Наверняка вы слышали про «Операцию Триангуляция» – APT-атаку на iPhone, мишенью которой стали и сотрудники «Лаборатории Касперского».

Немного контекста: используя уязвимости в ядре системы, неизвестные хакеры разворачивали в памяти устройства шпионский имплант, получивший название TriangleDB. Этот имплант не оставляет следов в системе и имеет доступы к файлам устройства, процессам, эксфильтрации элементов связки ключей iOS и передачи данных геопозиционирования, включая координаты, высоту, скорость и направление движения.

В свежем выпуске подкаста «Смени пароль!» эксперты GReAT (Global Research and Analysis Team) «Лаборатории Касперского» рассказали о разоблачении шпионской операции, а ещё поделились инсайтами о работе аналитиков из команды GReAT.

Послушать можно на любых подкаст-платформах, включая Apple Podcast, Yandex.Музыка и YouTube.

АО Лаборатория Касперского LjN8K5Qin

​🧠 Социальная Инженерия. Slowpoke News.

🖖🏻 Приветствую тебя, user_name.

• Тут пишут, что Lapsus$ вывели атаки с подменой SIM-карт на новый уровень. А именно, помимо атак с использованием методов социальной инженерии, ребята компрометируют учетные записи мобильных операторов с помощью инструментов управления клиентами. Такой подход позволил атакующим воздействовать на учетные записи, связанные с работниками Министерства обороны США и ФБР.

• Ну, что тут сказать. Lapsus$ атаковали мобильных операторов еще год назад, когда T-Mobile подтвердила слив исходных кодов и доступ атакующих к их инструментам. А SIM-swap это классический метод #СИ, который является максимально профитным (с точки зрения атакующего) если получается обвести вокруг пальца сотрудника компании сотовой связи.

• Соответственно, я не совсем понимаю, какие "новации" привносит Lapsus$ в данную схему. Хотя, вероятно мы просто не знаем всех деталей и подробностей. Но будем наблюдать, так как схема весьма интересна в своей реализации.

🧷 Новость на RU: https://cisoclub.ru/Lapsus$

• Идём дальше. Вторая новость наиболее изощренная, хотя и является классикой. Цитирую источник: "Эксперты «Лаборатории Касперского» рассказали о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более целевыми, и теперь злоумышленники ссылаются на сферу деятельности жертвы, используют как звонки, так и сообщения в мессенджере. Обычно в начале атак мошенники представляются сотрудниками той сферы, в которой работает потенциальная жертва."

• Проще говоря, жертве поступает сообщение в мессенджере, которое содержит уведомление о "важном" звонке из правоохранительных или контролирующих органов. Для большего доверия, атакующие притворяются коллегами своей цели или рассылают сообщения из ранее угнанных аккаунтов.

• Спустя определенное время, жертве поступает звонок, начинается психологическое давление и цель готовят к следующему звонку от финансовой организации, которые завершают эту цепочку и разводят жертву на деньги.

• В некоторых случаях злоумышленники могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство (якобы для помощи). Таким образом они прилагают максимум усилий, чтобы жертва не общалась с близкими и не «сорвалась с крючка».

• Как по мне, так очень как то всё сложно. Схема требуется огромное кол-во ресурса, времени и сил для атакующих. А профит может оказаться минимальным.

🧷 Новость: https://xakep.ru/fake-coworkers/

• Тем не менее, всегда думайте на холодную голову и старайтесь проверять информацию, особенно когда дело касается ваших кровно заработанных.

S.E. ▪️ infosec.work ▪️ #СИ

🧺 ИТ-Пикник и дрессировка робособак.

🖖🏻 Приветствую тебя, user_name.

• Напоминаю, что 02.09 в Москве пройдёт главный ИТ-Пикник года - крупнейший семейный it-фестиваль, о котором я писал ранее. На мероприятии тебе будет доступна увлекательная возможность опробовать себя в роли дрессировщика робопса HyperDog и четвероногого летающего робота MorphoGear.

• HyperDog поможет обнаруживать утечки жидкости и газа в помещениях, проверять безопасность промышленных объектов, проводить лазерное сканирование конструкций для создания цифровых двойников.

• С помощью MorphoGear можно инспектировать высотное оборудование, проверять безопасность на промышленных объектах и искать пропавших людей при ЧП.

• Помимо этого, в шатре Sk Fintech Hub будут представлены разработки успешных российских IT-стартапов: бионические функциональные протезы от Моторики, автосимуляторы и шлемы виртуальной реальности. В зоне Сколтеха также будут продемонстрированы возможности VR-уроков для школьников по естественным наукам.

• Билеты на «ИТ-Пикник» можно получить за благотворительный взнос. Каждый участник с билетом может бесплатно привести с собой одного взрослого и/или до двух детей.

• Регистрация и подробности о мероприятии доступны по ссылке: https://it-picnic.ru

S.E. ▪️ infosec.work

💧 Поиск по утечкам. Часть 1.

• Данный материал написан в соавторстве с @mycroftintel.

• Поиск утечек – это хлеб с маслом любого корпоративного разведчика. И дело вот в чем. Утечки сейчас настолько разнообразны, что понять привычки человека не составляет труда. Хочешь понять, что человек ест – смотри утечки Яндекс Еды, хочешь понять, где держит деньги – посмотри Панамские бумаги. Все как на ладони, нужно только протянуть руку.

• Самое замечательное, что достаточно одной почты человека, чтобы понять сферу его интересов. Для начала посмотрите Have I been Pwned. Это самый большой агрегатор различного рода утечек. Тут вам и утечки с крупных ресурсов типа Canvas, так и с наших родных СДЭК, Комсомольской Правды, Mail.ru и других гигантов. Деталей сервис предоставит немного, но сложится общая картина, чем человек живет и дышит. Хотите еще больше данных – зайдите на Leak Check. Даже забесплатно там уйма данных.

• Но король среди поисковиков по утечкам – это Breach Directory. Он вам не только покажет источники, но и даже пароли. И это работает. Само собой, использовать эти данные для плохих дел нельзя, понятненько? Но посмотреть в исследовательских целях можно. Тут же кстати можно проверить пароль на повторяемость: вводите его и видите, сколько раз он уже фигурировал в утечках.

• Все, что сказано выше – основа основ поиска информации по утечкам. В серии постов я вам расскажу об основных источниках информации и самых крутых форумах (в том числе и в Даркнете), где можно самостоятельно раскопать интересные файлы. Всем безопасности и до новых встреч!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work

На OFFZONE 2023 глава инфобеза Тинькофф Дмитрий Гадарь говорит про важность объединения коммьюнити через соревнования по спортивному хакингу и других мероприятий для отрасли, которые проводит компания. Программы bugbounty это не только удобный способ искать уязвимости своих сервисов, но и возможность держать хакеров в рамках правового поля.

Ведь зачем заниматься вымогательством и прочими неприятными вещами, если награда за выявление уязвимости и так достойная. Кстати, сам Тинькофф придумал еще более интересную проверку пентестеров: хакер может отказаться от вознаграждения за уязу и тогда банк переведет сумму в 5 раз больше на выбранный хантером благотворительный фонд.

Чтобы вы понимали, меньше чем за год таким образом пожертвовали больше миллиона рублей.

​⚙️ 12 open-source инструментов пентестера.

🖖🏻 Приветствую тебя, user_name.

• Специалисты компании Red Siege опубликовали полезный список инструментов с открытым исходным кодом, который предназначен для пентестеров и этичных хакеров. Весь софт доступен на GitHub с подробными руководствами по установке и использованию.

• AutoFunkt — Python-скрипт, автоматизирующий создание облачных редиректоров без сервера из профилей Cobalt Strike malleable C2;

• C2concealer — утилита командной строки, генерирующая случайные профили C2 для Cobalt Strike.

• DigDug — добавляет слова из словаря к исполняемому файлу, увеличивая его размер до нужного. Этот подход может помочь обойти системы безопасности, которые анализируют уровень энтропии для проверки доверия.

• dumpCake — позволяет следить за попытками аутентификации через SSHd. Данный инструмент будет полезен для записи попыток взлома.

• EyeWitness — утилита для создания снимков веб-сайтов, сбора информации о серверах и, при возможности, идентификации учетных данных по умолчанию. Существенно сокращает время при работе с большим количеством сайтов.

• Enumerate Domain Data — инструмент для перечисления данных домена, созданный в качестве аналога PowerView, но реализованный на .NET.

• GPPDeception — скрипт создает файл groups.xml, который имитирует настоящий GPP для генерации нового пользователя на компьютерах, включенных в домен.

• Just-Metadata — инструмент, который собирает и анализирует метаданные об IP-адресах, выявляя взаимосвязи между системами в большом наборе данных.

• ProxmarkWrapper — оболочка клиента Proxmark3, которая отправляет текстовое уведомление (или электронное письмо), когда захватывается карта RFID.

• Wappybird — инструмент, который позволяет находить веб-технологии с опциональным выводом в CSV. Также возможно сохранение всех собранных данных в директории с подкаталогом для каждого хоста.

• WMImplant — основанный на PowerShell инструмент, использующий WMI для выполнения действий на целевых машинах. Также применяется в качестве канала C2 для отправки команд и получения результатов.

• WMIOps — скрипт PowerShell, использующий WMI для выполнения действий на хостах в среде Windows. Предназначен в основном для использования в пентестах или Red Team.

• За ссылку спасибо https://www.securitylab.ru/;
• Источник: https://www.helpnetsecurity.com

S.E. ▪️ infosec.work