https://www.bleepingcomputer.com/news/security/new-atroposia-malware-comes-with-a-local-vulnerability-scanner/
Пока я пишу статью про Vulnerability management наткнулся на интересную новость.
Локальный VM scanner встроили в троян)
Пока я пишу статью про Vulnerability management наткнулся на интересную новость.
Локальный VM scanner встроили в троян)
🔥2🤯2👍1🤔1
Тем временем мой любимый С2 уже во всю используется не там где надо 😅
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
https://habr.com/ru/companies/angarasecurity/articles/962088/
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
https://habr.com/ru/companies/angarasecurity/articles/962088/
🔥5⚡1🤯1
Слава пришла откуда не ждали)))
Мой обзор на AdaptixC2 висит в репозитории, а я думаю откуда столько просмотров. Я теперь officially Russian hacker!
Silent Push Unearths AdaptixC2's Ties to Russian Criminal Underworld, Tracks Threat Actors Harnessing Open-Source Tool for Malicious Payloads
https://www.silentpush.com/blog/adaptix-c2/
Мой обзор на AdaptixC2 висит в репозитории, а я думаю откуда столько просмотров. Я теперь officially Russian hacker!
Silent Push Unearths AdaptixC2's Ties to Russian Criminal Underworld, Tracks Threat Actors Harnessing Open-Source Tool for Malicious Payloads
https://www.silentpush.com/blog/adaptix-c2/
🔥3⚡2👏2😁2❤1🤣1
Тем временем вышел AdaptixC2 v0.10
https://github.com/Adaptix-Framework/AdaptixC2
ChangeLog
https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.9-greater-than-v0.10
https://github.com/Adaptix-Framework/AdaptixC2
ChangeLog
https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.9-greater-than-v0.10
🔥5👌1🤝1
Думаю над новыми векторами развития для канала и возник вопрос. Интересно будет если сделаю, например подборку самых горячих уязвимостей месяца, а может и недели?
💯6👍4🔥4
Самые опасные уязвимости осени
Я не буду делить их на трендовые или какие-либо еще, да и ноябрь не закончился, поэтому пусть это будет подборка на текущий момент и включим мы в нее то, что показалось лично мне очень опасными CVE. Уязвимости собраны не в порядке критичности по CVSS. Просто по списку, пусть это будет проба пера в этом направлении. Для начала выберем первые 5. Поехали
1. CVE-2025-52665 — удаленное выполнение кода в Unifi Access
RCE (удаленное выполнение кода) дает возможность проникнуть в Unifi Access и добиться полной компрометации различных устройств внутри него
2. CVE-2025-59287 - Уязвимость удаленного выполнения кода в WSUS.
RCE, на этот раз в Windows Server Update Services. Опасна тем, что без аутентификации, на удаленном сервере с включенной
ролью WSUS, можно выполнить код от учетной записи SYSTEM. Как быстрофикс - Заблокировать TCP 8530, 8531 или отключить роль WSUS.
3. CVE-2025-20333 - Уязвимость в Cisco ASA и Cisco FTD. Позволяет выполнить код от root, но только если злоумышленник аутентифицирован. Опасна тем, что помимо рабочего эксплойта, выполняется удаленно
4. CVE-2025-32463 - уязвимость, позволяющая при наличии аутентификации, повысить привилегии до root. Проблем кроется в функции chroot утилиты sudo, которая и позволяет в Unix-like системах запускать программы от рута. Для этой CVE есть эксплойт, поэтому лучше обновите sudo до 1.9.17p1 или выше
5. CVE-2025-9491 - Уязвимость в ярлыках (.LNK). Распространяются через фишинговые письма с URL адресами, сами LNK как
правило ведут уже на вредоносные PDF документы. Будьте внимательнее с тем, что открываете.
Вообще, за сентябрь и октябрь было много интересных CVE, например в Redis, 7z и WinRAR, но я решил остановиться на определенных пяти, возможно
в дальнейшем расширим рубрику.
За уязвимостями можно следить вот здесь
https://dbugs.ptsecurity.com/
Я не буду делить их на трендовые или какие-либо еще, да и ноябрь не закончился, поэтому пусть это будет подборка на текущий момент и включим мы в нее то, что показалось лично мне очень опасными CVE. Уязвимости собраны не в порядке критичности по CVSS. Просто по списку, пусть это будет проба пера в этом направлении. Для начала выберем первые 5. Поехали
1. CVE-2025-52665 — удаленное выполнение кода в Unifi Access
RCE (удаленное выполнение кода) дает возможность проникнуть в Unifi Access и добиться полной компрометации различных устройств внутри него
2. CVE-2025-59287 - Уязвимость удаленного выполнения кода в WSUS.
RCE, на этот раз в Windows Server Update Services. Опасна тем, что без аутентификации, на удаленном сервере с включенной
ролью WSUS, можно выполнить код от учетной записи SYSTEM. Как быстрофикс - Заблокировать TCP 8530, 8531 или отключить роль WSUS.
3. CVE-2025-20333 - Уязвимость в Cisco ASA и Cisco FTD. Позволяет выполнить код от root, но только если злоумышленник аутентифицирован. Опасна тем, что помимо рабочего эксплойта, выполняется удаленно
4. CVE-2025-32463 - уязвимость, позволяющая при наличии аутентификации, повысить привилегии до root. Проблем кроется в функции chroot утилиты sudo, которая и позволяет в Unix-like системах запускать программы от рута. Для этой CVE есть эксплойт, поэтому лучше обновите sudo до 1.9.17p1 или выше
5. CVE-2025-9491 - Уязвимость в ярлыках (.LNK). Распространяются через фишинговые письма с URL адресами, сами LNK как
правило ведут уже на вредоносные PDF документы. Будьте внимательнее с тем, что открываете.
Вообще, за сентябрь и октябрь было много интересных CVE, например в Redis, 7z и WinRAR, но я решил остановиться на определенных пяти, возможно
в дальнейшем расширим рубрику.
За уязвимостями можно следить вот здесь
https://dbugs.ptsecurity.com/
🔥5⚡1👍1👏1👨💻1
Наглядный пример про LNK
Цепочка следующая
Пользователь получает фишинговое письмо с zip архивом внутри которого lnk. При нажатии на него открывается сайт anydesk (настоящий), а в фоне загружается MSI installer с другого сайта (смотрим скрин). Что там загружается, думаю понятно.
Будьте аккуратны
Цепочка следующая
Пользователь получает фишинговое письмо с zip архивом внутри которого lnk. При нажатии на него открывается сайт anydesk (настоящий), а в фоне загружается MSI installer с другого сайта (смотрим скрин). Что там загружается, думаю понятно.
Будьте аккуратны
🔥5⚡1🤯1
Интересный опыт на одном из проектов, от коллег из DeteAct
Редтиминг в стиле Pwn2Own
https://blog.deteact.ru/red-teaming-pentest-pwn2own/
Редтиминг в стиле Pwn2Own
https://blog.deteact.ru/red-teaming-pentest-pwn2own/
👍2🔥2✍1🤝1
К недавнему исследованию от SilentPush)))
А вообще интересное исследование, Ладу всегда приятно читать)
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
https://habr.com/ru/companies/angarasecurity/articles/962088/
А вообще интересное исследование, Ладу всегда приятно читать)
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
https://habr.com/ru/companies/angarasecurity/articles/962088/
🔥2😁1🎉1🏆1🍾1
И еще интересные исследования на тему Adaptix, здесь больше уже для Blue Team
Постэксплуатационный фреймворк теперь доставляется и в npm
https://securelist.ru/adaptixc2-agent-found-in-an-npm-package/113825/
AdaptixC2: A New Open-Source Framework Leveraged in Real-World Attacks
https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/
Fog Ransomware: Unusual Toolset Used in Recent Attack
https://www.security.com/threat-intelligence/fog-ransomware-attack
Постэксплуатационный фреймворк теперь доставляется и в npm
https://securelist.ru/adaptixc2-agent-found-in-an-npm-package/113825/
AdaptixC2: A New Open-Source Framework Leveraged in Real-World Attacks
https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/
Fog Ransomware: Unusual Toolset Used in Recent Attack
https://www.security.com/threat-intelligence/fog-ransomware-attack
🤝3🔥2✍1
Следующими, думаю подробнее рассмотреть работу VM сканеров и TI порталов. Тут жесткий NDA, поэтому особо без скриншотов, но суть передам. Как вам идеи?
🔥5✍1👌1
Чтобы было наглядно, попробую сделать на примере open source или доступных демо, но затронем функционал платных решений
👍4✍1👨💻1