Forwarded from پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams (k bs)
APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
- نسخه جایگزین
شاخص های شبکهای:
هش فایل ها:
روش های شناسایی
1. نظارت بر فعالیت فایل:
2. شناسایی جاسوسی:
3. نظارت شبکهای:
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
آرتیفکت های فایل:
- %PROGRAMDATA%\info\info.txt
- اطلاعات سیستمی
- Appendix.pdf.pif
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe
- نسخه جایگزین
شاخص های شبکهای:
- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنهها:
boroda70@meta.ua, stayathomeclasses.com
- API: inference.huggingface.co (Qwen 2.5-Coder)
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
هش فایل ها:
- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
روش های شناسایی
1. نظارت بر فعالیت فایل:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public
2. شناسایی جاسوسی:
- اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist
3. نظارت شبکهای:
- اتصالات به نقاط پایانی API مدلهای زبانی:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com`
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
بیش از 200 گزارش امنیتی از کمپانی های شرکت کننده در ایونت کشف و گزارش شد…
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
❤4👍1
executing shellcode from non-executable memory and "bypassing" DEP/NX.
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
GitHub
GitHub - VirtualAlllocEx/HWBP-DEP-Bypass: Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints,…
Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints, vectored exception handling, and instruction emulation on Windows x64. For security research and learning purpos...
🗿4
Forwarded from SoheilSec (Soheil)
At this week’s Microsoft BlueHat IL conference, Benjamin Delpy - widely respected for his work with Mimikatz - delivered what appears to be the first industry leak of Mimikatz 3.0.0 in a live demo. For those of us who have used Mimikatz extensively, this update is particularly intriguing. Delpy made it clear from the outset that this version won’t be publicly released anytime soon - a move that suggests significant shifts ahead.
⚠️ ALERT: A Chrome zero-day (CVE-2025-2783) was exploited to deliver spyware built by Memento Labs — the firm behind past government surveillance tools.
One click in Chromium = full sandbox escape.
Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html
One click in Chromium = full sandbox escape.
Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html
دوستان لطفا داخل پروفایل لینکدینتون یا رزومتون ایمیلتون رو نزارید🙏
اگر هم میزارید ایمیلی باشه که هیج جا باهاش رجیستر نکردین❗️
شماره یا ایمیل یا هرچیزی که بهتون پوینت میشرو پاک کنید.
اگر هم میزارید ایمیلی باشه که هیج جا باهاش رجیستر نکردین❗️
شماره یا ایمیل یا هرچیزی که بهتون پوینت میشرو پاک کنید.
❤11
CyberSecurity
https://x.com/sardar0x1/status/1978219086065627488?t=xfJS2uQZ1_ml9oi5ccm6LA&s=19
این چیزی که سردار زده خیلی تمیزه🤌🏻
😈4
گزارش روند حملات سایبری در سال 2025 از mandiant
Cyberattack Trends Report 2025 From Mandiant
https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
Cyberattack Trends Report 2025 From Mandiant
https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
GitHub Monitoring Alert!!!
Updated: #RCE
Denoscription: This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique
URL: https://github.com/curiv/postgres-1c-for-pentest
Tag: #RCE
Updated: #RCE
Denoscription: This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique
URL: https://github.com/curiv/postgres-1c-for-pentest
Tag: #RCE
GitHub
GitHub - curiv/postgres-1c-for-pentest: This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique
This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique - GitHub - curiv/postgres-1c-for-pentest: This repo contains a valid ready to run Dockefile to be used in 1...
GitHub Monitoring Alert!!!
Updated: CVE-2025
Denoscription: PoC of CVE-2025-62168
URL: https://github.com/shahroodcert/CVE-2025-62168
Tag: #CVE-2025
Updated: CVE-2025
Denoscription: PoC of CVE-2025-62168
URL: https://github.com/shahroodcert/CVE-2025-62168
Tag: #CVE-2025
GitHub
GitHub - shahroodcert/CVE-2025-62168: PoC of CVE-2025-62168
PoC of CVE-2025-62168. Contribute to shahroodcert/CVE-2025-62168 development by creating an account on GitHub.
GitHub Monitoring Alert!!!
Updated: CVE-2025
Denoscription:🐙 CVE-2025-54253 exploit demo for Adobe AEM Forms on JEE: OGNL injection to RCE with PoC, Python 3.10 exploit code, reproducer and mitigation guidance.
URL:https://github.com/QurtiDev/WSUS-CVE-2025-59287-RCE
Tag: #CVE-2025
Updated: CVE-2025
Denoscription:🐙 CVE-2025-54253 exploit demo for Adobe AEM Forms on JEE: OGNL injection to RCE with PoC, Python 3.10 exploit code, reproducer and mitigation guidance.
URL:https://github.com/QurtiDev/WSUS-CVE-2025-59287-RCE
Tag: #CVE-2025
GitHub
GitHub - QurtiDev/WSUS-CVE-2025-59287-RCE: Exploit noscript written in C# to aid gaining a reverse shell on targets with Windows…
Exploit noscript written in C# to aid gaining a reverse shell on targets with Windows Server Update Service(WSUS) CVE-2025-59287. - GitHub - QurtiDev/WSUS-CVE-2025-59287-RCE: Exploit noscript written ...
Media is too big
VIEW IN TELEGRAM
Generative AI for OSINT: Next Level Techniques for ChatGPT and Beyond
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
وقتی به این فکر میکنم کار و زندگی بقیه چیه و بعدش با کار خودمون مقایسش میکنم:
👍6
Forwarded from پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams (Komeil 166)
🚨 New Vulnerability Alert: CVE-2025-12507
🟠 Risk Level: HIGH (Score: 8.8)
گزارش تحلیل آسیبپذیری: CVE-2025-12507
🔎 شرح آسیبپذیری:
آسیبپذیری از نوع Unquoted Service Path در سرویس
زمانی که ویندوز سعی در اجرای سرویسی با مسیر
۱.
۲.
۳.
این رفتار به یک مهاجم اجازه میدهد تا با قرار دادن یک فایل مخرب در مسیرهای بالاتر، آن را به جای سرویس اصلی اجرا کند.
⚠️ تأثیرات:
تأثیر اصلی این آسیبپذیری، افزایش سطح دسترسی (Privilege Escalation) است. از آنجایی که سرویسها معمولاً با دسترسیهای سطح بالا مانند
این امر میتواند منجر به کنترل کامل سیستم، نصب بدافزار یا درهای پشتی (Backdoor)، سرقت اطلاعات حساس و یا اختلال در عملکرد کل شبکه شود.
🎬 سناریوی حمله:
۱. مهاجم با یک دسترسی سطح پایین (مثلاً به عنوان یک کاربر عادی) وارد سیستم هدف میشود.
۲. مهاجم با بررسی سرویسهای در حال اجرا، متوجه میشود که سرویس
۳. مهاجم بررسی میکند که آیا در مسیر
۴. در لحظهای که سیستم ریاستارت شود یا سرویس
۵. در این لحظه، مهاجم به واسطه شِل اجرا شده، کنترل کامل سیستم را با بالاترین سطح دسترسی در اختیار میگیرد.
🟠 Risk Level: HIGH (Score: 8.8)
گزارش تحلیل آسیبپذیری: CVE-2025-12507
🔎 شرح آسیبپذیری:
آسیبپذیری از نوع Unquoted Service Path در سرویس
Bizerba Communication Server (BCS) شناسایی شده است. این مشکل زمانی رخ میدهد که مسیر فایل اجرایی یک سرویس در رجیستری ویندوز، داخل علامت نقل قول (Quotation Marks) قرار نگرفته باشد.زمانی که ویندوز سعی در اجرای سرویسی با مسیر
C:\Program Files\Some App\service.exe دارد، به دلیل وجود فاصله در نام Program Files و نبود کوتیشن، سیستمعامل به ترتیب مسیرهای زیر را برای اجرا جستجو میکند:۱.
C:\Program.exe۲.
C:\Program Files\Some.exe۳.
C:\Program Files\Some App\service.exeاین رفتار به یک مهاجم اجازه میدهد تا با قرار دادن یک فایل مخرب در مسیرهای بالاتر، آن را به جای سرویس اصلی اجرا کند.
⚠️ تأثیرات:
تأثیر اصلی این آسیبپذیری، افزایش سطح دسترسی (Privilege Escalation) است. از آنجایی که سرویسها معمولاً با دسترسیهای سطح بالا مانند
SYSTEM اجرا میشوند، مهاجمی که دسترسی محدودی به سیستم دارد میتواند با بهرهبرداری از این ضعف، کد مخرب خود را با بالاترین سطح دسترسی در سیستم اجرا کند.این امر میتواند منجر به کنترل کامل سیستم، نصب بدافزار یا درهای پشتی (Backdoor)، سرقت اطلاعات حساس و یا اختلال در عملکرد کل شبکه شود.
🎬 سناریوی حمله:
۱. مهاجم با یک دسترسی سطح پایین (مثلاً به عنوان یک کاربر عادی) وارد سیستم هدف میشود.
۲. مهاجم با بررسی سرویسهای در حال اجرا، متوجه میشود که سرویس
BCS دارای مسیر اجرایی بدون کوتیشن است: C:\Program Files\Bizerba\BCS.exe.۳. مهاجم بررسی میکند که آیا در مسیر
C:\ قابلیت نوشتن فایل را دارد یا خیر. در صورت داشتن این دسترسی، یک فایل اجرایی مخرب (مثلاً یک Reverse Shell) ایجاد کرده و نام آن را به Program.exe تغییر میدهد و در مسیر C:\ قرار میدهد.۴. در لحظهای که سیستم ریاستارت شود یا سرویس
BCS به هر دلیلی مجدداً راهاندازی شود، ویندوز قبل از رسیدن به مسیر اصلی، فایل مخرب C:\Program.exe را پیدا کرده و آن را با دسترسی SYSTEM اجرا میکند.۵. در این لحظه، مهاجم به واسطه شِل اجرا شده، کنترل کامل سیستم را با بالاترین سطح دسترسی در اختیار میگیرد.