uk
Feedback
APT

APT

Відкрити в Telegram

This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat

Показати більше
Росія45 663Технології та додатки8 841

📈 Аналітичний огляд Telegram-каналу APT

Канал APT (@apt_notes) у мовному сегменті Англійська є активним учасником. На даний момент спільнота об'єднує 14 653 підписників, посідаючи 8 841 місце в категорії Технології та додатки та 45 663 місце у регіоні Росія.

📊 Показники аудиторії та динаміка

З моменту свого створення невідомо, проект продемонстрував стрімке зростання, зібравши аудиторію у 14 653 підписників.

За останніми даними від 11 червня, 2026, канал демонструє стабільну активність. Хоча за останні 30 днів спостерігається зміна кількості учасників на 406, а за останні 24 години на 16, загальне охоплення залишається високим.

  • Статус верифікації: Не верифікований
  • Рівень залученості (ER): Середній показник залученості аудиторії становить 48.83%. Протягом перших 24 годин після публікації контент зазвичай збирає N/A% реакцій від загальної кількості підписників.
  • Охоплення публікацій: В середньому кожен допис отримує 7 154 переглядів. Протягом першої доби публікація в середньому набирає 0 переглядів.
  • Реакції та взаємодія: Аудиторія активно підтримує контент: середня кількість реакцій на один пост – 18.

📝 Опис та контентна політика

Автор описує ресурс як майданчик для висловлення суб'єктивної думки:
This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat

Завдяки високій частоті оновлень (останні дані отримано 12 червня, 2026), канал підтримує актуальність та високий рівень охоплення публікацій. Аналітика показує, що аудиторія активно взаємодіє з контентом, що робить його важливою точкою впливу в категорії Технології та додатки.

14 653
Підписники
+1624 години
+1087 днів
+40630 день
Архів дописів
APT
APT
14 658
Repost from 1N73LL1G3NC3
RecycledInjector Native Syscalls Shellcode Injector (Currently) Fully Undetected same-process native/.NET assembly shellcode
RecycledInjector Native Syscalls Shellcode Injector (Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails. To remain stealthy and keep entropy on the final executable low, do ensure that shellcode is always loaded externally since most AV/EDRs won't check for signatures on non-executable or DLL files anyway.

APT
APT
14 658
Repost from Cybred
Интересная особенность, связанная с парсингом кук. Некоторые серверы, такие как Jetty или Undertow, в своей работе реализуют спецификацию RFC2965, в которой есть необычная реализация синтаксического анализа. Если Jetty примет на вход 
Cookie: search_history="lolkek; JSESSIONID=1337; asdf=end";
То такой заголовок будет разобран как одна кука search_history со значением lolkek; JSESSIONID=1337; asdf=end, вместо трех отдельных. Если Jetty видит значение, которое начинается с двойных кавычек, то он будет пытаться прочитать строку до тех пор, пока не увидит закрывающую кавычку, даже если на пути встретится точка с запятой. Опасно это тем, что если search_history где-то рендерится на странице, то ее можно будет использовать для эксфильтрации любой куки (например, JSESSIONID) с флагом HttpOnly. Для этого нужно будет найти XSS и проэксплуатировать ее, записав в search_history двойные кавычки, чтобы оставшаяся часть заголовка отобразилась на странице. К этому восприимчивы Jetty, Undertow, TomCat, Python Zope и любые другие серверы и фреймворки, которые руководствуются RFC2616, когда парсят строки. Библиотека http.cookies для Python, а именно классы BaseCookie и SimpleCookie тоже реализуют эту спеку. Ее используют aiohttp, cherrypy, web.py, bottle, webob (Pyramid, TurboGears).

APT
APT
14 658
🎭 BOFMask BOFMask is a tool designed to conceal Cobalt Strike's Beacon payload while executing a Beacon Object File (BOF). By applying a XOR mask and modifying memory protection settings, BOFMask enables users to execute BOFs without exposing Beacon, thereby avoiding detection by EDR products that scan system memory. Research: https://securityintelligence.com/posts/how-to-hide-beacon-during-bof-execution/ Source: https://github.com/xforcered/bofmask #cobaltstrike #bof #sleepmask #redteam

APT
APT
14 658
👻 The Phantom Credentials of SCCM If an Active Directory account has ever been configured as an NAA, the credentials may persist on former clients. Not only can we query the credential blobs from WMI, we can also retrieve previously used account blobs from the CIM repository, even if the computer is no longer a client. https://posts.specterops.io/the-phantom-credentials-of-sccm-why-the-naa-wont-die-332ac7aa1ab9 #ad #credentials #sccm #nna #wmi

APT
APT
14 658
Repost from Offensive Xwitter
😈 [ mpgn_x64, mpgn ] 3, 2, 1 CrackMapExec 6.0.0 is now public ! 🎉 So much new features and fix that I've made a blogpost for it ▶️ Special thanks to @_zblurx @MJHallenbeck & @al3x_n3ff for their indefectible support & contributions ! 🍻 🔗 https://wiki.porchetta.industries/news/a-new-home 🐥 [ tweet ]

APT
APT
14 658
Repost from RedTeam brazzers
Кража KeyTab. Во время тестирования на проникновение часто встречаются системы Linux с настроенным Keytab. Keytab хранит пары принципала кербероса и его зашифрованных ключей. С помощью этих зашифрованных ключей можно получить TGT. В результате чего появляется возможность запросить TGT на имя принципала без ввода пароля. Kerberos на Linux уже далеко не редкость - гетерогенные сети становятся все более популярными по ряду причин. Например, может быть такой сценарий, что на Linux бекапится содержимое какой-либо шары, при этом получить доступ к этой шаре могут только пользователи домена. В таком случае пишется простенький скрипт на баш, в котором реализуется логика по запросу TGT тикета на основе KeyTab, а затем копирования файлов с шары. Причем для периодичности запуска скрипт добавляется в crontab. Нам, как атакующим, конечно же, интересен процесс запроса TGT билета на основе KeyTab. Для этого можно использовать команду kinit со следующим синтаксисом: kinit –kt <keytab> <принципал> Например, если файл /tmp/admin.keytab служит для аутентификации пользователя admin@OFFICE.LOCAL , то делаем вот так: kinit -kt /tmp/admin.keytab admin@OFFICE.LOCAL Остается лишь одна проблема - обнаружение самих KeyTab файлов. Конечно, можно ручками через find искать эти файлы, потом также муторно проверять разрешения на них, что не есть хорошо. Поэтому я накалякал следующий командлет, который автоматически найдет все .keytab файлы , а затем подсветит интересные разными цветами: 1. Зеленым подсвечиваются те файлы, которые принадлежат текущему пользователю. 2. Желтым подсвечиваются те файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь не имеет достаточных прав (чтение/запись) на этот самый KeyTab. 3. Наконец, красным подсвечиваются файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь имеет достаточные права на этот самый KeyTab. find / -iname '*.keytab' -type f -exec ls -l {} \; 2>/dev/null | awk -v user="$(whoami)" 'BEGIN { FS = OFS = " "; red = "\033[31m"; yellow = "\033[33m"; green = "\033[32m"; reset = "\033[0m" } { if ($3 == user && $9 ~ /.keytab$/) { printf green } else if ($3 != user && $9 ~ /.keytab$/ && $1 ~ /^-.w.r../) { printf red } else if ($3 != user && $9 ~ /.keytab$/ && ($1 !~ /^.w.r../ || $1 !~ /^-.w../)) { printf yellow } print $0; printf reset }'

APT
APT
14 658
Repost from 1N73LL1G3NC3
CVE-2023-20178 Cisco AnyConnect LPE When a user connect to vpn, vpndownloader.exe process is started in background and it wil
CVE-2023-20178 Cisco AnyConnect LPE When a user connect to vpn, vpndownloader.exe process is started in background and it will create directory in c:\windows\temp with default permissions in following format: <random numbers>.tmp After creating this directory vpndownloader.exe will check if that directory is empty and if its not it will delete all files/directories in there. This behaviour can be abused to perform arbitrary file delete as NT Authority\SYSTEM account.

APT
APT
14 658
Repost from SHADOW:Group
🔐nOAUTH | Захват аккаунта через Microsoft OAuth На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта. Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени. - Жертва регается на сайте через свою почту. - Заходим в Azure AD и меняем свою почту на почту жертвы. - Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы. Видео PoC #web #ato #oauth

APT
APT
14 658
Repost from 1N73LL1G3NC3
Obfuscated LSASS dumper command A quick walkthrough for a obfuscated PowerShell LSASS dump command via comsvcs.dll.
Obfuscated LSASS dumper command A quick walkthrough for a obfuscated PowerShell LSASS dump command via comsvcs.dll.

APT
APT
14 658
Repost from 1N73LL1G3NC3
Exposing hidden risks through ACLs in Active Directory The abuse of misconfigured Access Control Lists is nothing new. Howeve
Exposing hidden risks through ACLs in Active Directory The abuse of misconfigured Access Control Lists is nothing new. However, it is still one of the main ways of lateral movement and privilege escalation within an active directory domain.

APT
APT
14 658
☁️ Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust In this blog we will look at how this trust can be abused by an attacker that obtains Global Admin in Azure AD, to elevate their privileges to Domain Admin in environments that have the Cloud Kerberos Trust set up. Since this technique is a consequence of the design of this trust type, the blog will also highlight detection and prevention measures admins can implement. https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust #ad #azure #kerberos #research

APT
APT
14 658
🔥 VMware vRealize Network Insight — Pre-authenticated RCE (CVE-2023-20887) This post will examine the exploitation process of CVE-2023-20887 in VMware Aria Operations for Networks (formerly known as vRealize Network Insight). This vulnerability comprises a chain of two issues leading to Remote Code Execution (RCE) that can be exploited by unauthenticated attackers. Exploit: https://github.com/sinsinology/CVE-2023-20887 Research: https://summoning.team/blog/vmware-vrealize-network-insight-rce-cve-2023-20887/ #VMware #vRealize #rce #cve

APT
APT
14 658
Repost from linkmeup
Отлично! Теперь шелл можно и через SMS пропихнуть. Пока безопасники бьются с DLP, настраивают политики и заливают порты эпоксидкой, просто отправь SMS на номер.TCPoverSMS, my ass. https://github.com/persistent-security/SMShell

APT
APT
14 658
🦾 SharpTerminatator Terminate AV/EDR Processes using kernel driver. SharpTerminatator is a C# port of ZeroMemoryEx's art pie
🦾 SharpTerminatator Terminate AV/EDR Processes using kernel driver. SharpTerminatator is a C# port of ZeroMemoryEx's art piece called Terminator. It can be used with Cobalt Strike's execute-assembly or as a standalone executable. https://github.com/mertdas/SharpTerminator #av #edr #cobaltstrike #csharp

APT
APT
14 658
Repost from Волосатый бублик
#ad #relay #webdav #ldap [ DavRelayUp ] A port of #KrbRelayUp with modifications to allow for NTLM relay from WebDAV to LDAP
#ad #relay #webdav #ldap [ DavRelayUp ] 
A  port of #KrbRelayUp with modifications to allow for NTLM relay from WebDAV to LDAP and abuse #RBCD in order achieve #LPE in domain-joined windows workstations where LDAP signing is not enforced.
Thanks to: Руслан https://github.com/Dec0ne/DavRelayUp

APT
APT
14 658
🎯 GitLab CE/EE Path Traversal Vulnerability (CVE-2023-2825) On May 23, 2023, GitLab released version 16.0.1, which addressed
🎯 GitLab CE/EE Path Traversal Vulnerability (CVE-2023-2825) On May 23, 2023, GitLab released version 16.0.1, which addressed a critical vulnerability, CVE-2023-2825, impacting both the Community Edition (CE) and Enterprise Edition (EE) version 16.0.0. This vulnerability enables unauthenticated users to read arbitrary files by exploiting a path traversal bug. Additionally, an unauthenticated malicious user can leverage a path traversal vulnerability to read arbitrary files on the server if there is an attachment present in a public project nested within a minimum of five groups. Shodan Dork: application-77ee44de16d2f31b4ddfd214b60b6327fe48b92df7054b1fb928fd6d4439fc7e.css Research: https://labs.watchtowr.com/gitlab-arbitrary-file-read-gitlab-cve-2023-2825-analysis/ PoC: https://github.com/Occamsec/CVE-2023-2825 #gitlab #path #traversal #poc #cve

APT
APT
14 658
Repost from Offensive Xwitter
😈 [ kleiton0x7e, Kleiton Kurti ] We took a Cobalt Strike profile, modified it, and bypassed Crowdstrike & Sophos without encrypting the shellcode. Also bypassed all published YARA rules, sleep detections, and string detections around a CS beacon. Blog: https://t.co/m7FNOwV6Nx #CyberSecurity #redteam #infosec 🔗 https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/ 🐥 [ tweet ]

APT
APT
14 658
🔀 Direct Syscalls vs Indirect Syscalls This post discusses Indirect Syscalls as a solution to eliminate indicators of compro
🔀 Direct Syscalls vs Indirect Syscalls This post discusses Indirect Syscalls as a solution to eliminate indicators of compromise and avoid detection by EDRs. Indirect Syscalls allow the execution of Syscall and Return statements in the memory of ntdll.dll, which is the usual behavior in Windows. https://redops.at/en/blog/direct-syscalls-vs-indirect-syscalls #maldev #syscall #edr #bypass

APT
APT
14 658
Repost from Ralf Hacker Channel
Для получения паролей пользователей SSH в открытом виде https://github.com/jm33-m0/SSH-Harvester #redteam #pentest #creds #gi
Для получения паролей пользователей SSH в открытом виде https://github.com/jm33-m0/SSH-Harvester #redteam #pentest #creds #git

APT
APT
14 658
Repost from 1N73LL1G3NC3
CVE-2023-32233 LPE In the Linux kernel through 6.3.1, a use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary read and write operations on kernel memory. Unprivileged local users can obtain root privileges. This occurs because anonymous sets are mishandled. Once the PoC is started on a vulnerable system, it may leave that system in an unstable state with corrupted kernel memory. We strongly recommend to test the PoC on a dedicated system to avoid potential data corruptions.