Интересную технику описали исследователи из Cybereason GSOC. Техника заключается в абузе плагинов для всем известного Notepad++. В текстовом редакторе присутствует возможность апгрейда рабочего пространства с помощью различных плагинов, созданных open-source тулзой Notepad++ Plugin Pack. Стоит отметить, что зачастую ПО находится в исключениях для анализа различными антивирусными решениями, что развязывает руки злоумышленникам.
Третакторы могут создавать свои вредоносные DLL и класть их по пути %PROGRAMFILES%\Notepad++\plugins\malware_plugin.dll. Notepad++ при таком стечении обстоятельств будет автоматически подгружать их при загрузке.
В своем отчете ресерчеры показали как легко они смогли запустить PowerShell скрипт на скомпрометированной машине, используя метод SCI_ADDTEXT и пару строчек кода. Данный метод срабатывает когда пользователь набирает текст внутри редактора, тем самым запуская процесс PowerShell. Скрипт с легкостью позволил развернуть Meterpreter на зараженной машине, обойдя все системы защиты.
В дикой природе данная техника уже давно используется государственными APT. Например, была описана атака группировки StrongPity.
#technique
Третакторы могут создавать свои вредоносные DLL и класть их по пути %PROGRAMFILES%\Notepad++\plugins\malware_plugin.dll. Notepad++ при таком стечении обстоятельств будет автоматически подгружать их при загрузке.
В своем отчете ресерчеры показали как легко они смогли запустить PowerShell скрипт на скомпрометированной машине, используя метод SCI_ADDTEXT и пару строчек кода. Данный метод срабатывает когда пользователь набирает текст внутри редактора, тем самым запуская процесс PowerShell. Скрипт с легкостью позволил развернуть Meterpreter на зараженной машине, обойдя все системы защиты.
В дикой природе данная техника уже давно используется государственными APT. Например, была описана атака группировки StrongPity.
#technique
👍1
Все чаще замечаю в отчетах о шифровальщиках технику создания отложенной задачи на запуск файла из директории NETLOGON.
Пруф_1, пруф_2
В обоих случаях отложенная задача создавалась после успешного дампа учетки админа. Вторые вообще используют легитимный BitLocker для шифрования данных. Пугает, что всего парой команд можно сломать всю инфраструктуру.
Пруф_1, пруф_2
В обоих случаях отложенная задача создавалась после успешного дампа учетки админа. Вторые вообще используют легитимный BitLocker для шифрования данных. Пугает, что всего парой команд можно сломать всю инфраструктуру.
👍1
Forwarded from Inside
📸Специальное сообщение:
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
Мной был зафиксирован абсолютно новый, но крайне занимательный вид фишинга - при помощи продуктов Atlassian.
До этого (в период пандемии) публиковались отчеты о рассылках фишинга с помощью продуктов Atlassian, но установленных на VDS.
В новом же случае - злоумышленник создает облачное пространство (домен вида: *.atlassian.com), высылает пользователям приглашения в workspace, а затем назначат пользователю задачу, текст которой содержит фишинговую ссылку.
Примечательно, что:
❗️Не смотря на то, что пользователь не принял приглашение в workspace, письмо с текстом "задачи" и фишинговой ссылкой отправляется пользователю.
❗️Так как письмо отправляется с домена atlassian.com - оно проходит спам-фильтры.
❗️Письмо представляет собой классическое письмо от Jira.
❗️ Способ прост до безобразия и не требует разворота специальных платформ. (Скрипткиддисы, закатайте губу, вы не умеете делать нагруз. Блечеры, Jira это не для вас. Редтим команды - пользуйтесь, к вам вопросов нет.)
Данная разновидность фишинга опасна для:
🔨 Компаний, использующих облачную версию продуктов Atlassian.
🔨 В меньшей степени - для компаний, использующих локальную копию Jira.
👍2
Привет! 👋🏻
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
Я действующий TI аналитик. Тут буду делиться своими находками, полезными тулзами для работы, а также новостями infosec комьюнити.
🔥2👏1🤮1
Discord - самый популярный способ доставки ВПО жертвам. Думаю что статистика связана с рядовой малварью типа AgentTesla,RedLine,Racoon и т.д так как часто вижу дискорд в качестве С2. Стоит отметить легкость хранения данных на дискорд серверах, а также безолаберность разработчиков, которые разрешают хостить ВПО.
А вы залочили у себя доступ к
А вы залочили у себя доступ к
cdn.discordapp.com?🤯3👍1
Forwarded from CTT CTI Trends
Было интересно посмотреть на каких доменах живет больше всего вредоносных URL.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
URL не разделялись на фишинг/хостинг малвари. Здесь все вместе.
Статистика по данным за первое полугодие 2022.
👍4
Приступаю к оживлению своего канала с забавной новости.
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
👍5
Нашел интересную фишинговую кампанию на пользователей VK.
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
id44922321.ru
id842568994.com
https://id842568994.com/admin/
https://id842568994.com/auth/aaaa/login.js👍4
#news
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
🔥6❤1👍1