🔥🔥🔥 ВНИМАНИЕ! 🔥🔥🔥
В результате неизвестной утечки, произошедшей на этой неделе, в руках анонимных исследователей оказался полный список CVV2 — трёхзначных кодов проверки подлинности карт платёжной системы Visa. 🔥🔥🔥
Именно эти коды используют при выпуске кредитных и дебетовых карт свыше 15 500 финансовых организаций по всему миру (по данным на 31 марта 2019 года).
Напомним, что в мире насчитывается более 3,4 млрд карт Visa, которые принимаются к оплате в более чем в 53,9 миллионов торговых точек.
Данный инцидент является самым масштабным в истории современных банковских платежных систем и затрагивает как минимум половину населения нашей планеты. 🤦♂️
Проверьте, затронула ли утечка именно Вас - сравните защитный код со своей карты со списком кодов из утечки.
В случае нахождения кода в списке, обязательно используйте наличные деньги.
UPD: CVV2 leak (FULL): https://pastebin.com/7Eq5f8u4
В результате неизвестной утечки, произошедшей на этой неделе, в руках анонимных исследователей оказался полный список CVV2 — трёхзначных кодов проверки подлинности карт платёжной системы Visa. 🔥🔥🔥
Именно эти коды используют при выпуске кредитных и дебетовых карт свыше 15 500 финансовых организаций по всему миру (по данным на 31 марта 2019 года).
Напомним, что в мире насчитывается более 3,4 млрд карт Visa, которые принимаются к оплате в более чем в 53,9 миллионов торговых точек.
Данный инцидент является самым масштабным в истории современных банковских платежных систем и затрагивает как минимум половину населения нашей планеты. 🤦♂️
Проверьте, затронула ли утечка именно Вас - сравните защитный код со своей карты со списком кодов из утечки.
В случае нахождения кода в списке, обязательно используйте наличные деньги.
UPD: CVV2 leak (FULL): https://pastebin.com/7Eq5f8u4
Полетели первые пташки последних громких утечек - вероятно мошенники сообразили про credential stuffing.
Банк «Точка» заявил, что пострадал от утечки данных 8,7 млн пользователей домашнего интернета «Билайн»: мошенники вывели деньги со счетов 10 клиентов. По словам представителей банка, пароль для входа в интернет-банк совпадал с паролем от личного кабинета «Билайн». У клиентов была включена переадресация, которую они не включали.
Билайн ответил классическим "ВЫВСЁВРЕТИ", и напомнил, что смс таким образом не переадресуешь.
Уверенные пользователи чата заявляют, что в утекшей базе ШПД Билайна(8713510 записей), которая гуляет по рукам с 2016 года, небыло никаких паролей к личным кабинетам.
При этом там есть текстовые пометки к абонентам с кодовыми словами и паролями, которые могли пересечься с учетками в Точке.
Использует ли банк Точка двухфакторную аутентификацию по смс, или у них можно подтвердить операцию голосом - непонятно.
Такие вот дела 🤷🏻♂️🤷🏻♂️🤷🏻♂️
Банк «Точка» заявил, что пострадал от утечки данных 8,7 млн пользователей домашнего интернета «Билайн»: мошенники вывели деньги со счетов 10 клиентов. По словам представителей банка, пароль для входа в интернет-банк совпадал с паролем от личного кабинета «Билайн». У клиентов была включена переадресация, которую они не включали.
Билайн ответил классическим "ВЫВСЁВРЕТИ", и напомнил, что смс таким образом не переадресуешь.
Уверенные пользователи чата заявляют, что в утекшей базе ШПД Билайна(8713510 записей), которая гуляет по рукам с 2016 года, небыло никаких паролей к личным кабинетам.
При этом там есть текстовые пометки к абонентам с кодовыми словами и паролями, которые могли пересечься с учетками в Точке.
Использует ли банк Точка двухфакторную аутентификацию по смс, или у них можно подтвердить операцию голосом - непонятно.
Такие вот дела 🤷🏻♂️🤷🏻♂️🤷🏻♂️
Кажись Ревизор умер 🧟♂️
АС Ревизор - это программно-аппаратный комплекс, разработанный для мониторинга доступа к сайтам из реестра РКН со стороны провайдеров компанией «МФИ Софт» по тендеру за скромные 84 миллиона рублей.
Слепленный из бобра и палок на тыщщарублевом TP-Link MR3020, клиентский ревизор не осилил распухшие списки выгрузки блокировок под два миллиона адресов, и просто устал так жить.
Операторы связи сообщают о проблемах с устройством с 23 сентября, а РКН отмахивается профилактическими работами с неопределенным сроком выполнения.
Помните, как у Герберта Уэлса в "Войне миров" технически более развитых пришельцев в итоге победили не танки и масштабное сопротивление армий всех стран, а маленькие земные бактерии, медленно убившие их изнутри.
Так и тут, великодержавное желание заблокировать 4 миллиарда вражеских ип адресов столкнулось с непреодолимой культурной традицией родного и заботливого чиновника спиздить бабло на каждом винтике 🏆
Парам-пам-пам.
АС Ревизор - это программно-аппаратный комплекс, разработанный для мониторинга доступа к сайтам из реестра РКН со стороны провайдеров компанией «МФИ Софт» по тендеру за скромные 84 миллиона рублей.
Слепленный из бобра и палок на тыщщарублевом TP-Link MR3020, клиентский ревизор не осилил распухшие списки выгрузки блокировок под два миллиона адресов, и просто устал так жить.
Операторы связи сообщают о проблемах с устройством с 23 сентября, а РКН отмахивается профилактическими работами с неопределенным сроком выполнения.
Помните, как у Герберта Уэлса в "Войне миров" технически более развитых пришельцев в итоге победили не танки и масштабное сопротивление армий всех стран, а маленькие земные бактерии, медленно убившие их изнутри.
Так и тут, великодержавное желание заблокировать 4 миллиарда вражеских ип адресов столкнулось с непреодолимой культурной традицией родного и заботливого чиновника спиздить бабло на каждом винтике 🏆
Парам-пам-пам.
Давеча ребята из Fortinet's FortiGuard Labs нашли очередную RCE (FG-VD-19-117/CVE-2019-16920) в D-Link роутерах, доступную без какой-либо аутентификации.
В описании заявляют, что уязвимы последние версии прошивок этих моделей:
DIR-655
DIR-866L
DIR-652
DHP-1565
Железки довольно старые, и вероятно производитель не будет выпускать исправленные прошивки для этих устройств.
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html
В описании заявляют, что уязвимы последние версии прошивок этих моделей:
DIR-655
DIR-866L
DIR-652
DHP-1565
Железки довольно старые, и вероятно производитель не будет выпускать исправленные прошивки для этих устройств.
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html
Ребята из FireEye на мероприятии CYBER DEFENCE SUMMIT 2019 сделали детальный обзор APT41.
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
SoK: Make JIT-Spray Great Again
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
⭕️ Если у вас Mikrotik с версией до 6.45.7, и открытым наружу tcp портом 8291 (Winbox), то как вам такое:
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
⚠️Обновляйте Google Chrome до 78.0.3904.87
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
🥇 Fileless Malware and Process Injection in Linux
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
1. Backgroundhttps://2019.hack.lu/archive/2019/Fileless-Malware-Infection-and-Linux-Process-Injection-in-Linux-OS.pdf
2. Post exploitation in Linux
○ Concept, Supporting tools
3. Process injection in Linux
○ Concept, Supporting tools
○ Fileless method,
4. Frameworks components to make all of these possible
○ Frameworks: concept, specifics, examples
○ Components: Shellcodes, Privilege Escalating & Payloads
5. A concept in defending our boxes
○ Forensics perspective
○ IR and resource management model
6. Appendix
🔶 Новые детали по CVE-2019-13720 в Google Chrome от GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT