Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
Fsecurity | HH
Відкрити в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Показати більше2 019
Підписники
Немає даних24 години
-17 днів
-1530 день
Архів дописів
2 020
Repost from s0i37_channel
Когда хакер атакует какой либо сервис, например брутит пароли, то обычно на такое реагируют блокированием его IP:
iptables -A INPUT -s $attacker -j DROP
Но целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to-destination $hacker:22
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -p tcp --dport 22 -d $hacker -j MASQUERADE2 020
Repost from BEAR-C2
Это моделирование атаки (adversary simulation) группы APT RicochetChollima, нацеленное на активистов, занимающихся вопросами Северной Кореи. Кампания началась в марте 2025 года и стартовала с целевого фишинга (spear-phishing): в письме содержалась ссылка на Dropbox, ведущая к архиву, в котором был вредоносный ярлык (LNK). После распаковки и запуска этот LNK активировал дополнительное вредоносное ПО, содержащее ключевое слово «toy». Содержимое было замаскировано под приглашение на академический форум от южнокорейского аналитического центра по национальной безопасности, чтобы повысить доверие.
Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima
2 020
Repost from Похек
Impacket: взгляд red team и blue team
#impacket #AD #база
Impacket — это мощная библиотека на Python, ориентированная на работу с сетевыми протоколами на низком уровне, а также набор примеров и утилит, удобных для пентестеров и злоумышленников.
➡️Impacket сочетает в себе две взаимодополняющие части:
- Библиотечный (API) уровень — классы, функции для создания, парсинга и взаимодействия с протоколами (Ethernet, IP, TCP/UDP, SMB, MSRPC и др.).
- Утилитарный (инструментальный) уровень — готовые Python-скрипты (например,
psexec.py, wmiexec.py, secretsdump.py и др.), демонстрирующие применение библиотеки в задачах пентеста, постэксплуатации, перемещения по сети и вытягивания учетных данных.
Impacket ≠ набор скриптов.
Это фреймворк, который реализует внутренние структуры пакетов, ASN.1-деревья, Netlogon RPC, Kerberos AP_REQ/AP_REP/TGS_REQ, SMB2_COM_TREE_CONNECT и пр.
Его сила — в возможности передавать бинарные протоколы как Python-объекты и строить поверх них любые цепочки атак.
Ниже — глубокий разбор архитектуры, ключевых механизмов, техник злоупотребления и методов обнаружения.
🔗blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч2 020
Repost from Threat Hunting Father 🦔
+4
🔍 Nezha — утилита мониторинга, превращённая в C2.
Первый публичный кейс, где Nezha используется для веб-компрометаций (Huntress, октябрь 2025).
Актор с «китайским следом» через уязвимый phpMyAdmin и трюк log poisoning (MariaDB) записал PHP-вебшелл (China Chopper-style) прямо в лог → управлял им через AntSword → установил Nezha-агент → доставил Ghost RAT.
📎 github.com/nezhahq/nezha — легитимный мониторинг-инструмент(аналог zabbix), но в руках атакующих — RMM и C2.
🔗 https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool
🦔 THF
