Fsecurity | HH

Революция в кибератаках: хакеры используют AI для внедрения вредоносов в DNS Исследователи DomainTools обнаружили принципиально новый метод кибератак, при котором злоумышленники используют искусственный интеллект для внедрения вредоносного кода непосредственно в систему доменных имён. Этот подход позволяет обходить современные системы защиты и создает невидимую инфраструктуру для доставки малвари. ➡️Как работает атака Методика основана на фрагментации исполняемых файлов и их сокрытии в DNS TXT записях: 1. Разбиение файла: Вредоносный .exe файл разбивается на сотни мелких фрагментов 2. Энкодинг: Каждый фрагмент кодируется в шестнадцатеричном формате 3. Распределение: Фрагменты размещаются в TXT записях отдельных субдоменов 4. Нумерация: Используются целочисленные значения субдоменов для отслеживания последовательности ➡️Пример структуры:

1.felix.stf.whitetreecollective.com TXT "4d5a90000300000004000000ffff0000..."
2.felix.stf.whitetreecollective.com TXT "b800000000000000400000000000000..."
...
500.felix.stf.whitetreecollective.com TXT "..."

❓Роль искусственного интеллекта AI используется для автоматизации процесса сборки: • Генерация скриптов для извлечения фрагментов из DNS • Автоматическая сборка файла в правильной последовательности • Адаптация под различные DNS-конфигурации • Обход детекции через вариативность запросов 🪲Реальные примеры DomainTools обнаружили активное использование этой техники: ▪️Случай 1: Joke Screenmate малварь • Домены: felix.stf.whitetreecollective.com и аналогичные • SHA256 хеши: 7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866 • Сотни субдоменов с фрагментами исполняемого файла ▪️Случай 2: Covenant C2 стейджер • Домен: drsmitty.com • PowerShell скрипт в TXT записи субдомена 15392.484f5fa5d2.dnsm.in • Подключение к C2 серверу cspg.pw через эндпоинт /api/v1/nps/payload/stage1 ➡️Технические преимущества атаки 1. Обход фильтрации: DNS-трафик редко подвергается глубокому анализу 2. Стойкость: Файлы персистентны до удаления DNS записей 3. Скрытность: Маскировка под легитимный DNS-трафик 4. Масштабируемость: Возможность хранения больших файлов через фрагментацию ➡️Обнаружение атак Исследователи использовали regex-паттерны для поиска magic bytes исполняемых файлов:

^"((ffd8ffe[0-9a-f].{12,})|(89504e47.{12,})|(47494638[79]61.{8,})|(255044462d.{10,})|(504b0304.{12,})|(4d5a.{16,59}|4d5a.{61,})|(7f454c46.{12,})|(c[ef]faedfe.{12,})|(1f8b08.{14,})|(377abcaf271c.{8,})|(526172211a07.{8,}))

Этот паттерн ищет заголовки различных типов файлов в шестнадцатеричном формате в начале TXT записей. ❗️ Защитные меры 1. Мониторинг DNS: • Анализ аномально длинных TXT записей • Поиск паттернов шестнадцатеричного кодирования • Отслеживание массовых запросов к субдоменам 2. Поведенческий анализ: • Мониторинг последовательных DNS-запросов к нумерованным субдоменам • Анализ размеров и структуры TXT записей • Корреляция DNS-активности с исполнением процессов 3. Технические решения: • Внедрение DNS Security Extensions (DNSSEC) • Фильтрация подозрительных TXT записей • Ограничение размеров TXT записей ➡️Значение для индустрии Эта техника представляет серьёзный вызов для традиционных систем безопасности: • DNS-инфраструктура становится новым вектором атак • AI позволяет автоматизировать сложные многоэтапные атаки • Необходимость пересмотра подходов к мониторингу DNS-трафика • Важность анализа не только сетевого трафика, но и DNS-записей Метод уже активно эксплуатируется в дикой природе с 2021-2022 годов, что говорит о его эффективности и стойкости к обнаружению. 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Another quick and dirty Linux hunt for Velociraptor. 🔍 LD_PRELOAD is well known technique to hijack execution flow and inject malicious code into every dynamically linked process. ATT&CK - https://attack.mitre.org/techniques/T1574/006/ 1. Parses /etc/ld.so.preload 2. Parses all /proc/<pid>/environ for any LD_PRELOAD= entries 🦖Linux.Persistence.LdPreload - https://docs.velociraptor.app/exchange/artifacts/pages/ldpreload/ 🦔THF

🔗Ссылка: https://slcyber.io/assetnote-security-research-center/a-novel-technique-for-sql-injection-in-pdos-prepared-statements/

🔗Ссылка: https://www.securitylab.ru/news/561647.php

🔗Ссылка: https://habr.com/ru/articles/928026/

🔗Ссылка: https://opennet.ru/63615/

🔗Ссылка: https://www.infosecurity-magazine.com/news/suspected-xss-forum-admin-arrested/

🔗Ссылка: https://matheuzsecurity.github.io/hacking/linux-threat-hunting-persistence/

F6 - Phobos ransomware decryptor https://github.com/f6-dfir/Ransomware/tree/main/Phobos/PhobosDecryptor

🔗Ссылка: https://opennet.ru/63613/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/561572.php

@undefi реализовал поддержку BOF в агенте gopher для Windows. Теперь в gopher'e будут работать все расширения Extension-Kit

🔗Ссылка: https://habr.com/ru/articles/924206/

🔗Ссылка: https://habr.com/ru/articles/929168/

🖼️ SharePoint RCE — ToolShell (CVE‑2025‑53770) Critical deserialization of untrusted data vulnerability in Microsoft SharePoint allows unauthenticated remote code execution over the network. The exploit uses POST requests to /_layouts/15/ToolPane.aspx with HTTP Referer header /_layouts/SignOut.aspx to bypass authentication, then extracts MachineKey configuration to generate valid __VIEWSTATE payloads for arbitrary code execution via a single HTTP request. 🔗 Research: https://research.eye.security/sharepoint-under-siege/ 🔗 PoC: https://gist.github.com/gboddin/6374c04f84b58cef050f5f4ecf43d501 #ad #sharepoint #deserialization #toolshell #rce

🔗Ссылка: https://securelist.ru/apt41-in-africa/113056/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/923342/