Discover and read the best of Twitter Threads about #ProxyShell

Most recents (4)

I wrote a quick Nmap script to scan for servers potentially vulnerable to #ProxyNotShell (based on Microsoft's recommended URL blocking rule) I hope it can be useful for someone :)

[+] github.com/CronUp/Vulnera…

#0day CVE-2022-40140 CVE-2022-41082
Basically, it sends an SSRF-like request adding the string "Powershell" in the URI, if there is no block and the server returns the header "X-FEServer" with the server name, then it is potentially vulnerable.

Also in its mass scanning version ~
Updated script, added #ProxyShell validation and some error handling, thanks to @CesarSilence and @GossiTheDog for their ProxyShell checker template (I was missing the "redirect_ok=false") :D
Read 3 tweets
🧵 | El grupo de Hacktivistas #Guacamayas ha comenzado a liberar información obtenida despues de haber comprometido los sistemas de varios gobiernos entre ellos: #Mexico #Peru #Chile #Colombia #Salvador 
-
Siendo el resultado de una operación llamada: #FuerzasRepresivas Image
La operación #FuerzasRepresivas tiene por objetivo comprometer sistemas de fuerzas militares y policiales de América Latina, para posteriormente filtrar información sensible que ejemplifique como los estados hacen uso de estos recursos para reprimir y someter a los pueblos. Image
La primera filtración pertenece al Estado Mayor Conjunto de las Fuerzas Armadas de Chile. El cual incluye las bandejas de entrada de correos electrónicos (400 mil correos electrónicos) ImageImage
Read 20 tweets
19/SEPT: El grupo hacktivista #Guacamaya filtró 366 GB de correos internos del Estado Mayor Conjunto de las Fuerza Armadas de Chile (EMCO) 🇨🇱

La operación #FuerzasRepresivas corresponde a una serie de ataques a fuerzas policiales y militares en LATAM.

1/ ImageImageImage
El grupo estuvo explotando la vulnerabilidad #ProxyShell para acceder a los servidores Microsoft Exchange de las organizaciones.

Algunas IPs en las imágenes corresponden a servidores vulnerables alertados desde al menos el 09/Agosto/2021. REF: cronup.com/proxyshell-el-…

2/
Próximas filtraciónes según #Guacamaya:

- SEDENA México (6 TB)
- Policía Nacional Civil de El Salvador (4 TB)
- Comando General de las Fuerzas Militares de Colombia (275 GB)
- Fuerza Armada de El Salvador (50 GB)
- CCFFAA del Perú (35 GB)
- Ejercito del Perú (70 GB)

3/ Image
Read 6 tweets
#Proxyshell in #tortillas recipe #ransomware
We have seen a new actor named tortillas abusing proxyshell to run ransomware.
The ransomware maybe born from the leaked #Babuk code.
The attack is originated by the IP: 185.219.52.]229
@58_158_177_102 @sugimu_sec Image
Chain: proxyshell -> webshell (a lot) -> certutil -> download and execute the payload.
The encrypted files has .babyk extension and end with "choung dong looks like hot dog!!" string that is typical from #Babuk, but the ransom note are different.
So we guess they used Babuk code. ImageImage
Ioc:
3556821DD4184777D340ACE0D17D3A53
DA6C6C0A07723DE52912AFA07B8D06C8
5000E5FDDAA93D43C8FE8CE833BFEA43

http://185.219.52.]229/tortillas/tore.exe
http://185.219.52.]229:8083/NRy1EZKJRn4GH.hta
sample dwnld from pastebin.]pl\view\raw\a57be2ca
and inject to AddInProcess32.exe
Read 4 tweets

Related hashtags

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!