По опыту своей работы скажу что Telegram все еще популярный вариант для командного центра различного ВПО, о чем я писал ранее. В него шлют украденные данные стиллеры, используют как своего рода reverse shell хакеры при атаках и отправляются украденные данные на фишинговых ресурсах.

Недавно нашел вебсервис для сбора лога сообщений из ТГ бота. Работает через раз, но сообщения собирает неплохо, особенно когда нужно быстро проверить один токен. На скрине пример сообщений, который шлет в ТГ Phemedrone Stealer.

Попробовать -> https://matkap.cti.monster/

❤@seclemur |❤@tinyscope

У злоумышленников, в особенности финансово мотивированных, идея простая - зайти, закрепиться, поднять привилегии и пошифровать - вот и все дела. Иногда этот процесс занимает не больше 30 минут.

Часто такие ребята не заморачиваются с инструментарием для закрепления и используют легитимные утилиты (+2 к defense evasion и lateral movement ) - на этом сделали упор в своем годовом отчете Cisco Talos. Исследователи перечислили самые популярные Remote access tools какие они встречали на инцидентах.

Большую часть из этих инструментов встречаем и мы в ходе своих исследований атак на СНГ, но и на несколько новых названий обратил внимание.

Ссылка на годовой отчет от Talos - link

❤@seclemur |❤@tinyscope

По пентесту соревнования видел, но вот на челендж по TI наткнулся впервые 👀

Организаторы - Netlas и RST Cloud. Не Капибаровск, конечно, но интересно поучаствовать, вписался 👍

Ссылка

❤@seclemur |❤@tinyscope

Как можно использовать обнаруженную информацию для дальнейшего хантинга?

На упомянутом фише виден специфический title PROX

Немного поигравшись с запросами в разнообразных поисковиках можно найти созданные этим фишкитом ресурсы:

Google - intitle:"PROX" "ВТБ" "рождения"

FOFA - icon_hash="-1632789762" && title=="PROX"

Тем самым дополнительно ловим новые ресурсы. Некоторые из них зарегистрированы давно, но все еще живы.

❤@seclemur |❤@tinyscope

Практически перестал гуглить 

Открыл для себя недавно сервис perplexity.ai. Очередная ИИ система, но суть ее заключается в том, что она как классический поисковик индексирует интернет и после обработки запроса пользователя ищет ответ среди проиндексированного контента. А вот понимает она что искать как раз обработав запрос пользователя с помощью моделек. То есть вероятность поймать галлюцинацию и увидеть выдуманные нейросетью данные околонулевые. Только голые факты 🧠

Выдачу, конечно же, нужно перепроверять, но нейросеть под каждый обнаруженный факт оставляет ссылку на источник где эти данные взяла. 

В PRO версиях появилась возможность делать глубокое исследование и целый проект. Во втором случае если просишь исследование, то по запросу даже графики рисует. Погуглив, можно найти бюджетные варианты как получить про версию аккаунта на год.

Perplexity однозначно лайк.

❤@seclemur |❤@tinyscope

Неожиданное применение Perplexity

Попался на руки отчет SOCradar с обзором самых активных каналов Telegram по распространению логов стиллеров.

Попытка найти эти каналы через встроенный поисковик TG не увенчается успехом, так как каналы приватные. Но если закинуть в перплексити запрос что-то вроде:

[Channel name] telegram channel private link to join

То можно с высокой вероятностью за пару секунд заполучить ссылку на вступление в канал.

❤@seclemur | ❤@tinyscope

❗️Вышел пресс релиз о том что арестован подозреваемый администратор одного из крупнейших русскоязычных киберпреступных форумов — XSS — в результате длительного международного расследования, проведённого французскими властями при поддержке Европола. Форум насчитывал более 50 000 зарегистрированных пользователей и был ключевой площадкой для торговли украденными данными, хакерскими инструментами и незаконными услугами.

Локбит, бричфорум, а не так давно и инфраструктуры популярных вредоносов были нейтрализованы правоохранителями. Как-будто все меньше вариантов остается у злоумышленников для общения друг с другом.

Какой будущий тренд у теневой коммуникации между злоумышленниками? Телеграм, дискорд, новый Bitchat?

Парсеры для каких каналов связи ИБ специалистам начинать писать уже сейчас? 🗿

❤@seclemur | ❤@tinyscope

👀 Интересный прецедент: ответственность за фишинговый сайт теперь возлагается на компанию,под бренд которой он был сделан.

Согласно статье РБК, Верховный Суд признали компанию виновной в том, что появился фейковый сайт, имитирующий её бренд. Вместо того чтобы считать это сторонней мошеннической схемой, власти увидели в этом проявление халатности или контроля со стороны компании над соответствующим доменом.

ВС посчитал, что женщина не была обязана разбираться, подлинный это ресурс или нет

Напомню, когда Верховный Суд выносит вердикт, то остальные суды должны при вынесении своих решений по схожим вопросам опираться на опыт Верховного Суда.

Это может стать важным юридическим прецедентом: теперь компании могут нести прямую ответственность за фишинговые сайты, выдающие себя за их официальные ресурсы.
Сигнал тревоги для брендов — мониторинг и контроль регистрации доменов может стать обязательным, а не факультативным.

❤@seclemur | ❤@tinyscope

Для любителей сплетен и всех этих даркнет разборок - у Кребса вышла статья про то как вышли на админа XSS и кого все-таки арестовали 🤔

❤@seclemur | ❤@tinyscope

Иногда для регистрации на ресурсах нужна бизнес или студенческая почта.

Сервис, который может помочь с этим - https://imail.edu.vn/

Обычный temp mail, но в почтовых доменах есть edu, что может помочь получить себе валидный аккаунт 😈

❤@tinyscope |❤@seclemur

В комментариях к предыдущему посту disasm.me подсветил обратную сторону вопроса - если вам нужно отсеивать любителей халявы (меня, например), использующих temp mail при регистрации, то проверять почтовые домены можно с помощью блэклиста - GitHub

Репозиторий пополняется автором и активными пользователями 💪

❤@tinyscope | ❤@seclemur

А вот и лайфхак где можно использовать почту универа с пользой.

У Shodan есть бесплатный апгред до Membership статуса, если почта оканчивается на .edu, .ac.uk и т.д

Все проверил, работает 🤝


❤@tinyscope | ❤@seclemur |❤ @threat_chat