Social Engineering
83.3K subscribers
213 photos
12 videos
10 files
1.56K links
Делаем уникальные знания доступными.

Администратор - @SEAdm1n

Вакансии - @infosec_work

Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot

Сотрудничество — @SEAdm1n, @earlsky
Download Telegram
Forwarded from SecAtor
Исследователи из Symantec сообщают подробности о деятельности киберпреступной группы, которую они отслеживают как Bluebottle, выявляя значительное сходство с TTP банды OPERA1ER.

Как выяснили ресерчеры, хакеры Bluebottle использовали подписанный драйвер Windows для атак на банки во франкоязычных странах. При этом действия и цели соответствуют профилю OPERA1ER, которым было приписано не менее 35 успешных атак в период с 2018 по 2020 год.

Еще в начале ноября 2022 года Group-IB представила обширный отчет по результатам анализа задокументированных кампании OPERA1ER, в котором исследователи отметили отсутствие специализированных вредоносных ПО и широкое использование доступных инструментов.

Считается, что группа включает франкоговорящих членов и действует с территории Африки, нацеливаясь на организации в регионе, нанося также удары по компаниям в Аргентине, Парагвае и Бангладеш.

Результаты работы Symantec позволили пролить свет на некоторые технические детали, в том числе использование инструмента GuLoader для загрузки вредоносных программ и подписанного драйвера, нейтрализацию средств защиты в сети жертвы.

Исследователи отмечают, что вредоносное ПО состояло из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного «вспомогательного» драйвера, управляемого первым драйвером и используемого для завершения процессов в списке.

При этом, как полагают в Symantec, подписанный вредоносный драйвер использовался несколькими группами киберпреступников для отключения защиты, о чем в декабре сообщали Microsoft, Mandiant, Sophos и SentinelOne.

Образец, обнаруженный исследователями Symantec, хотя и является одним и тем же драйвером, но был подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у акторов выходов на провайдеров, которые могут предоставлять законные подписи от доверенных лиц.

Исследователи отмечают, что этот же драйвер использовался в рамках атаки с использованием ransomware на некоммерческую организацию в Канаде.

Symantec
сообщает, что активность Bluebottle, которую они наблюдали, началась в июле 2022 года и продолжалась до сентября, но могла фиксироваться и в мае.

Недавние атаки также показывают некоторые новые TTP, которые включают использование GuLoader на начальных этапах атаки. Кроме того, исследователи обнаружили признаки того, что злоумышленник использовал образы дисков ISO в качестве начального вектора заражения в целевом фишинге на тему работы.

Исследователи Symantec проанализировали атаки Bluebottle на три различных финансовых учреждения в африканских странах.

В одном из них злоумышленник полагался на несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, ping, Ngrok, Net localgroup, VPN-клиент Fortinet, Xcopy, Netsh, Autoupdatebat 'Automatic RDP Wrapper installer and updater' и привилегии SC для изменения разрешений агента SSH).

Также Bluebottle использовали вредоносные инструменты: GuLoader, Mimikatz, Reveal Keylogger и троян удаленного доступа Netwire.

Злоумышленник приступал к ручному боковому перемещению примерно через три недели после первоначальной компрометации, используя командную строку и PsExec.

Хотя анализ атак и используемых инструментов позволяет предположить, что OPERA1ER и Bluebottle представляют собой одну и ту же группу, однако Symantec не подтверждает отмеченные Group-IB масштабы монетизации.
🗞 The Privacy, Security, & OSINT Magazine.

🖖🏻 Приветствую тебя user_name.

• В этом месяце в сети появился пятый выпуск журнала "UNREDACTED Magazine", автором которого является Michael Bazzell.

• Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот».

• Журнал является бесплатным и содержит множество различных статей касательно безопасности в сети и OSINT. Приятного чтения.

📌 Скачать | Читать журнал: https://inteltechniques.com/issues/005.pdf

🧷 Описание и предыдущие выпуски: https://inteltechniques.com/magazine.html

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #OSINT
🫠 Социальная Инженерия. Обман блогеров и угон каналов.

🖖🏻 Приветствую тебя user_name.

• Вчера было опубликовано видеообращение от достаточно известно блогера (АйТи Борода), который освещает тему программирования и публикует интересные интервью с разработчиками. Дело в том, что с помощью методов социальной инженерии, автора заставили ввести данные на фишинговом ресурсе, после чего аккаунт был взломан, а Telegram *канал угнан. После успешного взлома в ТГ канале начали публиковать различные бинарные опционы, которые являются скамом.

• Не знаю всех нюансов и подробностей технической составляющей взлома, но суть совершенно не в этом. Только представьте, человека имеющего такой опыт в программировании и ИТ в целом, смогли обмануть и угнать канал простейшими методами #СИ и фишинга. Представили? А теперь подумайте сколько администраторов или простых пользователей подвержены аналогичным атакам. Многие люди никаким образом не связаны с ИТ и для них ввести свой пароль 2FA на фиш ресурсе - обычное дело.

• Если взять ситуацию, когда администратору канала пишут скамеры и предлагают купить 10 рекламных постов за 3000$, но для этого необходимо зарегистрироваться на фишинговом ресурсе с формой входа через Telegram, как ты считаешь, какой процент администраторов откажется от такой сделки?

• Как уже было сказано, основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Именно поэтому всегда старайтесь думать головой, не вводите данные на сторонних ресурсах и читайте S.E. по хэштегу #СИ, я стараюсь часто публиковать актуальные методы развода админов (и не только) в Telegram и делиться интересной информацией из мира Социальной Инженерии.

* Канал по итогу восстановили через поддержку TG. Надеюсь что автор будет учится на своих ошибках и больше не попадет в такую ситуацию.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ
🧠 S.E. Заметка. Классическая социальная инженерия.

🖖🏻 Приветствую тебя user_name.

Для осуществления успешной атаки атакующие нуждаются в трёх составляющих: время, настойчивость и терпение. Зачастую атаки с использованием социальной инженерии производятся постепенно и методично — собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, атакующий может убедить жертву, с которой выстраивается диалог, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Атакующий сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Таких методов и приемов великое множество. Обратите внимание на материал по хэштегам: #СИ #Профайлинг #Психология.

S.E. ▪️ S.E.Relax ▪️ infosec.work
📦 Hack The Box. Учимся взлому.

🖖🏻 Приветствую тебя user_name.

Hack The Box является максимально популярным среди тех, кто хочет прокачать свои знания в различных аспектах пентеста и хакинга. Сервис отличается удобным интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, постоянно обновляющемся списком уязвимых хостов.

• Если у тебя не хватает навыков и времени на прохождение HTB, то обязательно обрати внимание на YT канал IppSec. Тут собрано огромное кол-во материала по прохождению различных заданий с разным уровнем сложности: https://www.youtube.com/@ippsec/videos

• В дополнение обрати внимание на подборку готовых прохождений на русском языке. Если этого недостаточно, то можно изучать материал на хабре или хакере:

- https://xakep.ru
- https://habr.com
По этим ссылкам всегда доступны свежие и актуальные прохождения.

• Старайтесь выделять время для изучения материала и больше практиковаться. Любую необходимую информацию ты всегда можешь найти в открытом доступе, главное терпение и желание.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ #CTF
💬 true story... Атака века. Как с помощью СИ обмануть Google и Facebook на сотни миллионов долларов.

🖖🏻 Приветствую тебя user_name.

• Как уже понятно из названия, сегодняшний рассказ посвящен Facebook и Google, у которых с помощью социальной инженерии удалось украсть миллионы долларов.

• Читать историю на русском языке: https://habr.com

• Читать в оригинале (eng): https://darknetdiaries.com

📌 Другие увлекательные истории: story №1story №2story №3story №4story №5story №6story №7story №8story №9story №10story №11story №12story №13story №14story №15story №16

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ #История
👨🏻‍💻 Стеганография. Полезные инструменты и ресурсы.

🖖🏻 Приветствую тебя user_name.

Стеганография — впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе.

• Сегодня поделюсь интересным и очень полезным проектом, который представляет собой образ Docker, с актуальными инструментами и скрпитами предназначенными для стеганографии. Проект включает в себя демо-файлы на которых можно потренироваться и прокачать свои навыки: https://github.com/DominicBreuker/stego-toolkit

• Перед установкой обязательно ознакомьтесь со следующим материалом:

Практическая стеганография.
Скрытие информации в изображениях PNG.
Стеганография и ML.
Где хранить секретные файлы на случай БП.
Исполняемые PNG: запускаем изображения как программы.
Стеганография в файловой системе оптических дисков.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Стеганография
🔖 Эволюция киберпреступности. Анализ, тренды и прогнозы 2023.

🖖🏻 Приветствую тебя user_name.

Group-IB опубликовали ежегодный флагманский отчет об актуальных трендах в сфере кибербезопасности и прогнозах эволюции ландшафта угроз. Если коротко, то направление программ-вымогателей сохранит свое лидерство в рейтинге киберугроз для бизнеса.

• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.

• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.

• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.

• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).

• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).

• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.

🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.

📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/

S.E. ▪️ S.E.Relax ▪️ infosec.work
👤 OSINT. Поиск цели по username.

🖖🏻 Приветствую тебя user_name.

• Вероятно ты уже сталкивался с сервисом для поиска цели по юзернейму "whatsmyname", а если не сталкивался, обязательно обрати внимание. Недавно данный ресурс обновился и теперь мы можем искать информацию по юзернейму на 576 популярных сайтах. Также присутствует возможность выполнить поиск по списку юзернеймов, а не перебирать информацию по каждому отдельному запросу и повторно выполнять поиск.

🧷 https://whatsmyname.app

• Только не забывай про maigret, который адаптирован под RU сегмент. Инструмент поддерживает более чем 3060+ сайтов (полный список), предоставляет тебе возможность самостоятельно добавлять нужные сайты для поиска необходимой информации и имеет функционал выгрузки данных в удобном формате.

🧷 https://github.com/soxoj/maigret

• Дополнительная информация доступна по хэштегу #OSINT и в наших подборках: https://t.me/Social_engineering/2548

S.E. ▪️ S.E.Relax ▪️ infosec.work
👨‍💻 Purple Team.

🖖🏻 Приветствую тебя user_name.

• Purple Team — Помогает Red Team и Blue Team дружить между собой, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков. Задача такой тимы — обеспечить и довести до максимума эффективность работы всех команд.

Я уже описывал различные инструменты и делал подборки полезного материала для #Red_Team и #Blue_Team (ознакомьте с материалом по хэштегам), а для #Purple_Team материала в группе очень мало и тема не является очень популярной, однако я решил пополнить облако тэгов и поделюсь отличным репозиторием с подборкой ресурсов и инструментов для фиолетовой команды:

🧷 https://github.com/ch33r10/EnterprisePurpleTeaming

• В будущем постараюсь собрать подборку полезного материала (книг, курсов, инструментов и т.д.) для данной тимы и поддерживать список в актуальном состоянии.

S.E. ▪️ S.E.Relax ▪️ infosec.work
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности и ИТ:

👁 Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.

👨🏻‍💻 Mentor IT блог с заметками репетитора по математике, физике, информатике и IT. Автор рассказывает о задачах и способах их решения. Пишет заметки о применении математики в жизни и как сквозь неудачи и вопросы идти к математическому просветлению.

🗞 Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

🐧 Черный треугольник — авторский блог с самыми актуальными новостями из мира IT.
📓 Книга: Полное руководство по работе и администрированию Linux.

🖖🏻 Приветствую тебя user_name.

• Книга будет полезна для любого уровня читателей – как для тех, кто только заинтересовался ОС #Linux, так и для тех, кто хочет расширить свои навыки использования этой операционной системы. Каждый найдет здесь для себя что-то полезное и востребованное!

☁️ Скачать книгу на русском языке, ты можешь в нашем облаке.

S.E. ▪️ S.E.Relax ▪️ infosec.work
🔖 Блог Maltego. Актуальные инструменты, модули и руководства.

🖖🏻 Приветствую тебя user_name.

• С Июня 2022 года, #Maltego запустила новую рубрику в своём блоге, в котором описывает актуальные и полезные инструменты, шпаргалки, мануалы и модули для своего инструмента.

• Каждый месяц выходят интересные подборки, которые будут полезны всем энтузиастам и #OSINT специалистам.

• Ознакомиться с материалом можно по ссылками ниже:
- Часть 1;
- Часть 2;
- Часть 3;
- Часть 4;
- Часть 5;
- Часть 6.

• Следить за обновлениями и другими полезными материалами, можно по ссылке: https://www.maltego.com/blog/

• В дополнение, обязательно обрати внимание на подборку бесплатных модулей для Maltego: https://t.me/Social_engineering/2237

S.E. ▪️ S.E.Relax ▪️ infosec.work
🔎 OSINT. Несколько полезных советов от sector035.

🖖🏻 Приветствую тебя user_name.

•  Поделюсь некоторыми советами, которые sector035 вчера опубликовал в своем блоге. Надеюсь будет полезно, хоть и достаточно специфично:

Совет №1: С помощью десктопной версии Telegram можно экспортировать сообщения чата групп, участником которых ты являешься, и даже публичных групп, не присоединяясь к ним. После экспорта сообщений чата можно создать список имен различными способами. Если ты используешь macOS или #Linux, самый простой способ — перейти в папку загрузки и использовать командную строку для создания списка уникальных имен пользователей, к примеру:

cat messages* | grep -A1 "from_name" | cut -f1 -d "<" | sort -u > members.txt

•  Мы не сможем узнать имена и идентификаторы учетных записей Telegram, но сможем спарсить отображаемые имена.

Совет №2: Cписок веб-сайтов с информацией о здании, такой как высота, количество этажей, местоположение и многое другое:

- https://www.skydb.net
- https://osmbuildings.org
- https://skyscraperpage.com
- https://www.ctbuh.org

•  Вышеперечисленные ресурсы будут очень полезны для GEOINT, обязательно сохраните в избранное.

Совет №3: Для просмотра списка пользователей сайта на Wordpress, достаточно изменить URL-адрес на следующий:

{site}/wp-json/wp/v2/users

•  Это вернет дамп JSON для всех, у кого есть учетная запись на конкретном сайте, и может раскрыть интересную информацию. Если результатов слишком много, добавляйте разбивку на страницы при помощи per_page:

{site}/wp-json/wp/v2/posts/?per_page=100&page=1

•  Этот совет хорошо известен уже много лет в сообществе #OSINT, но многие люди только начинают работать в этой области и данная информация будет весьма полезной.

🧷 Источник: https://sector035.nl/articles/2023-03

S.E. ▪️ S.E.Relax ▪️ infosec.work
🔎 Scanners Box. Сканеры на любой вкус и цвет.

🖖🏻 Приветствую тебя user_name.

• Универсальных инструментов не существует, и сканеры уязвимостей не стали исключением из этого правила. Сканеры бывают со свободной лицензией и коммерческие. Как ты уже успел догадаться, наш канал нацелен на освещение опенсорсного софта и публикации материала на безвозмездной основе, именно поэтому, сегодня я поделюсь с тобой отличным ресурсом где собраны различные сканеры под любую потребность.

• Проект Scanners Box (scanbox), является актуальным и полезным набором различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для #Red_Team и #Blue_Team специалистов, до сканеров анализа кода в мобильных приложениях.

🧷 Обязательно ознакомьтесь с данной подборкой и добавьте в избранное, непременно пригодится: https://github.com/We5ter/Scanners-Box

S.E. ▪️ S.E.Relax ▪️ infosec.work▪️ #ИБ
⚙️ 20+ open source утилит для шифрования файлов на (почти) любой случай жизни.

🖖🏻 Приветствую тебя user_name.

• Шифропанкам посвящается. Компания "Бастион", в своём блоге, на хабре, опубликовали подборку из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа.

• В статье представлены безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом.

🧷 Читать статью: https://habr.com/ru/company/bastion/blog/711064/

S.E. ▪️ S.E.Relax ▪️ infosec.work
В гостях подкаста «Разговоры СТО» от Dodo Engineering недавно был Максим Сапронов, технический директор Авито.

Немного контекста: изначально Авито — это монолит, один дата-центр, один центр разработки, одна очень большая вертикально скалированная база данных.

С приходом Макса в 2018 году это изменилось. Сегодня от того кода осталось около 5%. Всё остальное команда преобразовала в 2000+ микросервисов.

Максим также расскажет, на что повлияли эти изменения, как сейчас продуктовые команды взаимодействуют между собой, зачем создают продуктовые портфели и как зачатки идей помогают выживать в кризисных ситуациях.
🪝 На крючке. Статистика по фишинговым атакам за 2022.

🖖🏻 Приветствую тебя user_name.

• Самый уязвимый компонент любой информационной системы располагается между компьютерным креслом и клавиатурой. Человек бывает рассеян, невнимателен, недостаточно информирован, поэтому часто становится мишенью фишинговых атак, результаты которых порой весьма плачевны. Особенно если брать во внимание 2022 год, который был весьма сложным и доказал, что геополитическая обстановка может серьезно влиять на ландшафт киберугроз.

• Сегодня предлагаю ознакомиться с полезным отчетом, в котором описана статистика за 2022 год (различные темы писем на которые чаще всего реагировала жертва, векторы атак и другая полезная информация): https://www.knowbe4.com

• Описание отчета: https://www.knowbe4.com/press/knowbe4-2022-phishing

• За ссылку спасибо @alexredsec.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Фишинг
🔖 S.E. Заметка. CheatSheet для Red Team.

🖖🏻 Приветствую тебя user_name.

• Добро пожаловать в рубрику "добавь в избранное", часть вторая. Предыдущий пост собрал большое кол-во просмотров и репостов, поэтому сегодня я решил поделиться с тобой актуальной подборкой вспомогательных инструментов и ресурсов для Red Team.

Pivot;
Crawler;
Forensics;
Wifi Tools;
Git Specific;
NAC bypass;
Obfuscation;
Reverse Shellz;
Email Gathering;
T3 Enumeration;
Backdoor finder;
Payload Hosting;
Network Attacks;
JMX Exploitation;
POST Exploitation;
Lateral Movement;
Social Engeneering;
Source Code Analysis;
Framework Discovery;
Scanner network level;
Web Exploitation Tools;
Network Share Scanner;
Persistence on windows;
Web Application Pentest;
Raspberri PI Exploitation;
Industrial Control Systems;
Default Credential Scanner;
Domain Auth + Exploitation;
Sniffing / Evaluation / Filtering;
AMSI Bypass restriction Bypass;
Wordlists / Wordlist generators;
Linux Privilege Escalation / Audit;
Command & Control Frameworks;
Reverse Engineering / decompiler;
Framework Scanner / Exploitation;
General usefull Powershell Scripts;
Specific MITM service Exploitation;
Credential harvesting Linux Specific;
Windows Privilege Escalation / Audit;
Credential harvesting Windows Specific;
Web Vulnerability Scanner / Burp Plugins;
Domain Finding / Subdomain Enumeration;
Data Exfiltration - DNS/ICMP/Wifi Exfiltration;
Network- / Service-level Vulnerability Scanner;
Scanner / Exploitation-Frameworks / Automation;
Payload Generation / AV-Evasion / Malware Creation;
Network service - Login Brute Force + Wordlist attacks.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Red_Team