Popular bulletproof hosting provider Media Land has been sanctioned by the US for working with Ransomware gangs as well as other cybercrime.
@GoSecurity
#RaaS
#hosting
@GoSecurity
#RaaS
#hosting
Offensive Security
#پادکست #امنیت_کلبه_سایبرنتیک ⚡️ نوع: پادکست ⚡️ عنوان: دوره امنیت استراتژیک در نبردگاه سایبر ⚡️ قسمت نهم دکترین گوفِیس، آن روی سکه فناوری سایبر @aioooir | #podcast
اگر میخواید توان کشورهایی مثل اسرائیل یا آمریکا رو بدونید؛ این پادکست رو گوش بدید.
بعد از این کار اگر خواستید خیلی بیشتر مطالعه کنید راجبشون؛ برید و لیست کنفرانسهای امنیتی رو گیر بیارید( مث دفکان و ..)؛ برید و داخل یوتیوبشون یا بلاگهاشون اسامی ارائه دهندههارو دربیارید و امریکا/اسرائیلی هارو از لیست نهایی جدا کنید؛ بعدش برید و ارائههاشونو ببینید و سوشال مدیاشونو دنبال کنید.
اگر این کارارو انجام بدید و بعدش برید هی مطالعهتونو ادامه بدید؛ دید خوبی به مباحث تحقیقاتی و توان سایبری غرب پیدا خواهید کرد.
#usa #isreal
#nsa #security
بعد از این کار اگر خواستید خیلی بیشتر مطالعه کنید راجبشون؛ برید و لیست کنفرانسهای امنیتی رو گیر بیارید( مث دفکان و ..)؛ برید و داخل یوتیوبشون یا بلاگهاشون اسامی ارائه دهندههارو دربیارید و امریکا/اسرائیلی هارو از لیست نهایی جدا کنید؛ بعدش برید و ارائههاشونو ببینید و سوشال مدیاشونو دنبال کنید.
اگر این کارارو انجام بدید و بعدش برید هی مطالعهتونو ادامه بدید؛ دید خوبی به مباحث تحقیقاتی و توان سایبری غرب پیدا خواهید کرد.
#usa #isreal
#nsa #security
CVE-2025-64446 (auth bypass) + CVE-2025-58034 (command injection) to achieve unauthenticated RCE with root privileges:
@GoSecurity
https://github.com/rapid7/metasploit-framework/pull/20717
@GoSecurity
https://github.com/rapid7/metasploit-framework/pull/20717
کراد استرایک یکی از کارکنان داخلی را که درحال همکاری با گروههای خارجی بود، شناسایی کرد.
@GoSecurity
https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
@GoSecurity
https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
BleepingComputer
CrowdStrike catches insider feeding information to hackers
American cybersecurity firm CrowdStrike has confirmed that an insider shared screenshots taken on internal systems with hackers after they were leaked on Telegram by the Scattered Lapsus$ Hunters threat actors.
Template for developing custom C2 channels for Cobalt Strike using IAT hooks applied by a reflective loader.
@GoSecurity
https://github.com/CodeXTF2/CustomC2ChannelTemplate
#C2
#exfilter
@GoSecurity
https://github.com/CodeXTF2/CustomC2ChannelTemplate
#C2
#exfilter
GitHub
GitHub - CodeXTF2/CustomC2ChannelTemplate: template for developing custom C2 channels for Cobalt Strike using IAT hooks applied…
template for developing custom C2 channels for Cobalt Strike using IAT hooks applied by a reflective loader. - CodeXTF2/CustomC2ChannelTemplate
LockBit Matomo login onion subdomain
Never released this but LockBit still has a configured Matomo Analytics backend software package on a server behind an HTTPS proxy on an old live DLS.
/lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd[.]onion
not so-hidden service:
Read-
https://xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
-> insecure sign in ⤵️
/http://test.xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
Matomo login panel for “LockBit” DLS
@GoSecurity
#RaaS
#lockbit
Never released this but LockBit still has a configured Matomo Analytics backend software package on a server behind an HTTPS proxy on an old live DLS.
/lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd[.]onion
not so-hidden service:
Read-
https://xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
-> insecure sign in ⤵️
/http://test.xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
Matomo login panel for “LockBit” DLS
@GoSecurity
#RaaS
#lockbit
این دامنهها پتانسیل بالایی برای استفاده در حملات فیشینگ هدفمند دارند. مهاجم یک دامنه جعلی را ثبت میکند (مثلاً یکی از همینها) و سپس آن را در یک ایمیل یا پیام، بهگونهای شخصیسازی شده برای یک فرد یا گروه خاص استفاده میکند.
• مثال: مهاجم ایمیلی با عنوان
"به روز رسانی فوری برای حساب Apple ID شما"
برای یک کارمند یا مشتری خاص میفرستد. آدرس ایمیل فرستنده مثلاً noreply@supportapples.com است، که اگر کاربر دقت نکند(بالای ۹۰ درصد توجهی به این نکات نمیکنند)، قربانی خواهد شد.
@GoSecurity
#spear_phishing
#phishing
• مثال: مهاجم ایمیلی با عنوان
"به روز رسانی فوری برای حساب Apple ID شما"
برای یک کارمند یا مشتری خاص میفرستد. آدرس ایمیل فرستنده مثلاً noreply@supportapples.com است، که اگر کاربر دقت نکند(بالای ۹۰ درصد توجهی به این نکات نمیکنند)، قربانی خواهد شد.
@GoSecurity
#spear_phishing
#phishing
Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
@GoSecurity
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
#malware
#npm
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
@GoSecurity
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
#malware
#npm
BleepingComputer
Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
🚨 فلوئنت بیت (Fluent Bit) یکی از محبوبترین ابزارهای جمعآوری و انتقال لاگ در کلود است که بیش از ۱۵ میلیارد بار روی سرورها و سرویسها نصب و استفاده شده. حالا این ابزار با ۵ آسیبپذیری بحرانی مواجه است.
فلوئنت بیت یک log forwarder و telemetry agent فوقسبک است که روی سرورها، کانتینرها و Kubernetes نصب میشود.
کاربردها و فعالیتها:
• جمعآوری لاگها و eventها
• فیلتر، پردازش و پارس کردن دادهها
• ارسال دادهها به مقصدهایی مثل Elasticsearch، Loki، Datadog، Splunk، S3 یا سایر سرویسهای کلود
به دلیل سرعت بالا و حجم کم، در محیطهای Kubernetes و سرویسهای ابری بهشدت استفاده میشود. به همین دلیل، آسیبپذیریها اهمیت بالایی دارند، زیرا میتوانند بهطور مستقیم روی لاگها و telemetry تأثیر بگذارند.
مهاجمها با سوءاستفاده از این باگها میتوانند:
• کد اجرا کنند
• لاگها را تغییر دهند یا حذف کنند
• جعل telemetry در AWS، GCP و Azure
برخی از این باگها بیش از هشت سال داخل Fluent Bit وجود داشتهاند.
جزئیات بیشتر:
The Hacker News
@GoSecurity
#Fluent_Bit #CVE #LPE #RedTeam
فلوئنت بیت یک log forwarder و telemetry agent فوقسبک است که روی سرورها، کانتینرها و Kubernetes نصب میشود.
کاربردها و فعالیتها:
• جمعآوری لاگها و eventها
• فیلتر، پردازش و پارس کردن دادهها
• ارسال دادهها به مقصدهایی مثل Elasticsearch، Loki، Datadog، Splunk، S3 یا سایر سرویسهای کلود
به دلیل سرعت بالا و حجم کم، در محیطهای Kubernetes و سرویسهای ابری بهشدت استفاده میشود. به همین دلیل، آسیبپذیریها اهمیت بالایی دارند، زیرا میتوانند بهطور مستقیم روی لاگها و telemetry تأثیر بگذارند.
مهاجمها با سوءاستفاده از این باگها میتوانند:
• کد اجرا کنند
• لاگها را تغییر دهند یا حذف کنند
• جعل telemetry در AWS، GCP و Azure
برخی از این باگها بیش از هشت سال داخل Fluent Bit وجود داشتهاند.
جزئیات بیشتر:
The Hacker News
@GoSecurity
#Fluent_Bit #CVE #LPE #RedTeam
👍1
🚨 آسیبپذیری اجرای کد از راه دور (RCE) در ابزار امنیتی ImunifyAV / Imunify360 میلیونها وبسایت میزبانیشده روی لینوکس را در معرض خطر قرار داده است.
ImunifyAV چیست؟
ابزاری امنیتی برای سرورهای لینوکسی است که کارهای زیر را انجام میدهد:
• اسکن و پاکسازی بدافزار
• تشخیص فایلهای مخرب، backdoorها و web‑shellها
• محافظت از سرورهای cPanel، DirectAdmin و محیطهای هاست اشتراکی
• استفاده توسط شرکتهای هاستینگ برای امن نگهداشتن سایتهای مشتریها
این ابزار توسط دهها میلیون سایت استفاده میشود و یکی از Anti-Malwareهای سمت سرور لینوکس است.
جزئیات آسیبپذیری
یک باگ خطرناک در کامپوننت AI‑Bolit (موتور اسکن بدافزار زیرمجموعه Imunify) شناسایی شده که باعث میشود مهاجم بتواند:
• کد دلخواه را روی سرور اجرا کند (RCE)
• فایلها را تغییر دهد یا برنامه اجرا کند
• کل محیط هاست یا حتی چندین سایت روی یک سرور را compromise کند
مشکل از جایی میآید که موتور deobfuscation فایلهای مشکوک، تابعهایی را اجرا میکند که مهاجم میتواند خودش تعیین کند؛ بدون هیچگونه بررسی امنیتی.
این یعنی مهاجم قادر است توابع خطرناک PHP مانند:
system, exec, shell_exec, passthru, eval
را از طریق اسکنر فراخوانی کند.
در نسخهٔ مستقل AI‑Bolit این قابلیت خاموش است، اما وقتی داخل Imunify360 فعال میشود، در همهٔ حالتهای اسکن بهصورت پیشفرض فعال است.
• ابزار Imunify روی بیش از ۵۶ میلیون وبسایت نصب است.
• شدت آسیبپذیری Critical (امتیاز CVSS حدود ۸.۱–۸.۲) گزارش شده است.
آسیبپذیری در AI‑Bolit قبل از نسخهٔ v32.7.4.0 وجود دارد.
برای رفع مشکل باید به v32.7.4.0 یا بالاتر آپدیت شود.
اگر آپدیت امکان پذیر نیست:
• اجرای اسکنر با کمترین مجوزها
• محدود کردن دسترسی شبکه
• بررسی لاگ برای رفتارهای مشکوک توصیه میشود.
جزئیات بیشتر:
bleepingcomputer.com
patchstack.com
esecurityplanet.com
@GoSecurity
#Linux #ImunifyAV #RCE #ServerSecurity #CVE #Infosec
ImunifyAV چیست؟
ابزاری امنیتی برای سرورهای لینوکسی است که کارهای زیر را انجام میدهد:
• اسکن و پاکسازی بدافزار
• تشخیص فایلهای مخرب، backdoorها و web‑shellها
• محافظت از سرورهای cPanel، DirectAdmin و محیطهای هاست اشتراکی
• استفاده توسط شرکتهای هاستینگ برای امن نگهداشتن سایتهای مشتریها
این ابزار توسط دهها میلیون سایت استفاده میشود و یکی از Anti-Malwareهای سمت سرور لینوکس است.
جزئیات آسیبپذیری
یک باگ خطرناک در کامپوننت AI‑Bolit (موتور اسکن بدافزار زیرمجموعه Imunify) شناسایی شده که باعث میشود مهاجم بتواند:
• کد دلخواه را روی سرور اجرا کند (RCE)
• فایلها را تغییر دهد یا برنامه اجرا کند
• کل محیط هاست یا حتی چندین سایت روی یک سرور را compromise کند
مشکل از جایی میآید که موتور deobfuscation فایلهای مشکوک، تابعهایی را اجرا میکند که مهاجم میتواند خودش تعیین کند؛ بدون هیچگونه بررسی امنیتی.
این یعنی مهاجم قادر است توابع خطرناک PHP مانند:
system, exec, shell_exec, passthru, eval
را از طریق اسکنر فراخوانی کند.
در نسخهٔ مستقل AI‑Bolit این قابلیت خاموش است، اما وقتی داخل Imunify360 فعال میشود، در همهٔ حالتهای اسکن بهصورت پیشفرض فعال است.
• ابزار Imunify روی بیش از ۵۶ میلیون وبسایت نصب است.
• شدت آسیبپذیری Critical (امتیاز CVSS حدود ۸.۱–۸.۲) گزارش شده است.
آسیبپذیری در AI‑Bolit قبل از نسخهٔ v32.7.4.0 وجود دارد.
برای رفع مشکل باید به v32.7.4.0 یا بالاتر آپدیت شود.
اگر آپدیت امکان پذیر نیست:
• اجرای اسکنر با کمترین مجوزها
• محدود کردن دسترسی شبکه
• بررسی لاگ برای رفتارهای مشکوک توصیه میشود.
جزئیات بیشتر:
bleepingcomputer.com
patchstack.com
esecurityplanet.com
@GoSecurity
#Linux #ImunifyAV #RCE #ServerSecurity #CVE #Infosec
🚨 استفاده هکرهای روسی از Hyper‑V برای مخفیسازی بدافزار در ماشینهای مجازی لینوکس؛ گروه Curly COMrades در حال دورزدن EDR
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers
Forwarded from Ai000 Cybernetics QLab
This media is not supported in your browser
VIEW IN TELEGRAM
Using that WinRAR vuln to straight-up jack Office 2024 — both for persistence and dirty macro pops. Yeah, this move hits hard. It’s a killer trick for initial foothold and long-term persistence. Every time the victim fires up Office, then open a doc, create a doc, whatever our macro wakes up and runs the block like it owns the place.
@aioooir | #exploitation #magus
@aioooir | #exploitation #magus
❕Linux Reverse Engineering and Exploitation ❕
❗️Key Learning Objectives
Linux Architecture & Security: processes, memory,
permissions, protections
Vulnerability Types: buffer overflows, integer overflows, format strings, privilege escalations
Reverse Engineering: assembly basics, binary disassembly, decompilation
Practical Exploitation: bypassing ASLR, stack canaries, NX, and RELRO
ROP & Shellcoding: return-oriented programming techniques and writing basic shellcodes
Hands-on CTF Challenges: PicoCTF, TryHackMe, OverTheWire (Narnia), ROP Emporium
https://github.com/akazemi67/Linux-Exploit-Development-Course
https://news.1rj.ru/str/OxAA55
@GoSecurity
#Linux #exploit #RE #linux_internals
❗️Key Learning Objectives
Linux Architecture & Security: processes, memory,
permissions, protections
Vulnerability Types: buffer overflows, integer overflows, format strings, privilege escalations
Reverse Engineering: assembly basics, binary disassembly, decompilation
Practical Exploitation: bypassing ASLR, stack canaries, NX, and RELRO
ROP & Shellcoding: return-oriented programming techniques and writing basic shellcodes
Hands-on CTF Challenges: PicoCTF, TryHackMe, OverTheWire (Narnia), ROP Emporium
https://github.com/akazemi67/Linux-Exploit-Development-Course
https://news.1rj.ru/str/OxAA55
@GoSecurity
#Linux #exploit #RE #linux_internals
GitHub
GitHub - akazemi67/Linux-Exploit-Development-Course: This course provides a practical introduction to Linux reverse engineering…
This course provides a practical introduction to Linux reverse engineering and exploitation. You’ll learn how Linux binaries work under the hood, how vulnerabilities arise, and how to discover and ...
Forwarded from Offensive Security (MNM)
UnderStanding The Linux Kernel 3rd Edition.pdf
5.3 MB