только после размножения

чтобы не ломалась подпись

> <@usernamegg:matrix.bestflowers247.online> DigiCert в .pfx формате пойдёт? Первый сделали вчера. Вот протестировал его - норм.

+++

мне подписать файлы?

запустил тачку для подписи

+++

окей

скинешь какие файлы

подпишу

ага

а строка есть?

все вижу

S0G9U6RKVoPJ4PvlxbDkejdAqZcQvA98WFMlT3HVmBiqOsDye5

она?

1 файл на 5 файлов размножать, верно?

окей

щас сделаю

пару минут

`961a3745-ce4f-4d64-b8fb-7536a02ff22b`

++

`185.219.221.136:32915`

`185.219.221.136:45553`

SignTool Error: SignedCode::Sign returned error: 0x800700C1

такое на всех файлах выдает

другие файлы норм подписало

Гуд

Morphisec

10.1.40.25

```

вот более детальная ошибка

может ребята которые серт продали могут подсказать

щас, сек

да, вот щас

делаю

всего файлов 4 на входе

подписало 3

10.1.30.41

щас скину, те которые пордписало

да?

PASS: UuRkqDkdNheBnYohTxUv

BURITO_3_SIGNED.7z

даже, те которые не подписаные?

```

ну уже никак... там процесс запущен

можно конечно стелать экстренну остановку

`Your network has been breached and all data was encrypted | Find instructions_read_me.txt and read | Waiting you in a chat`

> <@usernamegg:matrix.bestflowers247.online> Forti

> <@usernamemm:matrix.bestflowers247.online> ++

++=

тогда все скинул

> <@usernamegg:matrix.bestflowers247.online> https://www.zoominfo.com/c/eden-project-ltd/34557145

+++

> <@usernamegg:matrix.bestflowers247.online> Cisco

SilentLake.exe

тебя ищет наш друг блажной =)

> <@usernameyy:matrix.bestflowers247.online> sent a file.

privet

$$ ili NN na meste ?

не помню брутил ты или нет такое)

вот можешь попробовать, тоже впнки

отправишь еще раз на форум?

uzhe otpisali)

vazhni bot zashel

> <@usernamegg:matrix.bestflowers247.online> netscaler.maximcrane.com

Чего блажному сказать?)

Ну блин, друг, блажной ))

ссд

Блажит который постоянно =)

```

не знаю ,токс спрашивал ))

> <@usernamegg:matrix.bestflowers247.online> что это значит ?)

это у нас что

Фарт в определенный момент времени :-)

прокладка 10гбит для чего то?

если да, нужен айпи основного сервера

https://netscaler.maximcrane.com

Да, ну насмотрелся на меня)

Он заработал норм денег с того, что я когда то предложил лить траф на фейки банк корпов, и сказал что надо воткнуть туда токенки.

Щас тема не работает, вот он и страдает, туда - сюда бегает, но глубоко ни где не вникает )

Ну это больше порядка фарта

Связывать вас ?) или отморозится ?)

kekhash.txt

> <@usernamess:matrix.bestflowers247.online> ```

89991b2720e26023215d612ccea1f7e9

> <@usernamess:matrix.bestflowers247.online> 89991b2720e26023215d612ccea1f7e9

Вот щас он мне предлагает, давай я тоже для вас точки буду делать, у меня есть звонилы))

* Связывать вас ?) или отморозится ?)

89991b2720e26023215d612ccea1f7e9:M!dl3v3l

он спрашивал тох

> <@usernamehunter:matrix.bestflowers247.online> 89991b2720e26023215d612ccea1f7e9:M!dl3v3l

Не, я готов делиться, не вопрос, но наработки стоят времени и денег, это интелектуальная собственность, с чего бы мне было просто так интересно ими делиться.

Ну конечно, просто мне не интересно отдавать свои наработки в "никуда".

Маслом будет, что твою тему задрочат какие нибудь придурки, и оно и у тебя перестанет работать :)

Мы сейчас все под это перестраиваем.

Мы понимаем, что эта тема на лет 5 точно, а может и больше.

Сейчас просто не стоит вопроса о масштабировании, главное обкатать сначала все на небольших объемах, а как поймем, что нам реально мало сейчас того что приходит, мы легко доберем людей в коллектив, нарежем им задачи и масштабируемся.

`https://sslgw.sievi.com/global-protect/login.esp: ftpuser:ftpuser 125kk`

Сейчас же у нас только со звонков идет все, никакого фишинга нету еще.

Если мы получили впн креды и доменные креды, то нам и агент на тачке не нужен.

Чуть с раскруткой пока проблемы, мы бы хотели конечно, что бы добрый дядя GG помог нам понять вектора куда нужно смотреть, но понимаем, что собственный ресерч стоит во главе стола :-)

> <@usernamegg:matrix.bestflowers247.online> [15:27:08] Qr: celi svoi pudt shas

Привет

> <@usernamegg:matrix.bestflowers247.online> там ботинок пришле от кемирона ?

$$ чуть чуть посканил и все там блоки пошли

там в сетке zscaller стоит

я видел где то zscaller в каких то файлах на тачках

он скорее всего блочил скан, сканило чуть и потом все

> <@usernamegg:matrix.bestflowers247.online> вчера получилось запустить ?

они там билд переделывали под 2012 винду

у них оказывается баг был что на 2012 от системы не запускало файл нормально

они в итоге все пофиксили нашли рдп на которой проверили и все равно

> <@usernamegg:matrix.bestflowers247.online> там стояла хуета от рансома

> <@usernamegg:matrix.bestflowers247.online> но в итоге по шарам и esxi сделали

> <@usernamegg:matrix.bestflowers247.online> https://blog.morphisec.com/babuk-ransomware-variant-major-attack?hsCtaTracking=cb4532e6-748e-4f73-9fa2-ac399a7f201a%7Cb7b9c500-497d-46c8-978c-7886b48f9ba8

аа нихуя даже так

image.png

> <@usernamegg:matrix.bestflowers247.online> ну так то тут нечему удивляться, так будет и дальше... Они нас будут ждать все больше и больше.

легче точно не будет

+

запрошиваю кошелек

+

https://proxs.ru

TEaN5TqDja3SjceyYfNV5rw5CpwF1RXA6i 800 usdt

UNLIMITED RATES (no traffic restrictions) вот этот я беру

780 он стоит

> <@usernamegg:matrix.bestflowers247.online> TEaN5TqDja3SjceyYfNV5rw5CpwF1RXA6i 800 usdt

верно

может тогда битком?

bc1qvwntvw5sxtsavaya85up958pjn2eysaqcflffe 0.01334 BTC

и для чекера мыло и пасса скоро сброшу кошелек на оплату

bc1qn0z8etys62cljzwjxl80k9y5nag7pq42s9lyes 0.01167 BTC

```

+

основной сейчас тогда опатим?

ну до 10го нужно оплатить

скоро скажу

https://pay.coingate.com/invoice/45965349-9a9c-45ef-a3bd-a20daf98da8f

image.png

а то у меня блочит тор

открывается у вас?

`socia@tured.net`

привет

Paul Miller: ты используешь впн который я тебе выдал?

> <@usernamegg:matrix.bestflowers247.online> https://cloud.holtservicesinc.com/logon/LogonPoint/index.html:jjames:Spring2024!

привет

с сервером россии некорректно работает

* с сервером россии зохо некорректно работает

++

используешь какойто публичный?

или без

нет, без ВПН

> <@usernamegg:matrix.bestflowers247.online> https://cloud.holtservicesinc.com/logon/LogonPoint/index.html:jjames:Spring2024!

ну вроде оплатили

все ок

ну там кто-то вводил еще и херню

> <@usernamegg:matrix.bestflowers247.online> почему первые два теста были успешные по кредам а по входам с этих кред нет

там же дан вроде шлет такое?

у него разве всегда пассы подходят?

не убегай плз далеко

Поднялся сокс, будешь добивать вчершнюю сеточку ?

начать использовать? могу платный приобрести

> <@usernamegg:matrix.bestflowers247.online> 0xa0A7d2C6b288927cf73a5cf59970373262ea73c6

DOMAIN:UNIGROUPINC

проверяй коннект

да тут сугубо твое личное дело

можем на выходных тогда к KZ привязать?

или когда удобно

ну хз

это же тоже самое

что слать msi

а мы уже слали

не один раз

image.png

К впнке подключены

так мы же вроде слали msi

по ответам

да, напомни только0

* да, напомни только0)

* да, напомни только)

Добивай пожалуйста вчерашний таргет, пригласили его на аудиенцию с тобой )

просто msi на сетках нужно проверить

и кажись вы вроверяли, там запустить не могут без админ пасса

Как проверишь сокс, отпишись плз, но цмдшка у меня поднялась

Хорошее ревеню

я в тебя верю =)

> <@usernamegg:matrix.bestflowers247.online> я думаю эти креды можно и указывать по каким они ходят

ну просто мы просоали вроде 200к, кредов ввели вообще мало

для такого количества

ну и msi на хороших сетках думаю тупо не запустится

у нас же вроде в ситрикс только получилось один войти?

но там 2аф было

я еще думаю, что можно конечно вощле формы отображать лого компании

но, пользователи авторизуюся в впн не через сайт, а через дестопное приложение

т.е. форму авторизации в форти думаю они вообще особо не видят

может поэтому и она и пугает

и не хотят воодить

* я еще думаю, что можно конечно возле формы отображать лого компании

* но, пользователи авторизуюся в впн не через сайт, а через десктопное приложение

`5546e4116a85d5d79074281a77d7cef5`

ну у меня знакомый в крупной компании

у них впн

и они же не через сайт авторизуются)

а через десктопное приложение впн

погодите

вроде же кто-то уже слал

ну нам все никак не могут поднять панельку

с 2аф

ее бы прослать

хотя там что-то так тянут

что странно

Hello sir good morning to you

чет мне кажется не будут они особо вводить креды, потому что формы авторизации для них не знакомы

но еще попробуем конечно

просто получается эти фейк формы никто не слал?

ну да, со звонком конечно будет лучше

5546e4116a85d5d79074281a77d7cef5:AdMin9Ws

> <@username777:matrix.bestflowers247.online> 5546e4116a85d5d79074281a77d7cef5:AdMin9Ws

сокс работает!

коннект вижу

ничего не выпилили

эмммм

да нет, подключен

дай какой нибудь хост в сети, я пингану его

image.png

Все норм, я вижу их днс сервер

`PRDD384A.unigroupinc.com`

давай хост кого пингануть

Deva255.unigroupinc.com

image.png

CA2.unigroupinc.com

image.png

image.png

Не, перезапустить ничего не выйдет.

Объясни в чем проблема, мы в последствии попытаемся исправить

щас попробуем сделать

сокс и реверс цмд

все

больше нету ничего, сокс и реверс цмд.

да

если мы щас запустим что то не то, наш софт убьет )

пингую, что бы сокс посмотрели, может переподняли

креды к панели?

ща уточню

```

сейчас шелл сгенерю

image.png

Там сентинел и дефендер адвансед

payload.bin

443 порт сделал

```

вот гайд если что как самому делать

не уверен, что мы сможем доставить шк и тем более его запустить )

у нас функции только сокс и реверс цмд

даже файл менеджера нету

подожди щас переподнимем

да сентинел ехе убьет твой )

и сокс убьет по цепочке )))

и писец все проебем )

не не, нет таких функций

мы же на коленке напилили, что бы был сокс и реверс цмд

и что бы держалось хорошо

все эти инжектирования, левые процессы, итп, нахуй они нужны

смотри, а мы псексом можем легитимный софт стартануть на удаленной тачке через цмд ?

у тебя есть креды, напрмер берем какой нибудь вайз или другой легетимник, и стартуем на сервере где тебе нужно.

ну видимо еще псекс нужно будет подлить и курлом скачать

если идти по такому сценарию

щас, очухался чак

щас, пробуем

переподнял

пробуй

Hi Arslan

Ready to work?

работает ?

ок

ну я могу перезагружать, разобрались как это делать правильно

Hello sir. Yes sir.

https://docs.google.com/spreadsheets/d/1ETJ71NJJ_tQytHsUeRcpAmlDHqgfyk8eDqmvMZQTbZ8/edit#gid=0

через 10 минут

https://docs.google.com/spreadsheets/d/17USbM5UyOtTKk1-1KETv1VAYU2S8Ten8xdbooF5D31w/edit#gid=0

start in 5 minutes

принял

Received sir

Я так понимаб, все хорошо, раз не пишешь аларм, аларм =))

Поставь себе рммки плз

что бы уже наверняка был закреп у тебя

ну, супер, то есть если упадет наш сокс, ты уже в сети )

Это хорошие новости

аа, ну блин воткни плз, мало ли сокс умрет. потеряем коннект (

окей, понял.

просто как быть, если нужно будет чего - то переподнять.

может еще вам что то отгрузим сегодня, так как вот прямо сейчас стартуем работу по звонкам.

Один админ в сетке ?

а ну блин, синк палевная штука )

Что тогда мы с ней делаем ?)

окей.

+++

было бы конечно супер ее раскрутить, сетка хорошая )

```

да, есть как минимум один без работы. Напишу ему сейчас

GlobalProtect RCE (CVE-2024-3400)

A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability.

ну по описанию норм

Fortinet FortiOS RCE (CVE-2024-21762)" "A out-of-bounds write in Fortinet FortiOS versions 7.4.0 through 7.4.2, 7.2.0 through 7.2.6, 7.0.0 through 7.0.13, 6.4.0 through 6.4.14, 6.2.0 through 6.2.15, 6.0.0 through 6.0.17, FortiProxy versions 7.4.0 through 7.4.2, 7.2.0 through 7.2.8, 7.0.0 through 7.0.14, 2.0.0 through 2.0.13, 1.2.0 through 1.2.13, 1.1.0 through 1.1.6, 1.0.0 through 1.0.7 allows attacker to execute unauthorized code or commands via specifically crafted requests

тоже норм

ScreenConnect RCE (CVE-2024-1709)" ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.

ну тут не понятно доступ к какой конфеденциальной информации

Microsoft Outlook RCE (CVE-2024-21413)" Microsoft Outlook Remote Code Execution Vulnerability

тоже вроде норм

> <@lapa:matrix.bestflowers247.online> "ScreenConnect RCE (CVE-2024-1709)" ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.

> <@lapa:matrix.bestflowers247.online> "ScreenConnect RCE (CVE-2024-1709)" ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.

ну да, мы его делали же

короч можно брать эксплоит эти, если продаются

офнусь пока, через пару часов буду

все, спалили вас!

навели вы видмо шухера, когда дссинк делали (

успели где то зарепиться ?

ну то есть у вас доступ в сеть остался ?

> <@usernamegg:matrix.bestflowers247.online> а ты на ip сможешь реализовать поднятие сокса5 ?

это типо чтобы ты прям к этому IP подрубался?

потому, что там сейчас уже кипишь, раз добрались до наших кред и комп обрубили через который мы сидели.

> <@usernamegg:matrix.bestflowers247.online> + Microsoft Outlook RCE (CVE-2024-21413) - private and upgraded version (added suport for unautheticated SMTP servers)

я же тогда сделал

> <@usernamegg:matrix.bestflowers247.online> а ты на ip сможешь реализовать поднятие сокса5 ?

у меня есть на го софт же такой

ребут нас не убьет )

его можно под любую ось сбилдить

там креды залочили

windows, linux ( x86, x64, arm, arm64 )

главное чтобы порты были открыти

я проверил, креды, утром они живые были, а щас после того как бот ушел в офф, я чекаю креды и они уже мертвые (

это самое важное

> <@usernamegg:matrix.bestflowers247.online> надо что бы у нас пике по кнопке включался

он может не торчат

ну сам IP

да батник обычный

мы сами его запускаем руками

то есть порты могут быть не открыты

или провадйер блочит доступ к портам этим

оно живет отлично, все четко, в авторане поднимается

ав на него не орет

все там заебись с нагрузкой

если бы так можно было, то я бы сразу мог на каждой тачке свой прокси сервер поднимать

а так надо заходить на роутер и ставить там правила маршрутизации на порты

то есть разрешать порты

делать это надо через HVNC

но я могу просто прогружать ваш EXE

то есть вам просто в сокс прогружать и все

допустим мы просто свой EXE сокса прогруажете

и все

и все будет работать

помнишь мы так уже делали

ладно едем дальше, мы новых уже ботов делаем, надеюсь пару сеток сделаю.

да, конечно

но это гемор дикий

Главное кипиша не наводить, аккрутано крутить

поэтому и делают все бекконект прокси

а не по хосту

на каждой тачке очень слонжо так поднимать

тем более роутеры же авторизацию просят

ну чего поделать, едем дальше )

не всегда креды можешь подобрать, найти или еще что то

они дц щас защищают пиздец как :)

я знаю, у нас сети пиздец щас по защите )

да в целом, щас все нормальные сети под хорошим контролем

Что бы было проще, нужно брать небольшие сетки )))

+++

я могу просто проливать его

или поднять свой

у меня есть кпленый сокс бот

от привохи

или как его там

точно такой же как у вас

я могу его сделат ьтак чтобы он как стилак синхронизировался

и да, если что после лета будет уже не пика, будет по другому называться, я полностью все буду переписывать, будет другая парадигма бота чутка, он будет кардинально по другому работать, сделаю его одновременно удобным и с можно сказать частью возможостей как у кобы

там будет несколько уровней нагрузок

чтобы я легко мог чистить 1 стейдж

ибо остальные стеджы будут только на нужных нам ботов проливаться

будет не 1 сишный исходник

да мне в целом пофигу на сентик )

> <@usernamegg:matrix.bestflowers247.online> что бы креды собирать и через фейк им грузить msi для установки впна

Hello sir. Need your guidance. Sir I am calling the second column. Numbers are with extension. Sometimes extension connects. Some times the same operator picked up the call.

нам же не нужно на эндпоинте что то криминального делать

если можно будет сразу и дату собирать и еще на тачку к ним, это все упрощает сразу

Keytronic

электронщиков вот сделали )

ну да, и сразу прогружэать сокс

чтобы IP как у него был

вообще четко

If you have already reached several people through an operator connection. skip the other numbers if the number is again with an operator.

и слушай, я смогу сделать msi, как у фортика к примеру

или как у другого инсталер

ну скопировать все, все файлы и так далее

чтобы как буд то реально инсталлер качался

просто как бы в этом установщике и мы были сразу

чтобы они вообще ничего не поняли

то есть впн реально усстановиться

* то есть впн реально установиться

* то есть впн реально установится

и мы там в системе будет

Received sir. It happened only twice. Most of the time extension connects.

я тут

сразу в этом установленом VPN

> <@usernamegg:matrix.bestflowers247.online> у тебя как по режиму сейчас ?

сегодня только лег поздно

у меня инет потух

без звука стояло

симки без оплаты теперь 2-3 дня живут

раньше партии были недели 2 работали

хуйня стало

я думал опять впн ебнулся

ну без оплаты раньше у меня симки работали недели 2

а щас 2-3 дня получается из новых партий

аа

че за такие сетки интересные только сокс и креды

а сокс то откуда

Ок давай приятного

ESET32 =)

щас попробуем свои техники, может отдам тебе )

видимо щас дам еще 1 сетку )

тук тук тук

алярм алярм

Давай ломать электриков

С наступающими праздниками кстати!

раз

раз

раз

закончил таблицу

у обеих компаний проблемы с телефонией, по 10-20 контактов подряд войсмейлы

почему думаешь что проблемы?\

не знаю, из-за времени во сколько звоню думаю проблем нет, из-за чего просто поочередно все на войсмейлах

* не знаю, из-за времени во сколько звоню думаю проблем нет, из-за то чего просто поочередно все на войсмейлах

* не знаю, из-за времени во сколько звоню думаю проблем нет, из-за чего то просто поочередно все на войсмейлах

может не разговаривают по телефонам они, хз

может быть

пробовал пару потенциальных контактов первой компании второй раз обзвонить с разницей в час, такая же ситуация

думаю проблема в самой компании

возможно

там есть для тебя гиппопотам даже )

давать сетку ?

Keytronic

ESET32

Как будто очередь стоит из желающих отдать сеть :-) :-)

```

* ```

ипконфиг тебе снять ?

закончил да с таблицей?

image.png

image.png

да, закончил

3-4 confirmed

Что то еще хочешь ?

https://docs.google.com/spreadsheets/d/1YeYUS15Ms9c97P_O3QYFfo-5GJEsHDariP7OJ0RpWIA/edit#gid=0

принял, начинаю

```

> <@usernamegg:matrix.bestflowers247.online> какими ?

> <@usernamegg:matrix.bestflowers247.online> что там зеленский ? )

не сильно слежу честно говоря

сокс работает ? все хорошо ?

> <@usernamegg:matrix.bestflowers247.online> ты пост держал ?

я песах сначала, а сейчас пасха вот

> <@usernamegg:matrix.bestflowers247.online> у нас готовит повар

у меня родители держали кстати

ну у меня цмдшка пашет, значит и сокс ок, если что я перезапущу

надо будет кстати попробовать, говорят это очень сильно органзим чистит

начни с петти потама, там есть уязвимые хостики текс сказал.

у него там опять какие то сложно блять ;-((

6df6217f1f1f5ba3e9226593db1e00aa:Ccytslo23!

++

Российская биржа beribit.com не дает клиентам вывести средства и публикует персональные данные в своем тг канале https://t.me/BeribitNews/594 , еще и сумму рядом указывает. Отечественными банками и биржами не пользуемся)) Как обычно наебали всех. Аналогичная ситуация с Qiwi.

это пост в телеге))

то что пользователь отдал

```

вроде как были валидные

тех чекал креды, все было валидно

креды были валидные...

image.png

да, видимо пасс сменила (

он там делал нопак

все работало с этими кредами, а щас хер.

у него че то с коннектом на респондере

разбирается

не )

так уже не выйдет

их не просто так поменяли, боюсь там и сокса уже не будет

ну ты пойми, креды просто так не меняют, я позвонить могу, но а толку ?

сейчас мщу

ищу*

Да я попробую, но это с 95% провал будет

Креды не просто так меняют

Ты без кред не сможешь что ли сделать сетку ?

> <@usernamegg:matrix.bestflowers247.online> сетка LATEXINTL

> <@usernamegg:matrix.bestflowers247.online> akdenizchemson.com

Cylance

не отвечает она (

Sir, this sheet is complete. I have skipped 4 numbers because of the same operator picking

Screenshot_2024-05-03-21-41-50-894_com.google.android.apps.docs.editors.sheets.jpg

Screenshot_2024-05-03-22-04-32-501_com.google.android.apps.docs.editors.sheets.jpg

> <@usernamegg:matrix.bestflowers247.online> дак нет конечно ) я настроился на более легкий путь сокс + креды )

закончил таблицу

у обеих компаний проблемы с телефонией

voicemail / number is not in service / unavailable / unable to connect

не знаю как их набрать вообще

понял

аууу

ну чего пропал

есть еще таргет

щас

Ghirardelli Chocolate

пасс придет и отдам тебе

5-7 минуток

Что по таргету прошлому ?

оке понял

да

делаю ее сейчас

пока что креды нашел

> <@usernamegg:matrix.bestflowers247.online> 50kk Forti

195.123.233.55:3005

GCC:tranj:baGELS123!::\\GHADS001

погнали

Ага, в базах майлпасс )

Молодцы

скрины домена будут?

image.png

image.png