Привет! 👋🏻
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
🔥2👏1🤮1
Discord - самый популярный способ доставки ВПО жертвам. Думаю что статистика связана с рядовой малварью типа AgentTesla,RedLine,Racoon и т.д так как часто вижу дискорд в качестве С2. Стоит отметить легкость хранения данных на дискорд серверах, а также безолаберность разработчиков, которые разрешают хостить ВПО.
А вы залочили у себя доступ к
А вы залочили у себя доступ к
cdn.discordapp.com?🤯3👍1
Forwarded from CTT CTI Trends
Было интересно посмотреть на каких доменах живет больше всего вредоносных URL.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
👍4
Приступаю к оживлению своего канала с забавной новости.
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
👍5
Нашел интересную фишинговую кампанию на пользователей VK.
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
id44922321.ru
id842568994.com
https://id842568994.com/admin/
https://id842568994.com/auth/aaaa/login.js👍4
#news
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
🔥6❤1👍1
#news
Умельцы не стоят на месте и в отместку микромягким на запрет исполнения макросов в документах, скачанных из интернета, придумали новый способ доставки ВПО.
Суть атаки заключается в использовании VSTO. Visual Studio Tools for Office представляет собой набор средств разработки надстроек для офисных документов (word,excel). Такие надстройки позволяют выполнять произвольный код при запуске документа. VSTO бывают локальные - хранящиеся непосредственно в директории документа, а также удалённые - загружаемые из удаленного хоста.
Исследователи из Deepinstinct сделали ресерч на эту тему, а также опубликовали PoC - потыкать можно здесь. И по традиции - на данный момент эксплоит, исользующий VSTO, не детектится большинством вендоров.
@SOCool
Умельцы не стоят на месте и в отместку микромягким на запрет исполнения макросов в документах, скачанных из интернета, придумали новый способ доставки ВПО.
Суть атаки заключается в использовании VSTO. Visual Studio Tools for Office представляет собой набор средств разработки надстроек для офисных документов (word,excel). Такие надстройки позволяют выполнять произвольный код при запуске документа. VSTO бывают локальные - хранящиеся непосредственно в директории документа, а также удалённые - загружаемые из удаленного хоста.
Исследователи из Deepinstinct сделали ресерч на эту тему, а также опубликовали PoC - потыкать можно здесь. И по традиции - на данный момент эксплоит, исользующий VSTO, не детектится большинством вендоров.
@SOCool
👍4🆒3
Исследователи из Лаборатории Касперского постили недавно отчет о том как устроен рынок труда в даркнете. Как оказалось, хакерским группировкам нужны не только таланливые пентестеры и программисты, но и дизайнеры, project менеджеры и даже SMM специалисты.
По своему опыту могу сказать, что медианная зарплата, которую предлагают на темной стороне тех.специалистам в среднем равна ЗП в хорошей ИБ компании РФ. С учетом того что в нынешних условиях можно почти везде устроиться удаленно, не переезжая в Москву, то есть ли смысл переходить на темную сторону?
❤ @SOCool
По своему опыту могу сказать, что медианная зарплата, которую предлагают на темной стороне тех.специалистам в среднем равна ЗП в хорошей ИБ компании РФ. С учетом того что в нынешних условиях можно почти везде устроиться удаленно, не переезжая в Москву, то есть ли смысл переходить на темную сторону?
Please open Telegram to view this post
VIEW IN TELEGRAM
💯3🆒2
Тоже приспособил ChatGPT для анализа вредоносного кода) Очень экономит время при исседовании каких-нибудь семплов
❤️ @SOCool
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤓3🔥2⚡1💯1
Forwarded from OSINT mindset
OSINT mindset meetup №7!
Суббота, 4 марта, 14:00
Ждём всех и каждого, вне зависимости от пола и возраста, по адресу: Благосфера, м. Динамо, 1-й Боткинский проезд, д. 7c1
❤️🔥С мощными докладами ворвутся:
1️⃣ váli — Sock puppets: виртуальные личности для OSINT
2️⃣ Алексей Банников — Threat Intelligence: кто, как и зачем изучает киберугрозы 💻
3️⃣ @crytech7 — Hack back: расследуем криптовалютный скам 💎
Подробные анонсы по докладам будут позже.
Обещаем, будет как всегда круто и атмосферно! ✌️
❤ Channel | 💬 Chat | ▶ ️YouTube
Суббота, 4 марта, 14:00
Ждём всех и каждого, вне зависимости от пола и возраста, по адресу: Благосфера, м. Динамо, 1-й Боткинский проезд, д. 7c1
❤️🔥С мощными докладами ворвутся:
1️⃣ váli — Sock puppets: виртуальные личности для OSINT
2️⃣ Алексей Банников — Threat Intelligence: кто, как и зачем изучает киберугрозы 💻
3️⃣ @crytech7 — Hack back: расследуем криптовалютный скам 💎
Подробные анонсы по докладам будут позже.
Обещаем, будет как всегда круто и атмосферно! ✌️
Please open Telegram to view this post
VIEW IN TELEGRAM
Благосфера
Контакты – Благосфера
Адрес: Москва, 1-й Боткинский проезд, д. 7 стр. 1 Телефоны: +7 (977) 727-48-46, +7 (499) 653-71-33 E-mail: info@blagosfera.space Для СМИ:
🔥5