Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Труха⚡️Україна

Переглянути

Николаевский Ванёк

Переглянути

Лёха в Short’ах Long’ует

Переглянути

Threat Hunting Father

• All about Threat Hunting, detecting malicious activity.
• We try to learn, and learn all about APT
• Also we try learn interesting TTP, instruments and features of systems, what use attacker’s

Рейтинг TGlist

ТипПублічний

Верифікація

Не верифікований

Довіреність

Не надійний

Розташування

МоваІнша

Дата створення каналуСіч 16, 2024

Додано до TGlist

Січ 20, 2025

Я власник каналу

Історія змін

Прикріплена група

Threat Hunting Father Chat

Статистика Телеграм-каналу Threat Hunting Father

Детальніше

Підписників

516

24 год.

51%Тиждень

153%Місяць

9723.2%

Індекс цитування

0

Згадок1Репостів на каналах0Згадок на каналах1

Середнє охоплення 1 допису

1 181

12 год.1 1810%24 год.1 1810%48 год.450%

Залученість (ER)

4.91%

Репостів52Коментарів0Реакцій6

Залученість за охопленням (ERR)

0%

24 год.0%Тиждень

28.54%Місяць

9.7%

Охоплення 1 рекл. допису

1 181

1 год.60651.31%1 – 4 год.342.88%4 - 24 год.1018.55%

Детальніше

Під'єднайте нашого бота до каналу і дізнайтеся стать аудиторії цього каналу.

Всього дописів за 24 години

2

Динаміка

Останні публікації в групі "Threat Hunting Father"

Всі дописи

20.02.202517:16

Сочный свежий ежегодный MDR report от компании Kaspersky.

Приводятся интересные тенденции и тактики атакующих групп, а также популярные методы используемые для взлома инфраструктур.

📎https://www.kaspersky.com/enterprise-security/resources/reports/mdr-ir-analyst-reports#get-reports

🦔@ThreatHuntingFather

20.02.202506:01

Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection👽
- Researchers from Trend Micro’s Threat Hunting team discovered that Earth Preta, also known as Mustang Panda, uses the Microsoft Application Virtualization Injector to inject payloads into waitfor.exe whenever an ESET antivirus application is detected.
- They utilize Setup Factory to drop and execute the payloads for persistence and to avoid detection.
- The attack involves dropping multiple files, including legitimate executables and malicious components, and deploying a decoy PDF to distract the victim.
- Earth Preta's malware, a variant of the TONESHELL backdoor, is sideloaded with a legitimate Electronic Arts application and communicates with a command-and-control server for data exfiltration.

Trend Micro’s Threat Hunting team has come across a new technique employed by Earth Preta, also known as Mustang Panda. Earth Preta's attacks have been known to focus on the Asia-Pacific region: More recently, one campaign used a variant of the DOPLUGS malware to target Taiwan, Vietnam, Malaysia, among other countries. The group, which favors phishing in their campaigns and tends to target government entities, has had over 200 victims since 2022.

This advanced persistent threat (APT) group has been observed leveraging a Windows utility that’s able to inject code into external processes called the Microsoft Application Virtualization Injector (MAVInject.exe). This injects Earth Preta’s payload into a Windows utility that’s used to sending or waiting for signals between networked computers., waitfor.exe, when an ESET antivirus application is detected running. Additionally, Earth Preta utilizes Setup Factory, an installer builder for Windows software, to drop and execute the payload; this enables them to evade detection and maintain persistence in compromised systems.

**Detect** 🐱
- Monitor the creation and execution of files in ProgramData
- Monitor suspicious PDF documents
- Track executions of Mavinject.exe /INJECTRUNNING
- Monitor the execution of OriginLegasyCLI, ekrn.exe, waitfor.exe
- Check what is dropped by the IRSetup.exe processes

🔗https://www.trendmicro.com/en_us/research/25/b/earth-preta-mixes-legitimate-and-malicious-components-to-sidestep-detection.html

🦔 @ThreatHuntingFather

16.02.202512:17

Lurking in the shadows: Unsupervised decoding of beaconing communication for enhanced cyber threat hunting 🧐

NetSpectra Sentinel (NSS) - что-то на Threat Hunter-ском языке.
We aim to reduce false positive alerts for threat hunters by analyzing system network logs to detect potential network beaconing, a common attribute of various malware. We introduce a novel hybrid approach, called NetSpectra Sentinel, which employs a Continuous Time Hidden Markov Model (CT-HMM) to detect hidden states underlying observed patterns within the network logs and Time Series Decomposition (TSD) to model temporal patterns.

В данном посте рассматриваются новые подходы к Threat Hunting, это не мануальный хантинг, это больше про работу с большими данными и подходом к детектированию на основе улучшения источников данных и алгоритмов, как агрегировать такие данные.
Во всяком случае говорят что NetSpectra Sentinel, намного целостней, потому что не ограничивается на AI и классическом детектировании APT.
📎https://www.sciencedirect.com/science/article/pii/S1084804525000244

🦔@ThreatHuntingFather

14.02.202508:48

Living of the Land collection C2 ✔️

Что это:

LOLC2 collection of C2 frameworks that leverage legitimate services to evade detection

Среди которых есть С2:

Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀 и другие.

Detect😜:

•пишем правила и фильтруем соединения господа
•поведенческий анализ
• Yara
• мониторинг процессов и обращений к API

🔗https://lolc2.github.io/

🦔@ThreatHuntingFather

14.02.202508:16

А как насчет фермы Living Off the Lands 💎 ⚡

В этом списке очень много интересного, которое поможет вам выстроить свои гипотезы во время поиска, чего-то скрытого 😉

Living off the False Positive — Список ложных положительных результатов, исходящих из популярных наборов правил.
Living Off The Land Drivers — Список драйверов Windows, используемых для обхода безопасности.
GTFOBins — Список Unix-бинарников для обхода локальных ограничений безопасности.
LOLBAS Project — Документация по бинарникам и скриптам, используемым для техник "Living Off The Land".
LOTS Project — Сайты, используемые для фишинга и скрытных атак.
FileSec — Расширения файлов, используемые злоумышленниками.
MalAPI.io — Маппинг Windows API к техникам, используемым в вредоносных программах.
Hijacklibs — Список кандидатов для DLL hijacking.
WADComs — Чек-лист с инструментами безопасности для Windows/AD.
Living Off the Orchard — Информация о встроенных macOS бинарниках, используемых в атаках.
LOLApps Project — Приложения, злоупотребляемые для атак.
Bootloaders.io — Список вредоносных загрузчиков для различных ОС.
BYOL — Использование легитимных доменов для атак.
Living Off The Hardware — Ресурсы по использованию вредоносного аппаратного обеспечения.
WTFBin — Бинарник, который ведет себя как вредоносное ПО, но не является им.
LOFL Project — Cmdlets и бинарники для атак с локальной системы на удалённую.
Persistence Info — Механизмы персистентности в Windows.
LOLCerts — Сбор данных о сертификатах, используемых для подписания вредоносного ПО.
LOTp — Инструменты разработчиков с уязвимыми функциями для удалённого выполнения кода.
LOLBin CTI-Driven — Анализ использования LOLBin в атаках.
LOLESXi — Список бинарников и скриптов для VMware ESXi, используемых злоумышленниками.
LOL RMM — Список инструментов удалённого мониторинга, которые могут быть использованы для атак.
LOT Webhooks — Сайт с информацией о вебхуках, использующихся для эксфильтрации данных.
Project Lost — Сборник инструментов безопасности, используемых для обхода защиты.
LOTTunnels — Документация о цифровых туннелях, используемых для эксфильтрации данных.
LOLAD Project — Коллекция техник для работы с Active Directory.
LOL C2 — Сборник C2 фреймворков, использующих легитимные сервисы для уклонения от детекта.

Вся коллекция доступна по ссылке:
⬇️ https://lolol.farm/

🦔@ThreatHuntingFather

13.02.202515:31

Про RaaS поговорили, теперь MaaS 👽

Находки BI.ZONE с распространяемой через spear-phishing NOVA, которую распространяют как malware as a service MaaS.

11 февраля специалисты BI.ZONE Threat Intelligence зафиксировали новую фишинговую кампанию по распространению стилера NOVA. В этот раз география еще шире: злоумышленники атаковали организации на территории России, Казахстана и Южной Кореи.

Киберпреступники рассылали письма с темой «*** - KIPIC ЭЛЕКТРОНДЫК ТЕЛЕМ АУДАРУ ТУРАЛЫ ХАБАРЛАМА». Во вложении был файл образа ***_Төлем_кеңес.iso, в котором находился вредоносный batch-скрипт.
Скрипт хранит данные, закодированные в Base64 и запакованные с помощью GZIP.
Для декодирования данных используется PowerShell:

POWerSHElL -w h -cOmMAnD "$uXvxSBiE='C:\Users\RDhJ0CNFevzX\Desktop\***_Төлем_кеңес.bat';$ScTenweV=-176216..-1;$OdZzhCec=[SYStEm.TEXT.ENCoDiNG]::utF8.GEtStRiNG([ConvErt]::FRoMBAsE64STriNg((gEt-ContenT $uXvxSBiE -Raw)[$ScTenweV]));iex $OdZzhCec"

После распаковки создается еще один PowerShell-скрипт, который выполняет следующие действия:

🟦Создает на диске файл .lock, который является зашифрованным экземпляром стилера NOVA.
🟦Внедряет шелл-код — загрузчик Donut Loader — в адресное пространство процесса ping.exe.
🟦Donut Loader в памяти расшифровывает еще одну стадию — другой загрузчик Marrow_Crypter.
🟦Marrow_Crypter находит файл .lock на диске и расшифровывает его в памяти ping.exe.

Судя из цепочки, стоит обращать внимание⚠️:
• Вложения которые открыл пользователь: к примеру от процесса Outlook
• Подозрительные запуски Powrshell, а также параметры запуска, в том числе с файлами.
• Создание файлов с расширением .lock
• Создание запланированных задач schtasks /create
• Сетевые взаимодействия.

🔗https://t.me/bizone_channel/1732

NOVA распространяется по модели malware-as‑a‑service и может использоваться широким кругом злоумышленников.
Технические детали NOVA:
https://bi.zone/expertise/blog/nova-khorosho-zabytoe-staroe/

🦔@ThreatHuntingFather

13.02.202510:12

RansomHub Never Sleeps Episode 1: The evolution of modern ransomware👽

В свежем отчете от Group-IB, показана интересная цепочка Ransomware-as-a-Service (RaaS).

В цепочке все началось с эксплуатации CVE-2024-3400 и брутфорса VPN. Далее атакующие подключаются по сбрученной УЗ и используют SMBexec с дальнейшим реконом внутренней сети.
Атаки на домен в том числе Zerologon, а потом продвижение по RDP и получение других учетных записей.
После закрепления в сети загрузка инструмента FilleZilla и распространение через доступные шары для дальнейшей эксфильтрации данных.
Вишенка на торте это отключение бэкапов, подгрузка PCHunter для отключения EDR и ключевой момент запуск Ransomware, который вырубает сервисы виртуализации, удаляет shadowcopy и системные ивенты. Создает записку от Ransomware. BOOM🔥

Key discoveries in the blog
- RansomHub’s operators strategically advertised the group’s partnership program on RAMP forum on February 2, 2024.
- RansomHub’s operators took advantage of the impact of law enforcement operations on LockBit and ALPHV to release a partnership program and recruit affiliates of these groups.
- The threat actors likely acquired the ransomware and web application source code from the Knight (aka Cyclops) group.
- The ransomware works on different operating systems and architectures including x86, x64 and ARM as well as Windows, ESXi, Linux and FreeBSD.
- The group started to use PCHunter to stop and bypass endpoint security solutions.
- RansomHub used Filezilla as an exfiltration tool.
- RansomHub’s affiliates have disclosed around 44 healthcare companies including hospitals and clinics.
- Affiliates may eventually threaten and report cyber incidents to regulators such as PDPL (Personal Data Protection Law).

В целом довольно шумно перемещались, с должным детектированием, многие этапы могут быть обнаружены и заблочены, let’s hunt🔦

📎https://www.group-ib.com/blog/ransomhub-never-sleeps-episode-1/

🦔@ThreatHuntingFather

13.02.202507:24

Телеметрия и EDR для Linux🖥

Иногда для построения детектирования в Linux, нужно понимать всю картину о том сколько телеметрии есть и чем её можно записать.

В проекте EDR Telemetry активно развивается ветка по Linux и даже уже описаны часть вендоров, такие как:Carbon Black Cloud, CrowdStrike, ESET Inspect, Elastic, SentinelOne, LimaCharlie, Qualys, MDE, Uptycs.
В таблице наглядно видно кто и что умеет логировать, хотя для усиления логов Linux никто не отменял парсеры SIEM🖥

Полезная штука:
https://www.edr-telemetry.com/linux.html

🦔@ThreatHuntingFather

11.02.202506:56

Weaponizing Remote Access Software for C2 communication 👾

Analyst:

Hmm, powershell started🤔
O’h that’s have obfuscation base64, notepad please decode. O’h invoke-web request 🤓

Наглядный пример, того как могут подкинуть софт для удаленного подключения, ну и сам пример того как детектировать:

✉️https://t.me/s0ld13r_ch/85

🦔@ThreatHuntingFather

10.02.202512:15

The 10 Most Prevalent MITRE ATT&CK Techniques 💻 🔺
Red Report 2025 by Picus

T1055 – Process Injection: Injecting malicious code into legitimate processes to evade detection.
T1059 – Command and Scripting Interpreter: Using tools like PowerShell to automate attack operations.
T1555 – Credentials from Password Stores: Stealing credentials from password managers and browsers.
T1071 – Application Layer Protocol: Using encrypted communication to bypass security controls.
T1562 – Impair Defenses: Disabling security tools to avoid detection.
T1486 – Data Encrypted for Impact: Encrypting data for ransomware or extortion purposes.
T1082 – System Information Discovery: Gathering intelligence on the target system.
T1056 – Input Capture: Deploying keyloggers and other input monitoring techniques.
T1547 – Boot or Logon Autostart Execution: Ensuring malware persistence through system reboots.
T1005 – Data from Local System: Stealing sensitive data directly from infected machines.

Infostealer threats surged 3X as attackers used SneakThief to execute stealthy Perfect Heist scenarios, infiltrating and exploiting critical systems.

The report makes it clear that responding to these evolving threats requires a shift from reactive to proactive security strategies. Key recommendations for security teams include:
- Continuous Security Validation: Regularly testing and updating security controls to ensure effectiveness against emerging attack techniques.
- Behavioral Analytics: Moving beyond signature-based defenses and focusing on suspicious behavioral patterns.
- Adaptive Threat Hunting: Proactively searching for threats before they escalate into full-blown incidents.
- Enhanced Credential Protection: Implementing stronger security measures for credential storage, including multi-factor authentication (MFA), privileged access management (PAM), and regular privilege audits.
- Encrypted Traffic Inspection: Investing in decryption and advanced traffic analysis solutions to detect hidden malicious communications.

📎https://www.picussecurity.com/red-report ⬇️

🦔@ThreatHuntingFather

10.02.202504:40

Полезные ресурсы для Threat Hunting 😎

Иногда во время ханта приходится разбираться, что за файл или процесс перед вами. Для валидации и понимания, не ошиблись ли вы, можно проверить информацию по следующим ссылкам:

Каталоги EXE и DLL:
- [ExeDB](https://www.exedb.com/)
- [ExeFiles (EXE)](https://www.exefiles.com/en/extensions/exe/all-files/)
- [ExeFiles (DLL)](https://www.exefiles.com/en/extensions/dll/all-files/)
- [WinPCWare (EXE, DLL, OCX)](https://www.winpcware.com/files)

🔍 Анализ процессов и файлов:
- [File.net Process Library](https://www.file.net/process/)
- [SystemExplorer](https://systemexplorer.net/)
- [ProcessChecker](https://www.processchecker.com/file.php)
- [Neuber Task Manager](https://www.neuber.com/taskmanager/process/)
- [FileCheck.ru](https://www.filecheck.ru/process/_a.html)

📂 Библиотеки DLL и OCX:
- [WikiDLL](https://wikidll.com/)
- [OCXDump](https://www.ocxdump.com/ocx-files/A_1.html)
- [DLL-Hub](https://dll-hub.com/)

Не забывайте также пользоваться библиотекой Living Off The Land Binaries, Scripts, and Libraries (LOLBAS) во время ханта!

🦔@ThreatHuntingFather

09.02.202504:33

SiphonDNS: covert data exfiltration via DNS 🔍

When you end up in a more strictly controlled environment, HTTP and DNS are likely the only protocols allowed to go outside. Furthermore, you can bet on both being proxied and highly monitored. This time, I’ll focus on some opportunities to hide traffic within DNS that does not trigger traditional subdomain-based anomaly detection.

🔗https://ttp.report/evasion/2025/02/03/siphondns-covert-dns-exfiltration.html

🦔@ThreatHuntingFather

08.02.202509:53

Unveiling Silent Lynx APT Targeting Entities Across Kyrgyzstan & Neighbouring Nations ✔️

Silent Lynx’s campaigns demonstrate a sophisticated multi-stage attack strategy using ISO files, C++ loaders, PowerShell scripts, and Golang implants. Their reliance on Telegram bots for command and control, combined with decoy documents and regional targeting which also highlights their focus on espionage in Central Asia and SPECA based nations. Silent Lynx also overlaps with YoroTrooper which shows resource sharing, reinforcing their attribution as a Kazakhstan-based threat group.

Tracking of

Silent Lynx

, discovered notable similarities and overlaps with a Kazakhstan-based threat actor/group known

as

YoroTrooper

,

as identified by Cisco Talos.

Key Overlaps Between Silent Lynx and YoroTrooper
Tooling Arsenal

:
Researchers at Cisco Talos observed that YoroTrooper frequently modifies and switches its toolset, creating a pseudo-anti-detection mechanism. Recent YoroTrooper operations have relied heavily on PowerShell-based tools. Similarly, Silent Lynx has demonstrated significant reliance on PowerShell tooling, with code overlaps observed between the two groups.

Motivation

:
Both Silent Lynx and YoroTrooper share similar motivations, primarily engaging in espionage targeting government entities in Kyrgyzstan and its neighboring nations.
Beyond these examples, additional strong similarities reinforce the connection between these two threat groups. With a

medium level of confidence

, attribute Silent Lynx as a Kazakhstan-origin threat actor that likely shares resources with YoroTrooper, positioning it as a Kazakhstan-oriented threat.

🔗 https://www.seqrite.com/blog/silent-lynx-apt-targeting-central-asian-entities/

🦔@ThreatHuntingFather

08.02.202504:45

Исследование ландшафта киберугроз Threat Zone 2025

Большой отчет от BI Zone, есть что почитать на выходные📝

🔗 https://bi.zone/expertise/research/threat-zone-2025/

🦔@ThreatHuntingFather

07.02.202517:06

Сode injection attacks using publicly disclosed ASP.NET machine keys 📷

In December 2024, Microsoft Threat Intelligence observed limited activity by an unattributed threat actor using a publicly available, static ASP.NET machine key to inject malicious code and deliver the Godzilla post-exploitation framework. In the course of investigating, remediating, and building protections against this activity, we observed an insecure practice whereby developers have incorporated various publicly disclosed ASP.NET machine keys from publicly accessible resources, such as code documentation and repositories, which threat actors have used to perform malicious actions on target servers

What need to do?
- Take this, and run test 🐱
- Hunt, huuuunt!🔥
Best practices for securing machine keys and web servers:
- Follow secure DevOps standards and securely generate machine keys. Avoid using default keys or keys listed in public resources.
- At deployment, encrypt sensitive information like the machineKey and connectionStrings elements in web.config. This prevents these secrets from ever existing in plaintext on the file system, inhibiting an attacker’s ability to read these secrets at all.
- Upgrade your application to use
ASP.NET 4.8 to enable Antimalware Scan Interface (AMSI) capabilities.
- Harden Windows Servers instances by using attack surface reduction rules such as Block Webshell creation for Servers. Attack surface reduction rules are sweeping settings that are effective at stopping entire classes of threats.

📎https://www.microsoft.com/en-us/security/blog/2025/02/06/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys/

🦔@ThreatHuntingFather

Всі дописи

Рекламувався0 секунд

0

07.02.202512:53SecuriXy.kz

5.3K

Рекламувався1 година

0

09.01.202506:31SecuriXy.kz

5.3K

Детальніше

Рекорди

20.02.202523:59

516

Підписників

15.01.202523:59

100

Індекс цитування

15.02.202515:32

1.2K

Охоплення 1 допису

15.02.202515:32

1.2K

Охоп рекл. допису

02.02.202510:18

15.79%

15.02.202523:59

235.73%

ERR

Розвиток

Детальніше

Підписників

Індекс цитування

Охоплення 1 допису

Охоп рекл. допису

ERR

Детальніше

Популярні публікації Threat Hunting Father

Всі дописи

14.02.202508:16

Living off the False Positive — Список ложных положительных результатов, исходящих из популярных наборов правил.
Living Off The Land Drivers — Список драйверов Windows, используемых для обхода безопасности.
GTFOBins — Список Unix-бинарников для обхода локальных ограничений безопасности.
LOLBAS Project — Документация по бинарникам и скриптам, используемым для техник "Living Off The Land".
LOTS Project — Сайты, используемые для фишинга и скрытных атак.
FileSec — Расширения файлов, используемые злоумышленниками.
MalAPI.io — Маппинг Windows API к техникам, используемым в вредоносных программах.
Hijacklibs — Список кандидатов для DLL hijacking.
WADComs — Чек-лист с инструментами безопасности для Windows/AD.
Living Off the Orchard — Информация о встроенных macOS бинарниках, используемых в атаках.
LOLApps Project — Приложения, злоупотребляемые для атак.
Bootloaders.io — Список вредоносных загрузчиков для различных ОС.
BYOL — Использование легитимных доменов для атак.
Living Off The Hardware — Ресурсы по использованию вредоносного аппаратного обеспечения.
WTFBin — Бинарник, который ведет себя как вредоносное ПО, но не является им.
LOFL Project — Cmdlets и бинарники для атак с локальной системы на удалённую.
Persistence Info — Механизмы персистентности в Windows.
LOLCerts — Сбор данных о сертификатах, используемых для подписания вредоносного ПО.
LOTp — Инструменты разработчиков с уязвимыми функциями для удалённого выполнения кода.
LOLBin CTI-Driven — Анализ использования LOLBin в атаках.
LOLESXi — Список бинарников и скриптов для VMware ESXi, используемых злоумышленниками.
LOL RMM — Список инструментов удалённого мониторинга, которые могут быть использованы для атак.
LOT Webhooks — Сайт с информацией о вебхуках, использующихся для эксфильтрации данных.
Project Lost — Сборник инструментов безопасности, используемых для обхода защиты.
LOTTunnels — Документация о цифровых туннелях, используемых для эксфильтрации данных.
LOLAD Project — Коллекция техник для работы с Active Directory.
LOL C2 — Сборник C2 фреймворков, использующих легитимные сервисы для уклонения от детекта.

Вся коллекция доступна по ссылке:
⬇️ https://lolol.farm/

🦔@ThreatHuntingFather

20.02.202517:16

10.02.202504:40

Переслав з:

Сертификат безопасности

31.01.202515:36

Если посмотреть в VirusTotal Premium 💎👑 на хэшики из публикации Sekoia про атаку на МИД, то можно увидеть, что вредоносные документы были загружены из Казахстана. 👀 Очевидно, что ИБ-компании создают ханты и Yara правила на сэмплы на сервисе VT, поэтому обнаружение нового кластера APT28 🥸 стало делом времени. Прискорбным фактом тут является то, что мы сами сливаем данные в облака, а потом видим хайповые публикации с политическим подтекстом. 📣

Всё это повышает актуальность создания собственных средств, инструментов и сервисов для кибербезопасности. 🔼 Примером такого сервиса является malware.kz. По правде говоря, он создан "на коленке", и еле дышит. 📎 Но, я и не задавался целью создать замену VirusTotal, для одиночки это не под силу - слишком много ресурсов требуется. Этот проект - лишь отработка концепции такого сервиса, задел на будущее, так сказать. 🔜

Но отойдем от философских размышлений. ✨ Вернул на malware.kz проверку загружаемые файлов при помощи ClamAV и дополнил его сканированием по Yara-правилам. Это позволит пользователю хоть как-то идентифицировать и классификацировать малварь. 🎮 Кстати, Yara правила взял с проекта Yara Forge - в этом проекте собраны правила из популярных фидов. Всё в одном файле и сразу готово к интеграции - бери и пользуйся. ⚙️🛡

Переслав з:

SecuriXy.kz

03.02.202509:18

🚨 Active Directory Privilege Escalation (CVE-2025-21293) - CVSS 8.8

🔍 Критическая уязвимость в службах Active Directory Domain Services, позволяет злоумышленникам с низкими привилегиями получить административный доступ к домену, что ставит под угрозу безопасность всей инфраструктуры.

Группа “Network Configuration Operators” имеет право CreateSubKey в реестре Windows для служб DnsCache и NetBT. Это позволяет создавать подпараметры в реестре этих служб. Используя эту возможность, злоумышленник может зарегистрировать собственные счетчики производительности (Performance Counters), что в конечном итоге позволяет выполнить произвольный код с привилегиями системы (NT\SYSTEM).

🛡 Рекомендации: Для защиты от этой уязвимости рекомендуется ограничить права группы “Network Configuration Operators” и установить соответствующие обновления безопасности от Microsoft.

PoC: https://birkep.github.io/posts/Windows-LPE/

13.02.202507:24

02.02.202507:53

Living Off The Tunnels 🖥

Living Off The Tunnels a.k.a LOTTunnels Project is community driven project to document digital tunnels that can be abused by threat actors as well by insiders for data exfiltrations, persistence, shell access etc.

🔠https://lottunnels.github.io/

🦔@ThreatHuntingFather

02.02.202504:27

It’s a good if you have strong CISO

🦔@ThreatHuntingFather

Переслав з:

SecuriXy.kz

28.01.202508:02

Набор простеньких корреляционных правил детекта Kusto (KQL) для продуктов Microsoft (Azure, Defender XDR (Defender 365), Microsoft Sentinel) мб кому пригодятся.

Как пример, нашумевший Zero Click RCE для MS Outlook и другие правила в постоянно пополняемом репозитории.

https://github.com/SlimKQL/Hunting-Queries-Detection-Rules/blob/main/DefenderXDR/CVE-2025-21298%20Zero-Click%20RCE.kql

По указанной выше уязвимости уже выявлены активные C2 (IoC ниже)


IP: 185.199.109.133

MD5: 9d68678aeee52684bbe3c983222b1da3

04.02.202513:21

Одна групповая политика, чтоб править всеми 💻♥️

Если атакующие настолько глубоко в твоей сети, что уже даже политиками домена настроили автоматизацию, то ты их наверное не выкуришь 💊

А если хочешь научиться искать? Учись у ребят из Kaspersky. В этот раз про то как отслеживать изменения GPO👀
Они даже написали инструмент, который конектится к LDAP ⚙️ https://github.com/gam4er/GetChanges

Наиболее распространенным сценарием злоупотребления политиками является запуск шифровальщика на множестве хостов. Однако также групповые политики могут использоваться для скрытого закрепления в домене. В этом случае атакующие могут делать практически все, что пожелают, например:

• создавать новых локальных пользователей/администраторов;
• создавать вредоносные задачи в планировщике;
• создавать различные сервисы;
• запускать задачи от имени системы и/или пользователя;
• менять конфигурацию реестра и делать многое другое.

Я бы добавил что могут делать полнейшую автоматизацию, что даже себе представить не сможете 🤣

Подробнее тут🔗https://securelist.ru/group-policies-in-cyberattacks/111586/

🦔@ThreatHuntingFather

06.02.202511:18

🦔

08.02.202509:53

Unveiling Silent Lynx APT Targeting Entities Across Kyrgyzstan & Neighbouring Nations ✔️

Silent Lynx’s campaigns demonstrate a sophisticated multi-stage attack strategy using ISO files, C++ loaders, PowerShell scripts, and Golang implants. Their reliance on Telegram bots for command and control, combined with decoy documents and regional targeting which also highlights their focus on espionage in Central Asia and SPECA based nations. Silent Lynx also overlaps with YoroTrooper which shows resource sharing, reinforcing their attribution as a Kazakhstan-based threat group.

Tracking of

Silent Lynx

, discovered notable similarities and overlaps with a Kazakhstan-based threat actor/group known

as

YoroTrooper

,

as identified by Cisco Talos.

Key Overlaps Between Silent Lynx and YoroTrooper
Tooling Arsenal

:
Researchers at Cisco Talos observed that YoroTrooper frequently modifies and switches its toolset, creating a pseudo-anti-detection mechanism. Recent YoroTrooper operations have relied heavily on PowerShell-based tools. Similarly, Silent Lynx has demonstrated significant reliance on PowerShell tooling, with code overlaps observed between the two groups.

Motivation

:
Both Silent Lynx and YoroTrooper share similar motivations, primarily engaging in espionage targeting government entities in Kyrgyzstan and its neighboring nations.
Beyond these examples, additional strong similarities reinforce the connection between these two threat groups. With a

medium level of confidence

, attribute Silent Lynx as a Kazakhstan-origin threat actor that likely shares resources with YoroTrooper, positioning it as a Kazakhstan-oriented threat.

🔗 https://www.seqrite.com/blog/silent-lynx-apt-targeting-central-asian-entities/

🦔@ThreatHuntingFather

14.02.202508:48

Living of the Land collection C2 ✔️

Что это:

LOLC2 collection of C2 frameworks that leverage legitimate services to evade detection

Среди которых есть С2:

Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀 и другие.

Detect😜:

•пишем правила и фильтруем соединения господа
•поведенческий анализ
• Yara
• мониторинг процессов и обращений к API

🔗https://lolc2.github.io/

🦔@ThreatHuntingFather

29.01.202505:00

Process Hollowing on Windows 11 24H2

Process Hollowing 📅 — это техника внедрения кода, при которой злоумышленник создает легитимный процесс в приостановленном состоянии, заменяет его содержимое на вредоносный код и затем возобновляет выполнение процесса. Это позволяет маскировать вредоносную активность под вид безобидного процесса, обходя системы обнаружения угроз.

Основные этапы Process Hollowing:
• Создание приостановленного процесса: С помощью функции CreateProcess создается новый процесс с флагом CREATE_SUSPENDED, что приводит к его запуску в приостановленном состоянии.
• Удаление оригинального содержимого: Используя функции ZwUnmapViewOfSection или NtUnmapViewOfSection, из памяти процесса удаляется оригинальный исполняемый код.
• Внедрение вредоносного кода: В освобожденную память с помощью VirtualAllocEx выделяется новый участок, куда затем записывается вредоносный код с использованием WriteProcessMemory.
• Изменение контекста потока: С помощью SetThreadContext изменяется точка входа процесса, указывая на внедренный вредоносный код.
• Возобновление процесса: Процесс возобновляется с помощью ResumeThread, после чего начинает выполняться уже вредоносный код под видом легитимного процесса.

Другие статьи:⤵️
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
> Process Herpaderping
> Process Doppelganging
> Process Ghosting
> Herpaderply Hollowing
> Transacted Hollowing
> Process Overwriting

🦔@ThreatHuntingFather

09.02.202504:33

SiphonDNS: covert data exfiltration via DNS 🔍

When you end up in a more strictly controlled environment, HTTP and DNS are likely the only protocols allowed to go outside. Furthermore, you can bet on both being proxied and highly monitored. This time, I’ll focus on some opportunities to hide traffic within DNS that does not trigger traditional subdomain-based anomaly detection.

🔗https://ttp.report/evasion/2025/02/03/siphondns-covert-dns-exfiltration.html

🦔@ThreatHuntingFather

Увійдіть, щоб розблокувати більше функціональності.