Интересную технику описали исследователи из Cybereason GSOC. Техника заключается в абузе плагинов для всем известного Notepad++. В текстовом редакторе присутствует возможность апгрейда рабочего пространства с помощью различных плагинов, созданных open-source тулзой Notepad++ Plugin Pack. Стоит отметить, что зачастую ПО находится в исключениях для анализа различными антивирусными решениями, что развязывает руки злоумышленникам.
Третакторы могут создавать свои вредоносные DLL и класть их по пути %PROGRAMFILES%\Notepad++\plugins\malware_plugin.dll. Notepad++ при таком стечении обстоятельств будет автоматически подгружать их при загрузке.
В своем отчете ресерчеры показали как легко они смогли запустить PowerShell скрипт на скомпрометированной машине, используя метод SCI_ADDTEXT и пару строчек кода. Данный метод срабатывает когда пользователь набирает текст внутри редактора, тем самым запуская процесс PowerShell. Скрипт с легкостью позволил развернуть Meterpreter на зараженной машине, обойдя все системы защиты.
В дикой природе данная техника уже давно используется государственными APT. Например, была описана атака группировки StrongPity.
#technique
Третакторы могут создавать свои вредоносные DLL и класть их по пути %PROGRAMFILES%\Notepad++\plugins\malware_plugin.dll. Notepad++ при таком стечении обстоятельств будет автоматически подгружать их при загрузке.
В своем отчете ресерчеры показали как легко они смогли запустить PowerShell скрипт на скомпрометированной машине, используя метод SCI_ADDTEXT и пару строчек кода. Данный метод срабатывает когда пользователь набирает текст внутри редактора, тем самым запуская процесс PowerShell. Скрипт с легкостью позволил развернуть Meterpreter на зараженной машине, обойдя все системы защиты.
В дикой природе данная техника уже давно используется государственными APT. Например, была описана атака группировки StrongPity.
#technique
👍1
Все чаще замечаю в отчетах о шифровальщиках технику создания отложенной задачи на запуск файла из директории NETLOGON.
Пруф_1, пруф_2
В обоих случаях отложенная задача создавалась после успешного дампа учетки админа. Вторые вообще используют легитимный BitLocker для шифрования данных. Пугает, что всего парой команд можно сломать всю инфраструктуру.
Пруф_1, пруф_2
В обоих случаях отложенная задача создавалась после успешного дампа учетки админа. Вторые вообще используют легитимный BitLocker для шифрования данных. Пугает, что всего парой команд можно сломать всю инфраструктуру.
👍1
Forwarded from Inside
📸Специальное сообщение:
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
👍2
Привет! 👋🏻
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
🔥2👏1🤮1
Discord - самый популярный способ доставки ВПО жертвам. Думаю что статистика связана с рядовой малварью типа AgentTesla,RedLine,Racoon и т.д так как часто вижу дискорд в качестве С2. Стоит отметить легкость хранения данных на дискорд серверах, а также безолаберность разработчиков, которые разрешают хостить ВПО.
А вы залочили у себя доступ к
А вы залочили у себя доступ к
cdn.discordapp.com?🤯3👍1
Forwarded from CTT CTI Trends
Было интересно посмотреть на каких доменах живет больше всего вредоносных URL.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
👍4
Приступаю к оживлению своего канала с забавной новости.
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
👍5