ой все

я пошел

через клиент нет тоже конекта

с утра зал еще

спать надо больше а то тело не успевает востанавливать себя

второй раз уже ухожу

отпусти меня уже )

Добрых

downloaddotaviablogadd.io в блоке.

новый делаю

салам

да, кор вроде тут

объясни ему популярно как ты умеешь это делать

палиться там скорее всего что то

привет. проверил

Можешь описать как работает твой сокс ?

я тебе вчера говрил подними мой сокс

у меня не ssh

у меня через тсп

кому перекидываешь ?

у меня криптованые

у меня через тсп работает сокс

не через ссш

можно мой поднимать

он стабильней

regiplay.com.exe

regiplay.com.dll

northcapitals.com.exe

northcapitals.com.dll

там криптованный

он ничего не поймет

сейчас напишу тебе тз

я ему напишу тз сейчас

а сегодня мой можно запускать

лучше ехе

могу бин дать

без разницы что ему удобней будет

ну он любит шк

инжектить

ок

https://www.securitylab.ru/news/548205.php

Backconnect socks5 по стандарту https://datatracker.ietf.org/doc/html/rfc1928.

++

нетворк сенсор тоже поставил конечно

агент ничего не дает

давай

привет

жду

_++

ага, давай

соник брут

```

VALID_BRUT_RDWE

```

FORTI_VALID

```

VALID_BRUT_CISCO

OKTA_VALID

```

AUTH_VALID

```

SOPHOS_VALID

вчера этого небыло

или за вчерашний день ты скинул что начекалось , те в течение дня

?

SOPHOS_VALID

понял

PALO_VALID

```

++

ок

PULSE_VALID

```

да все что угодно может быть, брут это дело непредсказуемое

меня вырубило чутка

голова болела

+

ехе это ?

image.png

image.png

криптованный сокс бот

> <@muaddib6:matrix.org> sent a file.

тут ?

А когда детект вылез? НА ехе или длл?

криптер у меня

взъелся на тебя

ага спс

northcapitals.com.exe

я скачал детект и запустил его

конечно переделать

тебе нужно кроудстрайк поставить просто

https://www.vectorusa.com/services/cybersecurity-services

нет

на ехе сразу желание пропало

Intelligence X Search Tips.pdf

Intelligence X Search API.pdf

Intelligence X Leaks API.pdf

выслали на почту

нам

ага

2fa

мучаю

чутка позже расскажу

делаю пока

> <@nickolas:talks.icu> northcapitals.com.exe

а ехе после крипта не должен быть читый ?

* а ехе после крипта не должен быть чистый ?

темп сш, зип пасс

northcapitals.com.exe

запусти так же

```

протестим ?

куку можно перехватить

и залететь

а там все

https://login.microsoftonline.com - вот пройти по ссылке и введи почту

> <@lapa:matrix.bestflowers247.online> так он все сделает? даст линки и мне их чисто прослать?

либо можно поднять какой-то ип который не в блеклисте, но тогда по абузе сервер оффнут быстро

в любое время

ща договорю с ним

точечно лучше выбрать компанию на которой стоит ADFS

и по всем почтам прослать

ждать куку

много не слать лучше пока

ну да конечно

больше

ага

линки которые будут зашиты в html письмо будем похоже сами делать

только чекать страницу входа по мыльнику

https://login.microsoftonline.com

спена картинки там обычно

ну ты зайди посмотри

там сразу и впнки есть

там управление всем

мне скинули сейчас

надо искать

там 2фа

не знаю вот

скоро проверю

++

851288351.tekstovyy-dokument.txt

есть валид

но тут гов эду много

2фа предлогает поставить ?

или стоит уже ?

смылс какой куку компании со спама прехватить ? или эти непонятные логи собирать ?

ок

скоро

ага

я понял

```

olsonsteel.com

по ним файлы нужны

там нужно делать реверс шелл

вот как чел писал в логе

там много доменов для чего

25 шт

https://login.microsoftonline.com

вот я оплатил доступ сейчас для

SSO

https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-single-sign-on

вот этой штуки

хочу понять как там что работает

я не знаю

я думаю надо посмотреть сперва его решение а потом если нам понравиться мы его автоматизируем под себя.

самое правильное решение думаю

давай попробуем куки перехватывать

там же и креды они будут вводить

и реверс шелл будет тянуть картинку которая с офицального входа будет вставать

хорошая техника

я слышал про нее еще год назад

но не пробовать

для этого нам нужно трафик и его панель

трафик у нас есть со спама

придумаем как и что запаковать и пульнем

глянем что перехватим

да

у него есть готовое решение

конечно

да я так и попросил

линки он делать не будет , но я поговорю

[18:33:28] _: я не знаю какие линки нужны для просыла

ага

ну посмотрим какое решение у него есть

давай

95.216.228.249

а ты карбон поставил ?

> <@usernameyy:matrix.bestflowers247.online> циско требует двойную аутентификацию

у меня же есть трубка под2фа

он не ночной обычно

> <@usernameyy:matrix.bestflowers247.online> циско требует двойную аутентификацию

++

We need about 2 more days to finalize the review before we can select the filenames for proof.

++

https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators/

https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators/

да

сокс норм ?

ну это думаю скоро рабоатть не будет

креды ?

скидывай

и команды

route print

```

2011 порт - сокс

++

```

```

```

не охота пока

думаю июль

сокс видит только свою тачку в сети

image.png

нет

image.png

ты с соксом не премудрил?

может мой поднимешь ?

1.7z

rundll32 file.dll, OcrTrain

вот новый комплект

2be1e86f6e32b106ffce7c034f9b7836c7750f531a0001dc6d82efa7dacecef8

сдела вот вот только что крипт этот

```

вот панель куда отстучит

++

да

можешь

сейчас свой сокс поднимем там

посмотрим что выйдет

может они там с соксом перемудрили

у меня голова опять раскалывает я из постели поработаю

скань тогда

аа

только свою тачку видишь?

креды невалид

> <@usernamemm:matrix.bestflowers247.online> креды не валид

Снимок экрана 2024-05-15 в 20.26.22.png

сокс работает, в интернет с него ходит норм

по соксу пробую приконектится к этой же тачки не получается

да

nmap шумно

будет еще что то ?

```

++

кто?

да

если можно

без нее тяжко

там

к cmd возьму доступ ща

а ты не переподнимал сокс на прошлой сетке ?

а то в панель отстучал новый сокс

45.32.88.233:40933

45.32.88.233:40933

чей доступ ?

сокс

в панель отстучал

сокс 52.168.34.221 3005 перестал грузиться

> <@chuck:talks.icu> свой и твой один раз

на каком таргете?

> <@usernamemm:matrix.bestflowers247.online> по соксу пробую приконектится к этой же тачки не получается

попробуй этот

> <@usernamejj:matrix.bestflowers247.online> сокс 52.168.34.221 3005 перестал грузиться

++

на что

++

да

добрых

[18:48:32] _: >так а что по линку будет выдаваться?

[21:45:31] _: Пока ТХТ записей на доменах нет (нужны для того чтобы выпустить серт), я только завтра утром смогу закончить с ними. Данные от панели сейчас скину, ничего связанного с доменами не меняй. Нужно кстати выставить прокси как раз.

panel_faq

[18:48:32] _: >так а что по линку будет выдаваться?

[21:45:31] _: Пока ТХТ записей на доменах нет (нужны для того чтобы выпустить серт), я только завтра утром смогу закончить с ними. Данные от панели сейчас скину, ничего связанного с доменами не меняй. Нужно кстати выставить прокси как раз.

panel_faq

как сюда зайти ?

у меня не выходит

это панель для перехвата куки

мм???

ок

Hello. we have finished downloading the data and confirm we are ready for you to delete the ftp server that was hosting the data. Please provide proof thanks

rnntv.com

/home/RNNTV

вот этот сервак

норм

непонятно вообще где тут логин а где пароль

++

да

я тут

давай попробую зайти

что подтвердить ?)

2фа

подтвердил

> <@usernameyy:matrix.bestflowers247.online> sent an image.

image.png

какой логин пасс вводить ?

++

зашел вроде

panel

> <@usernamegg:matrix.bestflowers247.online> sent a file.

++

открылось

* \[21:45:31\] \_: Пока ТХТ записей на доменах нет (нужны для того чтобы выпустить серт), я только завтра утром смогу закончить с ними. Данные от панели сейчас скину, ничего связанного с доменами не меняй. Нужно кстати выставить прокси как раз.

> <@usernameyy:matrix.bestflowers247.online> sent an image.

нужно понять как куку там делать

мне сложно

и потом ее натягивать

мы будем делать фейк и слать на него

будет приходить кука

мы ее будет натягивать куда то в браузер и заходить

пока до конца не понимаю как

я делал вход по куке но не успешно

какой браузер использовать

как зайти по этой куке

кемирон нам дает сетки у него куки перехват идет

я будем перехватывать куку от мс

SSO Microsoft Security

+ креды должны прилетать в эту панель

мы по сути можем без 2фа зайти куда угодно

перехватив куку

понимаешь ?

это очень круто

нужно научится это делать

Снимок экрана 2024-05-16 в 11.55.35.png

Снимок экрана 2024-05-16 в 11.55.42.png

Снимок экрана 2024-05-16 в 11.55.49.png

у нас есть все для этого что бы перехватывать куки, нам нужно просто слать трафик на фейки а у нас есть лютый спам

можно так же cisco или citrix перехватывать куки

с лабой отложи пока все

давай вот в этом вопрос разберемся

это приоритет

```

вот лог с автором панели

тоже перечитай

я зашел туда

Снимок экрана 2024-05-16 в 11.55.35.png

Снимок экрана 2024-05-16 в 11.55.42.png

Снимок экрана 2024-05-16 в 11.55.49.png

это его пост

ну ты зайдешь сам все увидишь

я пока сам разбираюсь тут

Снимок экрана 2024-05-16 в 12.01.53.png

Снимок экрана 2024-05-16 в 12.02.01.png

этот реверс шелл сложная какая то система неподсильная моим мозгам

ты приедешь сегодня ?

да

лучше приезжай

++

CISCO_VALID_ITEMS16.txt

WG_VALID16.txt

AUTH_VALID16.txt

OKTA_VALID16.txt

FORTI_VALID16.txt

VALID_BRUT_CISCO16.txt

VALID_BRUT_SONIC16.txt

VALID_BRUT_RDWEB16.txt

нам нужно сделал среду где мы сможем проверить перехват куки

любой аутлук который есть у нас с рдпвеб

можно туда будет отправить письмо

и ввести креды

james_maxammjpj@KERJNAH.onmicrosoft.com

вот этого акка

и посмотреть как придет кука

попробовать ее использовать

ну да

или так

да

но скрипт какой то качает непонятный

[13:27:48] _: Это происходит потому что ты не выставил прокси

[13:27:48] _: Это происходит потому что ты не выставил прокси

а есть рабочие прокси у тебя ?

да

[13:35:57] _: я поставил прокси можеш заходить

я попросил его

сейчас попробую куку взять

ща

[14:01:13] AA: ты можешь сделать json формат что бы выдавало ?

[14:03:14] _: .office.comSESID567-b277-48e6-bef8-904951f49416

[14:04:56] _: а что такое storeId

[14:05:41] _: я могу сегодня сделать такой формат как скинул выше, думаю он также будет работать

сейчас

https://ls.app

https://ls.app

Linken Sphere 9 Evolution. Антидетект нового поколения

Linken Sphere 9 Evolution. Антидетект нового поколения

для работы с куками

для работы с куками

```

Снимок экрана 2024-05-16 в 14.38.49.png

Снимок экрана 2024-05-16 в 14.39.28.png

вроде работает

зашел под теми же кредами

[14:39:12] _: у меня нет уведомлений с токсика так что если нужен срочно то отпиши на хсс или экспу

все верно

сейчас

поставил

прокси

канады который в панели

http://155.138.136.242:10134:proxyes_criJ9B:TikuA9Vy

вот этот

image.png

image.png

image.png

да

прокси ставь

http://155.138.136.242:10134:proxyes_criJ9B:TikuA9Vy

привет

да

вчера нужно было еще

image.png

image.png

да

я пробую еще

ты что вставлял от куки

покажи

https://ls.app

поставь

очень пригодится сейчас нам

login.deifiedd.com

давай обновим куку

видимо она слетела из-за авторизации без прокси

так это разработчик посоветовал через это заходить?

застиль новую кукус

я сделал

все ок

```

под сокс бота

а почему у тебя страница на голландском если прокси канада

это он спрашивает

Снимок экрана 2024-05-16 в 15.08.31.png

Снимок экрана 2024-05-16 в 15.08.21.png

))

сейчас он сам попробует зайти по нашим кукам

ок

привет

норм

с перехватом куки работают

настроил по

сегодня попробую по юсе прослать

если сейчас отлажу

там у же весь интренет пестрит новыми аттаками блекбасты по телефону

> <@nickolas:talks.icu> Ну перехват куки это через реверс прокси, а-ля модлишка, мы такое делали

цистри , циско , я смогу туда зайти

пока на мс ghjdth.

* пока на мс проверю.

у меня есть поставщик который постоянно и стабильно приносит сетки

он куки ловит

https://www.bleepingcomputer.com/news/security/windows-quick-assist-abused-in-black-basta-ransomware-attacks/

да

++

ага

да?) где писали ?

получилось ?

получилось ?

ты тут ?

```

Brave ., [16 мая 2024 г., 15:44:49]:

Brave ., [16 мая 2024 г., 15:44:49]:

давай

привет

у конти очень хорошая скорость была по распространению

[22:19:01] Conti: > можешь поделиться ?

вот этот диалог нашел с ним

в 22 году

[22:23:36] Conti: Ну вот сделай как я тебе сказал и будет пушка

это по моментальному распространению локера

у них там очень хороший софт

и сокс

я таких еще не видел ни у кого

он живучий капец

ну вот я свой сокс не могу поднять на тачке где то

он свой поднимает без проблем

по сети даже когда уже креды есть

его сокс это какое то волшебство

отвечаю

там кодер сделал даже так что если у бота админ все права порезал и отключил его от инета тачку дак он обошел это через dns

боты по днсу приходят

там уровень прогера даже не кортеса

там какой то чумной парень сидит у него

мы отдавали на реверс его файлы знающим людям

я уже подумал об этом

ку

как тут будешь отпиши

поговорю с ними

возможно

там ребята не сытые

сразу видно

с первых запрал они ахуели )

> <@nickolas:talks.icu> как раз те же ребята, у кого был сплоит под ms teams ?

* с первых зарплат они ахуели )

не FIN7 думаю

ну сегодня на мой попробуем

посмотрим

С

и на повершеле написал

для нужд