Давно не выкладывал интересные отчеты. Их очень много в последнее время, отобрал самые интересные:
1. Разбор шифровальщика AvosLocker, но теперь уже под Linux;
2. Отчет по материалам нашумевшего в конце февраля "ContiLeaks";
3. Глубокий анализ Redline Stealer;
4. Обожаю отчеты от The DFIR Report (всегда объемные и подробные). В этот раз опубликовано описание всех стадий работы Qbot.
5. В последнее время про HermeticWiper писали все, кому не лень, поэтому отобрал два достойных анализа: от MalwareBytes и от eln0ty.
Еще попалось описание метода анализа вредоносных документов. А для закрепления, пример анализа документа, доставляющего троян Emotet.
#apt #malware #research #redteam #blueteam #pentest
1. Разбор шифровальщика AvosLocker, но теперь уже под Linux;
2. Отчет по материалам нашумевшего в конце февраля "ContiLeaks";
3. Глубокий анализ Redline Stealer;
4. Обожаю отчеты от The DFIR Report (всегда объемные и подробные). В этот раз опубликовано описание всех стадий работы Qbot.
5. В последнее время про HermeticWiper писали все, кому не лень, поэтому отобрал два достойных анализа: от MalwareBytes и от eln0ty.
Еще попалось описание метода анализа вредоносных документов. А для закрепления, пример анализа документа, доставляющего троян Emotet.
#apt #malware #research #redteam #blueteam #pentest
А вот и очередная порция разных отчетов:
1. Новые разборы малвари семейства Wiper (IsaacWiper и CaddyWiper, HermeticWiper и PartyTicket, );
2. Анализ шифровальщика LokiLocker и очень подробный разбор LockBit 2;
3. А тут разбор шифровальщика Rook;
4. Крутой разбор тактики и способа автоматизации получения доступа через ProxyShell от APT35;
5. Куда же без анализа офисных документов. Тут и тут разбор загрузчиков Dridex и IcedID;
6. Разбор новой малвари Arid Gopher, используемой APT-C-23;
7. Хороший разбор работы червя DirtyMoe;
#apt #malware #research #redteam #blueteam #pentest
1. Новые разборы малвари семейства Wiper (IsaacWiper и CaddyWiper, HermeticWiper и PartyTicket, );
2. Анализ шифровальщика LokiLocker и очень подробный разбор LockBit 2;
3. А тут разбор шифровальщика Rook;
4. Крутой разбор тактики и способа автоматизации получения доступа через ProxyShell от APT35;
5. Куда же без анализа офисных документов. Тут и тут разбор загрузчиков Dridex и IcedID;
6. Разбор новой малвари Arid Gopher, используемой APT-C-23;
7. Хороший разбор работы червя DirtyMoe;
#apt #malware #research #redteam #blueteam #pentest
И вот новые наиболее интересные отчеты:
1. The DFIR Report представил анализ шифровальщика Quantum;
2. Symantec опубликовал наиболее часто используемые инструменты, тактики и процедуры (TTP) операторами шифровальщиков для заражения сетей;
3. Два отчета с описанием нового лоадера Bumblebee;
4. Описание тактики и инструментов группы TA410 от исследователей ESET;
5. Анализ Zloader, а также описание компании с его применением;
6. Полный разбор стиллера RedLine;
7. Описание фишинговой компании группы APT29;
8. Zscaler представил вариант доставки AsyncRAT, а также анализ GO варианта шифровальщика BlackByte.
#apt #malware #research #redteam #blueteam #pentest
1. The DFIR Report представил анализ шифровальщика Quantum;
2. Symantec опубликовал наиболее часто используемые инструменты, тактики и процедуры (TTP) операторами шифровальщиков для заражения сетей;
3. Два отчета с описанием нового лоадера Bumblebee;
4. Описание тактики и инструментов группы TA410 от исследователей ESET;
5. Анализ Zloader, а также описание компании с его применением;
6. Полный разбор стиллера RedLine;
7. Описание фишинговой компании группы APT29;
8. Zscaler представил вариант доставки AsyncRAT, а также анализ GO варианта шифровальщика BlackByte.
#apt #malware #research #redteam #blueteam #pentest
Group_IB_Программы_Вымогатели_Исследование_2022.pdf
1.7 MB
Я запоздал с отчетами... чем дальше, тем меньше времени, и тем дольше изучение. Но все же:
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
1. Group-IB рассказывает как группа SideWinder использует новый анти-бот скрипт для фильтрации жертв;
2. Анализ стилера Vidar в двух частях;
3. Анализ BazarLoader, также в двух частях;
4. Анализ версии AsyncRAT, распространяемой в Колумбии;
5. Очередной, но очень подробный анализ стилера Mars;
6. Отчет об атаке китайских APT (много совпадений с APT10) на Ростех;
7. PT исследует инструменты и связи новой группы Space Pirates;
8. Elastic предоставил подробный анализ загрузчика Blister
#apt #malware #research #redteam #blueteam #pentest
Backdoor via XFF.pdf
779.2 KB
Common-TTPs-of-the-modern-ransomware_low-res.pdf
4.6 MB
Техники, тактики и процедуры (TTPs) группировок шифровальщиков
"Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA."
Группы:
* Conti/Ryuk
* Pysa
* Clop (TA505)
* Hive
* Lockbit2.0
* RagnarLocker
* BlackByte
* BlackCat
Спасибо @vlad_burc!
#apt #malware #report
"Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA."
Группы:
* Conti/Ryuk
* Pysa
* Clop (TA505)
* Hive
* Lockbit2.0
* RagnarLocker
* BlackByte
* BlackCat
Спасибо @vlad_burc!
#apt #malware #report
Наконец могу кинуть большую порцию интересных (на мой взгляд) отчетов. Хоть и времени много прошло, но:
1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);
9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;
10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hivev.rust от Microsoft
#report #apt #malware #redteam #blueteam
1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);
9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;
10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hive
#report #apt #malware #redteam #blueteam
Targeted_attack_on_industrial_enterprises_and_public_institutions.pdf
1.4 MB
Наконец набралось некоторое количество крутых отчетов, поэтому держите:
1. Symantec описала одну из атак Syrphid с использованием шифровальщика LockBit;
2. DFIR же описал полный путь компрометации сети, начиная с лоадера BumbleBee;
3. Positive Technologies рассказали как китайская APT31 атакует российские компании;
4. Paloalto показала как APT29 доставляет свое ПО на скомпрометированные хосты, а также рассказала об атаках Tropical Scorpius с использованием шифровальщика Cuba;
5. Morphisec Labs описала новое ПО группы APT-C-35;
6. Очередной анализ шифровальщика Hive;
7. Подробный анализ линукс малвари Symbiote;
8. Описание работы банковского трояна Ousaban;
9. MalwareBytes рассказала о новом трояне Woody RAT;
10. Kaspersky Lab опубликовала разбор атаки с использованием python импланта VileRAT
#report #apt #malware #redteam #blueteam
1. Symantec описала одну из атак Syrphid с использованием шифровальщика LockBit;
2. DFIR же описал полный путь компрометации сети, начиная с лоадера BumbleBee;
3. Positive Technologies рассказали как китайская APT31 атакует российские компании;
4. Paloalto показала как APT29 доставляет свое ПО на скомпрометированные хосты, а также рассказала об атаках Tropical Scorpius с использованием шифровальщика Cuba;
5. Morphisec Labs описала новое ПО группы APT-C-35;
6. Очередной анализ шифровальщика Hive;
7. Подробный анализ линукс малвари Symbiote;
8. Описание работы банковского трояна Ousaban;
9. MalwareBytes рассказала о новом трояне Woody RAT;
10. Kaspersky Lab опубликовала разбор атаки с использованием python импланта VileRAT
#report #apt #malware #redteam #blueteam
JSSLoader shellcode edition (2022).pdf
3.4 MB
Наконец набралось некоторое количество крутых отчетов, поэтому держите:
1. Group-IB про китайскую APT41;
2. Cisco Talos в двух статьях разобрали разобрали софт группы APT38 (Lasarus);
3. Check Point описали атаки за последние два года на финансовые организации Африки;
4. Eset описали инструменты новой группы Worok;
5. Подробный разбор трояна URSA;
6. Целых три статьи (раз, два, три) с анализом стилера Raccoon (видимо так популярен:));
7. Мы любим отчеты DFIR, и в этот раз они описали путь атакующего от зараженного Emotet документа Excel до компрометации всего домена;
8. Cybereason по аналогии также описали путь компрометации домена, но начиная с загрузчика Bumblebee;
9. Описание уже популярного AsyncRAT C2 Framework;
10. Ну и анализ нового шифровальщика Agenda на golang.
#report #apt #malware #redteam #blueteam
1. Group-IB про китайскую APT41;
2. Cisco Talos в двух статьях разобрали разобрали софт группы APT38 (Lasarus);
3. Check Point описали атаки за последние два года на финансовые организации Африки;
4. Eset описали инструменты новой группы Worok;
5. Подробный разбор трояна URSA;
6. Целых три статьи (раз, два, три) с анализом стилера Raccoon (видимо так популярен:));
7. Мы любим отчеты DFIR, и в этот раз они описали путь атакующего от зараженного Emotet документа Excel до компрометации всего домена;
8. Cybereason по аналогии также описали путь компрометации домена, но начиная с загрузчика Bumblebee;
9. Описание уже популярного AsyncRAT C2 Framework;
10. Ну и анализ нового шифровальщика Agenda на golang.
#report #apt #malware #redteam #blueteam
winnti.pdf
2.7 MB
Иногда спрашивают про TI отчёты по разной АПТе, которые я раньше пачками выкладывал, но за недостатком времени перестал.
Это не рекламный пост, просто поделюсь ресурсом, который мне очень много времени экономит. На канале https://tttttt.me/aptreports публикуют много свежих отчётов, а также маленькое описание каждого отчёта, подготовленное AI. Удобно сразу видеть о чем отчёт и статистику по IOC. Лично для меня это один из самых крутых проектов))
P.S. Офенсивам считаю обязательным следить за используемыми техниками и софтом в "дикой природе", так ты понимаешь что сейчас в тренде, и даже удивляешься, как порой успешно эксплуатируется то, что в 20-е годы, обвешанные сканерами и песком, уже по идее не должно😅
#report #apt #ti #blueteam
Это не рекламный пост, просто поделюсь ресурсом, который мне очень много времени экономит. На канале https://tttttt.me/aptreports публикуют много свежих отчётов, а также маленькое описание каждого отчёта, подготовленное AI. Удобно сразу видеть о чем отчёт и статистику по IOC. Лично для меня это один из самых крутых проектов))
P.S. Офенсивам считаю обязательным следить за используемыми техниками и софтом в "дикой природе", так ты понимаешь что сейчас в тренде, и даже удивляешься, как порой успешно эксплуатируется то, что в 20-е годы, обвешанные сканерами и песком, уже по идее не должно😅
#report #apt #ti #blueteam
Telegram
TI Reports
Threat Intelligence Report Hub
https://cyberthreat.tech
ООО Технологии киберугроз
Contact: @nikolaiav
https://cyberthreat.tech
ООО Технологии киберугроз
Contact: @nikolaiav
Список DLL, которые использует группа Lazarus:
Missing DLL:
spoolsv.exe ➡️ ualapi.dll
Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll
#apt #redteam #dllhijack #maldev
Missing DLL:
spoolsv.exe ➡️ ualapi.dll
Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll
#apt #redteam #dllhijack #maldev