Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Мир сегодня с "Юрий Подоляка"

Переглянути

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Threat Hunting Father

• All about Threat Hunting, detecting malicious activity.
• We try to learn, and learn all about APT
• Also we try learn interesting TTP, instruments and features of systems, what use attacker’s
Questions: @rarh1k
For educational purposes only🧠

Рейтинг TGlist

ТипПублічний

Верифікація

Не верифікований

Довіреність

Не надійний

Розташування

МоваІнша

Дата створення каналуСіч 16, 2024

Додано до TGlist

Січ 20, 2025

Я власник каналу

Історія змін

Прикріплена група

Threat Hunting Father Chat

Статистика Телеграм-каналу Threat Hunting Father

Детальніше

Підписників

872

24 год.

50.6%Тиждень

11815.7%Місяць

16523.3%

Індекс цитування

0

Згадок2Репостів на каналах0Згадок на каналах2

Середнє охоплення 1 допису

149

12 год.233

45.9%24 год.149

18%48 год.1810%

Залученість (ER)

5.03%

Репостів5Коментарів0Реакцій5

Залученість за охопленням (ERR)

18.25%

24 год.

2.62%Тиждень

0.05%Місяць

2.13%

Охоплення 1 рекл. допису

143

1 год.7149.65%1 – 4 год.2920.28%4 - 24 год.85.59%

Детальніше

Під'єднайте нашого бота до каналу і дізнайтеся стать аудиторії цього каналу.

Всього дописів за 24 години

3

Динаміка

Останні публікації в групі "Threat Hunting Father"

Всі дописи

24.04.202505:30

🔍 ClickGrab Analyzer

Analyze websites for potential ClickFix/FakeCAPTCHA phishing techniques. This tool helps identify malicious web pages that may be attempting to trick users with fake CAPTCHA verification or other social engineering techniques.

🔗https://clickgrab.streamlit.app/
🦔THF

23.04.202511:31

APT-группа «забыла» сервер — утекли эксплойты, шеллы

APT-группа допустила редкую для себя оплошность — на короткое время неправильно настроила C2-сервер, связанный с вредоносом KEYPLUG. Команда Hunt Intelligence успела проанализировать содержимое сервака.
Кто за этим стоит:
Исследователи связывают инфраструктуру с группировкой RedGolf (пересекается с APT41), давно известной своими кампаниями против правительственных и телеком-секторов.
Что утекло:
KEYPLUG — модульный бекдор с поддержкой HTTP(S)/TCP/SMB C2 и функционалом удалённого управления.
Эксплойты Fortinet — включая скрипты для эксплуатации CVE-2022-42475 и других уязвимостей в FortiGate/SSL-VPN.
PHP вебшеллы — упрощённый доступ и закреплерие после компрометации.
Скрипты разведки и подготовки — в том числе нацеленные на крупную японскую организацию.

Сервер был доступен менее суток, но успел показать: за «тихой работой» APT стоит чёткая структура подготовки и развертывания — всё это отразилось в обнажённых артефактах.

🔗: hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells
🦔 THF

23.04.202511:11

Playbook’s
Коллекция практических плейбуков для SOC-аналитиков по расследованию инцидентов. Стандартизированные шаги, примеры и полезные рекомендации.

🔗https://github.com/socfortress/Playbooks/tree/main

🦔THF

22.04.202510:51

Heheh 😏

Mimikatz with a valid signature from... McDonald's? When did McDelivery put mimikatz on their menu?!

(Sample SHA1: 2E33DFC94B8B2AFFF1CA73AF9516F0D649DF0282)

🔗https://x.com/tangent65536/status/1914373135337701588?s=46

🔗https://www.virustotal.com/gui/file/d719cb6f0288867122e8780c2e326952b1858036f7a036821d77e2e7443fe2fb/detection

🦔THF

22.04.202510:51

22.04.202505:01

Around the World in 90 Days: State-Sponsored Actors Try ClickFix 👆

ClickFix —

это техника социальной инженерии, в рамках которой используются диалоговые окна с инструкциями для копирования, вставки и запуска вредоносных команд на устройстве жертвы. Эта методика включает не только поддельные сообщения об ошибке (в качестве "проблемы"), но и якобы системные уведомления с авторитетными инструкциями (в качестве "решения"), которые выглядят как рекомендации от самой операционной системы.

Что нашли Proofpoint:

• Изначально техника ClickFix была связана в основном с киберпреступниками, исследователи Proofpoint впервые зафиксировали её использование государственными APT-группами в ряде кампаний.
• В период — с конца 2024 года по начало 2025-го — группы из Северной Кореи, Ирана и России применяли технику ClickFix в своих атаках.
• Интеграция ClickFix не изменила радикально сами кампании, проводимые TA427, TA450, UNK_RemoteRogue и TA422, но стала заменой этапов установки и исполнения вредоносного кода в уже существующих цепочках заражения.

Итого:

•

ClickFix

не доставляет вредоносное ПО напрямую, а лишь трекает и маскирует ссылки — используется как элемент социальной инженерии и инструмент обхода фильтров.
• Использование

multi-stage infection

— часто первая стадия «чистая» (лишь переход или подмена шаблона), а вредоносная активность начинается позже.
• Почти все цепочки завязаны на

low-observable delivery

, включая отсутствие вложений и доверие на пользовательские действия (клик, логин, разрешение макросов).

В таких атаках будет зависеть, завоюет ли внимание пользователя атакующий 😁

🔗 https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix
🦔THF

Переслав з:

Сертификат безопасности

19.04.202512:25

⚡️KazInfoSec - подборка личных TG-каналов казахстанского ИБ-комьюнити 💭

https://t.me/addlist/kI9Bkz-4Bs41ZmRi

19.04.202506:39

Kimsuky, Konni, Lazarus — март 2025
В марте ASEC зафиксировал активность APT групп: Kimsuky, Konni и Lazarus

Инструменты и техники:
1. Kimsuky
Тема:
фальшивые документы об образовательных программах
Инструменты:
document.bat, 0304.exe, 0304_1.exe
OLE-объекты в HWP-документах
VBScript / Task Scheduler
Техники:
Загрузка .manifest и выполнение скриптов
Устойчивость через планировщик заданий

2. Konni
Тема:

рассылка LNK-файлов, маскирующихся под документы

Инструменты:

AsyncRAT
PowerShell / VBScript / LNK
Комбинация скриптов и скрытые команды

Техники:

Многоуровневая загрузка
Динамические URL и обфускация
Самоудаление следов
Маскировка под

.docx

3. Lazarus

Сценарий 1: Атаки на IIS-серверы (Южная Корея)

Инструменты:

Web shell “RedHat Hacker”

LazarLoader

UACMe

Техники:

Загрузка shell через уязвимость
Выполнение C2-команд
Повышение привилегий

Сценарий 2: npm-атаки

Инструменты:

Зловреды:

BeaverTail

,

InvisibleFerret

Пакеты:

is-buffer-validator

,

auth-validator

,

event-handle-package

GitHub-репозитории

Техники:

Typosquatting
Загрузка и выполнение вредоносного JS-кода при установке

Сценарий 3: Атаки на криптокомпании

Инструменты:

GolangGhost

— бэкдор на Go

FrostyFerret

— стилер для macOS

BeaverTail / InvisibleFerret

— кража данных и кейлоггер

FriendlyFerret / FlexibleFerret / FrostyFerret

— вариации под macOS

nvidia.js

— NodeJS-загрузчик

Техники:

Социальная инженерия (фальшивые интервью)
Метод

ClickFix

Вызов PowerShell, curl, bash, wscript для загрузки и выполнения полезной нагрузки

🔗: ASEC Report – март 2025
🦔 THF

17.04.202505:46

Waiting Thread Hijacking: A Stealthier Version of Thread Execution Hijacking

- Process Injection is one of the important techniques in the attackers’ toolkit. In the constant cat-and-mouse game, attackers try to invent its new implementations that bypass defenses, using creative methods and lesser-known APIs.
- Combining common building blocks in an atypical way, Check Point Research was able to create a much stealthier version of a known method, Thread Execution Hijacking.

Waiting Thread Hijacking involves handles with the following access:
- For the target process: PROCESS_VM_OPERATION, PROCESS_VM_READ, PROCESS_VM_WRITE
- For the target thread: THREAD_GET_CONTEXT

Used APIs:
- NtQuerySystemInformation (with a parameter of SystemProcessInformation )
- GetThreadContext
- ReadProcessMemory
- VirtualAllocEx
- WriteProcessMemory
- VirtualProtectEx

CheckPoint^-^
were able to inject a payload and run it without being noticed by most tested EDRs (Endpoint Detection & Response systems)

🔗 https://research.checkpoint.com/2025/waiting-thread-hijacking/
🐱POC: https://github.com/hasherezade/waiting_thread_hijacking

🦔THF

16.04.202509:39

Оставлю это тутъ👽

🔗https://github.com/CVEProject/cvelistV5

🦔THF

08.04.202512:17

How ToddyCat tried to hide behind AV software 🔦

Когда дело доходит до кибершпионажа, APT группы часто начинают мимикрировать/эксплуатировать антивирусное ПО, чтобы их было сложней найти.
ToddyCat , исполнили такой трюк, запустив свой инструмент TCESB в контексте решения по обеспечению безопасности.
(Attackers use a DLL-proxying technique (Hijack Execution Flow, T1574) to run the malicious code.)

В утилите ESET Command line scanner динамический анализ показал, что сканер небезопасно загружает DLL, сначала проверяя файл в текущем каталоге, а затем выполняя его поиск в системных каталогах. Это может привести к загрузке вредоносной библиотеки DLL, что представляет собой уязвимость - CVE-2024-11859 - (21 января 2025 вендор исправил) Ну а далее когда атакер успешно подгрузил код библиотеки, остается фантазировать)

Найденный инструмент использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, которую злоумышленники модифицировали, чтобы расширить ее функциональность.

Про цепочку атаки и другие подробности⬇️
🔗https://securelist.com/toddycat-apt-exploits-vulnerability-in-eset-software-for-dll-proxying/116086/

🦔THF

07.04.202518:40

Windows Remote Desktop Protocol: Remote to Rogue

The campaign employed signed .rdp file attachments to establish Remote Desktop Protocol (RDP) connections from victims' machines. Unlike typical RDP attacks focused on interactive sessions, this campaign creatively leveraged resource redirection (mapping victim file systems to the attacker servers) and RemoteApps (presenting attacker-controlled applications to victims). Evidence suggests this campaign may have involved the use of an RDP proxy tool like PyRDP to automate malicious activities like file exfiltration and clipboard capture.

Супер интересный вектор, а также рекомендации от ресерчеров 🔥

🔗https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol

🦔THF

Переслав з:

s0ld13r ch.

06.04.202513:37

Threat Intelligence drop ragghhhh 🕺🕺

Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃

Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️

В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎

Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸

Рад представить вам threatintel.kz 👋

🧢 s0ld13r

06.04.202507:44

https://www.blackhat.com/asia-25/briefings/schedule/

🥰

04.04.202506:04

UAC-0219: кибершпионаж с использованием PowerShell-стилера WRECKSTEEL (CERT-UA#14283)

CERT-UA пишут что в течение марта 2025 года зафиксировано по меньшей мере три кибератаки в отношении органов государственного управления и объектов критической инфраструктуры Украины, целью которых был сбор и похищение информации с компьютеров с применением соответствующих программных средств.

Атаки проходили с использованием скомпрометированных учетных записей осуществляется распространение электронных писем со ссылками на публичные файловые сервисы DropMeFiles, Google Drive и другие (иногда ссылки содержатся в PDF-вложения), переход по которым приводит к загрузке и запуску VBScript-загрузчика (обычно имеет расширение ".js"). Его назначение — загрузка и запуск PowerShell-скрипта, который выполняет поиск и выгрузку с помощью cURL файлов с определенными расширениями (".doc", ".txt", ".docx", ".xls", ".xlsx", ".pdf", ".rtf", ".odt", ".csv", ".ods", ".ppt", ".pptx", ".png", ".jpg", "*.jpeg"), а также снимков экрана компьютера.

Детальное исследование киберугрозы позволило сделать вывод, что описанная активность ведется, как минимум, с осени 2024 года. При этом, в течение 2024 года во время осуществления кибератак использовались EXE-файлы, созданные с помощью NSIS-инсталлятора, которые содержали документ-приманку (PDF, JPG), VBScript-стилер, а также программу-графический редактор "IrfanView", использовавшуюся для создания скриншотов (следует отметить, что с 2025 года функция создания снимков экрана реализована с помощью PowerShell).

Основное программное средство, версии которого известны на языках программирования VBScript и PowerShell и которое предназначено для похищения файлов, классифицировано как WRECKSTEEL.

Активность отслеживается под идентификатором UAC-0219.

🔗https://cert.gov.ua/article/6282902
🦔THF

Всі дописи

Нічого не знайдено 😢

Детальніше

Рекорди

24.04.202523:59

872Підписників

16.04.202517:23

400Індекс цитування

15.02.202515:32

1.2KОхоплення 1 допису

15.02.202515:32

1.2KОхоп рекл. допису

03.02.202503:32

15.79%ER

15.02.202523:59

235.73%ERR

Розвиток

Детальніше

Підписників

Індекс цитування

Охоплення 1 допису

Охоп рекл. допису

ERR

Детальніше

Популярні публікації Threat Hunting Father

Всі дописи

25.03.202507:26

Persistence map's for windows and linux😊

Mitres Att&ck framework write about persistence TA0003: "The adversary is trying to maintain their foothold."

Persistence consists of techniques that adversaries use to keep access to systems across restarts, changed credentials, and other interruptions that could cut off their access. Techniques used for persistence include any access, action, or configuration changes that let them maintain their foothold on systems, such as replacing or hijacking legitimate code or adding startup code.

📎Windows-persistence
📎Linux persistence

🦔THF

Переслав з:

s0ld13r ch.

06.04.202513:37

23.04.202511:11

27.03.202516:00

SMBexec Abuse 🤔

Let’s hunt and detect 🔎

🦔 THF

AgADwnAAAulRMEs

4.57 MB

Переслав з:

Сертификат безопасности

19.04.202512:25

⚡️KazInfoSec - подборка личных TG-каналов казахстанского ИБ-комьюнити 💭

https://t.me/addlist/kI9Bkz-4Bs41ZmRi

19.04.202506:39

рассылка LNK-файлов, маскирующихся под документы

Инструменты:

AsyncRAT
PowerShell / VBScript / LNK
Комбинация скриптов и скрытые команды

Техники:

Многоуровневая загрузка
Динамические URL и обфускация
Самоудаление следов
Маскировка под

.docx

3. Lazarus

Сценарий 1: Атаки на IIS-серверы (Южная Корея)

Инструменты:

Web shell “RedHat Hacker”

LazarLoader

UACMe

Техники:

Загрузка shell через уязвимость
Выполнение C2-команд
Повышение привилегий

Сценарий 2: npm-атаки

Инструменты:

Зловреды:

BeaverTail

,

InvisibleFerret

Пакеты:

is-buffer-validator

,

auth-validator

,

event-handle-package

GitHub-репозитории

Техники:

Typosquatting
Загрузка и выполнение вредоносного JS-кода при установке

Сценарий 3: Атаки на криптокомпании

Инструменты:

GolangGhost

— бэкдор на Go

FrostyFerret

— стилер для macOS

BeaverTail / InvisibleFerret

— кража данных и кейлоггер

FriendlyFerret / FlexibleFerret / FrostyFerret

— вариации под macOS

nvidia.js

— NodeJS-загрузчик

Техники:

Социальная инженерия (фальшивые интервью)
Метод

ClickFix

Вызов PowerShell, curl, bash, wscript для загрузки и выполнения полезной нагрузки

🔗: ASEC Report – март 2025
🦔 THF

02.04.202508:38

Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs 🤖

Ну что? AI будем интегрировать?

🔗https://arxiv.org/html/2502.02337v1
🦔THF

31.03.202509:38

The Espionage Toolkit of Earth Alux: A Closer Look at its Advanced Techniques 👽

Key takeaways:
•
Trend Research’s consistent monitoring and investigation efforts have uncovered Earth Alux’s stealthy activities and advanced techniques. One of the tools in the arsenal of this advanced persistent threat group (APT) is its primary backdoor, VARGEIT.
• Left undetected, the attack can maintain a foothold in the system and carry out cyberespionage. The long-term collection and exfiltration of data could lead to far-reaching consequences, such as disrupted operations and financial losses.
• The attacks are targeted toward the Asia-Pacific (APAC) and Latin American regions, hitting key sectors such as government, technology, logistics, manufacturing, telecommunications, IT services, and retail.
• Regular patching and updating, vigilant monitoring for any signs of compromise, and proactive protection can help prevent such threats from infiltrating organizations’ systems.

Очень рекомендую к прочтению технических деталей в отчете, инструментарий довольно подробно описан 🤓

🔗 https://www.trendmicro.com/en_us/research/25/c/the-espionage-toolkit-of-earth-alux.html
🦔THF

03.04.202510:52

Extra TTP! 😠

Initial Access (TA0001) в MITRE ATT&CK — это тактики и техники, которые злоумышленники используют для первого проникновения в целевую систему или сеть.

Основные техники:
Phishing (T1566) – доставка вредоносных ссылок или файлов через email или соцсети.
Exploit Public-Facing Application (T1190) – эксплуатация уязвимостей в веб-приложениях.
Valid Accounts (T1078) – использование украденных или скомпрометированных учетных данных.
Drive-by Compromise (T1189) – заражение системы при посещении вредоносного сайта.
Supply Chain Compromise (T1195) – внедрение вредоносного кода через сторонних поставщиков.
External Remote Services (T1133) – доступ через удаленные сервисы (VPN, RDP, SSH).
Hardware Additions (T1200) – подключение зараженных устройств (USB, сетевое оборудование).

Initial Access — ключевой этап атаки, после которого злоумышленники переходят к закреплению в системе (Persistence) и дальнейшему движению по сети (Lateral Movement).

🦔THF

24.03.202511:18

Bypassing Detections with Command-Line Obfuscation 👀

Какой интересный вектор 🤓
Не забудьте затюнить свой детект😉
Defensive tools like AVs and EDRs rely on command-line arguments for detecting malicious activity. This post demonstrates how command-line obfuscation, a shell-independent technique that exploits executables’ parsing “flaws”, can bypass such detections. It also introduces
ArgFuscator, a new tool that documents obfuscation opportunities and generates obfuscated command lines.

🔗 https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation

🦔THF

02.04.202506:44

APT34, also known as OilRig , Helix Kitten, IRN2 or Earth Simnavaz

APT34 нацелена в основном на Ближний Восток. Атаки затрагивают такие сектора как: правительство, энергетику, финансы, телекоммуникации, авиацию, национальную оборону, образование, химическую промышленность и многие другие отрасли.

В отчете ThreatBook - описана недавняя целевая атака на Иракские гос. учреждения.
Данные атаки имеют следующие характеристики:

1) The sample forges names such as documents and invitation letters to induce operation, then releases the backdoor and encrypted configuration files and modifies the creation time, creates a persistent task and then exits, thus realizing the function of disconnecting and executing the backdoor.

2) There are two main communication methods for the samples, namely HTTP communication and email communication. The former secretly sends control instructions based on the characteristic value of the body content, and the latter uses a large number of compromised Iraqi official government mailboxes for email communication;

3) The group created a large number of European assets and then used similar pages to mimic 404 interfaces to hide the purpose of their own assets;

Основной вектор по прежнему целевой фишинг с острыми темами для организаций и люди как обычно самое уязвимое звено.
Мимикрирование под 404 😬🔝

🔗https://threatbook.io/blog/id/1101
🦔 THF

23.04.202511:31

07.04.202518:40

Windows Remote Desktop Protocol: Remote to Rogue

The campaign employed signed .rdp file attachments to establish Remote Desktop Protocol (RDP) connections from victims' machines. Unlike typical RDP attacks focused on interactive sessions, this campaign creatively leveraged resource redirection (mapping victim file systems to the attacker servers) and RemoteApps (presenting attacker-controlled applications to victims). Evidence suggests this campaign may have involved the use of an RDP proxy tool like PyRDP to automate malicious activities like file exfiltration and clipboard capture.

16.04.202509:39

Оставлю это тутъ👽

🔗https://github.com/CVEProject/cvelistV5

🦔THF

04.04.202506:04

Увійдіть, щоб розблокувати більше функціональності.