Fsecurity | HH
Спустя два месяца затишья сделал ролик про Adaptix C2 👾 Поддержите видео лайком и комментарием, если оно будет вам полезно! Приятного просмотра: https://youtu.be/nbZxp55qs98
Кому несложно напишите комментарий для продвижения ролика 👾
www.opennet.ru
Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
Во FreeBSD устранена уязвимость (CVE-2026-4747), позволяющая через отправку сетевых пакетов к NFS-серверу добиться выполнения кода на уровне ядра. Проблема проявляется при использовании модуля kgssapi.ko, реализующего API RPCSEC_GSS на стороне ядра. Помимо…
🔗Ссылка:
https://www.opennet.ru/65118/
https://www.opennet.ru/65118/
Forwarded from Threat Hunting Father 🦔
Free educational content on reverse engineering and malware analysis from the FLARE team
https://github.com/mandiant/flare-learning-hub
https://github.com/mandiant/flare-learning-hub
GitHub
GitHub - mandiant/flare-learning-hub: Free educational content on reverse engineering and malware analysis from the FLARE team
Free educational content on reverse engineering and malware analysis from the FLARE team - mandiant/flare-learning-hub
www.opennet.ru
Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios
Сопровождающий NPM-пакет axios, для которого на днях были выпущены вредоносные обновления, раскрыл подробности атаки, в результате которой атакующим удалось получить доступ к его компьютеру и всем учётных данным. Атака была проведена с использованием типового…
🔗Ссылка:
https://www.opennet.ru/65134/
https://www.opennet.ru/65134/
www.opennet.ru
Уязвимость в автопилоте PX4, позволяющая выполнить код без аутентификации
В PX4, открытом стеке с реализацией автопилота для дронов и автономных транспортных средств, выявлена уязвимость (CVE-2026-1579), позволяющая выполнить на устройстве произвольные shell-команды без криптографической аутентификации при наличии доступа к интерфейсу…
🔗Ссылка:
https://www.opennet.ru/65129/
https://www.opennet.ru/65129/
www.opennet.ru
Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика
В неофициальном Telegram-клиенте Nekogram выявлен обфусцированный код, скрыто отправляющий боту "@nekonotificationbot" номера телефонов пользователей, вошедших в приложение, в привязке к идентификатору пользователя. Изменение для сбора номеров телефонов присутствует…
🔗Ссылка:
https://www.opennet.ru/65130/
https://www.opennet.ru/65130/
Forwarded from Threat Hunting Father 🦔
vSphere and BRICKSTORM Malware: A Defender's Guide
Все пишут что APT атакуют виртуализацию💀 и это слабое, слепое место без мониторинга и EDR…
Mandiant выпустили тулзу для хардеринга vCenter,
Наверное вы уже читали исследования о BRICKSTORM, где dwell time APT групп составил в среднем 393 дня😱 вы себе представляете эту цифру, что в вашей сети 393 дня сидит APT группа и выкачивает данные?
Сама цепочка:
Почитать и захардерить:
🔗 https://cloud.google.com/blog/topics/threat-intelligence/vsphere-brickstorm-defender-guide
🔨 https://github.com/mandiant/vcsa-hardening-tool
🦔 THF
Все пишут что APT атакуют виртуализацию
Mandiant выпустили тулзу для хардеринга vCenter,
Наверное вы уже читали исследования о BRICKSTORM, где dwell time APT групп составил в среднем 393 дня
Сама цепочка:
UNC5221 / threat actor → exploit / access → compromised edge appliance → lateral move → valid credentials → SSH login → target: vCenter Server & ESXi Hypervisor → config change → enable SSH service → deploy BRICKSTEAM (Java Servlet Filter), SLAYSTYLE (JSP webshell) и BRICKSTORM backdoor (Go-based SOCKS proxy) → install persistence черезinit.d/rc.local/ system startup → clone sensitive VMs (DCs / vaults) → mount & extract data (ntds.dit/ secrets) → exfiltrate via SOCKS.
Почитать и захардерить:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
OffSec
Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties | OffSec
TJ shows us how adversaries use macro weaponization techniques to abuse hidden functionalities contained in Office document properties.
Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties🛡️📄
⚠️ Информация 2022 года, однако остаётся полезной
🔗 Ссылка:
https://www.offsec.com/blog/macro-weaponization/
Несколько месяцев назад Microsoft выпустила статью, в которой сообщалось, что в приложениях Microsoft Office, использующих макросы, будут внедрены изменения. 🔄
Это изменение поведения затрагивает Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013. Учитывая эти меры защиты, которые внедряет Microsoft, я хотел поделиться техникой, которую я использую уже давно и которая работает до сих пор. ⏳ Хотя не стоит ожидать, что эта уязвимость останется навсегда, так как в какой-то момент Microsoft, вероятно, закроет этот обход. Прежде чем я расскажу детали о том, как работает эта техника, нам нужно понять, как она была выявлена и как мы смогли ее использовать. 🔍
Этот Proof of Concept был протестирован с использованием последней версии Windows 11 и Microsoft Office 2021. 💻
⚠️ Информация 2022 года, однако остаётся полезной
🔗 Ссылка:
https://www.offsec.com/blog/macro-weaponization/