Fsecurity | HH

🔗Ссылка: https://opennet.ru/63854/

✍️ AdaptixC2: новый open-source C2 в руках атакующих Unit 42 (Palo Alto Networks) зафиксировали использование AdaptixC2 в реальных атаках (май–сентябрь 2025). Изначально задумывался как red team-фреймворк, но теперь активно используется злоумышленниками для постэксплуатации и скрытого контроля инфраструктуры. 🔗 Функционал: • управление файлами/процессами, запуск программ; • туннели (SOCKS4/5, port-forwarding); • поддержка BOF (Beacon Object Files); • агенты в форматах EXE/DLL/сервис/шеллкод (x86/x64); • опции OpSec (KillDate, WorkingTime, обфускация); • профили beacon-ов: HTTP, SMB (named pipes), TCP. 📌 Сценарии атак: Fake HelpDesk (Teams + Quick Assist): – фишинг через Teams, запуск Quick Assist; – PowerShell-лоадер (update.ps1) качает и расшифровывает шеллкод из Google Drive; – инжект в память, persistence через ярлык в Startup. AI-generated PowerShell + DLL hijack: – скрипт с характерными “AI-следами” (verbose комменты, ✔️ в выводе); – загрузка Base64 шеллкода, VirtualProtect → GetDelegateForFunctionPointer; – DLL hijack (APPDATA\...\Templates\msimg32.dll), Run-ключ Updater. 🕵️ Постэксплуатация: whoami, ipconfig, nltest → C2-сервер → дальнейший lateral movement. В одном кейсе AdaptixC2 применялся совместно с Fog ransomware. ⚠️ Вывод: AdaptixC2 — свежий пример того, как open-source фреймворки быстро становятся оружием. Модульность + AI-сгенерированные загрузчики = повышенная скорость адаптации и обхода защит. 🔗 https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/ 🔗https://t.me/AdaptixFramework 🦔 THF

🔗Ссылка: https://www.securitylab.ru/news/563343.php

🔗Ссылка: https://www.securitylab.ru/news/563277.php

👉🏻

Всем привет! 💻✌️ Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга RAR (с паролем) -> COM. Примечательно, что пароль был указан в имени архива, возможно использовалось для обхода антифишинга 🔭 Обнаружение: 🔤 в двух кампаниях злоумышленники используют раширение com, вместо exe, можем этим воспользоваться для хантинга 🔤 можем похантить имена файлов с "парол|pass" 🔤 создать правило обнаружения таких файлов

ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image contains "парол" or Image contains "pass")

ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image endswith ".com")

#detection@detectioneasy #ttp@detectioneasy

🔗Ссылка: https://www.securitylab.ru/news/563254.php

🔗Ссылка: https://habr.com/ru/articles/906742/

🔗Ссылка: https://habr.com/ru/companies/ru_mts/articles/944320/

🔗Ссылка: https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

Бум-бам, опять npm Быстрая проверка вашего гитлаба -- ТЫК Статья на почитать -- ТЫК

🔗Ссылка: https://opennet.ru/63845/

🔗Ссылка: https://xakep.ru/2025/09/08/srdp/

🔗Ссылка: https://www.securitylab.ru/blog/personal/xiaomite-journal/356185.php

Real-time analysis of LOLDrivers against Microsoft's HVCI blocklist https://byovd-watchdog.pwnfuzz.com/ Хороший ресурс) #drivers #lpe #windows #lol

🔗Ссылка: https://spy-soft.net/anydesk-forensic-analysis/

👉🏻

В больших AD-лесах админы часто «забывают» или ошибочно настраивают списки контроля доступа (ACL), не желая заморачиваться с чётким разделением и выдачей прав. В таких списках могут оставаться широкие разрешения для Everyone/Authenticated Users/Domain Computers, причём с расширенными правами на чувствительные объекты. Это не мелочь: именно список DACL в nTSecurityDescriptor определяет, кто и что может делать с объектом. Но есть проблема: такие списки прав указаны для каждого отдельного субъекта (нет одной таблички), GUID’ы прав нечитабельны, а определения дескрипторов безопасности (SDDL) тяжело смотреть глазами. Наш эксперт Александр Родченко написал утилиту ParseJsonWithSDDLs для решения этой проблемы. Основная идея: показать, какими правами обладают «все», то есть достаточно большой и потенциально неограниченный круг субъектов (анонимы, аутентифицированные пользователи, все ПК и т.д). Другими словами, утилита отвечает на вопрос: «Есть ли у нас в домене какие-то объекты, с которыми может сделать что-то любой пользователь?» Функционал, реализованный в программе: — парсит SDDL из nTSecurityDescriptor, вычленяет «широкие» ACE и показывает их в удобном виде (читаемые имена субъектов и объектов, декодированные GUID расширенных прав); — умеет сама выгрузить весь лес и трасты в JSON (LDAP paging + SecurityDescriptorFlagControl для DACL), если у вас нет готовых экспортов ваших доменов; в некотором роде это работа SharpHound с опцией "вместе с DACL", но в данном случае автор сам реализовал это в коде; — даёт HTML-сводку и при желании CSV для дальнейшей аналитики/хантинга. Что даёт использование утилиты? Это закрывает типовой класс конфиг-дефектов, про которые Microsoft годами пишет в своих рекомендациях по безопасности AD. Прогоны такой утилитой часто приносят «бесплатные» находки перед аудитами и пентестами. Примеры находок приведены на скриншотах выше: (1) объект, который может изменить любой ПК — и никто не не знает, для чего это нужно; у клиента это был объект, относящийся к системе корпоративной печати, (2) очень странный объект групповой политики — это заявка на повышение привилегий в домене, (3) очень неправильно настроенные разрешения создавать общие папки: на самом деле, дали возможность создать объект-корень FTRoot (новый namespace) и создать под ним любые FTDfs-объекты — ссылки (на любой сервер) и их Target-списки. Утилиту можно скачать в репозитории автора на Гитхабе — там же оставляйте отзывы и предложения по улучшению программы: https://github.com/gam4er/DACLPlayground/tree/master

🔗Ссылка: https://executiveoffense.beehiiv.com/p/ai-hackbots-part-1