Forwarded from r3v notes
#win #kernel #vmp #deobfuscation
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
https://habr.com/ru/companies/F6/articles/564738/
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
https://habr.com/ru/companies/F6/articles/564738/
Хабр
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
Анализ вредоносных программ, защищающих себя от анализа, — это всегда дополнительные трудности для вирусного аналитика. Программа может быть обфусцирована, чтобы избежать детектирования сигнатурными и...
❤5👍1
Forwarded from CyberSecurityTechnologies
Fingerprinting_Tracking.pdf
477.6 KB
#Whitepaper
"You Again" : Fingerprinting and Tracking Mechanisms of Malicious Sites", 2025.
// Browsers provide many APIs for any visited site to perform stateful and stateless tracking, and legitimate websites utilize these capabilities. Yet little is widely known about what tracking, if any, malicious sites perform
See also:
]-> OpenWPM - web privacy measurement framework
"You Again" : Fingerprinting and Tracking Mechanisms of Malicious Sites", 2025.
// Browsers provide many APIs for any visited site to perform stateful and stateless tracking, and legitimate websites utilize these capabilities. Yet little is widely known about what tracking, if any, malicious sites perform
See also:
]-> OpenWPM - web privacy measurement framework
Exposing CharmingKitten's malicious activity for IRGC-IO devision Counterintelligence devision (1500)
https://github.com/KittenBusters/CharmingKitten
https://github.com/KittenBusters/CharmingKitten
❤5
Forwarded from شرکت گراف
گزارش «چشمانداز #تهدیدات_سایبری در ایران» منتشر شد.
🔴 این مستند شامل بررسی دوساله حملات به زیرساختهای فناوری کشور از ابتدای ۱۴۰۲ تا اسفند ۱۴۰۳ است و توسط تیم CTI گراف تهیه شده است.
🔴 محتوای این سند در اسفند ۱۴۰۳ از طریق جمعآوری دادهها از محتوای موجود در اینترنت و منابع متنباز و تحلیل آنها تهیه شده است. تیم CTI گراف با هدف افزایش آگاهی امنیت فضای سایبری کشور، مستند حاضر را تهیه کرده است.
🔴 نسخه کامل گزارش در وب سایت شرکت گراف منتشر شده و از طریق لینک زیر قابل دسترسی است:
https://graph-inc.ir/cyber-threats-report
#AnnualReport
#GRAPH
#SOC
#CTI
#XDR
#TIP
🗣 عضویت در کانال تلگرام #گراف:
🔔 https://news.1rj.ru/str/graph_inc_ir
🔴 این مستند شامل بررسی دوساله حملات به زیرساختهای فناوری کشور از ابتدای ۱۴۰۲ تا اسفند ۱۴۰۳ است و توسط تیم CTI گراف تهیه شده است.
🔴 محتوای این سند در اسفند ۱۴۰۳ از طریق جمعآوری دادهها از محتوای موجود در اینترنت و منابع متنباز و تحلیل آنها تهیه شده است. تیم CTI گراف با هدف افزایش آگاهی امنیت فضای سایبری کشور، مستند حاضر را تهیه کرده است.
🔴 نسخه کامل گزارش در وب سایت شرکت گراف منتشر شده و از طریق لینک زیر قابل دسترسی است:
https://graph-inc.ir/cyber-threats-report
#AnnualReport
#GRAPH
#SOC
#CTI
#XDR
#TIP
🗣 عضویت در کانال تلگرام #گراف:
🔔 https://news.1rj.ru/str/graph_inc_ir
❤5👎3👍1🗿1
👍8
First time we see details related to gonjeshke darande ( an Israeli APT )
https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
❤29👾6
Source Byte
First time we see details related to gonjeshke darande ( an Israeli APT ) https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
it seems pic slide is related to some sort of alert
i wonder if they detect that attack or it is done in lab🤔
i wonder if they detect that attack or it is done in lab🤔
🤔5❤1
Forwarded from Yashar Mahmoudnia
🤯4🗿4👍1👾1
How to get started in vulnerability research?
https://github.com/udunadan/notes/blob/main/How%20to%20Get%20Started%20In%20Vulnerability%20Research.md
https://github.com/udunadan/notes/blob/main/How%20to%20Get%20Started%20In%20Vulnerability%20Research.md
❤9👍5
Forwarded from Threat Hunting Father 🦔
APT as a Service?😃
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
⚙️ Формат атаки
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
🧠 Новый тренд от Trend Micro
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
🧰 Инструментарий
Earth Estries:
• CrowDoor — DLL-sideload через
• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
🧩 Что нового заметила Trend Micro
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html
🦔 THF
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
Earth Estries:
• CrowDoor — DLL-sideload через
LogServer.exe → VERSION.dll → зашифрованный shellcode.• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
bdreinit.exe → wer.dll.• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Forwarded from OnHex
🔴 اخیرا آکادمی راوین، هک و اطلاعات دانشجوهاش بصورت عمومی منتشر شد. این آکادمی این حمله رو تایید و یک گزارش پاسخ به رخداد منتشر کرده که میتونید از این لینک مطالعه کنید.
🆔 @onhex_ir
➡️ ALL Link
🆔 @onhex_ir
➡️ ALL Link
آکادمی راوین | آموزش تخصصی امنیت سایبری
گزارش پاسخ به رخداد سامانۀ آموزش آکادمی راوین
در تاریخ ۱۴۰۴/۰۷/۳۰، رخدادی مبنیبر نشت اطلاعات دانشجویان آکادمی راوین، به تیم پاسخ به رخداد آکادمی راوین ارجاع داده شد. در ساعات ابتدایی وقوع حادثه، تیم پاسخ به رخداد، اقدام به فرضیهسازی در خصوص ابعاد نفوذ کرده و براساس آن، عملیات پاسخ را آغاز کرده است.…
👍7❤1👎1
OnHex
🔴 اخیرا آکادمی راوین، هک و اطلاعات دانشجوهاش بصورت عمومی منتشر شد. این آکادمی این حمله رو تایید و یک گزارش پاسخ به رخداد منتشر کرده که میتونید از این لینک مطالعه کنید. 🆔 @onhex_ir ➡️ ALL Link
Personally think they respond to this indecent like a pro
first time somewhere got hack and they publish a report
first time somewhere got hack and they publish a report
👍17👎9
Who Contains the Containers?
https://googleprojectzero.blogspot.com/2021/04/who-contains-containers.html
https://googleprojectzero.blogspot.com/2021/04/who-contains-containers.html
🔥4❤1