Living off the False Positive — Список ложных положительных результатов, исходящих из популярных наборов правил.
Living Off The Land Drivers — Список драйверов Windows, используемых для обхода безопасности.
GTFOBins — Список Unix-бинарников для обхода локальных ограничений безопасности.
LOLBAS Project — Документация по бинарникам и скриптам, используемым для техник "Living Off The Land".
LOTS Project — Сайты, используемые для фишинга и скрытных атак.
FileSec — Расширения файлов, используемые злоумышленниками.
MalAPI.io — Маппинг Windows API к техникам, используемым в вредоносных программах.
Hijacklibs — Список кандидатов для DLL hijacking.
WADComs — Чек-лист с инструментами безопасности для Windows/AD.
Living Off the Orchard — Информация о встроенных macOS бинарниках, используемых в атаках.
LOLApps Project — Приложения, злоупотребляемые для атак.
Bootloaders.io — Список вредоносных загрузчиков для различных ОС.
BYOL — Использование легитимных доменов для атак.
Living Off The Hardware — Ресурсы по использованию вредоносного аппаратного обеспечения.
WTFBin — Бинарник, который ведет себя как вредоносное ПО, но не является им.
LOFL Project — Cmdlets и бинарники для атак с локальной системы на удалённую.
Persistence Info — Механизмы персистентности в Windows.
LOLCerts — Сбор данных о сертификатах, используемых для подписания вредоносного ПО.
LOTp — Инструменты разработчиков с уязвимыми функциями для удалённого выполнения кода.
LOLBin CTI-Driven — Анализ использования LOLBin в атаках.
LOLESXi — Список бинарников и скриптов для VMware ESXi, используемых злоумышленниками.
LOL RMM — Список инструментов удалённого мониторинга, которые могут быть использованы для атак.
LOT Webhooks — Сайт с информацией о вебхуках, использующихся для эксфильтрации данных.
Project Lost — Сборник инструментов безопасности, используемых для обхода защиты.
LOTTunnels — Документация о цифровых туннелях, используемых для эксфильтрации данных.
LOLAD Project — Коллекция техник для работы с Active Directory.
LOL C2 — Сборник C2 фреймворков, использующих легитимные сервисы для уклонения от детекта.

Hmm, powershell started🤔
O’h that’s have obfuscation base64, notepad please decode. O’h invoke-web request 🤓

Silent Lynx’s campaigns demonstrate a sophisticated multi-stage attack strategy using ISO files, C++ loaders, PowerShell scripts, and Golang implants. Their reliance on Telegram bots for command and control, combined with decoy documents and regional targeting which also highlights their focus on espionage in Central Asia and SPECA based nations. Silent Lynx also overlaps with YoroTrooper which shows resource sharing, reinforcing their attribution as a Kazakhstan-based threat group.

Tracking of

, discovered notable similarities and overlaps with a Kazakhstan-based threat actor/group known

as identified by Cisco Talos.

:
Researchers at Cisco Talos observed that YoroTrooper frequently modifies and switches its toolset, creating a pseudo-anti-detection mechanism. Recent YoroTrooper operations have relied heavily on PowerShell-based tools. Similarly, Silent Lynx has demonstrated significant reliance on PowerShell tooling, with code overlaps observed between the two groups.

:
Both Silent Lynx and YoroTrooper share similar motivations, primarily engaging in espionage targeting government entities in Kyrgyzstan and its neighboring nations.
Beyond these examples, additional strong similarities reinforce the connection between these two threat groups. With a

, attribute Silent Lynx as a Kazakhstan-origin threat actor that likely shares resources with YoroTrooper, positioning it as a Kazakhstan-oriented threat.

Наиболее распространенным сценарием злоупотребления политиками является запуск шифровальщика на множестве хостов. Однако также групповые политики могут использоваться для скрытого закрепления в домене. В этом случае атакующие могут делать практически все, что пожелают, например:

11 февраля специалисты BI.ZONE Threat Intelligence зафиксировали новую фишинговую кампанию по распространению стилера NOVA. В этот раз география еще шире: злоумышленники атаковали организации на территории России, Казахстана и Южной Кореи. 

Киберпреступники рассылали письма с темой «*** - KIPIC ЭЛЕКТРОНДЫК ТЕЛЕМ АУДАРУ ТУРАЛЫ ХАБАРЛАМА». Во вложении был файл образа ***_Төлем_кеңес.iso, в котором находился вредоносный batch-скрипт.
Скрипт хранит данные, закодированные в Base64 и запакованные с помощью GZIP.
Для декодирования данных используется PowerShell:

POWerSHElL -w h -cOmMAnD "$uXvxSBiE='C:\Users\RDhJ0CNFevzX\Desktop\***_Төлем_кеңес.bat';$ScTenweV=-176216..-1;$OdZzhCec=[SYStEm.TEXT.ENCoDiNG]::utF8.GEtStRiNG([ConvErt]::FRoMBAsE64STriNg((gEt-ContenT $uXvxSBiE -Raw)[$ScTenweV]));iex $OdZzhCec"

После распаковки создается еще один PowerShell-скрипт, который выполняет следующие действия:

🟦Создает на диске файл .lock, который является зашифрованным экземпляром стилера NOVA.
🟦Внедряет шелл-код — загрузчик Donut Loader — в адресное пространство процесса ping.exe.
🟦Donut Loader в памяти расшифровывает еще одну стадию — другой загрузчик Marrow_Crypter.
🟦Marrow_Crypter находит файл .lock на диске и расшифровывает его в памяти ping.exe. 

T1055 – Process Injection: Injecting malicious code into legitimate processes to evade detection.
T1059 – Command and Scripting Interpreter: Using tools like PowerShell to automate attack operations.
T1555 – Credentials from Password Stores: Stealing credentials from password managers and browsers.
T1071 – Application Layer Protocol: Using encrypted communication to bypass security controls.
T1562 – Impair Defenses: Disabling security tools to avoid detection.
T1486 – Data Encrypted for Impact: Encrypting data for ransomware or extortion purposes.
T1082 – System Information Discovery: Gathering intelligence on the target system.
T1056 – Input Capture: Deploying keyloggers and other input monitoring techniques.
T1547 – Boot or Logon Autostart Execution: Ensuring malware persistence through system reboots.
T1005 – Data from Local System: Stealing sensitive data directly from infected machines.

The report makes it clear that responding to these evolving threats requires a shift from reactive to proactive security strategies. Key recommendations for security teams include:
- Continuous Security Validation: Regularly testing and updating security controls to ensure effectiveness against emerging attack techniques.
- Behavioral Analytics: Moving beyond signature-based defenses and focusing on suspicious behavioral patterns.
- Adaptive Threat Hunting: Proactively searching for threats before they escalate into full-blown incidents.
- Enhanced Credential Protection: Implementing stronger security measures for credential storage, including multi-factor authentication (MFA), privileged access management (PAM), and regular privilege audits.
- Encrypted Traffic Inspection: Investing in decryption and advanced traffic analysis solutions to detect hidden malicious communications.

Key discoveries in the blog
- RansomHub’s operators strategically advertised the group’s partnership program on RAMP forum on February 2, 2024.
- RansomHub’s operators took advantage of the impact of law enforcement operations on LockBit and ALPHV to release a partnership program and recruit affiliates of these groups.
- The threat actors likely acquired the ransomware and web application source code from the Knight (aka Cyclops) group.
- The ransomware works on different operating systems and architectures including x86, x64 and ARM as well as Windows, ESXi, Linux and FreeBSD.
- The group started to use PCHunter to stop and bypass endpoint security solutions.
- RansomHub used Filezilla as an exfiltration tool.
- RansomHub’s affiliates have disclosed around 44 healthcare companies including hospitals and clinics.
- Affiliates may eventually threaten and report cyber incidents to regulators such as PDPL (Personal Data Protection Law).

In December 2024, Microsoft Threat Intelligence observed limited activity by an unattributed threat actor using a publicly available, static ASP.NET machine key to inject malicious code and deliver the Godzilla post-exploitation framework. In the course of investigating, remediating, and building protections against this activity, we observed an insecure practice whereby developers have incorporated various publicly disclosed ASP.NET machine keys from publicly accessible resources, such as code documentation and repositories, which threat actors have used to perform malicious actions on target servers

LOLC2 collection of C2 frameworks that leverage legitimate services to evade detection

Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀 и другие.

•пишем правила и фильтруем соединения господа
•поведенческий анализ
• Yara
• мониторинг процессов и обращений к API

When you end up in a more strictly controlled environment, HTTP and DNS are likely the only protocols allowed to go outside. Furthermore, you can bet on both being proxied and highly monitored. This time, I’ll focus on some opportunities to hide traffic within DNS that does not trigger traditional subdomain-based anomaly detection.