🔗Ссылка:
https://opennet.ru/63894/

🔗Ссылка:
https://habr.com/ru/companies/bastion/articles/945402/

🔗Ссылка:
https://www.securitylab.ru/news/563555.php

🔗Ссылка:
https://opennet.ru/63897/

🔗Ссылка:
https://www.securitylab.ru/news/563565.php

🔗Ссылка:
https://www.securitylab.ru/news/563578.php

🔗Ссылка:
https://www.securitylab.ru/news/563564.php

🔥 В Microsoft Entra (бывший Azure AD) вскрылась бомба уровня supply-chain:

Исследователь Dirk-jan нашел критический баг - устаревший Azure AD Graph API неправильно валидировал служебные Actor-tokens. В связке это позволяло любому, у кого был такой токен, эскалировать привилегии до Global Administrator в любом тенанте.

Что это значит простыми словами: потенциальный полный контроль над любым облачным окружением Entra ID (пользователи, почта, SharePoint, OneDrive, SSO, конфигурации). Microsoft уже отключает старый Graph и внедряет контрмеры, но для админов это сигнал тревоги.

✅ Что делать прямо сейчас:
1. Срочно убрать использование graph.windows.net (старый Graph API) → переход на Microsoft Graph.
2. Перепроверить сервис-принципалы и их права (`Directory.ReadWrite.All, Application.ReadWrite.All` и пр.) - минимизировать.
3. Включить Token Protection / Conditional Access для привязки токенов к устройствам.
4. Мониторить журналы: неожиданные S2S-запросы, массовые изменения ролей, аномальные выдачи Global Admin.
5. Ротировать ключи/секреты у SP и приложений.

📌 SOC чек: просканируйте за последние 30 дней все операции повышения ролей и сервисные токены. Любое «левое» назначение Global Admin = инцидент уровня P1.

Полный разбор: dirkjanm.io

Последние две недели, когда было время, я переписывал клиентскую часть. Хотелось сделать ее более гибкой, динамичной и удобной. Вроде получилось))

Как я понял по опросу, вы не против личных заметок — поэтому пишу. Выше заметно интересное обновление Adaptix C2. Спросите, что это такое?

Объясняю: это C2‑фреймворк,
но вам известнее слышать RATка.

RAT (Remote Access Trojan) — это программный агент, устанавливаемый на удалённой машине для обеспечения удалённого доступа и управления: выполнение команд, управление файлами, запись клавиатуры, управление камерой/микрофоном и т.д. RAT чаще ориентированы на доступ к отдельной машине и набор базовых функций постэксплуатации.

C2 (Command and Control) — это инфраструктура и набор серверных/клиентских компонентов, предназначенных для централизованного управления удалёнными машинами и автоматизации сложных операций в масштабах сети. C2 может включать управление агентами, оркестрацию задач, маршрутизацию команд, устойчивость к отказам и скрытность коммуникаций.

Функционал и гибкость таких инструментов впечатляют. Если обычные RATки вроде SheetRat заточены под троллинг и школьников, то C2 создаются для профессионалов — они дают куда больше возможностей.

Не отрицаю, что среди RAT есть очень мощные образцы (CraxsRat), но сообщество школьников превратило многие из них в простые игрушки для троллинга и доминирования в сети над такими же школьниками.

Очевидно, что такие инструменты используются как Блэчеры, так и ВайтХэт.

Примеры отличий C2 от классического RAT:

1. Архитектура:

- RAT: обычно одноагентная модель — клиент на машине жертвы напрямую управляется оператором.
- C2: распределённая архитектура с серверной частью, промежуточными узлами (ретрансляторы), несколькими каналами связи и возможностью управления тысячами агентов.

2. Масштабируемость

- RAT: ориентирован на индивидуальные взломы/троллинг, мало возможностей для массовой автоматизации.
- C2: рассчитан на массовое развертывание, автоматизацию задач.

Спасибо за внимание. 👾

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Account Takeover by Unicode/Punycode email password reset

Уже довольно давно у меня в бэклоге лежала интересная техника, найденная где-то на просторах сети, которой я хочу сегодня поделиться.

Punycode / IDN Homograph традиционно используется в проведении фишинговых компаний для получения первоначального доступа во время Red Team и пентестов, но можно также использовать эту технику для тестирования механизмов восстановления пароля/байпаса 2FA через email в рамках багбаунти😎

Сначала немного теории:
IDN (Internationalized Domain Name) - это технология, позволяющая использовать в доменных именах символы из национальных алфавитов: кириллицы, китайских иероглифов, арабской письменности и пр.
Так как изначально в системе доменных имён были предусмотрены только латинские буквы A-Z, цифры 0-9 и дефис, придумали специальную кодировку - Punycode/Unicode, как способ закодировать домен с не-ASCII символами в ASCII-совместимую форму. Например: домен.рф → xn--d1acufc.xn--p1ai

♦️Тестирование механизмов восстановления пароля/байпаса 2FA через почту по умолчанию в методологии любого пентестера и багхантера, поэтому берём валидный email victim@gmail.com и меняем домен на Unicode-вариант victim@gmáil.com
♦️Добавляем Collaborator victim@gmáil.com.<collab>.burpcollaborator.net, перехватываем запрос → подменяем email жертвы и отправляем дальше.
♦️ Наблюдаем результат → в Collaborator проверяем SMTP отстуки. Если приходит письмо для сброса пароля / 2FA - значит система некорректно обработала Unicode.
♦️Репортим багу как Account Takeover для victim@gmail.com
💸 Вы великолепны!

Почему так работает для фишинга абсолютно понятно, латинская a vs кириллическая а визуально практически неотличимы, а вот как можно допустить такую ошибку в механизме восстановления пароля для меня загадка😜 Но тем не менее уже есть кейсы когда багхантеры лутали за эту багу 10k$ в публичных программах.

🔗 Ссылка:
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

🔗Ссылка:
https://www.securitylab.ru/news/563621.php