ZeroDay

| #мем

Как китайские APT-группы охотятся на тибетцев

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажем о том, как APT-группы, связанные с Китаем, устроили охоту на тибетскую диаспору с помощью фальшивых сайтов, мессенджеров и «поздравлений» ко дню рождения Далай-ламы.

⏺Всё началось с аккуратной подмены: на легитимном сайте tibetfund[.]org ссылку на поздравления заменили на копию - thedalailama90[.]niccenter[.]net. Там «по-тихому» предлагался мессенджер TElement, якобы безопасный, тибетский аналог Element.

⏺Но внутри прятался Gh0st RAT: это старый знакомый среди троянов. Он умеет слушать микрофон, записывать экран, стягивать файлы и вообще вести себя как незваный гость, который обустроился надолго.

⏺Вторая часть атаки: приложение “DalaiLamaCheckin.exe”, где юзеру предлагали “отметиться” на карте и отправить добрые слова. А в фоновом режиме запускался PhantomNet — скрытный бэкдор с загрузкой плагинов по команде C2-сервера и возможностью включаться строго по таймеру.

⏺И всё это аккуратно замаскировано под искренние поздравления и общение. Вирусы прятались в мессенджере, а шпионаж по сути за маской духовности 🤷‍♂️

ZeroDay | #разное

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF. Ч.2

👋 Приветствую в мире цифровой безопасности!

Сегодня продолжу говорить про то, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺Подтверждаем SSRF: После того как "

И, как только PDF был сгенерирован, я получил DNS и HTTP-запрос на свой listener. Это подтвердило: HTML рендерится браузероподобным инструментом, и сервер действительно загружает внешние ресурсы.

⏺Выход на метаданные AWS: SSRF был налицо, и я перешёл к следующей цели - 169.254.169.254 — стандартному адресу метаданных AWS-инстансов.

"title": ""

PDF вернулся с содержимым страницы метаданных. Я пошёл дальше - запрашиваю IAM credentials:

"title": ""

Вижу имя роли, например, my-app-instance-role.

⏺Финальный удар - доступ к AWS: Теперь знаю имя роли, и нацеливаюсь точнее:

"title": ""

В PDF прилетели:
• AccessKeyId
• SecretAccessKey
• Token

Эти временные креды можно было использовать для доступа к S3, DynamoDB, CloudWatch и другим сервисам AWS, в зависимости от привилегий роли.

⏺И насчет user-data: А вдруг dev-опсы оставили что-то интересное в скриптах и переменных окружения?

"title": ""

Иногда там лежат secrets, API-токены, начальные скрипты с логикой деплоя.

ZeroDay | #атака

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF

👋 Приветствую в мире цифровой безопасности!

Сегодня покажу, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺С чего всё началось: Тестируя сайт онлайн-курсов, я почти ушёл ни с чем. Но потом наткнулся на сертификат, который генерируется сервером в PDF или PNG после завершения курса. Можно было ввести name, title и quote.

⏺Первые находки: В параметре title HTML не фильтровался.

➡️"ahmed" — текст стал курсивом.
➡️"" — сработало.

А вот script, onerror и XSS не сработали. Это была HTML-инъекция, но рендер происходил на бэке.

⏺Что это дало: PDF-генерация происходила через headless-браузер. Это означало, что я могу встроить "

Делаем вторую часть?

ZeroDay | #атака