🚨Новая симуляция атаки китайской APT-группы🚨
Это симуляция атаки группы (Mustang Panda), нацеленной на правительственные учреждения в Юго-Восточной Азии. Кампания атаки была активна с конца сентября 2023 года. Цепочка атаки начинается с использования обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных нагрузок. Чтобы использовать Visual Studio Code в злонамеренных целях, злоумышленник может воспользоваться портативной версией code.exe (исполняемый файл Visual Studio Code) или уже установленной версией программы. Выполнив команду code.exe tunnel, злоумышленник получает ссылку, которая требует авторизации в GitHub через собственный аккаунт. Для создания этой симуляции я опирался на данные Palo Alto Networks Unit 42.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Chinese%20APT/Mustang%20Panda
Это симуляция атаки группы (Mustang Panda), нацеленной на правительственные учреждения в Юго-Восточной Азии. Кампания атаки была активна с конца сентября 2023 года. Цепочка атаки начинается с использования обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных нагрузок. Чтобы использовать Visual Studio Code в злонамеренных целях, злоумышленник может воспользоваться портативной версией code.exe (исполняемый файл Visual Studio Code) или уже установленной версией программы. Выполнив команду code.exe tunnel, злоумышленник получает ссылку, которая требует авторизации в GitHub через собственный аккаунт. Для создания этой симуляции я опирался на данные Palo Alto Networks Unit 42.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Chinese%20APT/Mustang%20Panda
Этот PDF-документ представляет собой компиляцию симуляций атак, которые я лично разработал за пять месяцев для всех российских групп АРТ (продвинутые постоянные угрозы). В нем подробно описаны симуляции каждого сценария атаки, нацеленные на различные критически важные секторы, как частные, так и государственные. Документ включает инструменты, C2-серверы, бэкдоры, техники эксплуатации уязвимостей, загрузчики и другие элементы, характерные для реальных атак. Все эти инструменты и тактики тщательно смоделированы для отображения реальных возможностей противника. Этот масштабный проект потребовал значительных усилий с моей стороны для разработки и интеграции этих компонентов. Для полного обзора моих симуляций и использованных методик: https://t.me/BearC2/58
⚡6
🚨Новая симуляция атаки APT из Северной Кореи🚨
Эта симуляция представляет атаку группы APT (Labyrinth Chollima), нацеленную на жертв, работающих в энергетической компании и аэрокосмической промышленности. Кампания была активна до июня 2024 года. Цепочка атаки начинается с использования легитимного контента описания вакансий, чтобы атаковать жертв, работающих в критически важной инфраструктуре США. Описание вакансии доставляется жертве в защищённом паролем архиве ZIP, содержащем зашифрованный PDF-файл и модифицированную версию открытого PDF-просмотрщика. Я опирался на данные Mandiant для детализации этой симуляции.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT/Labyrinth%20Chollima
Эта симуляция представляет атаку группы APT (Labyrinth Chollima), нацеленную на жертв, работающих в энергетической компании и аэрокосмической промышленности. Кампания была активна до июня 2024 года. Цепочка атаки начинается с использования легитимного контента описания вакансий, чтобы атаковать жертв, работающих в критически важной инфраструктуре США. Описание вакансии доставляется жертве в защищённом паролем архиве ZIP, содержащем зашифрованный PDF-файл и модифицированную версию открытого PDF-просмотрщика. Я опирался на данные Mandiant для детализации этой симуляции.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT/Labyrinth%20Chollima
🔥2⚡1
BEAR-C2
🚨Новая симуляция атаки APT из Северной Кореи🚨 Эта симуляция представляет атаку группы APT (Labyrinth Chollima), нацеленную на жертв, работающих в энергетической компании и аэрокосмической промышленности. Кампания была активна до июня 2024 года. Цепочка атаки…
This media is not supported in your browser
VIEW IN TELEGRAM
⚡2
Это имитация атаки группировки Cozy Bear (APT-29), нацеленной на дипломатические миссии. Кампания началась с безобидного и легитимного события. В середине апреля 2023 года дипломат из Министерства иностранных дел Польши отправил своё настоящее объявление по электронной почте в различные посольства, рекламируя продажу подержанного седана BMW 5-й серии, находящегося в Киеве. Файл был назван "BMW 5 for sale in Kyiv - 2023.docx". Я полагался на исследование Palo Alto Networks Unit 42 для выяснения деталей и создания этой имитации.
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Russian%20APT%2FAPT29-Adversary-Simulation
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Russian%20APT%2FAPT29-Adversary-Simulation
BEAR-C2
Это имитация атаки группировки Cozy Bear (APT-29), нацеленной на дипломатические миссии. Кампания началась с безобидного и легитимного события. В середине апреля 2023 года дипломат из Министерства иностранных дел Польши отправил своё настоящее объявление по…
This media is not supported in your browser
VIEW IN TELEGRAM
Симуляция атаки APT28 Fancy Bear
Это симуляция атаки группы Fancy Bear (APT28), нацеленной на высокопоставленных государственных чиновников Западной Азии и Восточной Европы. Кампания атаки была активна с октября по ноябрь 2021 года. Цепочка атаки начинается с выполнения Excel-загрузчика, отправленного жертве по электронной почте, который эксплуатирует уязвимость удаленного выполнения кода MSHTML (CVE-2021-40444) для запуска вредоносного исполняемого файла в памяти.
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Russian%20APT/APT28-Adversary-Simulation
Это симуляция атаки группы Fancy Bear (APT28), нацеленной на высокопоставленных государственных чиновников Западной Азии и Восточной Европы. Кампания атаки была активна с октября по ноябрь 2021 года. Цепочка атаки начинается с выполнения Excel-загрузчика, отправленного жертве по электронной почте, который эксплуатирует уязвимость удаленного выполнения кода MSHTML (CVE-2021-40444) для запуска вредоносного исполняемого файла в памяти.
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Russian%20APT/APT28-Adversary-Simulation
❤🔥2