#OilRig Spoofing on #Chafer
به نظر میاد در Stage هایی که در #APT39 استفاده شده, برخی الگوریتم ها, همانند تصویر پست که یک فایل VBS هستش از همان الگوریتم هایی بهره برده شده که در Stage های تیم OilRig, بوده,
به نوعی میتوان گفت که شرکت های فعال در حوزه EndPoint Security بسیار در بحث رفتار شناسی فعال شده و راه چاره شناسایی Threat های انجام شده را در رفتار شناسی یک C&C میدانند, البته این موضوع در کنار بررسی Buffer ورودی تمامی COM Object های سیستم عامل, قدرت بسیاری در بحث رهگیری, به محصول مربوطه میده, هنر تیم های ایرانی همواره در این بوده که خلاقیت ها را, راه حل موفقیت حمله خود جای مبهم سازی ها بدانند
برای مثال در حمله #APT39 استفاده از پروتکل SSH برای Forward کردن یک پروتکل دیگر استفاده شده بود که خب بدلیل نوآورانه بودن این روش Detection های مربوطه متوجه این دسترسی نشده و به نوعی در مقابل روشی قرار داشتند که از اون روش هیچ Signature درون خود نداشته و حتی مکانیزم های Heuristic اون ها هم به این انعطاف ها مسلح نشده بودند, که این روش کمتر دیده شده ای بود.
Doc
@Unk9vvN
به نظر میاد در Stage هایی که در #APT39 استفاده شده, برخی الگوریتم ها, همانند تصویر پست که یک فایل VBS هستش از همان الگوریتم هایی بهره برده شده که در Stage های تیم OilRig, بوده,
به نوعی میتوان گفت که شرکت های فعال در حوزه EndPoint Security بسیار در بحث رفتار شناسی فعال شده و راه چاره شناسایی Threat های انجام شده را در رفتار شناسی یک C&C میدانند, البته این موضوع در کنار بررسی Buffer ورودی تمامی COM Object های سیستم عامل, قدرت بسیاری در بحث رهگیری, به محصول مربوطه میده, هنر تیم های ایرانی همواره در این بوده که خلاقیت ها را, راه حل موفقیت حمله خود جای مبهم سازی ها بدانند
برای مثال در حمله #APT39 استفاده از پروتکل SSH برای Forward کردن یک پروتکل دیگر استفاده شده بود که خب بدلیل نوآورانه بودن این روش Detection های مربوطه متوجه این دسترسی نشده و به نوعی در مقابل روشی قرار داشتند که از اون روش هیچ Signature درون خود نداشته و حتی مکانیزم های Heuristic اون ها هم به این انعطاف ها مسلح نشده بودند, که این روش کمتر دیده شده ای بود.
Doc
@Unk9vvN
#OilRig Leak ( #APT34 )
پارسال خبری منتشر شد مبنی بر اینکه پنل #CnC تیم تهاجمی منتصب به دستگاه های اطلاعاتی ایران هک شده,
یک تیم سایبری روسی که قبلا در پروژه نفوذ به سازمان #NSA نقش داشته با نام #ShadowBrokers این اتفاق را رقم زده است, جالب اینجاس که در همان اکانت Github که اکسپلویت های سازمان #NSA را منتشر کرده بود اینبار #CnC مربوط به تیم ایرانی را ساله گذشته منتشر کرد,
گفته میشه آسیب پذیری پنل #CnC مربوطه از نوع #SQL_Injection بوده و موجب به دامپ شدن قسمت های زیادی از این #CnC شده است, این حرکت تیم #ShadowBrokers مارو یاد سخن کهنی میندازه که میگه دست بالای دست بسیار است...
https://github.com/misterch0c/APT34
https://en.wikipedia.org/wiki/The_Shadow_Brokers
@Unk9vvN
پارسال خبری منتشر شد مبنی بر اینکه پنل #CnC تیم تهاجمی منتصب به دستگاه های اطلاعاتی ایران هک شده,
یک تیم سایبری روسی که قبلا در پروژه نفوذ به سازمان #NSA نقش داشته با نام #ShadowBrokers این اتفاق را رقم زده است, جالب اینجاس که در همان اکانت Github که اکسپلویت های سازمان #NSA را منتشر کرده بود اینبار #CnC مربوط به تیم ایرانی را ساله گذشته منتشر کرد,
گفته میشه آسیب پذیری پنل #CnC مربوطه از نوع #SQL_Injection بوده و موجب به دامپ شدن قسمت های زیادی از این #CnC شده است, این حرکت تیم #ShadowBrokers مارو یاد سخن کهنی میندازه که میگه دست بالای دست بسیار است...
https://github.com/misterch0c/APT34
https://en.wikipedia.org/wiki/The_Shadow_Brokers
@Unk9vvN