#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Русскоязычная киберпреступная группировка Lunar Spider использует уязвимости CORS на европейских веб-сайтах для развертывания фреймворка FakeCaptcha с помощью JavaScript. Их атака использует вредоносный загрузчик MSI, который встраивает законный исполняемый файл Intel и библиотеку DLL, известную как Latrodectus, используя DLL hijacking для закрепления. Полезная нагрузка Latrodectus подключается к серверу управления, что позволяет осуществлять вредоносные действия, включая мониторинг взаимодействия с жертвами и содействие атакам программ-вымогателей, демонстрируя расширенные операционные возможности.
-----

Русскоязычная киберпреступная группировка Lunar Spider расширила свои стратегии атак, нацелившись на уязвимые веб-сайты, главным образом в Европе, используя уязвимости совместного использования ресурсов (CORS). Их подход предполагает внедрение фреймворка FakeCaptcha на эти сайты с помощью фрагмента JavaScript, который создает iframe, эффективно накладывая вредоносный контент на законные сайты. Этот метод позволяет им отслеживать взаимодействия с жертвами и сообщать о кликах обратно в Telegram-канал. Процесс заражения начинается с загрузчика MSI, который встраивает законный исполняемый файл Intel вместе с вредоносной библиотекой DLL, получившей название Latrodectus. Этот загрузчик регистрирует исполняемый файл Intel в разделе реестра Windows Run для закрепления, а затем загружает библиотеку DLL Latrodectus, используя механизм перехвата DLL search order.

Полезная нагрузка Latrodectus V2 устанавливает связь с сервером управления (C2), позволяя выполнять команды перечисления на основе его конфигурации. Это вредоносное ПО было разработано как преемник вредоносного ПО IcedID, переходя от деятельности, ориентированной на банковское дело, к более широкому спектру методов первоначального доступа, направленных на облегчение атак программ-вымогателей. Lunar Spider связан с несколькими операциями по борьбе с программами-вымогателями, включая ALPHV/BlackCat, что позволяет им предоставлять доступ к другим хакерским группировкам для кражи данных и развертывания программ-вымогателей.

Общая цепочка атак начинается с того, что Lunar Spider компрометирует веб-сайты, уязвимые для неправильной настройки CORS, что может привести к раскрытию конфиденциальных ресурсов, таких как веб-токены JSON и учетные данные API. Внедренный скрипт, известный как iFrameOverload, динамически создает iframe для загрузки фреймворка FakeCaptcha. Этот фреймворк не только выполняет вводящий в заблуждение скрипт для получения удаленной полезной нагрузки через PowerShell, но и использует мониторинг кликов жертвы для повышения своей эффективности. Вредоносный MSI, структурированный как дроппер, извлекает файлы, необходимые для полезной нагрузки Latrodectus, демонстрируя сложные операционные возможности.

Что касается технических особенностей, Lunar Spider использует различные методы MITRE ATT&CK: они используют уязвимости CORS для первоначального доступа, используют JavaScript для выполнения и манипулируют сценариями PowerShell. Внедрение вредоносного кода маскируется под проверку reCAPTCHA, обманом заставляя пользователей выполнять вредоносные команды. DLL Hijacking происходит через законный исполняемый файл Intel, который при манипулировании становится вектором для загрузки вредоносной библиотеки DLL из нетрадиционных каталогов, подчеркивая важность мониторинга не только стандартного поведения системы, но и необычных шаблонов, которые могут указывать на компромисс.

Таким образом, тактика, методы и процедуры, используемые Lunar Spider, иллюстрируют высокий уровень изощренности их киберопераций, требующих упреждающих мер мониторинга и обнаружения для противодействия их эволюционирующим методам атак.

#ParsedReport #CompletenessLow
01-10-2025

MatrixPDF Puts Gmail Users at Risk with Malicious PDF Attachments

https://www.varonis.com/blog/matrixpdf

Report completeness: Low

Threats:
Bec_technique
Smishing_technique
Putty_tool

Victims:
Gmail users, Email users

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1204.002, T1566.002

IOCs:
File: 2

Soft:
Gmail, Twitter

Functions:
JavaScript

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MatrixPDF - это недавно идентифицированный инструментарий, который преобразует стандартные PDF-файлы в векторы распространения фишинга и вредоносного ПО путем внедрения вредоносных функций. Он использует такие методы, как перенаправление ссылок через предварительный просмотр электронной почты с вложениями в формате PDF, которые обходят традиционные фильтры, и использует встроенный JavaScript для запуска вредоносного ПО при открытии в определенных программах чтения. Такая тактика позволяет злоумышленникам использовать уязвимости в обработке PDF-файлов, что затрудняет обнаружение вредоносных документов.
-----

MatrixPDF - это недавно идентифицированный инструментарий, который увеличивает потенциал распространения фишинга и вредоносного ПО путем преобразования стандартных PDF-файлов в обманчивые векторы атак. Этот инструментарий позволяет злоумышленникам встраивать вредоносные функции в кажущиеся законными PDF-документы, эффективно служа приманкой для ничего не подозревающих пользователей.

Одним из основных методов, используемых MatrixPDF, является использование перенаправления ссылок на фишинг с помощью предварительного просмотра PDF-файлов по электронной почте. Злоумышленники используют скрытые PDF-вложения, которые создаются для обхода традиционных фильтров почтового шлюза. Поскольку эти вредоносные PDF-файлы содержат не двоичную полезную нагрузку, а скорее скрипты, которые ссылаются на внешние ресурсы, обычное сканирование с помощью почтовых служб, таких как Gmail, часто не позволяет пометить их как вредоносные.

Второй метод атаки использует JavaScript, встроенный в PDF-файл, для запуска вредоносного ПО при открытии документа. Жертвы, получающие доступ к PDF-файлу с помощью настольных программ чтения PDF-файлов, таких как Adobe Acrobat, или через веб-браузеры, поддерживающие выполнение скриптов, могут непреднамеренно запустить вредоносные действия, закодированные в документе.

Для противодействия атакам на основе PDF, подобным атакам MatrixPDF, необходимы решения для защиты электронной почты, основанные на искусственном интеллекте. Эти продвинутые системы анализируют вложения и ссылки на основе их намерений, а не полагаются исключительно на известные сигнатуры вредоносного ПО. Они способны проверять структурные характеристики PDF-файлов, выявляя аномалии, такие как размытое содержимое, вводящие в заблуждение подсказки или скрытые ссылки, связанные с интерактивными кнопками. Кроме того, эти решения с искусственным интеллектом могут изолированно оценивать подозрительные доменные соединения, что затрудняет принятие вредоносных PDF-файлов за безопасные в рамках стандартных механизмов фильтрации.

#ParsedReport #CompletenessMedium
01-10-2025

Rhadamanthys 0.9.x walk through the updates

https://research.checkpoint.com/2025/rhadamanthys-0-9-x-walk-through-the-updates/

Report completeness: Medium

Threats:
Rhadamanthys
Process_injection_technique
Lumma_stealer
Clickfix_technique
Hidden_bee
Elysium_stealer
Bandit_stealer
Skuld
Steganography_technique
Procmon_tool
Putty_tool
Teamviewer_tool

Victims:
General users, Researchers, Cybercrime victims

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1057, T1059.006, T1071.001, T1082, T1105, T1112, have more...

IOCs:
Url: 5
Registry: 4
Path: 14
File: 11
Hash: 47

Soft:
Telegram, LedgerLive, webrtc, CoreFTP, CuteFTP, Cyberduck, FlashFXP, FTPRush, SmartFTP, Total Commander, have more...

Wallets:
keplr, ledgerlive, harmony_wallet

Algorithms:
cbc, sha256, xor, rc4, base64, chacha20, sha1

Functions:
main, getWebRTCInfo, getWebAudioInfo, collectAllFingerprints, Date, collectSystemInfo, collectBrowserInfo, collectWebGLInfo, collectCanvasInfo, collectNetworkInfo, have more...

Win API:
NtRaiseHardError, MessageBoxW, UuidCreateSequential, GetVolumeInformationW

Win Services:
bits

Languages:
javascript, lua, java, golang

Platforms:
x86, amd64, x64

Links:
have more...
https://github.com/hasherezade/hidden\_bee\_tools/releases
https://github.com/hasherezade/hollows\_hunter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rhadamanthys - это многомодульный стиллер, появившийся в сентябре 2022 года и претерпевший значительные обновления в версии 0.9.2, повысившие его сложность и возможности уклонения. Ключевые изменения включают удаление операций записи в реестр, глобальный мьютекс для предотвращения дублирования выполнения и пользовательский формат исполняемого файла для доставки полезной нагрузки, который позволяет избежать обнаружения изолированными средами. Вредоносное ПО устанавливает связь C2 через WebSocket и использует обширные проверки и плагины, включая Lua, для расширенного отслеживания и снятия отпечатков пальцев с браузера, что усложняет усилия по обнаружению.
-----

Rhadamanthys - это многомодульный стиллер, появившийся в сентябре 2022 года и быстро превратившийся в важного игрока в киберпреступной деятельности, особенно во время кампаний ClickFix. Недавний релиз, версия 0.9.2, демонстрирует многочисленные технические улучшения, которые могут повлиять на усилия исследователей безопасности по обнаружению. Ключевые обновления включают в себя переработку процесса работы с базой данных, оптимизированные методы упаковки файлов и усовершенствования функций управления пользователями, которые подчеркивают растущую сложность вредоносного ПО.

Существенные изменения в Rhadamanthys 0.9.x включают удаление операций записи в реестр, которые ранее облегчали отслеживание извлекаемых данных. Вредоносное ПО теперь включает функцию глобального мьютекса, предотвращающую многократное выполнение на одном компьютере, что позволяет эффективно избежать дублирования данных при отправке. Кроме того, внедрение опции двухфакторной аутентификации (2FA) для входа в систему управления усиливает контроль доступа в рамках работы вредоносного ПО.

Rhadamanthys продолжает использовать уникальный метод доставки своей полезной нагрузки, используя пользовательский исполняемый формат, а не стандартные исполняемые файлы Windows. На начальном этапе выполняется основной модуль, который затем выполняет серию проверок, чтобы определить, может ли он работать дальше. Это включает в себя проверку сравнения с известными средами изолированной среды, на что указывают типичные имена пользователей и типы файлов, часто используемые в настройках тестирования. Коммуникация вредоносного ПО C2 (Command and Control) осуществляется через WebSocket, поддерживая скрытое взаимодействие со своими операторами.

Что касается методов уклонения, вредоносное ПО выполняет всестороннюю проверку, включая анализ обоев системы и запросы к нескольким службам времени, что помогает эффективно маскировать его действия. Более того, его механизм идентификации ботов использует системный идентификатор тома, что способствует постоянному отслеживанию зараженных устройств. Включение дополнительных плагинов, написанных на Lua, позволяет дополнительно настраивать вредоносные действия с возможностью сбора обширных данных о отпечатках пальцев браузера, чтобы избежать обнаружения.

#ParsedReport #CompletenessLow
01-10-2025

Datzbro: RAT Hiding Behind Senior Travel Scams

https://www.threatfabric.com/blogs/datzbro-rat-hiding-behind-senior-travel-scams

Report completeness: Low

Actors/Campaigns:
Zombinder

Threats:
Datzbro

Victims:
Consumers, Social media users, Financial services users

Industry:
Financial

Geo:
Malaysia, Canada, Chinese, South africa, Australia, Singapore

ChatGPT TTPs:
do not use without manual check
T1056, T1204.002, T1219, T1566

IOCs:
Hash: 4

Soft:
Android, WhatsApp, Google Play, WeChat

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года была выявлена мошенническая кампания, нацеленная на пожилых людей в Австралии, которая использовала группы Facebook, рекламирующие "активные поездки для пожилых", в качестве прикрытия для мошенничества. Центральное место в этой операции занимает Android-троян "Datzbro", классифицируемый как троян для захвата устройств, который обеспечивает несанкционированный доступ к устройствам жертв и способствует финансовому мошенничеству. Этот случай подчеркивает тенденцию хакерских группировок, использующих обманчивые социальные кампании для распространения вредоносного ПО и эффективного воздействия на уязвимые группы населения.
-----

В августе 2025 года в Австралии было выпущено множество предупреждений относительно мошеннических кампаний, нацеленных на пожилых людей через группы Facebook, рекламирующие "активные поездки для пожилых". Исследователи из ThreatFabric определили эти группы как прикрытия, управляемые мошенниками, стремящимися использовать различные регионы. Центральное место в этой кампании занимает недавно обнаруженный Android-троянец, известный как "Datzbro", классифицируемый как Trojan.

Datzbro обладает целым рядом возможностей, сходных с теми, которые присутствуют в традиционных шпионских программах, что позволяет ему облегчать несанкционированный доступ к устройствам жертв. Этот троянец был специально использован для совершения финансового мошенничества, используя свои функции удаленного доступа для подрыва финансовой безопасности физических лиц. Анализ Datzbro подчеркивает растущую тенденцию к тому, что хакерские группировки используют, казалось бы, безобидные социальные кампании для распространения вредоносного ПО, тем самым увеличивая свой охват и эффективность в отношении уязвимых групп населения, таких как пожилые люди.

#ParsedReport #CompletenessLow
01-10-2025

ForcedLeak and the Future of AI Agent Security

https://www.varonis.com/blog/forcedleak

Report completeness: Low

Threats:
Forcedleak_vuln

Victims:
Salesforce agentforce users, Crm users, Saas platform users, Autonomous ai agent users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1030, T1056.003, T1071, T1190, T1204, T1553, T1565.003

Soft:
Salesforce, Twitter

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость ForcedLeak затрагивает платформу Salesforce Agentforce, позволяя злоумышленникам извлекать конфиденциальные данные CRM с помощью косвенного быстрого внедрения, внедряя вредоносный код в поле "Описание" веб-форм для привлечения клиентов. Эта атака использует обширные ограничения по символам для кодирования полезных данных, которые кажутся законными, что приводит к скрытому компрометированию данных без прямых вредоносных действий. Инцидент высвечивает риски, связанные с автономными агентами искусственного интеллекта на платформах SaaS, указывая на растущую уязвимость.
-----

ForcedLeak - это значительная уязвимость, затрагивающая платформу Salesforce Agentforce, позволяющая злоумышленникам извлекать конфиденциальные данные CRM с помощью методов косвенного быстрого внедрения. Эта уязвимость подчеркивает риски развертывания автономных агентов искусственного интеллекта, которые обрабатывают внешние данные без адекватных границ контекста или проверки входных данных.

Эксплойт работает путем встраивания вредоносного кода в поле "Описание" формы Salesforce Web-to-Lead, которое может содержать до 42 000 символов. Это обширное ограничение по количеству символов позволяет кодировать сложные полезные данные, которые, по-видимому, представляют законные бизнес-процессы. Когда эта обработанная зацепка отправляется, агент не ведет себя необычно; он просто выполняет свои ожидаемые задачи, что неосознанно приводит к утечке конфиденциальной информации. Скрытый характер ForcedLeak, при котором доступ к скомпрометированным данным осуществляется без прямых вредоносных действий, таких как фишинг или брутфорс—атаки, делает его особенно опасным.

Злоумышленник, нацеленный на веб-форму Salesforce для привлечения клиентов, может быстро получить доступ к данным CRM без использования сложных инструментов, вместо этого воспользовавшись несколькими обманчивыми HTTP-запросами. Атака может быстро развернуться, что приведет к незаметной компрометации записей клиентов и создаст серьезные риски для организаций. Хотя некоторые средства контроля во время выполнения, такие как системы Advanced Malicious Software Integration (AMSI) или Endpoint Detection and Response (EDR), могут помочь обнаружить определенное поведение, связанное с этой атакой, сами по себе эти меры недостаточны для предотвращения использования.

Последствия ForcedLeak выходят за рамки этой конкретной уязвимости, сигнализируя о потенциальном росте числа подобных атак по мере того, как все больше платформ "Программное обеспечение как услуга" (SaaS) включают автономных агентов. Расширяющаяся область атак подчеркивает необходимость в надежных мерах безопасности, ориентированных на данные. Организациям настоятельно рекомендуется принять немедленные меры по снижению рисков, связанных с ForcedLeak, и подготовиться к меняющемуся ландшафту киберугроз, связанных с искусственным интеллектом и CRM-системами.

#ParsedReport #CompletenessHigh
02-10-2025

UAT-8099: Chinese-speaking cybercrime group targets high-value IIS for SEO fraud

https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/

Report completeness: High

Actors/Campaigns:
Uat-8099 (motivation: financially_motivated)

Threats:
Cobalt_strike_tool
Badiis
Easytier_tool
Netstat_tool
Procdump_tool
S3_browser_tool
Dll_sideloading_technique

Victims:
Universities, Technology companies, Telecommunications providers

Industry:
Telco, Education

Geo:
Vietnam, Thailand, Canada, India, Usa, Brazil, Portuguese, Chinese

TTPs:
Tactics: 2
Technics: 15

IOCs:
Command: 7
File: 10
Path: 23
Hash: 32
Url: 1
Domain: 30

Soft:
SoftEther, Android, ASP.NET, Remote Desktop Services, Windows firewall, sogou

Algorithms:
zip, base64

Win API:
VirtualQuery

Languages:
javascript, php

Platforms:
apple

Links:
https://github.com/EasyTier/EasyTier
https://github.com/tennc/webshell/blob/master/net-friend/aspx/Aspx%EF%BC%88%E5%85%8D%E6%9D%80%EF%BC%89.aspx
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная группа по борьбе с киберпреступностью UAT-8099 специализируется на SEO-мошенничестве, нацеленном на дорогостоящие серверы Интернет-информационных служб (IIS) по всему миру. Они используют небезопасные конфигурации загрузки файлов, используя Cobalt Strike в качестве бэкдора, используя DLL Sideloading и запланированные задачи для закрепления. Их деятельность подкрепляется недавно выявленными вариантами вредоносного ПО BadIIS, которые содержат продвинутые обработчики HTTP-запросов, облегчающие манипулирование SEO, особенно использование запросов, имитирующих поисковые роботы.
-----

Китайскоязычная группа киберпреступников UAT-8099 была идентифицирована как в основном занимающаяся мошенничеством с поисковой оптимизацией (SEO), в частности, нацеленная на серверы дорогостоящих интернет-информационных служб (IIS) в различных странах, включая Индию, Таиланд, Вьетнам, Канаду и Бразилию. Затронутые серверы IIS принадлежат целому ряду организаций, таких как университеты и телекоммуникационные провайдеры. Их операции включают перенаправление пользователей с этих скомпрометированных серверов на несанкционированную рекламу или нелегальные сайты азартных игр, что свидетельствует о стратегической ориентации на платформы с высокой репутацией для манипулирования результатами поисковых систем.

UAT-8099 использует уязвимости в конфигурациях веб-серверов, в частности, нацелен на небезопасные параметры загрузки файлов. Их цепочка атак обычно включает в себя развертывание сценариев автоматизации, которые облегчают постоянный контроль над зараженными серверами и способствуют усилиям по SEO-манипуляциям. Эти сценарии автоматизируют задачи и обеспечивают закрепление путем изменения конфигураций IIS для обеспечения непрерывной эксплуатации.

Группа использует Cobalt Strike в качестве бэкдора, используя такие методы, как DLL sideloading для начальной загрузки и настройки запланированных задач для поддержания доступа. Их деятельность поддерживается недавно выявленными вариантами вредоносного ПО BadIIS, которые претерпели структурные изменения, чтобы повысить их шансы избежать обнаружения антивирусным программным обеспечением. Были обнаружены два кластера этого вредоносного ПО, оба с обработчиками, которые обрабатывают входящие HTTP-запросы на основе определенных критериев, уделяя особое внимание тем, которые имитируют поисковые роботы, такие как Googlebot.

Первый кластер вредоносного ПО BadIIS включает в себя обработчики с именами "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse", которые используют HTTP-заголовки для определения выполняемого вредоносного действия. Например, когда кажется, что запросы исходят от робота Googlebot, они запускают функции прокси-сервера или инжектора, которые облегчают мошенничество с SEO путем пересылки пользовательских запросов через скомпрометированную инфраструктуру. Этот кластер подчеркивает способность вредоносного ПО кодировать адреса серверов командования и контроля (C2), тем самым расширяя его функциональность и избегая обнаружения.

Второй кластер аналогично использует те же имена обработчиков, но добавляет сложности за счет включения точек принятия решения до того, как произойдет интенсивная обработка, и обеспечения жесткого контроля изменений выходных данных для предотвращения обнаружения другими модулями. Этот кластер работает под эгидой режима SEO-мошенничества, который включает в себя несколько вариантов работы, разработанных для различных сценариев эксплуатации. В целом, UAT-8099 означает изощренный подход к мошенничеству с SI, использующий передовые технологии вредоносного ПО и целевые уязвимости на серверах IIS.

#ParsedReport #CompletenessLow
02-10-2025

Salesforce breaches impact multiple companies, cybercrime in Italy, new state-sponsored operations

https://www.telsy.com/violazioni-salesforce-impattano-molteplici-aziende-cybercrime-in-italia-nuove-operazioni-state-sponsored/

Report completeness: Low

Actors/Campaigns:
Unc6395
Dragonforce
Void_manticore

Threats:
Spear-phishing_technique
Mintsloader
Smishing_technique
Everest_ransomware
Safepay

Victims:
Salesforce customers, Government sector, Diplomatic sector, Multilateral organizations, Law firms, Architectural services

Industry:
Financial, Government

Geo:
Middle east, Asia, Iran, Africa, Austrian, Iranian, Americas, Oman, Italy

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.005, T1078, T1114.002, T1204.002, T1528, T1530, T1566, T1566.001, T1566.002, have more...

IOCs:
File: 1

Soft:
Salesforce, Salesloft Drift, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC6395 взломала инстансы Salesforce более 700 организаций, используя скомпрометированные токены OAuth, связанные с чат-агентом Salesloft Drift AI, что позволило получить несанкционированный доступ к конфиденциальным данным CRM. В Италии кампания по фишингу маскируется под официальные уведомления Налоговой службы для доставки вредоносного ПО, в то время как MintsLoader используется через взломанные почтовые ящики PEC. В глобальном масштабе спонсируемая иранским государством операция spear phishing использовала вредоносное ПО под названием sysProcUpdate для нацеливания на дипломатические активы с помощью вредоносных документов Word, что указывает на серьезную угрозу правительственной инфраструктуре.
-----

Недавние киберинциденты высветили значительные угрозы, затрагивающие как корпоративные, так и правительственные системы. Атаки, приписываемые группе UNC6395, привели к масштабному нарушению инстансов Salesforce, воздействие на которые оказало более 700 организаций. В результате взлома были использованы скомпрометированные токены OAuth, привязанные к чат-агенту Salesloft Drift AI, что привело к несанкционированному доступу к конфиденциальным данным управления взаимоотношениями с клиентами, включая контакты и заявки в службу поддержки. В то время как основные продукты и внутренние сети этих компаний, по-видимому, не пострадали, скомпрометированные данные вызывают опасения по поводу потенциальных атак spear phishing и перемещения внутри компании внутри организационных сетей.

В Италии был задокументирован всплеск киберпреступной деятельности, включая кампанию фишинга, имитирующую официальные уведомления Налоговой службы. Эта кампания включает электронные письма, которые пытаются обманом заставить получателей загрузить Вредоносные файлы, замаскированные под налоговые документы, причем поддельные сообщения, как представляется, приходят с законного государственного домена. Кроме того, вновь появилось распространение вредоносного ПО MintsLoader, использующее скомпрометированные почтовые ящики PEC для развертывания угроз. Одновременно кампания по smishing использует INPS (Национальный институт социального обеспечения) с целью сбора личной и финансовой информации от жертв. Также усилилась угроза вымогательства: команда DragonForce, как сообщается, скомпрометировала Ordine dei Giornalisti del Lazio, а команда Everest заявила, что получила доступ к юридической фирме Cordeiro Guerra & Associati.

В глобальном масштабе инициатива spear phishing, связанная с деятельностью, спонсируемой иранским государством, была нацелена на дипломатические и правительственные активы с использованием вредоносного ПО под названием sysProcUpdate. Эта операция включала отправку вводящих в заблуждение электронных писем со взломанной учетной записи посольства Омана различным правительственным чиновникам по всему миру, содержащих вредоносные документы Word, предназначенные для использования макро-уязвимостей. Масштабы этой кампании обширны: было использовано более 100 уникальных Учетных записей эл. почты, чтобы скрыть ее происхождение и эффективно воздействовать на широкий круг учреждений, включая посольства и многосторонние организации, такие как ООН. Кроме того, Федеральное министерство внутренних дел Австрии сообщило об аномалиях в своих ИТ-системах, при этом, как сообщается, пострадала значительная часть его Учетных записей эл. почты, что указывает на серьезный компромисс в правительственной инфраструктуре. Такие инциденты подчеркивают меняющийся ландшафт угроз, в котором как корпоративные, так и государственные структуры остаются главными мишенями для киберпреступников.

#ParsedReport #CompletenessMedium
01-10-2025

Silent Smishing : The Hidden Abuse of Cellular Router APIs

https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Report completeness: Medium

Actors/Campaigns:
Csam_ebox
Grooza

Threats:
Smishing_technique
Typosquatting_technique

Victims:
Telecommunications, Postal services, Social security, Banking, Government digital services, Milesight industrial cellular routers users

Industry:
Healthcare, Government, Telco, E-commerce, Financial, Ics

Geo:
Italian, French, Swedish, Turkey, Australia, Sweden, Russian, Danish, France, Spain, Denmark, Thailand, Dutch, Belgium

CVEs:
CVE-2023-43261 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1190, T1204.001, T1210, T1566.002, T1589, T1593, T1596.001

IOCs:
IP: 6
File: 6
Url: 128
Domain: 23
Hash: 2

Soft:
Telegram

Algorithms:
aes

Languages:
javascript