#ParsedReport #CompletenessMedium
21-11-2025

Xillen Stealer Updates to Version 5 to Evade AI Detection

https://www.darktrace.com/blog/xillen-stealer-updates-to-version-5-to-evade-ai-detection

Report completeness: Medium

Actors/Campaigns:
Xillen_killers
Noname057

Threats:
Xillenstealer
Polymorphism_technique
Dll_hijacking_technique
Process_hollowing_technique
Atom_bombing_technique
Process_doppelganging_technique
Steganography_technique
Polyglot_technique
Ddosia_botnet
Credential_harvesting_technique

Victims:
Cryptocurrency users, Enterprise windows environments, Developers, Business email users, Premium account holders

Industry:
Financial, Iot, Entertainment

Geo:
Japan, Russian, Germany, United kingdom, Ukrainian

TTPs:
Tactics: 3
Technics: 15

IOCs:
Path: 1
Hash: 3
File: 1

Soft:
Docker, Telegram, Visual Studio, JetBrains, Navicat, DBeaver, MySQL, WinSCP, WireGuard, CyberGhost, have more...

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256, xor

Functions:
mutate_code

Languages:
python, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Xillen Stealer эволюционировал с обновлениями до версий 4 и 5, расширив свои возможности по краже конфиденциальной информации, включая учетные данные и криптовалютные кошельки. В нем реализованы передовые методы антианализа, такие как таргетинг на основе искусственного интеллекта и AIEvasionEngine, позволяющие избежать обнаружения путем имитации законного поведения. Вредоносное ПО также содержит компоненты для сбора биометрических данных, токенов аутентификации и использования Стеганографии и различных методов управления, отражающих сложные процессы эксфильтрации данных.
-----

Xillen Stealer недавно был обновлен до версий 4 и 5, расширив его возможности в качестве кроссплатформенного стиллера информации, который нацелен на конфиденциальные данные, такие как учетные данные, криптовалютные кошельки и системную информацию. Это вредоносное ПО использует различные методы антианализа, чтобы избежать обнаружения, включая реализации, которые используют искусственный интеллект для определения ценных целей на основе конкретных показателей и ключевых слов. Эти показатели сосредоточены на криптовалютных кошельках и учетных записях из различных стран с высокой стоимостью, включая Соединенные Штаты и Японию, при этом создатели вредоносного ПО намекают на потенциальные будущие изменения в методологиях таргетинга.

Примечательным компонентом обновленных версий является AIEvasionEngine, разработанный специально для обхода систем обнаружения ИИ с помощью тактики, имитирующей законное поведение пользователя. Он использует такие стратегии, как введение статистического шума, рандомизация шаблонов выполнения и маскировка использования ресурсов, чтобы казаться безвредным для инструментов мониторинга. Более того, PolymorphicEngine помогает обнаруживать попытки уклонения путем реализации polymorphic преобразований, при которых он запутывает код и заменяет распознаваемые шаблоны команд, повышая его устойчивость к обнаружению.

Вредоносное ПО также содержит BiometricCollector для сбора биометрических данных из систем Windows путем доступа к каталогу WinBioDatabase, что указывает на потенциальное намерение извлечь конфиденциальные пользовательские данные, несмотря на встроенное шифрование. Аналогично, класс SSOCollector предназначен для токенов аутентификации с единым входом из Azure Active Directory и Google Cloud, в то время как TOTP Collector фокусируется на сборе одноразовых паролей, основанных на времени.

Xillen Stealer также включает в себя EnterpriseCollector для сбора учетных данных из корпоративных систем Windows и расширенный сборщик приложений, который сканирует учетные данные в 160 идентифицированных приложениях. Функция AppBoundBypass стремится обойти шифрование файлов cookie Google Chrome с помощью различных методов уклонения, таких как Внедрение в пустой процесс и DLL hijacking.

Кроме того, модуль SteganographyModule предоставляет методы сокрытия украденных данных в файлах изображений для эксфильтрации, в то время как P2PEngine облегчает операции управления по различным каналам, включая транзакции на блокчейне и анонимизирующие сети, подчеркивая сложные возможности эксфильтрации вредоносного ПО.

Хотя некоторые функции все еще находятся в стадии разработки, Xillen Stealer демонстрирует сложный подход к методам кражи информации и уклонения от нее, намекая на то, как искусственный интеллект может быть интегрирован в дальнейшие кампании злоумышленников.

#ParsedReport #CompletenessLow
21-11-2025

Cl0ps Oracle EBS Zero-Day Campaign: What We Know So Far

https://socradar.io/cl0p-oracle-ebs-zeroday-campaign/

Report completeness: Low

Actors/Campaigns:
Cl0p
Scattered_lapsus_hunters

Threats:
Clop

Victims:
Finance sector, Manufacturing sector, Automotive sector, Logistics sector, Retail sector, Education sector, Energy sector, Professional services sector, Technology sector, Transportation sector, have more...

Industry:
Education, Chemical, Transport, Retail, Energy, Logistic, Financial, Healthcare

Geo:
Australia, Kuwait, Sri lanka, Japan, Mexico, China, Saudi arabia, France, Pakistan

CVEs:
CVE-2025-61884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle configurator (le12.2.14)

CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1588.005, T1650

Soft:
MOVEit, GoAnywhere, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cl0p ransomware group активизировала свою деятельность, используя уязвимости zero-day в Oracle E-Business Suite (EBS), специально нацеленные на ошибки удаленного выполнения кода для несанкционированного доступа к конфиденциальным данным. Их действия отражают прошлые кампании, связанные с масштабной кражей данных и угрозами публичного разоблачения, которые оказали воздействие по меньшей мере на 103 организации в различных секторах в США. Кроме того, обсуждения показывают, что другие злоумышленники также используют аналогичные уязвимости в Oracle EBS, что указывает на более широкий спектр рисков для корпоративных систем.
-----

Cl0p ransomware group недавно активизировала свою деятельность, используя уязвимости zero-day в Oracle E-Business Suite (EBS). Эта кампания представляет собой продолжение исторической практики Cl0p's, нацеленной на высококлассные корпоративные системы, используя недостатки удаленного выполнения кода перед аутентификацией (RCE) для получения несанкционированного доступа к конфиденциальным данным. Конкретные уязвимости, использованные в этой кампании, в настоящее время не установлены, но подтверждено, что они облегчают несанкционированный доступ к критически важным компонентам EBS, позволяя Cl0p осуществлять крупномасштабную кражу данных.

Методология, используемая Cl0p, отражает предыдущие кампании, такие как нарушение передачи данных MOVEit и использование GoAnywhere MFT. Злоумышленники проникают в целевые системы, крадут обширные наборы данных и впоследствии используют эти данные для вымогательства, публично угрожая их утечкой. В ходе продолжающейся кампании Cl0p уже скомпрометировала значительное число организаций, в отчетах указывается по меньшей мере на 103 жертвы из различных секторов, включая финансы, здравоохранение, образование и энергетику, особенно в Соединенных Штатах.

О недавних эксплойтах Cl0p стало известно благодаря утечке файлов в Telegram, включая эксплойт для CVE-2025-61882, который подключается к группе под названием Scattered Lapsus Hunters. Способность Cl0p получать доступ к компоненту UiServlet EBS указывает на глубокое понимание архитектуры системы и уязвимостей. Отчеты различных организаций подтвердили нарушения, в том числе известные случаи из таких учреждений, как Гарвардский университет и Envoy Air, подчеркивающие воздействие кампании.

Более того, использование этих уязвимостей zero-day, по-видимому, не является исключительным для Cl0p. Обсуждения на хакерских форумах предполагают, что другие злоумышленники также извлекают выгоду из тех же недостатков Oracle EBS, причем некоторые эксплойты рекламируются и продаются в кругах киберпреступников. В одном из таких июньских сообщений указывалось на эксплойт RCE для Oracle EBS версии 12.2.14, что свидетельствует о растущем интересе и потенциале для дальнейшего использования различными группами.

Таким образом, кампания Cl0p's против Oracle EBS подчеркивает критическую уязвимость, которая вызывает серьезные опасения у организаций из разных отраслей. Продолжающееся использование этих уязвимостей zero-day иллюстрирует более широкий спектр рисков, с которыми сталкиваются корпоративные системы, и требует повышенной бдительности и упреждающих защитных мер против таких сложных методологий злоумышленников.

#ParsedReport #CompletenessMedium
22-11-2025

Tycoon 2FA: A Technical Analysis of its Adversary-in-the-Middle Phishing Operation

https://www.cyfirma.com/research/tycoon-2fa-a-technical-analysis-of-its-adversary-in-the-middle-phishing-operation/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Credential_harvesting_technique
Mitm_technique
Spear-phishing_technique
Right-to-left_override_technique

TTPs:
Tactics: 8
Technics: 18

IOCs:
Domain: 4
Url: 1

Soft:
Gmail, Outlook, Telegram

Algorithms:
base64, aes, rc4, exhibit

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA - это платформа PhaaS, представленная в 2023 году, которая использует передовые методы Злоумышленника посередине для обхода Многофакторной аутентификации, ориентируясь на такие сервисы, как Microsoft 365, Gmail и Outlook. Его работа основана на доступе по подписке через Telegram, отличающемся сложными рабочими процессами фишинга, централизованной инфраструктурой управления и быстрой ротацией доменов, позволяющей избежать обнаружения. Текущие усовершенствования включают улучшенное шифрование и потенциальную интеграцию искусственного интеллекта для более убедительных попыток фишинга, что указывает на растущую угрозу корпоративным системам аутентификации.
-----

Tycoon 2FA - это сложная платформа для фишинга как услуги (PhaaS), разработанная CYFIRMA в 2023 году, предназначенная в первую очередь для корпоративных облачных сред. В нем используются передовые методы Злоумышленника посередине (AitM), которые позволяют злоумышленникам обходить Многофакторную аутентификацию (MFA) путем захвата учетных данных и токенов сеанса с помощью высокореалистичных рабочих процессов фишинга. Он нацелен на популярные сервисы, такие как Microsoft 365, Gmail и Outlook, и доступен по подписке, что делает его привлекательным для широкого круга злоумышленников, от новичков до профессиональных киберпреступников.

Операционная модель Tycoon 2FA основана на подписке, оплачиваемой через каналы Telegram, что позволяет пользователям получать доступ к сложным шаблонам фишинга, подключенным к централизованной инфраструктуре управления (C2). Недавние разведывательные отчеты указывают на быстрое расширение оперативных возможностей Tycoon, включая усовершенствованные методы запутывания и гибкую инфраструктуру, характеризующуюся частой сменой доменов. Такая ротация между различными доменами верхнего уровня (TLD) усложняет усилия по блокировке на основе репутации, тем самым поддерживая постоянную вредоносную активность.

Более того, были отмечены постоянные технические улучшения в методах шифрования платформы: разработчики перешли с AES на RC4, используя кодировку Base64 для обфускации и внедряя механизмы, основанные на логике, чтобы избежать обнаружения сканерами безопасности. Использование проверки отпечатков пальцев браузера и методов обмана, таких как CAPTCHA, повышает его эффективность. Эти характеристики иллюстрируют устойчивость Tycoon 2FA's и его упреждающие меры по уклонению от технологий обнаружения.

Данные указывают на то, что Tycoon 2FA, вероятно, изучит дополнительные методы уклонения, потенциально используя искусственный интеллект для создания еще более убедительных страниц фишинга. По мере своего развития Tycoon 2FA может еще больше угрожать корпоративным системам аутентификации, особенно тем, которые зависят от устаревших систем MFA, что делает необходимым для организаций внедрение надежных, устойчивых к фишингу мер аутентификации и совершенствование своих систем обнаружения действий AitM. Влияние платформы и сложность ее эксплуатации предполагают, что она будет оставаться серьезной угрозой в киберпространстве, требуя от бизнеса постоянной бдительности и адаптивных защитных стратегий.

#ParsedReport #CompletenessLow
21-11-2025

ClickFix malware is infecting Macs via Facebook ads for fake AI apps

https://moonlock.com/clickfix-targeting-macs

Report completeness: Low

Threats:
Clickfix_technique
Macc_stealer
Macsyncstealer
Amos_stealer

Victims:
Macos users, Crypto wallet users

Geo:
America, Australia, India, Morocco, Argentina, Japan, Ukraine, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1056.002, T1204.002, T1539, T1547, T1555.003, T1583.001, T1656

IOCs:
Url: 8

Soft:
TradingView, macOS, Instagram, OpenAI, Ledger Live, Telegram, Bitwarden, 1Password, Dashlane, LastPass, have more...

Wallets:
trezor, electrum, coinomi, wassabi, litecoincore, metamask, coinbase, rabby, bybit, solflare, have more...

Crypto:
monero, binance

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix вредоносного ПО нацелена на пользователей macOS с помощью вводящей в заблуждение рекламы поддельных приложений искусственного интеллекта на Facebook, в основном включающей операции фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2. ClickFix может извлекать пользовательские файлы, собирать конфиденциальную информацию с помощью поддельных запросов пароля и компрометировать различные веб-браузеры и крипто-кошельки, включая Ledger Live и MetaMask. Злоумышленники демонстрируют организованность с помощью нескольких доменов, перенаправляющих на вредоносный контент, что указывает на стратегию максимального охвата их кампании.
-----

Кампания ClickFix по вредоносному ПО в настоящее время нацелена на пользователей macOS с помощью рекламы в Facebook, рекламирующей поддельные приложения с искусственным интеллектом. Эта кампания, в частности, сосредоточена вокруг двух основных операций фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2, используя их авторитет, чтобы заманить пользователей к загрузке вредоносного программного обеспечения.

Вредоносное ПО, идентифицированное как ClickFix, обладает целым рядом возможностей, которые представляют значительный риск для систем macOS. Он может находить и извлекать пользовательские файлы и документы, а также отображать мошеннические запросы на ввод пароля для сбора конфиденциальной информации. Кроме того, ClickFix нацелен на различные веб-браузеры для извлечения файлов cookie, учетных данных для входа в систему и дополнительных данных, эффективно компрометируя учетные записи пользователей. Примечательно, что он может заменить законные браузерные расширения для криптокошельков, такие как Ledger Live и Trezor Suite, вредоносными аналогами, что приведет к потенциальным финансовым потерям.

Функциональность вредоносного ПО распространяется на взлом широкого спектра криптокошельков, включая Exodus, Electrum и Monero, а также расширений браузера, связанных с популярными сервисами, такими как MetaMask и Coinbase Wallet. Кроме того, это может скомпрометировать Менеджеры паролей, такие как Bitwarden и LastPass, подрывая безопасность пользователей на нескольких платформах.

Расследование BitDefender показывает, что злоумышленники, стоящие за этой кампанией, зарегистрировали различные домены, и все они перенаправляют на один и тот же вредоносный контент, что свидетельствует о хорошо организованных усилиях по максимальному охвату и эффективности. Кампания использует рекламную систему Facebook, но, как ожидается, также распространится на другие платформы, такие как Instagram и Threads.

В то время как тактика киберпреступников постоянно развивается, ожидается, что такие угрозы, как ClickFix, в будущем будут адаптироваться и использовать аналогичные методы для выдачи себя за различные бренды и приложения. Пользователи могут повысить свою безопасность, оставаясь бдительными и понимая ландшафт угроз, связанных с атаками ClickFix, тем самым снижая риск стать жертвой подобных мошенничеств.

#ParsedReport #CompletenessLow
22-11-2025

Analysis of suspected APT-C-26 (Lazarus) group's attack operation using remote IT to deploy monitoring programs in disguise

https://www.ctfiot.com/283366.html

Report completeness: Low

Actors/Campaigns:
Lazarus

Industry:
Financial

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1078, T1113

IOCs:
Hash: 13
File: 6
Path: 1

Soft:
Windows Shell, Windows Defender, Windows Firewall, Windows Update service, Windows service, WeChat

Algorithms:
xor, md5

Win API:
DllRegisterServer, SHChangeNotify, DllUnregisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-C-26, известная как Lazarus, использует сложные удаленные ИТ-стратегии для развертывания пользовательского программного обеспечения для мониторинга, которое обеспечивает полный удаленный контроль над скомпрометированными сетями. Они проникают в организации, выдавая себя за законных ИТ-специалистов, что позволяет им незаметно извлекать конфиденциальную информацию. Этот метод не только угрожает безопасности данных, но и предоставляет группе стратегическую информацию для будущих кибератак, высвечивая меняющийся ландшафт киберугроз.
-----

В анализе подробно описана деятельность группы APT-C-26, широко известной как Lazarus, которая, как было замечено, использовала сложные удаленные ИТ-стратегии для развертывания индивидуальных программ мониторинга. Это конкретное программное обеспечение для мониторинга разработано для обеспечения полного удаленного управления рабочим столом, позволяя операторам поддерживать скрытый доступ к скомпрометированным сетям. Группа обычно привлекает отдельных лиц в качестве удаленного ИТ-персонала, который после интеграции в целевую организацию использует эти инструменты мониторинга для извлечения конфиденциальных данных без каких-либо предупреждений.

Операционная методология APT-C-26 подчеркивает значительную угрозу безопасности корпоративных данных. Проникая в организации под видом законной ИТ-поддержки, они получают возможность незаметно собирать ценную информацию. Такая тактика не только ставит под угрозу непосредственную безопасность данных пострадавших организаций, но также может помочь группе в организации более масштабных операций по кибератакам в будущем путем накопления стратегической информации и ресурсов. Продолжающееся использование таких скрытых методов указывает на эволюционирующий ландшафт киберугроз, где злоумышленники, такие как Lazarus, все чаще используют возможности удаленного доступа для достижения своих вредоносных целей.

#ParsedReport #CompletenessMedium
21-11-2025

EtherHiding: Fake CAPTCHAs, Click-Fix Lures, and Blockchain-Backed Payload Delivery

https://censys.com/blog/etherhiding-fake-captchas-click-fix-lures-blockchain-backed-payload-delivery

Report completeness: Medium

Threats:
Etherhiding_technique
Clickfix_technique
Credential_harvesting_technique
Amos_stealer
Vidar_stealer
Socgholish_loader

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1059.002, T1059.004, T1059.007, T1071.001, T1082, T1102.003, T1105, have more...

IOCs:
Coin: 4
File: 3
IP: 1
Url: 3
Domain: 2

Soft:
macOS, Telegram, Steam, curl

Wallets:
mainnet

Crypto:
binance

Algorithms:
base64, exhibit

Functions:
load_, authAndSync, getPassword, listenCommands, taskData, setDomain, RPC

Languages:
applescript, javascript, php

Links:
https://github.com/ethers-io/ethers.js

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EtherHiding представляет собой новый метод доставки вредоносного ПО, использующий смарт-контракты в тестовой сети Binance Smart Chain для динамического управления полезной нагрузкой. Атака использует вредоносную полезную нагрузку JavaScript, замаскированную под reCAPTCHA, для доставки специфичного для ОС вредоносного ПО на основе обнаружения жертвы, используя манипуляции с буфером обмена для выполнения команд. Он сочетает в себе сбор учетных записей с децентрализованной инфраструктурой, что усложняет усилия по обнаружению и реагированию на возникающие киберугрозы.
-----

EtherHiding использует смарт-контракты в тестовой сети Binance Smart Chain для доставки вредоносного ПО через Интернет. Атака использует веб-внедрение вредоносной полезной нагрузки JavaScript, замаскированной под reCAPTCHA. Исходная полезная нагрузка - это закодированный в Base64 большой двоичный объект JavaScript, который создает запросы JSON-RPC с использованием библиотеки Ethers. Первый контакт осуществляется с помощью определенного смарт-контракта, возвращающего ответ в шестнадцатеричном коде, который декодируется в исполняемый JavaScript. Скрипт проверяет, автоматизирован ли браузер жертвы, и останавливает атаку при обнаружении безголовой автоматизации. Если проверки проходят успешно, он перенаправляется на смарт-контракт, специфичный для конкретной ОС, настраивая доставку вредоносного ПО в зависимости от операционной системы жертвы (Windows или macOS). Злоумышленники могут удаленно управлять флагом доставки с помощью блокчейн-транзакций, позволяя выборочно активировать или деактивировать его для конкретных жертв. Атака продвигается путем извлечения специфичного для операционной системы JavaScript, при этом жертвам вводится поддельная капча, запрашивающая заполнение буфера обмена вредоносными командами. В macOS вредоносное ПО устанавливается через терминал, в то время как Windows выполняет команды через диалоговое окно Запуска. Этот метод позволяет обойти многие меры безопасности, перекладывая ответственность за выполнение на пользователя. Вредоносное ПО собирает данные, относящиеся к конкретным пользователям, такие как имена пользователей и UUID-коды Аппаратного обеспечения, для сбора учетных записей и профилирования хоста. Конфиденциальные данные отправляются на командные серверы, которые динамически обрабатываются с помощью Социальных сетей. EtherHiding отражает эволюцию методов доставки вредоносного ПО, использующих децентрализованную инфраструктуру для уклонения от традиционного обнаружения и уделяющих особое внимание тактике социальной инженерии с помощью поддельных капч и манипуляций с буфером обмена.

#ParsedReport #CompletenessLow
21-11-2025

Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds

https://permiso.io/blog/gainsight-breach-investigation-another-salesloft-style-attack-unfolds

Report completeness: Low

Actors/Campaigns:
Gainsight_breach (motivation: information_theft)
Salesloft_breach
Shinyhunters

Threats:
Supply_chain_technique

Victims:
Salesforce customers, Gainsight users, Integration providers

ChatGPT TTPs:
do not use without manual check
T1528

Soft:
Salesforce, SalesLoft Drift

Functions:
Query

Languages:
python, swift

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 ноября Salesforce выявила необычную активность, связанную с Gainsight, что привело к отзыву всех токенов доступа к приложению. Этот инцидент совпадает с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники использовали учетные данные OAuth для несанкционированного доступа к Salesforce, что указывает на тенденцию нацеливания на сторонние интеграции для получения широкого доступа к системе. Хотя конкретные технические детали остаются нераскрытыми, методы обнаружения аномалий признаны важными для выявления подозрительных действий, связанных с этими интеграциями.
-----

19 ноября Salesforce предупредила клиентов о необычной активности, связанной с Gainsight, приложением, интегрированным с их CRM-платформой. В качестве меры предосторожности Salesforce немедленно отозвала все токены доступа, связанные с Gainsight. Этот инцидент имеет сходство с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники скомпрометировали инфраструктуру, похитив учетные данные OAuth, что облегчило несанкционированный доступ к экземплярам Salesforce. Этот доступ позволил злоумышленникам очистить данные обращения и извлечь другие учетные данные.

Хотя Salesforce и Gainsight не раскрыли конкретных технических деталей или признаков компрометации, в этих атаках прослеживается наметившаяся закономерность. Ориентируясь на сторонних поставщиков интеграции, таких как Gainsight и SalesLoft, злоумышленники могут получить доступ к многочисленным экземплярам Salesforce за один раз, поскольку каждый пользователь обычно авторизует свой собственный токен OAuth, предоставляя ряд разрешений. Эта стратегия подчеркивает эффективность компрометации единственного поставщика интеграции, а не нацеливания на отдельные организации.

В ходе расследования данные телеметрии показали, что законные соединения между Gainsight и Salesforce постоянно поступают с IP-адресов AWS, что позволяет предположить, что эти соединения могут исходить от таких сервисов, как AWS Lambda. Обычные операции включают вызовы API, согласованные с документированным поведением, а не с неожиданными аномалиями. Этот метод определения типичных действий имеет решающее значение для выявления потенциальных угроз.

Отсутствие конкретных индикаторов и IOC для текущего инцидента затрудняет прямое обнаружение, но признается, что механизмы обнаружения аномалий могут быть полезны для выявления подозрительных действий, связанных с Gainsight, в контексте Salesforce. Существующие стратегии обнаружения, разработанные в результате взлома SalesLoft, также могут помочь в выявлении кражи данных или в проведении разведки, если используется аналогичный вектор атаки.

По мере продвижения расследования продолжается мониторинг работы Gainsight и Salesforce, в связи с чем ожидается получение дополнительной технической информации, которая может послужить руководством для принятия превентивных мер в будущем. Инцидент подчеркивает важность надежной регистрации и мониторинга для предотвращения влияния подобных нарушений на данные клиентов и средства контроля доступа.