Forwarded from Threat Hunting Father 🦔
Sekoia.io рапортует об интересной цепочке APT28
APT28 в 2025 использует гибрид open-source + легитимные облачные сервисы для скрытого C2: старт — weaponized Office (Signal ⟶ макросы) → COM-hijack DLL (prnfldr.dll) → извлечение shellcode из PNG (стеганография) → запуск .NET Grunt HTTP Stager (Covenant) → Koofr как C2 (C2Bridge) → последующие модули (PlaySndSrv.dll + sample-03.wav) декриптят и ставят BeardShell (icedrive C2). Параллельно обнаружен SlimAgent (keylogger/screenshots). Технично, стабильно, хитро — используют regsvr32 / COM hijack, PNG LSB-стеганографию, в-памяти загрузку .NET, ChaCha20-Poly1305 для BeardShell.
Интересные техники, к прочтению:
🔗 https://blog.sekoia.io/apt28-operation-phantom-net-voxel/
🦔 THF
APT28 в 2025 использует гибрид open-source + легитимные облачные сервисы для скрытого C2: старт — weaponized Office (Signal ⟶ макросы) → COM-hijack DLL (prnfldr.dll) → извлечение shellcode из PNG (стеганография) → запуск .NET Grunt HTTP Stager (Covenant) → Koofr как C2 (C2Bridge) → последующие модули (PlaySndSrv.dll + sample-03.wav) декриптят и ставят BeardShell (icedrive C2). Параллельно обнаружен SlimAgent (keylogger/screenshots). Технично, стабильно, хитро — используют regsvr32 / COM hijack, PNG LSB-стеганографию, в-памяти загрузку .NET, ChaCha20-Poly1305 для BeardShell.
Интересные техники, к прочтению:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from NetStalkers
Доступ к ресурсу абсолютно бесплатен, без лимитов на использование и без раздражающих капч. Поиск происходит на стороне клиента, без отправки данных на сервер
Сервис также предлагает API для интеграции и автоматизации работы ваших инструментов. Более того, вы можете загрузить все словари для создания внутренних решений, которые помогут регулярно проверять соответствие парольной политике вашей компании.
#soft #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Phoenix - атака на чипы DDR5, приводящая к искажению содержимого памяти
Исследователи из Швейцарской высшей технической школы Цюриха совместно с инженерами из компании Google разработали новую технику атаки класса Rowhammer - Phoenix (CVE-2025-6202), позволяющую обойти применяемый в чипах DDR5 механизм защиты TRR (Target Row…
🔗Ссылка:
https://opennet.ru/63891/
https://opennet.ru/63891/
Чего вам не хватает ? 🤔
Anonymous Poll
22%
Реверс 🪚
38%
Хакинг 🧑💻
47%
Доксинг/ОСИНТ 💀
18%
Личные записи автора ✍️
11%
* узнать ответы *🍷
www.opennet.ru
Самораспространяющийся червь поразил 187 пакетов в NPM
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации…
🔗Ссылка:
https://opennet.ru/63894/
https://opennet.ru/63894/
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге.
Что важно помнить?
Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов
🔭 Обнаружение:
🔤 можем отслеживать создание SVG-файлов в каталогах пользователей:
#detection@detectioneasy
#ttp@detectioneasy
Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге.
Что важно помнить?
Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "\\Users\\" and TargetFilename endswith ".svg"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
ANY.RUN
🚨 Malicious SVG Leads to Microsoft-Themed PhishKit.
We observed a phishing campaign that began with testing activity on September 10 and scaled into full spam activity by September 15.
⚠️ A legitimate domain was abused to host a malicious SVG disguised…
We observed a phishing campaign that began with testing activity on September 10 and scaled into full spam activity by September 15.
⚠️ A legitimate domain was abused to host a malicious SVG disguised…
www.opennet.ru
Выпуск среды рабочего стола GNOME 49
После шести месяцев разработки опубликован выпуск среды рабочего стола GNOME 49. Для быстрой оценки возможностей GNOME 49 предложены специализированные Live-сборки на основе openSUSE и установочной образ, подготовленный в рамках инициативы GNOME OS. GNOME…
🔗Ссылка:
https://opennet.ru/63897/
https://opennet.ru/63897/
Forwarded from SecuriXy.kz
🔥 В Microsoft Entra (бывший Azure AD) вскрылась бомба уровня supply-chain:
Исследователь Dirk-jan нашел критический баг - устаревший Azure AD Graph API неправильно валидировал служебные Actor-tokens. В связке это позволяло любому, у кого был такой токен, эскалировать привилегии до Global Administrator в любом тенанте.
Что это значит простыми словами: потенциальный полный контроль над любым облачным окружением Entra ID (пользователи, почта, SharePoint, OneDrive, SSO, конфигурации). Microsoft уже отключает старый Graph и внедряет контрмеры, но для админов это сигнал тревоги.
✅ Что делать прямо сейчас:
1. Срочно убрать использование
2. Перепроверить сервис-принципалы и их права (`Directory.ReadWrite.All, Application.ReadWrite.All` и пр.) - минимизировать.
3. Включить Token Protection / Conditional Access для привязки токенов к устройствам.
4. Мониторить журналы: неожиданные S2S-запросы, массовые изменения ролей, аномальные выдачи Global Admin.
5. Ротировать ключи/секреты у SP и приложений.
📌 SOC чек: просканируйте за последние 30 дней все операции повышения ролей и сервисные токены. Любое «левое» назначение Global Admin = инцидент уровня P1.
Полный разбор: dirkjanm.io
Исследователь Dirk-jan нашел критический баг - устаревший Azure AD Graph API неправильно валидировал служебные Actor-tokens. В связке это позволяло любому, у кого был такой токен, эскалировать привилегии до Global Administrator в любом тенанте.
Что это значит простыми словами: потенциальный полный контроль над любым облачным окружением Entra ID (пользователи, почта, SharePoint, OneDrive, SSO, конфигурации). Microsoft уже отключает старый Graph и внедряет контрмеры, но для админов это сигнал тревоги.
✅ Что делать прямо сейчас:
1. Срочно убрать использование
graph.windows.net (старый Graph API) → переход на Microsoft Graph.2. Перепроверить сервис-принципалы и их права (`Directory.ReadWrite.All, Application.ReadWrite.All` и пр.) - минимизировать.
3. Включить Token Protection / Conditional Access для привязки токенов к устройствам.
4. Мониторить журналы: неожиданные S2S-запросы, массовые изменения ролей, аномальные выдачи Global Admin.
5. Ротировать ключи/секреты у SP и приложений.
📌 SOC чек: просканируйте за последние 30 дней все операции повышения ролей и сервисные токены. Любое «левое» назначение Global Admin = инцидент уровня P1.
Полный разбор: dirkjanm.io
Forwarded from Adaptix Framework
Media is too big
VIEW IN TELEGRAM
Последние две недели, когда было время, я переписывал клиентскую часть. Хотелось сделать ее более гибкой, динамичной и удобной. Вроде получилось))
❤2
Как я понял по опросу, вы не против личных заметок — поэтому пишу. Выше заметно интересное обновление Adaptix C2. Спросите, что это такое?
Объясняю: это C2‑фреймворк,
но вам известнее слышать RATка.
RAT (Remote Access Trojan) — это программный агент, устанавливаемый на удалённой машине для обеспечения удалённого доступа и управления: выполнение команд, управление файлами, запись клавиатуры, управление камерой/микрофоном и т.д. RAT чаще ориентированы на доступ к отдельной машине и набор базовых функций постэксплуатации.
C2 (Command and Control) — это инфраструктура и набор серверных/клиентских компонентов, предназначенных для централизованного управления удалёнными машинами и автоматизации сложных операций в масштабах сети. C2 может включать управление агентами, оркестрацию задач, маршрутизацию команд, устойчивость к отказам и скрытность коммуникаций.
Функционал и гибкость таких инструментов впечатляют. Если обычные RATки вроде SheetRat заточены под троллинг и школьников, то C2 создаются для профессионалов — они дают куда больше возможностей.
Не отрицаю, что среди RAT есть очень мощные образцы (CraxsRat), но сообщество школьников превратило многие из них впростые игрушки для троллинга и доминирования в сети над такими же школьниками.
Очевидно, что такие инструменты используются как Блэчеры, так и ВайтХэт.
Примеры отличий C2 от классического RAT:
- RAT: обычно одноагентная модель — клиент на машине жертвы напрямую управляется оператором.
- C2: распределённая архитектура с серверной частью, промежуточными узлами (ретрансляторы), несколькими каналами связи и возможностью управления тысячами агентов.
- RAT: ориентирован на индивидуальные взломы/троллинг, мало возможностей для массовой автоматизации.
- C2: рассчитан на массовое развертывание, автоматизацию задач.
Спасибо за внимание. 👾
Объясняю: это C2‑фреймворк,
но вам известнее слышать RATка.
RAT (Remote Access Trojan) — это программный агент, устанавливаемый на удалённой машине для обеспечения удалённого доступа и управления: выполнение команд, управление файлами, запись клавиатуры, управление камерой/микрофоном и т.д. RAT чаще ориентированы на доступ к отдельной машине и набор базовых функций постэксплуатации.
C2 (Command and Control) — это инфраструктура и набор серверных/клиентских компонентов, предназначенных для централизованного управления удалёнными машинами и автоматизации сложных операций в масштабах сети. C2 может включать управление агентами, оркестрацию задач, маршрутизацию команд, устойчивость к отказам и скрытность коммуникаций.
Функционал и гибкость таких инструментов впечатляют. Если обычные RATки вроде SheetRat заточены под троллинг и школьников, то C2 создаются для профессионалов — они дают куда больше возможностей.
Не отрицаю, что среди RAT есть очень мощные образцы (CraxsRat), но сообщество школьников превратило многие из них в
Очевидно, что такие инструменты используются как Блэчеры, так и ВайтХэт.
Примеры отличий C2 от классического RAT:
1. Архитектура:
- RAT: обычно одноагентная модель — клиент на машине жертвы напрямую управляется оператором.
- C2: распределённая архитектура с серверной частью, промежуточными узлами (ретрансляторы), несколькими каналами связи и возможностью управления тысячами агентов.
2. Масштабируемость
- RAT: ориентирован на индивидуальные взломы/троллинг, мало возможностей для массовой автоматизации.
- C2: рассчитан на массовое развертывание, автоматизацию задач.
Спасибо за внимание. 👾
❤3