Fsecurity | HH

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/1028498/

🪷 Lotus Wiper: уничтожение данных в атаке на энергетику Исследователи Kaspersky GReAT описали новый вайпер, обнаруженный в цепочке атаки на энергетический сектор Венесуэлы. ⚙️ OhSyncNow.bat создаёт рабочую директорию в C:\lotus, отключает сервис UI0Detect и ожидает XML-триггер OHSync.xml в сетевой папке NETLOGON. Это сигнал одновременного запуска на всех машинах домена. Интересненькие команды:

net user <имя> <случайный_пароль> /times:friday,01:00-02:00 /active:no reg add "HKLM\...\Winlogon" /v CachedLogonsCount /t REG_SZ /d 0 /f logoff <session_id> netsh interface set interface "<имя>" DISABLE (echo select volume=C & echo clean all) | diskpart robocopy <пустая_папка> <цель> /MIR /B /r:0 /w:0 fsutil file createnew <путь> <размер_в_байтах>

Финальный payload маскируется под компоненты HCL Domino: nstats.exe, nevent.exe, ndesign.exe. Файл nevent.exe хранит XOR-зашифрованный вайпер, nstats.exe его расшифровывает, результат сохраняется в ndesign.exe - это и есть Lotus Wiper. Работа вайпера: - удаляет все точки восстановления через SRRemoveRestorePoint - перезаписывает нулями каждый сектор физических дисков через DeviceIoControl - очищает USN-журналы томов - затирает файлы через FSCTL_SET_ZERO_DATA, переименовывает в случайный hex и удаляет через DeleteFileW / MoveFileExW 📌 Детекты: HEUR:Trojan.BAT.LotusWiper.gen, HEUR:Trojan.Win32.LotusWiper.gen 🔗 securelist.com/tr/lotus-wiper/119472 🦔THF

🔗Ссылка: https://www.securitylab.ru/news/572070.php

🔗Ссылка: https://habr.com/ru/companies/yandex/articles/1027946/

🔗Ссылка: https://habr.com/ru/companies/yandex/articles/1027946/

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/1027132/

🔗Ссылка: https://blog.starstrike.ai/posts/achieving-deterministic-prompt-injection-through-client-side-feedback-loops/

🔗Ссылка: https://specterops.io/blog/2026/04/13/bloodhound-9-0-product-updates/

Всем хак 👋 Хочу поделиться подкастом с нашим участником Astral, сделанным также нашим участником сервера Fsecurity — Ph0en1x Приятного просмотра 🍿 🔗 Ссылка: https://youtu.be/N370AZVt7nc

PhantomRPC: A new privilege escalation technique in Windows RPC If you have a service like RDP that exposes an RPC server, there many system services running as SYSTEM connect to it as RPC clients. If that service is turned off (RDP is off by default), it seems that any other process in Windows can expose the same RPC server using the same endpoint. Now all the RPC calls from that SYSTEM processes will come to this fake server and If the process that deployed the server has SeImpersonatePrivilege, it can escalate to SYSTEM by impersonate the RPC client. In the white paper below, I describe five exploit paths you can abuse. PhantomRPC (LPE 0-day) A research repository where you can find all the resources for PhantomRPC research that allows local privilege escalation.

🔗Ссылка: https://bi.zone/expertise/active-directory-certificate-services/

🔗Ссылка: https://habr.com/ru/articles/1026862/

🔗 Ссылка: https://habr.com/ru/articles/1026860/

🔗Ссылка: https://habr.com/ru/companies/rvision/articles/1026640/

🔗Ссылка: https://github.security.telekom.com/2026/04/pack2theroot-linux-local-privilege-escalation.html

🔗Ссылка: https://jonny-johnson.medium.com/no-agent-no-problem-discovering-remote-edr-8ca60596559f

🔗Ссылка: https://github.com/Octoberfest7/DSCourier_BOF

🔗Ссылка: https://codeby.net/threads/threat-hunting-ransomware-obnaruzheniye-pre-ransomware-aktivnosti-v-korporativnoi-seti-cherez-siem-pravila-i-ioc.92595/

🔗Ссылка: https://github.com/Logisek/EvilMist