Симуляция атаки группы APT Stardust Chollima
Это симуляция атаки группы APT Stardust Chollima, нацеленной на межбанковскую сеть Чили. Кампания атаки была активна в декабре 2018 года и использовала PowerRatankba — вариант вредоносного ПО на базе PowerShell, который во многом схож с оригинальным имплантом Ratankba. Корпоративная сеть Redbanc была заражена версией PowerRatankba, которая не определялась антивирусным программным обеспечением.

По данным компании Flashpoint, злоумышленники доставили вредоносное ПО следующим образом: доверенный IT-специалист Redbanc кликнул по ссылке для подачи заявки на вакансию, найденную в социальной сети LinkedIn.

Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT%2FStardust%20Chollima

Fancy Bear ❤️‍🔥🥷

Read “Stardust Chollima APT Adversary Simulation“ on Medium: https://medium.com/@S3N4T0R/stardust-chollima-apt-adversary-simulation-d5c115a89ab9

The new logo ❤️‍🔥

Действительно захватывающий выпуск от Сесара Сото 🥷❤️‍🔥, руководителя направления имитации противника в Dreamlab Technologies Latam

https://youtu.be/w1JpNDop4t0?si=MC-KeUwfvS_PjUv7

Для меня честь, что мой репозиторий Adversary Simulation был использован в обсуждении атаки на цепочку поставок npm 🔥.
Киберугрозы быстро развиваются, и эмуляция APT остаётся важным инструментом защиты.

🔗 https://youtu.be/XfHIuMXO6PE

Россия всегда доказывала своё превосходство🇷🇺⚡️

https://youtu.be/Eq6ATHhBezw?si=Zy940itRwv8Aer2c

По случаю недавнего раскрытия кампании по эксплуатации пакетов npm на GitHub группами APT: такие кампании не являются новыми — они появлялись на протяжении многих лет в различных формах. На этот раз особенно выделяется активное использование социальной инженерии, когда злоумышленники выдавали себя за контрибьюторов, чтобы внедрить вредоносные файлы и даже удаляли комментарии, которые могли раскрыть их активность.

Я горжусь тем, что подразделение REDLICANT Adversary Simulation, входящее в состав Dreamlab Technologies, провело аналогичную симуляцию около 7 месяцев назад. Это была наша вторая симуляция с момента создания команды. Мы сосредоточились на сценариях эксплуатации npm и атак на цепочку поставок, заранее придав им приоритет, предвидя, что такие кампании в конечном итоге будут расширяться и нацеливаться на критически важные организации в Латинской Америке.

Эта эмуляция была выполнена совместно с Cesar Soto, María Sol González и мной — отличные воспоминания о сильной командной работе!

Read “Why Adversary Simulation?“ by S3N4T0R on Medium: https://medium.com/@S3N4T0R/why-adversary-simulation-a1c69e8bd93a

Read “Adversary Simulation vs. Adversary Emulation“ by S3N4T0R on Medium: https://medium.com/@S3N4T0R/adversary-simulation-vs-adversary-emulation-381b920a12f6

Это моделирование атаки (adversary simulation) группы APT RicochetChollima, нацеленное на активистов, занимающихся вопросами Северной Кореи. Кампания началась в марте 2025 года и стартовала с целевого фишинга (spear-phishing): в письме содержалась ссылка на Dropbox, ведущая к архиву, в котором был вредоносный ярлык (LNK). После распаковки и запуска этот LNK активировал дополнительное вредоносное ПО, содержащее ключевое слово «toy». Содержимое было замаскировано под приглашение на академический форум от южнокорейского аналитического центра по национальной безопасности, чтобы повысить доверие.

Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima

Malicious PixelCode Delivery Technique

https://github.com/S3N4T0R-0X0/Malicious-PixelCode