ESCalator
Средства_защиты_от_фишинговых_атак_PHDays_2025.pdf
2.2 MB
А еще можно посмотреть записи:
• (Ex)Cobalt. Новый зверинец группы: пума, осьминог и другие
• Смотрим глубже: ищем подозрительные COM-запросы на уровне ALPC
• Open source? Enterprise? True story про путешествие туда и обратно
• Vulristics — утилита для анализа и приоритизации уязвимостей
• Небезопасные проверки nuclei
#PHDays
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤39👍15⚡9🔥8🎉2💩2
🛡 Puma: как руткит обеспечивает тайный SSH-доступ через незаметную подмену ключей
Продолжая наш рассказ о деятельности группировки ExCobalt и ее новом инструменте — рутките Puma, представленном на киберфестивале PHDays, подробнее разберем одну из его наиболее изощренных и опасных техник — скрытую модификацию файла
⚙️ Как это работает
LKM-руткит перехватывает системные вызовы
При попытке процесса
Таким образом, в типичном сценарии атаки:
1. Злоумышленник инициирует SSH-соединение и пытаются авторизоваться с использованием собственного закрытого ключа.
2. Процесс
3. Руткит незаметно дописывает свой ключ к возвращаемому содержимому файла.
4. Процесс
5. В результате злоумышленник получает полноценный интерактивный доступ к скомпрометированной системе от имени любого пользователя и возможность выполнять произвольные команды.
Опасность такой техники высока, поскольку до момента выгрузки руткита из памяти системы даже полная смена пароля или полное отключение парольной аутентификации не помогут избавиться от угрозы, а содержимое файла на диске не изменится, что обеспечивает и высокую скрытность такой техники. Особо опасна ситуация, когда ключ внедряется в файл
🔎 Как быстро обнаружить эту атаку
Для выявления скрытой модификации файла
Для автоматизации такого детекта предлагаем использовать скрипт, который мы оставили в комментариях.
Если при выполнении скрипта обнаруживаются расхождения в результатах чтения файла, это является однозначным признаком компрометации системы и требует немедленных мер реагирования:
• ограничения SSH-доступа;
• снятия дампа памяти;
• обращения к специалистам по реагированию на инциденты ИБ.
#TI #Detect #APT #Malware
@ptescalator
Продолжая наш рассказ о деятельности группировки ExCobalt и ее новом инструменте — рутките Puma, представленном на киберфестивале PHDays, подробнее разберем одну из его наиболее изощренных и опасных техник — скрытую модификацию файла
authorized_keys.⚙️ Как это работает
LKM-руткит перехватывает системные вызовы
open и openat, выполняемые процессом ssh, отслеживая обращения к файлу authorized_keys, расположенному в директории ~/.ssh/. Этот файл — основной механизм беспарольной аутентификации в OpenSSH. Если клиент предъявляет закрытый ключ, соответствующий одному из публичных ключей в этом файле, сервер считает пользователя подлинным, не запрашивает пароль и разрешает вход в систему.При попытке процесса
ssh прочитать этот файл руткит на лету модифицирует возвращаемое системой содержимое: к оригинальным данным добавляется публичный ключ, хранящийся в памяти руткита. При этом сам файл остается нетронутым: подмена выполняется исключительно в памяти ядра в момент вызова read.Таким образом, в типичном сценарии атаки:
1. Злоумышленник инициирует SSH-соединение и пытаются авторизоваться с использованием собственного закрытого ключа.
2. Процесс
sshd на машине считывает ключи из файла authorized_keys.3. Руткит незаметно дописывает свой ключ к возвращаемому содержимому файла.
4. Процесс
sshd воспринимает внедренный ключ как легитимный и разрешает доступ атакующему без запроса пароля.5. В результате злоумышленник получает полноценный интерактивный доступ к скомпрометированной системе от имени любого пользователя и возможность выполнять произвольные команды.
Опасность такой техники высока, поскольку до момента выгрузки руткита из памяти системы даже полная смена пароля или полное отключение парольной аутентификации не помогут избавиться от угрозы, а содержимое файла на диске не изменится, что обеспечивает и высокую скрытность такой техники. Особо опасна ситуация, когда ключ внедряется в файл
authorized_keys пользователя с правами root. В этом случае атакующие получают неограниченные привилегии и абсолютный контроль над скомпрометированной системой.🔎 Как быстро обнаружить эту атаку
Для выявления скрытой модификации файла
authorized_keys можно использовать следующий метод: сравнить содержимое файла, полученное при чтении через оригинальную утилиту /bin/cat, с содержимым, полученным при чтении той же утилитой, но переименованной в ssh. Дело в том, что Puma ориентируется на имя процесса перед модификацией содержимого файла authorized_keys, и при разнице в выводах можно уверенно утверждать, что в системе присутствует руткит.Для автоматизации такого детекта предлагаем использовать скрипт, который мы оставили в комментариях.
Если при выполнении скрипта обнаруживаются расхождения в результатах чтения файла, это является однозначным признаком компрометации системы и требует немедленных мер реагирования:
• ограничения SSH-доступа;
• снятия дампа памяти;
• обращения к специалистам по реагированию на инциденты ИБ.
#TI #Detect #APT #Malware
@ptescalator
🔥26❤21👌6💩4💯3
Новая кампания PhaseShifters 👽
В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.
Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен
В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.
Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам
Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением
После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.
Для маскировки атакующий процесс создает экземпляр
При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.
Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены
При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).
IoCs:
#TI #APT #Phishing
@ptescalator
В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.
Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен
minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга.В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.
Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам
bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска.Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением
.adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командойcmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k
После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.
Для маскировки атакующий процесс создает экземпляр
RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT.При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.
Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены
thelightpower.info и crostech.ru.При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).
IoCs:
2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a
Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z
193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru
#TI #APT #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20👍19👏7👾3🔥1
Нас — 5000! Откуда вы узнали про ESCalator? 🤩
Anonymous Poll
1%
Увидел баннер на сайте 🔍
16%
Коллеги порекомендовали 🤝
4%
Кликнул по ссылке в письме 🐭
0%
Нашел QR-код в журнале «Хакер» 📰
7%
Искал свой домен — нашел у вас в IoC 🤷♀️
8%
Руководитель заставляет писать сюда посты 😳
9%
Был на докладе эксперта PT ESC 🎙
29%
Из репоста в другом канале 👍
10%
Устраивался на работу, сказали читать, а то не возьмут 🤵
15%
Искал хороший эскалатор 😑
🔥18❤9👍9🤡5❤🔥3😁2👌1
Мы защитим ваши деньги… Просто отдайте их нам 😏
В начале года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта.
Выявленная цепочка атаки приводит к установке вредоносного расширения, нацеленного на пользователей из Бразилии, в Google Chrome👨💻
Более детальный ресерч показал, что, помимо обнаруженной цепочки, существует альтернативный вариант атаки, цель которой — установка средств удаленного администрирования (например, MeshAgent, PDQ Connect Agent, ScreenConnect).
На момент исследования статистика показывала более 700 скачиваний вредоносного расширения за все время его существования в Chrome Web Store (около 2,5 месяцев). Помимо этого, с учетом второй цепочки атаки было заражено около 70 компаний, инфраструктуру которых использовали для распространения фишинговых писем.
😏 Обо всем этом и не только вы можете прочитать в нашем новом исследовании «Операция Phantom Enigma».
#TI #Malware #Phishing
@ptescalator
В начале года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта.
Выявленная цепочка атаки приводит к установке вредоносного расширения, нацеленного на пользователей из Бразилии, в Google Chrome
Более детальный ресерч показал, что, помимо обнаруженной цепочки, существует альтернативный вариант атаки, цель которой — установка средств удаленного администрирования (например, MeshAgent, PDQ Connect Agent, ScreenConnect).
На момент исследования статистика показывала более 700 скачиваний вредоносного расширения за все время его существования в Chrome Web Store (около 2,5 месяцев). Помимо этого, с учетом второй цепочки атаки было заражено около 70 компаний, инфраструктуру которых использовали для распространения фишинговых писем.
#TI #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤11👍9
Один на один с Rust ☹️
В последнее время группа исследования сложных угроз TI-департамента Positive Technologies все чаще сталкивается с ВПО, написанном на Rust. ВПО бывает как очень простое, так и очень сложное в своей реализации, и чаще всего эта сложность обусловлена особенностями языка Rust.
В публичных репортах прослеживается тенденция не только к увеличению частоты использования Rust различными threat actor в качестве языка для своих инструментов, но и тенденция к усложнению этих инструментов.
Если поначалу использовались в основном простые загрузчики, дропперы, инжекторы или вспомогательные инструменты для разведки в системе жертвы, то позже Rust стали использовать для написания шифровальщиков и C2-фреймворков как с открытым, так и с закрытым исходным кодом.
☕️ В статье расскажем, какие подходы применяем для успешного реверса бинарных файлов на Rust, с какими сложностями сталкиваемся и как их преодолеваем.
#TI #Malware #Rust
@ptescalator
В последнее время группа исследования сложных угроз TI-департамента Positive Technologies все чаще сталкивается с ВПО, написанном на Rust. ВПО бывает как очень простое, так и очень сложное в своей реализации, и чаще всего эта сложность обусловлена особенностями языка Rust.
В публичных репортах прослеживается тенденция не только к увеличению частоты использования Rust различными threat actor в качестве языка для своих инструментов, но и тенденция к усложнению этих инструментов.
Если поначалу использовались в основном простые загрузчики, дропперы, инжекторы или вспомогательные инструменты для разведки в системе жертвы, то позже Rust стали использовать для написания шифровальщиков и C2-фреймворков как с открытым, так и с закрытым исходным кодом.
#TI #Malware #Rust
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥19👏8❤5🤓1
Уже не Rezet, или Новые атаки Rare Wolf 🐺
Группа киберразведки PT ESC продолжает фиксировать атаки группировки Rare Wolf: так, в конце мая злоумышленники рассылали фишинговые письма от имени
Группировка все так же доставляет вредоносный SCR-файл внутри архива, пароль к которому указан в тексте письма. При запуске SCR-файл отвлекает внимание жертвы, открывая документ-приманку, и одновременно скачивает на узел архив с PowerShell- и BAT-скриптами. В этот раз для распаковки скриптов используется скрытая папка
Rare Wolf по-прежнему собирает системную информацию, в том числе дампы реестров SAM и SYSTEM, сканирует локальные подсети в попытке скопировать файлы с других устройств и скрытно устанавливает AnyDesk для удаленного доступа.
🕗 Следует отметить, что сканирование локальной подсети проходит по жестко заданным IP-адресам и занимает около 9–10 минут, что существенно превышает лимиты динамического анализа большинства публичных песочниц. Обычно такие сервисы ограничивают время эмуляции несколькими минутами (от 1 до 6), а в расширенных режимах — не более 10–12 минут. Вероятно, цель подобных задержек — не дать песочницам зафиксировать дальнейшие действия вредоносных файлов.
🙅♂️ Единственными заметными изменениями стали отказ от файла
Для этого злоумышленники устанавливают на зараженном устройстве демон sshd и исполняемый файл tuna.exe, прописывают в firewall разрешение на входящий TCP-порт 22 и настраивают ключевую аутентификацию, обеспечивая автоматический запуск службы sshd при старте системы и поддерживая обратное SSH-соединение с сервером управления. Tuna при этом инициирует исходящее соединение к C2 и проксирует весь трафик на локальный демон sshd, обеспечивая скрытый и защищенный канал.
😠 При попытке вручную вызвать tuna (например, выполнить в командной строке
В марте этого года группировка также предпринимала попытку рассылки вирусного ПО, однако пароль от архива не совпал с тем, что был указан злоумышленниками в тексте письма. А используемый домен
IoCs
#TI #APT #phishing #malware #ioc
@ptescalator
Группа киберразведки PT ESC продолжает фиксировать атаки группировки Rare Wolf: так, в конце мая злоумышленники рассылали фишинговые письма от имени
antey-almaz-info.site в адрес компаний военно-промышленного комплекса. Текущая кампания очень похожа на ту, что мы описывали в конце января (скриншот 1).Группировка все так же доставляет вредоносный SCR-файл внутри архива, пароль к которому указан в тексте письма. При запуске SCR-файл отвлекает внимание жертвы, открывая документ-приманку, и одновременно скачивает на узел архив с PowerShell- и BAT-скриптами. В этот раз для распаковки скриптов используется скрытая папка
C:\Users\admin\Window (скриншоты 2–3).Rare Wolf по-прежнему собирает системную информацию, в том числе дампы реестров SAM и SYSTEM, сканирует локальные подсети в попытке скопировать файлы с других устройств и скрытно устанавливает AnyDesk для удаленного доступа.
rezet.cmd, использовавшегося ранее в атаках, и переход с публичного туннелирования через ngrok на собственный обратный SSH-туннель с использованием Tuna и штатного sshd — это повышает скрытность и надежность канала связи с C2-сервером. Для этого злоумышленники устанавливают на зараженном устройстве демон sshd и исполняемый файл tuna.exe, прописывают в firewall разрешение на входящий TCP-порт 22 и настраивают ключевую аутентификацию, обеспечивая автоматический запуск службы sshd при старте системы и поддерживая обратное SSH-соединение с сервером управления. Tuna при этом инициирует исходящее соединение к C2 и проксирует весь трафик на локальный демон sshd, обеспечивая скрытый и защищенный канал.
tuna tcp 22), можно увидеть адрес электронной почты, который используют злоумышленники. На скриншоте также видна ошибка, сообщающая, что учетная запись неактивна — возможно, они просто забыли продлить оплату (скриншот 4).В марте этого года группировка также предпринимала попытку рассылки вирусного ПО, однако пароль от архива не совпал с тем, что был указан злоумышленниками в тексте письма. А используемый домен
almaz-antey-info.online представлял слегка измененный вариант домена, используемого в майских атаках (скриншот 5).IoCs
mir.travelldn@gmail.com
almaz-antey-info.online
antey-almaz-info.site
b7543b3e0c3fa6bd8973dde12258c7f7
fc0b6c43185061c2b3b11ab0bfdf924f
9eb2c87299e3b1d86268ab1752b83502
#TI #APT #phishing #malware #ioc
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍12👏7❤4😁2🎉1🤡1
DarkGaboon. Яд кибергадюки в цифровых жилах российских компаний 🐍
В январе текущего года группа киберразведки TI-департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже этой весной департамент комплексного реагирования на киберугрозы непосредственно столкнулся с кибератаками DarkGaboon в ходе расследования инцидентов. Недостающими элементами kill-chain-пазла оказались сканер сетевых шар и шифровальщик LockBit.
📥 Эксперты PT ESC обнаружили, что в качестве вектора проникновения DarkGaboon использует электронные письма c замаскированными под финансовые документы RAT-троянами Revenge и XWorm, которые рассылаются с расположенного в России SMTP-сервера (
Для управления RAT-сессиями на зараженных хостах группировка использует зарегистрированный на Сейшелах Windows-хост с RDP-подключением, арендованный у американского провайдера хостинга Nybula LLC, и группу DDNS-доменов.
Артефакты, обнаруженные экспертами PT ESC на инцидентах, позволили связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit.
Подробности — в нашем блоге.
#TI #APT #Malware
@ptescalator
В январе текущего года группа киберразведки TI-департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже этой весной департамент комплексного реагирования на киберугрозы непосредственно столкнулся с кибератаками DarkGaboon в ходе расследования инцидентов. Недостающими элементами kill-chain-пазла оказались сканер сетевых шар и шифровальщик LockBit.
📥 Эксперты PT ESC обнаружили, что в качестве вектора проникновения DarkGaboon использует электронные письма c замаскированными под финансовые документы RAT-троянами Revenge и XWorm, которые рассылаются с расположенного в России SMTP-сервера (
185.185.70.85) и более 50 связанных с ним доменов в российской доменной зоне.Для управления RAT-сессиями на зараженных хостах группировка использует зарегистрированный на Сейшелах Windows-хост с RDP-подключением, арендованный у американского провайдера хостинга Nybula LLC, и группу DDNS-доменов.
196.251.66.118
myhost.servepics.com
myhost.misecure.com
kilimanjaro.theworkpc.com
Артефакты, обнаруженные экспертами PT ESC на инцидентах, позволили связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit.
Подробности — в нашем блоге.
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤9🆒5🏆4👍1
После третьей я сегодня... 🤌
Anonymous Poll
16%
Волчаро Детектино 🐺
6%
Коррелято Отключато 😐
3%
Патчело Апдейтини 😬
8%
Алертино Эскалато 🌚
6%
Секурито Аварнесито 😼
13%
Фолзито Закрывато 🙅♂️
11%
Детектини Пропустини 🙈
4%
Копилото Вызывато 📞
21%
Реверсило Малварило 👾
11%
Нагрузилини Упалини 🤦♀️
😁32🤡12👍9😎5💩2❤1