Aggregator

A vulnerability was found in Rational Software ClearCase 2002-05-00/4.1 and classified as problematic. This issue affects some unknown processing of the component Portscan Handler. The manipulation leads to denial of service. The identification of this vulnerability is CVE-2002-1322. The attack may be initiated remotely. Furthermore, there is an exploit available.

AngryOxide AngryOxide was developed as a way to learn Rust, netlink, kernel sockets, and WiFi exploitation all at once. The overall goal of this tool is to provide a single-interface survey capability with advanced...

The post AngryOxide: 802.11 Attack Tool appeared first on Penetration Testing Tools.

Cookie-Monster Steal browser cookies for Edge, Chrome, and Firefox through a BOF or exe! Cookie-Monster will extract the WebKit master key, locate a browser process with a handle to the Cookies and Login Data...

The post Cookie-Monster: BOF to steal browser cookies & credentials appeared first on Penetration Testing Tools.

LOLSpoof LOLSpoof is an interactive shell program that automatically spoofs the command line arguments of the spawned process. Just call your incriminate-looking command line LOLBin (e.g. powershell -w hidden -enc ZwBlAHQALQBwAHIAbwBjAGUA….) and LOLSpoof will...

The post LOLSpoof: An interactive shell to spoof some LOLBins command line appeared first on Penetration Testing Tools.

国家级攻防演练常年第一的公司招红队、安服。内推码：NTABmXX 不到长亭非好汉，来了长亭就无憾！等你来！

国家级攻防演练常年第一的公司招红队、安服。内推码：NTABmXX 不到长亭非好汉，来了长亭就无憾！等你来！

The continent faces "relentless" military espionage, and increased cyber sabotage at the hands of authoritarian regimes, according to a high-ranking intelligence director.

我写这篇博客的目的只是汇总和分享中国消息来源发布的有关 NSA 网络行动的信息，看看我是否可以学到任何新的检测技术或攻击技术。

HackerNews 编译，转载请注明出处： Fortinet FortiGuard Labs 报告称，一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。 “Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播，旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器（如 Chrome、Edge 和 Firefox）中窃取敏感信息，”安全研究员 Kevin Su 表示。 该恶意软件的其他功能使其能够使用简单邮件传输协议（SMTP）和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器，从而使威胁行为者能够访问窃取的凭据和其他敏感数据。 最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件，从而使其能够绕过传统的检测机制。 “使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化，还启用了模仿良性自动化工具的动态行为，”Su 补充道。 一旦启动，Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件，以便每次系统重启时，Visual Basic Script (VBS) 会自动启动恶意软件。 通过这种持久化机制，Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。 攻击链的最后一步是将主要负载注入到合法的 .NET 进程（如 “regsvcs.exe”）中，使用一种称为进程空洞的技术，使恶意软件能够在受信任的进程中隐藏自身并绕过检测。 Snake Keylogger 还被发现记录键盘输入，并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。 “为了捕获键盘输入，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个低级别的键盘钩子，用于监控键盘输入，”Su 表示。“这种技术使恶意软件能够记录敏感输入，如银行凭据。” 与此同时，CloudSEK 详细描述了一项活动，该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署 Lumma Stealer 恶意软件。 该活动 targeting 金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。 “该活动的主要感染向量是使用恶意 LNK（快捷方式）文件，这些文件被设计成看起来像合法的 PDF 文档，”安全研究员 Mayank Sahariya 表示，并补充说这些文件托管在一个 WebDAV 服务器上，不知情的访问者在访问网站后会被重定向到该服务器。 LNK 文件本身会执行一个 PowerShell 命令，连接到远程服务器并检索下一阶段恶意软件，一个经过混淆的 JavaScript 代码，其中包含另一个 PowerShell，从同一服务器下载 Lumma Stealer 并执行它。 最近几周，还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件，以从受感染的 Windows 系统中收集广泛的敏感数据，并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。 “攻击从一个混淆的 JavaScript 文件开始，该文件从开源服务获取编码字符串以执行 PowerShell 脚本，”Cyfirma 表示。 “该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行，这些负载会部署 stealer 恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

携手斯元，共同出海。

携手斯元，共同出海。

A vulnerability was found in Sucuri Security Plugin up to 1.8.33 on WordPress and classified as problematic. Affected by this issue is some unknown functionality of the component Event Log Entry Handler. The manipulation leads to cross-site request forgery. This vulnerability is handled as CVE-2022-29489. The attack may be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, was found in WP Plugin Manager Plugin up to 1.1.7 on WordPress. Affected is an unknown function of the component Plugin Activation Handler. The manipulation leads to cross-site request forgery. This vulnerability is traded as CVE-2023-1088. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability has been found in Veritas NetBackup IT Analytics up to 11.1.x and classified as critical. This vulnerability affects unknown code of the component Application Upgrade. The manipulation leads to insufficient verification of data authenticity. This vulnerability was named CVE-2023-28818. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in HT Slider for Elementor Plugin up to 1.3.x on WordPress. Affected by this vulnerability is an unknown functionality. The manipulation leads to cross-site request forgery. This vulnerability is known as CVE-2023-0495. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in QuickSwish Plugin up to 1.0.x on WordPress. This affects an unknown part. The manipulation leads to cross-site request forgery. This vulnerability is uniquely identified as CVE-2023-0499. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in BestWebSoft Contact Form to DB Plugin up to 1.7.1 on WordPress. Affected is an unknown function. The manipulation of the argument s leads to sql injection. This vulnerability is traded as CVE-2023-36508. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability was found in FluentForm Plugin up to 4.3.25 on WordPress. It has been rated as critical. This issue affects some unknown processing. The manipulation leads to sql injection. The identification of this vulnerability is CVE-2023-24410. The attack may be initiated remotely. There is no exploit available.