#ParsedReport #CompletenessHigh
17-09-2025
Modus Operandi of Subtle Snail
https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview
Report completeness: High
Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten
Threats:
Minibike
Dll_sideloading_technique
Process_hollowing_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Victims:
Telecommunications
Industry:
Telco, Financial, Aerospace, Critical_infrastructure
Geo:
Iran, Dutch
TTPs:
Tactics: 13
Technics: 22
IOCs:
File: 20
Path: 1
Domain: 4
Hash: 10
Registry: 1
Command: 1
Soft:
Chrome, Microsoft Edge, Google Chrome, Windows Hello, Outlook, Active Directory
Algorithms:
xor, exhibit, zip
Win API:
GetComputerNameExW, GetUserNameW, CopyFile2, QueryPerformanceCounter
Win Services:
BITS
17-09-2025
Modus Operandi of Subtle Snail
https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview
Report completeness: High
Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten
Threats:
Minibike
Dll_sideloading_technique
Process_hollowing_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Victims:
Telecommunications
Industry:
Telco, Financial, Aerospace, Critical_infrastructure
Geo:
Iran, Dutch
TTPs:
Tactics: 13
Technics: 22
IOCs:
File: 20
Path: 1
Domain: 4
Hash: 10
Registry: 1
Command: 1
Soft:
Chrome, Microsoft Edge, Google Chrome, Windows Hello, Outlook, Active Directory
Algorithms:
xor, exhibit, zip
Win API:
GetComputerNameExW, GetUserNameW, CopyFile2, QueryPerformanceCounter
Win Services:
BITS
CTT Report Hub
#ParsedReport #CompletenessHigh 17-09-2025 Modus Operandi of Subtle Snail https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview Report completeness: High Actors/Campaigns: Tortoiseshell (motivation: cyber_espionage) Charming_kitten…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Иранская группа кибершпионажа UNC1549 нацелена на телекоммуникационные сети, используя сложные инструменты, включая бэкдор, который загружает дополнительные библиотеки DLL и взаимодействует с сервером управления с помощью шифрования на основе XOR. Их методология включает в себя обширную разведку, социальную инженерию с помощью поддельных предложений о работе и DLL Sideloading для первоначального доступа. После установки бэкдор обеспечивает закрепление и эксфильтрацию данных за счет скрытой обработки конфиденциальной информации при сохранении постоянного доступа к критически важным системам.
-----
UNC1549 - иранская группа кибершпионажа, специализирующаяся на телекоммуникационных сетях.
Их инструментарий включает в себя основной бэкдор для загрузки библиотек динамической компоновки (DLL-файлов) в скомпрометированные системы.
Бэкдор взаимодействует с сервером управления (C2), используя алгоритм на основе XOR для расшифровки строк во время выполнения.
Группа использует кейлоггер, реализованный с помощью библиотеки DLL, для расшифровки которого используются методы линейного конгруэнтного генератора и процедуры обфускации.
Они также развертывают средство перехвата данных браузера для сбора данных браузера и средство перехвата Outlook/Winlogon для извлечения учетных данных Windows и Outlook.
UNC1549 проводит разведку с целью выявления персонала с высоким уровнем доступа, используя общедоступные источники, такие как LinkedIn.
Они используют поддельные учетные записи HR, чтобы заманивать цели сфабрикованными предложениями о работе, что приводит к эксплуатации с помощью вредоносной DLL sideloading в подписанные двоичные файлы.
Бэкдор предназначен для сохранения при запуске системы, поддерживая доступ в разных сеансах.
Повышение привилегий достигается путем использования законных двоичных файлов с повышенными привилегиями.
Инфраструктура C2 размещена в Azure, что позволяет маскировать вредоносный трафик в рамках законных коммуникаций.
Стратегии эксфильтрации данных включают автоматическую идентификацию конфиденциальной информации и загрузку фрагментами, чтобы избежать обнаружения при мониторинге полосы пропускания.
Операции UNC1549's позволяют им поддерживать долгосрочный доступ при скрытном извлечении конфиденциальных данных.
Их деятельность сопряжена со значительными рисками утечки данных и уязвимостей в целевых компаниях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Иранская группа кибершпионажа UNC1549 нацелена на телекоммуникационные сети, используя сложные инструменты, включая бэкдор, который загружает дополнительные библиотеки DLL и взаимодействует с сервером управления с помощью шифрования на основе XOR. Их методология включает в себя обширную разведку, социальную инженерию с помощью поддельных предложений о работе и DLL Sideloading для первоначального доступа. После установки бэкдор обеспечивает закрепление и эксфильтрацию данных за счет скрытой обработки конфиденциальной информации при сохранении постоянного доступа к критически важным системам.
-----
UNC1549 - иранская группа кибершпионажа, специализирующаяся на телекоммуникационных сетях.
Их инструментарий включает в себя основной бэкдор для загрузки библиотек динамической компоновки (DLL-файлов) в скомпрометированные системы.
Бэкдор взаимодействует с сервером управления (C2), используя алгоритм на основе XOR для расшифровки строк во время выполнения.
Группа использует кейлоггер, реализованный с помощью библиотеки DLL, для расшифровки которого используются методы линейного конгруэнтного генератора и процедуры обфускации.
Они также развертывают средство перехвата данных браузера для сбора данных браузера и средство перехвата Outlook/Winlogon для извлечения учетных данных Windows и Outlook.
UNC1549 проводит разведку с целью выявления персонала с высоким уровнем доступа, используя общедоступные источники, такие как LinkedIn.
Они используют поддельные учетные записи HR, чтобы заманивать цели сфабрикованными предложениями о работе, что приводит к эксплуатации с помощью вредоносной DLL sideloading в подписанные двоичные файлы.
Бэкдор предназначен для сохранения при запуске системы, поддерживая доступ в разных сеансах.
Повышение привилегий достигается путем использования законных двоичных файлов с повышенными привилегиями.
Инфраструктура C2 размещена в Azure, что позволяет маскировать вредоносный трафик в рамках законных коммуникаций.
Стратегии эксфильтрации данных включают автоматическую идентификацию конфиденциальной информации и загрузку фрагментами, чтобы избежать обнаружения при мониторинге полосы пропускания.
Операции UNC1549's позволяют им поддерживать долгосрочный доступ при скрытном извлечении конфиденциальных данных.
Их деятельность сопряжена со значительными рисками утечки данных и уязвимостей в целевых компаниях.
#ParsedReport #CompletenessHigh
15-09-2025
Threat Actor Profile: APT27
https://www.dexpose.io/threat-actor-profile-apt27/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)
Stealthytrident
Akira_ransomware
I-soon_leak (motivation: information_theft)
Coldface
Winnti
Threats:
Proxylogon_exploit
Hyperbro
Supply_chain_technique
Sysupdate
Polar_ransomware
Drbcontrol
Plugx_rat
Devman
Akira_ransomware
Spear-phishing_technique
Watering_hole_technique
Zxshell
Gh0st_rat
Httpbrowser
Aspxspy_shell
Chinachopper
Credential_dumping_technique
Mimikatz_tool
Gsecdump
Pandora
Fscan_tool
Owaauth
Shadowpad
Proxyshell_vuln
Log4shell_vuln
Tmanger
Dll_sideloading_technique
Antak
Pwdump_tool
Nbtscan_tool
Impacket_tool
Psexec_tool
Smbexec_tool
Eternalblue_vuln
Godzilla_webshell
Nglite
Kdcsponge_stealer
Rshell
Cobalt_strike_tool
Lazagne_tool
Iox_tool
Credential_harvesting_technique
Lolbin_technique
Adfind_tool
Secretsdump_tool
Passworddumper_tool
Kekeo_tool
Twoface
Dll_hijacking_technique
Shadow_copies_delete_technique
Process_injection_technique
Screen_shotting_technique
Process_hollowing_technique
Victims:
Government, Telecommunications, Multinational electronics manufacturer, State legislature, Healthcare, Defense, Energy, Technology, Education, Higher education, have more...
Industry:
Energy, Government, Aerospace, Telco, Military, Education, Healthcare, Transport, Entertainment, Foodtech
Geo:
America, Middle east, Germany, German, Hong kong, Afghanistan, Chinese, Philippines, Asian, China, Pakistan, Lithuania, Taiwan, Mongolia, Singapore, Asia, Iran, India, Taiwanese
CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-40539 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-0213 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2014-6324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2019-0604 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-0144 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-44077 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 12
Technics: 45
IOCs:
File: 20
IP: 1
Url: 1
Hash: 18
Soft:
Microsoft Exchange, Linux, BitLocker, Twitter, ASP.NET, Apache Tomcat, Outlook, psexec, Microsoft Exchange Server, macOS, have more...
Algorithms:
des, exhibit, shikata_ga_nai
Functions:
CreateMedia, CreateTsMediaAdm
Languages:
powershell, javascript
15-09-2025
Threat Actor Profile: APT27
https://www.dexpose.io/threat-actor-profile-apt27/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)
Stealthytrident
Akira_ransomware
I-soon_leak (motivation: information_theft)
Coldface
Winnti
Threats:
Proxylogon_exploit
Hyperbro
Supply_chain_technique
Sysupdate
Polar_ransomware
Drbcontrol
Plugx_rat
Devman
Akira_ransomware
Spear-phishing_technique
Watering_hole_technique
Zxshell
Gh0st_rat
Httpbrowser
Aspxspy_shell
Chinachopper
Credential_dumping_technique
Mimikatz_tool
Gsecdump
Pandora
Fscan_tool
Owaauth
Shadowpad
Proxyshell_vuln
Log4shell_vuln
Tmanger
Dll_sideloading_technique
Antak
Pwdump_tool
Nbtscan_tool
Impacket_tool
Psexec_tool
Smbexec_tool
Eternalblue_vuln
Godzilla_webshell
Nglite
Kdcsponge_stealer
Rshell
Cobalt_strike_tool
Lazagne_tool
Iox_tool
Credential_harvesting_technique
Lolbin_technique
Adfind_tool
Secretsdump_tool
Passworddumper_tool
Kekeo_tool
Twoface
Dll_hijacking_technique
Shadow_copies_delete_technique
Process_injection_technique
Screen_shotting_technique
Process_hollowing_technique
Victims:
Government, Telecommunications, Multinational electronics manufacturer, State legislature, Healthcare, Defense, Energy, Technology, Education, Higher education, have more...
Industry:
Energy, Government, Aerospace, Telco, Military, Education, Healthcare, Transport, Entertainment, Foodtech
Geo:
America, Middle east, Germany, German, Hong kong, Afghanistan, Chinese, Philippines, Asian, China, Pakistan, Lithuania, Taiwan, Mongolia, Singapore, Asia, Iran, India, Taiwanese
CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-40539 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-0213 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2014-6324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2019-0604 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-0144 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-44077 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 12
Technics: 45
IOCs:
File: 20
IP: 1
Url: 1
Hash: 18
Soft:
Microsoft Exchange, Linux, BitLocker, Twitter, ASP.NET, Apache Tomcat, Outlook, psexec, Microsoft Exchange Server, macOS, have more...
Algorithms:
des, exhibit, shikata_ga_nai
Functions:
CreateMedia, CreateTsMediaAdm
Languages:
powershell, javascript
DeXpose
Threat Actor Profile: APT27 - DeXpose
APT27 — also known as Emissary Panda, Iron Tiger, and LuckyMouse — is a Chinese state-sponsored cyber-espionage group active since at least 2010. The group
CTT Report Hub
#ParsedReport #CompletenessHigh 15-09-2025 Threat Actor Profile: APT27 https://www.dexpose.io/threat-actor-profile-apt27/ Report completeness: High Actors/Campaigns: Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT27, спонсируемая китайским государством группа кибершпионажа, действующая по меньшей мере с 2010 года, нацелена на широкий круг организаций, включая правительства и критически важные отрасли промышленности, для сбора разведывательных данных. Они используют множество уязвимостей, в частности, в Microsoft Exchange и Zoho ManageEngine, используя сложное вредоносное ПО, такое как HyperBro и SysUpdate, а также стратегии долгосрочного доступа. Недавние операции выявили двойную направленность на шпионаж и потенциальную финансовую выгоду, проявившуюся во время таких событий, как операция StealthyTrident и внедрение программ-вымогателей Polar.
-----
APT27, также известная как Emissary Panda, Iron Tiger и LuckyMouse, является спонсируемой китайским государством группой кибершпионажа, которая действует как минимум с 2010 года. Группа известна тем, что нацелена на широкий круг организаций, включая правительства и важнейшие отрасли промышленности, с целью получения политической, экономической и технологической информации. APT27 использует разнообразный набор методов и специально разработанное вредоносное ПО, делая упор на долгосрочное проникновение и постоянный доступ к своим целям.
Злоумышленник активно использует уязвимости в широко используемых приложениях для получения первоначального доступа. Известные эксплойты включают уязвимости ProxyLogon Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) и уязвимость Zoho ManageEngine ADSelfService Plus (CVE-2021-40539). Например, APT27 нацелился на три сервера SharePoint на Ближнем Востоке, используя CVE-2019-0604, развернув Веб-шеллы, включая Antak версии 0.5.0, для обеспечения доступа.
Для APT27 характерно использование сложного инструментария для защиты от вредоносного ПО, включающего проприетарные бэкдоры, такие как HyperBro и SysUpdate, а также облегченные Веб-шеллы и средства кражи учетных данных, предназначенные для поддержания контроля над скомпрометированными средами. Группа продемонстрировала свою адаптивность в ходе различных кампаний в разных регионах, включая Северную Америку, Европу и Азию. Недавняя активность включает атаки на телекоммуникационные организации на Ближнем Востоке и правительства азиатских стран, с использованием нового варианта Backdoor. SysUpdate
В конкретных операциях APT27 усовершенствовала свои методологии. "Операция StealthyTrident" включала в себя компрометацию supply-chain, в ходе которой троянские установщики приложения для чата использовались для доставки вредоносного ПО, подчеркивая сосредоточенность группы на социальной инженерии и эксплуатации. В течение 2021 и 2022 годов APT27 проводила крупномасштабные шпионские кампании, что привело к нарушениям в таких секторах, как здравоохранение, оборона и технологии. В 2023 году они обновили свое вредоносное ПО, указав на продолжающиеся усовершенствования, позволяющие избежать обнаружения.
С точки зрения коллективной угрозы, операции APT27's демонстрируют широкое сотрудничество внутри акторов, связанных с Китаем. Инциденты, связанные с группой, привели к действиям правоохранительных органов, включая предъявление обвинений гражданам Китая, причастным к кибератакам. Более того, тактика группы выходит за рамки шпионажа; в таких инцидентах, как внедрение программы-вымогателя Polar, они не только сохраняли доступ к системе, но и пытались монетизировать ее, демонстрируя двойной интерес как к разведданным, так и к финансовой выгоде.
APT27 остается значительной и развивающейся угрозой в глобальном киберпространстве, о чем свидетельствуют недавние рекомендации и продолжающийся мониторинг со стороны организаций, занимающихся кибербезопасностью. Их способность использовать известные уязвимости и быстро адаптироваться подчеркивает необходимость принятия бдительных мер защиты в целевых секторах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT27, спонсируемая китайским государством группа кибершпионажа, действующая по меньшей мере с 2010 года, нацелена на широкий круг организаций, включая правительства и критически важные отрасли промышленности, для сбора разведывательных данных. Они используют множество уязвимостей, в частности, в Microsoft Exchange и Zoho ManageEngine, используя сложное вредоносное ПО, такое как HyperBro и SysUpdate, а также стратегии долгосрочного доступа. Недавние операции выявили двойную направленность на шпионаж и потенциальную финансовую выгоду, проявившуюся во время таких событий, как операция StealthyTrident и внедрение программ-вымогателей Polar.
-----
APT27, также известная как Emissary Panda, Iron Tiger и LuckyMouse, является спонсируемой китайским государством группой кибершпионажа, которая действует как минимум с 2010 года. Группа известна тем, что нацелена на широкий круг организаций, включая правительства и важнейшие отрасли промышленности, с целью получения политической, экономической и технологической информации. APT27 использует разнообразный набор методов и специально разработанное вредоносное ПО, делая упор на долгосрочное проникновение и постоянный доступ к своим целям.
Злоумышленник активно использует уязвимости в широко используемых приложениях для получения первоначального доступа. Известные эксплойты включают уязвимости ProxyLogon Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) и уязвимость Zoho ManageEngine ADSelfService Plus (CVE-2021-40539). Например, APT27 нацелился на три сервера SharePoint на Ближнем Востоке, используя CVE-2019-0604, развернув Веб-шеллы, включая Antak версии 0.5.0, для обеспечения доступа.
Для APT27 характерно использование сложного инструментария для защиты от вредоносного ПО, включающего проприетарные бэкдоры, такие как HyperBro и SysUpdate, а также облегченные Веб-шеллы и средства кражи учетных данных, предназначенные для поддержания контроля над скомпрометированными средами. Группа продемонстрировала свою адаптивность в ходе различных кампаний в разных регионах, включая Северную Америку, Европу и Азию. Недавняя активность включает атаки на телекоммуникационные организации на Ближнем Востоке и правительства азиатских стран, с использованием нового варианта Backdoor. SysUpdate
В конкретных операциях APT27 усовершенствовала свои методологии. "Операция StealthyTrident" включала в себя компрометацию supply-chain, в ходе которой троянские установщики приложения для чата использовались для доставки вредоносного ПО, подчеркивая сосредоточенность группы на социальной инженерии и эксплуатации. В течение 2021 и 2022 годов APT27 проводила крупномасштабные шпионские кампании, что привело к нарушениям в таких секторах, как здравоохранение, оборона и технологии. В 2023 году они обновили свое вредоносное ПО, указав на продолжающиеся усовершенствования, позволяющие избежать обнаружения.
С точки зрения коллективной угрозы, операции APT27's демонстрируют широкое сотрудничество внутри акторов, связанных с Китаем. Инциденты, связанные с группой, привели к действиям правоохранительных органов, включая предъявление обвинений гражданам Китая, причастным к кибератакам. Более того, тактика группы выходит за рамки шпионажа; в таких инцидентах, как внедрение программы-вымогателя Polar, они не только сохраняли доступ к системе, но и пытались монетизировать ее, демонстрируя двойной интерес как к разведданным, так и к финансовой выгоде.
APT27 остается значительной и развивающейся угрозой в глобальном киберпространстве, о чем свидетельствуют недавние рекомендации и продолжающийся мониторинг со стороны организаций, занимающихся кибербезопасностью. Их способность использовать известные уязвимости и быстро адаптироваться подчеркивает необходимость принятия бдительных мер защиты в целевых секторах.
#ParsedReport #CompletenessLow
23-09-2025
The Phantom Extension: Backdooring chrome through uncharted pathways
https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html
Report completeness: Low
Threats:
Chromeloader
Cursedchrome_tool
Victims:
Enterprise organizations, Windows domain environments
ChatGPT TTPs:
T1059.007, T1078, T1112
IOCs:
File: 11
Path: 1
Registry: 3
Soft:
chrome, Chromium, Microsoft Edge, Active Directory, Twitter
Algorithms:
zip, sha256, base64, hmac
Functions:
GetFlags, value, size
Languages:
python, javascript
Platforms:
cross-platform
Links:
23-09-2025
The Phantom Extension: Backdooring chrome through uncharted pathways
https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html
Report completeness: Low
Threats:
Chromeloader
Cursedchrome_tool
Victims:
Enterprise organizations, Windows domain environments
ChatGPT TTPs:
do not use without manual checkT1059.007, T1078, T1112
IOCs:
File: 11
Path: 1
Registry: 3
Soft:
chrome, Chromium, Microsoft Edge, Active Directory, Twitter
Algorithms:
zip, sha256, base64, hmac
Functions:
GetFlags, value, size
Languages:
python, javascript
Platforms:
cross-platform
Links:
https://github.com/mandatoryprogrammer/CursedChromehttps://github.com/Pica4x6/SecurePreferencesFile/blob/main/Seed.py#L60Synacktiv
The Phantom Extension: Backdooring chrome through uncharted pathways
CTT Report Hub
#ParsedReport #CompletenessLow 23-09-2025 The Phantom Extension: Backdooring chrome through uncharted pathways https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники все чаще используют браузеры на базе Chromium для компрометации конфиденциальной информации, такой как учетные данные и токены, используя такие методы, как принудительная загрузка произвольных расширений. Они используют уязвимости в "manifest.json" расширения и процессах проверки целостности. Известные методы включают подмену хэша расширений, внесенных в белый список, которая выдает себя за законные расширения, и удаление расширений, когда вредоносные расширения смешиваются с установленными, обходя меры безопасности и манипулируя пользовательскими политиками.
-----
Усиление мер безопасности компонентов Windows привело к тому, что злоумышленники переключили свое внимание на использование браузеров, в частности, нацелились на браузеры на базе Chromium. Эти браузеры в настоящее время являются ключевыми каналами доступа к конфиденциальной информации, что делает их привлекательными объектами для получения учетных данных и токенов. Один из известных методов компрометации этих браузеров включает принудительную загрузку произвольных расширений, что приводит к полному захвату функциональных возможностей браузера.
Расширения Chromium, состоящие из HTML, CSS и JavaScript, позволяют пользователям изменять свой опыт просмотра веб-страниц с помощью множества функций и интеграций. Центральное место в этих расширениях занимает файл manifest.json, в котором описаны права доступа, скрипты и метаданные расширения. Функциональность дополнительно расширяется с помощью сценариев service worker, которые включают фоновые процессы, такие как управление сетью и доступ к файлам cookie, а также сценариев контента, которые могут манипулировать содержимым веб-страницы и извлекать конфиденциальную информацию.
Процесс установки расширений Chromium основан на файлах пользовательских настроек, хранящихся в каталоге AppData, которые управляют всеми установленными расширениями и содержат их список. Важным аспектом этой системы является генерация хэшей расширений, которые обеспечивают их целостность. Однако существуют уязвимости, подобные тем, которые были выявлены в исследовательской работе 2020 года, в которой показано, как HMAC, используемый для проверки целостности, вычисляется с использованием исходных данных, жестко закодированных в файле resources.pak, что потенциально позволяет злоумышленникам беспрепятственно манипулировать настройками.
Обновленные протоколы безопасности в Chromium версий 134 и выше ввели более строгий контроль в режиме разработчика, ограничив возможность регистрации и загрузки расширений на основе подписанного файла настроек. Это не остановило киберпреступников, которые разработали изощренные методы обхода этих ограничений, особенно в корпоративных средах, где политики безопасности реализуются с помощью объектов групповой политики.
Одним из важных рассмотренных методов является подмена хэша расширений, внесенных в белый список. Это работает за счет использования механизма открытого ключа RSA, присущего идентификаторам расширений, для имитации одобренного корпорацией расширения, даже если законное расширение не установлено. Другой метод, подмены расширений, позволяет злоумышленникам скрыть вредоносное распакованное расширение, выдав его за законное, уже установленное в браузере. Кроме того, злоумышленники могут манипулировать пользовательскими политиками с помощью разделов реестра, подрывая защиту организации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники все чаще используют браузеры на базе Chromium для компрометации конфиденциальной информации, такой как учетные данные и токены, используя такие методы, как принудительная загрузка произвольных расширений. Они используют уязвимости в "manifest.json" расширения и процессах проверки целостности. Известные методы включают подмену хэша расширений, внесенных в белый список, которая выдает себя за законные расширения, и удаление расширений, когда вредоносные расширения смешиваются с установленными, обходя меры безопасности и манипулируя пользовательскими политиками.
-----
Усиление мер безопасности компонентов Windows привело к тому, что злоумышленники переключили свое внимание на использование браузеров, в частности, нацелились на браузеры на базе Chromium. Эти браузеры в настоящее время являются ключевыми каналами доступа к конфиденциальной информации, что делает их привлекательными объектами для получения учетных данных и токенов. Один из известных методов компрометации этих браузеров включает принудительную загрузку произвольных расширений, что приводит к полному захвату функциональных возможностей браузера.
Расширения Chromium, состоящие из HTML, CSS и JavaScript, позволяют пользователям изменять свой опыт просмотра веб-страниц с помощью множества функций и интеграций. Центральное место в этих расширениях занимает файл manifest.json, в котором описаны права доступа, скрипты и метаданные расширения. Функциональность дополнительно расширяется с помощью сценариев service worker, которые включают фоновые процессы, такие как управление сетью и доступ к файлам cookie, а также сценариев контента, которые могут манипулировать содержимым веб-страницы и извлекать конфиденциальную информацию.
Процесс установки расширений Chromium основан на файлах пользовательских настроек, хранящихся в каталоге AppData, которые управляют всеми установленными расширениями и содержат их список. Важным аспектом этой системы является генерация хэшей расширений, которые обеспечивают их целостность. Однако существуют уязвимости, подобные тем, которые были выявлены в исследовательской работе 2020 года, в которой показано, как HMAC, используемый для проверки целостности, вычисляется с использованием исходных данных, жестко закодированных в файле resources.pak, что потенциально позволяет злоумышленникам беспрепятственно манипулировать настройками.
Обновленные протоколы безопасности в Chromium версий 134 и выше ввели более строгий контроль в режиме разработчика, ограничив возможность регистрации и загрузки расширений на основе подписанного файла настроек. Это не остановило киберпреступников, которые разработали изощренные методы обхода этих ограничений, особенно в корпоративных средах, где политики безопасности реализуются с помощью объектов групповой политики.
Одним из важных рассмотренных методов является подмена хэша расширений, внесенных в белый список. Это работает за счет использования механизма открытого ключа RSA, присущего идентификаторам расширений, для имитации одобренного корпорацией расширения, даже если законное расширение не установлено. Другой метод, подмены расширений, позволяет злоумышленникам скрыть вредоносное распакованное расширение, выдав его за законное, уже установленное в браузере. Кроме того, злоумышленники могут манипулировать пользовательскими политиками с помощью разделов реестра, подрывая защиту организации.
#ParsedReport #CompletenessMedium
23-09-2025
LARVA-25004 Tracking Report
https://asec.ahnlab.com/ko/90292/
Report completeness: Medium
Actors/Campaigns:
Larva-25004
Kimsuky
Lazarus
Threats:
Spear-phishing_technique
Nikidoor
Httpspy
Http_troy
Memload
Victims:
Defense industry, Government research institute
Industry:
Government
Geo:
Korea, Korean, North korea
TTPs:
IOCs:
File: 4
Hash: 4
IP: 1
Url: 4
Algorithms:
md5
23-09-2025
LARVA-25004 Tracking Report
https://asec.ahnlab.com/ko/90292/
Report completeness: Medium
Actors/Campaigns:
Larva-25004
Kimsuky
Lazarus
Threats:
Spear-phishing_technique
Nikidoor
Httpspy
Http_troy
Memload
Victims:
Defense industry, Government research institute
Industry:
Government
Geo:
Korea, Korean, North korea
TTPs:
IOCs:
File: 4
Hash: 4
IP: 1
Url: 4
Algorithms:
md5
CTT Report Hub
#ParsedReport #CompletenessMedium 23-09-2025 LARVA-25004 Tracking Report https://asec.ahnlab.com/ko/90292/ Report completeness: Medium Actors/Campaigns: Larva-25004 Kimsuky Lazarus Threats: Spear-phishing_technique Nikidoor Httpspy Http_troy Memload …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky, занимающаяся хакерской группировкой, действующая с августа 2023 года, нацелилась на оборонный сектор Южной Кореи и правительственные исследовательские институты, используя spear phishing и сложные инфраструктурные компрометации. Они воспользовались уязвимостью на сервере обновлений Bizbox alpha messenger для распространения измененного исполняемого файла, bizboxamessenger.exe , который содержит как вредоносный, так и законный код, что облегчает его уклонение от обнаружения и усложняет идентификацию инфекций в пользовательских системах.
-----
Отчет об отслеживании LARVA-25004 раскрывает деятельность хакерской группировки, идентифицированной как Kimsuky, которая действует с августа 2023 года. Эта группа в первую очередь сосредоточила свои атаки на объектах южнокорейской оборонной промышленности и правительственных научно-исследовательских институтах. Аналитический центр безопасности Ahnlab (ASEC) связал эту группу с инцидентом с вредоносным кодом, который был связан с использованием просочившегося сертификата корейской компании CJ OLIVE NETWORKS в мае 2025 года.
Оперативная тактика группы LARVA-25004 включает в себя spear phishing как метод проникновения в системы через электронную почту. В дополнение к этому они продемонстрировали сложные методы, ставя под угрозу внутреннюю инфраструктуру организаций. В частности, они нацелились на сервер обновлений Bizbox alpha messenger, который облегчил загрузку измененной версии законного исполняемого файла, bizboxamessenger.exe . Этот измененный файл предназначен для маскировки под подлинное обновление при внедрении вредоносного кода в системы пользователя.
Когда запускается законный мессенджер Bizbox alpha, он автоматически подключается к обновленному серверу, непреднамеренно загружая скомпрометированную версию исполняемого файла. Примечательно, что Вредоносный файл структурирован таким образом, чтобы включать как вредоносный код, так и не вредоносный легитимный код, что позволяет избежать обнаружения конечными пользователями и принятия мер безопасности. Этот метод усложняет идентификацию системного заражения, поскольку наличие аутентичного файла затрудняет жертвам распознавание вредоносного характера обновления при отсутствии четких признаков компрометации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky, занимающаяся хакерской группировкой, действующая с августа 2023 года, нацелилась на оборонный сектор Южной Кореи и правительственные исследовательские институты, используя spear phishing и сложные инфраструктурные компрометации. Они воспользовались уязвимостью на сервере обновлений Bizbox alpha messenger для распространения измененного исполняемого файла, bizboxamessenger.exe , который содержит как вредоносный, так и законный код, что облегчает его уклонение от обнаружения и усложняет идентификацию инфекций в пользовательских системах.
-----
Отчет об отслеживании LARVA-25004 раскрывает деятельность хакерской группировки, идентифицированной как Kimsuky, которая действует с августа 2023 года. Эта группа в первую очередь сосредоточила свои атаки на объектах южнокорейской оборонной промышленности и правительственных научно-исследовательских институтах. Аналитический центр безопасности Ahnlab (ASEC) связал эту группу с инцидентом с вредоносным кодом, который был связан с использованием просочившегося сертификата корейской компании CJ OLIVE NETWORKS в мае 2025 года.
Оперативная тактика группы LARVA-25004 включает в себя spear phishing как метод проникновения в системы через электронную почту. В дополнение к этому они продемонстрировали сложные методы, ставя под угрозу внутреннюю инфраструктуру организаций. В частности, они нацелились на сервер обновлений Bizbox alpha messenger, который облегчил загрузку измененной версии законного исполняемого файла, bizboxamessenger.exe . Этот измененный файл предназначен для маскировки под подлинное обновление при внедрении вредоносного кода в системы пользователя.
Когда запускается законный мессенджер Bizbox alpha, он автоматически подключается к обновленному серверу, непреднамеренно загружая скомпрометированную версию исполняемого файла. Примечательно, что Вредоносный файл структурирован таким образом, чтобы включать как вредоносный код, так и не вредоносный легитимный код, что позволяет избежать обнаружения конечными пользователями и принятия мер безопасности. Этот метод усложняет идентификацию системного заражения, поскольку наличие аутентичного файла затрудняет жертвам распознавание вредоносного характера обновления при отсутствии четких признаков компрометации.
#ParsedReport #CompletenessMedium
23-09-2025
Exploring a yearlong AiTM Phishing Campaign Abusing npm, GitHub and Public CDNs
https://www.orangecyberdefense.com/global/blog/cybersecurity/exploring-a-year-long-aitm-phishing-campaign-abusing-npm-github-and-public-cdns
Report completeness: Medium
Threats:
Aitm_technique
Tycoon_2fa
Evilginx_tool
Victims:
Manufacturing, Engineering, European organizations, United states organizations, Germany organizations
Geo:
Usa, Germany
ChatGPT TTPs:
T1036, T1566.001, T1566.002, T1583.006, T1588.001, T1608.005, T1646
IOCs:
Url: 4
Domain: 8
IP: 4
File: 3
Languages:
javascript
Links:
23-09-2025
Exploring a yearlong AiTM Phishing Campaign Abusing npm, GitHub and Public CDNs
https://www.orangecyberdefense.com/global/blog/cybersecurity/exploring-a-year-long-aitm-phishing-campaign-abusing-npm-github-and-public-cdns
Report completeness: Medium
Threats:
Aitm_technique
Tycoon_2fa
Evilginx_tool
Victims:
Manufacturing, Engineering, European organizations, United states organizations, Germany organizations
Geo:
Usa, Germany
ChatGPT TTPs:
do not use without manual checkT1036, T1566.001, T1566.002, T1583.006, T1588.001, T1608.005, T1646
IOCs:
Url: 4
Domain: 8
IP: 4
File: 3
Languages:
javascript
Links:
https://github.com/javascript-obfuscator/javascript-obfuscatorOrangecyberdefense
Phishing for clues, part1: Exploring a year‑long AiTM Phishing Campaign Abusing npm, GitHub and Public CDNs
In collaboration with the World Watch team, our investigation uncovered a widespread phishing campaign likely targeting thousands of users across several countries, with a focus on Europe. Remarkably, this campaign has been active for over a year, highlighting…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-09-2025 Exploring a yearlong AiTM Phishing Campaign Abusing npm, GitHub and Public CDNs https://www.orangecyberdefense.com/global/blog/cybersecurity/exploring-a-year-long-aitm-phishing-campaign-abusing-npm-github-and…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена длительная кампания фишинга, направленная в первую очередь на европейских пользователей, в ходе которой злоумышленники использовали npm, GitHub и общедоступные CDN для доставки вредоносного контента. Злоумышленники использовали поддельные электронные письма с HTML-вложениями, связанными с вредоносным пакетом npm, и создавали новые пакеты для сохранения доступа, несмотря на существование ранее помеченных вредоносных пакетов. Кампания была направлена на имитацию законных сервисов, особенно нацеленных на Германию, с попытками фишинга, исходящими из доменов, напоминающих фирмы в производственном и инженерном секторах.
-----
В ходе продолжительной кампании фишинга, раскрытой CyberSOC, злоумышленники уже более года нацеливались на пользователей в основном в Европе, злоупотребляя npm, GitHub и общедоступными сетями доставки контента (CDN). Это расследование было начато после взлома учетной записи пользователя из-за фишинга, который включал электронное письмо с HTML-вложением, размещенное на CDN jsDelivr, указывающее на вредоносный пакет npm.
В кампании использовались различные домены, связанные с IP-адресами перенаправителей, на которых в основном размещались простые HTML-файлы, предназначенные для имитации законных сервисов, таких как поддельные страницы OneDrive. Эти файлы сыграли важную роль в облегчении попыток фишинга. При более тщательном изучении было обнаружено, что кампания использует различные пакеты npm в качестве каналов для вредоносного JavaScript. Примечательно, что несколько пакетов npm уже были помечены как вредоносные до начала расследования, однако некоторые файлы оставались доступными, что указывает на постоянные попытки злоумышленника сохранить доступ путем частого создания новых пакетов.
Инфраструктура злоумышленника также перешла с GitHub на npm для размещения вредоносного контента, при этом значительная учетная запись GitHub была создана под именем пользователя "mrmdgl". Эта учетная запись содержала хранилища, в которых изначально размещались файлы JavaScript, обычно используемые в сценариях фишинга. Электронные письма с фишингом были отправлены с поддельных доменов, в значительной степени напоминающих законные компании в производственном и инженерном секторах, что повышало вероятность того, что получатели станут жертвами применяемой тактики.
Географический анализ целей фишинга показал, что основное внимание уделяется Европе, причем Германия является наиболее уязвимой страной. Примерно 60% выявленных целей базировались в Европе, в то время как 26% были расположены в США.
Эта масштабная операция по фишингу иллюстрирует эволюционирующий ландшафт угроз, когда злоумышленники используют знакомые платформы, такие как npm и GitHub, для сокрытия своей вредоносной деятельности, что делает обнаружение все более сложным. Постоянный характер этой кампании подчеркивает необходимость постоянного мониторинга и адаптированных мер безопасности для противодействия этим типам изощренных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена длительная кампания фишинга, направленная в первую очередь на европейских пользователей, в ходе которой злоумышленники использовали npm, GitHub и общедоступные CDN для доставки вредоносного контента. Злоумышленники использовали поддельные электронные письма с HTML-вложениями, связанными с вредоносным пакетом npm, и создавали новые пакеты для сохранения доступа, несмотря на существование ранее помеченных вредоносных пакетов. Кампания была направлена на имитацию законных сервисов, особенно нацеленных на Германию, с попытками фишинга, исходящими из доменов, напоминающих фирмы в производственном и инженерном секторах.
-----
В ходе продолжительной кампании фишинга, раскрытой CyberSOC, злоумышленники уже более года нацеливались на пользователей в основном в Европе, злоупотребляя npm, GitHub и общедоступными сетями доставки контента (CDN). Это расследование было начато после взлома учетной записи пользователя из-за фишинга, который включал электронное письмо с HTML-вложением, размещенное на CDN jsDelivr, указывающее на вредоносный пакет npm.
В кампании использовались различные домены, связанные с IP-адресами перенаправителей, на которых в основном размещались простые HTML-файлы, предназначенные для имитации законных сервисов, таких как поддельные страницы OneDrive. Эти файлы сыграли важную роль в облегчении попыток фишинга. При более тщательном изучении было обнаружено, что кампания использует различные пакеты npm в качестве каналов для вредоносного JavaScript. Примечательно, что несколько пакетов npm уже были помечены как вредоносные до начала расследования, однако некоторые файлы оставались доступными, что указывает на постоянные попытки злоумышленника сохранить доступ путем частого создания новых пакетов.
Инфраструктура злоумышленника также перешла с GitHub на npm для размещения вредоносного контента, при этом значительная учетная запись GitHub была создана под именем пользователя "mrmdgl". Эта учетная запись содержала хранилища, в которых изначально размещались файлы JavaScript, обычно используемые в сценариях фишинга. Электронные письма с фишингом были отправлены с поддельных доменов, в значительной степени напоминающих законные компании в производственном и инженерном секторах, что повышало вероятность того, что получатели станут жертвами применяемой тактики.
Географический анализ целей фишинга показал, что основное внимание уделяется Европе, причем Германия является наиболее уязвимой страной. Примерно 60% выявленных целей базировались в Европе, в то время как 26% были расположены в США.
Эта масштабная операция по фишингу иллюстрирует эволюционирующий ландшафт угроз, когда злоумышленники используют знакомые платформы, такие как npm и GitHub, для сокрытия своей вредоносной деятельности, что делает обнаружение все более сложным. Постоянный характер этой кампании подчеркивает необходимость постоянного мониторинга и адаптированных мер безопасности для противодействия этим типам изощренных угроз.
#ParsedReport #CompletenessHigh
23-09-2025
CISA Shares Lessons Learned from an Incident Response Engagement
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a
Report completeness: High
Threats:
Chinachopper
Dirty_cow_vuln
Ringq_tool
Fscan_tool
Netstat_tool
Lolbin_technique
Bitsadmin_tool
Stowaway_tool
Iox_tool
Victims:
U.s. federal civilian executive branch agency
Industry:
Critical_infrastructure
Geo:
China
CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2016-5195 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 11
Technics: 22
IOCs:
File: 15
Path: 3
IP: 3
Hash: 7
Soft:
GeoServer, GeoServers, Burp Suite, Linux, curl, BusyBox
Algorithms:
zip, md5
Win Services:
BITS
Languages:
php, javascript, powershell
Links:
have more...
23-09-2025
CISA Shares Lessons Learned from an Incident Response Engagement
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a
Report completeness: High
Threats:
Chinachopper
Dirty_cow_vuln
Ringq_tool
Fscan_tool
Netstat_tool
Lolbin_technique
Bitsadmin_tool
Stowaway_tool
Iox_tool
Victims:
U.s. federal civilian executive branch agency
Industry:
Critical_infrastructure
Geo:
China
CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2016-5195 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 11
Technics: 22
IOCs:
File: 15
Path: 3
IP: 3
Hash: 7
Soft:
GeoServer, GeoServers, Burp Suite, Linux, curl, BusyBox
Algorithms:
zip, md5
Win Services:
BITS
Languages:
php, javascript, powershell
Links:
https://github.com/T4y1oR/RingQhttps://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8whttps://github.com/firefart/dirtycowhave more...
Vulners Database
CVE-2016-5195 - vulnerability database | Vulners.com
Race condition in mm/gup.c in the Linux kernel 2.x through 4.x before 4.8.3 allows local users to gain privileges by leveraging incorrect handling of a copy-on-write (COW) feature to write to a read-only memory mapping, as exploited in the wild in O...
CTT Report Hub
#ParsedReport #CompletenessHigh 23-09-2025 CISA Shares Lessons Learned from an Incident Response Engagement https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a Report completeness: High Threats: Chinachopper Dirty_cow_vuln Ringq_tool Fscan_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Федеральное агентство США подверглось взлому после того, как злоумышленники воспользовались критической уязвимостью CVE-2024-36401 в его геосервере, что позволило удаленно выполнить код. Первоначальная разведка была проведена с использованием Burp Suite, за которой последовали сценарии закрепления и повышения привилегий с помощью эксплойта "dirtycow" (CVE-2016-5195). Злоумышленники использовали PowerShell для перемещения внутри компании, оставались незамеченными в течение трех недель и использовали неадекватные протоколы мониторинга и реагирования на инциденты.
-----
В недавнем инциденте, связанном с федеральным гражданским агентством исполнительной власти США, CISA подробно изложила критические выводы из своего взаимодействия после обнаружения потенциальной вредоносной активности с помощью инструментов EDR агентства. Инцидент выявил значительные пробелы в системе безопасности, включая задержки с исправлением уязвимостей, отсутствие тестирования плана реагирования на инциденты (IRP) и недостаточный постоянный мониторинг предупреждений EDR.
Злоумышленники воспользовались критической уязвимостью (CVE-2024-36401) на общедоступном геосервере агентства, чтобы получить первоначальный доступ 11 июля 2024 года. Эта уязвимость позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода (RCE) на уязвимых версиях GeoServer. Первоначальные усилия по разведке включали такие инструменты, как Burp Suite, для выявления уязвимости в сети агентства, что привело к использованию сценариев и инструментов для установления закрепления.
Получив доступ, злоумышленники использовали методы "eval injection" для RCE и попытались загрузить файл JavaScript для извлечения информации о веб-сервере, хотя эта попытка не увенчалась успехом. Они еще больше повысили привилегии, используя инструмент "dirtycow", который использует заметную уязвимость Linux (CVE-2016-5195). В своей тактике уклонения акторы выполняли косвенные команды через Веб-шеллы .php и использовали Задания BITS для своих операций.
Для перемещения внутри компании они использовали такие функции, как PowerShell, для загрузки дополнительных полезных данных и включили xp_cmdshell на геосервере, что облегчило перемещение на SQL server. Мониторинг CISA выявил, что злоумышленники действовали незамеченными в течение примерно трех недель, что в конечном итоге привело к появлению предупреждений EDR на SQL Server при загрузке подозрительного вредоносного ПО.
CISA сформулировала несколько уроков, извлеченных из этого инцидента, в частности, неспособность оперативно устранить выявленные уязвимости, что позволило использовать CVE-2024-36401 в установленные сроки, что продемонстрировало неэффективность управления известными угрозами. IRP агентства не был реализован, что привело к задержкам с привлечением CISA для оказания помощи и выявило недостаточность сбора данных о критических ситуациях и мониторинга событий.
Этот инцидент подчеркивает необходимость упреждающих методов управления уязвимостями, своевременного исправления уязвимых систем и важность тщательного тестирования планов реагирования для обеспечения готовности к потенциальным киберугрозам. В результате этого взаимодействия организациям напоминают о критическом характере постоянного мониторинга угроз и ценности отработки реагирования на инциденты с помощью настольных упражнений, чтобы избежать будущих уязвимостей и векторов атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Федеральное агентство США подверглось взлому после того, как злоумышленники воспользовались критической уязвимостью CVE-2024-36401 в его геосервере, что позволило удаленно выполнить код. Первоначальная разведка была проведена с использованием Burp Suite, за которой последовали сценарии закрепления и повышения привилегий с помощью эксплойта "dirtycow" (CVE-2016-5195). Злоумышленники использовали PowerShell для перемещения внутри компании, оставались незамеченными в течение трех недель и использовали неадекватные протоколы мониторинга и реагирования на инциденты.
-----
В недавнем инциденте, связанном с федеральным гражданским агентством исполнительной власти США, CISA подробно изложила критические выводы из своего взаимодействия после обнаружения потенциальной вредоносной активности с помощью инструментов EDR агентства. Инцидент выявил значительные пробелы в системе безопасности, включая задержки с исправлением уязвимостей, отсутствие тестирования плана реагирования на инциденты (IRP) и недостаточный постоянный мониторинг предупреждений EDR.
Злоумышленники воспользовались критической уязвимостью (CVE-2024-36401) на общедоступном геосервере агентства, чтобы получить первоначальный доступ 11 июля 2024 года. Эта уязвимость позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода (RCE) на уязвимых версиях GeoServer. Первоначальные усилия по разведке включали такие инструменты, как Burp Suite, для выявления уязвимости в сети агентства, что привело к использованию сценариев и инструментов для установления закрепления.
Получив доступ, злоумышленники использовали методы "eval injection" для RCE и попытались загрузить файл JavaScript для извлечения информации о веб-сервере, хотя эта попытка не увенчалась успехом. Они еще больше повысили привилегии, используя инструмент "dirtycow", который использует заметную уязвимость Linux (CVE-2016-5195). В своей тактике уклонения акторы выполняли косвенные команды через Веб-шеллы .php и использовали Задания BITS для своих операций.
Для перемещения внутри компании они использовали такие функции, как PowerShell, для загрузки дополнительных полезных данных и включили xp_cmdshell на геосервере, что облегчило перемещение на SQL server. Мониторинг CISA выявил, что злоумышленники действовали незамеченными в течение примерно трех недель, что в конечном итоге привело к появлению предупреждений EDR на SQL Server при загрузке подозрительного вредоносного ПО.
CISA сформулировала несколько уроков, извлеченных из этого инцидента, в частности, неспособность оперативно устранить выявленные уязвимости, что позволило использовать CVE-2024-36401 в установленные сроки, что продемонстрировало неэффективность управления известными угрозами. IRP агентства не был реализован, что привело к задержкам с привлечением CISA для оказания помощи и выявило недостаточность сбора данных о критических ситуациях и мониторинга событий.
Этот инцидент подчеркивает необходимость упреждающих методов управления уязвимостями, своевременного исправления уязвимых систем и важность тщательного тестирования планов реагирования для обеспечения готовности к потенциальным киберугрозам. В результате этого взаимодействия организациям напоминают о критическом характере постоянного мониторинга угроз и ценности отработки реагирования на инциденты с помощью настольных упражнений, чтобы избежать будущих уязвимостей и векторов атак.
#ParsedReport #CompletenessLow
23-09-2025
From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat
https://asec.ahnlab.com/en/90175/
Report completeness: Low
Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331
Victims:
Multiple companies
Industry:
Transport, Education, Government
Geo:
Russian, Korea, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021.002, T1486
IOCs:
File: 3
Hash: 1
Soft:
Linux, ESXi
Algorithms:
ecdh, md5, xchacha20
Functions:
NewUnauthenticatedCipher, XORKeyStream
Platforms:
cross-platform
23-09-2025
From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat
https://asec.ahnlab.com/en/90175/
Report completeness: Low
Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331
Victims:
Multiple companies
Industry:
Transport, Education, Government
Geo:
Russian, Korea, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.002, T1486
IOCs:
File: 3
Hash: 1
Soft:
Linux, ESXi
Algorithms:
ecdh, md5, xchacha20
Functions:
NewUnauthenticatedCipher, XORKeyStream
Platforms:
cross-platform
ASEC
From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat - ASEC
From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat ASEC