Sys-Admin InfoSec

22 Nov 2023 18:58

/ The Ticking Supply Chain Attack Bomb of Exposed Kubernetes Secrets

...exposed Kubernetes secrets of hundreds of organizations and open-source projects allow access to sensitive environments in the Software Development Life Cycle (SDLC) and open a severe supply chain attack threat..:

https://blog.aquasec.com/the-ticking-supply-chain-attack-bomb-of-exposed-kubernetes-secrets

Sys-Admin InfoSec

22 Nov 2023 13:27

/ CVE-2023–36025: An In-Depth Analysis of Circumventing Windows SmartScreen Security

https://infosecwriteups.com/cve-2023-36025-an-in-depth-analysis-of-circumventing-windows-smartscreen-security-6ff05c8b69d0

Sys-Admin InfoSec

21 Nov 2023 10:59

A deep dive into Phobos ransomware

https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/

Sys-Admin InfoSec

17 Nov 2023 16:01

/ FortiSIEM - OS command injection in Report Server

https://www.fortiguard.com/psirt/FG-IR-23-135

Sys-Admin InfoSec

16 Nov 2023 18:40

/ Samsung says hackers accessed customer data during year-long breach

https://techcrunch.com/2023/11/16/samsung-hackers-customer-data-breach

Sys-Admin InfoSec

16 Nov 2023 03:19

/ Microsoft guidance regarding credentials leaked to GitHub Actions Logs through Azure CLI

Vulnerability where Azure Command-Line Interface (CLI) could expose sensitive information, including credentials, through GitHub Actions logs:

🔹 https://msrc.microsoft.com/blog/2023/11/microsoft-guidance-regarding-credentials-leaked-to-github-actions-logs-through-azure-cli/

Sys-Admin InfoSec

15 Nov 2023 02:08

/ Ddostf DDoS Bot Malware Attacking MySQL Servers

https://asec.ahnlab.com/en/58878/

Sys-Admin InfoSec

14 Nov 2023 13:25

/ Uncovering thousands of unique secrets in PyPI packages

...PyPi packages and surfaced thousands of hardcoded credentials.

Let’s start with article authors, with the big reveal of what them found:

- 3.938 total unique secrets across all projects
- 768 of those unique secrets were found to be valid
- 2.922 projects contained at least one unique secret

https://blog.gitguardian.com/uncovering-thousands-of-unique-secrets-in-pypi-packages/

Sys-Admin InfoSec

09 Nov 2023 17:11

/ Google ad distributes malicious CPU-Z

One common technique used by threat actors to evade detection is to employ cloaking. Anyone clicking on the ad and who’s not the intended victim will see a standard blog with a number of articles..:

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-deliver-infostealer

Sys-Admin InfoSec

09 Nov 2023 08:45

Открытый практикум Linux by Rebrain: Обнаружение и просмотр устройств в Linux
⁠
Время:

↘ 15 Ноября (Среда) 19:00 МСК. Детали

Программа:

• Утилиты для просмотра устройств: lspci, lsusb, dmidecode...
• Интерфейсы ядра в /proc и /sys
• Именование дисков и сетевых устройств
• Просмотр свойств сетевых устройств с ethtool

Ведёт:

• Даниил Батурин – Основатель проекта VyOS, системы для корпоративных и провайдерских маршрутизаторов с открытым исходным кодом.

Sys-Admin InfoSec

07 Nov 2023 08:58

📢 H2 2023 - Грядущие изменения в OpenBLD.net

Время идет, количество пользователей растет, мощности серверов растут, это требует большего количества серверов и денег, бюджет которых уже расписан и распределен.

Так как сервис еще является защитой от вредоносов, то и авторы вредоносов пытаются активно ⚠️ эксплуатировать OpenBLD.net DNS

В виду вышесказанного планируется внести некоторые изменения в архитектуру OpenBLD.net:

🔹ADA: Отключить везде, кроме основных двух-трех серверов - DNS 53
🔹RIC: Упразднить DNS 53 на всех RIC серверах, оставив только - DoT, DoH

🔸И того: DNS 53 останется только в ADA инфре.
🔸Важно: Пожалуйста дайте мне знать, кому это, может что-то сломать, мы подумаем вместе, что с этим можно будет сделать.

Кто может внести вклад в проект OpenBLD.net не стесняйтесь. Как это можно сделать и какой бенефит Вас может ждать от этого. можно посмотреть здесь - https://openbld.net/docs/donation/

🤝 Спасибо всем кто помогал и помогает. Благ вам по жизни!

Всем Peace ✌️

Sys-Admin InfoSec

06 Nov 2023 03:50

New BiBi-Linux Wiper Malware

https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group

Sys-Admin InfoSec

02 Nov 2023 08:45

Открытый практикум Golang by Rebrain: ide и инструменты для Golang
⁠
Время:

↘ 7 Ноября (Вторник) 20:00 МСК. Детали

Программа:

• Настройка vscode
• Обзор плагинов
• Полезные шорткаты

Ведёт:

Сергей Парамошкин – Технический менеджер Яндекс.Поиск. Больше 10 лет опыта в IT, опыт в разработке на Go 7 лет.

Sys-Admin InfoSec

02 Nov 2023 04:55

/ Dealing with MITRE ATT&CK®’s different levels of detail

- https://www.lacework.com/blog/dealing-with-mitre/

Sys-Admin InfoSec

01 Nov 2023 10:52

/ Active Directory Advanced Threat Hunting - Identify vulnerabilities before others do

https://github.com/tomwechsler/Active_Directory_Advanced_Threat_Hunting

Sys-Admin InfoSec

22 Nov 2023 17:43

📢. Как "я мог попасть в бан" OpenBLD.net?

Автоматически попасть можно по нескольким причинам:

🔹 Нарушение правил лимита (например зафиксирован брутфорс доменов или у Вас завелась малварь и начинает активно юзать С2 коммуникации)
🔹 Попадание IP в DNSBL листы
🔹 "Вот этими вот самыми" руками 🙌 (то бишь моими)

Иногда это может быть ошибочное срабатывание, не переживайте, если ADA или RIC сервера не пингуются, а сайты перестали загружаться. 90% случаев это бан, что можно сделать в этом случае?

🔸 Написать мне, указать свой внешний IP, время. когда замечена была проблема и какой сервис недостпен ADA / BLD. Мы постараемся совместно решить вопрос.
🔸 Посмотреть статус OpenBLD.net сервисов, вдруг действительно, что то случилось и связаться со мной

99% аптайм - хороший показатель, но безопасность и скорость, тоже важные показатели, давайте учитывать это вместе.

Всем спасибо кто пользуется и остается в фокусе и за понимание, кто еще не пользуется - welcome, донаты приветствуются, контакты здесь. Всем Peace ✌️

Sys-Admin InfoSec

21 Nov 2023 16:43

/ Sophos Web Appliance vulnerability exploited in the wild (CVE-2023-1671)

https://www.helpnetsecurity.com/2023/11/20/cve-2023-1671/

Sys-Admin InfoSec

20 Nov 2023 17:01

/ Unveiling LummaC2 stealer’s novel Anti-Sandbox technique: Leveraging trigonometry for human behavior detection

https://outpost24.com/blog/lummac2-anti-sandbox-technique-trigonometry-human-detection/

Sys-Admin InfoSec

17 Nov 2023 14:04

/ The Spelling Police: Searching for Malicious HTTP Servers by Identifying Typos in HTTP Responses
Fox-SRT Uncategorized

Sometimes cybercriminals that host malicious servers employ tactics that involve mimicking the responses of legitimate software to evade detection. However, a common pitfall of these malicious actors are typos, which we use as unique fingerprints to identify such servers..:

https://blog.fox-it.com/2023/11/15/the-spelling-police-searching-for-malicious-http-servers-by-identifying-typos-in-http-responses/

Sys-Admin InfoSec

16 Nov 2023 08:45

Открытый практикум DevOps by Rebrain: Практики разработки жизненного цикла ПО
⁠
Время:

↘ 21 Ноября (Вторник) 19:00 МСК. Детали

Программа:

• Жизненный цикл ПО
• Методологии разработки
• Kanban
• Scrum
• DevOps
• SRE

Ведёт:

• Александр Крылов – Опыт работы в DevOps более 7 лет. Постоянный спикер конференций: DevOps conf, TeamLead conf, Highload conf. Автор курса по Haproxy на Rebrain.

Sys-Admin InfoSec

15 Nov 2023 02:11

/ Windows DWM Core Library Elevation of Privilege Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033

Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036

Sys-Admin InfoSec

14 Nov 2023 17:00

/ StopRansomware: Royal Ransomware

Remort from CISA. According to third-party reporting, Royal actors most commonly (in 66.7% of incidents) gain initial access to victim networks via successful phishing emails:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a

Sys-Admin InfoSec

10 Nov 2023 15:19

/ Detecting “Effluence”, An Unauthenticated Confluence Web Shell

Confluence under attack... vulnerability allows an attacker to gain unauthorized access to the administrative areas of a Confluence server:

https://www.aon.com/cyber-solutions/aon_cyber_labs/detecting-effluence-an-unauthenticated-confluence-web-shell/

Sys-Admin InfoSec

09 Nov 2023 16:16

⚠️ Под массированные атаки попал в том числе ChatGPT

Последнее время я дебажил проблему, исходя из полученных сведений, мне удалось нивелировать часть вредоносного трафика, примерно на 50%.

Ближайшие сутки процент увеличится, а время ответа серверов сократится...

Трафик шел из разных стран, из разных сред облачных провайдеров (как пример Linode)...

Сейчас готов скрипт который вычленяет циклы запросов и отдает их в специльный DROP пулл.

В общем пока справляемся, конечные пользователи OpenBLD.net практически не ощутили флуд-эффекта и это радует.

Не будучи пальцем деланы. Развивайтесь друзья мои ✊️️️️️️️

Sys-Admin InfoSec

09 Nov 2023 06:12

Veeam ONE allows an unauthenticated user to gain information about the SQL server connection Veeam ONE uses to access its configuration database.

This may lead to remote code execution on the SQL server hosting the Veeam ONE configuration database.

Ande next: CVE-2023-38548
A vulnerability in Veeam ONE allows an unprivileged user who has access to the Veeam ONE Web Client the ability to acquire the NTLM hash of the account used by the Veeam ONE Reporting Service..:

https://www.veeam.com/kb4508

Sys-Admin InfoSec

07 Nov 2023 08:23

CVE-2023-4911 and Looney Tunables Vulnerability

Utilizing a rudimentary yet typical PHPUnit vulnerability exploit attack:

https://blog.aquasec.com/loony-tunables-vulnerability-exploited-by-kinsing

P.S. IoC; Exploit download site sended to OpenBLD.net

Sys-Admin InfoSec

02 Nov 2023 09:21

/ YouTube is getting serious about blocking ad blockers

https://www.theverge.com/2023/10/31/23940583/youtube-ad-blocker-crackdown-broadening

Sys-Admin InfoSec

02 Nov 2023 07:25

/ Affected Apache ActiveMQ

Official announcement:

🔹 https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt

🔹 https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/

Sys-Admin InfoSec

01 Nov 2023 14:39

/ CloudKeys in the Air: Tracking Malicious Operations of Exposed IAM Keys

https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/

Sys-Admin InfoSec

01 Nov 2023 03:06

/ SYSTEM MANAGEMENT MODE SPECULATIVE EXECUTION ATTACKS

https://eclypsium.com/blog/system-management-mode-speculative-execution-attacks/