Forwarded from 1N73LL1G3NC3
Conquest
A feature-rich and malleable command & control/post-exploitation framework developed in Nim.
Blog: https://jakobfriedl.github.io/blog/nim-c2-traffic/
A feature-rich and malleable command & control/post-exploitation framework developed in Nim.
Blog: https://jakobfriedl.github.io/blog/nim-c2-traffic/
Win_Sec_Int.pdf
6.3 MB
"Windows Security Internals:
A Deep Dive into Windows Authentication, Authorization, and Auditing", 2024.
Advanced-Process-Injection-Workshop by CyberWarFare Labs
@GoSecurity
https://github.com/RedTeamOperations/Advanced-Process-Injection-Workshop
@GoSecurity
https://github.com/RedTeamOperations/Advanced-Process-Injection-Workshop
GitHub
GitHub - RedTeamOperations/Advanced-Process-Injection-Workshop
Contribute to RedTeamOperations/Advanced-Process-Injection-Workshop development by creating an account on GitHub.
Rust for Malware Development
https://github.com/Whitecat18/Rust-for-Malware-Development
@GoSecurity
#Rust #kernel #redteam #malware
https://github.com/Whitecat18/Rust-for-Malware-Development
@GoSecurity
#Rust #kernel #redteam #malware
GitHub
GitHub - Whitecat18/Rust-for-Malware-Development: Rust for malware Development is a repository for advanced Red Team techniques…
Rust for malware Development is a repository for advanced Red Team techniques and offensive malwares & Ransomwares, focused on Rust 🦀 - Whitecat18/Rust-for-Malware-Development
Forwarded from جادی | Jadi
جادی | Jadi
به نظر میرسه اپل قراره با پرداخت یکمیلیارد دلار در سال، از جمنای گوگل برای هوش مصنوعی سیری استفاده کنه. چیزی که واقعا جالبه اینه که اپل ظاهراً پذیرفته که فعلا توان رقابت در این حوزه رو نداره و باید برای داشتن این قابلیتها، از رقیب سنتیاش سرویس بخره. #اپل…
سوال اینجاست که اپل فهمیده نمیتونه رقابت کنه ولی چرا ایران داره سازمانهوش مصنوعی راه میندازه ؛ چی تو خودشون دیدن که اپل ندیده ؟
Forwarded from Linuxor ?
موقع کد زدن یا چت کردن با چت باتا، انگلیسی و فارسی به هم میریزه این اکستنشن کروم رو نصب کنید خودکار درستشون میکنه
chromewebstore.google.com/detail/pjpmebofipgpjaincgoboibbmicccbne
@Linuxor
chromewebstore.google.com/detail/pjpmebofipgpjaincgoboibbmicccbne
@Linuxor
Offensive Security
https://news.1rj.ru/str/onhex_ir/10278
اگر وب کار میکنید؛ سعی کنید تخصصی روی رسیدن به سرور کار کنید؛
یه پنتستر وظیفهش رسیدن به سروره؛ شما نمیتونی از آقای گوزچیزاده دوره بخری و توقع داشته باشی با فهم Xss و Csrf بری سرکار؛ اینا آسیبپذیریهای هستن که بدرد هیچی نمیخورن؛ فقط یه مشت پکیج فروش اونارو بولد میکنن که بهتون پکیج بفروشن؛ درواقع همون معادله قدیمیه که توی ترید هم دیدید.
اینا هیچ ایمپکتی ندارن؛ هر اسیبپذیری که در نهایت منجر به Rce نشه به هیچ دردی نمیخوره.
بعد از اینکه یه متود قوی واسه Rce داشتید برید سمت زیرودی روی فریمورکهای اوپنسورس و همینطوری خودتونو ارتقا بدید. اگرم فقط کلاینتساید بلدید لطفا هیچوقت آگهی پنتستر رو پر نکنید.
امیدوارم یه روزی از وب بکشید بیرون وحداقل برید راجب مایتراتک بخونید تا بفهمید که این پکیجفروشا چقدر آدمای بیشرفی هستن که سوشال مدیا دارن و برای جیب خودشون سر کسانی که آگاهی ندارن روکلاه میزارن.
چون آفنسیو اون چیزی نیست که فکرشو میکنید.
یه پنتستر وظیفهش رسیدن به سروره؛ شما نمیتونی از آقای گوزچیزاده دوره بخری و توقع داشته باشی با فهم Xss و Csrf بری سرکار؛ اینا آسیبپذیریهای هستن که بدرد هیچی نمیخورن؛ فقط یه مشت پکیج فروش اونارو بولد میکنن که بهتون پکیج بفروشن؛ درواقع همون معادله قدیمیه که توی ترید هم دیدید.
اینا هیچ ایمپکتی ندارن؛ هر اسیبپذیری که در نهایت منجر به Rce نشه به هیچ دردی نمیخوره.
بعد از اینکه یه متود قوی واسه Rce داشتید برید سمت زیرودی روی فریمورکهای اوپنسورس و همینطوری خودتونو ارتقا بدید. اگرم فقط کلاینتساید بلدید لطفا هیچوقت آگهی پنتستر رو پر نکنید.
امیدوارم یه روزی از وب بکشید بیرون وحداقل برید راجب مایتراتک بخونید تا بفهمید که این پکیجفروشا چقدر آدمای بیشرفی هستن که سوشال مدیا دارن و برای جیب خودشون سر کسانی که آگاهی ندارن روکلاه میزارن.
چون آفنسیو اون چیزی نیست که فکرشو میکنید.
❤1
⭕️ CVE-2025-62429
ClipBucket v5 is an open source video sharing platform. Prior to version 5.5.2 #147, ClipBucket v5 is vulnerable to arbitrary PHP code execution.
In /upload/admin_area/actions/update_launch.php, the "type" parameter from a POST request is embedded into PHP tags and executed. Proper sanitization is not performed, and by injecting malicious code an attacker can execute arbitrary PHP code. This allows an attacker to achieve RCE. This issue has been resolved in version 5.5.2 #147.
@GoSecurity
ClipBucket v5 is an open source video sharing platform. Prior to version 5.5.2 #147, ClipBucket v5 is vulnerable to arbitrary PHP code execution.
In /upload/admin_area/actions/update_launch.php, the "type" parameter from a POST request is embedded into PHP tags and executed. Proper sanitization is not performed, and by injecting malicious code an attacker can execute arbitrary PHP code. This allows an attacker to achieve RCE. This issue has been resolved in version 5.5.2 #147.
@GoSecurity
⭕️ CVE-2025-5717
An authenticated remote code execution (RCE) vulnerability exists in multiple WSO2 products due to improper input validation in the event processor admin service. A user with administrative access to the SOAP admin services can exploit this flaw by deploying a Siddhi execution plan containing malicious Java code, resulting in arbitrary code execution on the server.
Exploitation of this vulnerability requires a valid user account with administrative privileges, limiting the attack surface to authenticated but potentially malicious users.
@GoSecurity
An authenticated remote code execution (RCE) vulnerability exists in multiple WSO2 products due to improper input validation in the event processor admin service. A user with administrative access to the SOAP admin services can exploit this flaw by deploying a Siddhi execution plan containing malicious Java code, resulting in arbitrary code execution on the server.
Exploitation of this vulnerability requires a valid user account with administrative privileges, limiting the attack surface to authenticated but potentially malicious users.
@GoSecurity
Kernel Callback Tables for Process Injection
https://github.com/0xHossam/KernelCallbackTable-Injection-PoC
@GoSecurity
#kernel #windows #exploitation #process
https://github.com/0xHossam/KernelCallbackTable-Injection-PoC
@GoSecurity
#kernel #windows #exploitation #process
GitHub
GitHub - 0xHossam/KernelCallbackTable-Injection-PoC: Proof of Concept for manipulating the Kernel Callback Table in the Process…
Proof of Concept for manipulating the Kernel Callback Table in the Process Environment Block (PEB) to perform process injection and hijack execution flow with very detailed explanation. - 0xHossam/...
Offensive Security
eset-apt-activity-report-q2-2025-q3-2025.pdf
مروری بر فعالیتهای گروههای APT منتخب که توسط تیم تحقیقاتی ESET در سهماههٔ دوم و سوم سال ۲۰۲۵ بررسی و تحلیل شدهاند.
محتوای گزارش:
در سهماههٔ دوم و سوم سال ۲۰۲۵، شرکت ESET افزایش فعالیت گروههای APT را در تقریباً تمام مناطق جهان ثبت کرده است.
روندهای اصلی مشاهدهشده عبارتاند از:
• افزایش چشمگیر حملات adversary-in-the-middle (AitM)
• افزایش حملات spear-phishing داخلی
• حملات supply-chain
• استفاده از آسیبپذیریهای روز صفر (0-day) برای تحویل بدافزار
🇨🇳 گروههای منتسب به چین
بازیگران چینی بهطور فعال از روش AitM برای رهگیری بهروزرسانیها و حرکت جانبی در شبکه استفاده میکنند.
گروههای PlushDaemon، SinisterEye، Evasive Panda، TheWizards با ربودن بهروزرسانیهای شبکه و تغییر مسیر DNS حمله میکنند.
گروه FamousSparrow کمپینهایی علیه نهادهای دولتی آمریکای لاتین اجرا کرده است؛ در این حملات از DLL sideloading از طریق فایل BugSplatRC.dll استفاده شده که توسط فایلهای قانونی (مانند mantec.exe، kasper.exe، trend.exe) اجرا میشود و ابزار atexec-pro برای حرکت جانبی استفاده میشود.
گروه Flax Typhoon از سرورهای وب عمومی سوءاستفاده کرده، وبشل مستقر میکند و زیرساخت خود را بر پایهٔ SoftEther VPN و پراکسی BUUT نگه داشته است.
گروه Speccom در آسیای مرکزی سندی با نام UzGasTrade 26.06.2025.doc پخش کرده که شامل ماکرو بوده و زنجیرهٔ آلودگی آن عبارت است از:
ماکرو → لودر CalaRat → بکدورهای BLOODALCHEMY، kidsRAT، RustVoralix.
🇮🇷 گروههای منتسب به ایران
بازیگران ایرانی در حال گسترش تکنیکهای فیشینگ خود هستند.
گروه MuddyWater به سمت spear-phishing داخلی رفته است؛ یعنی ارسال ایمیل از صندوقهای پستی داخلی که از پیش بهخطر افتادهاند؛ این کار باعث دور زدن فیلترهای ایمیل و افزایش احتمال نفوذ موفق میشود.
گروه GalaxyGato (C5) از PowerShell برای شناسایی و از یک backdoor مبهمشده (obfuscated) به نام C5 استفاده میکند.
کمپینهای این گروه از تکنیک DLL search-order hijacking در مسیر Windows Defender
(Version.dll → Offline\MMpLics.dll → LSASS → MsMpCon.dll.mui) برای سرقت اعتبارنامهها بهره میبرند.
🇰🇵 گروههای منتسب به کرهٔ شمالی
اپراتورهای کرهشمالی فعالیتهای جاسوسی و مالی را ترکیب کرده و دامنهٔ جغرافیایی خود را تا ازبکستان گسترش دادهاند.
گروه DeceptiveDevelopment با تماسهای جعلی منابع انسانی و کدهای آلودهشده حمله میکند؛ بدافزار اصلی آن AkdoorTea است.
گروههای Lazarus / ScarCruft حملات زنجیرهٔ تأمین را از طریق نصابهای ERP و نرمافزارهای CCTV آلوده اجرا کرده و بدافزارهای RokRAT، ThreatNeedleTea، SIGNBT را نصب میکنند.
گروه Konni از مجموعه ابزارهای پس از نفوذ شامل تونل معکوس TCP سفارشی، RDP Wrapper و اکسپلویت EternalBlue استفاده میکند و حتی زنجیرهای غیرمعمول برای macOS دارد (AppleScript → EggShell).
🇷🇺 گروههای منتسب به روسیه
در روسیه، APTهای روسی بر اهداف اوکراین و اروپا تمرکز دارند و از فیشینگ، آسیبپذیریهای روز صفر و ابزارهای مخرب استفاده میکنند.
گروه RomCom (UNC2596) از آسیبپذیری روز صفر WinRAR (CVE-2025-8088) سوءاستفاده کرده که با Alternate Data Streams کار میکند: فایل فشرده DLLهای مخفی را در %TEMP% استخراج کرده و یک میانبر (.lnk) در مسیر Startup میسازد. بدافزارهای بارگذاریشده شامل SnipBot، RustyClaw، Mythic هستند.
گروه Gamaredon به فیشینگ انبوه در اوکراین ادامه میدهد و از همان اکسپلویت WinRAR نیز بهره میبرد؛ دادهها را به ذخیرهسازهای S3-compatible مانند Tebi و Wasabi میفرستد و از تونلهای loca.lt، devtunnels.ms، workers.dev استفاده میکند؛ همچنین تحویل گزینشی نسخههای Turla Kazuar v2/v3 مشاهده شده است.
گروه Sandworm از پاککنندهها (wipers) با نامهای ZEROLOT و Sting استفاده میکند و آنها را از طریق Group Policy و وظایف زمانبندیشده منتشر میکند (نمونه: DavaniGulyashaSdeshka).
گروه InedibleOchotense در ایمیلها و پیامهای Signal خود را جای ESET جا زده و آرشیوی حاوی ابزار قانونی ESET AV Remover و backdoor Kalambur ارسال کرده است (دامنهها: eset-review[.]com، esetsmart[.]com، esetscanner[.]com، esetremover[.]com).
🧩 سایر فعالیتها / بدون انتساب مشخص
آسیبپذیری XSS در Roundcube (CVE-2024-42009) شامل تزریق جاوااسکریپت از طریق نقص Roundcube است؛ اجرای JS downloader و Service Worker منجر به سرقت اعتبارنامهها و پیامها شده است؛ ایمیلهای طعمه بهسبک تولیدات هوش مصنوعی (با ایموجی و بولتپوینتها) طراحی شدهاند.
محتوای گزارش:
در سهماههٔ دوم و سوم سال ۲۰۲۵، شرکت ESET افزایش فعالیت گروههای APT را در تقریباً تمام مناطق جهان ثبت کرده است.
روندهای اصلی مشاهدهشده عبارتاند از:
• افزایش چشمگیر حملات adversary-in-the-middle (AitM)
• افزایش حملات spear-phishing داخلی
• حملات supply-chain
• استفاده از آسیبپذیریهای روز صفر (0-day) برای تحویل بدافزار
🇨🇳 گروههای منتسب به چین
بازیگران چینی بهطور فعال از روش AitM برای رهگیری بهروزرسانیها و حرکت جانبی در شبکه استفاده میکنند.
گروههای PlushDaemon، SinisterEye، Evasive Panda، TheWizards با ربودن بهروزرسانیهای شبکه و تغییر مسیر DNS حمله میکنند.
گروه FamousSparrow کمپینهایی علیه نهادهای دولتی آمریکای لاتین اجرا کرده است؛ در این حملات از DLL sideloading از طریق فایل BugSplatRC.dll استفاده شده که توسط فایلهای قانونی (مانند mantec.exe، kasper.exe، trend.exe) اجرا میشود و ابزار atexec-pro برای حرکت جانبی استفاده میشود.
گروه Flax Typhoon از سرورهای وب عمومی سوءاستفاده کرده، وبشل مستقر میکند و زیرساخت خود را بر پایهٔ SoftEther VPN و پراکسی BUUT نگه داشته است.
گروه Speccom در آسیای مرکزی سندی با نام UzGasTrade 26.06.2025.doc پخش کرده که شامل ماکرو بوده و زنجیرهٔ آلودگی آن عبارت است از:
ماکرو → لودر CalaRat → بکدورهای BLOODALCHEMY، kidsRAT، RustVoralix.
🇮🇷 گروههای منتسب به ایران
بازیگران ایرانی در حال گسترش تکنیکهای فیشینگ خود هستند.
گروه MuddyWater به سمت spear-phishing داخلی رفته است؛ یعنی ارسال ایمیل از صندوقهای پستی داخلی که از پیش بهخطر افتادهاند؛ این کار باعث دور زدن فیلترهای ایمیل و افزایش احتمال نفوذ موفق میشود.
گروه GalaxyGato (C5) از PowerShell برای شناسایی و از یک backdoor مبهمشده (obfuscated) به نام C5 استفاده میکند.
کمپینهای این گروه از تکنیک DLL search-order hijacking در مسیر Windows Defender
(Version.dll → Offline\MMpLics.dll → LSASS → MsMpCon.dll.mui) برای سرقت اعتبارنامهها بهره میبرند.
🇰🇵 گروههای منتسب به کرهٔ شمالی
اپراتورهای کرهشمالی فعالیتهای جاسوسی و مالی را ترکیب کرده و دامنهٔ جغرافیایی خود را تا ازبکستان گسترش دادهاند.
گروه DeceptiveDevelopment با تماسهای جعلی منابع انسانی و کدهای آلودهشده حمله میکند؛ بدافزار اصلی آن AkdoorTea است.
گروههای Lazarus / ScarCruft حملات زنجیرهٔ تأمین را از طریق نصابهای ERP و نرمافزارهای CCTV آلوده اجرا کرده و بدافزارهای RokRAT، ThreatNeedleTea، SIGNBT را نصب میکنند.
گروه Konni از مجموعه ابزارهای پس از نفوذ شامل تونل معکوس TCP سفارشی، RDP Wrapper و اکسپلویت EternalBlue استفاده میکند و حتی زنجیرهای غیرمعمول برای macOS دارد (AppleScript → EggShell).
🇷🇺 گروههای منتسب به روسیه
در روسیه، APTهای روسی بر اهداف اوکراین و اروپا تمرکز دارند و از فیشینگ، آسیبپذیریهای روز صفر و ابزارهای مخرب استفاده میکنند.
گروه RomCom (UNC2596) از آسیبپذیری روز صفر WinRAR (CVE-2025-8088) سوءاستفاده کرده که با Alternate Data Streams کار میکند: فایل فشرده DLLهای مخفی را در %TEMP% استخراج کرده و یک میانبر (.lnk) در مسیر Startup میسازد. بدافزارهای بارگذاریشده شامل SnipBot، RustyClaw، Mythic هستند.
گروه Gamaredon به فیشینگ انبوه در اوکراین ادامه میدهد و از همان اکسپلویت WinRAR نیز بهره میبرد؛ دادهها را به ذخیرهسازهای S3-compatible مانند Tebi و Wasabi میفرستد و از تونلهای loca.lt، devtunnels.ms، workers.dev استفاده میکند؛ همچنین تحویل گزینشی نسخههای Turla Kazuar v2/v3 مشاهده شده است.
گروه Sandworm از پاککنندهها (wipers) با نامهای ZEROLOT و Sting استفاده میکند و آنها را از طریق Group Policy و وظایف زمانبندیشده منتشر میکند (نمونه: DavaniGulyashaSdeshka).
گروه InedibleOchotense در ایمیلها و پیامهای Signal خود را جای ESET جا زده و آرشیوی حاوی ابزار قانونی ESET AV Remover و backdoor Kalambur ارسال کرده است (دامنهها: eset-review[.]com، esetsmart[.]com، esetscanner[.]com، esetremover[.]com).
🧩 سایر فعالیتها / بدون انتساب مشخص
آسیبپذیری XSS در Roundcube (CVE-2024-42009) شامل تزریق جاوااسکریپت از طریق نقص Roundcube است؛ اجرای JS downloader و Service Worker منجر به سرقت اعتبارنامهها و پیامها شده است؛ ایمیلهای طعمه بهسبک تولیدات هوش مصنوعی (با ایموجی و بولتپوینتها) طراحی شدهاند.
Forwarded from Ai000 Cybernetics QLab
Media is too big
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
CVE-2025-60710 Local Privilege Escalation in Taskhost Windows Tasks
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.