#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года в рамках кампании Целевого фишинга производственная организация была нацелена на рассылку вредоносного ПО для кражи информации DarkCloud с помощью вредоносного электронного письма, содержащего zip-архив. DarkCloud, продаваемый как легальное программное обеспечение, требует для компиляции среды разработки Visual Basic 6 IDE и использует несколько методов эксфильтрации, включая SMTP, Telegram, FTP и веб-панель для кражи учетных данных. Этот конкретный вариант наблюдался с использованием SMTP для отправки учетных данных хосту "mail.apexpharmabd.com .".
-----

В сентябре 2025 года была обнаружена кампания Целевого фишинга, нацеленная на организацию производственного сектора, целью которой было распространение вредоносного ПО для кражи информации DarkCloud. Электронное письмо с фишингом было отправлено с "[email protected] " и содержал тему на финансовую тематику, предназначенную для воспроизведения законной банковской переписки. Электронное письмо содержало вредоносный zip-архив, который облегчал проникновение вредоносного ПО в среду цели.

DarkCloud активно продается через веб-сайт, идентифицированный как darkcloud.onlinewebshop.net и через Telegram пользователем @BluCoder, выдающим себя за легальное программное обеспечение. Однако технический анализ выявляет более злонамеренный умысел. Для создания вредоносного ПО пользователи должны установить среду разработки Visual Basic 6 (VB6), которая требуется для компиляции заглушки вредоносного ПО из локального исходного кода VB6.

Кроме того, DarkCloud позволяет использовать несколько методов эксфильтрации учетных данных, поддерживая такие протоколы, как SMTP, Telegram, FTP и веб-панель. Этот разнообразный набор методов эксфильтрации позволяет злоумышленникам адаптировать свой подход в зависимости от целевой среды, облегчая кражу и передачу конфиденциальной информации.

Анализ, проведенный исследователями безопасности, выявил использование SMTP для эксфильтрации в этом конкретном варианте DarkCloud. Этот вывод был получен с помощью инструмента, разработанного eSentire, который извлекает конфигурацию вредоносного ПО и помогает понять механизмы его работы. Конфигурация в этом инциденте указывала на то, что учетные данные отправлялись на хост "mail.apexpharmabd.com .".

#ParsedReport #CompletenessLow
27-09-2025

Cisco Firewall and VPN Zero Day Attacks: CVE-2025-20333 and CVE-2025-20362

https://www.zscaler.com/blogs/security-research/cisco-firewall-and-vpn-zero-day-attacks-cve-2025-20333-and-cve-2025-20362

Report completeness: Low

Actors/Campaigns:
Uat4356
Arcanedoor

Threats:
Line_runner
Line_dancer_tool
Rayinitiator
Line_viper

Victims:
Network security appliances, Perimeter devices, Firewall and vpn devices

Industry:
Critical_infrastructure

Geo:
China

CVEs:
CVE-2025-20362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20333 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1068, T1071.001, T1095, T1190, T1203, T1542.003, T1562.001, T1595

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рекомендации Cisco по безопасности от 25 сентября 2025 года выделяются три критические уязвимости (CVE-2025-20333, CVE-2025-20362, CVE-2025-20363) в ее Веб-сервисах VPN, которые эксплуатируются спонсируемым государством злоумышленником UAT4356 из Китая. Эта группа использует передовые методы, напоминающие предыдущие атаки, используя ошибку нормализации пути URL и переполнение буфера кучи, чтобы получить удаленное выполнение кода и поддерживать закрепление с помощью буткита. Их тактика включает разведку, повышение привилегий, эксфильтрацию данных и уклонение от обнаружения путем отключения ведения журнала, сосредоточив внимание на эксплуатации устройств по периметру без перемещения внутри компании во внутренние сети.
-----

Недавно, 25 сентября 2025 года, Cisco выпустила рекомендации по безопасности, в которых рассматриваются три критические уязвимости в ее Веб-сервисах VPN для адаптивного устройства безопасности Secure Firewall (ASA) и программного обеспечения Secure Firewall Threat Defense (FTD). Эти уязвимости, идентифицированные как CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363, были использованы в рамках изощренной спонсируемой государством кампании, приписываемой хакерской группировке, известной как UAT4356, которая, как подозревается, действует из Китая. Эта группа использует передовые методы, напоминающие стиль атаки ArcaneDoor, для постоянного использования этих уязвимостей с мая 2025 года.

Уязвимости связаны с ошибкой нормализации пути к URL-адресу, позволяющей обходить проверку сеанса для защищенных конечных точек WebVPN, и переполнением буфера кучи в обработчике загрузки файлов WebVPN, что может привести к утечке информации. Затронутые модели включают в себя несколько более старых устройств Cisco ASA серии 5500-X, работающих под управлением программного обеспечения ASA версий 9.12 или 9.14, в частности, без технологий безопасной загрузки и привязки к доверию, что делает их значительно уязвимыми для эксплуатации, особенно с учетом того, что срок действия многих из них приближается или превысил срок окончания поддержки (EoS).

В своей методологии атаки UAT4356 продемонстрировала системный подход, начинающийся с разведки, которая включала обширное сканирование уязвимых устройств ASA/FTD, с заметными скачками интернет-трафика. Первоначально они получают доступ, используя CVE-2025-20362 для обхода проверки подлинности WebVPN, а затем используют CVE-2025-20333 и последующие связанные с ними уязвимости для достижения удаленного выполнения кода. Злоумышленники повышают свои привилегии, развертывая шелл-код в пользовательской среде ASA, позволяя выполнять произвольные команды.

Для закрепления они использовали буткит, получивший название Flash RayInitiator, внедрив его на уровень ROMMON для поддержания контроля посредством перезагрузок и обновлений. Их тактика постэксплуатации включает захват сетевых пакетов, сброс конфигураций, создание бэкдоров и эксфильтрацию конфиденциальных журналов, при этом систематически отключая ведение журнала, чтобы избежать обнаружения. Они поддерживают управление с помощью защищенных сеансов WebVPN и ICMP-каналов, часто используя шифрование, адаптированное к среде объекта.

Атака подчеркивает отсутствие перемещения внутри компании, концентрируясь вместо этого на шпионаже и эксфильтрации данных с устройств периметра без дальнейшего проникновения во внутреннюю сеть. В целом, эта кампания иллюстрирует тенденцию использования устаревающей инфраструктуры, что вынуждает организации внедрять более устойчивые архитектуры безопасности, такие как zero trust, для смягчения этих развивающихся угроз.

#ParsedReport #CompletenessLow
26-09-2025

Silent Push Examines the Dark Side of Dynamic DNS Providers

https://www.silentpush.com/blog/dynamic-dns-providers/

Report completeness: Low

Actors/Campaigns:
Gamaredon
0ktapus
Fancy_bear
Apt33
Gallium
Stone_panda

Threats:
Darkcomet_rat
Quietexit

Geo:
Ukraine, Chinese

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003, T1584.002, T1608.003

Crypto:
bitcoin

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Лица, участвующие в хакерских группировках, все чаще используют поставщиков динамических DNS, которые предлагают упрощенные процедуры регистрации, позволяющие временно размещать вредоносные действия. Эти службы часто не отвечают на запросы об удалении, продлевая доступность вредоносного контента. Анонимность, обеспечиваемая криптовалютными платежами, и различные конфигурации аренды поддоменов привлекают этих акторов, подчеркивая необходимость постоянного мониторинга и оценки рисков организациями для выявления и смягчения последствий подключений к вредоносным хостам.
-----

Провайдеры динамической DNS (системы доменных имен), которые позволяют пользователям арендовать поддомены, все чаще используются хакерскими группировками. Эти сервисы могут быть привлекательными из-за их слабых процессов регистрации и методов работы, что облегчает злоумышленникам установку временного хостинга без тщательной проверки. Злоумышленники используют эти платформы для совершения различных гнусных действий, поскольку они часто неэффективно реагируют на запросы властей об удалении, позволяя вредоносному контенту оставаться доступным в течение длительного времени.

Silent Push разработала обширные отчеты об экспорте данных, отслеживающие более 70 000 доменов, которые арендуют такие поддомены. Такое отслеживание позволяет организациям точно определять и смягчать подключения к потенциально опасным узлам на основе их толерантности к риску. Ландшафт аренды поддоменов сложен, доступны различные конфигурации — некоторые не предлагают никакого контроля над хостингом с ограниченной настройкой контента, в то время как другие позволяют полностью контролировать как хостинг, так и контент, часто с помощью платных планов. Такая гибкость в настройке может быть привлекательной для злонамеренных акторов, стремящихся скрыть свою деятельность.

Многие службы Dynamic DNS также принимают платежи в криптовалюте, что добавляет еще один уровень анонимности и затрудняет отслеживание личностей тех, кто стоит за вредоносными операциями. На этих платформах существуют каналы оповещения о злоупотреблениях, однако существует значительный пробел в отслеживании времени реагирования на удаление, из-за чего неэффективные провайдеры остаются безответственными.

Silent Push подчеркивает необходимость проактивных стратегий защиты от рисков, связанных с арендованными доменами и динамическими службами DNS. Их исследование выявляет многочисленные случаи, когда серьезные злоумышленники злоупотребляли этими сервисами в своих атаках. Сохраняющаяся популярность этих платформ среди злонамеренных акторов предполагает, что они, вероятно, останутся каналом распространения киберугроз, что требует постоянного мониторинга и оценки рисков.

Чтобы противостоять этим вызовам, организациям рекомендуется эффективно использовать аналитические данные и отчеты Silent Push, помогающие им распознавать и блокировать потенциально опасные соединения, привязанные к динамически арендуемым поддоменам. Поскольку ландшафт киберугроз меняется в связи с расширением использования динамических провайдеров DNS, поддержание бдительности и разработка эффективных стратегий мониторинга становятся критически важными для устойчивости к кибербезопасности.

#ParsedReport #CompletenessLow
27-09-2025

Threat Insights: Active Exploitation of Cisco ASA Zero Days

https://unit42.paloaltonetworks.com/zero-day-vulnerabilities-affect-cisco-software/

Report completeness: Low

Actors/Campaigns:
Arcanedoor

Threats:
Line_viper
Rayinitiator

Victims:
Network security appliances users, Technology sector

Industry:
Government

Geo:
Middle east, Japan, Asia, Australia, India

CVEs:
CVE-2025-20362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-20333 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1587, T1588, T1595

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемый государством злоумышленник под названием ArcaneDoor использует критические уязвимости zero-day в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), в частности CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363. Первые два активно эксплуатируются, позволяя выполнять произвольный код, эксфильтрацию данных и установку стойкого вредоносного ПО. Эта тенденция подчеркивает растущую обеспокоенность акторов национальных государств, которые используют уязвимости zero-day для устойчивого доступа к скомпрометированным системам.
-----

В сентябре 2025 года спонсируемый государством злоумышленник, связанный с предыдущими кампаниями под названием ArcaneDoor, активно использовал критические уязвимости zero-day в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Cisco раскрыла три уязвимости: CVE-2025-20333, CVE-2025-20362 и CVE-2025-20363. Подтверждено, что первые два вида активно эксплуатируются в дикой природе, в то время как третий считается крайне уязвимым для неминуемых нападений.

Эти уязвимости позволяют вредоносным акторам выполнять произвольный код в скомпрометированных системах, извлекать конфиденциальные данные и устанавливать постоянное вредоносное ПО, обеспечивая непрерывный доступ после перезагрузки устройства. Жизненный цикл таких уязвимостей zero-day показывает тревожную тенденцию среди противников, в первую очередь национальных государств, которые вкладывают значительные ресурсы в выявление этих недостатков безопасности и извлечение из них выгоды. Неотъемлемая непредсказуемость zero-day дает злоумышленникам значительное преимущество, поскольку поставщики обычно не могут выпускать исправления до тех пор, пока не будет замечена эксплуатация.

Чтобы снизить эти риски, организациям, использующим уязвимые продукты Cisco, рекомендуется немедленно применять исправления. В случаях, когда устройства не могут быть оперативно обновлены, Cisco предоставила временные стратегии смягчения последствий, хотя они сопряжены со своим собственным набором рисков, таких как отключение Веб-служб VPN на основе SSL/TLS, что может воздействие на операционную безопасность.

#ParsedReport #CompletenessMedium
25-09-2025

RayInitiator & LINE VIPER

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf

Report completeness: Medium

Actors/Campaigns:
Arcanedoor

Threats:
Line_viper
Rayinitiator
Line_dancer_tool
Line_runner
Code_cave_technique

Victims:
Cisco asa users, Network infrastructure

Industry:
Government

TTPs:
Tactics: 6
Technics: 12

IOCs:
File: 3

Soft:
Linux, anyconnect

Algorithms:
sha512, gzip, aes-256-cbc, base64, xor, md5, aes

Functions:
YY, for

Win API:
decompress

Languages:
python

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RayInitiator - это усовершенствованный многоступенчатый буткит, предназначенный для устройств Cisco ASA 5500-X, работающий на уровне GRUB для поддержания закрепления с помощью перезагрузок и обновлений прошивки. Он инициирует атаки, модифицируя GRUB для перехвата процессов загрузки, а затем развертывая LINE VIPER, сложный загрузчик шелл-кода, который взаимодействует через HTTPS и ICMP при выполнении команд, захвате пакетов и обходе процессов VPN AAA. Оба компонента используют шифрование, ориентированное на конкретную жертву, и меры защиты от криминалистики для повышения скрытности и усложнения обнаружения.
-----

RayInitiator - это сложный многоступенчатый буткит, специально разработанный для компрометации устройств Cisco ASA (Adaptive Security Appliance), в частности серии 5500-X. Это считается значительным достижением по сравнению с предыдущими вредоносными ПО, а именно LINE DANCER и LINE RUNNER. Этот буткит работает на уровне GRUB (Grand Unified Bootloader), что позволяет ему выдерживать перезагрузки системы и обновления прошивки при развертывании LINE VIPER, загрузчика шеллкода в пользовательском режиме с несколькими возможностями.

Атака начинается с того, что RayInitiator изменяет GRUB скомпрометированного устройства для перехвата процессов загрузки. Это включает в себя две критические фазы: начальную фазу выполнения, где он перехватывает выполнение загрузки; и последующую фазу развертывания, где он загружает LINE VIPER через запрос WebVPN. LINE VIPER принимает команды и задачи в основном по двум каналам: через HTTPS во время сеансов аутентификации клиента WebVPN и через ICMP, где ответы облегчаются с помощью необработанного TCP, что повышает его скрытность и оперативную безопасность. Примечательно, что выполнение задач шифруется с помощью RSA-ключей, специфичных для конкретной жертвы, что защищает целостность и конфиденциальность данных.

После развертывания LINE VIPER обладает широкими возможностями, включая выполнение команд CLI, захват пакетов таких протоколов, как RADIUS, LDAP и TACACS, и обход процесса аутентификации, авторизации и учета VPN (AAA) на устройстве. Он также может подавлять сообщения системного журнала и собирать команды CLI, введенные пользователями. Другой примечательной функцией LINE VIPER является его способность инициировать принудительную отложенную перезагрузку, если она не прервана, что еще больше усложняет усилия по обнаружению.

Как RayInitiator, так и LINE VIPER используют токены, специфичные для жертвы, и шифрование, обеспечивая высокую степень операционной безопасности во время своих действий. LINE VIPER построен на основе многочисленных разделов шеллкода x64, что повышает его сложность и функциональность по сравнению с его предшественниками. Тактика борьбы с криминалистикой используется для того, чтобы помешать судебно-медицинским расследованиям, модифицируя системный код, чтобы скрыть присутствие вредоносного ПО.

Архитектура управления, используемая LINE VIPER, является сложной, при этом стратегическая маршрутизация коммуникаций позволяет сохранять малозаметность. Примечательно, что ICMP-коммуникации не проходят через глобальные сети, а вместо этого используют установленные сеансы VPN, что еще больше маскирует их активность.

Таким образом, эволюция от LINE DANCER и LINE RUNNER к RayInitiator и LINE VIPER знаменует собой заметный прогресс в таргетинге на устройства Cisco ASA, характеризующийся улучшенными методами работы и более широким спектром функциональных возможностей, адаптированных для скрытности и закрепления от обнаружения.

#ParsedReport #CompletenessLow
26-09-2025

FBI warns of threat actors spoofing the FBI crime complaint website

https://moonlock.com/fbi-spoofing-crime-complaint-website

Report completeness: Low

Threats:
Spear-phishing_technique

Industry:
Government

IOCs:
Domain: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ФБР выпустило предупреждение относительно злоумышленников, подделывающих веб-сайт Центра рассмотрения жалоб на интернет-преступления (IC3), чтобы обманом заставить пользователей предоставлять конфиденциальную информацию. Этот поддельный сайт не содержит вредоносных скриптов и работает как платформа для фишинга, которая использует социальную инженерию, а не вредоносное ПО. Она получила известность в Поисковых системах, что облегчает ничего не подозревающим лицам, ищущим законные ресурсы для отчетности о преступлениях, стать жертвой этой аферы.
-----

19 сентября ФБР объявило тревогу по поводу того, что злоумышленники подделывают веб-сайт Центра рассмотрения жалоб на интернет-преступления (IC3), который предназначен для частных лиц, сообщающих о преступлениях в ФБР. Этот инцидент является частью повторяющейся тенденции, когда злоумышленники создают поддельные сайты, выдающие себя за законные правительственные ресурсы. Поддельные сайты IC3 эффективно вводят жертв в заблуждение, привлекая их под предлогом содействия сообщению о преступлениях.

Примечательно, что поддельный веб-сайт IC3, по-видимому, не содержит никаких вредоносных скриптов или вредоносных файлов cookie, что позволяет предположить, что он в первую очередь функционирует как платформа для фишинга, а не как сайт распространения вредоносного ПО. Такой выбор дизайна позволяет злоумышленникам отдавать предпочтение тактике социальной инженерии, а не технической эксплуатации. Сайту удалось добиться высокой видимости в Поисковых системах, в частности, заняв первое место по определенным ключевым словам, что, вероятно, способствовало привлечению ничего не подозревающих пользователей, которые искали подлинный ресурс ФБР по сообщениям о преступлениях.

Хотя особенности методов сбора данных на поддельном сайте не рассматриваются, наличие таких поддельных платформ подчеркивает сохраняющиеся риски, связанные с онлайн-мошенничеством, и необходимость того, чтобы пользователи проверяли подлинность веб-сайтов, прежде чем взаимодействовать с ними.

#ParsedReport #CompletenessLow
28-09-2025

September 2025 Update on Aggressive Ongoing Akira Ransomware Campaign

https://arcticwolf.com/resources/blog-uk/september-2025-update-on-aggressive-ongoing-akira-ransomware-campaign/

Report completeness: Low

Threats:
Akira_ransomware
Impacket_tool

Victims:
Organizations using sonicwall ssl vpn, Active directory users

Geo:
Usa

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-3259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1078, T1110, T1133, T1190, T1486, T1556

IOCs:
IP: 43

Soft:
Active Directory, SonicOS, AnyConnect, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С конца июля 2025 года Akira ransomware активизировала свою атаку на учетные записи SonicWall SSL VPN, используя уязвимости для несанкционированного доступа и компрометации данных, особенно связанные с CVE-2024-40766. Первоначальный доступ часто осуществляется при входе в систему через хостинг-провайдеров Виртуального выделенного сервера, что отличается от типичных логинов, связанных с бизнесом, что приводит к необходимости блокировать VPN-доступ с вредоносных IP-адресов. Хотя обновления прошивки SonicWall имеют решающее значение, сохраняющаяся угроза подчеркивает важность защиты учетных данных и необходимость усиленного мониторинга с помощью таких инструментов, как Sysmon и Arctic Wolf Agent, для обнаружения несанкционированного доступа и потенциального выкупа.
-----

С конца июля 2025 года наблюдается заметный всплеск активности, связанной с Akira ransomware, характеризующейся целенаправленным использованием учетных записей SonicWall SSL VPN. Эта эскалация указывает на стратегическую направленность на использование уязвимостей в этих учетных записях для облегчения несанкционированного доступа и потенциальной компрометации данных.

Организациям, использующим устройства SonicWall, следует срочно сбросить все учетные данные, которые могли храниться на их брандмауэрах, особенно если они работали на версиях прошивки, чувствительных к CVE-2024-40766. Эта рекомендация распространяется как на Локальные учетные записи, так и на те, которые связаны с синхронизированным по LDAP Active Directory, особенно в тех случаях, когда эти учетные данные предоставляют доступ к SSL VPN. Закрепление факта кражи учетных данных указывает на возможное нарушение, которое могло произойти до внедрения исправлений, подчеркивая настоятельную необходимость для организаций защищать свои системы даже после обновления.

Вектор первоначального доступа для этой кампании программ-вымогателей, по-видимому, связан с логинами, полученными от хостинг-провайдеров Виртуального выделенного сервера (VPS). Это значительное отклонение от типичных VPN-входов, связанных с бизнесом, которые обычно поступают из установленных широкополосных или защищенных служб SD-WAN. Таким образом, предприятиям рекомендуется блокировать VPN-доступ с известных вредоносных IP-адресов и конкретных номеров автономных систем (ASN), привязанных к поставщикам VPS, связанным с этой кампанией, чтобы снизить риски.

Несмотря на то, что в последней прошивке SonicWall были зафиксированы несанкционированные действия, организациям по-прежнему крайне важно внедрять обновления для SonicOS 7.3.0 и придерживаться текущих рекомендаций SonicWall. Поддержание систем в актуальном состоянии считается фундаментальной практикой для усиления защиты от возникающих киберугроз.

Кроме того, настоятельно рекомендуется использовать Arctic Wolf Agent совместно с Sysmon для улучшения видимости между конечными точками и сетями. Эта комбинация может сыграть важную роль в обнаружении перемещения внутри компании, несанкционированного получения учетных данных и этапов подготовки программ-вымогателей, тем самым позволяя организациям эффективно реагировать на угрозы до их эскалации. Обеспечение работоспособности таких инструментов на всех контроллерах домена, файловых серверах и системах, подключенных к Интернету, имеет жизненно важное значение в нынешней ситуации с угрозами, характеризующейся растущей распространенностью Akira ransomware.

#ParsedReport #CompletenessMedium
26-09-2025

XWorm RAT Delivered via Shellcode: Multi-Stage Attack Analysis

https://www.forcepoint.com/blog/x-labs/xworm-rat-shellcode-multi-stage-analysis

Report completeness: Medium

Threats:
Xworm_rat
Steganography_technique
Dll_injection_technique
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1105, T1106, T1204.002, T1566.001, T1620

IOCs:
File: 8
Url: 3
IP: 2
Domain: 1
Hash: 6

Algorithms:
zip

Functions:
CreateEncryptor

Win API:
GetProcAddress, ExpandEnvironmentStringsW, LoadLibraryW

Languages:
python