Forwarded from Detection is easy
Всем привет! 💻 ✌️
Продолжим разбор шпионской кампании ForumTroll
Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем:
🔤
🔤
🔤
У ВПО есть функционал кейлоггера и стиллера для документов -
Для хостинга C2 использовалась инфраструктура, задействующая
Исследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг
🔤
🔤
🔤
Также удалось обнаружить схожую кампанию:
🔤
🔤
🔤
По набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос
Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса
У каждой жертвы Dante есть
В реестре встречается ключ:
🔭 Обнаружение:
🔤 хантим названия директорий
🔤 проверяем ключи реестра на наличие аномалий
#detection@detectioneasy
#ttp@detectioneasy
Продолжим разбор шпионской кампании ForumTroll
Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем:
0xC033A4D - COMMAND0xECEC - EXEC0x6E17A585 - GETTASKSУ ВПО есть функционал кейлоггера и стиллера для документов -
*.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptxДля хостинга C2 использовалась инфраструктура, задействующая
Fastly.netИсследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг
Балтийский_Вектор_2023.isoDRIVE.GOOGLE.COM (исполняемый файл)Приглашение_Россия-Беларусь_крепкое_партнёрство_2024.lnkТакже удалось обнаружить схожую кампанию:
SCAN_XXXX_<DATE>.pdf.lnk<DATE>_winscan_to_pdf.pdf.lnkРостелеком.pdf.lnkПо набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос
DanteDante имеет большой набор проверок на запуск в песочнице, но из всех выделяется проверка строк в журналах событий Windows
Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса
У каждой жертвы Dante есть
infection-GUID на основе которого формируется имя директории для хранения остальных модулей и ключ реестра для настроек. Папка с модулями Dante расположена в %LocalAppData%. Ее имя представляет собой строку в Base64 длиной в восемь байт. В ней содержатся файлы без расширений с именами в виде строк в Base64 длиной в восемь байт. Имя одного из файлов совпадает с именем папки. Эту информацию можно использовать для того, чтобы идентифицировать активные заражения.
В реестре встречается ключ:
HKCU\Software\Classes\.zdmtnd\OpenWithProgids - zdmtnd - часть от Base64(GUID)(?:\w\d){8} и увеличиваем критичность, если внутри файл с таким же именемHKCU\Software\Classes\.zdmtnd\OpenWithProgids, где имя расширения/ключа выглядит как Base64-строка#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Релиз Tor Browser 15.0
Представлен выпуск специализированного браузера Tor Browser 15.0, в котором осуществлён переход на ESR-ветку Firefox 140. Браузер сосредоточен на обеспечении конфиденциальности и безопасности, весь трафик перенаправляется только через сеть Tor. Обратиться…
🔗Ссылка:
https://opennet.ru/64131/
https://opennet.ru/64131/
Forwarded from ESCalator
Поиск фишинговой инфраструктуры на этапе подготовки 🧱
В защите организации от фишинговых угроз полезно не ограничиваться только блокировкой уже разосланных писем и URL-ссылок. Необходимо применять техники обнаружения угроз на этапе подготовки. Пока злоумышленник регистрирует домен или выпускает SSL-сертификат, мы можем попытаться его вычислить и нейтрализовать, не дожидаясь первой жертвы.
Далее разберем некоторые инструменты и тактики проактивной защиты от фишинга.
Мониторинг доменов💻
Первое, что делает злоумышленник, — регистрирует домен. В случае подделки какого-то оригинального сервиса можно ожидать, что регистрируемый домен будет визуально схож с подделываемым доменом. Это классический сквоттинг.
Мы можем настроить мониторинг и реагировать на регистрацию тех доменов, которые схожи с интересующими нас сервисами и брендами. Важно помнить, что регистрировать подобные домены могут и сами владельцы, поэтому необходимо дополнительно проверять регистрантов домена и сравнивать их с оригиналом, чтобы избежать ложноположительных сработок.
Анализ SSL-сертификатов🤔
Малое число переходов по ссылкам без валидного SSL-сертификата вынуждает злоумышленников озадачиться его выпуском. Большинство известных крупных центров сертификации ведут открытое журналирование всех выпускаемых SSL-сертификатов, и полученный из него список объектов защиты может быть использован для анализа. Методика анализа может быть такой же, как и для доменов, полученных путем мониторинга. Стоит отметить, что сам факт выпуска SSL-сертификата для подозрительного домена может считаться признаком планируемой на ближайшее будущее фишинговой атаки.
Проверка хостнеймов на домене😐
Часто встречаются ситуации, когда жадные руки злоумышленника одновременно тянутся к большому числу брендов. Для этого он регистрирует один домен и один wildcard-сертификат, причем этот домен визуально ни с чем не схож. Для разделения между подделываемыми брендами злоумышленник использует домены более высокого уровня, например
Получить у DNS-сервера полный состав доменной зоны практически невозможно и на большом потоке доменных имен не принесет результата. Здесь необходимо будет воспользоваться собранными из внешних источников или TI-порталов разведданными либо попробовать самостоятельно перебрать различные поддомены на предмет их существования.
Связи по регистрантам🕊
Анализ данных о владельце домена может выявить сеть связанных ресурсов, зарегистрированных одной и той же организацией для серии атак. Связующим индикатором может быть имя регистранта (если оно не скрыто настройками приватности) или же его контактная информация: email или телефон. По мере накопления знаний, полученных в процессе проактивного поиска фишинговых доменов, мы можем собрать список недобросовестных регистрантов и по нему реагировать на новые публикации доменов. Конечно, рассчитывать на то, что злоумышленник под одним и тем же именем (не скрытым настройками приватности) будет раз за разом публиковать фишинговые домены, крайне оптимистично, но данный инструмент проверки не должен быть исключен из арсенала.
🏗По итогу, обнаружив «строящуюся» фишинговую площадку, мы можем:
• внести обнаруженные сетевые индикаторы во внутренние списки в средствах защиты информации;
• предупредить сотрудников организации или пользователей сервиса;
• при наличии опубликованного фишингового контента или почтовой рассылки — передать эти сведения регистратору и хостинг-провайдеру для проведения takedown'а и снижения эффективности атаки.
#TI #tip #phishing
@ptesacaltor
В защите организации от фишинговых угроз полезно не ограничиваться только блокировкой уже разосланных писем и URL-ссылок. Необходимо применять техники обнаружения угроз на этапе подготовки. Пока злоумышленник регистрирует домен или выпускает SSL-сертификат, мы можем попытаться его вычислить и нейтрализовать, не дожидаясь первой жертвы.
Далее разберем некоторые инструменты и тактики проактивной защиты от фишинга.
Мониторинг доменов
Первое, что делает злоумышленник, — регистрирует домен. В случае подделки какого-то оригинального сервиса можно ожидать, что регистрируемый домен будет визуально схож с подделываемым доменом. Это классический сквоттинг.
Мы можем настроить мониторинг и реагировать на регистрацию тех доменов, которые схожи с интересующими нас сервисами и брендами. Важно помнить, что регистрировать подобные домены могут и сами владельцы, поэтому необходимо дополнительно проверять регистрантов домена и сравнивать их с оригиналом, чтобы избежать ложноположительных сработок.
Анализ SSL-сертификатов
Малое число переходов по ссылкам без валидного SSL-сертификата вынуждает злоумышленников озадачиться его выпуском. Большинство известных крупных центров сертификации ведут открытое журналирование всех выпускаемых SSL-сертификатов, и полученный из него список объектов защиты может быть использован для анализа. Методика анализа может быть такой же, как и для доменов, полученных путем мониторинга. Стоит отметить, что сам факт выпуска SSL-сертификата для подозрительного домена может считаться признаком планируемой на ближайшее будущее фишинговой атаки.
Проверка хостнеймов на домене
Часто встречаются ситуации, когда жадные руки злоумышленника одновременно тянутся к большому числу брендов. Для этого он регистрирует один домен и один wildcard-сертификат, причем этот домен визуально ни с чем не схож. Для разделения между подделываемыми брендами злоумышленник использует домены более высокого уровня, например
<brand>.domain.xyz. Наличие подобных поддоменов у вновь зарегистрированного домена может быть индикатором готовности к проведению фишинговой атаки.Получить у DNS-сервера полный состав доменной зоны практически невозможно и на большом потоке доменных имен не принесет результата. Здесь необходимо будет воспользоваться собранными из внешних источников или TI-порталов разведданными либо попробовать самостоятельно перебрать различные поддомены на предмет их существования.
Связи по регистрантам
Анализ данных о владельце домена может выявить сеть связанных ресурсов, зарегистрированных одной и той же организацией для серии атак. Связующим индикатором может быть имя регистранта (если оно не скрыто настройками приватности) или же его контактная информация: email или телефон. По мере накопления знаний, полученных в процессе проактивного поиска фишинговых доменов, мы можем собрать список недобросовестных регистрантов и по нему реагировать на новые публикации доменов. Конечно, рассчитывать на то, что злоумышленник под одним и тем же именем (не скрытым настройками приватности) будет раз за разом публиковать фишинговые домены, крайне оптимистично, но данный инструмент проверки не должен быть исключен из арсенала.
🏗По итогу, обнаружив «строящуюся» фишинговую площадку, мы можем:
• внести обнаруженные сетевые индикаторы во внутренние списки в средствах защиты информации;
• предупредить сотрудников организации или пользователей сервиса;
• при наличии опубликованного фишингового контента или почтовой рассылки — передать эти сведения регистратору и хостинг-провайдеру для проведения takedown'а и снижения эффективности атаки.
#TI #tip #phishing
@ptesacaltor
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from s0ld13r ch. (s0ld13r)
WSUS RCE Vulnerability in the Wild 🪟
CVE-2025-59287 - критическая уязвимость в WSUS позволяющая не аутентифицированному атакующему исполнить код на стороне сервера с привилегиями SYSTEM.
Вот некоторые индикаторы которые можно использовать для хантов:
• Создание подпроцесса cmd.exe из под сервиса WSUS - wsusservice.exe (более подробный process tree на скрине)
• Спавн cmd.exe под процессом w3wp.exe (IIS Server)
• Аномальные HTTP запросы на стандартные порты 8530 и 8531
🛡 Detection
WSUS Service Spawns cmd.exe
IIS spawns cmd.exe
🔗 Link: https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability
💻 PoC: https://github.com/FurkanKAYAPINAR/CVE-2025-59287
🧢 s0ld13r
CVE-2025-59287 - критическая уязвимость в WSUS позволяющая не аутентифицированному атакующему исполнить код на стороне сервера с привилегиями SYSTEM.
Вот некоторые индикаторы которые можно использовать для хантов:
• Создание подпроцесса cmd.exe из под сервиса WSUS - wsusservice.exe (более подробный process tree на скрине)
• Спавн cmd.exe под процессом w3wp.exe (IIS Server)
• Аномальные HTTP запросы на стандартные порты 8530 и 8531
event.code: 4688 and process.name: "cmd.exe" and process.parent.name: "wsusservice.exe"
WSUS Service Spawns cmd.exe
event.code: 4688 and process.name: "cmd.exe" and process.parent.name: "w3wp.exe"
IIS spawns cmd.exe
🔗 Link: https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Обновление X.Org Server 21.1.20 с устранением 3 уязвимостей
Опубликованы корректирующие выпуски X.Org Server 21.1.19 и DDX-компонента (Device-Dependent X) xwayland 24.1.9, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 3 уязвимости…
🔗Ссылка:
https://opennet.ru/64138/
https://opennet.ru/64138/
Хабр
Хватит бороться с ошибками CORS: разберемся, как они работают раз и навсегда
Вы когда-нибудь видели в консоли сообщение вроде: «Access to fetch at '…' from origin '…' has been blocked by CORS policy»? Это как в том фильме: «Суслика видишь? — А он есть». CORS не бросается в...
🔗 Ссылка:
https://habr.com/ru/articles/960400/
https://habr.com/ru/articles/960400/
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Как круто развивается BloodHound... Теперь и сетевые ресурсы можно отображать
Blog: https://specterops.io/blog/2025/10/30/sharehound-an-opengraph-collector-for-network-shares/
Soft: https://github.com/p0dalirius/sharehound
#pentest #ad #bloodhound
Blog: https://specterops.io/blog/2025/10/30/sharehound-an-opengraph-collector-for-network-shares/
Soft: https://github.com/p0dalirius/sharehound
#pentest #ad #bloodhound
Forwarded from s0ld13r ch. (s0ld13r)
Persistent Backdoors via Apache Modules 😷
Разбирая различные отчеты и статьи про APT/Red Team, нашел годную публикацию от CICADA8 где вместо стандартных ASPX вебшеллов использовали IIS модуль для выполнения команд🪟
И подумал, почему бы не реализовать схожий бэкдор и подход, только под Apache2 и Linux среду? В прочем вышло довольно весело и задорно, и подробнее можно почитать по ссылкам ниже😃
🔗 Post: https://www.s0ld13r.kz/posts/apache-modules-persistence/
💻 PoC: https://github.com/s0ld13rr/MODPlant
P.S Использовать только в целях обучения и ресерча, advanced evasion тема для отдельной статьи
🧢 s0ld13r
Разбирая различные отчеты и статьи про APT/Red Team, нашел годную публикацию от CICADA8 где вместо стандартных ASPX вебшеллов использовали IIS модуль для выполнения команд
И подумал, почему бы не реализовать схожий бэкдор и подход, только под Apache2 и Linux среду? В прочем вышло довольно весело и задорно, и подробнее можно почитать по ссылкам ниже
🔗 Post: https://www.s0ld13r.kz/posts/apache-modules-persistence/
P.S Использовать только в целях обучения и ресерча, advanced evasion тема для отдельной статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from [DeteAct] Оценка защищённости
Редтим в стиле Pwn2Own
Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации.
Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту?
Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/
Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации.
Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту?
Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/
🔥1
Forwarded from BugXplorer (j b)
When comments aren't just comments
demo: https://jsfiddle.net/yo0a24dj/
source: https://x.com/nowaskyjr/status/1983273567111524544
<script>
delete/delete; //alert(1)
typeof/typeof; //alert(2)
void/void; //alert(3)
throw/throw; //alert(4)
</script>
demo: https://jsfiddle.net/yo0a24dj/
source: https://x.com/nowaskyjr/status/1983273567111524544
Forwarded from Whitehat Lab
Silent Push
Silent Push Unearths AdaptixC2's Ties to Russian Criminal Underworld, Tracks Threat Actors Harnessing Open-Source Tool for Malicious…
Silent Push has uncovered threat actors tied to the Russian underworld using the AdaptixC2 framework to deliver malicious payloads.
Silent Push раскрывает связи AdaptixC2 с российским преступным миром и отслеживает злоумышленников, использующих данный инструмент
Ребята целое расследование провели и нашли канал Ральфа 😂👍
#adaptix #c2 #soft
Please open Telegram to view this post
VIEW IN TELEGRAM