#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MatrixPDF - это недавно идентифицированный инструментарий, который преобразует стандартные PDF-файлы в векторы распространения фишинга и вредоносного ПО путем внедрения вредоносных функций. Он использует такие методы, как перенаправление ссылок через предварительный просмотр электронной почты с вложениями в формате PDF, которые обходят традиционные фильтры, и использует встроенный JavaScript для запуска вредоносного ПО при открытии в определенных программах чтения. Такая тактика позволяет злоумышленникам использовать уязвимости в обработке PDF-файлов, что затрудняет обнаружение вредоносных документов.
-----

MatrixPDF - это недавно идентифицированный инструментарий, который увеличивает потенциал распространения фишинга и вредоносного ПО путем преобразования стандартных PDF-файлов в обманчивые векторы атак. Этот инструментарий позволяет злоумышленникам встраивать вредоносные функции в кажущиеся законными PDF-документы, эффективно служа приманкой для ничего не подозревающих пользователей.

Одним из основных методов, используемых MatrixPDF, является использование перенаправления ссылок на фишинг с помощью предварительного просмотра PDF-файлов по электронной почте. Злоумышленники используют скрытые PDF-вложения, которые создаются для обхода традиционных фильтров почтового шлюза. Поскольку эти вредоносные PDF-файлы содержат не двоичную полезную нагрузку, а скорее скрипты, которые ссылаются на внешние ресурсы, обычное сканирование с помощью почтовых служб, таких как Gmail, часто не позволяет пометить их как вредоносные.

Второй метод атаки использует JavaScript, встроенный в PDF-файл, для запуска вредоносного ПО при открытии документа. Жертвы, получающие доступ к PDF-файлу с помощью настольных программ чтения PDF-файлов, таких как Adobe Acrobat, или через веб-браузеры, поддерживающие выполнение скриптов, могут непреднамеренно запустить вредоносные действия, закодированные в документе.

Для противодействия атакам на основе PDF, подобным атакам MatrixPDF, необходимы решения для защиты электронной почты, основанные на искусственном интеллекте. Эти продвинутые системы анализируют вложения и ссылки на основе их намерений, а не полагаются исключительно на известные сигнатуры вредоносного ПО. Они способны проверять структурные характеристики PDF-файлов, выявляя аномалии, такие как размытое содержимое, вводящие в заблуждение подсказки или скрытые ссылки, связанные с интерактивными кнопками. Кроме того, эти решения с искусственным интеллектом могут изолированно оценивать подозрительные доменные соединения, что затрудняет принятие вредоносных PDF-файлов за безопасные в рамках стандартных механизмов фильтрации.

#ParsedReport #CompletenessMedium
01-10-2025

Rhadamanthys 0.9.x walk through the updates

https://research.checkpoint.com/2025/rhadamanthys-0-9-x-walk-through-the-updates/

Report completeness: Medium

Threats:
Rhadamanthys
Process_injection_technique
Lumma_stealer
Clickfix_technique
Hidden_bee
Elysium_stealer
Bandit_stealer
Skuld
Steganography_technique
Procmon_tool
Putty_tool
Teamviewer_tool

Victims:
General users, Researchers, Cybercrime victims

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1057, T1059.006, T1071.001, T1082, T1105, T1112, have more...

IOCs:
Url: 5
Registry: 4
Path: 14
File: 11
Hash: 47

Soft:
Telegram, LedgerLive, webrtc, CoreFTP, CuteFTP, Cyberduck, FlashFXP, FTPRush, SmartFTP, Total Commander, have more...

Wallets:
keplr, ledgerlive, harmony_wallet

Algorithms:
cbc, sha256, xor, rc4, base64, chacha20, sha1

Functions:
main, getWebRTCInfo, getWebAudioInfo, collectAllFingerprints, Date, collectSystemInfo, collectBrowserInfo, collectWebGLInfo, collectCanvasInfo, collectNetworkInfo, have more...

Win API:
NtRaiseHardError, MessageBoxW, UuidCreateSequential, GetVolumeInformationW

Win Services:
bits

Languages:
javascript, lua, java, golang

Platforms:
x86, amd64, x64

Links:
have more...
https://github.com/hasherezade/hidden\_bee\_tools/releases
https://github.com/hasherezade/hollows\_hunter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rhadamanthys - это многомодульный стиллер, появившийся в сентябре 2022 года и претерпевший значительные обновления в версии 0.9.2, повысившие его сложность и возможности уклонения. Ключевые изменения включают удаление операций записи в реестр, глобальный мьютекс для предотвращения дублирования выполнения и пользовательский формат исполняемого файла для доставки полезной нагрузки, который позволяет избежать обнаружения изолированными средами. Вредоносное ПО устанавливает связь C2 через WebSocket и использует обширные проверки и плагины, включая Lua, для расширенного отслеживания и снятия отпечатков пальцев с браузера, что усложняет усилия по обнаружению.
-----

Rhadamanthys - это многомодульный стиллер, появившийся в сентябре 2022 года и быстро превратившийся в важного игрока в киберпреступной деятельности, особенно во время кампаний ClickFix. Недавний релиз, версия 0.9.2, демонстрирует многочисленные технические улучшения, которые могут повлиять на усилия исследователей безопасности по обнаружению. Ключевые обновления включают в себя переработку процесса работы с базой данных, оптимизированные методы упаковки файлов и усовершенствования функций управления пользователями, которые подчеркивают растущую сложность вредоносного ПО.

Существенные изменения в Rhadamanthys 0.9.x включают удаление операций записи в реестр, которые ранее облегчали отслеживание извлекаемых данных. Вредоносное ПО теперь включает функцию глобального мьютекса, предотвращающую многократное выполнение на одном компьютере, что позволяет эффективно избежать дублирования данных при отправке. Кроме того, внедрение опции двухфакторной аутентификации (2FA) для входа в систему управления усиливает контроль доступа в рамках работы вредоносного ПО.

Rhadamanthys продолжает использовать уникальный метод доставки своей полезной нагрузки, используя пользовательский исполняемый формат, а не стандартные исполняемые файлы Windows. На начальном этапе выполняется основной модуль, который затем выполняет серию проверок, чтобы определить, может ли он работать дальше. Это включает в себя проверку сравнения с известными средами изолированной среды, на что указывают типичные имена пользователей и типы файлов, часто используемые в настройках тестирования. Коммуникация вредоносного ПО C2 (Command and Control) осуществляется через WebSocket, поддерживая скрытое взаимодействие со своими операторами.

Что касается методов уклонения, вредоносное ПО выполняет всестороннюю проверку, включая анализ обоев системы и запросы к нескольким службам времени, что помогает эффективно маскировать его действия. Более того, его механизм идентификации ботов использует системный идентификатор тома, что способствует постоянному отслеживанию зараженных устройств. Включение дополнительных плагинов, написанных на Lua, позволяет дополнительно настраивать вредоносные действия с возможностью сбора обширных данных о отпечатках пальцев браузера, чтобы избежать обнаружения.

#ParsedReport #CompletenessLow
01-10-2025

Datzbro: RAT Hiding Behind Senior Travel Scams

https://www.threatfabric.com/blogs/datzbro-rat-hiding-behind-senior-travel-scams

Report completeness: Low

Actors/Campaigns:
Zombinder

Threats:
Datzbro

Victims:
Consumers, Social media users, Financial services users

Industry:
Financial

Geo:
Malaysia, Canada, Chinese, South africa, Australia, Singapore

ChatGPT TTPs:
do not use without manual check
T1056, T1204.002, T1219, T1566

IOCs:
Hash: 4

Soft:
Android, WhatsApp, Google Play, WeChat

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года была выявлена мошенническая кампания, нацеленная на пожилых людей в Австралии, которая использовала группы Facebook, рекламирующие "активные поездки для пожилых", в качестве прикрытия для мошенничества. Центральное место в этой операции занимает Android-троян "Datzbro", классифицируемый как троян для захвата устройств, который обеспечивает несанкционированный доступ к устройствам жертв и способствует финансовому мошенничеству. Этот случай подчеркивает тенденцию хакерских группировок, использующих обманчивые социальные кампании для распространения вредоносного ПО и эффективного воздействия на уязвимые группы населения.
-----

В августе 2025 года в Австралии было выпущено множество предупреждений относительно мошеннических кампаний, нацеленных на пожилых людей через группы Facebook, рекламирующие "активные поездки для пожилых". Исследователи из ThreatFabric определили эти группы как прикрытия, управляемые мошенниками, стремящимися использовать различные регионы. Центральное место в этой кампании занимает недавно обнаруженный Android-троянец, известный как "Datzbro", классифицируемый как Trojan.

Datzbro обладает целым рядом возможностей, сходных с теми, которые присутствуют в традиционных шпионских программах, что позволяет ему облегчать несанкционированный доступ к устройствам жертв. Этот троянец был специально использован для совершения финансового мошенничества, используя свои функции удаленного доступа для подрыва финансовой безопасности физических лиц. Анализ Datzbro подчеркивает растущую тенденцию к тому, что хакерские группировки используют, казалось бы, безобидные социальные кампании для распространения вредоносного ПО, тем самым увеличивая свой охват и эффективность в отношении уязвимых групп населения, таких как пожилые люди.

#ParsedReport #CompletenessLow
01-10-2025

ForcedLeak and the Future of AI Agent Security

https://www.varonis.com/blog/forcedleak

Report completeness: Low

Threats:
Forcedleak_vuln

Victims:
Salesforce agentforce users, Crm users, Saas platform users, Autonomous ai agent users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1030, T1056.003, T1071, T1190, T1204, T1553, T1565.003

Soft:
Salesforce, Twitter

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость ForcedLeak затрагивает платформу Salesforce Agentforce, позволяя злоумышленникам извлекать конфиденциальные данные CRM с помощью косвенного быстрого внедрения, внедряя вредоносный код в поле "Описание" веб-форм для привлечения клиентов. Эта атака использует обширные ограничения по символам для кодирования полезных данных, которые кажутся законными, что приводит к скрытому компрометированию данных без прямых вредоносных действий. Инцидент высвечивает риски, связанные с автономными агентами искусственного интеллекта на платформах SaaS, указывая на растущую уязвимость.
-----

ForcedLeak - это значительная уязвимость, затрагивающая платформу Salesforce Agentforce, позволяющая злоумышленникам извлекать конфиденциальные данные CRM с помощью методов косвенного быстрого внедрения. Эта уязвимость подчеркивает риски развертывания автономных агентов искусственного интеллекта, которые обрабатывают внешние данные без адекватных границ контекста или проверки входных данных.

Эксплойт работает путем встраивания вредоносного кода в поле "Описание" формы Salesforce Web-to-Lead, которое может содержать до 42 000 символов. Это обширное ограничение по количеству символов позволяет кодировать сложные полезные данные, которые, по-видимому, представляют законные бизнес-процессы. Когда эта обработанная зацепка отправляется, агент не ведет себя необычно; он просто выполняет свои ожидаемые задачи, что неосознанно приводит к утечке конфиденциальной информации. Скрытый характер ForcedLeak, при котором доступ к скомпрометированным данным осуществляется без прямых вредоносных действий, таких как фишинг или брутфорс—атаки, делает его особенно опасным.

Злоумышленник, нацеленный на веб-форму Salesforce для привлечения клиентов, может быстро получить доступ к данным CRM без использования сложных инструментов, вместо этого воспользовавшись несколькими обманчивыми HTTP-запросами. Атака может быстро развернуться, что приведет к незаметной компрометации записей клиентов и создаст серьезные риски для организаций. Хотя некоторые средства контроля во время выполнения, такие как системы Advanced Malicious Software Integration (AMSI) или Endpoint Detection and Response (EDR), могут помочь обнаружить определенное поведение, связанное с этой атакой, сами по себе эти меры недостаточны для предотвращения использования.

Последствия ForcedLeak выходят за рамки этой конкретной уязвимости, сигнализируя о потенциальном росте числа подобных атак по мере того, как все больше платформ "Программное обеспечение как услуга" (SaaS) включают автономных агентов. Расширяющаяся область атак подчеркивает необходимость в надежных мерах безопасности, ориентированных на данные. Организациям настоятельно рекомендуется принять немедленные меры по снижению рисков, связанных с ForcedLeak, и подготовиться к меняющемуся ландшафту киберугроз, связанных с искусственным интеллектом и CRM-системами.

#ParsedReport #CompletenessHigh
02-10-2025

UAT-8099: Chinese-speaking cybercrime group targets high-value IIS for SEO fraud

https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/

Report completeness: High

Actors/Campaigns:
Uat-8099 (motivation: financially_motivated)

Threats:
Cobalt_strike_tool
Badiis
Easytier_tool
Netstat_tool
Procdump_tool
S3_browser_tool
Dll_sideloading_technique

Victims:
Universities, Technology companies, Telecommunications providers

Industry:
Telco, Education

Geo:
Vietnam, Thailand, Canada, India, Usa, Brazil, Portuguese, Chinese

TTPs:
Tactics: 2
Technics: 15

IOCs:
Command: 7
File: 10
Path: 23
Hash: 32
Url: 1
Domain: 30

Soft:
SoftEther, Android, ASP.NET, Remote Desktop Services, Windows firewall, sogou

Algorithms:
zip, base64

Win API:
VirtualQuery

Languages:
javascript, php

Platforms:
apple

Links:
https://github.com/EasyTier/EasyTier
https://github.com/tennc/webshell/blob/master/net-friend/aspx/Aspx%EF%BC%88%E5%85%8D%E6%9D%80%EF%BC%89.aspx
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная группа по борьбе с киберпреступностью UAT-8099 специализируется на SEO-мошенничестве, нацеленном на дорогостоящие серверы Интернет-информационных служб (IIS) по всему миру. Они используют небезопасные конфигурации загрузки файлов, используя Cobalt Strike в качестве бэкдора, используя DLL Sideloading и запланированные задачи для закрепления. Их деятельность подкрепляется недавно выявленными вариантами вредоносного ПО BadIIS, которые содержат продвинутые обработчики HTTP-запросов, облегчающие манипулирование SEO, особенно использование запросов, имитирующих поисковые роботы.
-----

Китайскоязычная группа киберпреступников UAT-8099 была идентифицирована как в основном занимающаяся мошенничеством с поисковой оптимизацией (SEO), в частности, нацеленная на серверы дорогостоящих интернет-информационных служб (IIS) в различных странах, включая Индию, Таиланд, Вьетнам, Канаду и Бразилию. Затронутые серверы IIS принадлежат целому ряду организаций, таких как университеты и телекоммуникационные провайдеры. Их операции включают перенаправление пользователей с этих скомпрометированных серверов на несанкционированную рекламу или нелегальные сайты азартных игр, что свидетельствует о стратегической ориентации на платформы с высокой репутацией для манипулирования результатами поисковых систем.

UAT-8099 использует уязвимости в конфигурациях веб-серверов, в частности, нацелен на небезопасные параметры загрузки файлов. Их цепочка атак обычно включает в себя развертывание сценариев автоматизации, которые облегчают постоянный контроль над зараженными серверами и способствуют усилиям по SEO-манипуляциям. Эти сценарии автоматизируют задачи и обеспечивают закрепление путем изменения конфигураций IIS для обеспечения непрерывной эксплуатации.

Группа использует Cobalt Strike в качестве бэкдора, используя такие методы, как DLL sideloading для начальной загрузки и настройки запланированных задач для поддержания доступа. Их деятельность поддерживается недавно выявленными вариантами вредоносного ПО BadIIS, которые претерпели структурные изменения, чтобы повысить их шансы избежать обнаружения антивирусным программным обеспечением. Были обнаружены два кластера этого вредоносного ПО, оба с обработчиками, которые обрабатывают входящие HTTP-запросы на основе определенных критериев, уделяя особое внимание тем, которые имитируют поисковые роботы, такие как Googlebot.

Первый кластер вредоносного ПО BadIIS включает в себя обработчики с именами "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse", которые используют HTTP-заголовки для определения выполняемого вредоносного действия. Например, когда кажется, что запросы исходят от робота Googlebot, они запускают функции прокси-сервера или инжектора, которые облегчают мошенничество с SEO путем пересылки пользовательских запросов через скомпрометированную инфраструктуру. Этот кластер подчеркивает способность вредоносного ПО кодировать адреса серверов командования и контроля (C2), тем самым расширяя его функциональность и избегая обнаружения.

Второй кластер аналогично использует те же имена обработчиков, но добавляет сложности за счет включения точек принятия решения до того, как произойдет интенсивная обработка, и обеспечения жесткого контроля изменений выходных данных для предотвращения обнаружения другими модулями. Этот кластер работает под эгидой режима SEO-мошенничества, который включает в себя несколько вариантов работы, разработанных для различных сценариев эксплуатации. В целом, UAT-8099 означает изощренный подход к мошенничеству с SI, использующий передовые технологии вредоносного ПО и целевые уязвимости на серверах IIS.

#ParsedReport #CompletenessLow
02-10-2025

Salesforce breaches impact multiple companies, cybercrime in Italy, new state-sponsored operations

https://www.telsy.com/violazioni-salesforce-impattano-molteplici-aziende-cybercrime-in-italia-nuove-operazioni-state-sponsored/

Report completeness: Low

Actors/Campaigns:
Unc6395
Dragonforce
Void_manticore

Threats:
Spear-phishing_technique
Mintsloader
Smishing_technique
Everest_ransomware
Safepay

Victims:
Salesforce customers, Government sector, Diplomatic sector, Multilateral organizations, Law firms, Architectural services

Industry:
Financial, Government

Geo:
Middle east, Asia, Iran, Africa, Austrian, Iranian, Americas, Oman, Italy

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.005, T1078, T1114.002, T1204.002, T1528, T1530, T1566, T1566.001, T1566.002, have more...

IOCs:
File: 1

Soft:
Salesforce, Salesloft Drift, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC6395 взломала инстансы Salesforce более 700 организаций, используя скомпрометированные токены OAuth, связанные с чат-агентом Salesloft Drift AI, что позволило получить несанкционированный доступ к конфиденциальным данным CRM. В Италии кампания по фишингу маскируется под официальные уведомления Налоговой службы для доставки вредоносного ПО, в то время как MintsLoader используется через взломанные почтовые ящики PEC. В глобальном масштабе спонсируемая иранским государством операция spear phishing использовала вредоносное ПО под названием sysProcUpdate для нацеливания на дипломатические активы с помощью вредоносных документов Word, что указывает на серьезную угрозу правительственной инфраструктуре.
-----

Недавние киберинциденты высветили значительные угрозы, затрагивающие как корпоративные, так и правительственные системы. Атаки, приписываемые группе UNC6395, привели к масштабному нарушению инстансов Salesforce, воздействие на которые оказало более 700 организаций. В результате взлома были использованы скомпрометированные токены OAuth, привязанные к чат-агенту Salesloft Drift AI, что привело к несанкционированному доступу к конфиденциальным данным управления взаимоотношениями с клиентами, включая контакты и заявки в службу поддержки. В то время как основные продукты и внутренние сети этих компаний, по-видимому, не пострадали, скомпрометированные данные вызывают опасения по поводу потенциальных атак spear phishing и перемещения внутри компании внутри организационных сетей.

В Италии был задокументирован всплеск киберпреступной деятельности, включая кампанию фишинга, имитирующую официальные уведомления Налоговой службы. Эта кампания включает электронные письма, которые пытаются обманом заставить получателей загрузить Вредоносные файлы, замаскированные под налоговые документы, причем поддельные сообщения, как представляется, приходят с законного государственного домена. Кроме того, вновь появилось распространение вредоносного ПО MintsLoader, использующее скомпрометированные почтовые ящики PEC для развертывания угроз. Одновременно кампания по smishing использует INPS (Национальный институт социального обеспечения) с целью сбора личной и финансовой информации от жертв. Также усилилась угроза вымогательства: команда DragonForce, как сообщается, скомпрометировала Ordine dei Giornalisti del Lazio, а команда Everest заявила, что получила доступ к юридической фирме Cordeiro Guerra & Associati.

В глобальном масштабе инициатива spear phishing, связанная с деятельностью, спонсируемой иранским государством, была нацелена на дипломатические и правительственные активы с использованием вредоносного ПО под названием sysProcUpdate. Эта операция включала отправку вводящих в заблуждение электронных писем со взломанной учетной записи посольства Омана различным правительственным чиновникам по всему миру, содержащих вредоносные документы Word, предназначенные для использования макро-уязвимостей. Масштабы этой кампании обширны: было использовано более 100 уникальных Учетных записей эл. почты, чтобы скрыть ее происхождение и эффективно воздействовать на широкий круг учреждений, включая посольства и многосторонние организации, такие как ООН. Кроме того, Федеральное министерство внутренних дел Австрии сообщило об аномалиях в своих ИТ-системах, при этом, как сообщается, пострадала значительная часть его Учетных записей эл. почты, что указывает на серьезный компромисс в правительственной инфраструктуре. Такие инциденты подчеркивают меняющийся ландшафт угроз, в котором как корпоративные, так и государственные структуры остаются главными мишенями для киберпреступников.

#ParsedReport #CompletenessMedium
01-10-2025

Silent Smishing : The Hidden Abuse of Cellular Router APIs

https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Report completeness: Medium

Actors/Campaigns:
Csam_ebox
Grooza

Threats:
Smishing_technique
Typosquatting_technique

Victims:
Telecommunications, Postal services, Social security, Banking, Government digital services, Milesight industrial cellular routers users

Industry:
Healthcare, Government, Telco, E-commerce, Financial, Ics

Geo:
Italian, French, Swedish, Turkey, Australia, Sweden, Russian, Danish, France, Spain, Denmark, Thailand, Dutch, Belgium

CVEs:
CVE-2023-43261 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1190, T1204.001, T1210, T1566.002, T1589, T1593, T1596.001

IOCs:
IP: 6
File: 6
Url: 128
Domain: 23
Hash: 2

Soft:
Telegram

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тот Sekoia.io команда сообщила о целенаправленных атаках, использующих уязвимости в промышленных маршрутизаторах сотовой связи Milesight, в частности CVE-2023-43261, которые позволяют получить несанкционированный доступ к конфиденциальным файлам журнала. Злоумышленники используют действительные файлы cookie для аутентификации для отправки SMS-сообщений с этих маршрутизаторов, и более 19 000 уязвимых устройств находятся в сети, главным образом в Австралии и Франции. Кампании smishing, связанные с этими уязвимостями, основаны на тактике социальной инженерии и фишинга, использующей домены, связанные с мошенническими действиями.
-----

Недавние наблюдения, сделанные Sekoia.io Группа по обнаружению угроз и исследованию выявила целенаправленную киберугрозу, использующую уязвимости в промышленных сотовых маршрутизаторах Milesight. Анализ выявил структуру запросов POST, направленных на конечную точку маршрутизаторов /cgi, использующих данные в формате JSON, связанные с функциями SMS-сообщений. Похоже, что злоумышленники используют файл cookie аутентификации для выполнения этих запросов, предполагая, что они обладают действительными учетными данными для доступа.

Заметная уязвимость, обозначенная как CVE-2023-43261, затрагивает несколько моделей маршрутизаторов Milesight, включая UR5X и UR32, предоставляя доступ к конфиденциальным файлам журналов по протоколу HTTP без проверки подлинности. Эта ошибка позволяет потенциальным злоумышленникам более эффективно использовать маршрутизаторы. Анализ показывает, что злоумышленники, скорее всего, проверяют, может ли маршрутизатор отправлять SMS-сообщения, пытаясь доставить сообщения на номер телефона, который они контролируют, подтверждая возможности устройства.

Было выявлено значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету, со значительной концентрацией в Австралии и Франции. Исторические данные показывают, что использование этих уязвимостей для smishing-кампаний относится к началу 2022 года. Бельгия становится основной мишенью этих кампаний, которые обычно выдают себя за официальные службы, в то время как Франция демонстрирует широкий спектр имитируемых служб в своих усилиях по smishing.

В проанализированных кампаниях использовались различные домены для фишинга, в частности те, которые имитируют сервисы eBox и CSAM. В URL-адресах фишинга, полученных в ходе анализа, был обнаружен файл JavaScript, который проверяет, получают ли пользователи доступ к странице с мобильных устройств, скорее всего, предназначенный для повышения вовлеченности пользователей с помощью специальной тактики фишинга. Такое поведение, возможно, служит механизмом отслеживания, определяющим, когда пользователи взаимодействуют с мошенническими сайтами.

Кроме того, два домена, в частности jnsi.xyz, были привязаны к нескольким smishing-кампаниям, сосредоточенным на проблемах с платежами в разных регионах. Этот домен был зарегистрирован незадолго до этих кампаний и ссылается на относительно новую российскую автономную систему. Расследования в отношении домена выявляют вредоносные классификации с помощью URLScan.io , подтверждающий его использование в мошеннических действиях.

Эволюционирующий характер smishing, в частности его таргетинг с помощью SMS для целей цифрового мошенничества, демонстрирует постоянную угрозу, которую он представляет для финансовой безопасности. Методология атаки основана на методах социальной инженерии, которые используют доверие, что делает такую тактику доступной для неквалифицированных злоумышленников. Несмотря на свою простоту, smishing остается мощным средством для киберпреступников, движимых легкодоступными наборами и сервисами для фишинга.