#cyberthreattech

Наш сервис для очисти любых фидов от потенциальных фалсов теперь доступен а виде официального коннектора для OpenCTI

https://github.com/OpenCTI-Platform/connectors/tree/master/internal-enrichment/rst-noise-control

#ParsedReport #CompletenessMedium
15-03-2024

Under the Hood of SnakeKeylogger: Analyzing its Loader and its Tactics, Techniques, and Procedures

https://www.splunk.com/en_us/blog/security/under-the-hood-of-snakekeylogger-analyzing-its-loader-and-its-tactics-techniques-and-procedures.html

Report completeness: Medium

Threats:
Snake_keylogger
Runpe_tool
Agent_tesla
Phemedrone
Trickbot

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 2
File: 5
Hash: 3

Soft:
Telegram, Outlook, Windows Security, Windows PowerShell, Microsoft Outlook, Slack

Algorithms:
exhibit, sha256, aes-ecb, aes

Links:
https://github.com/splunk/security-content/releases/tag/v3.12.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Snake Keylogger - это очень сложная и опасная киберугроза, которая сочетает в себе возможности кражи учетных данных и кейлоггинга, используя расширенные функции, такие как регистрация нажатий клавиш, кража учетных данных, захват скриншотов и разведка системы. Вредоносная программа использует различные тактики уклонения, методы шифрования и методы сокрытия вредоносной полезной нагрузки, чтобы избежать обнаружения. Аналитикам по безопасности рекомендуется сохранять бдительность, понимать ее тактику и внедрять комплексные меры безопасности для эффективной защиты от кейлоггера Snake.
-----

Snake Keylogger, троян-похититель, обнаруженный в ноябре 2020 года, представляет собой серьезную киберугрозу из-за сочетания возможностей кражи учетных данных и кейлоггинга. Разработанный в .NET, этот вредоносный инструмент обладает расширенными функциями, такими как регистрация нажатий клавиш, кража сохраненных учетных данных, захват скриншотов, сбор данных буфера обмена, учетных данных браузера и выполнение системной и сетевой разведки. Использование различных серверов управления (C2), таких как FTP, SMTP и Telegram, обеспечивает эффективную фильтрацию данных, расширяя возможности скрытой передачи данных. Команда исследователей угроз Splunk предлагает аналитикам безопасности и сотрудникам blue team идеи для защиты от изощренной тактики Snake Keylogger.

Кейлоггер Snake использует фишинговые кампании для распространения и использует шифровальщики для запутывания своего кода, тем самым усложняя анализ и уклоняясь от обнаружения. Загрузчик вредоносного ПО умело скрывает полезную нагрузку, зашифрованную AES, в записях данных .RSRC, добавляя уровни сложности. Систематический сбор системной и сетевой информации в сочетании с запросами о геолокации повышает ситуационную осведомленность вредоносного ПО о целевых атаках.

Чтобы обеспечить постоянство, Snake Keylogger использует ключи запуска реестра и включает механизм "Kill Switch", который завершает процесс вредоносного ПО на основе проверки даты, действуя как метод защиты от "песочницы". Вредоносная программа использует встроенные инструменты Windows, такие как choice.exe с задержками по таймауту для процедур очистки и завершает процессы, связанные с безопасностью, чтобы избежать обнаружения. Кроме того, Snake Keylogger позволяет избежать вредоносной полезной нагрузки, если обнаруживает изолированную среду или среду ботов, демонстрируя свою адаптивную тактику уклонения.

Нацеленный на браузеры, почтовые клиенты и данные системного буфера обмена, Snake Keylogger крадет конфиденциальную информацию, такую как учетные данные, данные кредитной карты и скриншоты. Его функция кейлоггинга записывает все нажатия клавиш, собирает пароли и другие конфиденциальные данные. Устанавливая связь с серверами C2 и используя различные каналы, такие как FTP, SMTP и Telegram, для фильтрации данных, Snake Keylogger поддерживает тайные операции, используя при этом многочисленные методы уклонения, чтобы избежать обнаружения средствами безопасности.

Исследовательская группа Splunk Threat разработала 21 средство обнаружения для Snake Keylogger, охватывающее множество методов MITRE ATT&CK, помогающих аналитикам безопасности определять тактику противника. Постоянный обмен информацией об угрозах и мониторинг имеют решающее значение для эффективной защиты от развивающихся угроз, таких как Snake Keylogger. Понимание его поведения и применение комплексных мер безопасности могут помочь организациям обнаруживать потенциальный ущерб и оперативно реагировать на него. Сотрудничество и обновленные средства защиты необходимы для того, чтобы опережать киберугрозы, такие как Snake Keylogger.

#ParsedReport #CompletenessLow
15-03-2024

Hacking damage warning due to rapid rise in Bitcoin price

https://www.genians.co.kr/blog/threat_intelligence/bitcoin

Report completeness: Low

Threats:
Konni_rat
Spear-phishing_technique

Victims:
Bitcoin traders

Geo:
Gyeonggi-do, Korea, Usa

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1071, T1105, T1547, T1056

IOCs:
File: 17
Domain: 2
Hash: 9

Soft:
Slack

Crypto:
bitcoin

Algorithms:
zip, md5, base64, rc4

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 6, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается предупреждение хакерской группы Konni о целенаправленных кибератаках на биткоин-трейдеров, использующих вредоносные файлы, замаскированные под законные документы, для получения несанкционированного доступа к системам. Злоумышленники используют такую тактику, как рассылка фишинговых электронных писем для распространения этих файлов, при этом вредоносное ПО предназначено для использования возросшего интереса к торговле биткоинами. Для защиты от этих сложных атак рекомендуются передовые решения для обнаружения угроз, такие как Genian EDR.
-----

В тексте обсуждается предупреждение хакерской группы Konni о целенаправленных атаках на биткоин-трейдеров на фоне резкого роста цен на биткоин. Высказывались опасения по поводу растущих киберугроз в связи с ростом популярности и стоимости Биткоина, когда злоумышленники пытаются замаскировать хакерские атаки под законную работу. Хакеры используют вредоносные файлы, замаскированные под законные документы, для нацеливания на пользователей биржи виртуальных активов, чтобы получить несанкционированный доступ к их системам. Вредоносное ПО, управляемое Konni APT group, специально разработано для использования повышенного интереса к торговле биткоинами.

Центр безопасности Genius (GSC) определил конкретный вектор атаки, в результате которой вредоносный файл с именем "attached.zip" был распространен в Корее. Этот файл содержит два файла - один действует как приманка, а другой называется "Приложение 1_name_ Соглашение о сборе и использовании персональной информации.docx.lnk", которое является вредоносным компонентом атаки. Злоумышленники используют такую тактику, как рассылка фишинговых писем по электронной почте, чтобы распространять эти вредоносные файлы и заманивать пользователей к их открытию. Вредоносный файл содержит запутанные команды PowerShell, и после выполнения он инициирует ряд действий, таких как сбор пользовательской информации, ее утечка и установка дополнительных вредоносных файлов в целевой системе.

Метод атаки, используемый Konni group, имеет сходство с их предыдущими кампаниями, направленными против биткоин-трейдеров и частных лиц, работающих в Северной Корее. Для своих атак они в основном используют вредоносные программы типа LNK, VBS и BAT. Для защиты от этих атак пользователям рекомендуется проявлять осторожность при работе с файлами быстрого доступа (LNK) и быть бдительными в отношении любого ненормального поведения, такого как последовательное выполнение пакетных файлов (BAT). Субъекты угроз часто меняют свой сервер управления (C2) и командные коды, чтобы избежать обнаружения, что затрудняет обнаружение этих атак с использованием традиционных методов, основанных на сигнатурах.

Genian EDR рекомендуется в качестве механизма проактивной защиты от этих угроз. Он может обнаруживать события ненормального поведения терминала и реагировать на них на ранней стадии, обеспечивая немедленное оповещение при возникновении подозрительных действий, таких как выполнение команд PowerShell и пакетных файлов с помощью файлов быстрого доступа. Кроме того, Genian EDR может использовать известные индикаторы компрометации (IoC) для диагностики потенциальных вредоносных угроз и позволяет администраторам отслеживать угрозы и реагировать на них с начальной стадии выполнения файла вредоносного ярлыка (LNK). Это решение позволяет детально исследовать ход атаки, включая отслеживание ненормальных процессов, инициируемых с помощью команд Cmd и PowerShell, а также мониторинг связи с серверами C2.

Таким образом, предупреждение от хакерской группы Konni подчеркивает возросшие киберугрозы, с которыми сталкиваются биткоин-трейдеры, поскольку злоумышленники используют растущий интерес к биткоину для проведения целенаправленных атак. Пользователям настоятельно рекомендуется быть осторожными с вредоносными файлами, распространяемыми по электронной почте, и использовать передовые решения для обнаружения угроз, такие как Genian EDR, для защиты от этих сложных киберугроз.

#ParsedReport #CompletenessLow
15-03-2024

Using Backup Utilities for Data Exfiltration

https://www.huntress.com/blog/using-backup-utilities-for-data-exfiltration

Report completeness: Low

Threats:
Megasync_tool
Restic_tool

TTPs:

IOCs:
File: 3
Domain: 2
Path: 3
Command: 1
Registry: 1
Hash: 3

Soft:
debian, Windows Registry, Windows Error Reporting

Algorithms:
sha256

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте освещается случай, когда участники угроз злоупотребляли широко используемыми приложениями, такими как программное обеспечение для резервного копирования restic, для эксфильтрации данных, подчеркивая необходимость мониторинга, расследования подозрительных действий и внедрения надежных мер кибербезопасности для эффективного обнаружения таких угроз в корпоративных сетях и реагирования на них.
-----

Huntress, поставщик MDR с широкой клиентской базой, столкнулся со случаями, когда злоумышленники злоупотребляли часто используемыми приложениями для вредоносных действий. В августе 2023 года аналитики Huntress выявили случай, когда приложение MegaSync использовалось для эксфильтрации данных. Впоследствии GBHackers опубликовали статью, в которой подробно описывались злоумышленники-вымогатели, использующие инструменты для извлечения данных, включая приложение для резервного копирования restic. После этого аналитик Huntress SOC проанализировал предупреждения с двух серверов Windows 2019 в сети клиента, показывающие подозрительное использование приложения restic backup для эксфильтрации данных.

Хронология расследования показала, что исполнитель угрозы использовал приложение резервного копирования restic, чтобы попытаться извлечь данные из инфраструктуры клиента, переименовав его в dns.exe. Субъект инициировал взаимодействие с определенными конечными точками в инфраструктуре, на что указывают сообщения DCOM/10028, связанные с system.exe. Затем субъект угрозы подключился к указанным доменам и загрузил архив, содержащий приложение резервного копирования restic, которое они позже запустили. Кроме того, анализ показал, что субъект угрозы получил доступ ко второй конечной точке с первой, где он попытался запустить приложение резервного копирования, не меняя его имени.

Приложение для резервного копирования, используемое злоумышленником, отличалось от законного программного обеспечения для резервного копирования, используемого в сети клиента. Примечательно, что перед попытками резервного копирования злоумышленник провел сканирование сети и кратко просмотрел содержимое файлов, таких как файлы CSV и PDF. Однако не было никаких свидетельств более широких разведывательных усилий до того, как исполнитель начал создавать резервные копии всего содержимого папки.

Этот инцидент подчеркивает важность мониторинга и расследования подозрительных действий, связанных с широко используемыми приложениями, такими как программное обеспечение для резервного копирования, в корпоративных сетях. Использование субъектом угрозы законных инструментов для вредоносных целей подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного обнаружения таких угроз и реагирования на них. Подробный анализ хронологии расследования дает ценную информацию о тактике и методах, используемых участниками угроз для компрометации сетевой безопасности и извлечения конфиденциальных данных. Бдительность и упреждающий поиск угроз имеют решающее значение для выявления и смягчения последствий таких инцидентов безопасности для защиты активов организации и целостности данных. Специалисты по кибербезопасности должны постоянно адаптировать и усиливать свою защиту, чтобы опережать возникающие угрозы в постоянно меняющемся ландшафте угроз.

#ParsedReport #CompletenessLow
15-03-2024

CGSI Probes: ShadowSyndicate Group s Possible Exploitation of Aiohttp Vulnerability (CVE-2024-23334)

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334

Report completeness: Low

Actors/Campaigns:
Shadowsyndicate

Threats:
Lockbit
Quantum_locker
Nokoyawa
Blackcat

Geo:
Germany, Spain

CVEs:
CVE-2024-23334 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- aiohttp (<3.9.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1595, T1588.002, T1486

IOCs:
IP: 5

Languages:
python

Links:
https://github.com/aio-libs/aiohttp/commit/1c335944d6a8b1298baf179b7c0b3069f10c514b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении уязвимости обхода каталогов (CVE-2024-23334) во фреймворке Aiohttp, которая может быть использована участниками угроз, такими как группа ShadowSyndicate. В тексте подчеркивается важность применения исправлений безопасности для снижения рисков, связанных с уязвимостью, и приводятся подробные сведения о действиях по сканированию, выполняемых злоумышленниками, нацеленными на серверы, работающие на непатченных версиях Aiohttp.
-----

Недавно CGSI обнаружила потенциальное использование уязвимости Aiohttp группой ShadowSyndicate. В конце января 2024 года было выпущено исправление для системы безопасности, устраняющее уязвимость, затрагивающую версии aiohttp до версии 3.9.2. Выявленный недостаток безопасности, обозначенный как CVE-2024-23334, представляет собой уязвимость обхода каталогов в aiohttp, которая при успешном использовании может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к конфиденциальной информации из различных файлов на сервере. Aiohttp - это широко используемая асинхронная клиент-серверная платформа HTTP, разработанная специально для asyncio и Python, которая удовлетворяет широкому спектру асинхронных задач благодаря своей гибкости и расширенным функциональным возможностям.

Сканер ODIN от Cyble выявил более 43 000 подключенных к Интернету экземпляров aiohttp по всему миру, с заметным присутствием, в частности, в таких странах, как Соединенные Штаты, Германия и Испания. Учитывая широкое распространение этих экземпляров, они являются основными мишенями для участников угроз. Настоятельно рекомендуется немедленное внедрение последних исправлений для снижения рисков, связанных с уязвимостью.

Уязвимость обхода каталогов в aiohttp (CVE-2024-23334) имеет рейтинг серьезности 7,5 в соответствии с системой оценки CVSS:3.1. Эта уязвимость затрагивает версии aiohttp, предшествующие версии 3.9.2, и создает значительные риски для безопасности, потенциально позволяя несанкционированный удаленный доступ к критически важной информации сервера.

29 февраля 2024 года CGSI инициировала обнаружение множественных операций сканирования, нацеленных на уязвимость CVE-2024-23334, и впоследствии такие попытки сканирования продолжались. Изображение, опубликованное CGSI, иллюстрирует наблюдаемые действия по атаке на датчик.

Aiohttp, являясь библиотекой / фреймворком Python с открытым исходным кодом, адаптированной для асинхронных функций HTTP клиент/сервер, требует тщательной настройки при установке веб-серверов и определении статических маршрутов для файловой службы, чтобы указать точный корневой каталог статических файлов.

При анализе действий сканирования, выявленных с помощью платформы Cyble Global Sensor Intelligence (CGSI), было отмечено, что IP-адрес, обозначенный как 81.19.136.251, был связан с несколькими действиями LockBit и связан с группой ShadowSyndicate. ShadowSyndicate, работающий с июля 2022 года, функционирует как филиал Ransomware-as-a-Service (RaaS), использующий различные разновидности программ-вымогателей для своих вредоносных операций. Исследователи из Group-IB связали эту группу с различными инцидентами с программами-вымогателями в прошлом, включая действия, связанные с программами-вымогателями Quantum в сентябре 2022 года, кампании программ-вымогателей Nokoyawa в октябре 2022 года, ноябре 2022 года и марте 2023 года, а также операции программ-вымогателей ALPHV в феврале 2023 года. Эти случаи подчеркивают широкое участие ShadowSyndicate в деятельности программ-вымогателей в относительно сжатые сроки.

Потенциальный риск, создаваемый серверами, работающими на непатченных версиях платформы aiohttp, является существенным в области кибербезопасности. Хотя до сих пор не наблюдалось активных атак, использующих выявленную уязвимость, действия по сканированию, проведенные группой ShadowSyndicate, подчеркивают неминуемую угрозу, исходящую от злоумышленников, использующих эту лазейку в системе безопасности.

#ParsedReport #CompletenessMedium
15-03-2024

NIKKI STEALER: EX-DEFACER TURNS SELLER OF DISCORD STEALER

https://www.cyfirma.com/outofband/nikki-stealer-ex-defacer-turns-seller-of-discord-stealer

Report completeness: Medium

Threats:
Nikki
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Geo:
Portuguese, Portugal, Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 5
Hash: 4

Soft:
DISCORD, Telegram, macOS, Chromium, Node.js, Chrome, Opera, Microsoft Edge, Instagram

Algorithms:
sha256, md5, 7zip

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
code: 5, windows: 5, filemanager: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции вредоносного инструмента Nikki Stealer, разработанного Sk4yx, бывшим дефейсером, ныне занимающимся вредоносной деятельностью. Nikki Stealer - это сложный инструмент, созданный с использованием платформы Electron от GitHub, позволяющий красть токены Discord, файлы cookie браузера и учетные данные. Вредоносная программа спроектирована так, чтобы ее нельзя было обнаружить, работает путем удаления PE-файлов в папку автозагрузки для сохранения и доступна для покупки в Discord или Telegram. Анализ подчеркивает активную разработку и внедрение Nikki Stealer, предполагая связь с предыдущим проектом разработчика, Crow Stealer. Присутствие Никки Стилер указывает на меняющийся ландшафт киберугроз, подчеркивая важность надежных мер безопасности для эффективной борьбы с такими вредоносными действиями.
-----

В тексте обсуждается появление и эволюция вредоносного инструмента Nikki Stealer, разработанного Sk4yx, бывшим дефейсером, ныне занимающимся вредоносной деятельностью. Nikki Stealer - это сложный инструмент, созданный с использованием платформы Electron от GitHub, позволяющий красть токены Discord, файлы cookie браузера и учетные данные. Вредоносное ПО доступно для покупки в Discord или Telegram, последняя версия - v9. Инструмент разработан таким образом, чтобы его нельзя было обнаружить, и имеет методы обхода, позволяющие избежать обнаружения защитным программным обеспечением.

Nikki Stealer работает, помещая PE-файлы в папку автозагрузки, которые автоматически запускаются при запуске системы. Целью программы является кража информации о браузере, такой как история посещенных страниц и пароли, с возможностью загрузки отсутствующих библиотек DLL для расширения возможностей. Вредоносная программа проявляет настойчивость, помещая себя в папку автозагрузки и создавая записи в меню "Пуск" для непрерывной работы даже после перезагрузки системы.

Платформа Electron, используемая Nikki Stealer, позволяет разрабатывать кроссплатформенные настольные приложения с использованием веб-технологий, таких как JavaScript, HTML и CSS. Злоумышленники предпочитают Electron из-за его совместимости с различными системами и платформами, позволяющей осуществлять вредоносные действия без ведома пользователя. Инструмент способен скрытно получать доступ к критически важным функциям операционной системы, облегчая вредоносные действия.

Подробный анализ Nikki Stealer подчеркивает его активную разработку и внедрение через каналы Discord и Telegram. Разработчик Sk4yx был связан с созданием вредоносного ПО Crow Stealer, что позволяет предположить связь между двумя проектами. Вредоносные действия, продвигаемые в Discord, включают в себя обмен фотографиями наркотиков, что указывает на незаконное поведение в сообществе. Несмотря на то, что Sk4yx в основном активен в Discord, Sk4yx поддерживает профиль в Instagram и ссылку на несуществующую панель входа для Никки Стилер.

Вывод, сделанный на основе анализа, указывает на то, что разработчик, стоящий за Nikki Stealer, базируется либо в Бразилии, либо в Португалии, ссылки на их имя можно найти в исходном коде. Инструмент завоевал популярность среди пользователей благодаря своей эффективности и необнаруживаемости, с заявлениями о нулевом коэффициенте обнаружения. Присутствие Никки Стилер подчеркивает меняющийся ландшафт киберугроз, подчеркивая необходимость принятия надежных мер безопасности для эффективной борьбы с такими вредоносными действиями.

#ParsedReport #CompletenessLow
15-03-2024

Discovering CVE-2024-28741: Remote code execution on NorthStar C2 agents via pre auth stored XSS

https://blog.chebuya.com/posts/discovering-cve-2024-28741-remote-code-execution-on-northstar-c2-agents-via-pre-auth-stored-xss

Report completeness: Low

Actors/Campaigns:
Unc3890
Apt33
Dropping_elephant

Threats:
Northstar_tool
Sliver_c2_tool
Empire_loader

CVEs:
CVE-2024-28741 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1071, T1550, T1560, T1055

IOCs:
File: 4

Languages:
php, javascript

Links:
https://github.com/ACE-Responder/RogueSliver
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/topics/rat
https://github.com/EnginDemirbilek/NorthStarC2/wiki/Architecture#northstar-stager-registration-workflow
https://github.com/topics/backdoor
https://github.com/chebuya/CVE-2024-28741-northstar-agent-rce-poc
https://github.com/topics/c2
https://github.com/EnginDemirbilek/NorthStarC2/commit/7674a4457fca83058a157c03aa7bccd02f4a213c
https://github.com/EnginDemirbilek/NorthStarC2
https://github.com/topics/post-exploitation
https://github.com/topics/botnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и эксплуатации сохраненной с предварительной авторизацией уязвимости XSS в платформе Northstar C2, которая может быть использована для удаленного выполнения кода на контролируемых компьютерах, получения несанкционированного доступа и потенциального развертывания вредоносных полезных нагрузок в целевых системах. В анализе также обсуждается важность поиска уязвимостей в фреймворках C2, уделяя особое внимание уязвимостям с меньшим воздействием, таким как обход авторизации и XSS, которые могут иметь значительные последствия из-за критического характера этих приложений. Методология исследования включала изучение проектов с открытым исходным кодом на Github, ориентированных на фреймворк Northstar C2 из-за его разработки на PHP и меньшей кодовой базы, что позволяет проводить более эффективный анализ кода.
-----

Northstar C2, используемый APT-группами UNC3890, APT33 и Patchwork/APT-Q-36, содержит сохраненную XSS уязвимость с предварительной авторизацией, которая позволяет удаленно выполнять код на контролируемых компьютерах.

Использование этой уязвимости позволяет злоумышленнику загрузить свой собственный агент C2, завершить работу агента Northstar C2 и получить несанкционированный доступ.

Выводы @ACEResponder во фреймворках Sliver и Empire C2 повлияли на решение о поиске уязвимостей во фреймворках C2.

Уязвимость была обнаружена в ходе исследования Northstar C2 на Github и была сосредоточена на поверхностях атаки перед аутентификацией.

Отсутствие очистки в процессе регистрации идентификатора агента Northstar C2 привело к сохраненной уязвимости XSS в файле logs.php.

Эксплуатация включала отправку вредоносных запросов на регистрацию для создания полезной нагрузки JavaScript в таблице журналов и выполнения произвольных команд агентам.

Используя выполнение JavaScript на основе браузера, эксплойт извлек файл cookie PHPSESSID для выполнения действий на веб-панели и выполнения произвольных команд.

Этот метод использовал функциональность обновления страницы журналов для запуска полезной нагрузки, когда оператор обращался к ней.

Уязвимости с меньшим воздействием, такие как обход авторизации и XSS во фреймворках C2, выделяются из-за их потенциального более высокого воздействия из-за критического характера этих приложений.

Серверные маршруты для веб-каналов C2 расширяют область атак перед авторизацией, увеличивая вероятность использования уязвимостей из-за ошибок при очистке входных данных.