SOC Team

@GoSecurity

LockBit Matomo login onion subdomain

Never released this but LockBit still has a configured Matomo Analytics backend software package on a server behind an HTTPS proxy on an old live DLS.

/lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd[.]onion

not so-hidden service:

Read-
https://xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion

-> insecure sign in ⤵️

/http://test.xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion

Matomo login panel for “LockBit” DLS


@GoSecurity
#RaaS
#lockbit

 Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub

Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.

@GoSecurity
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/

#malware
#npm

🚨 فلوئنت بیت (Fluent Bit) یکی از محبوب‌ترین ابزارهای جمع‌آوری و انتقال لاگ در کلود است که بیش از ۱۵ میلیارد بار روی سرورها و سرویس‌ها نصب و استفاده شده. حالا این ابزار با ۵ آسیب‌پذیری بحرانی مواجه است.

فلوئنت بیت یک log forwarder و telemetry agent فوق‌سبک است که روی سرورها، کانتینرها و Kubernetes نصب می‌شود.

کاربردها و فعالیت‌ها:
• جمع‌آوری لاگ‌ها و eventها
• فیلتر، پردازش و پارس کردن داده‌ها
• ارسال داده‌ها به مقصدهایی مثل Elasticsearch، Loki، Datadog، Splunk، S3 یا سایر سرویس‌های کلود

به دلیل سرعت بالا و حجم کم، در محیط‌های Kubernetes و سرویس‌های ابری به‌شدت استفاده می‌شود. به همین دلیل، آسیب‌پذیری‌ها اهمیت بالایی دارند، زیرا می‌توانند به‌طور مستقیم روی لاگ‌ها و telemetry تأثیر بگذارند.

مهاجم‌ها با سوءاستفاده از این باگ‌ها می‌توانند:
• کد اجرا کنند
• لاگ‌ها را تغییر دهند یا حذف کنند
• جعل telemetry در AWS، GCP و Azure

برخی از این باگ‌ها بیش از هشت سال داخل Fluent Bit وجود داشته‌اند.

جزئیات بیشتر:
The Hacker News

@GoSecurity
#Fluent_Bit #CVE #LPE #RedTeam

🚨 آسیب‌پذیری اجرای کد از راه دور (RCE) در ابزار امنیتی ImunifyAV / Imunify360 میلیون‌ها وب‌سایت میزبانی‌شده روی لینوکس را در معرض خطر قرار داده است.

ImunifyAV چیست؟
ابزاری امنیتی برای سرورهای لینوکسی است که کارهای زیر را انجام می‌دهد:

• اسکن و پاک‌سازی بدافزار
• تشخیص فایل‌های مخرب، backdoorها و web‑shellها
• محافظت از سرورهای cPanel، DirectAdmin و محیط‌های هاست اشتراکی
• استفاده توسط شرکت‌های هاستینگ برای امن نگه‌داشتن سایت‌های مشتری‌ها

این ابزار توسط ده‌ها میلیون سایت استفاده می‌شود و یکی از Anti-Malwareهای سمت سرور لینوکس است.


جزئیات آسیب‌پذیری

یک باگ خطرناک در کامپوننت AI‑Bolit (موتور اسکن بدافزار زیرمجموعه Imunify) شناسایی شده که باعث می‌شود مهاجم بتواند:
• کد دلخواه را روی سرور اجرا کند (RCE)
• فایل‌ها را تغییر دهد یا برنامه اجرا کند
• کل محیط هاست یا حتی چندین سایت روی یک سرور را compromise کند

مشکل از جایی می‌آید که موتور deobfuscation فایل‌های مشکوک، تابع‌هایی را اجرا می‌کند که مهاجم می‌تواند خودش تعیین کند؛ بدون هیچ‌گونه بررسی امنیتی.
این یعنی مهاجم قادر است توابع خطرناک PHP مانند:
system, exec, shell_exec, passthru, eval
را از طریق اسکنر فراخوانی کند.

در نسخهٔ مستقل AI‑Bolit این قابلیت خاموش است، اما وقتی داخل Imunify360 فعال می‌شود، در همهٔ حالت‌های اسکن به‌صورت پیش‌فرض فعال است.


• ابزار Imunify روی بیش از ۵۶ میلیون وب‌سایت نصب است.
• شدت آسیب‌پذیری Critical (امتیاز CVSS حدود ۸.۱–۸.۲) گزارش شده است.

آسیب‌پذیری در AI‑Bolit قبل از نسخهٔ v32.7.4.0 وجود دارد.
برای رفع مشکل باید به v32.7.4.0 یا بالاتر آپدیت شود.


اگر آپدیت امکان پذیر نیست:
• اجرای اسکنر با کمترین مجوزها
• محدود کردن دسترسی شبکه
• بررسی لاگ برای رفتارهای مشکوک توصیه می‌شود.

جزئیات بیشتر:

bleepingcomputer.com
patchstack.com
esecurityplanet.com

@GoSecurity
#Linux #ImunifyAV #RCE #ServerSecurity #CVE #Infosec

🚨 استفاده هکرهای روسی از Hyper‑V برای مخفی‌سازی بدافزار در ماشین‌های مجازی لینوکس؛ گروه Curly COMrades در حال دورزدن EDR


گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده می‌کند. این روش باعث می‌شود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا می‌شود. عملیات این گروه با منافع ژئوپلیتیکی روسیه هم‌سو بوده و پیش‌تر نهادهای دولتی و قضایی در گرجستان و همچنین شرکت‌های انرژی در مولداو را هدف قرار داده است.


Curly COMrades

گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجام‌شده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.


جزئیات فنی حمله

پس از به‌دست‌آوردن دسترسی اولیه remote روی ویندوز (نسخه‌های Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام می‌دهند:

• فعال‌سازی نقش Hyper‑V و غیرفعال‌کردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیه‌سازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.

این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:

• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا می‌کند، از طریق HTTPS به C2 متصل می‌شود و با cron job پایداری دارد.

• CurlCat:
یک reverse proxy که تونل‌سازی انجام می‌دهد، SOCKS proxy ایجاد می‌کند و ترافیک SSH را داخل درخواست‌های HTTPS مخفی کرده و برای pivoting استفاده می‌شود.


تکنیک‌های evasion و persistence

• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based می‌شود که network inspection ندارند.
• استفاده از payloadهای رمزنگاری‌شده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
 – یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
 – دیگری برای ایجاد حساب محلی از طریق Group Policy

این روش به‌خاطر نبود ابزارهای multi‑layered در بسیاری از شبکه‌ها مؤثر باقی می‌ماند.


تأثیر و گستردگی

• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکت‌های انرژی در مولداو
• ریسک‌ها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده می‌شود.


جزئیات بیشتر:

bitdefender.com
securityaffairs.com
theregister.com

@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers

JOIN ⤵️
https://x.com/i/communities/1783990533192651232

@GoSecurity
#c #assembly

Using that WinRAR vuln to straight-up jack Office 2024 — both for persistence and dirty macro pops. Yeah, this move hits hard. It’s a killer trick for initial foothold and long-term persistence. Every time the victim fires up Office, then open a doc, create a doc, whatever our macro wakes up and runs the block like it owns the place.

@aioooir | #exploitation #magus

❕Linux Reverse Engineering and Exploitation ❕



❗️Key Learning Objectives

Linux Architecture & Security: processes, memory,
permissions, protections

Vulnerability Types: buffer overflows, integer overflows, format strings, privilege escalations

Reverse Engineering: assembly basics, binary disassembly, decompilation

Practical Exploitation: bypassing ASLR, stack canaries, NX, and RELRO

ROP & Shellcoding: return-oriented programming techniques and writing basic shellcodes

Hands-on CTF Challenges: PicoCTF, TryHackMe, OverTheWire (Narnia), ROP Emporium


https://github.com/akazemi67/Linux-Exploit-Development-Course
https://news.1rj.ru/str/OxAA55


@GoSecurity
#Linux #exploit #RE #linux_internals

#linux #kernel

تنها چیزی که واقعاً روی مصاحبه‌تون تأثیر می‌ذاره خودِ شمایید. باید توانمند باشید و بتونید توانایی‌هاتون رو نشون بدید. یکی از چیزهایی که یه سینیور باید داشته باشه، مهارت برنامه‌نویسیه. من هر سینیوری دیدم، برنامه‌نویس خوبی هم بوده. هرکسی تو حوزه خودش باید زبان‌هایی که به کارش مربوطه رو بلد باشه. الزام قطعی نیست، ولی واقعاً سطح و ارزش شما رو بالا می‌بره.

در مورد مدرک هم که همیشه بحثه؛ یکی میگه مهمه، یکی میگه مهم نیست. شخصاً برام مهم نبوده، بیشتر این مهمه که طرف چی برای ارائه داره و تا حالا چی کار کرده.

اگه کسی می‌خواد به عنوان متخصص جایی استخدام بشه، باید اچیومنت داشته باشه. این اچیومنت می‌تونه سابقه کاری باشه یا چیزایی که با یادگیری‌هاتون ساختید. مثلاً زبان C یا اسمبلی بلدید، رفتید شلکد نوشتید یا یه C2 ساختید و می‌تونید کامل توضیحش بدید. یا تحقیق داشتید روی یه سرویس یا آسیب‌پذیری؛ مثل اکسپلویت کردن یه n-day یا حتی پیدا کردن zero-day.

البته اینا اصلاً شوخی نیست؛ فکر نکنید رسیدن به این سطح سادست. فعالیت در حوزه اسیب‌پذیری‌ها مطالعه مداوم چندساله میخواد. اما هرکسی باید تو سطح خودش یه دستاورد واقعی داشته باشه.

آدمای زیادی تو این فیلد فعالن و شاید بعضیاشون نگاه دقیق‌تر یا تجربه بیشتری داشته باشن، ولی اینکه کسیو پیدا کنید که واقعاً درست راهنمایی کنه کار آسونی نیست. باید مراقب باشید بی‌خودی دنبال هرکسی نرید و وقت و انرژی‌تون تلف نشه. من خودم تخصصی ندارم که بخوام در این زمینه مشاوره عمیقی بهتون بدم. اما اگر چیزی بدونم دریغ نمی‌کنم.

و به‌جای اینکه همش دنبال آدم بگردید، چند ماه انگلیسی‌تون رو تقویت کنید و از ریسورس‌های خارجی استفاده کنید. واقعاً هم نیازی به mentor یا استاد خاص ندارید. وقتی چند ماه کار کنید و یه کم تجربه بیاد دستتون، خودتون تشخیص می‌دید کی راست میگه یا کی فیکه، و اصلاً باید برای ادامه چیکار کنید.

برای یادگیری هم بهتره پلن کوتاه‌مدت بچینید. هر هفته یه چیز جدید یاد بگیرید. شخصاً با برنامه‌های طولانی‌مدت مشکل دارم؛ تو این شرایط پرتنش، ذهن انسان شاید ‌کشش لازم رو نداشته باشه.

در ضمن، سمت کسی که میگه «من ۱۰–۱۵ ساله کار می‌کنم» نرید اگه هیچ دستاوردی نداره. کسی که واقعاً ده سال تخصصی کار کرده باشه، کمه تو ایران و معمولاً هرکسی هم نمی‌شناسدش. گول سوشال‌مدیا رو هم نخورید؛ تعداد ممبر و فالوئر هیچ معنی فنی‌ای نداره. الان چند نفر هستن ممبر بالای ده‌هزار دارن، ولی ما که می‌شناسیمشون می‌دونیم هیچی برای عرضه ندارن. یه مدت هم چرندیاتشونو به اسم زیرودی می‌خواستن بندازن به ملت، که نشد.

Edr Vs Malware

@GoSecurity
#EDR #Fun