Fsecurity | HH

Новая кампания PhaseShifters 👽 В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года. Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга. В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу. Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска. Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением .adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командой

cmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k

После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему. Для маскировки атакующий процесс создает экземпляр RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT. При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений. Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены thelightpower.info и crostech.ru. При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich). IoCs:

2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a

Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z

193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru

#TI #APT #Phishing @ptescalator

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Всем привет! После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂 В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата. Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году. 💥Таким образом XSS: ✅ Распространенная уязвимость ✅ Дает серьезный импакт в определенных условиях ✅ Автоматизация поиска и эксплуатации ❓Как искать? ✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью: 🔧 Paramspider - использует web.archive.org для поиска url доменов из списка paramspider -l targets.txt 🔧 Gospider - довольно быстрый веб краулер на Go gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \ --blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \ -q | tee gospider-out.txt ✅ Объединяем и сортируем выхлопы в один файлик: cd paramspider/output cat *.txt > paramspider_out.txt cat paramspider_out.txt | sort -u | tee tragets_url.txt ✅ Определяем живые хосты с помощью httpx httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt ✅ Сортируем выхлоп по расширениям: cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt cat live_tragets_url.txt | grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt ✅ Ищем отраженные параметры с помощью: 🔧 Dalfox dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt ✅ Определяем отраженный контекст: 🔖 Reflected Between HTML Tags <p>"><zxcvbro>Bro</p> 🔧 Используем полезную нагрузку: <img src=x onerror=prompt(1)> <details open ontoggle=prompt(origin)> <svg onload=confirm(1)> 🔐 Reflected Inside HTML Tag Attributes <input value="><zxcvbro>Bro"> 🔧 Используем полезную нагрузку: " autofocus onfocus=alert(document.domain) x=" "><script>alert(1)</script> 📜 Reflected Inside JavaScript <script> var input = '"><zxcvbro>Bro'; </script> 🔧 Используем полезную нагрузку: ';alert(1)// '-alert(1)-' </script><img src=1 onerror=alert(1)> ✅ Сдаем багу ✅ Вы великолепны💸

⚙️ BadSuccessor Очень подробный research #poc #windows #badsuccessor ✈️ Whitehat Lab 💬 Chat

🔗Ссылка: https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics

🔗Ссылка: https://habr.com/ru/articles/913764/

🔗Ссылка: https://habr.com/ru/companies/securityvison/articles/913832/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/913386/

🔗Ссылка: https://securelist.ru/purerat-attacks-russian-organizations/112619/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/913546/

💻 PurpleSharp v1.3 Интересный инструмент для моделирования различных типов атак, с целью создания телеметрии в контролируемых средах 💻 Windows ❗️ 47 уникальных атак 💻 Home 💻 AD Purple Team Playbook #purpleteam #csharp #soft ✈️ Whitehat Lab 💬 Chat

dMSASync.py P.S. I hope the last one (by @snovvcrash)

AdaptixC2 v0.5 is out https://github.com/Adaptix-Framework/AdaptixC2 * Windows "gopher" agent * Fast socks5 tunnels via "gopher" agent * New Remote Terminal * New Client side tunnels More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.4-greater-than-v0.5

🔗Ссылка: https://opennet.ru/63322/

🔗Ссылка: https://www.securitylab.ru/news/559819.php

🔗Ссылка: https://www.securitylab.ru/news/559694.php?r=1

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/559808.php?r=1

🔄😉 BloodHound CE v7.3.1 Обновление инструмента для выявления связей и построения графов в 💻 Active Directory. Достаточно учетной записи доменного пользователя. Отличный инструмент при пентесте 💻 AD среды. Для сбора информации используются коллекторы bloodhound-ce или SharpHound Bonus: BadSuccessor query - dMSA (delegated Managed Service Account) в Windows Server 2025

MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectsid ENDS WITH '-516' WITH COLLECT(c1.name) AS dcs MATCH (c2:Computer) WHERE c2.enabled = true AND (c2.operatingsystem contains '2025') AND (c2.name IN dcs) RETURN c2.name

Установка:

curl -L https://ghst.ly/getbhce | docker compose -f - up

http://localhost:8080/ui/login

Логин admin и сгенерированный пароль Для обновления переходим в директорию с docker-compose.yml и запускаем:

docker compose pull && docker compose up

Сбор информации:

python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp

Neo4j запросы:

# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description

# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p

# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c

# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p

Подробный гайд: ➡️ The Ultimate Guide BHCE ➡️ Адаптация на русском ADCS атаки: ➡️ Part 1 ➡️ Part 2 ➡️ Part 3 Ссылки: 💻 Home 💻 Download ➡️ Docs P.S. Сам таки полностью перешел на CE версию и legacy использовать больше желания нет 👍😅 #bloodhound #pentest #active_directory #soft #bhce ✈️ Whitehat Lab 💬 Chat