📡 WSUS: твой сервер обновлений или хакерский шлюз?

Lorenzo Meacci разобрал, как WSUS превращается в хакерский хайвей для LPE, lateral movement и C2-доставки. Windows Server 2022 под ударом, и вот почему админам пора пить кофе покрепче. 🍺

Как ломают WSUS:
1️⃣ MITM + ARP Spoof = Game Over
Забыл HTTPS? Поздравляю, через HTTP твой WSUS качает фейковый .cab с PsExec. Новый юзер в local admins? Легко.
💥 Pro tip: без TLS твой WSUS — это просто хакерский FTP.

2️⃣ WSUS Admin Abuse? Пфф, детская шалость
С доступом к WSUS (SharpWSUS или консоль) пихаем "легит" апдейт: net user eviladmin /add. Аппрувим и вуаля — клиент выполняет. HTTPS? Не спасает, подпись никто не проверяет.

3️⃣ LPE через сам WSUS
WSUS-сервер в GPO как клиент? Загружаем "обновление", триггерим вручную — получаем SYSTEM shell.

4️⃣ Stealth Payloads для OPSEC
Забудь шумный PsExec. Берем ADCS, запрашиваем код-сигн сертификат, подписываем свой шелл, п(sign) → pywsus → reverse shell. EDR спит, ведь сертификат "легит". 😉

5️⃣ NTLM Relay + RBCD = DCSync
Перехватываем NTLM, релеим на ADCS (ESC8) или цепляем RBCD через msDS-AllowedToActOnBehalfOfOtherIdentity. Итог? Полный домен твой

🧨 Реальность:
Работает, если GPO кривые, HTTP включен, а ADCS открыт для всех. Но если звёзды сошлись — ты уже в DC, пока Blue Team ищет логи.

🛡 Detection:
- Event ID 364, wusa.exe, подозрительные .cab — лови в SIEM.
- GPO: бан для "intranet signed updates".
- HTTPS only, аудит аппрувов, лок на WSUS Admin.
- EDR/XDR с нормальным мониторингом certsrv и net user.

📖 https://lorenzomeacci.com/wsus-exploitation-all-you-need-to-know
🦔 THF

💻 Golden dMSA: What Is dMSA Authentication Bypass?

🔗 Golden dMSA

This tool exploits a new attack against delegated Managed Service Accounts called the "Golden DMSA" attack. The technique allows attackers to generate passwords for all associated dMSAs offline

💻 PoC

#redteam #pentest #dmsa #windows #ad

✈️ Whitehat Lab 💬Chat

Good news, free TI, give me two 🎧

Threat Intelligence in ANY.RUN continues to evolve — not only by adding more features, but by making the right ones easier to use. We’ve simplified access to ANY.RUN Threat Intelligence with a free version of TI Lookup.  
You now can explore Public Samples, TTPs, Suricata rules, and malware trends inside our Threat Intelligence product in a cleaner, faster way. 
It’s about putting existing value in the right place, for the right audience. For analysts and teams starting with ANY.RUN in a Threat Intelligence context, this is a much better entry point. 
It’s a step to help you do less — so you can focus on more. 

🔗 https://any.run/cybersecurity-blog/threat-intelligence-lookup-new-plan/

🦔 THF

😈 Repeater Strike: manual testing, amplified

В этой статье мы представляем Repeater Strike - новое расширение Burp Suite на базе AI, предназначенное для автоматизации поиска IDOR и подобных уязвимостей

🔗 PortSwigger

#portswigger #web #burp

✈️ Whitehat Lab 💬Chat

🏠 SharePoint Unknown CVE Unveiled

🔗 RCE via WebPart Properties Deserialization

Disclaimer: This blog is not related or contain any information about the bug at Pwn2Own Berlin. This is a bug I discovered by accident, and it has already been resolved. I don’t even know which CVE it corresponds to or which version it was patched. It looks like someone found it and kept it for red teaming purposes. If you know any information about this bug, please feel free to leave a comment

#windows #rce #sharepoint

✈️ Whitehat Lab 💬Chat

🔍 Множественные XSS в плагинах 1С-Битрикс.

Уязвимости снова в модулях esolution. Это конечно уже не RCE, но все равно интересно. Пару раз видел эти плагины на bugbounty. На данный момент у них суммарно около 5000 скачиваний, по данным официального каталога решений сторонних разработчиков Bitrix.

Критичность - 5.3/10 CVSS 3.0 (расшифровка).

Судя по CVSS, это должны быть Reflected XSS без авторизации. Верим.

Уязвимости подвержены плагины:
«Импорт из XML и YML» - (BDU:2025-06217)
«Импорт из Excel» - (BDU:2025-06218)
«Экспорт в Excel» - (BDU:2025-06219)
«Экспорт/Импорт товаров в Excel» - (BDU:2025-06220)

🔗 1. Уведомление ФСТЭК
🔗 2. Уведомление ФСТЭК

💫 @pentestnotes

🧠 UAC-0001 и LAMEHUG: атаки с LLM-поддержкой
🎯 Цель: госструктуры и оборонный сектор Украины
🔍 Источник: CERT-UA #16039

📥 MITRE: Initial Access
🎣 Фишинговые письма якобы от министерств
Вложение: Додаток.pdf.zip → Додаток.pif
Распространение через скомпрометированный email boroda70@meta.ua

⚙️ Execution / Command & Control
.pif — скомпилированный PyInstaller-лоадер на Python
Выполняет LAMEHUG — малварь, использующая LLM Qwen 2.5-Coder-32B-Instruct через api.huggingface.co
LLM генерирует команды Windows на основе описания (вшитого в код)

🧰 Примеры задач, которые выполняет LAMEHUG
📂 Сбор и сохранение инфы в %PROGRAMDATA%\info\info.txt:
systeminfo, tasklist, net start, ipconfig /all, whoami, wmic, dsquery — полный инвентарь машины
📁 Рекурсивный поиск .doc/.pdf/.txt в Desktop/Downloads/Documents
🚀 Передача данных:
Варианты: SFTP (на 144.126[.]202[.]227:22) или HTTP POST на stayathomeclasses[.]com/slpw/up[.]php

📡 C2 & Exfiltration
Использование LLM API как C2-канал
Команды формируются динамически, обходя статический анализ
Утечка идёт через обычные каналы (HTTP, SFTP) с легитимных (но взломанных) хостов

🐾 Атрибуция и версии
CERT-UA приписывает атаку группировке UAC-0001 (APT28)
Найдены несколько версий LAMEHUG:
AI_generator_uncensored_Canvas_PRO_v0.9.exe
AI_image_generator_v0.95.exe
image.py

🧠 Почему это опасно
Первое зафиксированное использование LLM для real-time генерации команд на целевой машине
LLM позволяет:
динамически адаптировать поведение
маскировать C2
эволюционировать технику без апдейта самой малвари

🧷 Detection & Hunting
🐱 IOC (файлы, хосты, сети):
%PROGRAMDATA%\info\info.txt, cmd.exe /c "mkdir ... && systeminfo >> ..."
C2, stayathomeclasses[.]com,

📊 Поведенческие признаки:
Подозрительные вызовы dsquery, wmic, массовые операции в cmd.exe
Обращения к API HuggingFace с систем Windows

🚧 Detection tips
detection:
selection:
ParentImage: '*\cmd.exe'
CommandLine|contains:
- 'wmic'
- 'dsquery'
- 'systeminfo'
condition: selection

Рекомендации
🔐 Блокировать .pif и .zip во вложениях(не ломать логику бизнеса)
🌐 Контроль outbound-трафика на api[.]huggingface[.]co
⚠️ Мониторинг Python/LLM-процессов с сетевой активностью

Вывод 💀
LAMEHUG — первый задокументированный пример использования LLM как инструмента интерактивного C2. Это качественный сдвиг: теперь ИИ не только генерирует фишинг и deepfake, но и сам рулит заражённой машиной в режиме реального времени.
Динамичные, контекстные атаки — новая реальность.
Будьте готовы к эпохе LLM-as-a-backdoor.

🔗 https://cert.gov.ua/article/6284730
🦔 THF

🖥️ OSEPlayground

Репозиторий с коллекцией полезных инструментов и скриптов, которые помогут при подготовке к PEN-300 (OSEP) от Offensive Security

Артем проходил, можете ему в чатике вопросы позадавать 😅👍

💻 Repo
📝 Сертификация OSEP, и с чем ее едят

#osep #pen300 #certification

✈️ Whitehat Lab 💬Chat