Fsecurity | HH

CVE-2024-5932 * WordPress GiveWP POP to RCE * POC exploit

🔗Ссылка: https://spy-soft.net/misp-maltego-integration/

🔗Ссылка: https://habr.com/ru/companies/mclouds/articles/838062/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/839156/

🔗Ссылка: https://habr.com/ru/companies/skillfactory/articles/839296/

🔗Ссылка: https://habr.com/ru/companies/timeweb/articles/828934/

🔗Ссылка: https://habr.com/ru/articles/839380/

🔗Ссылка: https://xakep.ru/2024/08/28/microsoft-sway-qr-phishing/

🔗Ссылка: https://www.anti-malware.ru/news/2024-08-28-121598/44018

Исследователи из Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора HZ Rat, нацеленного на пользователей китайских приложений DingTalk и WeChat. При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников HZ RAT был впервые задокументирован немецкой DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием Royal Road RTF Weaponizer. Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-2017-11882 в Microsoft Office. Другой метод распространения задействует установщик легального ПО OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий Visual Basic (VBS), отвечающий за запуск RAT. Функциональность HZ RAT довольно проста. После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов PowerShell, запись и отправка файлов, проверка доступности жертвы. Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем. Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года. По данным DCSO, сама кампания активизировалась как минимум с октября 2020 года. Последний образец, обнаруженный Лабораторией Касперского, был загружен на VirusTotal в июле 2023 года, выдавая себя за OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов. Для общения с C2 используется XOR-шифрование с ключом 0x42. Бэкдор поддерживает всего четыре основные команды, как в версии для Windows. В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по WeChat и DingTalk, а также креды из менеджера паролей Google. Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в Китае, за исключением двух, которые находятся в США и Нидерландах. Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по Genshin Impact и Honkai. В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом. Также неясно, насколько широко распространена кампания, но последняя найденная версия HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.

🔗Ссылка: https://spy-soft.net/xeno-rat/

🔗Ссылка: https://www.anti-malware.ru/news/2024-08-28-111332/44014

🔗Ссылка: https://www.securitylab.ru/news/551537.php

🔗Ссылка: https://ptresearch.media/articles/kto-stuchitsya-k-vam-v-pochtu-soczialnaya-inzheneriya-2024

🔗Ссылка: https://habr.com/ru/articles/835170/

🔗Ссылка: https://habr.com/ru/articles/838882/

🔗Ссылка: https://spy-soft.net/active-directory-privilege-escalation/

🔗Ссылка: https://www.securitylab.ru/news/551507.php?r=4

🔗Ссылка: https://www.securitylab.ru/news/551495.php