#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PeckBirdy - это платформа управления на основе JScript (C2), связанная с китайскими APT-группировками, использующая скрипты вместо традиционного вредоносного ПО, чтобы избежать обнаружения. В первую очередь он получает первоначальный доступ с помощью атак watering hole на легальные сайты азартных игр, внедряя вредоносные скрипты, которые побуждают пользователей загружать фреймворк. PeckBirdy использует надежные утилиты Windows и предназначен для скрытого выполнения, что приводит к значительным рискам, таким как кража учетных данных и перехват сеанса, особенно для государственного сектора и игорного бизнеса.
-----

PeckBirdy - это платформа командования и контроля (C2) на основе JScript, связанная с APT-группировками, связанными с Китаем, которые отслеживаются как SHADOW VOID 044 и SHADOW EARTH 045. Этот фреймворк примечателен тем, что использует надежные утилиты Windows и устаревшие технологии написания сценариев, а не обычное исполняемое вредоносное ПО. Он действует скрытно и с минимальной видимостью для криминалистов, представляя значительную киберугрозу с момента своего обнаружения в ходе оперативных кампаний примерно в 2023 году.

Фреймворк использует различные методы для первоначального доступа, преимущественно посредством атак watering hole на легальные китайские сайты азартных игр. Вредоносные скрипты внедряются на эти сайты, вводя пользователей в заблуждение и заставляя запускать мошеннические обновления браузера, которые облегчают загрузку и выполнение платформы PeckBirdy и связанных с ней полезных нагрузок. Этот метод подчеркивает зависимость фреймворка от социальной инженерии и эксплуатации доверия, а не от традиционных методов доставки вредоносного ПО.

Ядро PeckBirdy написано на JScript в соответствии со стандартами ECMAScript 3, что позволяет ему работать в широком спектре сред Windows, в том числе в более старых системах, которые могут не поддерживать новые функции программирования. Стратегии выполнения используют надежные компоненты операционной системы Windows, такие как Windows Script Host, mshta.exe , и интерфейс ScriptControl ActiveX. Такой выбор конструкции обеспечивает высокую степень скрытности и снижает вероятность обнаружения стандартными антивирусными решениями и решениями для обнаружения конечных точек и реагирования на них (EDR), поскольку позволяет избежать создания традиционных артефактов вредоносного ПО.

Контекст угроз, связанный с PeckBirdy, подчеркивает изменение методов, используемых хакерскими группировками, переходящими от бинарного вредоносного ПО к фреймворкам на основе сценариев, которые используют существующие системные компоненты. Эта эволюция согласуется как с финансово мотивированной киберпреступностью, так и с усилиями по шпионажу, спонсируемыми государством. Основные риски, связанные с PeckBirdy, включают кражу учетных данных, перехват сеанса и постоянный доступ к внутренней сети. Эта система представляет высокий риск для таких секторов, как правительственные учреждения, образовательные учреждения и организации, связанные с азартными играми, особенно в регионах, которые, вероятно, будут рассматриваться как цели операций китайской разведки.

Чтобы обнаружить активность PeckBirdy, организациям следует отслеживать исходящие подключения, инициированные mshta.exe и другие скриптовые хосты, обращая внимание на параметры командной строки для выявления признаков выполнения JScript и использования ActiveXObject. Аномальные Веб-куки с префиксом "Hm_lvt_" в контекстах, где такая аналитика обычно не используется, также должны вызывать предупреждения о потенциальных вторжениях. Поскольку эта структура подчеркивает продвинутую адаптацию тактики living-off-the-land, ее присутствие подчеркивает текущие проблемы в области защиты кибербезопасности и реагирования на инциденты.

#ParsedReport #CompletenessHigh
29-01-2026

Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic

https://blog.sekoia.io/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic/

Report completeness: High

Actors/Campaigns:
Evalusion

Threats:
Iclickfix_tool
Clickfix_technique
Netsupportmanager_rat
Emmenhtal
Xfiles_stealer
Clearfake
Watering_hole_technique

Industry:
Healthcare, Energy, Telco, Government, Financial

Geo:
Ghana

IOCs:
Url: 10
File: 5
Domain: 82
Command: 4
Hash: 15
IP: 3

Soft:
WordPress, Cloudflare Turnstile

Algorithms:
base64, sha256

Functions:
getFaviconPath

Languages:
javascript, php, powershell

YARA: Found

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/iclickfix/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года была обнаружена кампания распространения вредоносного ПО под названием ClickFix, нацеленная на веб-сайты WordPress с помощью атак watering hole. Кампания включала в себя компрометацию законных сайтов с целью перенаправления пользователей на поддельный запрос CAPTCHA, который выполнял команды для развертывания NetSupport удаленного доступа Trojan. С февраля 2025 года этот кластер IClickFix эксплуатировал более 3800 скомпрометированных сайтов, используя вредоносную полезную нагрузку JavaScript для облегчения атаки и доставки другого вредоносного ПО, такого как Emmenhtal Loader и XFiles Stealer.
-----

В ноябре 2025 года аналитики по угрозам из Sekoia TDR обнаружили кампанию распространения вредоносного ПО, нацеленную на веб-сайты WordPress с использованием тактики социальной инженерии, известной как ClickFix, с помощью Системы распределения трафика (TDS). В этой кампании в основном использовались атаки на watering hole, при которых законные веб-сайты компрометировались, чтобы заманить жертв к выполнению вредоносных команд.

Sekoia TDR внедрила расширенную функцию обнаружения для выявления этих атак на watering hole, используя общие правила YARA для сканирования скомпрометированных веб-страниц с использованием тактики ClickFix. Эти правила основаны на конкретных ключевых словах, шаблонах ресурсов и функциях JavaScript, связанных с реализацией тактики.

При посещении взломанного сайта WordPress пользователи сначала просматривают законный веб-контент, но через несколько мгновений страница переключается на сфабрикованный запрос CAPTCHA, имитирующий систему турникетов Cloudflare. Чтобы обойти эту проблему, пользователям предлагается выполнить команду, которая скрывает вредоносный код. Эта команда приводит к развертыванию троянца удаленного доступа NetSupport (RAT).

Оператор IClickFix нацелен на сайты WordPress, внедряя вредоносную полезную нагрузку JavaScript в их HTML-код. Один из них отметил, полезная нагрузка, извлечена из определенного URL-адреса, - это JavaScript-файл обфусцирован, что служит clickfix ClickFix, заменив оригинальный контент сайте с поддельным интерфейс капчи предназначены для сбора пользовательских действий для дальнейшей эксплуатации.

Уже в декабре 2025 года было установлено, что кластер IClickFix скомпрометировал более 3800 сайтов WordPress по всему миру, идентифицированных с помощью определенных шаблонов кода в цепочках перенаправлений, используемых в кампании. Аналитики также провели демографический анализ, основанный на географической и отраслевой классификации этих скомпрометированных сайтов.

Исторически сложилось так, что самые ранние наблюдения за кластером IClickFix относятся к февралю 2025 года, во время исследования Emmenhtal Loader. Это расследование показало, что кластер уже использовал скомпрометированные сайты WordPress, распространяя различные формы вредоносного ПО, включая Emmenhtal Loader и XFiles Stealer, в дополнение к NetSupport RAT.

Таким образом, фреймворк IClickFix стал распространенным средством для первоначального доступа, использующим методологию социальной инженерии ClickFix для развертывания вредоносного ПО посредством значительных компрометаций сайтов WordPress, что свидетельствует о совместной среде угроз, включающей как оппортунистическую деятельность киберпреступников, так и потенциальные интересы национальных государств.

#ParsedReport #CompletenessLow
29-01-2026

Inside the Infrastructure: Whos Scanning for Ivanti Connect Secure?

https://www.labs.greynoise.io/grimoire/2026-01-29-inside-the-infrastructure-whos-scanning-for-ivanti-connect-secure/

Report completeness: Low

Threats:
Residential_proxy_technique

Victims:
Ivanti connect secure users

Geo:
Romania, Moldova

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)

CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583.003, T1583.006, T1584.004, T1595, T1595.001, T1595.002

Soft:
Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительно возросла активность по разведке, нацеленная на Ivanti Connect Secure, особенно из-за уязвимости CVE-2025-0282, из-за которой количество сканирований увеличилось в 100 раз. Задействованы две кампании: в одной используется агрессивное сканирование из Румынии и Молдовы, в то время как в другой используется метод распределенной ботнет-сети через residential proxies и мульти-Облачные сервисы, чтобы избежать обнаружения. Обе кампании нацелены на конкретную конечную точку, связанную с этой уязвимостью высокого риска, подчеркивая ее потенциальное использование.
-----

Недавние действия по разведке, направленные против Ivanti Connect Secure, значительно активизировались: GreyNoise сообщила о 100-кратном увеличении числа проверок на наличие уязвимости CVE-2025-0282 в период с 21 по 28 января. Этот всплеск атрибутирован с двумя различными кампаниями, в каждой из которых используются разные методы и инфраструктура. Первая кампания, идентифицированная как действующая из кластера AS213790, характеризовалась активными действиями по сканированию преимущественно из Румынии и Молдовы, в результате чего было проведено более 34 000 сеансов.

В отличие от этого, во второй кампании был применен более скрытный подход к распределенному ботнете с использованием скомпрометированных хостов. Этот метод включал использование сетей residential proxy для использования законных IP-адресов и стратегию развертывания в нескольких облаках, в которой использовались различные поставщики облачных услуг для минимизации риска обнаружения. Оперативные методы предполагают либо одного актора, использующего различные инструменты, либо потенциально конкурирующие группы, осведомленные об уязвимости и действующие одновременно.

Обе кампании специально нацелены на конечную точку по адресу /dana-na/auth/url_default/welcome.cgi, которая привязана к CVE-2025-0282. Показатель по системе оценки вероятности использования этой уязвимости (EPSS) составляет 93,05%, что указывает на высокую вероятность ее использования, чего нельзя сказать о соответствующем CVE-2025-0283, у которого показатель EPSS значительно ниже и составляет 0,18%. Высокая степень использования CVE-2025-0282 подчеркивает настоятельную необходимость обновления своих систем организациями, использующими Ivanti Connect Secure.

Для защитников необходимы немедленные действия. Это включает в себя обеспечение применения исправлений для защиты от потенциальной эксплуатации с уделением особого внимания просмотру журналов на предмет любых попыток несанкционированного доступа к уязвимой конечной точке. Организациям следует пересмотреть свою уязвимость к сети, особенно в отношении любых подключенных к Интернету установок Ivanti, поскольку они могут быть включены в список нацеленных атак. Постоянный мониторинг и тщательная проверка внешних запросов к идентифицированной конечной точке имеют решающее значение, поскольку использование CVE-2025-0282, по-видимому, неизбежно.

#ParsedReport #CompletenessLow
29-01-2026

Tycoon 2FA Campaign Abusing *.contractors Domains for Gmail and Microsoft 365 Credential Harvesting

https://malwr-analysis.com/2026/01/29/tycoon-2fa-campaign-abusing-contractors-domains-for-gmail-and-microsoft-365-credential-harvesting/

Report completeness: Low

Threats:
Tycoon_2fa
Credential_harvesting_technique

Victims:
Gmail users, Microsoft 365 users, Outlook users

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566, T1566.002, T1583.001

IOCs:
Url: 29

Soft:
Gmail, Outlook

Algorithms:
zip, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по сбору учетных записей нацелена на пользователей Gmail и Microsoft 365, используя недавно зарегистрированные домены *.contractors для создания фишингов -страниц, имитирующих законные интерфейсы входа в систему. Такой подход позволяет злоумышленникам избежать обнаружения, захватывая не только имена пользователей и пароли, но и информацию, связанную с двухфакторной аутентификацией. Кампания иллюстрирует эволюционирующую природу тактики фишинга, которая использует социальную инженерию и, казалось бы, заслуживающие доверия домены для повышения шансов на успех.
-----

Недавний сбор учетных записей учетных данных было выявлено, в первую очередь ориентированных на пользователей Gmail и Microsoft 365/Outlook через эксплуатацию вновь регистрируемых *.производство земляных доменов. Эта кампания использует эти домены для создания фишинг-страниц, маскирующихся под легитимные интерфейсы входа, заманивая жертв введя свои учетные данные.

Техника, используемая в этой кампании, подчеркивает растущую тенденцию среди киберпреступников регистрировать доменные имена, которые должны казаться пользователям заслуживающими доверия, тем самым повышая вероятность успешных попыток фишинга. Используя недавно зарегистрированные домены, злоумышленники могут избежать обнаружения средствами безопасности, которые, возможно, еще не классифицировали эти адреса как вредоносные. Вредоносные страницы специально разработаны для захвата не только личных учетных данных, но и информации, связанной с процессами двухфакторной аутентификации (2FA), что делает атаки более убедительными.

В этом контексте крайне важно, чтобы пользователи были бдительны и проверяли подлинность URL-адресов, прежде чем вводить свои учетные данные, особенно при запросе информации для входа в систему по нежелательным электронным письмам. Кампания подчеркивает непрерывную эволюцию стратегий фишинга и необходимость повышения осведомленности пользователей и методов обеспечения кибербезопасности для защиты от подобных угроз. Эффективное использование тактики социальной инженерии в сочетании со злоупотреблением доменами, выглядящими законными, позиционирует эту кампанию как значительный риск для организационной и индивидуальной безопасности.

#ParsedReport #CompletenessHigh
30-01-2026

When Malware Talks Back

https://www.pointwild.com/threat-intelligence/when-malware-talks-back

Report completeness: High

Actors/Campaigns:
Aesxor

Threats:
Pulsar_rat
Donut
Lolbin_technique
Process_injection_technique
Credential_harvesting_technique
Stealer37
Costura_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Ngrok_tool
Teamviewer_tool
Radmin_tool

Victims:
Windows users, Cryptocurrency users, General enterprises

Industry:
Entertainment

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 16
Registry: 2
Command: 1
Path: 1
Hash: 6
IP: 1

Soft:
Discord, Telegram, Process Explorer, Microsoft Visual Studio, Windows security, Windows Scheduled Task, Coreftp, CyberDuck, FoxMail, FTPGetter, have more...

Algorithms:
md5, chaskey, zip, xor, base64, exhibit

Functions:
Main, CreateNoWindow, PostAsync, SendToTelegram

Win API:
CreateRemoteThread, OpenProcess, VirtualAllocEx, WriteProcessMemory

Languages:
ruby, powershell, jscript, dotnet, visual_basic, python, javascript

Links:
https://github.com/TheWover/donut
https://github.com/volexity/donut-decryptor
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания Pulsar RAT использует передовые методы уклонения, включая методы living-off-the-land и доставку полезной нагрузки в память. Заражение начинается с пакетного файла, который создает скрытый каталог и запускает встроенный загрузчик PowerShell, который использует операции XOR для запутывания полезной нагрузки и Внедрения кода в процесс в такие целевые объекты, как svchost.exe . Вредоносное ПО обладает широкими возможностями наблюдения, включая доступ к веб-камере и эксфильтрацию данных через службы обмена сообщениями, поддерживаемую модулями для подсчета пользователей и утечки информации.
-----

Расследование многоэтапной Вредоносной Кампании выявило развертывание троянца удаленного доступа (RAT) под названием Pulsar RAT, который использует сложные методы уклонения, такие как методы living-off-the-land и доставки полезной нагрузки в памяти. Цепочка заражения начинается с замаскированного пакетного файла, который настроен на сохранение с помощью раздела реестра для каждого пользователя. Этот файл запускает встроенный загрузчик PowerShell, сводя к минимуму наблюдаемые артефакты на диске.

Пакетный файл содержит логику для создания скрытого каталога и кодирования его полезной нагрузки с помощью Base64. После выполнения он извлекает и декодирует скрипт PowerShell, который содержит массив байтов, подлежащий побитовой операции XOR, а затем инициирует сложную процедуру Внедрения кода в процесс. Эта процедура включает в себя установку уровня взаимодействия Win32 для доступа к ключевым API Windows, последующее выделение памяти в целевом процессе — обычно svchost.exe — для ввода шелл-кода. Механизмы миграции процессов и мониторинга вредоносного ПО повышают его закрепление, позволяя ему переключаться на более безобидные процессы, такие как explorer.exe когда это необходимо.

Полезная нагрузка использует фреймворк Donut, облегчающий выполнение дополнительных полезных нагрузок, загружаемых из памяти, которые шифруются с использованием блочного шифра Chaskey для дополнительной скрытности. Вредоносное ПО также обладает надежными методами антианализа, с подпрограммами для обнаружения средств отладки и проверками среды, чтобы избежать запуска на виртуальных машинах или в изолированных средах.

В вредоносное ПО также встроено перечисление учетных записей пользователей и привилегий, что позволяет ему оценивать свои возможности для дальнейших вредоносных действий, включая закрепление с помощью запланированных задач и записей реестра. Кроме того, он отслеживает активность буфера обмена для адресов криптовалютных кошельков, отправляя обнаруженные данные на удаленный командный сервер.

Возможности наблюдения особенно сложны: вредоносное ПО может получать доступ к веб-камере жертвы, транслировать видео в реальном времени и захватывать аудио с помощью Windows Core Audio API. Эксфильтрация данных происходит по различным каналам, включая популярные платформы обмена сообщениями и автоматические скрипты, которые используют API для загрузки украденной информации. Оба пульсара.Модули Common и Stealer37 загружаются в память, причем последний, предположительно, выполняет утечку информации в широком спектре приложений и служб.

#ParsedReport #CompletenessHigh
30-01-2026

ShadowHS: A Fileless Linux PostExploitation Framework Built on a Weaponized hackshell

https://cyble.com/blog/shadowhs-fileless-linux-post-exploitation-framework/

Report completeness: High

Threats:
Shadowhs_tool
Hackshell_tool
Credential_harvesting_technique
Rondodox
Kinsing_miner
Xmrig_miner
Ebury
Credential_stealing_technique
Gminer
Lolminer
Gsocket_tool
Gs-netcat
Rustscan_tool
Dirty_pipe_vuln

Victims:
Enterprise environments, Cloud hosted linux environments

Industry:
Ics

CVEs:
CVE-2025-21756 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.235, <5.15.179, <6.1.131, <6.6.79, <6.12.16)


TTPs:
Tactics: 9
Technics: 1

IOCs:
Coin: 3
IP: 5
Domain: 3
File: 1
Hash: 26

Soft:
Linux, OpenSSL, Microsoft Defender, OpenSSH, AppArmor, Bitrix, WordPress, Docker, rsync

Algorithms:
gzip, sha256, base64, kawpow, aes-256-cbc, exhibit

Functions:
_once, gpu, rs, rs1

Win API:
decompress

Languages:
golang, perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cyble Research выявила сложную платформу для проникновения в Linux под названием ShadowHS, которая использует загрузчик без файлов и использует передовые методы скрытности для действий после эксплуатации. Фреймворк работает полностью в памяти, избегая записи на диск с помощью таких методов, как подмена argv 0 и анонимные файловые дескрипторы, что затрудняет обнаружение и судебно-медицинский анализ. В ShadowHS реализованы неактивные функции для получения учетных данных и перемещения внутри компании, оптимизированные для уклонения от систем обнаружения, что указывает на нацеленность на поддержание длительного доступа к нацеленным средам.
-----

Cyble Research & Intelligence Labs обнаружила сложную платформу для взлома Linux, известную как ShadowHS, которая использует загрузчик без файлов и вооруженный вариант hackshell для действий после эксплуатации. Этот фреймворк примечателен своим акцентом на скрытность и управляемые оператором взаимодействия, что отличает его от обычного вредоносного ПО для Linux, которое фокусируется на быстром распространении или монетизации. ShadowHS выполняется полностью из памяти, используя такие методы, как анонимные файловые дескрипторы, подмена argv 0 и предотвращение постоянных файловых артефактов, что значительно усложняет обнаружение и судебно-медицинский анализ.

Основным компонентом фреймворка является многоступенчатый зашифрованный загрузчик оболочки, который облегчает расшифровку, реконструкцию и выполнение полезной нагрузки без записи файлов на диск. После развертывания полезная нагрузка работает в памяти и при необходимости способна загружать дополнительные вредоносные компоненты, такие как эксплойты ядра или криптоминеры. Этот операционный дизайн в значительной степени ориентирован на осведомленность об окружающей среде и обнаружение средств контроля безопасности, гарантируя, что злоумышленники смогут оставаться незаметными в корпоративной среде.

Внутри фреймворк содержит бездействующие функциональные возможности, которые могут быть активированы, включая получение учетных данных, перемещение внутри компании и Несанкционированное использование ресурсов, обеспечивая гибкость в зависимости от целей оператора. Возможности скрытности усиливаются механизмами, которые отключают историю командной оболочки, скрывают артефакты команд и перемещают временные файлы, тем самым сводя к минимуму следы, оставляемые на скомпрометированных системах. Кроме того, полезная нагрузка предназначена для обнаружения конечных точек и антивирусных решений и уклонения от них, что позволяет операторам продолжать использовать скомпрометированную инфраструктуру без помех.

По сути, ориентированный на оператора характер ShadowHS, наряду с его изощренной тактикой уклонения и способностью проводить разведку, больше соответствует передовым платформам вторжения или инструментам red-teaming, а не более универсальному Linux- вредоносному ПО. Поскольку он активно проверяет наличие облачных агентов и инструментов мониторинга в облачных средах, его возможности адаптированы для эффективной работы в защищенных сетях. Проиллюстрированный продвинутый метод работы указывает на высокий уровень стратегического планирования со стороны злоумышленников, стремящихся к длительному доступу и контролю над системами, на которые нацелены.

#ParsedReport #CompletenessLow
30-01-2026

From Code to Coverage (Part 4): Hunting SOAPHound - The (!FALSE) Pattern

https://www.huntress.com/blog/ldap-active-directory-detection-part-four

Report completeness: Low

Threats:
Soaphound_tool
Impacket_tool
Bloodhound_tool

Victims:
Active directory environments

Industry:
Education

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1046, T1069.002, T1087.002

Soft:
Active Directory, ChatGPT, Claude

Functions:
Write-Host, GetUserSPNs

SIGMA: Found

Links:
https://github.com/FalconForce/SOAPHound/blob/main/SOAPHound/LDAP/LDAPFilter.cs
https://github.com/FalconForceTeam/SOAPHound
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В soaphound SOAPHound использует активный веб-веб-сервисы (веб) через SOAP/XML на порт 9389, затрудняющих обнаружение своим запросов будут являться localhost в журналы. Ключевое поведение включает интерпретацию несуществующих ссылок на атрибуты как ЛОЖНЫХ, изменение шаблонов запросов и использование согласованных значений SDFlags:0x7 во время операций, в отличие от других инструментов. Такое поведение скрывает оригинальный запросы в журналы и подчеркивает необходимость особых методов обнаружения ориентируясь на определенные шаблоны и флаги, связанные с SOAPHound.
-----

Анализ посвящен поведению инструмента SOAPHound, который использует Веб-службы Active Directory (ADWS) посредством обмена данными SOAP/XML через порт 9389, отмечая заметный переход от ранее обсуждавшихся инструментов перечисления на основе LDAP. Этот переход усложняет усилия по обнаружению, поскольку запросы SOAPHound, по-видимому, исходят от localhost в журналах событий с идентификатором 1644, тем самым скрывая фактический источник трафика.

В ходе тестирования был сделан важный вывод относительно того, как SOAPHound создает запросы. Ключевым выявленным поведением было то, что любые ссылки на несуществующие атрибуты в запросе интерпретируются как ЛОЖНЫЕ, а не как неопределенные, в соответствии с технической спецификацией Microsoft Active Directory. Это приводит к схеме, где любые такие запросы перевести в отрицание ложного, представленный как (! (Ложь)). Интересно, что такое поведение согласуется с различными типами запросов SOAPHound, что предполагает универсальную методологию, а не ограниченную конкретными случаями.

При сравнении реальных операций SOAPHound с лабораторными тестами было замечено заметное различие в отношении SDFlags. В отличие от SharpHound, который выборочно использует значения SDFlags 0x4 или 0x5 для перечисления дескрипторов безопасности, SOAPHound последовательно использует SDFlags:0x7 в различных операциях, независимо от того, запрашиваются ли дескрипторы безопасности. Такое жестко запрограммированное поведение указывает на особый подход в реализации ADWS, что повышает значимость методологий обнаружения.

Ключевые результаты этих исследований показывают, что понимание тонких преобразований запросов LDAP имеет решающее значение для обнаружения. Обманчивая схема ЛОЖНОГО отрицания означает, что исходные запросы могут стать фактически невидимыми в журналах, что усложняет судебно-медицинский анализ. Надежное обнаружение SOAPHound может быть достигнуто путем распознавания этого специфического шаблона и мониторинга наличия SDFlags в связанных запросах. Имея более четкое представление об операциях и поведении SOAPHound's, аналитики могут лучше предвидеть, как этот инструмент может уклоняться от обычных методов обнаружения, оставляя после себя уникальные криминалистические маркеры. Это создает основу для многоуровневых стратегий обнаружения, интегрирующих знания из всех четырех рассмотренных аналитических частей, что в конечном итоге расширяет возможности защиты от такой тактики в области кибербезопасности.