اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 013
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-57 روز
-930 روز
آرشیو پست ها
2 013
Repost from ESCalator
Эволюция инструментов Dark Caracal 🐱
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.
Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.
🤨 Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.
Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте 👽
#TI #APT #malware
@ptescalator
2 013
Repost from purple shift
Летом наши эксперты расследовали целый ряд атак, основанных на эксплуатации уязвимости CVE-2023-48788 в продуктах FortiClient EMS. Попробуем разобраться, как ловить подобные атаки по пост-активностям на хосте.
Суть атаки сводится к эксплуатации SQL-инъекции в контексте Microsoft SQL Server. Таким образом атакующий может применить любой удобный способ для выполнения команд ОС из запросов SQL, с последующей загрузкой своего вредоносного ПО. Одним из наиболее частых примеров является использование хранимой процедуры xp_cmdshell.
На что смотреть защитникам:
1) Включение xp_cmdshell. EventID 15457. Обязательно к включению. Везде.
2) Application лог MSSQL с EventID 15281 с фильтром на компонент xp_cmdshell. Там будут заблокированные попытки использования еще выключенного xp_cmdshell.
3) Смотреть в старты необычных процессов от MSSQL: cmd, powershell, lolbins, ... И конечно, поведение дочерних объектов, инициирующих внешние коммуникации. Такие активности на практике отлавливаются довольно часто, это могут быть:
3.1) дискавери (whoami, tasklist, net)
3.2) закрепление (schtasks)
3.3) дженерик-тактики с использованием cmd и powershell.
4) Ну и в целом, рекомендуем настроить ваши аудиты MSSQL на детектирование подозрительных активностей.
2 013
Repost from Caster
2 013
Repost from s0ld13r ch.
Появился POC на свежую уязвимость CVE-2025-21333 💀
Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege - локальный юзер может повысить привилегии до SYSTEM на хосте с активным Hyper-V 🔥
🔗 Repo: https://github.com/MrAle98/CVE-2025-21333-POC
P.S PoC не проверял
@s0ld13r_ch
2 013
Bear C2 - это компиляция скриптов, полезной нагрузки и этапов C2, используемых в моделируемых атаках российскими APT-группами. Bear использует различные методы шифрования, включая AES, XOR, DES, TLS, RC4, RSA и ChaCha для обеспечения безопасной связи между полезной нагрузкой и компьютером оператора.
🔗Ссылка:
https://github.com/S3N4T0R-0X0/BEAR
2 013
Repost from Кибер ПТУ | Кибербезопасность
Визуал – наше всё
Полезная нейронка для визуализации чего-угодно. Очень круто выстраивает связи и визуально структурирует любую текстовую информацию, которую в нее загружаешь. Умеет пережевывать разные форматы – хоть презентации в PowerPoint, хоть ГуглДоксы, хоть странички из Ноушена.
Очень полезно для того, чтобы разложить по полочкам большие объемы информации, когда что-то изучаешь или разбираешь новую тему например.
А вот и сервис – ссылка
🧠 Твой Пакет Знаний | 🛍 Другие каналы
