahnlab.com/ko/87980/
🦔 THF
Infostealer / LOLBIN abuse / Telegram C2
В мае 2025 AhnLab ASEC зафиксировал атаку с использованием DBatLoader, распространяемого через фишинговые письма от имени турецких банков. Злоумышленники используют цепочку BAT- и PIF-файлов, маскирующихся под системные утилиты, для установки инфостилера SnakeKeylogger, написанного на .NET.
Этапы атаки:
1. Инициация через e-mail
ZIP-вложение содержит
.bat`-файл, который извлекает и запускает `x.exe — загрузчик DBatLoader, закодированный в Base64.2. Уклонение от детектирования
DLL sideloading: запускается
easinvoker.exe, подгружающий вредоносный netutils.dll.Process injection: SnakeKeylogger внедряется в процесс
wxiygomE.pif (на деле это loader.exe от Mercury Mail).LOLBIN abuse:
esentutl.exe копирует cmd.exe как alpha.pifextrac32.exe копирует powershell.exe как xkn.pifСкрипт
neo.cmd добавляет путь в Defender исключения через PowerShellИспользуются дополнительные вспомогательные скрипты (`5696.cmd`,
8641.cmd, `neo.cmd`) с обфускацией и отложенным удалением артефактов.3. Сбор и передача данных
SnakeKeylogger крадёт нажатия клавиш, буфер обмена и системную информацию.
Все данные отправляются через Telegram Bot API (`api.telegram.org/bot.../sendDocument`) с заранее заданным токеном и chat\_id.
Детек:
Мониторинг запуска
esentutl.exe, extrac32.exe, cmd.exe, powershell.exe в пользовательских путях.Охота по нестандартным
.pif, .cmd, .bat артефактам.Контроль Telegram API-трафика и телеметрии процессов .NET.
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
KPMG
Zig Strike: The ultimate toolkit for payload creation and evasion
Offensive toolkit leveraging techniques to bypass AV, NGAV, and XDR/EDR defenses.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Вот такой крутой ресерч сегодня подъехал. От учетных записей dMSA до администратора домена. А с учетом того, что dMSA можно создать самому (при определенных, но часто встречающихся условиях), это прям крутой Low Fruit. Особенно с учетом того, что Майкрософт пока не собирается это исправлять.
https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory
Но! Стоит также отметить, что dMSA появились только на Windows Server 2025))
#pentest #redteam #ad #privesc
https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory
Но! Стоит также отметить, что dMSA появились только на Windows Server 2025))
#pentest #redteam #ad #privesc
Akamai
BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory
Akamai researchers found a privilege escalation vulnerability in Windows Server 2025 that allows attackers to compromise any user in Active Directory.