Склад
346 subscribers
360 photos
33 videos
62 files
951 links
Хранилка ссылок и документов
Download Telegram
рил 10 оценка, хехе
Французский киберпреступник признал себя виновным во взломе корпоративных данных
Важным событием в сфере киберпреступности стало то, что 22-летний гражданин Франции Себастьен Рауль, также известный как Сезио Кайдзен, признал себя виновным в сговоре с целью совершения мошенничества с использованием электронных средств связи и краже личных данных при отягчающих обстоятельствах в окружном суде США в Сиэтле.

Это дело проливает свет на сложную операцию киберпреступников, которые использовали фишинговые электронные письма и тактику обмана для взлома корпоративных систем, в результате чего общий ущерб компаний-жертв, по оценкам, превысил 6 миллионов долларов.

Арест и экстрадиция:
Путешествие Себастьена Рауля по юридической системе началось с его ареста в Марокко в прошлом году.

После задержания в январе 2023 года он был отправлен обратно в Соединенные Штаты для предъявления обвинений, связанных с киберпреступлениями, совершенными совместно с двумя сообщниками.

Обвинение, вынесенное большим жюри присяжных в Западном округе Вашингтона в июне 2021 года, ознаменовало начало судебного разбирательства против трио киберпреступников.

Киберпреступники нацелились на многочисленные компании, расположенные по всему штату Вашингтон, Соединенным Штатам в целом и даже международным организациям.
После успешных вторжений пользователь, действующий под вымышленным именем “ShinyHunters”, разместил украденные данные для продажи на форумах в дарквебе, включая RaidForums, EmpireMarket и Exploit.

Угрозы выкупа:
Одним из особенно опасных аспектов этой операции была угроза, исходившая от ShinyHunters. Если жертвы не выполняли требования о выкупе, ShinyHunters угрожали утечкой или продажей украденных конфиденциальных файлов.

Это добавило элемент вымогательства в деятельность киберпреступников, усилив давление на пострадавшие компании с целью выполнения их требований.

Фишинговые и поддельные страницы входа в систему:
Основой стратегии Рауля и его сообщников было создание поддельных страниц входа в систему, имитирующих законный бизнес.

Эти обманчивые веб-сайты использовались для рассылки фишинговых электронных писем ничего не подозревающим сотрудникам компании.

Эти электронные письма были созданы таким образом, чтобы они выглядели так, как будто они исходили от подлинных компаний, и содержали ссылки на мошеннические страницы входа в систему.

Затем неосведомленные жертвы предоставляли свои учетные данные для входа в учетную запись на этих поддельных страницах. Вооружившись этими украденными регистрационными данными, киберпреступники проникали в учетные записи жертв, получали доступ к конфиденциальным данным и просматривали украденную информацию в поисках дополнительных учетных данных для доступа к дополнительным данным в сетях компаний и сторонних поставщиков услуг, включая облачные сервисы хранения.

Денежные и юридические последствия:
Последствия этой киберпреступной операции были обширными: сотни миллионов записей клиентов были скомпрометированы, а компании-жертвы понесли ошеломляющий ущерб в размере более 6 миллионов долларов.

Теперь Рауль сталкивается с последствиями своих действий: за сговор с целью совершения мошенничества с использованием электронных средств максимальное наказание составляет 27 лет тюремного заключения.

Кроме того, кража личных данных при отягчающих обстоятельствах влечет за собой обязательный минимальный двухлетний тюремный срок, который последует за любыми другими вынесенными приговорами.

Оперативная группа ФБР по кибербезопасности в Сиэтле сыграла ключевую роль в расследовании этого сложного дела, в то время как помощник прокурора Соединенных Штатов Мириам Р. Хинман возглавляла обвинение.

Управление по международным делам Министерства юстиции оказало существенную помощь, подчеркнув глобальный охват этой киберпреступности.

Совместные усилия марокканских и французских властей также сыграли важную роль в продвижении этого дела.

https://cybersecuritynews.com/french-cybercriminal-pleads-guilty/
👍1
Российский продавец зеродеев дня предложил $20 Млн за взлом устройств Android и iPhone


Российская компания Operation Zero в настоящее время предлагает исследователям 20 миллионов долларов в обмен на хакерские инструменты, которые позволили бы ее клиентам получить контроль над устройствами Android и iPhone.

“Увеличивая премию и предоставляя конкурентные планы и бонусы за контрактные работы, мы поощряем команды разработчиков работать с нашей платформой”, - говорится в сообщении компании.

Компания объявила, что увеличивает компенсацию за нулевые дни на этих платформах с 200 000 до 20 миллионов долларов в своих аккаунтах Telegram и в своем официальном аккаунте на X, бывшем Twitter.

В связи с высоким спросом на рынке мы увеличиваем выплаты за топовые мобильные эксплойты. В области применения:

— iOS RCE/LPE/SBX/полная цепочка — от 200 000 до 20 000 000 долларов (двадцать миллионов).
— Android RCE / LPE/SBX/full chain — то же самое.

Как всегда, конечным пользователем является страна, не входящая в НАТО.

— Операция "Ноль" (@opzero_en) 26 сентября 2023
В начатой в 2021 году российской операции “Зеро” далее говорилось: "Как всегда, конечным пользователем является страна, не входящая в НАТО".

сеть
На своем официальном сайте компания заявляет, что “нашими клиентами являются только российские частные и государственные организации”.

В сообщениях говорится, что генеральный директор Operation Zero Сергей Зеленюк отказался объяснить, почему они продают продукцию только странам, не входящим в НАТО. “Никаких причин, кроме очевидных”, - ответил он.

“Формирование цен на конкретные товары в значительной степени зависит от доступности продукта на рынке нулевого дня”, - заявил Зеленюк в электронном письме.

“Эксплойты полной цепочки для мобильных телефонов на данный момент являются самыми дорогими продуктами, и они используются в основном государственными структурами. Когда актеру нужен продукт, иногда он готов заплатить как можно больше, чтобы обладать им до того, как он попадет в руки других сторон”.

Основанный в 2015 году стартап Zerodium готов заплатить до 2,5 миллионов долларов за серию уязвимостей, которые позволяют пользователям взламывать Android-смартфоны без участия цели — без перехода по фишинговой ссылке. Согласно его веб-сайту, Zerodium заплатит до 2 миллионов долларов за аналогичную цепочку на iOS.

Благодаря более совершенным мерам снижения безопасности и защиты на новых мобильных устройствах хакерам может потребоваться несколько уязвимостей нулевого дня, чтобы полностью скомпрометировать целевое устройство и захватить контроль над ним.

Конкурирующая компания Crowdfense со штаб-квартирой в Объединенных Арабских Эмиратах обещает до 3 миллионов долларов за аналогичные ошибки в iOS и Android.

Зеленюк заявил, что он не думает, что вознаграждения, предлагаемые Zerodium и Crowdfense, когда-либо упадут так низко.

“Прайс-лист Zerodium устарел, но это не значит, что компания все еще покупает по таким низким ценам. Им просто не нужно их обновлять, бизнес нулевого дня работает нормально независимо от этого”, - сказал Зеленюк.

Рынок уязвимостей нулевого дня в основном нерегулируемый. Однако в других странах предприятиям, возможно, придется запрашивать экспортные лицензии у своих правительств.

Этот процесс включает в себя запрос разрешения на продажу в страны с ограниченным доступом. В результате рынок в настоящее время фрагментирован и все больше подвержен влиянию политики.

“Это новое регулирование может позволить элементам в китайском правительстве накапливать заявленные уязвимости для их использования в качестве оружия”, - говорится в отчете Microsoft за прошлый год.

https://cybersecuritynews.com/russian-zero-day-seller-android-and-iphones/
👍1
Forwarded from k8s (in)security (r0binak)
KubeHound – новый инструмент, который поможет определить вам возможные attack path в вашем Kubernetes кластере.

Принцип работы тулзы довольно прост: сначала KubeHound собирает всю необходимую информацию через Kube API, вычисляет attack paths (Bad Pods, RBAC) от container escape до возможного lateral movement и складывает результаты в графовую БД JanusGraph. Тулза может быть полезна как для Red так и для Blue team – на данный момент инструмент поддерживает около 25 запросов, однако авторы обещают добавлять новые.

Стоит отметить, что инструмент в своём большинстве закрывает только вопросы PodSecurityStandards, и никак не учитывает при построении attack path NetworkPolicy, AppArmor и прочие нюансы, которые могут влиять на конечный attack path.

Для более глубокого погружения рекомендуем ознакомиться со следующими источниками:

- заметка в блоге
- официальный сайт утилиты
👍1
Looney Tunables: Новый недостаток Linux позволяет повышать привилегии в основных дистрибутивах

Новая уязвимость системы безопасности Linux, получившая название Looney Tunables, была обнаружена в библиотеке GNU C ld.so. Динамический загрузчик, который в случае успешного использования может привести к локальному повышению привилегий и позволить субъекту угрозы получить привилегии суперпользователя.

Уязвимость отслеживается как CVE-2023-4911 (оценка CVSS: 7.8), проблема заключается в переполнении буфера, которое возникает при обработке динамическим загрузчиком переменной окружения GLIBC_TUNABLES. Фирма по кибербезопасности Qualys, которая раскрыла подробности ошибки, заявила, что она была введена в качестве фиксации кода, сделанной в апреле 2021 года.

Библиотека GNU C, также называемая glibc, является базовой библиотекой в системах на базе Linux, которая предлагает базовые функции, такие как open, read, write, malloc, printf, getaddrinfo, dlopen, pthread_create, crypt, login и exit.

Динамический загрузчик glibc является важнейшим компонентом, который отвечает за подготовку и запуск программ, включая поиск необходимых зависимостей от общих объектов, а также загрузку их в память и связывание во время выполнения.

Уязвимость затрагивает основные дистрибутивы Linux, такие как Fedora 37 и 38, Ubuntu 22.04 и 23.04 и Debian 12 и 13, хотя другие дистрибутивы, вероятно, уязвимы и могут быть использованы. Одним из заметных исключений является Alpine Linux, который использует библиотеку musl libc вместо glibc.

"Наличие уязвимости переполнения буфера в обработке динамическим загрузчиком переменной окружения GLIBC_TUNABLES создает значительные риски для многих дистрибутивов Linux", - сказал Саид Аббаси, менеджер по продуктам в Qualys Threat Research Unit.

"Эта переменная среды, предназначенная для тонкой настройки и оптимизации приложений, связанных с glibc, является важным инструментом для разработчиков и системных администраторов. Его неправильное использование в широком смысле влияет на производительность, надежность и безопасность системы".

В рекомендации, выпущенной Red Hat, говорится, что локальный злоумышленник может воспользоваться этим недостатком, чтобы использовать злонамеренно созданные переменные окружения GLIBC_TUNABLES при запуске двоичных файлов с разрешением SUID для выполнения кода с повышенными привилегиями.

Это также обеспечило временное смягчение, которое, когда включено, завершает любую программу setuid, вызываемую с помощью GLIBC_TUNABLES в среде.

Looney Tunables является последним дополнением к растущему списку недостатков повышения привилегий, которые были обнаружены в Linux за последние годы, включая CVE-2021-3156 (Baron Samedit), CVE-2021-3560, CVE-2021-33909 (Sequoia) и CVE-2021-4034 (PwnKit), это может быть использовано в качестве оружия для получения повышенных прав.
https://thehackernews.com/2023/10/looney-tunables-new-linux-flaw-enables.html
👍1
Media is too big
VIEW IN TELEGRAM
😈 Kubernetes Pentest All‑in‑One: The Ultimate Toolkit

— Чтобы автоматизировать и ускорить работу при проведении пентеста Kubernetes‑кластера, обычно используют различные инструменты. Но что делать, если ты находишься в окружении с ограничением на сеть и скачать нужные тулзы внутрь контейнера невозможно? А если в контейнере файловая система доступна только для чтения?

В этом случае единственное решение — использовать заранее подготовленный docker image, внутри которого будут все необходимые инструменты.

В докладе Сергей расскажет, как подготовить такой образ и что в нем должно быть. А еще он представит свою open‑source‑версию, дополненную разными фичами, например обходом обнаружения с помощью сигнатурных движков.

#Kubernetes #OFFZONE | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from infosec
hash_crack_2023_ru.pdf
952.7 KB
📚 Переведено на RU: Hash Crack. v3.

• На форуме XSS.IS (ex DaMaGeLaB) был опубликован перевод книги Hash Crack. (v3) на русский язык.

• Книга является справочным руководством по инструментам для взлома и сопутствующим утилитам, которые помогают специалистам по защите сетей и пентестерам в восстановлении (взломе) паролей. Давайте поддержим автора лайком 👍

VT.

➡️ https://xss.is/threads/82201/

👤 Автор: @handersen

#RU #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21
https://github.com/ggb0n/CVE-2023-44962

CVE-2023-44962:
Uploading archive files containing symbolic links in upload-cover-image*pl can leak some of the content of the linked files
👍1
͏Мы часто говорим, что обновлять необходимо не только компьютеры и мобильные устройства, но и устройства Интернета вещей и компьютерную периферию. Ведь они защищены зачастую гораздо хуже, а использовать их в качестве точки проникновения в офисную или домашнюю сеть хакеры научились уже давно.

Прекрасную иллюстрацию этого предоставила исследовательская команда Devсore.

Каждый год в мире происходит большое количество мероприятий, посвященных информационной безопасности. Кроме традиционных конференций распространение получили также своеобразные соревнования по этичному хакингу, где разные команды исследователей демонстрируют свое мастерство путем взлома за отведенное время различных программ и устройств.

В позапрошлом году на подобном соревновании Pwn2Own Austin 2021 представители Devcore за отведенное время с использованием найденных ими уязвимостей нулевого дня взломали три модели принтеров различных производителей - Canon ImageCLASS MF644Cdw, HP Color LaserJet Pro MFP M283fdw и Lexmark MC3224i. Взлом был осуществлен через беспроводную сеть. В результате все три атакованных устройства были взяты под контроль со стороны этичных хакеров.

Как они могли действовать дальше? Например, перехватывать конфиденциальную информацию, которую отправляли на печать через этот принтер. Или закрепиться на нем, провести разведку и осуществить дальнейший взлом компьютеров, которые подключены в эту же беспроводную сеть.

Разумеется, все ошибки в прошивках принтеров, которые использовались во время того взлома, давным-давно закрыты производителями. Именно поэтому сейчас Devcore опубликовали технические подробности проведенных атак. Ведь все пользователи, которые используют взломанные модели принтеров Canon, HP и Lexmark, за прошедшие с Pwn2Own Austin 2021 два года успели обновить их прошивки и закрыли таким образом соответствующие уязвимости.

Или нет?
👍1
Forwarded from Infosec and Risk Management docs, memes and shit
😁2👍1