#edr — Public Fediverse posts

@da_667 youtube is so great - what a good buy, a bargain buy for them #edr sales enjoyer #fd youtube consumer bias

OPERATION SILENTCANVAS: JPEG BASED MULTISTAGE POWERSHELL INTRUSION

A sophisticated multi-stage intrusion campaign was identified leveraging a weaponized PowerShell payload disguised as a JPEG image file (sysupdate.jpeg) to deploy a trojanized ConnectWise ScreenConnect instance for covert remote access. The attack likely originates through social engineering techniques including phishing emails or malicious attachments. Upon execution, the malware establishes a staging environment, retrieves additional payloads from attacker-controlled infrastructure, and dynamically compiles a custom launcher using Microsoft's legitimate .NET compiler (csc.exe) to evade detection. The intrusion abuses ComputerDefaults.exe and a malicious ms-settings registry hijack to perform a fileless UAC bypass and obtain elevated privileges. Once elevated, the malware deploys a persistent service masquerading as OneDriveServers and launches a modified ScreenConnect framework capable of credential interception, remote command execution, surveillance operations, SYSTEM-level execution, encrypted command...

Pulse ID: 6a008382641183db3b20fef5
Pulse Link: https://otx.alienvault.com/pulse/6a008382641183db3b20fef5
Pulse Author: AlienVault
Created: 2026-05-10 13:09:22

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#ConnectWise #CyberSecurity #EDR #Email #InfoSec #Malware #Microsoft #NET #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RCE #RemoteCommandExecution #ScreenConnect #SocialEngineering #Trojan #Troll #bot #AlienVault

OPERATION SILENTCANVAS: JPEG BASED MULTISTAGE POWERSHELL INTRUSION

A sophisticated multi-stage intrusion campaign was identified leveraging a weaponized PowerShell payload disguised as a JPEG image file (sysupdate.jpeg) to deploy a trojanized ConnectWise ScreenConnect instance for covert remote access. The attack likely originates through social engineering techniques including phishing emails or malicious attachments. Upon execution, the malware establishes a staging environment, retrieves additional payloads from attacker-controlled infrastructure, and dynamically compiles a custom launcher using Microsoft's legitimate .NET compiler (csc.exe) to evade detection. The intrusion abuses ComputerDefaults.exe and a malicious ms-settings registry hijack to perform a fileless UAC bypass and obtain elevated privileges. Once elevated, the malware deploys a persistent service masquerading as OneDriveServers and launches a modified ScreenConnect framework capable of credential interception, remote command execution, surveillance operations, SYSTEM-level execution, encrypted command...

Pulse ID: 6a008382641183db3b20fef5
Pulse Link: https://otx.alienvault.com/pulse/6a008382641183db3b20fef5
Pulse Author: AlienVault
Created: 2026-05-10 13:09:22

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#ConnectWise #CyberSecurity #EDR #Email #InfoSec #Malware #Microsoft #NET #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RCE #RemoteCommandExecution #ScreenConnect #SocialEngineering #Trojan #Troll #bot #AlienVault

OPERATION SILENTCANVAS: JPEG BASED MULTISTAGE POWERSHELL INTRUSION

A sophisticated multi-stage intrusion campaign was identified leveraging a weaponized PowerShell payload disguised as a JPEG image file (sysupdate.jpeg) to deploy a trojanized ConnectWise ScreenConnect instance for covert remote access. The attack likely originates through social engineering techniques including phishing emails or malicious attachments. Upon execution, the malware establishes a staging environment, retrieves additional payloads from attacker-controlled infrastructure, and dynamically compiles a custom launcher using Microsoft's legitimate .NET compiler (csc.exe) to evade detection. The intrusion abuses ComputerDefaults.exe and a malicious ms-settings registry hijack to perform a fileless UAC bypass and obtain elevated privileges. Once elevated, the malware deploys a persistent service masquerading as OneDriveServers and launches a modified ScreenConnect framework capable of credential interception, remote command execution, surveillance operations, SYSTEM-level execution, encrypted command...

Pulse ID: 6a008382641183db3b20fef5
Pulse Link: https://otx.alienvault.com/pulse/6a008382641183db3b20fef5
Pulse Author: AlienVault
Created: 2026-05-10 13:09:22

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#ConnectWise #CyberSecurity #EDR #Email #InfoSec #Malware #Microsoft #NET #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RCE #RemoteCommandExecution #ScreenConnect #SocialEngineering #Trojan #Troll #bot #AlienVault

OPERATION SILENTCANVAS: JPEG BASED MULTISTAGE POWERSHELL INTRUSION

A sophisticated multi-stage intrusion campaign was identified leveraging a weaponized PowerShell payload disguised as a JPEG image file (sysupdate.jpeg) to deploy a trojanized ConnectWise ScreenConnect instance for covert remote access. The attack likely originates through social engineering techniques including phishing emails or malicious attachments. Upon execution, the malware establishes a staging environment, retrieves additional payloads from attacker-controlled infrastructure, and dynamically compiles a custom launcher using Microsoft's legitimate .NET compiler (csc.exe) to evade detection. The intrusion abuses ComputerDefaults.exe and a malicious ms-settings registry hijack to perform a fileless UAC bypass and obtain elevated privileges. Once elevated, the malware deploys a persistent service masquerading as OneDriveServers and launches a modified ScreenConnect framework capable of credential interception, remote command execution, surveillance operations, SYSTEM-level execution, encrypted command...

Pulse ID: 6a008382641183db3b20fef5
Pulse Link: https://otx.alienvault.com/pulse/6a008382641183db3b20fef5
Pulse Author: AlienVault
Created: 2026-05-10 13:09:22

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#ConnectWise #CyberSecurity #EDR #Email #InfoSec #Malware #Microsoft #NET #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RCE #RemoteCommandExecution #ScreenConnect #SocialEngineering #Trojan #Troll #bot #AlienVault

OPERATION SILENTCANVAS: JPEG BASED MULTISTAGE POWERSHELL INTRUSION

A sophisticated multi-stage intrusion campaign was identified leveraging a weaponized PowerShell payload disguised as a JPEG image file (sysupdate.jpeg) to deploy a trojanized ConnectWise ScreenConnect instance for covert remote access. The attack likely originates through social engineering techniques including phishing emails or malicious attachments. Upon execution, the malware establishes a staging environment, retrieves additional payloads from attacker-controlled infrastructure, and dynamically compiles a custom launcher using Microsoft's legitimate .NET compiler (csc.exe) to evade detection. The intrusion abuses ComputerDefaults.exe and a malicious ms-settings registry hijack to perform a fileless UAC bypass and obtain elevated privileges. Once elevated, the malware deploys a persistent service masquerading as OneDriveServers and launches a modified ScreenConnect framework capable of credential interception, remote command execution, surveillance operations, SYSTEM-level execution, encrypted command...

Pulse ID: 6a008382641183db3b20fef5
Pulse Link: https://otx.alienvault.com/pulse/6a008382641183db3b20fef5
Pulse Author: AlienVault
Created: 2026-05-10 13:09:22

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#ConnectWise #CyberSecurity #EDR #Email #InfoSec #Malware #Microsoft #NET #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RCE #RemoteCommandExecution #ScreenConnect #SocialEngineering #Trojan #Troll #bot #AlienVault

----------------

🛠️ Tool
===================

Opening: This repository documents a practicable method for extracting Windows account hashes by combining built-in registry export, a local reduction step, BootKey extraction and secretsdump. The author provides source artifacts including RegReduction.ps1, BootKey.c and a compiled BootKey.exe, plus guidance on exporting the three core hives (SAM, SYSTEM, SECURITY) from a target machine.

Key Features:
• Exposes a flow that leverages the system binary reg.exe to export registry hives at scale.
• Supplies a PowerShell-based reduction tool (RegReduction.ps1) to reconstruct binary hive files from exported .reg artifacts.
• Includes BootKey.c and BootKey.exe to extract the system BootKey without requiring administrative privileges in the tested environments.
• Demonstrates final credential extraction using secretsdump against the reconstructed hives.

Technical Implementation:
• The workflow relies on exporting HKLM\SAM, HKLM\SYSTEM and HKLM\SECURITY via the system registry export facility, then reconstructing the binary hive representation locally with RegReduction.ps1.
• BootKey extraction is implemented in a C utility (BootKey.c) provided in the repo; the binary derived BootKey is consumed by offline tools capable of decrypting LSA secrets and NT hashes.
• The final extraction step uses secretsdump-style logic to parse the SAM/SECURITY blobs with the BootKey to recover account NTLM credentials.

Use Cases:
• Red team operations seeking post-exploitation credential harvesting where standard EDR detection blocks direct memory dumping.
• Forensic practitioners needing an offline method to reconstruct registry hive artifacts from exported textual dumps for analysis.
• Research into living-off-the-land (LotL) techniques that abuse trusted system utilities to evade behavioral detections.

Limitations:
• The method depends on the ability to export registry hives from the target; test notes indicate reg.exe export may require SYSTEM privileges on some Windows versions (notably Win10/Win11 and Windows Server 2025), while older servers may allow export with administrator rights.
• The BootKey extraction utility was observed by the author to run without elevated rights in tests; detection coverage by endpoint products varied and a VirusTotal snapshot was referenced by the author as part of testing.
• The repo author later acknowledged similar prior public research touching on LSA/Task decorrelation techniques.

Final note: The release is presented as a GitHub tool with source artifacts and practical testing notes; the repo documents concrete filenames and steps for reconstruction and extraction rather than providing high-level theory. #tool #EDR #DumpHash #SAM #secretsdump

🔗 Source: https://github.com/AabyssZG/HashDump-BypassEDR

UAT-8302 and its box full of malware

UAT-8302 is a sophisticated China-nexus advanced persistent threat group targeting government entities in South America since late 2024 and southeastern Europe in 2025. The actor deploys multiple custom-made malware families including NetDraft, a .NET-based backdoor variant of FinalDraft/SquidDoor, and CloudSorcerer version 3. Post-compromise activities involve extensive reconnaissance, credential extraction, information collection from Active Directory, and network proliferation using tools like Impacket. The group establishes persistence through scheduled tasks and deploys additional malware including VSHELL, SNAPPYBEE/DeedRAT, and ZingDoor. UAT-8302 demonstrates connections to several China-nexus threat clusters through shared tooling, including Draculoader and SNOWLIGHT stager. The actor uses legitimate services like MS Graph and OneDrive for command-and-control infrastructure and establishes backdoor access through proxy servers using tools written in Simplified Chinese.

Pulse ID: 69f9f99c0dc1060430bf089e
Pulse Link: https://otx.alienvault.com/pulse/69f9f99c0dc1060430bf089e
Pulse Author: AlienVault
Created: 2026-05-05 14:07:24

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #China #Chinese #Cloud #CyberSecurity #DRat #EDR #EasternEurope #Europe #Government #InfoSec #Malware #NET #OTX #OpenThreatExchange #Proxy #RAT #RCE #SouthAmerica #bot #AlienVault

LofyStealer: Malware targeting Minecraft players.

A sophisticated two-stage infostealer named LofyStealer, also known as GrabBot/Slinky, targets Minecraft players through social engineering. The malware comprises a 53.5MB Node.js-based loader disguised within legitimate libraries and a 1.4MB native C++ payload that executes directly in memory. It extracts cookies, passwords, tokens, credit cards, and IBANs from eight different browsers including Chrome, Edge, Brave, Opera GX, and Firefox. The loader uses GitHub Actions for automated compilation while the payload employs direct syscalls to bypass EDR detection. Data is compressed via PowerShell, Base64-encoded, and exfiltrated to a Brazilian-hosted C2 server at 24.152.36.241. The operation is attributed with high confidence to the Brazilian cybercrime group LofyGang, operating a Malware-as-a-Service platform with Free and Premium tiers through a web panel branded as LofyStealer Advanced C2 Platform V2.0.

Pulse ID: 69f1f50b6a5e5d1ca31204bb
Pulse Link: https://otx.alienvault.com/pulse/69f1f50b6a5e5d1ca31204bb
Pulse Author: AlienVault
Created: 2026-04-29 12:09:47

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Brave #Brazil #Browser #Chrome #Cookies #CreditCard #CreditCards #CyberCrime #CyberSecurity #EDR #Edge #FireFox #GitHub #InfoSec #InfoStealer #Malware #MalwareAsAService #Minecraft #Nodejs #OTX #OpenThreatExchange #Opera #Password #Passwords #PowerShell #RAT #SocialEngineering #Word #bot #AlienVault

ИИ против ИИ: кто победит в кибербезопасности

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ. В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

https://habr.com/ru/companies/naumen/articles/1029000/

#кибербезопасность #искусственный_интеллект #soc #дипфейки #уязвимости #siem #edr #поведенческий_анализ

ИИ против ИИ: кто победит в кибербезопасности

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ. В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

https://habr.com/ru/companies/naumen/articles/1029000/

#кибербезопасность #искусственный_интеллект #soc #дипфейки #уязвимости #siem #edr #поведенческий_анализ

ИИ против ИИ: кто победит в кибербезопасности

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ. В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

https://habr.com/ru/companies/naumen/articles/1029000/

#кибербезопасность #искусственный_интеллект #soc #дипфейки #уязвимости #siem #edr #поведенческий_анализ

ИИ против ИИ: кто победит в кибербезопасности

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ. В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

https://habr.com/ru/companies/naumen/articles/1029000/

#кибербезопасность #искусственный_интеллект #soc #дипфейки #уязвимости #siem #edr #поведенческий_анализ

Top 1 https://hackers-arise.com/automobile-hacking-main-types-of-cyberattacks-and-risks/
Top 2 https://hackers-arise.com/artificial-intelligence-ai-in-cybersecurity-targeting-llm-supply-chains-with-router-in-the-middle-attacks/
Top 3 https://hackers-arise.com/edr-xdr-for-cyberwarriors-how-endpoints-are-monitored-attacked-and-defended/
#cybersecurity #ai #edr #xdr #infosec

One of the things that pentesters are always concerned about is EDR and XDR. In this article, we covered how endpoints are monitored and how detection works

We also showed how to install Wazuh. You need to have your own lab to test techniques and understand how detection mechanisms work so you can bypass them

https://hackers-arise.com/edr-xdr-for-cyberwarriors-how-endpoints-are-monitored-attacked-and-defended/

#edr #cybersecurity

Untangling a Linux Incident With an OpenAI Twist (Part 2)

A Linux endpoint was simultaneously compromised by at least two distinct threat actors while the developer user relied on OpenAI's Codex AI agent for security remediation. Actor A deployed a cryptominer mining Monero to a private pool. Actor B installed a multi-revenue botnet including XMRig mining, residential proxy services, and bandwidth-selling components with eight different persistence mechanisms. Actor C, potentially affiliated with Actor B, executed mass data exfiltration of 15 categories including SSH keys, cloud credentials, and API tokens. The threat actors exploited CVE-2025-55182 (React2Shell) affecting Next.js and React applications. While Codex identified some threats, it lacked contextual awareness and privileged access needed for comprehensive incident response, creating additional noise that complicated SOC investigation. The endpoint was ultimately secured through managed EDR telemetry and expert SOC analysis.

Pulse ID: 69e95245cf3877ded3870cff
Pulse Link: https://otx.alienvault.com/pulse/69e95245cf3877ded3870cff
Pulse Author: AlienVault
Created: 2026-04-22 22:57:09

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Cloud #CryptoMiner #CyberSecurity #EDR #Endpoint #InfoSec #Linux #OTX #OpenThreatExchange #Proxy #RAT #SMS #SSH #bot #botnet #AlienVault

Mach-O Man Malware: What CISOs Need to Know

Lazarus Group is conducting an active campaign targeting businesses through ClickFix attacks, distributing a newly identified macOS malware kit called "Mach-O Man". The attack begins with fake meeting invitations via Telegram, redirecting victims to fraudulent collaboration platforms impersonating Zoom, Microsoft Teams, or Google Meet. Victims are tricked into executing terminal commands that install the malware. The kit consists of Go-based Mach-O binaries including a stager, profiler, persistence mechanism, and stealer. The malware collects credentials, browser data, and macOS Keychain entries, exfiltrating data through Telegram. Primary targets include fintech, crypto, and high-value environments where macOS is prevalent. The campaign leverages social engineering and native macOS binaries to evade traditional EDR detection, ultimately enabling account takeover, unauthorized infrastructure access, and financial loss.

Pulse ID: 69e82714e5cf2d1fb9fe1b0a
Pulse Link: https://otx.alienvault.com/pulse/69e82714e5cf2d1fb9fe1b0a
Pulse Author: AlienVault
Created: 2026-04-22 01:40:36

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Browser #CyberSecurity #EDR #Google #GoogleMeet #InfoSec #Lazarus #Mac #MacOS #Malware #Microsoft #MicrosoftTeams #OTX #OpenThreatExchange #RAT #SocialEngineering #Telegram #Zoom #bot #AlienVault

¿Qué es el EDR moderno? La evolución hacia una protección endpoint de nivel empresarial

El EDR moderno tiende un puente entre el antivirus y las herramientas complejas, utilizando IA y automatización para ofrecer una detección sólida, una respuesta rápida y una seguridad escalable para pymes y MSP (Fuente WatchGuard Technologies, Inc).

Durante años, las organizaciones se han enfrentado a una elección difícil en materia de seguridad endpoint.
Por un lado, existen soluciones asequibles como el antivirus (AV) o las plataformas de protección de endpoints (EPP), diseñadas principalmente para prevenir amenazas conocidas. Por otro, están las complejas plataformas de detección y respuesta en endpoints (EDR) de nivel empresarial, pensadas para organizaciones con equipos de seguridad dedicados.

Para muchas pequeñas y medianas empresas (pymes) y los proveedores de servicios gestionados (MSP) que las respaldan, ninguna de estas opciones responde por completo a sus necesidades.

El panorama actual de amenazas exige una capacidad de detección más sólida y una respuesta más rápida. Pero también requiere simplicidad, automatización y eficiencia operativa. Las organizaciones necesitan una seguridad endpoint que ofrezca protección avanzada sin introducir costes elevados ni una complejidad excesiva.

Aquí es donde entra en juego el EDR moderno.

¿Por qué el antivirus tradicional y la protección básica de endpoints ya no son suficientes?

El antivirus tradicional y las herramientas EPP de primera generación se diseñaron para detener amenazas conocidas mediante firmas y métodos de detección estáticos. Los ataques modernos están concebidos para eludirlos.

Hoy en día, los ciberdelincuentes recurren a:

malware sin archivos (fileless malware) y técnicas living-off-the-land
herramientas administrativas legítimas utilizadas con fines maliciosos
movimiento lateral automatizado
modelos de ransomware-as-a-service

Estas amenazas están diseñadas específicamente para sortear los controles basados únicamente en la prevención.

Aunque la prevención sigue siendo fundamental, las organizaciones necesitan ahora monitorización continua, detección basada en el comportamiento y capacidades de respuesta automatizada para identificar y contener amenazas avanzadas.

Por eso, las herramientas EDR se han convertido en un elemento esencial, no opcional, de la seguridad moderna.

¿Por qué es tan crítico el EDR para las pymes y los MSP?

El EDR proporciona una visibilidad más profunda de la actividad en los endpoints, lo que permite a las organizaciones detectar comportamientos sospechosos, investigar incidentes y contener amenazas con rapidez.

Para las pymes, el EDR moderno ofrece visibilidad y capacidades de nivel empresarial sin necesidad de contar con un equipo de seguridad.

Para los MSP, un EDR moderno aporta eficiencia operativa al reducir el ruido, proporcionar alertas con contexto enriquecido y proteger de forma coherente múltiples entornos de clientes.

Las organizaciones de cualquier tamaño pueden ser víctimas de ransomware u otros ataques similares. Por eso, una solución EDR moderna es un componente fundamental de una ciberseguridad eficaz.

¿Cuál es el reto de la mayoría de las soluciones EDR?

Aunque el EDR es fundamental, muchas de las soluciones disponibles en el mercado fueron diseñadas para grandes empresas con operaciones de seguridad maduras.

Para sacarles el máximo partido, se necesita:

analistas de seguridad dedicados
equipos de centro de operaciones de seguridad (SOC) disponibles 24/7
conocimientos avanzados de threat hunting
presupuestos operativos significativos

Sin estos recursos, las organizaciones tienen dificultades para gestionar grandes volúmenes de alertas, investigaciones complejas y necesidades continuas de ajuste.

Para los equipos de TI más pequeños y los MSP, esto supone un reto importante. Necesitan una solución EDR que entienda sus desafíos y esté pensada para equipos reducidos y ágiles, no para grandes SOC empresariales. Por eso, la siguiente evolución del EDR está impulsada por la automatización y la inteligencia artificial (IA).

¿Cómo mejoran la automatización y la IA la detección y respuesta moderna en endpoints?

Las soluciones EDR modernas impulsadas por IA ayudan a los equipos de seguridad a pasar de la sobrecarga de alertas a información útil y accionable.

En lugar de presentar telemetría en bruto y alertas desconectadas entre sí, estas plataformas conectan los eventos y aportan un contexto significativo.

Sus capacidades incluyen:

Detecciones basadas en el contexto y el comportamiento para reducir los falsos positivos
Correlación automatizada de incidentes que vincula actividades relacionadas en una única historia de amenaza
Cronologías visuales enriquecidas de los incidentes que muestran con claridad cómo se desarrolló un ataque
Contención y remediación automatizadas para detener las amenazas con mayor rapidez y sin intervención humana

En lugar de abrumar a los equipos con datos en bruto, estas capacidades transforman esa información en incidentes priorizados y contextualizados.

¿Cómo pueden los MSP ofrecer seguridad de endpoints de nivel empresarial a escala?

Para los proveedores de servicios gestionados, la escalabilidad es fundamental. Cada alerta investigada manualmente, cada escalado innecesario y cada falso positivo afectan directamente a los márgenes y a la calidad del servicio.

El EDR moderno aprovecha la automatización y las correlaciones impulsadas por IA para reducir el tiempo de investigación, disminuir los costes operativos y acelerar los tiempos de respuesta, al tiempo que refuerza la protección.

Esto permite a los MSP optimizar sus operaciones de seguridad mediante:

Estandarización de los flujos de respuesta entre clientes
Reducción del tiempo de investigación por incidente
Protección de más endpoints sin aumentar la plantilla
Prestación de capacidades avanzadas de EDR a un mayor número de clientes pyme

Al reducir la complejidad y la carga operativa, las soluciones EDR modernas ayudan a los MSP a mejorar tanto los resultados de ciberseguridad como el rendimiento del negocio.

El futuro de la seguridad endpoint

Durante demasiado tiempo, el mercado de la ciberseguridad ha obligado a las organizaciones a elegir entre una protección básica o una complejidad propia de entornos empresariales avanzados.

Pero el panorama actual de amenazas ya no admite ese modelo.

El endpoint sigue siendo uno de los puntos de entrada más atacados en los ciberataques. Por eso, el futuro de la seguridad endpoint se centra en la automatización inteligente, una mayor visibilidad y modelos de protección escalables que funcionen para empresas de todos los tamaños.

Al combinar una sólida capacidad de prevención con funciones avanzadas de detección y respuesta en endpoints, las plataformas modernas de seguridad endpoinnt están ayudando a cerrar la brecha entre el antivirus básico y la protección de nivel empresarial, haciendo que unas capacidades de ciberseguridad potentes sean más accesibles que nunca. Para las organizaciones que desean una capa adicional de supervisión humana, la integración de un servicio de detección y respuesta gestionadas (MDR) refuerza sus defensas con monitorización experta 24/7, threat hunting y una respuesta rápida.

En el panorama actual de amenazas, una seguridad de endpoints eficaz no consiste solo en detener ataques. Se trata de detectar amenazas de forma temprana, responder con rapidez y garantizar que todas las organizaciones tengan acceso a la protección que necesitan.-

Nightmare-Eclipse Tooling Seen in Real-World Intrusion | Huntress

Managed EDR, Managed Security Awareness Training, and Secure Security Professional (SPC) are all available on the Huntress product website, here is a full guide to all the products.

Pulse ID: 69e774f76e3a38500a84beec
Pulse Link: https://otx.alienvault.com/pulse/69e774f76e3a38500a84beec
Pulse Author: CyberHunter_NL
Created: 2026-04-21 13:00:39

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #EDR #InfoSec #OTX #OpenThreatExchange #bot #CyberHunter_NL

Using KATA and KEDR to detect the AdaptixC2 agent

Pulse ID: 69e6fbbf75365c73146dab55
Pulse Link: https://otx.alienvault.com/pulse/69e6fbbf75365c73146dab55
Pulse Author: Tr1sa111
Created: 2026-04-21 04:23:27

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #EDR #InfoSec #OTX #OpenThreatExchange #bot #Tr1sa111

Untangling a Linux Incident With an OpenAI Twist

A technology sector organization experienced a multi-actor compromise on a Linux endpoint where cryptominers were deployed and credential harvesting occurred. The incident became complex when the legitimate user attempted to troubleshoot suspected malicious activity using OpenAI's Codex AI agent while threat actors remained active on the system. The EDR agent was installed mid-compromise, limiting historical visibility. Codex-generated commands created investigative challenges as they mimicked attacker techniques, triggering security detections and complicating the distinction between legitimate troubleshooting and malicious activity. While Codex helped terminate some malicious processes, it failed to provide complete remediation, allowing threat actors to continue exfiltrating credentials, tokens, and cloud metadata through multiple persistence mechanisms.

Pulse ID: 69e2417e5e4fdd5f16c75dbe
Pulse Link: https://otx.alienvault.com/pulse/69e2417e5e4fdd5f16c75dbe
Pulse Author: AlienVault
Created: 2026-04-17 14:19:42

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Cloud #CredentialHarvesting #CryptoMiner #CyberSecurity #EDR #Endpoint #InfoSec #Linux #Mimic #OTX #OpenThreatExchange #RAT #SMS #bot #AlienVault

Using KATA and KEDR to detect the AdaptixC2 agent

AdaptixC2 is an emerging open-source post-exploitation framework rapidly adopted by threat actors in APT attacks and ransomware campaigns. Written in Go and C++, it supports Windows, macOS, and Linux with extensive modularity through Beacon Object Files (BOFs). The framework enables diverse command-and-control channels including HTTP/S, TCP, mTLS, DNS, DoH, and SMB with RC4 encryption throughout. It implements sophisticated evasion techniques targeting both network detection systems and endpoint defenses. Despite advanced obfuscation capabilities, network-level detection remains viable through analysis of distinctive communication patterns, header structures, and behavioral indicators. The framework supports credential harvesting via LSASS dumping, LAPS exploitation, and Kerberos attacks, alongside defense evasion through process injection and lateral movement via WinRM and PsExec. Combined NDR and EDR solutions provide effective multi-layered detection coverage against AdaptixC2 operations across network ...

Pulse ID: 69e2824daddc65cc4bab207d
Pulse Link: https://otx.alienvault.com/pulse/69e2824daddc65cc4bab207d
Pulse Author: AlienVault
Created: 2026-04-17 18:56:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CredentialHarvesting #CyberSecurity #DNS #EDR #Encryption #Endpoint #HTTP #InfoSec #Linux #Mac #MacOS #OTX #OpenThreatExchange #PsExec #RAT #RCE #RansomWare #SMB #TCP #TLS #Windows #bot #AlienVault

Using KATA and KEDR to detect the AdaptixC2 agent

AdaptixC2 is an emerging open-source post-exploitation framework rapidly adopted by threat actors in APT attacks and ransomware campaigns. Written in Go and C++, it supports Windows, macOS, and Linux with extensive modularity through Beacon Object Files (BOFs). The framework enables diverse command-and-control channels including HTTP/S, TCP, mTLS, DNS, DoH, and SMB with RC4 encryption throughout. It implements sophisticated evasion techniques targeting both network detection systems and endpoint defenses. Despite advanced obfuscation capabilities, network-level detection remains viable through analysis of distinctive communication patterns, header structures, and behavioral indicators. The framework supports credential harvesting via LSASS dumping, LAPS exploitation, and Kerberos attacks, alongside defense evasion through process injection and lateral movement via WinRM and PsExec. Combined NDR and EDR solutions provide effective multi-layered detection coverage against AdaptixC2 operations across network ...

Pulse ID: 69e2824daddc65cc4bab207d
Pulse Link: https://otx.alienvault.com/pulse/69e2824daddc65cc4bab207d
Pulse Author: AlienVault
Created: 2026-04-17 18:56:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CredentialHarvesting #CyberSecurity #DNS #EDR #Encryption #Endpoint #HTTP #InfoSec #Linux #Mac #MacOS #OTX #OpenThreatExchange #PsExec #RAT #RCE #RansomWare #SMB #TCP #TLS #Windows #bot #AlienVault

Using KATA and KEDR to detect the AdaptixC2 agent

AdaptixC2 is an emerging open-source post-exploitation framework rapidly adopted by threat actors in APT attacks and ransomware campaigns. Written in Go and C++, it supports Windows, macOS, and Linux with extensive modularity through Beacon Object Files (BOFs). The framework enables diverse command-and-control channels including HTTP/S, TCP, mTLS, DNS, DoH, and SMB with RC4 encryption throughout. It implements sophisticated evasion techniques targeting both network detection systems and endpoint defenses. Despite advanced obfuscation capabilities, network-level detection remains viable through analysis of distinctive communication patterns, header structures, and behavioral indicators. The framework supports credential harvesting via LSASS dumping, LAPS exploitation, and Kerberos attacks, alongside defense evasion through process injection and lateral movement via WinRM and PsExec. Combined NDR and EDR solutions provide effective multi-layered detection coverage against AdaptixC2 operations across network ...

Pulse ID: 69e2824daddc65cc4bab207d
Pulse Link: https://otx.alienvault.com/pulse/69e2824daddc65cc4bab207d
Pulse Author: AlienVault
Created: 2026-04-17 18:56:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CredentialHarvesting #CyberSecurity #DNS #EDR #Encryption #Endpoint #HTTP #InfoSec #Linux #Mac #MacOS #OTX #OpenThreatExchange #PsExec #RAT #RCE #RansomWare #SMB #TCP #TLS #Windows #bot #AlienVault

Using KATA and KEDR to detect the AdaptixC2 agent

AdaptixC2 is an emerging open-source post-exploitation framework rapidly adopted by threat actors in APT attacks and ransomware campaigns. Written in Go and C++, it supports Windows, macOS, and Linux with extensive modularity through Beacon Object Files (BOFs). The framework enables diverse command-and-control channels including HTTP/S, TCP, mTLS, DNS, DoH, and SMB with RC4 encryption throughout. It implements sophisticated evasion techniques targeting both network detection systems and endpoint defenses. Despite advanced obfuscation capabilities, network-level detection remains viable through analysis of distinctive communication patterns, header structures, and behavioral indicators. The framework supports credential harvesting via LSASS dumping, LAPS exploitation, and Kerberos attacks, alongside defense evasion through process injection and lateral movement via WinRM and PsExec. Combined NDR and EDR solutions provide effective multi-layered detection coverage against AdaptixC2 operations across network ...

Pulse ID: 69e2824daddc65cc4bab207d
Pulse Link: https://otx.alienvault.com/pulse/69e2824daddc65cc4bab207d
Pulse Author: AlienVault
Created: 2026-04-17 18:56:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CredentialHarvesting #CyberSecurity #DNS #EDR #Encryption #Endpoint #HTTP #InfoSec #Linux #Mac #MacOS #OTX #OpenThreatExchange #PsExec #RAT #RCE #RansomWare #SMB #TCP #TLS #Windows #bot #AlienVault

Using KATA and KEDR to detect the AdaptixC2 agent

AdaptixC2 is an emerging open-source post-exploitation framework rapidly adopted by threat actors in APT attacks and ransomware campaigns. Written in Go and C++, it supports Windows, macOS, and Linux with extensive modularity through Beacon Object Files (BOFs). The framework enables diverse command-and-control channels including HTTP/S, TCP, mTLS, DNS, DoH, and SMB with RC4 encryption throughout. It implements sophisticated evasion techniques targeting both network detection systems and endpoint defenses. Despite advanced obfuscation capabilities, network-level detection remains viable through analysis of distinctive communication patterns, header structures, and behavioral indicators. The framework supports credential harvesting via LSASS dumping, LAPS exploitation, and Kerberos attacks, alongside defense evasion through process injection and lateral movement via WinRM and PsExec. Combined NDR and EDR solutions provide effective multi-layered detection coverage against AdaptixC2 operations across network ...

Pulse ID: 69e2824daddc65cc4bab207d
Pulse Link: https://otx.alienvault.com/pulse/69e2824daddc65cc4bab207d
Pulse Author: AlienVault
Created: 2026-04-17 18:56:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CredentialHarvesting #CyberSecurity #DNS #EDR #Encryption #Endpoint #HTTP #InfoSec #Linux #Mac #MacOS #OTX #OpenThreatExchange #PsExec #RAT #RCE #RansomWare #SMB #TCP #TLS #Windows #bot #AlienVault

Operation PhantomCLR: Stealth Execution via AppDomain Hijacking and In-Memory .NET Abuse

A highly sophisticated multi-stage post-exploitation framework targeting organizations in the Middle East and EMEA financial sectors exploits legitimate digitally signed Intel utilities through .NET AppDomainManager mechanism abuse. The attack leverages trusted binary proxy execution, bypassing EDR and antivirus solutions through JIT-based memory execution and sandbox evasion using computational delays and cryptographic key derivation loops. Initial access occurs via spear-phishing with Arabic-language decoys impersonating Saudi government documents. Once executed, the framework establishes command-and-control communication through Amazon CloudFront CDN domain fronting, employing reflective DLL loading, direct syscall usage, and anti-forensic memory cleanup techniques. The modular plugin-based architecture demonstrates capabilities consistent with advanced persistent threat actors, featuring sophisticated evasion mechanisms including PEB-based API resolution, custom PE export walking, and heap-walking cont...

Pulse ID: 69e389bd5760ef67b7f37472
Pulse Link: https://otx.alienvault.com/pulse/69e389bd5760ef67b7f37472
Pulse Author: AlienVault
Created: 2026-04-18 13:40:13

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Amazon #Arabic #CDN #Cloud #CyberSecurity #EDR #Government #InfoSec #MiddleEast #NET #OTX #OpenThreatExchange #Phishing #Proxy #RAT #Rust #SMS #SpearPhishing #bot #AlienVault

ИИ-агенты в ИБ: путь к доверенному члену команды

На контроллере домена система EDR фиксирует подозрительную активность. Кажется, ничего такого. Обычный алерт, один из нескольких тысяч, которые ежедневно обрабатывает SOC . Однако уже через 15 минут этот инцидент приведёт к полному хаосу в ИБ‑отделе и заморозит деятельность всей компании. Меня зовут Сергей Нестерук, я отвечаю за безопасность применения искусственного интеллекта в Yandex Cloud. В этой статье расскажу, как не допустить ситуации, которую я только что описал.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1025480/

#edr #soc #безопасность_ии #ai_security #ииагенты #ииассистент #ai_agent #ai_assistant #rag #alignment

ИИ-агенты в ИБ: путь к доверенному члену команды

На контроллере домена система EDR фиксирует подозрительную активность. Кажется, ничего такого. Обычный алерт, один из нескольких тысяч, которые ежедневно обрабатывает SOC . Однако уже через 15 минут этот инцидент приведёт к полному хаосу в ИБ‑отделе и заморозит деятельность всей компании. Меня зовут Сергей Нестерук, я отвечаю за безопасность применения искусственного интеллекта в Yandex Cloud. В этой статье расскажу, как не допустить ситуации, которую я только что описал.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1025480/

#edr #soc #безопасность_ии #ai_security #ииагенты #ииассистент #ai_agent #ai_assistant #rag #alignment

ИИ-агенты в ИБ: путь к доверенному члену команды

На контроллере домена система EDR фиксирует подозрительную активность. Кажется, ничего такого. Обычный алерт, один из нескольких тысяч, которые ежедневно обрабатывает SOC . Однако уже через 15 минут этот инцидент приведёт к полному хаосу в ИБ‑отделе и заморозит деятельность всей компании. Меня зовут Сергей Нестерук, я отвечаю за безопасность применения искусственного интеллекта в Yandex Cloud. В этой статье расскажу, как не допустить ситуации, которую я только что описал.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1025480/

#edr #soc #безопасность_ии #ai_security #ииагенты #ииассистент #ai_agent #ai_assistant #rag #alignment

ИИ-агенты в ИБ: путь к доверенному члену команды

На контроллере домена система EDR фиксирует подозрительную активность. Кажется, ничего такого. Обычный алерт, один из нескольких тысяч, которые ежедневно обрабатывает SOC . Однако уже через 15 минут этот инцидент приведёт к полному хаосу в ИБ‑отделе и заморозит деятельность всей компании. Меня зовут Сергей Нестерук, я отвечаю за безопасность применения искусственного интеллекта в Yandex Cloud. В этой статье расскажу, как не допустить ситуации, которую я только что описал.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1025480/

#edr #soc #безопасность_ии #ai_security #ииагенты #ииассистент #ai_agent #ai_assistant #rag #alignment

Ransomware Actors Broaden Use of EDR Disabling Techniques Beyond Vulnerable Drivers

EDR killers are widely used in ransomware intrusions to turn off security software before attacks, using methods like BYOVD (Bring Your Own Vulnerable Driver), driverless tools, scripts and anti rootkit utilities.

Pulse ID: 69e1166fa36722489928aa73
Pulse Link: https://otx.alienvault.com/pulse/69e1166fa36722489928aa73
Pulse Author: cryptocti
Created: 2026-04-16 17:03:43

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #EDR #InfoSec #OTX #OpenThreatExchange #RansomWare #Rootkit #bot #cryptocti

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз. Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

https://habr.com/ru/companies/pt/articles/1016806/

#maxpatrol_carbon #ptesc #pci_dss #cdp #lldp #mitm #arpspoofing #edr #bgp #nat

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз. Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

https://habr.com/ru/companies/pt/articles/1016806/

#maxpatrol_carbon #ptesc #pci_dss #cdp #lldp #mitm #arpspoofing #edr #bgp #nat

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз. Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

https://habr.com/ru/companies/pt/articles/1016806/

#maxpatrol_carbon #ptesc #pci_dss #cdp #lldp #mitm #arpspoofing #edr #bgp #nat

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз. Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

https://habr.com/ru/companies/pt/articles/1016806/

#maxpatrol_carbon #ptesc #pci_dss #cdp #lldp #mitm #arpspoofing #edr #bgp #nat

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

----------------

🔹 🔒 Incident Response & Digital Forensics

Overview

SOC Analyst Hub — Tier 1 centralizes Tier 1 operational content into five core components: step-by-step checklists (playbooks), decision flows for alert assessment and escalation, structured hunting hypotheses with data sources and pivot points, a guided learning path, and progress tracking. The package is aimed at standardizing triage and early-stage investigation activities.

Components
• Playbooks: Five incident-specific playbooks formatted as ordered checklists for common incident types to ensure repeatable Tier 1 responses and evidence capture.
• Decision flows: Tree-based workflows for assessing, classifying, and escalating alerts; designed for logging findings at each node to maintain auditability.
• Hunting hypotheses: Structured hypotheses with suggested data sources, representative queries, and pivot points enabling reproducible threat hunting at Tier 1.
• Learning path: Sequential modules estimated to take ~4 weeks when completed in order; tracks topics and completion percentage for analyst development.
• Progress metrics: Counters for steps and topics completed to measure adoption and training progress.

Use cases
• Standardizing Tier 1 triage across shifts and analysts.
• Accelerating hypothesis-driven hunts using predefined data sources and pivot strategies.
• Providing a measurable onboarding and training path for new Tier 1 hires.

How it works (conceptual)

The hub prescribes checklist-driven activities for immediate evidence collection, pairs decision trees with logging requirements to preserve analyst choices, and maps hunting hypotheses to SIEM/EDR/log sources and pivot fields so that queries and investigations are repeatable and auditable. The learning path sequences modules to build skills progressively without assuming prior coverage.

Limitations
• No platform-specific automation or integrations are described; implementation assumes existing SIEM/EDR and logging pipelines.
• Progress indicators show percentages and counts but no remediation workflows are embedded.

Hashtags

🔹 SOC #IncidentResponse #ThreatHunting #SIEM #EDR

🔗 Source: https://cross-samuel1.github.io/soc-analyst-hub/

New ‘#BlackSanta’ #EDR killer spotted targeting #HR departments

https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/

#cybersecurtiy

RE: https://infosec.exchange/@cR0w/116182898170811189

EDR being useless as usual...

#EDR #infosec

CTM360 identifies an active campaign leveraging Google Groups and Google-hosted redirect chains to deliver Lumma Stealer (Windows) and a trojanized Chromium fork branded “Ninja Browser” (Linux).
Technical highlights:
• 950MB padded executable (null-byte inflation)
• AutoIt loader reconstruction
• Memory-resident payload execution
• Multipart/form-data POST exfiltration
• Malicious extension “NinjaBrowserMonetisation”
• XOR + Base56-like JS obfuscation
• Scheduled task persistence
• Russian search engine default modification

This campaign reinforces a critical shift: SaaS platforms are now delivery infrastructure.
Defensive priorities:
– IoC blocking at firewall + EDR
– Redirect chain inspection
– Extension audit controls
– Endpoint scheduled task monitoring

How are you adjusting detection engineering for SaaS-based malware distribution?
Engage below.

Source: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer

Follow @technadu for ongoing threat intelligence coverage.

#ThreatIntel #MalwareResearch #DetectionEngineering #SOCOperations #EDR #CloudSecurity #SaaSAbuse #LummaStealer #LinuxThreats #CTM360 #IncidentResponse

CTM360 identifies an active campaign leveraging Google Groups and Google-hosted redirect chains to deliver Lumma Stealer (Windows) and a trojanized Chromium fork branded “Ninja Browser” (Linux).
Technical highlights:
• 950MB padded executable (null-byte inflation)
• AutoIt loader reconstruction
• Memory-resident payload execution
• Multipart/form-data POST exfiltration
• Malicious extension “NinjaBrowserMonetisation”
• XOR + Base56-like JS obfuscation
• Scheduled task persistence
• Russian search engine default modification

This campaign reinforces a critical shift: SaaS platforms are now delivery infrastructure.
Defensive priorities:
– IoC blocking at firewall + EDR
– Redirect chain inspection
– Extension audit controls
– Endpoint scheduled task monitoring

How are you adjusting detection engineering for SaaS-based malware distribution?
Engage below.

Source: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer

Follow @technadu for ongoing threat intelligence coverage.

#ThreatIntel #MalwareResearch #DetectionEngineering #SOCOperations #EDR #CloudSecurity #SaaSAbuse #LummaStealer #LinuxThreats #CTM360 #IncidentResponse

CTM360 identifies an active campaign leveraging Google Groups and Google-hosted redirect chains to deliver Lumma Stealer (Windows) and a trojanized Chromium fork branded “Ninja Browser” (Linux).
Technical highlights:
• 950MB padded executable (null-byte inflation)
• AutoIt loader reconstruction
• Memory-resident payload execution
• Multipart/form-data POST exfiltration
• Malicious extension “NinjaBrowserMonetisation”
• XOR + Base56-like JS obfuscation
• Scheduled task persistence
• Russian search engine default modification

This campaign reinforces a critical shift: SaaS platforms are now delivery infrastructure.
Defensive priorities:
– IoC blocking at firewall + EDR
– Redirect chain inspection
– Extension audit controls
– Endpoint scheduled task monitoring

How are you adjusting detection engineering for SaaS-based malware distribution?
Engage below.

Source: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer

Follow @technadu for ongoing threat intelligence coverage.

#ThreatIntel #MalwareResearch #DetectionEngineering #SOCOperations #EDR #CloudSecurity #SaaSAbuse #LummaStealer #LinuxThreats #CTM360 #IncidentResponse

CTM360 identifies an active campaign leveraging Google Groups and Google-hosted redirect chains to deliver Lumma Stealer (Windows) and a trojanized Chromium fork branded “Ninja Browser” (Linux).
Technical highlights:
• 950MB padded executable (null-byte inflation)
• AutoIt loader reconstruction
• Memory-resident payload execution
• Multipart/form-data POST exfiltration
• Malicious extension “NinjaBrowserMonetisation”
• XOR + Base56-like JS obfuscation
• Scheduled task persistence
• Russian search engine default modification

This campaign reinforces a critical shift: SaaS platforms are now delivery infrastructure.
Defensive priorities:
– IoC blocking at firewall + EDR
– Redirect chain inspection
– Extension audit controls
– Endpoint scheduled task monitoring

How are you adjusting detection engineering for SaaS-based malware distribution?
Engage below.

Source: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer

Follow @technadu for ongoing threat intelligence coverage.

#ThreatIntel #MalwareResearch #DetectionEngineering #SOCOperations #EDR #CloudSecurity #SaaSAbuse #LummaStealer #LinuxThreats #CTM360 #IncidentResponse

Эволюция загрузки вредоносных файлов или как хакеры перешли из файловой системы в оперативную память

Стандартная обфускация больше не спасает от систем защиты. Сегодня битва за скрытность идет на уровне системных вызовов и манипуляций с библиотеками в реальном времени. В этой статье мы проследим динамику развития обходов: от классического патчинга AMSI до современных методов уклонения от EDR.

https://habr.com/ru/companies/hex_team/articles/995320/

#amsi #amsi_bypass #EDR #пентест #обход_защиты #вредоносное_по #Загрузка_в_память

🏋️ 𝗡𝗼𝗿𝘁𝗵𝗦𝗲𝗰 𝟮𝟬𝟮𝟲 𝗙𝗼𝗿𝗺𝗮𝘁𝗶𝗼𝗻𝘀/𝗧𝗿𝗮𝗶𝗻𝗶𝗻𝗴𝘀 (𝟭/𝟭𝟮) : "Red Team Training" 𝗽𝗮𝗿/𝗯𝘆 Charles F. Hamilton from CYPFER

📅 Dates: May 12 and 13 2025 (2 days)
🎯 Level: Medium

Description: "𝘛𝘩𝘦 𝘵𝘳𝘢𝘪𝘯𝘪𝘯𝘨 𝘪𝘴 𝘥𝘪𝘷𝘪𝘥𝘦𝘥 𝘪𝘯𝘵𝘰 𝘧𝘪𝘷𝘦 𝘴𝘦𝘤𝘵𝘪𝘰𝘯𝘴: 𝘐𝘯𝘪𝘵𝘪𝘢𝘭 𝘍𝘰𝘰𝘵𝘩𝘰𝘭𝘥, 𝘎𝘢𝘪𝘯𝘪𝘯𝘨 𝘈𝘤𝘤𝘦𝘴𝘴, 𝘖𝘧𝘧𝘦𝘯𝘴𝘪𝘷𝘦 𝘊𝘰𝘥𝘪𝘯𝘨, 𝘐𝘯𝘵𝘦𝘳𝘯𝘢𝘭 𝘙𝘦𝘤𝘰𝘯𝘯𝘢𝘪𝘴𝘴𝘢𝘯𝘤𝘦, 𝘢𝘯𝘥 𝘓𝘢𝘵𝘦𝘳𝘢𝘭 𝘔𝘰𝘷𝘦𝘮𝘦𝘯𝘵. 𝘌𝘢𝘤𝘩 𝘴𝘦𝘤𝘵𝘪𝘰𝘯 𝘸𝘪𝘭𝘭 𝘣𝘦 𝘤𝘰𝘷𝘦𝘳𝘦𝘥 𝘪𝘯 𝘥𝘦𝘱𝘵𝘩, 𝘱𝘳𝘰𝘷𝘪𝘥𝘪𝘯𝘨 𝘵𝘦𝘤𝘩𝘯𝘪𝘤𝘢𝘭 𝘦𝘷𝘪𝘥𝘦𝘯𝘤𝘦 𝘰𝘧 𝘩𝘰𝘸 𝘦𝘢𝘤𝘩 𝘵𝘦𝘤𝘩𝘯𝘪𝘲𝘶𝘦 𝘸𝘰𝘳𝘬𝘴 𝘣𝘦𝘩𝘪𝘯𝘥 𝘵𝘩𝘦 𝘴𝘤𝘦𝘯𝘦𝘴. 𝘙𝘦𝘥 𝘵𝘦𝘢𝘮 𝘦𝘹𝘦𝘳𝘤𝘪𝘴𝘦𝘴 𝘸𝘪𝘭𝘭 𝘣𝘦 𝘱𝘦𝘳𝘧𝘰𝘳𝘮𝘦𝘥 𝘵𝘰 𝘢𝘴𝘴𝘦𝘴𝘴 𝘳𝘦𝘴𝘱𝘰𝘯𝘴𝘪𝘷𝘦𝘯𝘦𝘴𝘴 𝘢𝘯𝘥 𝘥𝘦𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘤𝘢𝘱𝘢𝘣𝘪𝘭𝘪𝘵𝘪𝘦𝘴. 𝘈𝘴 𝘢 𝘳𝘦𝘥 𝘵𝘦𝘢𝘮𝘦𝘳, 𝘪𝘵 𝘪𝘴 𝘪𝘮𝘱𝘰𝘳𝘵𝘢𝘯𝘵 𝘵𝘰 𝘶𝘯𝘥𝘦𝘳𝘴𝘵𝘢𝘯𝘥 𝘸𝘩𝘢𝘵 𝘦𝘢𝘤𝘩 𝘵𝘰𝘰𝘭 𝘢𝘯𝘥 𝘤𝘰𝘮𝘮𝘢𝘯𝘥 𝘺𝘰𝘶 𝘶𝘴𝘦 𝘪𝘴 𝘥𝘰𝘪𝘯𝘨 𝘣𝘦𝘩𝘪𝘯𝘥 𝘵𝘩𝘦 𝘴𝘤𝘦𝘯𝘦𝘴 𝘵𝘰 𝘱𝘳𝘰𝘷𝘪𝘥𝘦 𝘱𝘳𝘰𝘱𝘦𝘳 𝘨𝘶𝘪𝘥𝘢𝘯𝘤𝘦. 𝘌𝘹𝘱𝘦𝘤𝘵 𝘵𝘰 𝘱𝘦𝘳𝘧𝘰𝘳𝘮 𝘤𝘰𝘥𝘦 𝘳𝘦𝘷𝘪𝘦𝘸𝘴, 𝘯𝘦𝘵𝘸𝘰𝘳𝘬 𝘢𝘯𝘢𝘭𝘺𝘴𝘪𝘴, 𝘤𝘰𝘥𝘦 𝘣𝘦𝘩𝘢𝘷𝘪𝘰𝘳 𝘢𝘯𝘢𝘭𝘺𝘴𝘪𝘴, 𝘢𝘯𝘥 𝘸𝘳𝘪𝘵𝘦 𝘤𝘰𝘥𝘦 𝘵𝘰 𝘦𝘯𝘩𝘢𝘯𝘤𝘦 𝘺𝘰𝘶𝘳 𝘳𝘦𝘥 𝘵𝘦𝘢𝘮 𝘤𝘢𝘱𝘢𝘣𝘪𝘭𝘪𝘵𝘪𝘦𝘴."

About the trainer:
Charles F. Hamilton (Mr.Un1k0d3r) - Red Teamer with 10+ years experience delivering offensive testing services. Founder of RingZer0 Team website with 50,000+ members worldwide teaching hacking fundamentals. Prolific toolsmith and trainer who has delivered this training 20+ times. Specializes in covert Red Team operations in highly secured environments.

🔗 Get your ticket now to benefit from this world-class training: https://nsec.io/training-sessions/

#NorthSec #cybersecurity #infosec #redteam #activedirectory #EDR

Oh holy hell. This just shows that Microsoft need to clean up its act and get rid of such functionality to FIRMLY stand on the side of defenders. What the fuck were they thinking when they added support for custom registry hives? #registry #evasion #sysmon #edr
https://deceptiq.com/blog/ntuser-man-registry-persistence

OpenEDR: la #sicurezza #Endpoint Enterprise a costo zero
#EDR #OpenSource @diggita @opensource @sicurezza

https://bit.ly/4q6n9Rm

Мониторинг в Linux на уровне ядра. Краткое практическое введение в eBPF+Cilium

Добрый день, всем читающим данную статью. Недавно эксперементируя с eBPF для разработки нового функционала своей EDR для linux-серверов , я столкнулся с огромной проблемой: на просторах интернета есть огромный пласт статей по теории работы с eBPF, однако кратких практических статей как работать с BPF мной найдено не было. Если быть более точным, то такие статьи есть, однако, они не дают понимания функционала. В общем, в данной статье хотелось бы написать краткий гайд по работе с eBPF с уклоном в практику

https://habr.com/ru/articles/972602/

#eBPF #bpf #go #edr #разработка #мониторинг #трассировка #ядро #ядро_linux #linux

Anyone got a recommendation for a good open source HIDS/HIPS or open source EDR/XDR?

Seems like most of them can do everything (which is as trustworthy as a kebab place offering sushi) or I find guides telling me that snort is an EDR 😓

#opensource #EDR #HIDS