Инфобез

Хакеры утверждают, что им удалось получить данные Росреестра.

Сообщается, что они получили доступ к более чем 2 миллиардам строк, общий объем которых составляет около 1 терабайта.

В подтверждение своих слов хакеры предоставили ссылку для свободного скачивания части базы данных, содержащей 81 990 606 строк.

Самая новая запись в этой выборке датируется 10 марта 2024 года.

Источник

Инструменты для поиска по Email

Анализ заголовка письма

Поиска по утечкам сетевых сервисов
🖥 haveibeenpwned.com
🖥 monitor.mozilla.org
🖥 intelx.io

Поиск корпоративной электронной почты
🖥 hunter.io
🖥 www.skymem.info

Поиск Email к привязанным интернет сервисам

Информация об учетных записях по Email из общедоступных источников (поисковые системы, серверы ключей PGP, Shodan)

Google Dorks Поиск электронной почты на страницах определенного сайта
📑site:xxxxx intext:[email protected]

Источник

Не знаю фейк или нет, официального подтверждения не видел

ФСТЭК проведёт проверку компетенций руководителей, отвечающих за информационную безопасность в компаниях и ведомствах с критической информационной инфраструктурой.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала программу переподготовки руководителей в области информационной безопасности (ИБ) для федеральных и региональных органов власти, а также компаний с государственным участием, владеющих объектами критической информационной инфраструктуры (КИИ). Программа будет согласована с ФСБ и передана в высшие учебные заведения.

Ghostport

Высокопроизводительный инструмент для подмены портов на Rust, предназначенный для запутывания сканеров портов посредством динамической эмуляции сервисов на всех портах.

Несмотря на кажущуюся простоту идеи, данная программа выделяется поддержкой настраиваемых подписей, эффективной асинхронной обработкой и возможностью простого перенаправления трафика.

Git
Источник

#Фишинг

Исследователи из Лаборатории Касперского обнаружили новое вредоносное ПО VBCloud, используемое хацкерской группировкой Cloud Atlas.

Заражение происходило через фишинговые письма с вредоносными документами, эксплуатирующими уязвимость CVE-2018-0802 для загрузки и выполнения вредоносного кода.

Жертвы находилось в России,в Беларуси, Канаде, Молдове, Израиле, Киргизии, Турции и Вьетнаме.

Cloud Atlas, действующая с 2014 года, известна также как Clean Ursa, Inception, Oxygen и Red October.

Фишинговые атаки начинались с писем, содержащих вредоносные документы Microsoft Office, которые загружали шаблоны RTF с удалённого сервера, используя уязвимость CVE-2018-0802 для извлечения и запуска HTA-файлов.

Данные файлы создавали бэкдор VBShower, состоящий из лаунчера-загрузчика и модуля бэкдора, работающего в памяти.

Вредоносное ПО собирает информацию о дисках, метаданные, файлы (.DOC,.DOCX,.XLS,.XLSX,.PDF,.TXT,.RTF,.RAR), файлы с Telegram.

Black Hat Europe 2024

С 9 по 12 декабря в Лондоне прошла крупнейшая конференция по информационной безопасности — Black Hat Europe 2024

Были представлены интересные доклады и уникальная информация.
Хотя официальный YouTube-канал еще не выложил видео, недавно появились первые презентации в одном из репозиториев.

Также рекомендую посмотреть выступления с прошлых мероприятий, где можно найти много интересного и полезного.
Видео Black Hat Asia 2024;
Видео Black Hat USA 2024;
Видео Black Hat Europe 2023;
Видео Black Hat USA 2023;
Видео Black Hat Asia 2023.
Видео Black Hat Europe 2022;
Видео Black Hat USA 2022;
Видео Black Hat Asia 2022.

Пейте, пойте, веселитесь,
Но под елку не ложитесь,
Чтобы дедушка Мороз
В вытрезвитель не унес!

Приветствую, я не мог не поделиться этой картинкой

#юмор #ИИ

#Уязвимости #MicrosoftDefender

В Microsoft Defender можно использовать WDAC для обхода EDR

Исследователи выяснили, что функцию WDAC в Microsoft Defender можно использовать для обхода EDR. Этот метод позволяет злоумышленникам отключать EDR на устройствах в сети Active Directory, если у них есть административные права. Для этого требуется вмешательство в политику настройки WDAC.

Исследователи столкнулись с проблемой: некоторые EDR-системы используют WHQL-подписанные драйверы, которые работают даже при отключении EDR. Полный запрет на работу драйверов могут привести к сбоям.

Исследователи создали инструмент Krueger, который изменяет WDAC-политики и перезагружает систему. Он позволяет злоумышленникам отключать защиту на устройствах в сети через групповые политики (GPO).

Выявить данную атаку проблематично она быстрая и простая. Рекомендуется при настройке WDAC-политик, ограничивать доступ к папкам типа CodeIntegrity, SMB-ресурсам и контролировать изменения в (GPO).

#ликбез

Приветствую, уважаемый читатель, пора напомнить про фишинг!

Фишинг — это вид интернет-мошенничества, когда жулики притворяются надежными компаниями или людьми, чтобы выманить личные данные, пароли, номера карт и т.д.

Как это работает:
Фальшивые письма или сообщения.

Вы получаете письмо или сообщение, якобы от банка, службы доставки или магазина, с требованием "подтвердить данные" или "решить проблему".

Поддельные сайты.
Вас перенаправляют на сайт, который выглядит как оригинал, где вы вводите свои данные.

Признаки фишинга:
Орфографические ошибки в тексте.
Срочность действий, например: "Оплатить сейчас!" или "Ваш аккаунт заблокирован".
Подозрительные ссылки, например, вместо bank.com — baank-secure.com.

Как защититься:
Не переходите по подозрительным ссылкам.
Проверяйте отправителя и адрес сайта.
Используйте двухфакторную аутентификацию.
Думайте головой!

Эти меры помогут уменьшить риск стать жертвой фишинга и сохранить ваши данные в безопасности.

#социальная_инженерия

Бесплатный сыр, только в мышеловке

Эксперты «Лаборатории Касперского» обнаружили новую схему мошенничества с криптовалютами на YouTube.

Жулики публикуют реальные сид-фразы от криптокошельков с Tether USD (USDT) в комментариях под финансовыми видео. Из расчета пользователи воспользуются этими данными для вывода средств.

Сид-фразы выкладываются в комментариях от имени якобы глупого пользователя, который просит помощи, случайно раскрыв данные своего кошелька.

Привлекаемые возможностью лёгкого заработка, недобросовестные пользователи могут попытаться забрать чужие средства, ведь сид-фраза действительно даёт доступ к кошельку, где видны баланс и история операций.

Попав на удочку, жертва сталкивается с требованием оплатить комиссию в токенах TRX (Tron), которых в кошельке нет.

Если человек переводит TRX со своего аккаунта для оплаты «комиссии», средства немедленно уходят на кошелёк мошенников.

Кошелек устроен как мультисиг-аккаунт, поэтому дальнейшие операции становятся невозможны

#Новости

Магазин Европейского космического агентства (ESA) стал жертвой атаки, в ходе которой злоумышленники внедрили вредоносный скрипт для загрузки поддельной страницы оплаты через Stripe.

Инцидент произошёл 23 декабря, на финальной стадии покупки скрипт собирал пользовательские данные и банковские реквизиты.

Вредоносный код перенаправлял данные на похожий домен, с другой доменной зоной (TLD): вместо оригинального «esaspaceshop[.]com» использовался «esaspaceshop[.]pics».

Эксперты из Source Defense подтвердили фальшивая страница оплаты выглядела идентично оригинальной благодаря использованию элементов из SDK Stripe.

Магазин ESA сейчас не показывает поддельную страницу, но вредоносный скрипт остаётся в исходном коде.

ESA заявило, что магазин управляется сторонней компанией, и агентство не контролирует его данные.

Данный случай подчёркивает важность усиления безопасности при работе с внешними подрядчиками, особенно при интеграции с официальными системами.

Коллеги, хочу поделиться с вами замечательным инструментом — GoogleSwitch от легендарного BLACK.

Он позволяет легко изменять регион в браузерах Mozilla и Google Chrome.

Инструмент полезен для решения задач GEOINT. С его помощью можно быстро изменить язык и регион поиска в Google и Google Lens, чтобы получать более релевантные результаты.

Что может GoogleSwitch?
- Легко переключать настройки языка и региона для Google Search и Google Lens.
- Быстро настраивать и использовать инструмент благодаря удобному интерфейсу.
- Поддерживать все языки и регионы.
- Предоставлять более подходящие результаты поиска в зависимости от выбранного языка и региона.

#Инструменты #geoint

OSINT mindset podcast №12 — в удобном формате для Telegram!

Голоса:
- Pandora (https://pandoral.me)
- Иван Голунов (https://t.me/FuneralTrust)

00:00:22 Интро
00:05:58 Как Иван начал работать в журналистике?
00:13:00 Что удерживало в журналистике?
00:16:16 Любимые проекты
00:17:36 Хотелось бы, чтобы открытых данных стало больше?
00:18:14 Что такое открытые данные?
00:22:13 Можно ли использовать закрытые данные в исследованиях?
00:27:30 Проверка информации
00:32:06 Сотрудничество с другими журналистами
00:34:22 Когнитивные искажения в журналистике
00:37:00 Личные качества для хорошего журналиста
00:40:35 Тема похоронного бизнеса
00:48:40 Черный юмор
00:50:02 Восстановление после сложных расследований
00:54:11 Книги для журналиста
00:59:41 Будущее расследовательской журналистики
01:07:53 Этические диллемы
01:14:30 Если бы не существовало расследовательской журналистики
01:19:23 Когда расследование заканчивается
01:20:30 Завершение

Слушайте наши подкасты на всех площадках!

🌐Site | 💬 Forum | 🔍 Family |▶YT

Приветствую уважаемый!
Пятничного утра тебе, держи рабочую методику по обучению пользователей

Немного юмора про собеседования

Приветствую, уважаемый читатель!

20 декабря стартует Финал Кубка CTF России молодежного турнира по кибербезопасности

VIII Кубок CTF России по кибербезопасности среди школьников и студентов пройдет с 20 по 22 декабря в павильоне «Умный город» на ВДНХ. Турнир помогает формировать новое поколение специалистов в сфере ИТ-безопасности.

В отборочном этапе приняли участие команды из разных стран мира, включая Россию, Китай, Индию и другие. Всего было подано 517 заявок, из которых 464 команды выполнили задания.

Победители финала получат Кубок и денежный приз в размере 250 тысяч рублей.

Организатор турнира — Ассоциация руководителей служб информационной безопасности (АРСИБ).

Критическая брешь в Apache Struts

Во фреймворке Apache Struts 2 обнаружена уязвимость CVE-2024-53677, которую уже используют киберпреступники.

Эта проблема, получившая статус критической (9,5 баллов по шкале CVSS), связана с неправильной обработкой загрузки файлов, что может привести к удаленному выполнению кода.

Уязвимы версии Struts с 2.0.0 по 2.3.37, с 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2. Атаки проводятся через IP 169.150.226.162 с использованием файла "exploit.jsp".

В версии 6.4.0 уязвимость была исправлена, поэтому всем пользователям рекомендуется обновление.

Здравствуйте, уважаемые читатели! Представляю вашему вниманию интересный материал.

Отчет Jet CSIRT за 2024 год выявил пик кибератак весной-летом, основными методами которых стали уязвимости веб-сервисов, сервисов удаленного доступа и фишинг.

Чаще всего атакам подвергались финансовые учреждения, ИТ-компании и фирмы, связанные с недвижимостью.

В каждой шестой атаке участвовали партнеры и подрядчики, особенно из МСП. Треть подрядчиков и их клиентов упоминалась на хакерских и мошеннических форумах.

Данные 59% компаний-клиентов Jet CSIRT встречались на этих ресурсах. Утечка учетных данных сотрудников выросла на 60%.

Фишинговые сайты угрожают 92% клиентов, при этом каждый третий содержит вредоносный контент.

Атаки через уязвимости веб-приложений, включая Bitrix, и SQL-инъекции остаются актуальными.

В дискуссии спросили, ну чего опасного в том, что есть XSS на поддомене без юзеров.

Допустим, есть у нас site.kek, а ты нашел уязвимость на subdomain.site.kek

Что может дать XSS на поддомене, где обычный одностраничный лэндинг, нет никаких данных пользователя?

Импакт следующий:
- Не только лишь все знают, что поддомен может ставить куки, в том числе на главный сайт (а точнее на весь скоуп, включая другие поддомены), а это может помочь при эксплуатировании других атак, например фиксацию сессии. Или вспомнить про отказ в обслуживании aka cookie bomb

CORS на других сайтах компании, в том числе сам site.kek может принимать Origin: subdomain.site.kek, а это значит можно выполнять действия от лица пользователя.

В дополнение к предыдущему - обходится механизм SameSite

Старый добрый фишинг, если нет дизайна для регистрации или входа - ее можно нарисовать

Источник: Кавычка

Юмор, куда без него

источник

Алярм! Внимание! Назар аударыңыз!
Прошу прощения за контент не как не связанный тематикой моего канала!

Вчера узнал про новую шнягу "Арома ингалятор для носа"
На него сейчас массово подсаживаются школьники 10+ лет.

Выглядит как чехол от наушников или обычный вейп, но только вдыхается через нос.

Стоит какие то копейки на маркет плейсах и в ларьках. Каждый школьник может позволить себя травить этим.

Бонусом спустя некоторое время отстегнется носоглотка и возникнет зависимость к более веселым веществам. Не беспокойтесь они тоже очень дешёвые. А вот последствия будут страшными.

Сразу озвучиваю, это гавно сделано из самой низкопробной химии, что бы потихоньку с детского возраста подсадить на дизайнерские наркотики.

Кто со мной не согласен можете изучить как подсаживаются на мифедрон и лечение нариков после него

Приветствую, уважаемый читатель!

ИБ-сообщество представило несколько новых инструментов, направленных на повышение безопасности различных платформ и приложений.

BootExecuteEDR — инструмент, разработанный исследователем Rad, предназначен для отключения EDR-решений (Endpoint Detection and Response) с использованием локальных нативных приложений.

CRXaminer служит для проверки расширений Chrome на наличие уязвимостей. Инструмент анализирует, как расширения работают с данными и какими правами они обладают. CRXaminer можно использовать локально или в онлайн-режиме.

Malimite — инструмент, разработанный специалистом LaurieWired, предназначен для декомпиляции iOS-приложений. Программа построена на основе Ghidra и обеспечивает поддержку языков Swift и Objective-C, а также ресурсов iOS.

Vanir — инструмент Google, предназначенный для проверки наличия недостающих обновлений безопасности в Android. Vanir использует статический анализ исходного кода для выявления уязвимостей и автоматизирует процесс проверки.

Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics

Злоумышленники смогли выполнить код с правами обработчика в репозитории Python-библиотеки Ultralytics, которая применяется для решения задач компьютерного зрения. После получения доступа атакующие опубликовали несколько новых релизов Ultralytics со вредоносными изменениями для майнинга криптовалют. За последний месяц библиотеку загрузили из каталога PyPI более 6,4 млн раз.

Злоумышленники использовали уязвимость в пакете ultralytics-actions для компрометации репозитория. Этот пакет применяется для автоматического запуска обработчиков при определённых действиях с репозиторием на GitHub. Уязвимый обработчик привязывался к событию pull_request_target и вызывался при поступлении новых pull-запросов.

источник OpenNET
Инфобез

Приветствую, уважаемый читатель!
Найден CVE-2024-9464 позволяет внедрение команд с аутентификацией в Palo Alto Expedition

Доказательство концепции использования уязвимости CVE-2024-9464 на уязвимых устройствах.

Этот скрипт использует сброс настроек администратора CVE-2024-5910 для выполнения произвольных команд без аутентификации.

ссылка на GitHub

Инфобез
#CVE #Уязвимости

Приветствую уважаемый читатель!
Найдена уязвимость позволяющая повышение привилегий в системных вызовах exec в ядре Linux.

В ядре Linux существует проблема с проверкой времени выполнения и временем использования. Права на выполнение проверяются в другое время, чем применяется бит set-user-ID. Это может привести к повышению привилегий.

Давайте представим себе двоичный файл, который даст злоумышленнику некоторую власть, если он каким-то образом запустит его с установленным битом set-user-ID.

Для этого двоичного файла есть два безопасных состояния:
Двоичный файл имеет идентификатор пользователя root, но не может быть запущен злоумышленником.

Двоичный файл не имеет идентификатора пользователя, но может быть запущен злоумышленником. Однако из-за описанной выше ситуации с рассинхронизацией переход между этими двумя безопасными состояниями сам по себе НЕ является безопасным.

git