#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу на основе SVG демонстрирует, как киберпреступники используют масштабируемую векторную графику для выполнения сложных атак. Злоумышленники встраивают скрипты в SVG-файлы, используя их для создания интерактивных элементов, которые перенаправляют пользователей на поддельные сайты с целью кражи конфиденциальной информации, такой как учетные данные для входа в систему. Этот метод позволяет вредоносному контенту оставаться незамеченным, увеличивая риск для ничего не подозревающих пользователей, которые могут взаимодействовать со скомпрометированными файлами.
-----

Недавние результаты выявили кампанию фишинга на основе SVG, которая иллюстрирует эволюционирующую тактику, используемую киберпреступниками. Файлы масштабируемой векторной графики (SVG), часто воспринимаемые как разрешенные файлы изображений, позволяют злоумышленникам разрабатывать сложные схемы фишинга. Эта конкретная кампания показывает, что SVG-файлы могут использоваться не только для визуального обмана, но и в качестве векторов для выполнения вредоносного кода, повышая ставки для потенциальных жертв.

Злоумышленники используют особые свойства SVG-файлов для внедрения скриптов, облегчающих фишинг. Этот подход может включать интерактивные элементы, которые могут перенаправлять пользователей на поддельные веб-сайты, предназначенные для сбора конфиденциальной информации, такой как учетные данные для входа в систему. Учитывая, что файлы SVG могут оставаться непритязательными по своей природе, пользователи могут непреднамеренно взаимодействовать с вредоносным контентом, что приведет к краже учетных данных.

Чтобы снизить риски, связанные с атаками SVG-фишинга, пользователям крайне важно соблюдать осторожность. Частным лицам рекомендуется воздерживаться от открытия любых подозрительных вложений электронной почты, независимо от их внешнего вида, если они не подтверждены отправителем. Кроме того, проверка URL-адреса необходима при появлении запроса на ввод конфиденциальной информации, поскольку злоумышленники часто подделывают законные сайты. Использование Менеджеров паролей может повысить безопасность, предотвращая автоматическое заполнение учетных данных в мошеннических доменах.

Решения для защиты от вредоносного ПО в режиме реального времени с компонентами веб-защиты жизненно важны для выявления и блокирования угроз, связанных с такими кампаниями фишинга. Возможности мониторинга и фильтрации могут существенно снизить вероятность стать жертвой этих эволюционирующих методов. Организациям рекомендуется внедрять меры безопасности электронной почты, которые обнаруживают аномальные вложения и помещают их в карантин, создавая тем самым дополнительный уровень защиты от передовой тактики фишинга. В целом, бдительность и упреждающие меры безопасности имеют первостепенное значение для устранения угрозы, создаваемой схемами фишинга на основе SVG.

#ParsedReport #CompletenessLow
25-09-2025

NPM Compromise: The Wrath of the Shai-Hulud Supply Chain Attack

https://blog.pulsedive.com/npm-compromise-the-wrath-of-the-shai-hulud-supply-chain-attack/

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud
Trufflehog_tool

Victims:
Npm ecosystem, Open source developers, Cryptocurrency users, Github repositories

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195

IOCs:
Domain: 2
File: 2
Url: 1

Soft:
curl

Wallets:
tron

Crypto:
bitcoin, litecoin, solana

Algorithms:
base64

Functions:
makeRepo

Languages:
javascript

Links:
https://gist.github.com/sindresorhus/2b7466b1ec36376b8742dc711c24db20
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года две атаки по Цепочке поставок были нацелены на пакеты npm, скомпрометировав популярные библиотеки, такие как "chalk" и "debug", чтобы облегчить захват криптовалютного кошелька, что привело к несанкционированным транзакциям. Последующая атака, червь Shai-Hulud, извлекла секреты из репозиториев GitHub, используя инструмент TruffleHog для сбора конфиденциальных учетных данных из исходного кода, что ознаменовало значительную эскалацию активности по компрометации. Эти инциденты указывают на серьезные уязвимости в Цепочке поставок программного обеспечения, вызывая опасения по поводу безопасности экосистем разработки.
-----

В сентябре 2025 года две значительные кампании атак на Цепочки поставок были нацелены на пакеты npm, что привело к существенным рискам для безопасности, особенно в отношении криптовалют и эксфильтрации конфиденциальных данных. Первый компромисс произошел 8 сентября, когда было обнаружено, что популярные пакеты npm, такие как "chalk" и "debug", каждый из которых загружался более 250 миллионов раз в неделю, были модифицированы для включения вредоносного кода. Этот код позволил злоумышленникам заменить законные криптовалютные кошельки кошельками, контролируемыми противником, что способствовало несанкционированным транзакциям и краже средств.

Вскоре после этого, 15 сентября 2025 года, было сообщено о более масштабном взломе, известном как червь Shai-Hulud. Эта атака отличалась тем, что была сосредоточена на извлечении секретов из репозиториев GitHub вместо того, чтобы нацеливаться на функции, связанные с криптовалютой. Червь Shai-Hulud использовал инструмент TruffleHog, хорошо известный метод поиска и сбора учетных данных и конфиденциальной информации в исходном коде. Этот метод позволил вредоносному ПО эффективно обнаруживать секреты, которые затем были отфильтрованы с помощью действий GitHub на вредоносный домен, связанный с злоумышленниками.

Временная шкала атаки Shai-Hulud иллюстрирует четкий период активности с 15 сентября в 03:46 до 16 сентября в 13:42, отмечая целенаправленный период компрометации данных. Масштаб атаки намекал на то, что был задействован более широкий спектр пакетов npm по сравнению с предыдущим инцидентом с захватом кошелька.

В ответ на эти последовательные атаки GitHub изложил стратегический план к 22 сентября 2025 года, направленный на повышение безопасности в экосистеме npm. Хотя конкретные меры не были подробно описаны в резюме, намерение GitHub устранить уязвимости и внедрить защитные протоколы указывает на срочную необходимость реагирования на растущие угрозы в Цепочке поставок программного обеспечения. Эта серия атак подчеркивает сохраняющиеся проблемы и риски, связанные с уязвимостями Цепочки поставок в широко используемых экосистемах разработки.

#ParsedReport #CompletenessMedium
25-09-2025

XCSSET evolves again: Analyzing the latest updates to XCSSET s inventory

https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/

Report completeness: Medium

Threats:
Xcsset
Hackbrowser

Victims:
Software developers, Macos application developers

Industry:
Financial

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 22
Hash: 4

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Firefox, Telegram, macOS, sudo, openssl, Twitter

Algorithms:
base64, aes, zip, sha256

Functions:
boot, dec, oD, doMainFunc, runMe

Languages:
applescript

Platforms:
apple

Links:
https://github.com/moonD4rk/HackBrowserData/tree/main
https://github.com/Jinmo/applescript-disassembler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последняя версия вредоносного ПО XCSSET нацелена на проекты Xcode в экосистеме Apple, используя общие файлы проекта в процессе сборки приложения macOS. Он имеет сложную четырехэтапную цепочку заражения с обновленной функцией загрузки, которая улучшает его работу и использует модули для кражи информации и закрепления, включая средство для кражи информации для Firefox и средство для кражи файлов, которое извлекает и выполняет скрипты с сервера управления. Вредоносное ПО также включает в себя продвинутые механизмы запутывания и постоянного выполнения, демонстрирующие эволюционирующий ландшафт угроз в средствах разработки программного обеспечения.
-----

Недавние данные Microsoft Threat Intelligence указывают на появление нового варианта вредоносного ПО XCSSET, которое нацелено на проекты Xcode, используемые разработчиками в экосистеме Apple. Это вредоносное ПО умело использует модель совместной работы, присущую разработке программного обеспечения, при которой файлы проекта часто используются совместно, что позволяет ему распространяться в процессе сборки приложений macOS. В последнем варианте по-прежнему используется сложная четырехэтапная цепочка заражения, с особыми изменениями, наблюдаемыми на четвертом этапе, который включает обновленную функцию загрузки (), предназначенную для повышения ее операционной эффективности.

Обновленная функция загрузки вводит дополнительные проверки на наличие браузера Firefox и изменяет логику существования приложения Telegram. Примечательно, что на этом этапе можно загружать и запускать новые подмодули, что еще больше расширяет охват и функциональность вредоносного ПО. Определенный модуль, vexyeqj, функционирует как похититель информации с помощью скомпилированного AppleScript, доступного только для запуска. Хотя декомпиляция этого скрипта сопряжена с трудностями, его можно разобрать для более глубокого анализа.

Другой модуль, neq_cdyd_ilvcmwx, работает как похититель файлов, извлекая скрипты с сервера управления (C2) и выполняя их для эксфильтрации данных, используя временное хранилище каталогов для загруженных скриптов. Этот модуль имеет сходство с ранее выявленными угрозами, которые извлекают конфиденциальные данные цифрового кошелька из браузеров. Кроме того, было зафиксировано, что операции эксфильтрации могут выполняться без предоставления сервером C2 списка папок.

Механизмы закрепления очевидны в последнем варианте, таком как модуль xmyyeqjx, который использует LaunchDaemon для выполнения вредоносных команд при запуске. Этот модуль изменяет пути к каталогам, проверяет наличие сетевого подключения и добавляет вредоносную полезную нагрузку к законным пользовательским файлам. Еще один уровень закрепления в варианте исходит от jey, который использует метод обфускации для инкапсуляции логики дешифрования в функцию оболочки, повышая ее защиту от автоматического анализа.

Кроме того, в арсенал вредоносного ПО был добавлен новый похититель информации, нацеленный на Firefox, идентифицированный как iewmilh_cdyd. Этот модуль инициирует свою работу, загружая двоичный файл Mach-O FAT с сервера C2, который отвечает за проведение операций по краже информации.

Эти разработки в области вредоносного ПО XCSSET демонстрируют адаптивность и эволюционирующий характер киберугроз, нацеленных на средства разработки программного обеспечения, и подчеркивают необходимость надежных стратегий обнаружения и реагирования, о чем свидетельствуют предупреждения, доступные пользователям Microsoft Defender XDR. Это подчеркивает важность сохранения бдительности в отношении таких сложных и целенаправленных векторов атак в сфере разработки программного обеспечения.

#ParsedReport #CompletenessHigh
26-09-2025

Eye of the Storm: Analyzing DarkCloud's Latest Capabilities

https://www.esentire.com/blog/eye-of-the-storm-analyzing-darkclouds-latest-capabilities

Report completeness: High

Threats:
Darkcloud
More_eggs
Spear-phishing_technique
Redline_stealer
Procmon_tool

Victims:
Manufacturing

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1071.003, T1566.001

IOCs:
Email: 2
File: 6
Domain: 3
Path: 17
Url: 1
Hash: 4

Soft:
Telegram, VirtualBox, Firefox, Pidgin, CoreFTP, WinSCP, Outlook

Wallets:
metamask

Algorithms:
zip, sha256

Win Services:
bits

Languages:
visual_basic, python, php, autoit, swift

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/DarkCloud/DarkCloud-IoCs-09-19-2025.txt
https://github.com/eSentire/iocs/blob/main/DarkCloud/DarkCloud-IDA.py
https://github.com/eSentire/iocs/blob/main/DarkCloud/DarkCloud.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года в рамках кампании Целевого фишинга производственная организация была нацелена на рассылку вредоносного ПО для кражи информации DarkCloud с помощью вредоносного электронного письма, содержащего zip-архив. DarkCloud, продаваемый как легальное программное обеспечение, требует для компиляции среды разработки Visual Basic 6 IDE и использует несколько методов эксфильтрации, включая SMTP, Telegram, FTP и веб-панель для кражи учетных данных. Этот конкретный вариант наблюдался с использованием SMTP для отправки учетных данных хосту "mail.apexpharmabd.com .".
-----

В сентябре 2025 года была обнаружена кампания Целевого фишинга, нацеленная на организацию производственного сектора, целью которой было распространение вредоносного ПО для кражи информации DarkCloud. Электронное письмо с фишингом было отправлено с "[email protected] " и содержал тему на финансовую тематику, предназначенную для воспроизведения законной банковской переписки. Электронное письмо содержало вредоносный zip-архив, который облегчал проникновение вредоносного ПО в среду цели.

DarkCloud активно продается через веб-сайт, идентифицированный как darkcloud.onlinewebshop.net и через Telegram пользователем @BluCoder, выдающим себя за легальное программное обеспечение. Однако технический анализ выявляет более злонамеренный умысел. Для создания вредоносного ПО пользователи должны установить среду разработки Visual Basic 6 (VB6), которая требуется для компиляции заглушки вредоносного ПО из локального исходного кода VB6.

Кроме того, DarkCloud позволяет использовать несколько методов эксфильтрации учетных данных, поддерживая такие протоколы, как SMTP, Telegram, FTP и веб-панель. Этот разнообразный набор методов эксфильтрации позволяет злоумышленникам адаптировать свой подход в зависимости от целевой среды, облегчая кражу и передачу конфиденциальной информации.

Анализ, проведенный исследователями безопасности, выявил использование SMTP для эксфильтрации в этом конкретном варианте DarkCloud. Этот вывод был получен с помощью инструмента, разработанного eSentire, который извлекает конфигурацию вредоносного ПО и помогает понять механизмы его работы. Конфигурация в этом инциденте указывала на то, что учетные данные отправлялись на хост "mail.apexpharmabd.com .".

#ParsedReport #CompletenessLow
27-09-2025

Cisco Firewall and VPN Zero Day Attacks: CVE-2025-20333 and CVE-2025-20362

https://www.zscaler.com/blogs/security-research/cisco-firewall-and-vpn-zero-day-attacks-cve-2025-20333-and-cve-2025-20362

Report completeness: Low

Actors/Campaigns:
Uat4356
Arcanedoor

Threats:
Line_runner
Line_dancer_tool
Rayinitiator
Line_viper

Victims:
Network security appliances, Perimeter devices, Firewall and vpn devices

Industry:
Critical_infrastructure

Geo:
China

CVEs:
CVE-2025-20362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20333 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1068, T1071.001, T1095, T1190, T1203, T1542.003, T1562.001, T1595

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рекомендации Cisco по безопасности от 25 сентября 2025 года выделяются три критические уязвимости (CVE-2025-20333, CVE-2025-20362, CVE-2025-20363) в ее Веб-сервисах VPN, которые эксплуатируются спонсируемым государством злоумышленником UAT4356 из Китая. Эта группа использует передовые методы, напоминающие предыдущие атаки, используя ошибку нормализации пути URL и переполнение буфера кучи, чтобы получить удаленное выполнение кода и поддерживать закрепление с помощью буткита. Их тактика включает разведку, повышение привилегий, эксфильтрацию данных и уклонение от обнаружения путем отключения ведения журнала, сосредоточив внимание на эксплуатации устройств по периметру без перемещения внутри компании во внутренние сети.
-----

Недавно, 25 сентября 2025 года, Cisco выпустила рекомендации по безопасности, в которых рассматриваются три критические уязвимости в ее Веб-сервисах VPN для адаптивного устройства безопасности Secure Firewall (ASA) и программного обеспечения Secure Firewall Threat Defense (FTD). Эти уязвимости, идентифицированные как CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363, были использованы в рамках изощренной спонсируемой государством кампании, приписываемой хакерской группировке, известной как UAT4356, которая, как подозревается, действует из Китая. Эта группа использует передовые методы, напоминающие стиль атаки ArcaneDoor, для постоянного использования этих уязвимостей с мая 2025 года.

Уязвимости связаны с ошибкой нормализации пути к URL-адресу, позволяющей обходить проверку сеанса для защищенных конечных точек WebVPN, и переполнением буфера кучи в обработчике загрузки файлов WebVPN, что может привести к утечке информации. Затронутые модели включают в себя несколько более старых устройств Cisco ASA серии 5500-X, работающих под управлением программного обеспечения ASA версий 9.12 или 9.14, в частности, без технологий безопасной загрузки и привязки к доверию, что делает их значительно уязвимыми для эксплуатации, особенно с учетом того, что срок действия многих из них приближается или превысил срок окончания поддержки (EoS).

В своей методологии атаки UAT4356 продемонстрировала системный подход, начинающийся с разведки, которая включала обширное сканирование уязвимых устройств ASA/FTD, с заметными скачками интернет-трафика. Первоначально они получают доступ, используя CVE-2025-20362 для обхода проверки подлинности WebVPN, а затем используют CVE-2025-20333 и последующие связанные с ними уязвимости для достижения удаленного выполнения кода. Злоумышленники повышают свои привилегии, развертывая шелл-код в пользовательской среде ASA, позволяя выполнять произвольные команды.

Для закрепления они использовали буткит, получивший название Flash RayInitiator, внедрив его на уровень ROMMON для поддержания контроля посредством перезагрузок и обновлений. Их тактика постэксплуатации включает захват сетевых пакетов, сброс конфигураций, создание бэкдоров и эксфильтрацию конфиденциальных журналов, при этом систематически отключая ведение журнала, чтобы избежать обнаружения. Они поддерживают управление с помощью защищенных сеансов WebVPN и ICMP-каналов, часто используя шифрование, адаптированное к среде объекта.

Атака подчеркивает отсутствие перемещения внутри компании, концентрируясь вместо этого на шпионаже и эксфильтрации данных с устройств периметра без дальнейшего проникновения во внутреннюю сеть. В целом, эта кампания иллюстрирует тенденцию использования устаревающей инфраструктуры, что вынуждает организации внедрять более устойчивые архитектуры безопасности, такие как zero trust, для смягчения этих развивающихся угроз.

#ParsedReport #CompletenessLow
26-09-2025

Silent Push Examines the Dark Side of Dynamic DNS Providers

https://www.silentpush.com/blog/dynamic-dns-providers/

Report completeness: Low

Actors/Campaigns:
Gamaredon
0ktapus
Fancy_bear
Apt33
Gallium
Stone_panda

Threats:
Darkcomet_rat
Quietexit

Geo:
Ukraine, Chinese

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003, T1584.002, T1608.003

Crypto:
bitcoin

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Лица, участвующие в хакерских группировках, все чаще используют поставщиков динамических DNS, которые предлагают упрощенные процедуры регистрации, позволяющие временно размещать вредоносные действия. Эти службы часто не отвечают на запросы об удалении, продлевая доступность вредоносного контента. Анонимность, обеспечиваемая криптовалютными платежами, и различные конфигурации аренды поддоменов привлекают этих акторов, подчеркивая необходимость постоянного мониторинга и оценки рисков организациями для выявления и смягчения последствий подключений к вредоносным хостам.
-----

Провайдеры динамической DNS (системы доменных имен), которые позволяют пользователям арендовать поддомены, все чаще используются хакерскими группировками. Эти сервисы могут быть привлекательными из-за их слабых процессов регистрации и методов работы, что облегчает злоумышленникам установку временного хостинга без тщательной проверки. Злоумышленники используют эти платформы для совершения различных гнусных действий, поскольку они часто неэффективно реагируют на запросы властей об удалении, позволяя вредоносному контенту оставаться доступным в течение длительного времени.

Silent Push разработала обширные отчеты об экспорте данных, отслеживающие более 70 000 доменов, которые арендуют такие поддомены. Такое отслеживание позволяет организациям точно определять и смягчать подключения к потенциально опасным узлам на основе их толерантности к риску. Ландшафт аренды поддоменов сложен, доступны различные конфигурации — некоторые не предлагают никакого контроля над хостингом с ограниченной настройкой контента, в то время как другие позволяют полностью контролировать как хостинг, так и контент, часто с помощью платных планов. Такая гибкость в настройке может быть привлекательной для злонамеренных акторов, стремящихся скрыть свою деятельность.

Многие службы Dynamic DNS также принимают платежи в криптовалюте, что добавляет еще один уровень анонимности и затрудняет отслеживание личностей тех, кто стоит за вредоносными операциями. На этих платформах существуют каналы оповещения о злоупотреблениях, однако существует значительный пробел в отслеживании времени реагирования на удаление, из-за чего неэффективные провайдеры остаются безответственными.

Silent Push подчеркивает необходимость проактивных стратегий защиты от рисков, связанных с арендованными доменами и динамическими службами DNS. Их исследование выявляет многочисленные случаи, когда серьезные злоумышленники злоупотребляли этими сервисами в своих атаках. Сохраняющаяся популярность этих платформ среди злонамеренных акторов предполагает, что они, вероятно, останутся каналом распространения киберугроз, что требует постоянного мониторинга и оценки рисков.

Чтобы противостоять этим вызовам, организациям рекомендуется эффективно использовать аналитические данные и отчеты Silent Push, помогающие им распознавать и блокировать потенциально опасные соединения, привязанные к динамически арендуемым поддоменам. Поскольку ландшафт киберугроз меняется в связи с расширением использования динамических провайдеров DNS, поддержание бдительности и разработка эффективных стратегий мониторинга становятся критически важными для устойчивости к кибербезопасности.

#ParsedReport #CompletenessLow
27-09-2025

Threat Insights: Active Exploitation of Cisco ASA Zero Days

https://unit42.paloaltonetworks.com/zero-day-vulnerabilities-affect-cisco-software/

Report completeness: Low

Actors/Campaigns:
Arcanedoor

Threats:
Line_viper
Rayinitiator

Victims:
Network security appliances users, Technology sector

Industry:
Government

Geo:
Middle east, Japan, Asia, Australia, India

CVEs:
CVE-2025-20362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20333 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1587, T1588, T1595

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемый государством злоумышленник под названием ArcaneDoor использует критические уязвимости zero-day в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), в частности CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363. Первые два активно эксплуатируются, позволяя выполнять произвольный код, эксфильтрацию данных и установку стойкого вредоносного ПО. Эта тенденция подчеркивает растущую обеспокоенность акторов национальных государств, которые используют уязвимости zero-day для устойчивого доступа к скомпрометированным системам.
-----

В сентябре 2025 года спонсируемый государством злоумышленник, связанный с предыдущими кампаниями под названием ArcaneDoor, активно использовал критические уязвимости zero-day в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Cisco раскрыла три уязвимости: CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363. Подтверждено, что первые два вида активно эксплуатируются в дикой природе, в то время как третий считается крайне уязвимым для неминуемых нападений.

Эти уязвимости позволяют вредоносным акторам выполнять произвольный код в скомпрометированных системах, извлекать конфиденциальные данные и устанавливать постоянное вредоносное ПО, обеспечивая непрерывный доступ после перезагрузки устройства. Жизненный цикл таких уязвимостей zero-day показывает тревожную тенденцию среди противников, в первую очередь национальных государств, которые вкладывают значительные ресурсы в выявление этих недостатков безопасности и извлечение из них выгоды. Неотъемлемая непредсказуемость zero-day дает злоумышленникам значительное преимущество, поскольку поставщики обычно не могут выпускать исправления до тех пор, пока не будет замечена эксплуатация.

Чтобы снизить эти риски, организациям, использующим уязвимые продукты Cisco, рекомендуется немедленно применять исправления. В случаях, когда устройства не могут быть оперативно обновлены, Cisco предоставила временные стратегии смягчения последствий, хотя они сопряжены со своим собственным набором рисков, таких как отключение Веб-служб VPN на основе SSL/TLS, что может воздействие на операционную безопасность.

#ParsedReport #CompletenessMedium
25-09-2025

RayInitiator & LINE VIPER

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf

Report completeness: Medium

Actors/Campaigns:
Arcanedoor

Threats:
Line_viper
Rayinitiator
Line_dancer_tool
Line_runner
Code_cave_technique

Victims:
Cisco asa users, Network infrastructure

Industry:
Government

TTPs:
Tactics: 6
Technics: 12

IOCs:
File: 3

Soft:
Linux, anyconnect

Algorithms:
sha512, gzip, aes-256-cbc, base64, xor, md5, aes

Functions:
YY, for

Win API:
decompress

Languages:
python

Platforms:
x64

YARA: Found