Blue Team Labs Online - ClickTrace Writeup 🔗 https://blueteamlabs.online/home/investigation/clicktrace-ef7e5baa36 シナリオ 不正な広告クリックを起点に、悪意のあるインストーラーとVPNで難読化されたC2チャネルを通じてシステムが完全に侵害される一…

🔗 https://blueteamlabs.online/home/investigation/patient-z-ero-b358d0acb9 シナリオ 都市の地下深くで、ゼータ-9コーポレーションの秘密の生物兵器プロジェクトは、爆発によって精神を変容させるウイルスが野外に放出されたことで壊滅的な失敗に終わった…

markdownのメモアプリとして有名なObsidian これをLoaderとして使用する事例が確認された。 手法としては、「Obsidianの拡張機能を使ってコマンド実行を行う」という単純な話。 vaultを開くだけで、意図せずコマンドが実行されてしまう。 www.elastic.co コ…

このPoCは教育および研究目的のみに使用してください。 これは、実際のマルウェアキャンペーンで既に観測されている既知の手法 （https://mwalkowski.com/post/bypassing-windows-11-defender-with-lolbin/） を実演するものです。 悪意のある目的で使用しな…

以前の記事を改めて見直して実装した話。 www.sdsg.moe 1. スプレッドシートをC2チャネルとして使うとはどういうことか 従来のC2とSaaS C2 従来のC2 SaaS C2 2. アーキテクチャ概要 GRIDTIDE 全体の流れ PoC 全体の流れ 3. GCPプロジェクトとGoogle Sheets A…

SEQRITEの研究者が低レイヤの操作が可能な正規ツールに関するまとめ記事を公開した。 よくよく見ると、全然正規ツールじゃなくてそもそも攻撃ツールだったり、ランサムウェア攻撃者が作ったプログラムなので全く公開されていないものも含まれている。(AIで適…

Hunt.ioの研究者がTheGentlemanランサムウェアグループのIOCを確認していた際に、公開ディレクトリを発見した。 このサーバーには126ファイル（約140MB）が含まれ、ランサムウェア侵入の複数フェーズをカバーする構造化された攻撃ツールキットだった。 hunt.…