❗️ ValleyRAT: утечка сборки и анализ Kernel-mode руткита

В марте этого года на GitHub появился полный билд и среда разработки бэкдора ValleyRAT, который связывали исключительно с китайской APT-группой Silver Fox.​ После утечки зафиксирован резкий всплеск активности: 85% из 6 тысяч обнаруженных сэмплов появились только за последние полгода. То есть, очевидно, бэкдор начали использовать не только Silver Fox.

Специалисты Check Point Research детально разобрали представленные данные и опубликовала подробный разбор экосистемы бэкдора.

Модульная архитектура

Утекший в марте билд содержит 19 основных динамически подгружаемых DLL. Кроме стандартного набора (кейлоггер, RDP, файловый менеджер) обнаружены специализированные модули: Stress Test (DDoS), Proxy Mapping (мультиплексирование трафика) и критический компонент Driver Plugin.​ Анализ структуры Visual Studio также показал следы отсутствующих в сборке вспомогательных плагинов, нацеленных на кражу данных из Telegram и WeChat, UAC-bypass (UACME) и дешифровку браузерных паролей.

Driver Plugin

Модуль Driver Plugin выступает в роли установщика и User-mode клиента для 64-битного руткита. Это глубоко переработанный форк open source проекта Hidden, адаптированный для работы на Windows 10/11.​

Драйверы подписаны скомпрометированными сертификатами с истекшим сроком действия (2013–2014 года). Они успешно загружаются даже на системах с Secure Boot и HVCI благодаря лазейке Windows Driver Signing Policy — Exceptions.

Возможности:

🔵 скрытие файлов/процессов/ключей реестра,
🔵 защита процессов агента и функция ForceDeleteFile для принудительного удаления драйверов EDR (в списке целей: 360, Tencent, Kaspersky) через прямые IRP-вызовы.

Скрытность

🔵 Для скрытой установки используется техника имперсонации dwm.exe со спуфингом PPID. Процесс сопровождается временным отключением сети (ipconfig /release), чтобы минимизировать сетевые алерты.​

🔵 Руткит реализует механизм инъекции шеллкода из ядра в пользовательское пространство (User-mode) через APC. Основная цель для инъекции — системный процесс dwm.exe.​
Управление происходит через IOCTL-запросы к устройству HiddenGate.

➡️ Подробности в отчете.

#blue_team #ValleyRAT

✅ React2Shell: Индустрия наступает на те же грабли спустя 10 лет после Java Deserialization Apocalypse

Аналитики Recorded Future назвали React2Shell (CVE-2025-55182) прямым наследником Java Deserialization Apocalypse 2015 года. По мнению авторов, баг в React Server Components (RSC) архитектурно идентичен старым уязвимостям в Java, PHP и .NET.

❓ Java Deserialization Apocalypse — это масштабный ИБ-кризис, начавшийся с публикации исследователями техники эксплуатации небезопасной десериализации в популярнейшей библиотеке Apache Commons Collections. Любой сервис, принимающий сериализованные объекты, мог быть скомпрометирован через специально собранную цепочку gadget chain. Десериализация приводила к RCE еще до этапа валидации данных, позволяя атакующему получить root-доступ к тысячам корпоративных систем одним HTTP-пакетом.

Авторы статьи называют React2Shell симптомом провала в образовании разработчиков и слепого доверия к абстракциям фреймворков. Разработчики продолжают использовать нативную сериализацию для передачи сложных объектов через границы доверия, игнорируя риски, известные уже десятилетие.

➡️ Recorded Future предлагают отказаться от передачи исполняемых структур в пользу Data-Only подхода — передачи «чистых данных».

Конкретные рекомендации:

🔵 Перейти на JSON, Protocol Buffers, FlatBuffers или CBOR. Эти форматы (при безопасном использовании, без полиморфизма) не умеют инстанцировать произвольные классы и исполнять код при парсинге.
🔵 Входящие данные должны проходить валидацию до попадания в бизнес-логику. Предлагается использовать Zod, Pydantic или JSON Schema.
🔵 Нужно отказаться от «магического» восстановления объектов (pickle.load, Java serialization) и создавать объекты в коде явно, наполняя их проверенными данными: obj = MyClass(**validated_data).
🔵 Для конфигураций использовать TOML или JSON5 вместо YAML (либо только yaml.safe_load), чтобы исключить выполнение встроенных макросов.

🔗 Подробности в материале.

#blue_team #React2Shell

🚨 Tenant Enumeration Is Back: Microsoft снова не смогла скрыть пользователей

Попытки Microsoft прикрыть энумерацию пользователей в OneDrive/SharePoint оказались тщетными, заявили исследователи из Sprocket Security. Ребятки нашли элементарный способ обойти свежий «фикс», который должен был возвращать одинаковые коды ошибок для существующих и несуществующих юзеров.

Microsoft пыталась унифицировать ответы сервера, но сложная логика доступа к OneDrive сделала свое дело. Если в тенанте настроены политики условного доступа (Conditional Access) или блокировка неавторизованных устройств, сервер выдает разные коды ошибок, позволяя отличать «живой» аккаунт от «мертвого».

Как атакуем

Атака реализуется через прямые HTTP-запросы к персональным сайтам OneDrive. Формируем URL вида: https://<tenant>-my.sharepoint.com/personal/<user>_<domain>_com

И смотрим на код ответа (без авторизации):

⏺ HTTP 401/403 — Бинго! Пользователь существует. Сервер просит авторизацию, значит, ресурс есть.

⏺ HTTP 404 — Пользователя нет.

Таким образом можно собрать 100% валидный список корпоративных email-адресов. Прямая дорога к Password Spraying и фишингу без лишнего шума и риска блокировки за перебор несуществующих логинов.

Как защититься спойлер — больно 😢

Единственный рабочий workaround на сегодня — полностью отключить доступ к personal sites или внешнюю проверку через политики. Для бизнеса это практически kill -9 на процессы совместной работы. Так что ждем НАСТОЯЩЕГО патча.

🗣 Подробности по ссылке.

#red_team #OneDrive

👀 В Plesk Obsidian 18.0 (версии для Linux) обнаружена критическая LPE-уязвимость

🔵 Идентификатор: CVE-2025-66430
🔵 CVSS: 9.1

Баг кроется в компоненте Password-Protected Directories (защищенные паролем директории) панели управления Plesk. Из-за некорректной реализации контроля доступа и валидации входных данных авторизованный атакующий с ограниченными правами может внедрить произвольные директивы в конфигурационные файлы веб-сервера Apache.

Пример сценария атаки

🔵 Атакующий покупает дешевый аккаунт на shared-хостинге, использующем уязвимую версию Plesk, или компрометирует существующий аккаунт клиента.
🔵 Авторизуется в панели Plesk и переходит в настройки своего домена -> Password-Protected Directories.
🔵 В полях настройки (название директории или заголовок авторизации) вводит пейлоад, содержащий инструкции для Apache — вызов ExecCGI или манипуляции с модулями, позволяющими выполнить шелл-код.
🔵 Plesk генерирует конфиг-файл и перезагружает Apache.
🔵 Код атакующего выполняется с правами root.

Последствия: полная компрометация сервера, эскалация привилегий до root, RCE и получение доступа ко всем сайтам, БД и почте клиентов, размещенных на этом же сервере.

Защита

На данный момент единственным надежным решения проблемы является установка официальных обновлений. Также следите за логами доступа к панели Plesk на предмет подозрительных изменений настроек защищенных директорий.

Если по каким-то причинам патч установить невозможно, временно ограничьте доступ пользователей к функционалу Password-Protected Directories через настройки Service Plans, отключив эту опцию.

#blue_team #Plesk #CVE #RCE #LPE

🔍 Google прекратит работу Dark Web Reports

Да, еще один Killed-by-Google-сервис.

Как заявили в компании, предоставляемый сервисом отчет содержал общую информацию, но, по мнению пользователей, не давал понять, что делать дальше. Поэтому спустя три года существования его решили закрыть. С 16 февраля 2026 года отчет о пользовательских данных в даркнете станет недоступен.

После закрытия Google хочет сосредоточиться на инструментах, которые предлагают более четкие и практические рекомендации по защите данных в интернете.

Press F заранее и этому проекту. 😂

#red_team #Google

✅ CVE-2025-64669 (CVSS 7.8): LPE в Windows Admin Center

Исследователи Cymulate Research Labs сообщили про LPE-уязвимость в Microsoft Windows Admin Center (версии до WAC 2411), позволяющей повысить права с low-privileged user до SYSTEM.

Уязвимость возникла из-за того, что папка C:\ProgramData\WindowsAdminCenter имеет права на запись для всех пользователей. При этом привилегированные процессы WAC загружают оттуда файлы и выполняют их от SYSTEM.

Представлено два основных вектора эксплуатации:

🔵 Extension Uninstall Mechanism Abuse — подмена signed PowerShell-скриптов в C:\ProgramData\WindowsAdminCenter\Extensions\<ExtensionName>\uninstall\, которые выполняются от SYSTEM при деинсталляции расширений через WAC UI/API​.
🔵 Updater DLL Hijacking — TOCTOU-атака с подменой DLL в C:\ProgramData\WindowsAdminCenter\Updater\ через WMI Event мониторинг процесса WindowsAdminCenterUpdater.exe, позволяющая выполнить код от SYSTEM при триггере эндпоинта /api/update.

Защита

🔵 Обновите Windows Admin Center до версии выше WAC 2411.

В качестве дополнительных мер или при невозможности обновиться:

🔵 Измените ACL на C:\ProgramData\WindowsAdminCenter — запретите запись для обычных пользователей​.
🔵 Ограничьте доступ к подпапкам Extensions\ и Updater\ только для SYSTEM и администраторов.

➡️ Подробности в отчете.

#blue_team #CVE #Windows #LPE

Вторник — пора делиться с коллегами полезными и интересными материалами.

Собрал вам несколько мастридов и инструментов на изучение.

🔵 ace_analyzer — Python-инструмент для автоматического анализа уязвимостей Active Directory Certificate Services (ADCS), детектирующий ESC1-ESC8 privilege escalation векторы. Парсит BloodHound JSON экспорты certificate templates и CA, идентифицирует опасные конфигурации, генерирует детальные отчеты. Написан с использованием AI, поддерживает quiet mode для CI/CD интеграции.​

🔵 CyberVolk Returns — обзор деятельности пророссийской хактивисткой группировки, вернувшейся в августе 2025 года с новым RaaS VolkLocker 2.x (Golang, Linux/Windows). В новой версии шифровальщика исследователи нашли уязвимость: главный ключ шифрования записывается в нешифрованный файл %TEMP%\system_backup.key через функцию backupMasterKey(), что позволяет пострадавшим самостоятельно восстановить файлы без уплаты выкупа.​

🔵 We should all be using dependency cooldowns — интересное рассуждение на тему использования dependency cooldowns (задержек обновления зависимостей) в качестве бесплатного и эффективного метода защиты от атак на цепочки поставок. Как пишет автор, разрыв между компрометацией проекта и публикацией вредоносного кода может составлять недели или месяцы. Но после публикации supply chain security вендоры обнаруживают угрозу за часы или дни. Поэтому простая настройка cooldown через Dependabot, Renovate или встроенные функции пакетных менеджеров дает 80-90% защиту без дополнительных затрат.

🔵 AI agents find $4.6M in blockchain smart contract exploits — исследователи Anthropic и MATS оценили способность AI-агентов эксплуатировать уязвимости в блокчейн смарт-контрактах на новом бенчмарке SCONE-bench из 405 реально скомпрометированных контрактов. По итогам эксперимента оказалось, что Claude Opus 4.5, Sonnet 4.5 и GPT-5 коллективно разработали эксплойты на $4.6 млн для контрактов, скомпрометированных после марта 2025. Также при тестировании 2849 реальных контрактов без известных уязвимостей Sonnet 4.5 и GPT-5 нашли два новых 0-day эксплойта стоимостью $3694 при API-затратах GPT-5 в $3476. Все это, как минимум, наглядно показывает техническую осуществимость прибыльной автономной эксплуатации.

#blue_team #полезное

Давайте я от себя добавлю внеплановый бонус.

Нашел вот такую интересную штуку, очень хочу поделиться. 🎉

z8086: Rebuilding the 8086 from Original Microcode — open source проект, воссоздающий процессор Intel 8086 для FPGA с использованием восстановленного оригинального микрокода Intel вместо современной переимплементации. Ядро компактно (около 2000 строк SystemVerilog) и эффективно, занимает всего 2500 логических элементов на Gowin GW5A с максимальной частотой 60 МГц. Это в 10 раз меньше аналога ao486.

Там при реверсе автор обнаружил ошибки в формулах сигналов FC/SC из патента Intel (вместо MT должно быть "not MT"), после чего на редкость точно воспроизвёл баг обработки прерываний оригинального чипа 1978 года через регистр delay_interrupt, блокирующий прерывания после инструкций POP SS и MOV SS.

В общем, вкусно.

#red_team

🗡 Сегодня учимся защищаться от ботов через анализ несоответствий в заголовках User-Agent Client Hints (UA-CH) и Sec-Fetch-* метаданных

CAPTCHA, как известно, неэффективна в борьбе с ботами из-за существования сервисов решения и негативного влияния на пользовательский опыт. JavaScript-вызовы вообще больше не доказывают человеческое присутствие, поскольку современные headless-браузеры исполняют их в полноценных экземплярах Chromium. В связи с этим исследователь Andrea Menin из Sicura Next предложил свой вариант защиты.

По сути это техника обнаружения ботов не по одному признаку, а по «целостности личности» браузера, то есть согласованности всего стека идентификации.

➡️ Суть метода

Автор предлагает проверять согласованность между обычным User-Agent, заголовками Client Hints (Sec-CH-UA, Sec-CH-UA-Platform, Sec-CH-UA-Mobile) и заголовками Sec-Fetch-*, которые описывают контекст возникновения запроса (навигация, XHR, клик пользователя и т.д.).

У реального браузера эти слои полностью совпадают. Если UA заявляет «Chrome 142 под macOS», то Client Hints подтвердят «macOS» с той же мажорной версией, а Sec-Fetch-* будут типичны для реальной навигации: Sec-Fetch-Mode: navigate, Sec-Fetch-Dest: document, Sec-Fetch-Site: none только при вводе URL в адресную строку, Sec-Fetch-User: ?1 исключительно при реальном действии пользователя.

У headless-браузеров и криво замаскированных ботов часто наблюдается рассинхрон:

🔵 UA подделан под Chrome/Windows, а Sec-CH-UA-Platform сообщает Linux или Android;
🔵 Chrome 140+ в UA, но Client Hints полностью отсутствуют, хотя в нормальном Chrome они включены по умолчанию с 2020 года;
🔵 на XHR/POST-формы прилетает Sec-Fetch-Mode: navigate или Sec-Fetch-Dest: document, а должно быть empty;
🔵 внутренняя навигация сайта с Sec-Fetch-Site: none, как будто пользователь только что набрал URL в адресной строке, а не кликнул по ссылке;
🔵 отсутствие Sec-Fetch-User: ?1 при программных навигациях через page.goto().

Метод неплохой, но картину портят Android WebView и iOS WKWebView. Там Client Hints могут легально не отправляться вовсе, Sec-Fetch-* часто пустые или всегда отправляют Sec-Fetch-Site: none, что внешне неотличимо от headless-браузеров. Поэтому автор отмечает, что нельзя блокировать трафик по единичному признаку. Необходимо анализировать общую согласованность всех слоев идентификации. В противном случае, массовые ложные срабатывания на легитимные мобильные приложения вам гарантированы..

🔗 Подробности в обзоре.

#blue_team #BotDetection #WebSecurity

Среда, мои чуваки! Пора делиться полезными штуками для редтимеров. 🐸

🐸 CaA (Collector and Analyzer) — BurpSuite-расширение для автоматизированного анализа HTTP-трафика и построения fuzzing-словарей. Извлекает из перехваченных запросов параметры, пути, файлы и их значения, статистически анализирует частоту появления и генерирует payload-наборы для BurpSuite Intruder. Цель проекта — data mining для поиска скрытых attack surface через статистический анализ реальных протокольных паттернов веб-приложений.

🐸 Malware Just Got Its Free Passes Back! — иисследователь Alessandro Magnosi (klezVirus) представил технику обхода систем обнаружения угроз через манипуляцию стеком вызовов в Windows. Moonwalk++ является эволюцией оригинального метода Stack Moonwalk и демонстрирует обход алгоритма детектирования Eclipse, реализованного в решениях Elastic Security Labs. Ключевые методы обхода: подбор Windows-гаджетов с легитимными CALL-инструкциями перед адресами возврата для прохождения валидации, инжект шелл-кода в легитимные процессы для обхода проверки резолва модулей, размещение кастомных ROP-цепочек для шифрования/дешифрования через SystemFunction032 в скрытой области стека между BaseThreadInitThunk и первым спуфленным фреймом.

🐸 byvalver — CLI-инструмент на C для автоматического удаления нулевых байтов (\x00) и других bad characters из шелл-кода x86/x64 с сохранением полной функциональной эквивалентности. Использует модульную стратегию из двух проходов: опциональная обфускация для противодействия анализу и денуллификация для удаления проблемных байтов, дополненные ML-слоем для оптимизации стратегий замены и пакетной системой обработки.

🐸 Winning Race Conditions with Path Lookups — James Forshaw (Google Project Zero) описал технику эксплуатации race condition в Windows через искусственное замедление процесса поиска именованных объектов в Object Manager Namespace до ~3 минут вместо стандартных 2 микросекунд. Метод эксплуатирует TOCTOU-уязвимость, где между шагами можно изменить состояние системы через NTFS mount point. Актуальна для Windows 11 24H2.

🐸 Shannon — полностью автономный AI-агент для поиска эксплуатируемых уязвимостей в веб-приложениях, разработанный компанией KeygraphHQ. Выдал 96,15% на бенчмарке XBOW (hint-free, source-aware тестирование реальных багов). Заявлено, что Shannon полностью самостоятельно анализирует код приложения, строит граф атаки, генерирует эксплойты и подтверждает их работоспособность без подсказок от человека.

#red_team #полезное

✅ «Лаборатория Касперского» сообщила о новой кампании группировки «Форумный тролль», нацеленной на Россию

На этот раз злоумышленники атаковали конкретных ученых в области политологии, международных отношений и мировой экономики, работающих в крупнейших российских университетах и научных учреждениях. В новой кампании целью злоумышленников было установить слежку за конкретными деятелями науки.

Потенциальным жертвам с адреса support@e-library[.]wiki рассылали фишинговые письма якобы от имени научной библиотеки eLibrary (реальный сайт elibrary.ru). Вредоносный домен e-library[.]wiki более чем за полгода до старта рассылки чтобы повысить репутацию домена для обхода спам-фильтров.

Письма содержали ссылку на скачивание персонализированного под жертву архива вида <Фамилия>_<Имя>_<Отчество>.zip, якобы содержащего отчет о плагиате. Причем архив можно было скачать только один раз. Это сделано для усложнения дальнейшего расследования и анализа вредоноса.

При нажатии на ярлык выполнялся PowerShell-скрипт, скачивающий полезную нагрузку на PowerShell с вредоносного сервера и запускающий ее. По итогу на устройство загружался коммерческий редтиминг-фреймворк Tuoni. C2-коммуникация велась через легитимный сервис fastly.net.

➡️ Обзор новой кампании доступен по ссылке.

В прошлый раз эти же хакеры распространяли шпионское ПО Dante через фейковые приглашения на научно-экспертный форум «Примаковские чтения». Целями были: представители СМИ, университетов, научно-исследовательских центров, государственных и прочих российских организаций.

#blue_team #APT #шпионы

🎁 SantaStealer — новогодний «подарок» от русскоязычных хакеров

Что, уже поставили елочку? Подарки закупили? Отдых запланировали? Ладно, не буду на больное давить. 😠

Тут ребята из Rapid7 препарировали новый модульный инфостилер, который в Telegram рекламируют как «полностью невидимый». На деле же малварь даже не обфусцирована, светит отладочными символами и легко читается. Что, впрочем, не мешает разрабам продавать подписку за $175 (Basic) и $300 (Premium) в месяц.

По факту это ребрендинг Blueline Stealer от тех же русскоязычных авторов требую, чтобы переименовали в Dead Moroz. Реклама крутится на Lolz, админка висит на домене .su, а в билдере есть галочка, чтобы не атаковать «своих» (CIS check).

Что под капотом:

⏺ Пытается работать в памяти (fileless), но получается не очень.
⏺ Умеет обходить AppBound Encryption в браузерах через технику ChromeElevator (reflective process hollowing).
⏺ Данные жмет в ZIP, режет по 10 МБ и шлет через нешифрованный HTTP.

Несмотря на громкие заявления о неуловимости, сэмплы откровенно сырые. Видимо, авторы очень торопились «порадовать» комьюнити к Новому году. 🎉

🔴 Подробности в отчете.

#red_team #стилеры #SantaStealer #malware

🗡 ConsentFix — еще одна вариация ClickFix-атаки

Коллеги из Push Security описали технику браузерного фишинга, злоупотребляющую легитимным OAuth‑флоу для получения доступа к облачному аккаунту без кражи пароля и обхода MFA. Это не что иное как вариация ClickFix, только без фейковой CAPTCHA. Пользователь вручную передает злоумышленнику коды авторизации, которые затем обменивается на токены.

Примечательно, что основная часть атаки проходит внутри доверенной инфраструктуры провайдера аутентификации, поэтому классические признаки фишинга выражены слабее. Злоумышленники, по классике, опираются на социнженерию: жертву убеждают выполнить «техническое действие» (скопировать и вставить URL/параметр), которое и завершает компрометацию.

Сценарий атаки

➡️ Потенциальная жертва попадает на фишинговую страницу, имитирующую проверку Cloudflare, и вводит email. Атака продолжается только если адрес соответствует целевому домену или учетной записи.
➡️ После нажатия Sign In открывается новая вкладка с реальным URL входа Microsoft, пользователь проходит штатную аутентификацию.
➡️ После успешного входа браузер перенаправляется на localhost‑URL, содержащий OAuth authorization code, связанный с сессией и аккаунтом жертвы.
➡️ Фишинговая страница просит скопировать этот URL (или код из него) и вставить обратно в исходное окно. В результате злоумышленник получает код и обменивает его на токены доступа к облачным ресурсам.

Рекомендации по защите

🔵 Проинструктируйте сотрудников никогда не копировать/вставлять URL аутентификации и параметры из адресной строки (включая code) в формы на сторонних ресурсах.

🔵 Используйте EDR и Sysmon для поиска цепочек «браузер — localhost redirect — последующее нетипичное обращение к облаку/токен‑эндпоинтам», а также аномалий в поведении браузера и сетевых соединениях.

🔵 В рамках корпоративных учений отдельно отработайте сценарии, где страница входа подлинная, но от пользователя требуют ручных действий с URL/параметрами после логина.

🔗 Подробности по ссылке.

#blue_team #ConsentFix #фишинг

📝 В Microsoft Partner Center обнаружена критическая уязвимость CVE-2025-65041 (CVSS 10.0)

Баг позволяет неавторизованному атакующему удаленно повышать привилегии без взаимодействия с пользователем. Затронута платформа Microsoft Partner Center, которую партнеры Microsoft используют для управления подписками, лицензиями и облачными сервисами.

Эксплуатация

Атакующий формирует HTTP-запрос с параметрами, которые должны быть доступны только для авторизованных пользователей или администраторов. Например, изменение лицензии, доступ к учетным записям партнеров или клиентов. В запросе нет данных для аутентификации (логин/пароль, токен, cookie), но из-за бага авторизации платформа обрабатывает запрос будто он от администратора.

Получив доступ к административным функциям можно:

⏺ Создавать новые учетные записи
⏺ Менять параметры подписок и лицензий
⏺ Копировать или удалять данные клиентов
⏺ Интегрироваться с другими системами через Partner Center, если такая интеграция настроена

Пока без PoC. И без исправлений этого бага или даже списка уязвимых версий сервиса. Так что если вдруг используете Microsoft Partner Center, срочно изолируйте от других систем и следите за ситуацией.

#red_team #CVE #Microsoft

✅ Cisco: Zero-Day в Secure Email Gateway (CVE-2025-20393, CVSS 10.0)

Cisco подтвердила эксплуатацию критической RCE-уязвимости в шлюзах безопасности Secure Email Gateway (ESA) и менеджерах Secure Email and Web Manager (SMA), работающих на AsyncOS. Баг активно используется китайской группировкой UAT-9686 (Velvet Ant) для кибершпионажа.

Уязвимость класса Improper Input Validation находится в компоненте Spam Quarantine. Если интерфейс карантина (обычно TCP/83) доступен из недоверенной сети, неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос, который приведет к инъекции команд.

Как итог — исполнение произвольного кода с привилегиями root, получение полного контроля над устройством, доступа к конфиденциальной переписке и возможности использования шлюза как прокси для атак на внутренний периметр.

Группа UAT-9686 разворачивает на скомпрометированных хостах сложный модульный инструментарий, чтобы добиться закрепления в системе:

🔵 AquaShell — скриптовый Python-бэкдор для удаленного управления.
🔵AquaTunnel (на базе ReverseSSH) и Chisel — для организации скрытых туннелей и обхода NAT.
🔵 AquaPurge — утилита для зачистки системных логов и сокрытия факта компрометации.

Что делать

➡️ Установите последние обновления AsyncOS, устраняющие уязвимость.

➡️ Немедленно закройте доступ к интерфейсу Spam Quarantine (TCP 80/443/83) из интернета на уровне сетевых экранов.

➡️ Для уже скомпрометированных устройств простого обновления недостаточно. Бэкдоры модифицируют системные разделы, поэтому единственный надежный метод восстановления — полный re-image и смена всех учетных данных.

#blue_team #Cisco #ZeroDay #RCE #UAT9686

Вторник — пора делиться с коллегами полезными материалами по борьбе с киберпреступниками и их «творчеством».

Собрал для вас несколько мастридов на изучение.

➡️ Beyond the bomb: When adversaries bring their own virtual machine for persistence — исследователи Red Canary описали свежую технику злоумышленников, в рамках которой после массированного email-спама на организацию хакеры звонят жертвам под видом техподдержки и предлагают помощь в очистке почты. Получив доступ через легитимный Quick Assist, они запускают вредоносный код и разворачивают полноценную виртуальную машину на базе QEMU с готовым арсеналом для атаки, включая C2-фреймворк Sliver и бэкдор QDoor.

➡️ Prince of Persia: A Decade of Iranian Nation-State APT Campaign Activity under the Microscope — иранская APT-группировка Prince of Persia (Infy), считавшаяся неактивной с 2022 года, на самом деле продолжала скрытно действовать и к концу 2025 года значительно усложнила свой инструментарий. Эксперты обнаружили новые версии малвари и зафиксировали переход на Telegram в качестве C2-канала. Это, кстати, позволило вычислить личный аккаунт одного из операторов группировки.

➡️ TP-Link Tapo C200: Hardcoded Keys, Buffer Overflows and Privacy in the Era of AI Assisted Reverse Engineering — отчет о реверс-инжиниринге прошивки IP-камеры TP-Link Tapo C200, проведенном с активным применением AI-ассистентов Grok, GhidraMCP и Cline. Обнаружены критические уязвимости: переполнение буфера в сервисах ONVIF и HTTPS (приводит к DoS), а также возможность неавторизованного переключения Wi-Fi и сканирования эфира. Последний баг позволяет удаленно определить точное физическое местоположение камеры через BSSID соседних точек доступа и перехватить видеопоток, переключив устройство на подконтрольную сеть.

➡️ Can chatbots craft correct code? — разбор проблем использования LLM в разработке. В отличие от компиляторов, гарантированно сохраняющих семантику кода, LLM по своей природе недетерминированы и могут менять смысл программы при рефакторинге или переводе с языка на язык. Автор приводит пример, когда Claude «исправил» несуществующий баг в инструменте Vendetect, сломав рабочую логику из-за непонимания контекста. Как заключают авторы, к коду от LLM нужно относиться как к творчеству джуниора — полезен для простых задач, но опасен в сложных легаси-системах.

#blue_team #полезное

Среда, мои чуваки! Пора делиться полезными штуками для редтимеров.

В этот раз даже есть что про игры написать! Соскучились? 🐸

🐸 How we pwned X (Twitter), Vercel, Cursor, Discord, and hundreds of companies through a supply-chain attack — разбор масштабной атаки на цепочку поставок через Mintlify. Автор, позиционирующий себя как 16-летний исследователь под ником hackermondev, обнаружил критическую XSS-уязвимость, которая позволяла внедрять вредоносный JavaScript прямо на официальные страницы документации платформ. Это давало возможность перехватывать сессии, красть токены авторизации и угонять аккаунты, просто заманив жертву на легитимный с виду поддомен.

🐸 SILPH (Stealthy In-Memory Local Password Harvester) — инструмент для скрытого извлечения учетных данных (дамп секретов LSA, SAM и DCC2) напрямую из памяти Windows. Утилита работает на хосте без создания RPC-служб и заточена под интеграцию в C2-фреймворк Orsted. Для обхода средств защиты и снижения заметности используются непрямые системные вызовы.

🐸 pathfinding.cloud — открытая база знаний по техникам повышения привилегий в AWS с 65+ задокументированными векторами эскалации. Ресурс разбивает атаки по категориям, детально описывает пререквизиты и необходимые права, а также показывает, какие защитные инструменты способны обнаружить конкретную угрозу. Проект закрывает пробелы в покрытии, так как около 42% описанных методов сейчас не детектируются стандартным open-source софтом.

🐸 Conditional Access Payload Delivery (CAPD) — техника скрытной доставки пейлоадов через бессерверные функции Cloudflare Workers. Воркер настраивается так, чтобы отдавать вредоносный файл только при наличии в запросе секретного HTTP-заголовка или выполнении других условий. Это скрывает инфраструктуру от автоматических сканеров, поскольку без знания «ключа» сервер попросту вернет безобидную страницу или ошибку, не вызывая подозрений.

🐸 Exploiting Anno 1404 — разбор критических уязвимостей в сетевом протоколе игры Anno 1404: Venice, приводящих к RCE при подключении к мультиплееру. Комбинируя Path Traversal при передаче файла сохранения и переполнение буфера в парсере 3D-моделей формата .gr2 (библиотека Granny 3D), можно перезаписать память процесса и выполнить код на компьютере жертвы без каких-либо дополнительных взаимодействий с ее стороны.

#red_team #полезное

🗡 GreyNoise Report: Технический анализ кампании React2Shell

GreyNoise провели глубокий анализ трафика эксплуатации CVE-2025-55182 (RCE в React Server Components через небезопасную десериализацию). На выборке из 50к+ уникальных пейлоадов исследователи выявили четкие паттерны индустриальной эксплуатации и, частично, демистифицировали реальную роль LLM в атаках.

Материал обязателен к изучению для Blue Team при настройке WAF/SIEM правил.

Анализ распределения байт-кода позволил выделить три четкие группы:

➡️ 150–400 байт (Automated Noise) — подавляющее большинство трафика. Это автоматизированные сканеры. Пейлоады содержат минимальный Node.js/Next.js бойлерплейт, обертывающий базовые команды разведки (whoami, curl) для подтверждения RCE.

➡️ 1000+ байт (Actual Threats) — «тяжелые» сложные скрипты. Включают криптомайнеры, механизмы персистенции, очистки логов и сокрытия процессов. На графиках распределения встречаются редко, так как обычно подгружаются вторым этапом после успешного фингерпринтинга.

➡️ The Messy Middle — ботнеты Mirai и его форки. Характеризуются хаотичным разбросом размеров из-за постоянного копипаста кода и модификации скриптов-дропперов операторами средней руки.

AI vs Human Tradecraft

Исследователи выделили сигнатуры, позволяющие отличить код, сгенерированный LLM, от инструментов опытных операторов:

🔵 LLM оставляет капитанские комментарии, например, объяснение POSIX-стандартов или // process.getuid() returns 0), а также структурные артефакты промптов.
🔵 Использование чистых паттернов из обучающих датасетов: корректные полифилы для require, идеальная обработка потоков и проверки условий.
🔵 Идеально написанная обертка может содержать критические логические ошибки. Пример из отчета: скрипт содержал функцию декодирования Base64, но сама вредоносная нагрузка была передана в plain text, что сломало исполнение.

В общем, авторы пишут, что апокалипсис AI-хакинга откладывается. 🔝

Текущий ландшафт угроз — это массовая автоматизация шаблонов, написанных людьми. Пейлоады, созданные с помощью AI, пока остаются уделом script kiddies и часто неработоспособны. Реальные APT и опытные киберпреступники продолжают использовать проверенный годами tradecraft, который AI пока не способен качественно имитировать.

🔗 Подробности в отчете.

#blue_team #React2Shell #AI #React