Sys-Admin InfoSec

14 Oct 2024 20:21

CoreWarrior Spreader Malware Surge

This is a persistent trojan that attempts to spread rapidly by creating dozens of copies of itself and reaching out to multiple IP addresses, opening multiple sockets for backdoor access, and hooking Windows UI elements for monitoring:

https://blog.sonicwall.com/en-us/2024/10/corewarrior-spreader-malware-surge/

Sys-Admin InfoSec

07 Oct 2024 13:15

Malware throught software. Faked SIEM Wazuh agent and faked uTorrent, Microsoft Office, Minecraft etc services promoted with Advertising or SEO.

https://securelist.ru/miner-campaign-misuses-open-source-siem-agent/110717/

Sys-Admin InfoSec

30 Sep 2024 10:16

Novel Exploit Chain Enables Windows UAC Bypass

https://www.darkreading.com/vulnerabilities-threats/exploit-chain-windows-uac-bypass

Sys-Admin InfoSec

26 Sep 2024 19:32

A vulnerability has been discovered in the TeamViewer Remote clients for Windows which allows local privilege escalation on a Windows system.

https://www.teamviewer.com/en/resources/trust-center/security-bulletins/tv-2024-1006/

Sys-Admin InfoSec

23 Sep 2024 19:45

SOHO and IoT devices, including modems, routers, IP cameras, NVR/DVR devices, and NAS devices infected by Raptor Train botnet

250k+ devices from many vendors (Mikrotik, Zyxel, Hikvision, etc)

https://blog.lumen.com/derailing-the-raptor-train/

Sys-Admin InfoSec

18 Sep 2024 11:09

/ Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data

bypassed the Calendar sandbox, Gatekeeper, and TCC in a chain attack that allowed for wanton theft of iCloud photos..:

https://www.darkreading.com/vulnerabilities-threats/zero-click-rce-bug-macos-calendar-exposes-icloud-data

Sys-Admin InfoSec

16 Sep 2024 20:29

CloudImposer: Executing Code on Millions of Google Servers with a Single Malicious Package

https://www.tenable.com/blog/cloudimposer-executing-code-on-millions-of-google-servers-with-a-single-malicious-package

Sys-Admin InfoSec

11 Sep 2024 20:49

Quad7 botnet - compromising several brands of SOHO routers and VPN appliances, including TP-LINK, Zyxel, Asus, Axentra, D-Link, and Netgear, using multiple vulnerabilities..

https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/

Sys-Admin InfoSec

06 Sep 2024 07:43

Revival Hijack – PyPI hijack technique exploited in the wild, puts 22K packages at risk

https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk/

Sys-Admin InfoSec

03 Sep 2024 12:40

/ Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

Sys-Admin InfoSec

03 Sep 2024 09:01

/ How multiple vulnerabilities in Microsoft apps for macOS pave the way to stealing permissions

https://blog.talosintelligence.com/how-multiple-vulnerabilities-in-microsoft-apps-for-macos-pave-the-way-to-stealing-permissions/

Sys-Admin InfoSec

02 Sep 2024 04:07

Cicada 3301 – A New Ransomware-as-a-Service

https://www.truesec.com/hub/blog/dissecting-the-cicada

Sys-Admin InfoSec

27 Aug 2024 15:00

♨️ KazHackStan'24: Крупнейшая конфа, неоспоримость факта

Аккуратность такта, много InfoSec артефактов, место где не будешь ждать антракта

Готовь органы слуха, материал подобран и отобран, мой спич о Неявной превентивной защите одобрен!

Интро:

Неявная превентивная защита - этот термин я придумал несколько лет назад ввиду обнаруженной архаичности и шаблонности киберзащитных подходов во взглядах многих специалистов. Атаки, инциденты, материализации информационных рисков идут скоростными темпами, а подходы к защите идут темпами регламентированными различными вендорами. Но что если вендоры не успевают?

В своем докладе я расскажу о том, какие вижу угрозы в некоторых направлениях жизни и бизнес-моделей, как стараюсь их нивелировать, раскрывая суть моего подхода названным, как “неявная превентивная защита”, будучи сам себе клевым поставщиком решений.

Сайт конфы: https://kazhackstan.com

До встречи на KazHackStan 2024! Всем Peace ✌️

Sys-Admin InfoSec

21 Aug 2024 14:10

/ "WireServing" Up Credentials: Escalating Privileges in Azure Kubernetes Services

...An attacker with access to a vulnerable Microsoft Azure Kubernetes Services cluster could have escalated privileges and accessed credentials for services used by the cluster...:

https://cloud.google.com/blog/topics/threat-intelligence/escalating-privileges-azure-kubernetes-services/

Sys-Admin InfoSec

20 Aug 2024 11:31

🔥 OpenBLD.net - Первый в независимом рейтинге URLhaus!

Да, это сладкое чуство, когда ты первый, когда мы все первые! Показатель плавающий, но на текущий момент, это показатель, и он радует!

Это говорит о том, что защита OpenBLD.net 😡 не просто слова - это предметный показатель выраженный в нашей с вами безопасности.

Показатель, который обошел - Cloudflare, Quad9, AdGuard, dns0 и даже ProtonDNS

С чем, всех и поздравляю. Едем дальше!

Что такое OpenBLD.net и как его использовать - https://openbld.net/

Sys-Admin InfoSec

10 Oct 2024 00:19

LemonDuck Unleashes Cryptomining Attacks Through SMB Service Exploits

https://notes.netbytesec.com/2024/10/lemonduck-unleashes-cryptomining.html?m=1

Sys-Admin InfoSec

03 Oct 2024 21:00

Zimbra - Remote Command Execution (CVE-2024-45519)

Technical analysis:

https://blog.projectdiscovery.io/zimbra-remote-code-execution/

Sys-Admin InfoSec

26 Sep 2024 20:51

Hacking Kia: Remotely Controlling Cars With Just a License Plate

https://samcurry.net/hacking-kia

Sys-Admin InfoSec

25 Sep 2024 12:26

1️⃣2️⃣ 12 октября + еще три крутых темы на SysConf.io

Время идет вперед и мы вместе с ним! Кто не стоит на месте, не катает вату, а изыскивает, изучает, тот становится лучше, мудрее, опытнее.

Мы помогаем получить возможно многолетний опыт за один день. С радостью анонсирую еще три подтвержденных доклада:

- AppSec из Open Source
-- Название еще не утверждено, но можно быть убежденным - это актуально как никогда, прикладной доклад от эксперта в области пентеста и ресерча.

- Как злоумышленники могут получать персональные данные
-- Название говорит само за себя. Ресерч от автора множества статей и книг, "Malware Development for Ethical Hackers" одна из многих.

- Как я строил инфру под PCI DSS v4
-- Итог ресерча, работы и как финал - сертификация созданного по PCI DSS. Эксперт и ресерчер предметных областей, теперь это PCI..

Кто-то платит деньги, что бы получить знание, кто-то смотрит рекламу, что бы узнать что-то новое. У нас нет такого, приходи, внимай, знакомься, спрашивай. Единственная просьба - отметься в форме, нам это нужно знать для планирования мест в зале:

Нужную кнопку найдешь здесь - https://sysconf.io/2024

Welcome ✌️

Sys-Admin InfoSec

19 Sep 2024 11:55

Open SysConf'24 🦄 - Три недели до встречи

Почти три недели + готово три доклада = шестой Open SysConf'24

С радостью сообщаю, что подготовка идет, и есть три темы:

🔹 Три системы, которые ты захочешь развернуть и настроить
🔹 На превью, я уже захотел это сделать, скажу по секрету мне стало понятнее, как работает Kerberos

🔹 Рефакторинг легаси 10-летней давности
🔹 Стейджинг процесса рефакторинга начинающегося от кода и заканчивающегося брендом, как надо и не надо

- Внедрение вредоносного кода в Android приложения
🔹 Точно знаю, что после этого доклада, ты три раза подумашь испольльзовать левый приклад на своих Адроидах или нет

Очень радостно, видеть, что труд ведется, есть самоконтроль, самоосознанность и ответсвенность докладчиков, за что большое спасибо! 🤝

С нашей стороны, постараемся обеспечить каждого докладчика фирменной футболкой, хорошим звуком и трансляцией доклада в Интернет, ну и конечно ламповой атмосферой! 💡

Регистрация там же. Welcome - sysconf.io/2024

Sys-Admin InfoSec

17 Sep 2024 16:28

D-Link - Attacker can use hard-coded credentials. Critical Router Vulnerabilities.

https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10412

Sys-Admin InfoSec

13 Sep 2024 17:01

GitLab Critical Patch Release (17.3.2, 17.2.5, 17.1.7)

- Execute environment stop actions as the owner of the stop action job
- Prevent code injection in Product Analytics funnels YAML
- SSRF via Dependency Proxy
- Denial of Service via sending a large glm_source parameter

GitLab say: We strongly recommend that all installations running a version affected by the issues described below are upgraded to the latest version as soon as possible.

https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

Sys-Admin InfoSec

11 Sep 2024 03:57

New RansomHub attack uses TDSKiller and LaZagne, disables EDR

https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/

Sys-Admin InfoSec

05 Sep 2024 03:26

/ Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant

WikiLoader is a multistage malware loader that adversaries developed with consideration toward evasion..

..The advertisements we observed linked to multiple fake sites serving spoofed GlobalProtect installers..:

https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/

Sys-Admin InfoSec

03 Sep 2024 11:00

📢 4 Октября - DevOpsDays Almaty 2024

День общения и взаимосвязи. Расписание докладов еще формируется, но ряд тематик уже известны.

Однозначно понятно, что здесь будет Kubernetes и OpenStack, и одноименные/взаимосвязанные практики.

DevOps - тренд и так или иначе ИТ специалисты должны быть осведомлены об этом направлении, онлайн трансляция обещает присутствовать.

Все детали здесь - DevOpsDays.kz

Sys-Admin InfoSec

02 Sep 2024 17:53

/ The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers “Voldemort”

...Voldemort’s attack chain has unusual, customized functionality including using Google Sheets for command and control (C2) and using a saved search file on an external share...:

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

Sys-Admin InfoSec

28 Aug 2024 16:13

Keylogger in Pidgin

…If you happened to install this plugin, you will want to uninstall it immediately…:

https://pidgin.im/posts/2024-08-malicious-plugin/

Sys-Admin InfoSec

26 Aug 2024 11:33

/ Fixes SolarWinds Web Help Desk Hardcoded Credential Vulnerability 🤦

SolarWinds released hotfix for Help Desk Ticketing software...

https://support.solarwinds.com/SuccessCenter/s/article/SolarWinds-Web-Help-Desk-12-8-3-Hotfix-2

Sys-Admin InfoSec

21 Aug 2024 08:28

/ Tusk: unraveling a complex infostealer campaign

targets: Windows, macOS..:

https://securelist.com/tusk-infostealers-campaign/113367/

Sys-Admin InfoSec

15 Aug 2024 19:45

/ Windows TCP/IP Remote Code Execution Vulnerability

Mitigations - Systems are not affected if IPv6 is disabled on the target machine...)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063