image.png

image.png

systeminfo

запроси

++

и скрип пришли

молчит пока

отошел может

по телефону ?

и бот отвалился

по телефону он сказал что ему надо отойти

и свалил видимо

ладно они до завтра или до пн

он спешил, говорит уходить надо, плз типа не больше 10 минут

да

там основа у них шоколадная фабрика LINDT

19трастов

это жирная

херь

креды есть ,софт стоит, все надо ждать его

> <@usernamess:matrix.bestflowers247.online> `Lindt & Sprüngli Group приняла решение вообще уйти с российского рынка`

а так это все санкционка

как это )

это то что надо

ну пока не гони лошадей

там настройка же может быть

запустить ничего не даст

да

молодцы

очень круто что выходит

делай дальше так

согласен

софт есть

схема есть

Работаем )

++

> <@nickolas:talks.icu> 75-80% звонков упираются в автоответчики

много звоню таргетам на разные номера

из 10 звонков 3 успешных и то хорошо

если не 0

аааа 11 звонок будет успешный

надо подумать

где тащить почту + номер телефон сотрудника

по почте будет + - понятно что за контора

аа

++

тебе двинутся надо

пока он на месте

убежит и выключит комп

потом только в пн

сокс потухнет

все отлично

я двинулся на тачку, закрепился

так то бы еще поставить туда rrm

помнишь я давал ?

на всякий случай

что бы можно было востановить

https://app.level.io

посмотри сколько скачалось по сеткам

сегодня ночью будем ставить или завтра

что бы я орентировался

спать или не спать

не

спать

дозакрепись через rrm и спать

rmm крeпанусь и отдыхать пойду

вышло?

збс

спать

да

ну

чекаешь сколько скачалось ?

сколько ?

хорошо

будут жирные сейчас сктеик

только нужно соксом двигать и кредами

* будут жирные сейчас сетки

есть тут схема хорошая

все спать идем

завтра утром стопнуть надо будет выкачку

я ушел

добрых

JJ $$ NN умеют

учись

++

https://www.zoominfo.com/c/nuclear-waste-management-organization/74728670

доброе утро

да

живет

ща тут несколько сеток ренимирую

позже займусь этой

дада

конечно

мы не уходим на пасхальные выходные

только в церковь ночью съездим

потом приедем

так до 8го ночи мы тут

потом до 13 отыдах

отлично

юристов

++

надо искать жертву

кому там позвонить

это для кого ты спрашиваешь ?

я кербьы перестал снимать это палево

либо в крайнем случае

я не могу рассказывать сейчас чему мы обучились и как прокачали своей скил

интеллектуальная собственность

у них еще долгий путь как понимаю

я каждый месяц по 20-30 миллионов отдаю человеу который нас учит разным техникам

он приезжает и обучает

живет неделю с нами

так что извините

он уезжает домой и ищет новые векторы атак

находит

тестирует

и привозит

обучает

все по разному усваивают

> <@nickolas:talks.icu> Но ценник который ты платишь, просто сумасшедший =)

тут сложность растет

раскрутки

сам увидел что они ставят и как они умеют оборону держать от нас

научились на несколько лет

хоть мы сейчас и в топе все равно пиздец как тяжко

> <@nickolas:talks.icu> ага, так оно и есть, часть людей понимаешь, что не вывозит техники.

https://www.infosecurity-magazine.com/news/lockbit-black-basta-play/

> <@nickolas:talks.icu> Тут мы говорим в первую очередь об объеме проставленных целей, но это не равно суммарное колличество выплат в денежном эквиваленте :-)

я потом после таких статей плохо спать начинаю

tutanota.com

доброе

там что то у нас джойнер не рбоатет в морде

не джонит в домен

как будь то что то сломалось

либо соксы кривые косые

посмотри плз

https://www.provendata.com/blog/black-basta-ransomware/

МОК, специфичные для программ-вымогателей Black Basta, включают в себя:

да

заходит вручную

там внутри мы уже сделали руками

пасс поменяли от root

через морду

все ок

7.03

версия

не не

все так же

да, хорошая идея

мы лучше руками отберем мелочевку

я просто переживаю что может определять как мелочевку а на самом деле будет крупная уже была такое и не раз

нужно искать новый вектор аттаки

> <@lapa:matrix.bestflowers247.online> доработал тут еще определение доменов, вроде уже есть даже что-то новое

оо

вижу

AUTH_VALID_.txt

SONIC_VALID_.txt

FORTI_VALID_.txt

CIT_AUTH_VALID1_.txt

SOPHOS_VALID_.txt

CISCO_VALID_ITEMS_.txt

VALID_BRUT_SONIC_.txt

VALID_BRUT_RDWEB_.txt

VALID_BRUT_CISCO.txt

WG_VALID.txt

у нас есть тут группа

куда мы скидываем на расшифровку хеши

вот так это выглядит

Снимок экрана 2024-05-04 в 12.37.25.png

Снимок экрана 2024-05-04 в 12.37.05.png

это очень большой объем паролей за все время , как только кто то у меня накосячит в офисе я посажу его выписывать все это пароли за все время, что бы нам в бруте их использовать.

посмотри уиникальность паролей

да

они можут быть у нас в расшифрованных хешах

No Cylance.

dutyfreeamericas.com

чат пропал

ща

Id: d6189c51-80cf-42c4-8b4d-9bb5261dbca8

Id: d83824bd-883c-4a2e-a0e1-20e4b28a74fc

вот оба чата

anthemproperties.com

++

когда я блог и чат удаляю и сс все равно не пропаладют они

почему так ?

```

вот этих всех удалил

> <@usernameyy:matrix.bestflowers247.online> d83824bd-883c-4a2e-a0e1-20e4b28a74fc они нам кстати денег еще должны

> <@usernameyy:matrix.bestflowers247.online> лучше не удаляй чаты сразу, пусть висят неделю, можно заблокировать, если нужно таргету показать, что чат удален

++++

и без восклицательного знака ?

не

++

https://12.18.100.104/RDWeb/Pages/en-US/login.aspx dreese Spring2024! martin\dreese

он пустой ☝️

он пустой ☝️

я проверил

Снимок экрана 2024-05-04 в 13.56.12.png

но уже хорошо

есть резульатат

Снимок экрана 2024-05-04 в 14.03.49.png

третий

> <@lapa:matrix.bestflowers247.online> https://209.104.45.55/RDWeb/Pages/en-US/login.aspx sean.henrichs Spring2024! TICKETMASTER\sean.henrichs

надо сделать функцию что бы я смог помечать по приоритетеу таргеты в панели

не кого смотреть

флаг типа

ставлю

как батке письма помечают

в почтовике

the bat

посмотри

там можно на письмо ставишь флаг

ок

пробовал да

еще раз

Снимок экрана 2024-05-04 в 14.09.51.png

с доменом хочет только ё

dutyfreeamericas.com - общаемся , просят расрочку на мешную сумму , уже начали переводить(ждем два месмяца еще ) посмотрим как это будет работать.

* dutyfreeamericas.com - общаемся , просят расрочку на смешную сумму , уже начали переводить(ждем два месмяца еще ) посмотрим как это будет работать.

смотрю

Website

+++

Снимок экрана 2024-05-04 в 14.22.49.png

https://13.80.6.172/RDWeb/Pages/en-US/login.aspx ALLIOTTS\rogers February2024!

Снимок экрана 2024-05-04 в 14.22.49.png

__

https://subcom.com

https://www.zoominfo.com/c/subcom/374895586

++

__

____

https://13.80.6.172/RDWeb/Pages/en-US/login.aspx rogers February2024! ALLIOTTS\rogers

____

Spring2024!

2023!

и тд

нужны разные варианты

да

точно

там сразу пошел результ ?

сейчас посмотрю что там еще человек этот мне кидал за все время

какие были там пассы

> https://cloud.cmg.aero/vpn/index.html :jrichardson:Welcome123 aa aerospace

da63.84.4.141:443:kguerra:Spring2024:Corp-SSL-Connection-Profile

[19:49:50] qfv: 1 https://secureaccess.arvidnordquist.se/+CSCOE+/logon.html:temp:1q2w3e4r:AST-AnyConnect-Rost 30кк аа

[19:42:02] qfv: https://115.69.202.141/my.policy :support:support 8b aa

https://secureaccess.arvidnordquist.se/+CSCOE+/logon.html:temp:1q2w3e4r:AST-AnyConnect-Rost 30кк

https://109.107.157.43:2083

домен какой привязали ?

и ssl сделали ?

дай мне доступ по домену

```

у челика етсь какая то база

да

я ищу униканые базы паролей для брута

есть такие собираюсь

не не

надо более уникальную сборку

это не то

с дампов

логов

email pass

kjvf

лома

хешей

есть базы

занимаюсь

я парочке уже написало кто такое собирал

ага

привет

мы делали тогда стобой крипт

который софос обошел

помнишь ?

сможем повторить ?

привет

софос надо обойти

сможем ?

а то все файлы которые сделали он схавал

30_smb_payload_x86.bin

30_smb_payload_x64.bin

30_payload_x86.bin

30_payload_x64.bin

rundll32.exe dll.dll,GetModuleProp

точка входа для dll

Снимок экрана 2024-05-04 в 16.36.26.png

там респекты тебе выписали модераторы

привете

да

я на почту зашел

увидел

ага )

Продам свою базу паролей для брута. Подойдет для работы с хешами в hashcat.

Снимок экрана 2024-05-04 в 16.46.09.png

я давно не заходил не смотрел

ща посмотрю к верфиу доступ

Снимок экрана 2024-05-04 в 16.48.48.png

Снимок экрана 2024-05-04 в 16.48.19.png

ничего не изменилось вроде

зашел

да

Регистрация: 13.01.2011

13 лет реге

))

вообще шикарно

да

```

похуй у нас 2011

когда мы придет и отрокем шоп это будет пиздец )

разеб просто

новый пасс да

согласен

там все надо переносить на новый сервак

хорошо

я понял

я думаю он там ждет

и что он сказала ?

хорошо

я не пинаю его да

просто тупо нехватка времени и что там куда то пенересли я не же вкурсе

супер

CISCO

* CISCO

++

CISCO

RDWeb

https://12.18.100.104/RDWeb/Pages/en-US/login.aspx dreese Spring2024! martin\dreese

___

это надо отчекать, то что нашлось на данный момент

форти бы побрутить

RDWeb нету пока валиад

аа

у нас cpanel чекаються норм ща ?

с соксами все ок ?

понял

новое буду грузить

ты просто говрил что нету уже

мне вот поставщики пишут сейчас

много

??

да, делай как удобно

++

https://52.8.144.163/RDWeb/Pages/en-US/login.aspx babeyta Summer2023! pridestaff\babeyta

https://216.234.126.186:443 clee Welcome2024 atlasoil.com

https://20.237.41.225/RDWeb/Pages/en-US/login.aspx kpena Welcome2023! pma\kpena

51.89.241.90

https://160.72.38.98:443 RemoteAccess jlamicella@subcom.com Spring2024!

https://160.72.38.98:443 RemoteAccess jlamicella@subcom.com Spring2024!

atlasoil.com - да, это она

но пока мало компов вижу в сети

но ничего сейчас двинусь

посмотрим

оо

отлично

Forti

https://194.6.172.67/RDWeb/Pages/en-US/login.aspx esther.wittwer@kambly.ch Winter2024! kambly\esther.wittwer@kambly.ch

у вас что выходной сегодня ?

мы работаем до 9 мая без выходных

нам нужен крипт ежедневно

> <@usernamegg:matrix.bestflowers247.online> https://194.6.172.67/RDWeb/Pages/en-US/login.aspx esther.wittwer@kambly.ch Winter2024! kambly\esther.wittwer@kambly.ch

++

https://204.13.183.88/RDWeb/Pages/en-US/login.aspx steve April2024 1stchoiceit\steve

82.97.251.114:11200

это не иншуренс ?

лочит ?

как ты понял что это медики ?

соксы нужны наверно

каждый сокс на три поппытки

ну тут много всего в ней должно быть

сколько там трастов у нее ?

ну есть такое

ахуеть

> <@usernamenn:matrix.bestflowers247.online> а вот до cerner не знаем как дотянуться, из тех трастов что затянули тачки не видят cerner - не пингуют даже DC

по оджному трасту перебирать и с него пинговать через dc ?

ебать

165к компов

ну он мне говрил да сейчас )

медики платят

точно

165 000 000 pc это мало ?)

нормально _)

во во

пиздец

linux name + users может хранят что то там они

да, галвное дату найти хорошую

и много выкачать у них

потом запустить всю виртуализацию сканить

и найти все vc

++

есть под такое ftp

большой

скачаем

главное что бы тачки были с каикх качать и скорость норм

что бы потом выпил не пошел

Zscaler - компания по облачной безопасности со штаб-квартирой в Сан-Хосе, Калифорния. Компания предлагает корпоративные услуги облачной безопасности.

https://www.zscaler.com

лютый софт

тоже облачный

WER_Kernel.7z

я эксплойт купил

проверь пожалуйста его

и выдай его в общий чат с мануалом как заупскать и тд

CVE-2024-26169 LPE

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169

эксплойт забрал

https://nvd.nist.gov/vuln/detail/CVE-2024-3400

GlobalProtect. Put this in Core Impact folder with exploits and run through Core Impact.

GlobalProtect-2024-3400.7z

сейчас ему скажу

хомяку

пускай почитает

он все равно там спит в кресле

нихуя не делает

FortiOS-2024-21762.7z

Again like GlobalProtect. Put in Core Impact and run from there. These two VPN exploits - put in the folder with exploits of Core Impact. LPE - run directly through the build.

??

тот же прогер

запросил

https://www.threatshub.org/blog/coredata/uploads/2020/01/microsoft-and-zscaler-help-organizations-implement-the-zero-trust-model.png

Оно все равно как-то устанавливается , часть кода, какой-то клиентской приложухой

он отошел

CVE-2024-26169 LPE

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169

я тут

отходил

> <@lapa:matrix.bestflowers247.online> ладно, наверное офнусь. и так полубольной сижу. что-то до конца не выздоровел

завтра покурим скрипт RCE

тебе отдыхать нужно

что бы востановился организм

денег всех не заработать )

ща

следит за всем через ад

These are custom exploits made by Core Impact. It is verified by the company - it's a white reputable company (Fortra) and exploits there always go through verification before issued to customers. The LPE is from a 3rd party source and there I gave a video in advance. The FortiOS works best and most stable on version 7.2.7. I don't make any tests on the Core Impact exploits as they are verified by a reputable company, same like Cobalt Strike. And for the LPE it has been tested and a video recorded.

> <@lapa:matrix.bestflowers247.online> this is just a place holder file for sslvpn handler.

https://remote.smcinc.biz/RDWeb/Pages/en-US/login.aspx :jthomas:Spring2024!

It's not just a place holder. It sends a crafted request that triggers this vulnerability and runs whatever command is specified there as an argument.

Don't worry about Cobalt Strike - it will work after 27 days as well.

IjFoFBDWd.7z

This is Cylance killer. Build costs $7K for this EDR but I give you now as a bonus for this deal. This is one of the most difficult EDRs.

я купил у него сейчас два сплойта под впны он дал Cylance killer в догонку но говорит если на тачке деф то он его удалит

все живет все в закрепе

сегодня другая сетка выпила всю кровь

еще борюсь с ней

> <@nickolas:talks.icu> Я вот подумал, если у нас есть хороший агент, так же у нас есть лпе сплоит, так наверно стоит через реверс цмд, нам агента сразу поднимать до системы.

> <@nickolas:talks.icu> Купил себе 5 лицензий crowd strike, накатил их сегодня у себя на стенде

что тестируешь ?

хорошая идея

хороший и правильный админ

я тоже не хотел

Снимок экрана 2024-05-05 в 00.32.08.png

M6-NAS-2.driver.driverconsult.com 192.168.80.201 Windows Server 2019 Standard Hyper-V MIMIMIMIMIMIMIMI

image.png

image.png

OM-SV-01.oman.driver.driverconsult.com 192.168.58.3 Windows Server 2019 Standard PDC Hyper-V VEEAM\BACKUP!!! CDF [F: Backup Drive] DATA!

есть такое

каким образом?

cpanel.txt

> <@lapa:matrix.bestflowers247.online> нужно вижимо Core Impact ставить

cpanel поставь плз на чек

доброй ночи

до завтра