#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 сентября 2025 года была выявлена кампания распространения вредоносного ПО, известная как кампания TamperedChef, использующая сложные тактики, такие как двоичные файлы с цифровой подписью, обманная упаковка программного обеспечения и захват браузера. Кампания, связанная с CROWN SKY LLC и напоминающая о Calendaromatic.exe , использует методы скрытого кодирования для обхода мер безопасности, маскируя вредоносное ПО под законные приложения, чтобы подорвать доверие пользователей и избежать обнаружения. Эта развивающаяся стратегия создает значительные риски для средств защиты от кибербезопасности.
-----

22 сентября 2025 года анализ потенциально нежелательного приложения (PUA), идентифицированного Microsoft Defender, выявил более масштабную кампанию распространения вредоносного ПО, в которой используются сложные тактики, такие как двоичные файлы с цифровой подписью, обманчивая упаковка и угонщики браузеров. Это расследование было сосредоточено вокруг двоичных файлов, связанных с CROWN SKY LLC, которая имеет историческую связь с Calendaromatic.exe , приложение, Маскировка под простой инструмент календаря.

Обнаруженная кампания, называемая кампанией TamperedChef, использует тактику манипулирования доверием пользователей и обхода мер безопасности конечных точек. Вовлеченные в это злоумышленники используют обманчивую упаковку программного обеспечения наряду с цифровым Подписью исполняемого кода, что позволяет им выдавать вредоносное ПО за законное программное обеспечение. Эти стратегии позволяют вредоносному ПО обходить обычные средства защиты, которые обычно защищают пользователей от вредоносного программного обеспечения.

Используя методы скрытого кодирования, эти злоумышленники еще больше повышают эффективность своих механизмов доставки. Способность маскировать вредоносное ПО под надежные приложения является значительным фактором риска, поскольку снижает бдительность пользователей и позволяет обойти как автоматическую, так и ручную оценку безопасности. Эволюционирующий характер этих тактических приемов подчеркивает необходимость постоянной бдительности и адаптации при защите от кибербезопасности.

#ParsedReport #CompletenessMedium
26-09-2025

HeartCrypt s wholesale impersonation effort

https://news.sophos.com/en-us/2025/09/26/heartcrypts-wholesale-impersonation-effort/

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Heartcrypt_tool
Dll_sideloading_technique
Lumma_stealer
Asyncrat
Rhadamanthys
Raspberry_robin
Av-killer
Ransomhub
Vmprotect_tool
Medusalocker

Geo:
Mexico, Korea, Ukraine, Brazil, Colombia, Argentina, France, Peru, Romania, Kazakhstan, Russia, Taiwan, Italian, Netherlands, Greece, Italy, Columbia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1105, T1204.002, T1543.003, T1553.002, T1562.001, T1566.001, have more...

IOCs:
Path: 12
Hash: 19
Command: 2
File: 25
Url: 7
Registry: 2

Soft:
Dropbox

Algorithms:
sha1, sha256, zip, xor, des, md5

Functions:
CrowdStrike

Win API:
CreateProcessW, VirtualAlloc, GetThreadContext, CreateRemoteThread, NtCreateThreadEx, pie

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HeartCrypt - это универсальное вредоносное ПО, связанное с различными злоумышленниками, первоначально предполагалось, что оно связано с "Blind Spider", но позже было идентифицировано как вовлекающее несколько групп из-за различных методов атаки. Он использует такие методы, как DLL Sideloading, фишинг электронных писем на наличие вредоносного контента и адаптируемую полезную нагрузку, адаптированную для конкретных целей. Вредоносное ПО внедряет вредоносный код в легальные исполняемые файлы и использует метод антиэмуляции, при этом полезной нагрузкой обычно являются трояны удаленного доступа, похитители учетных данных и инструмент "AV killer", воздействии на возможности EDR.
-----

HeartCrypt стал заметным предложением вредоносного ПО, характеризующимся различными кампаниями по Имперсонации и фишингу. Это было связано с многочисленными злоумышленниками, поскольку расследования выявили различные методы и полезные нагрузки, нацеленные на разные страны. Первоначально предполагалось, что это работа группы, известной как "Blind Spider", но существенные различия в векторах атак привели аналитиков к выводу, что в ней задействован более широкий круг акторов.

В основе этих атак лежит исполняемый файл, изначально напоминающий подлинный компонент CCleaner, который был модифицирован для включения вредоносного кода. Это подчеркивает общую тенденцию, когда легальные приложения становятся невольным средством доставки вредоносного ПО. Цепочка заражения значительно варьируется в зависимости от кампании, что указывает на использование адаптируемых методов "вредоносное ПО как услуга" (MaaS), при которых злоумышленники могут легко настраивать полезную нагрузку для своих конкретных целей.

Среди наблюдаемых методов заражения одна примечательная тактика включает DLL Sideloading, когда программа чтения PDF загружает вредоносную DLL-библиотеку из своего собственного каталога. Другой метод использовал электронное письмо с фишингом для распространения вредоносного контента, размещенного на таких платформах, как Google Диск, для чего требовался пароль, включенный в сообщение. Кроме того, в одном случае пользователи в Италии использовали файлы ярлыков LNK, скрипты PowerShell и пакетные процессы, демонстрируя универсальность методов эксплуатации.

Технически HeartCrypt изменяет законные исполняемые файлы, внедряя вредоносный код в раздел .text и добавляя замаскированные переносимые исполняемые файлы (PE). Эти ресурсы маскируются под растровые файлы, но на самом деле содержат вредоносную полезную нагрузку. Метод антиэмуляции, напоминающий Raspberry Robin, используется для уклонения от обнаружения путем оценки адресов функций, которые встречаются только в эмуляторах.

Полезная нагрузка, связанная с HeartCrypt, в основном состоит из обычных троянов удаленного доступа (RATs) и похитителей учетных данных, но часто всплывает вызывающий беспокойство инструмент, идентифицированный как AV killer, связанный с продолжающимися атаками программ-вымогателей. Этот инструмент ставит под угрозу возможности обнаружения конечных точек и реагирования на них (EDR). Были отмечены взаимоотношения между различными противоборствующими группами, что позволяет предположить наличие среды сотрудничества в сфере эксплуатации.

#ParsedReport #CompletenessMedium
28-09-2025

Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less

https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/

Report completeness: Medium

Threats:
Akira_ransomware
Byovd_technique
Cloudflared_tool
Impacket_tool
Blackbasta
Wmiexec_tool
Nltest_tool
Sharpshares_tool
Netexec_tool
Bloodhound_tool
Ldapdomaindump_tool
Anydesk_tool
Teamviewer_tool
Rustdesk_tool
Splashtop_tool
Shadow_copies_delete_technique
Rclone_tool
Advanced-port-scanner_tool
Meshagent_tool
Atera_tool
Crackmapexec_tool
Krbrelayup_tool
Mobaxterm_tool
Cobalt_strike_tool
Winrm_tool
Softperfect_netscan_tool

Victims:
Organizations running sonicwall firewalls, Multiple sectors

Geo:
Georgian, Georgia, Uzbekistan, Estonia, Latvia, Moldova, Belarus, Ukrainian, Romanian, Azerbaijani, Russia, Tajikistan, Kazakhstan, Iranian, Ukraine, Asian, Turkmenistan, Kyrgyzstan, Armenia, Russian, Usa, Latvian, Lithuania, Belarusian, Azerbaijan

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 17

IOCs:
Command: 2
Path: 26
File: 22
Email: 1
Coin: 1
Registry: 3
IP: 43
Hash: 2

Soft:
Active Directory, SonicOS, SoftPerfect Network Scanner, MSSQL, PostgreSQL, MS SQL, OpenSSH, Windows Defender, Hyper-V, SysInternals, have more...

Algorithms:
zip, sha256, base64, sha1

Functions:
Get-ADUser, Get-ADComputer, Get-EncryptionSalt, Get-Date, Get-WmiObject, Remove-WmiObject, Set-MpPreference, ZwCreateFile, RtlCreateAcl, ZwSetSecurityObject, have more...

Win API:
GetSystemDefaultLocaleName

Win Services:
WebClient, MsMpEng, BITS

Languages:
powershell, python

Links:
https://github.com/xoreaxeaxeax/movfuscator
https://github.com/cloudflare/cloudflared

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июля 2025 года Akira ransomware все чаще атакует сети брандмауэров SonicWall, используя вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию, чтобы получить быстрый доступ к корпоративной среде. Злоумышленники выполняют сканирование портов и внедряют программы-вымогатели в течение часа, используя такие инструменты, как Impacket и SoftPerfect Network Scanner для перемещения внутри компании и извлечения учетных данных. Вызывающим беспокойство фактором является использование CVE-2024-40766 для административных манипуляций, наряду с методами эксфильтрации данных с использованием таких инструментов, как rclone, после отключения параметров восстановления.
-----

С конца июля 2025 года наблюдается заметный рост числа атак Akira ransomware, специально нацеленных на сети межсетевого экрана SonicWall. Атаки включают вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию (MFA), позволяя злоумышленникам получить немедленный доступ к корпоративной среде. Получив доступ, злоумышленники выполняют серию быстрых маневров, включая сканирование портов и развертывание программ-вымогателей в течение часа или меньше. Была идентифицирована аномальная активность SMB, указывающая на перемещение внутри компании, часто с использованием Impacket для обнаружения.

Кампания продемонстрировала высокую степень автоматизации, при этом несколько входов в систему осуществлялись с использованием одного и того же IP-адреса, что позволяет предположить, что для использования скомпрометированных учетных записей могли использоваться скрипты. Первоначальный доступ, как правило, осуществляется с помощью инфраструктуры Виртуального выделенного сервера (VPS), в отличие от законных поставщиков широкополосных или управляемых услуг. Вызывающий беспокойство вектор атаки был связан с недавно раскрытым CVE-2024-40766, который позволял злоумышленникам манипулировать административными функциями в устройствах SonicWall.

Оказавшись внутри сети, злоумышленники незамедлительно приступают к внутреннему сканированию в течение нескольких минут, используя такие инструменты, как SoftPerfect Network Scanner, для перечисления объектов Active Directory (AD) и определения местоположения критически важных компонентов инфраструктуры. Они также выполнили сложные сценарии извлечения учетных данных, ориентированные на резервное копирование и репликацию Veeam. Эта возможность позволяет им скомпрометировать резервные учетные данные и создавать Доменные учетные записи, некоторые из которых имеют права администратора, используемые для дальнейшей эксплуатации и установки инструментов удаленного управления, таких как AnyDesk.

В попытке избежать обнаружения злоумышленники отключают существующие решения для удаленного управления и манипулируют Shadow Copy томов Windows, эффективно устраняя возможности восстановления с помощью резервного копирования данных. Методы эксфильтрации информации, используемые в этих атаках, включают использование инструмента rclone для передачи украденных данных из сети жертвы в места, размещенные на VPS.

Процессы шифрования программ-вымогателей характеризуются командами, которые идентифицируют подключенные сетевые ресурсы и нацеливаются на них. Быстрота этих атак подчеркивает важность механизмов раннего обнаружения, в частности мониторинга нетипичных входов в систему VPN и поведения при перемещении внутри компании. Организациям рекомендуется усилить меры безопасности и обеспечить всесторонний контроль как за внешней, так и за внутренней сетевой деятельностью, чтобы снизить риск подобных вторжений программ-вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

From Prompt to Payload: LAMEHUGs LLM-Driven Cyber Intrusion

https://www.splunk.com/en_us/blog/security/lamehug-ai-driven-malware-llm-cyber-intrusion-analysis.html

Report completeness: Medium

Threats:
Lamehug_tool
Spear-phishing_technique

Victims:
Windows users, Technology sector

Industry:
Government

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 12
Path: 2
Url: 1
Hash: 4

Soft:
Hugging Face, HuggingFace, Slack

Algorithms:
zip, base64

Functions:
LLM_QUERY_EX, Main, xlsx_open

Languages:
python

Links:
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это семейство сложных вредоносных ПО, обнаруженных CERT-UA в июле 2025 года, использующее большие языковые модели (LLM) для динамической генерации команд для таких задач, как разведка и кража данных. Доставляемый с помощью электронных писем с Целевым фишингом, предназначенных для систем Windows, он выполняет команды с правами администратора для сбора системной информации и эксфильтрации данных по SSH-каналу обратно на свой сервер управления. Его рабочие механизмы включают использование общих утилит Windows и специальных командных подсказок, генерируемых LLM.
-----

LAMEHUG - это сложное семейство вредоносных ПО, идентифицированное CERT-UA в июле 2025 года, отличающееся интеграцией больших языковых моделей (LLM) в свою операционную структуру. В отличие от традиционного вредоносного ПО, LAMEHUG использует LLM, размещенный на Hugging Face, для динамической генерации команд для таких задач, как разведка, кража данных и манипулирование системой. Вредоносное ПО обычно доставляется через электронные письма с Целевым фишингом, замаскированные под законные приложения, специально предназначенные для систем Windows. Примеры зараженных имен файлов включают "AI_generator_uncensored_Canvas_PRO_v0.9.exe " и "AI_image_generator_v0.95.exe ," указывая на его обманчивый характер.

После заражения LAMEHUG использует модель Qwen 2.5-Coder-32B-Instruct для генерации команд Windows, выполняемых с правами системного администратора. Эта стратегия работы позволяет вредоносному ПО осуществлять Изучение системы с помощью команд, которые используют утилиты Windows, такие как "systeminfo`, `wmic`, `whoami` и `dsquery`. Эти команды эффективно собирают критически важную системную информацию и облегчают кражу данных за счет использования `xcopy.exe ` для извлечения целевых документов из нескольких каталогов.

Механизм эксфильтрации, используемый LAMEHUG, включает канал управления (C2), который использует протокол SSH для отправки украденных данных обратно на сервер C2. Для этого процесса требуется аутентифицированное соединение, демонстрирующее, как вредоносное ПО обеспечивает передачу конфиденциальной информации. Анализ поведения вредоносного ПО выявил специфические командные запросы, генерируемые LLM, которые соотносятся с выполняемыми командами для сбора информации и эксфильтрации данных.

Для обнаружения крайне важно отслеживать использование Инструментария управления Windows(WMI) командной строки (WMIC) для обнаружения дисководов, поскольку такие команды, как "wmic diskdrive", могут использоваться как администраторами для выполнения законных задач, так и злоумышленниками в злонамеренных целях. Этот характер двойного назначения требует от аналитиков безопасности сохранять бдительность в отношении необычных действий WMIC, которые могут указывать на продолжающееся проникновение LAMEHUG.

#ParsedReport #CompletenessMedium
26-09-2025

APT35 plays the same music again

https://www.stormshield.com/news/apt35-plays-same-music-again/

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Irgc

Threats:
Typosquatting_technique

Victims:
Government, Military, Media, Academic, International organizations, Israel

Industry:
Military, Government

Geo:
Sweden, Middle east, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1566, T1583.001, T1583.003, T1583.004

IOCs:
Domain: 68
IP: 4
Url: 5

Soft:
twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с иранским IRGC, действует с 2015 года, занимаясь шпионажем против различных организаций по всему миру. Недавние открытия выявили два сервера, связанных с APT35, на которых размещено 112 доменов, в основном для фишинга, с тактикой, включающей typo-squatting, чтобы выдавать себя за службы видеоконференцсвязи. Текущие кампании по фишингу демонстрируют особое внимание израильским целям, что указывает на постоянный интерес группы к этому региону.
-----

APT35, также известная как Mint Sandstorm, Charming Kitten или Educated Manticore, - это APT группировка, связанная с Корпусом стражей Исламской революции (IRGC) Ирана. Действующая по меньшей мере с 2015 года, APT35 сосредоточилась на шпионаже и слежке, в первую очередь нацеливаясь на правительственные, военные, средства массовой информации, академические и международные организации по всей территории США, Ближнего Востока и Европы.

Недавно исследователи кибербезопасности из Stormshield обнаружили два сервера, подключенных к APT35, которые демонстрируют сходство с ранее идентифицированной инфраструктурой, используемой группой. Сервер, идентифицированный по IP-адресу 79.132.131.184, работает по крайней мере с 20 июля 2025 года и разрешает доступ к 49 доменам, в основном к домену верхнего уровня ".online". Эти домены в основном используются для проведения кампаний по фишингу, причем многие из них пытаются маскироваться под сервисы видеоконференцсвязи. Например, некоторые доменные имена включают "meet.go0gle.online" и "meet.video-connect.online", демонстрируя тактику, известную как typo-squatting, когда злоумышленники используют распространенные ошибки пользователей при вводе домена, чтобы обмануть цели.

Запросы Active directory выявили в общей сложности 112 доменов, связанных с APT35 на момент анализа. Однако не все из них напрямую связаны с операциями группы по фишингу. Продолжающаяся кампания указывает на то, что APT35 придерживается последовательного метода установления своих доменов для фишинга, облегчая правозащитникам усилия по мониторингу и выявлению их деятельности. Имеющиеся данные свидетельствуют о том, что цели этой кампании по фишингу по-прежнему сосредоточены на израильских организациях, что указывает на устойчивый интерес к этому региону со стороны злоумышленника.

#ParsedReport #CompletenessLow
25-09-2025

Trinity of Chaos: The LAPSUS$, ShinyHunters, and Scattered Spider Alliance Embarks on Global Cybercrime Spree

https://www.resecurity.com/blog/article/trinity-of-chaos-the-lapsus-shinyhunters-and-scattered-spider-alliance-embarks-on-global-cybercrime-spree

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Lapsus (motivation: cyber_criminal, information_theft, financially_motivated)
Shinyhunters (motivation: cyber_criminal, information_theft, financially_motivated)
Shiny_spider
Unc6040 (motivation: cyber_criminal, information_theft)
Unc6395 (motivation: cyber_criminal, information_theft)
Majornelson

Threats:
Conti
Sim_swapping_technique
Mfa_bombing_technique
Dragonforce_ransomware
Supply_chain_technique
Hellcat
Lumma_stealer
Azorult
Redline_stealer
Raccoon_stealer
Vidar_stealer

Victims:
Airlines, Retailers in the united kingdom, Telecoms, Law enforcement agencies, Salesforce users, Automotive manufacturer jaguar land rover, National credit information center of vietnam

Industry:
E-commerce, Telco, Software_development, Government, Aerospace, Retail, Logistic, Transport

Geo:
Italian, Canada, Vietnam, Russian, United kingdom, French, Turkey, France, German, Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1556.006, T1566, T1654, T1656, T1657

IOCs:
Domain: 2

Soft:
Salesforce, Telegram, ESXi

Crypto:
bitcoin

Functions:
Qantas

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, chats: 1, code: 1, table: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Три известные киберпреступные группировки, LAPSUS$, ShinyHunters и Scattered Spider, продемонстрировали совместное поведение и дублирующую тактику, сосредоточив атаки на таких секторах, как авиация и розничная торговля. Scattered Spider осуществлял атаки с использованием программ-вымогателей на авиакомпании и розничных продавцов Великобритании, в то время как обе группы использовали уязвимости в устаревших ИТ-системах и использовали методы социальной инженерии для эксфильтрации данных, в частности, нацеливаясь на среду Salesforce. Громкие инциденты включают значительные нарушения в Jaguar Land Rover и Национальном центре кредитной информации во Вьетнаме, что подчеркивает адаптивный характер их стратегий атак.
-----

В последнее время в сфере киберпреступности доминируют три известные группы: LAPSUS$, ShinyHunters и Scattered Spider. Несмотря на их индивидуальное происхождение и историю операций, эти организации демонстрируют все большее совпадение тактик и даже поведения в рамках сотрудничества, особенно очевидное в период с 2023 по середину 2025 года.

Значительным направлением их деятельности был авиационный сектор, где Scattered Spider проводил атаки с использованием программ-вымогателей, нацеленных на крупные авиакомпании, такие как WestJet, Hawaiian и Qantas, что приводило к сбоям в работе и утечке данных. Уязвимости, используемые этими группами, часто связаны с устаревшими ИТ-системами, что позволяет злоумышленникам получать доступ к конфиденциальным данным пассажиров и нарушать работу служб. Также всплыли другие атаки, включая инцидент в порту Сиэтла в 2024 году и проукраинский взлом "Аэрофлота", подчеркивающий разнообразие мотивов и целей в киберпространстве.

В сфере розничной торговли, начиная с апреля 2025 года, Scattered Spider начал кампании против различных британских ритейлеров, включая Marks & Spencer и Harrods, возможно, совместно с бандой DragonForce ransomware. Телекоммуникационная отрасль также не осталась в стороне; ShinyHunters ранее заявляли о нарушениях в отношении AT & T, в то время как другой актор, MajorNelson, всплыл с предполагаемыми украденными данными, связанными с более ранними нарушениями. Однако AT & T опровергла эти утверждения, подчеркнув продолжающиеся дебаты относительно подлинности таких нарушений.

Хотя у ShinyHunters и Scattered Spider нет истории прямых нападений на правоохранительные органы, недавние слухи предполагают потенциальные нарушения в таких агентствах, включая ФБР, хотя эти заявления остаются в значительной степени непроверенными. Кроме того, обе группы переключили внимание на эффективные атаки на среду Salesforce с помощью методов социальной инженерии, голосового фишинга (vishing) и злоупотребления токенами OAuth, что облегчает эксфильтрацию данных из многочисленных известных компаний.

Примечательный инцидент произошел с Jaguar Land Rover, который в 2025 году подвергся значительным кибератакам, приписываемым коллективным усилиям вышеупомянутых злоумышленников. Кроме того, тревожное нарушение, связанное с Национальным центром кредитной информации во Вьетнаме, может повлечь за собой кражу конфиденциальных данных, затрагивающих значительную часть населения, что свидетельствует о целенаправленных ударах по критически важным объектам инфраструктуры.

Совместный характер этих групп свидетельствует о растущей озабоченности специалистов по кибербезопасности. Правоохранительные органы начали признавать взаимодействие между LAPSUS$, ShinyHunters и Scattered Spider в своих рекомендациях, рассматривая их как часть более широкой адаптивной экосистемы киберпреступности. Такая ситуация требует от организаций по всему миру повышенной бдительности и защитных действий для эффективного противодействия этим угрозам. По мере развития их тактики, методов и процедур (TTP) необходимость усиления мер по кибербезопасности и информированности сотрудников никогда не была более важной для защиты от таких сложных целенаправленных угроз.

Уже завтра в 11:00 наш совместный с Код Безопасности вебминар
https://t.iss.one/aptreports/22286

#ParsedReport #CompletenessLow
29-09-2025

She Sells Web Shells by the Seashore (Part I)

https://www.truesec.com/hub/blog/she-sells-web-shells-by-the-seashore-part-1

Report completeness: Low

Actors/Campaigns:
Hafnium

Threats:
Proxyshell_vuln

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1505.003

IOCs:
Domain: 2

Soft:
Microsoft Exchange, Microsoft Exchange server, Microsoft SharePoint

Algorithms:
base64

Functions:
eval, shell_exec, gzuncompress, str_rot13, base64_decode

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На взломанном веб-сервере была обнаружена Веб-шелл, использующая исполняемый файл PHP-CGI для выполнения системных команд, указывающих на действия по разведке. Инцидент произошел из-за неправильно настроенного файлового менеджера PHP, позволившего злоумышленнику загрузить вредоносный PHP-файл, что привело к развертыванию Веб-шелла. Уязвимости в таких приложениях, как Microsoft Exchange и SharePoint, в том числе те, которые используются злоумышленниками, такими как HAFNIUM, способствовали подобным атакам, демонстрируя риски, связанные с выполнением команд на PHP.
-----

Анализ сосредоточен вокруг обнаружения Веб-шелла на скомпрометированном веб-сервере, в частности, с помощью исполняемого файла PHP-CGI, который выполнял системные команды, указывающие на действия по разведке. Веб-шелл определяется как скрипт, запущенный на веб-сервере, который может напрямую взаимодействовать с базовой операционной системой, впоследствии передавая выходные данные обратно пользователю. Эти скрипты обычно позволяют злоумышленникам выдавать команды, получая доступ к определенной странице (Веб-шеллу) и предоставляя параметры, которые указывают, какие команды выполнять, часто используя языки сценариев, такие как PHP, или исполняемые файлы через интерфейс Common Gateway (CGI).

В PHP выполнение команд облегчается с помощью таких функций, как `shell_exec()`, которые позволяют выполнять команды в операционной системе. Выделенный инцидент был связан с неправильно настроенным файловым менеджером PHP, который позволил злоумышленнику загрузить PHP-файл на сервер, что привело к развертыванию вредоносной Веб-шелл. Это подчеркивает значительные уязвимости, присутствующие в веб-приложениях, особенно на популярных платформах, таких как Microsoft Exchange и SharePoint, которые ранее использовались для развертывания Веб-шеллов. Примечательно, что уязвимости, помеченные как "ProxyShell", использовались в 2022 году, а другие предыдущие эксплойты злоумышленников, таких как HAFNIUM, были связаны с аналогичными атаками на серверы Microsoft Exchange.

В статье подробно рассказывается о том, как PHP, будучи интерпретируемым языком, обрабатывает командные строки в исполняемый код. Это облегчило манипулирование выполнением кода и взаимодействием с операционной системой, что является основной особенностью, делающей Веб-шеллы опасными для безопасности веб-сервера. Кроме того, статья намекает на эволюцию методов развертывания Веб-шелла, подчеркивая сохраняющуюся потребность в надежных методах обеспечения безопасности для снижения таких рисков в уязвимых программных средах.