🚪 Python Backdoor.

• Проект, которым я сегодня поделюсь, является кроссплатформенным (Windows/Linux/MacOS) бэкдором с открытым исходным кодом и написанным на #python. Он включает в себя достаточно объемный функционал:

- Поддерживает несколько клиентов;
- Имеет встроенный кейлоггер;
- Может отправлять команды всем клиентам одновременно;
- Делать скриншоты / передавать файлы;
- Использовать LaZagne для получения различных паролей;
- Отключать запущенные процессы;
- Проверка на то, где осуществлен запуск (ВМ, песочница, ПК)
- Может добавлять себя в автозагрузку и т.д.

• С полным списком и подробным описанием можно ознакомиться по ссылке: https://github.com/xp4xbox/Python-Backdoor

• P.S. Используйте данный инструмент только для тестирования собственных систем и не нарушайте закон.

#python #Backdoor

На прошлой мы сообщали о том, как Microsoft сначала метил то одну, затем другую критическую 0-day в качестве активно эксплуатируемой.

Точно определившись, что именно CVE-2024-21410 в Exchange все-таки эксплуатируется вживую, разработчик снял планку с CVE-2024-21413 (Microsoft Outlook RCE), которая получила название MonikerLink.

Теперь обнаруженная Check Point проблема обзавелась PoC MonikerLink, который доступен на GitHub.

Поэтому насчет отметки Microsoft придется задуматься в ближайшем будущем, ведь непропатченные системы обязательно станут полигоном для киберподполья.

͏Силовики рапортуют о проведении операции под названием Хронос, в результате которой им удалось захватить серверы действующей с 2019 года банды вымогателей Lockbit.

В мероприятиях, как отмечается, наряду с Европолом приняли участие власти 11 стран: Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Швеции, Швейцарии, Великобритании и США.

Столь ошеломительному успеху способствовали отчасти сами хакеры, не углядевшие за уявзимостью в PHP (CVE-2023-3824 с CVSS: 9,8), которая собственно и открыла двери в их инфраструктуру.

Так что теперь сайт DLS и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции и находятся под контролем NCA Великобритании и ФБР США, а внутри админки силовики вовсю развлекаются с участниками партнёрской сети.

Кроме того, правоохранителям удалось добраться и до исходников LockBit, включая и данные о жертвах, переговорах, суммах выкупа, украденных данных.

В свою очередь, Lockbit утверждают, что у них сохранились все бэкапы и с ними всё в порядке, помимо серверов никто из членов банд не пострадал.

Причем некоторые другие веб-сайты банды (включая используемые для размещения данных) все еще активны.

Учитывая серьезную репутацию Lockbit с 1700 атаками начиная с 2020 года, а также опыт последних аналогичных операций в отношении ALPHV или Hive, не особо подкосивших их RaaS-активность, не все так однозначно с Хронос.

📦 Red Team Attack Lab.

• Ссылка на репозиторий, который представляет собой виртуальную среду с различными операционными системами и уязвимостями для практики Red Team. Ознакомиться можно тут: https://github.com/Marshall-Hallenbeck/red_team_attack_lab

• Полный список ОС можно посмотреть здесь. Материал будет очень полезен для Red Team, Blue Team, пентестерам и ИБ специалистам.

#ИБ #Пентест

Trend Micro продолжает отслеживать активность китайской Earth Preta, более известной в исследовательском сообществе как Mustang Panda (ака BASIN, Bronze President, Camaro Dragon, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex), впервые попавшей в поле зрения исследователей еще 2017 году.

В новой наблюдаемой кампании АРТ атаковала различные азиатские страны с использованием модифицированного бэкдора PlugX (он же Korplug, основной инструмент Mustang Panda), получившего название DOPLUGS.

Причем ранее в арсенале группы встречались также и такие варианты PlugX, как RedDelta, Thor и Hodur.

Основные цели располагались на Тайване и во Вьетнаме, и в меньшей степени - в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.

Профессиональная деятельность злоумышленника предполагает проведение тщательно продуманных целевых фишинговых кампаний.

Цепочка заражения начинается с электронного сообщения в качестве канала для доставки полезных данных первого этапа, на котором получателю демонстрируется документ-приманка, а параллельно распаковывается легально подписанный исполняемый файл, уязвимый для боковой загрузки DLL, которая, в свою очередь, расшифровывает и выполняет PlugX.

В свою очередь, PlugX извлекает Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с подконтрольным АРТ сервером.

В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские дипломатические и правительственные организации с помощью DOPLUGS, но с заметной разницей.

Вредоносная DLL была написана на языке программирования Nim. Этот новый вариант использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые использовали библиотеку Windows Cryptsp.dll.

DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдорными командами, одна из которых предназначена для загрузки основного типа вредоносного ПО PlugX.

Но в новой кампании Trend Micro столкнулась с образцами DOPLUGS, интегрированными с модулем KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.

Этот вариант оснащен дополнительным компонентом, который запускает законный исполняемый файл для загрузки неопубликованных DLL, а также поддерживает функциональные возможности для выполнения команд и загрузки вредоносного ПО следующего этапа с сервера злоумышленника.

Стоит отметить, что модифицированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, также попадал в поле зрения Avira еще в январе 2020 года в рамках расследования атак, направленных на Гонконг и Вьетнам.

В общем все это в очередной раз говорит о том, что Earth Preta постоянно оттачивает свой инструментарии, расширяя его функции и возможности, что позволяет АРТ сохранять и усиливать активность, фокусируясь на целях в Европе и Азии.