😈 ToddyCat APT: актуальные инструменты и методы для кражи данных

ToddyCat — это относительно новая APT-группировка, ответственная за серию атак на высокостатусные организации Европы и Азии. Деятельность этой группы фиксируется с декабря 2020 года, известные по «бэкдору Samurai» и «трояну Ninja»

— Эта APT-группа скомпрометировала публично доступные серверы, используя уязвимость в Microsoft Exchange, атаковали пользовательские компьютеры, рассылая вредоносные загрузчики, и обеспечивали закрепление в системе, используя многоступенчатую схему загрузки.

В этом посте мы расскажем о новом наборе вредоносных инструментов, используемых для кражи и эксфильтрации данных, а также о методах, применяемых для перемещения в инфраструктуре и проведения шпионских операций.

🗣 Ссылка на чтиво

#ToddyCat #APT #CobaltStrike #Backdoor #Encryption | 💀 Этичный хакер

😈 APT42 в деле: кибератаки на Ближнем Востоке

Группировка APT42 использует социальную инженерию для проникновения в корпоративные сети и облачные среды на Западе и на Ближнем Востоке. По данным, APT42 активна с 2015 года и провела как минимум 30 операций в 14 странах.

Основными целями APT42 являются неправительственные организации, СМИ, образовательные учреждения, активисты и юридические службы. Сообщается, что для заражения целей используются вредоносные электронные письма с двумя настраиваемыми бэкдорами — Nicecurl и Tamecat. Инструменты позволяют выполнять команды и похищать данные.

— Nicecurl: бэкдор на основе VBScript, способный выполнять команды, загружать и выполнять дополнительные полезные данные или выполнять интеллектуальный анализ данных на зараженном хосте.

— Tamecat: более сложный бэкдор PowerShell, который может выполнять произвольный код PowerShell или сценарии C#, что дает APT42 большую эксплуатационную гибкость для кражи данных и обширных манипуляций с системой. Tamecat также может динамически обновлять свою конфигурацию для избежания обнаружения

#News #APT | 🧑‍💻 Этичный хакер

😈 Gomir: инструмент из Северной Кореи для атак на Linux

Был выявлен инструмент северокорейской группировки Kimsuki, использующийся для атак на правительственные и коммерческие организации Южной Кореи.

Вредонос является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.

ПО поддерживает 17 операций, полученные через HTTP-запросы POST с C2-сервера. Операции включают: приостановку связи с C2-сервером; выполнение произвольных shell-команд; сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы); создание произвольных файлов на системе и их эксфильтрацию.

#News #Korea #APT #Malware | 🧑‍💻 Этичный хакер

😈 Заражение по фэншую или разбор атаки через уязвимости Windows

В этом посте мы разберем одну из интересных APT-атак на пользователей, в которой используется не стандартный способ доставки, маскировки, а также заражения системы с обходом EPP и EDR!

— Данный материал будет полезен сотрудникам SOC, TI-экспертам, Pentest и Threat Hunting — специалистам.

🗣 Ссылка на чтиво

#Windows #APT #Phishing #TI | 🧑‍💻 Этичный хакер