CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2025 ClickFix malware is infecting Macs via Facebook ads for fake AI apps https://moonlock.com/clickfix-targeting-macs Report completeness: Low Threats: Clickfix_technique Macc_stealer Macsyncstealer Amos_stealer Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix вредоносного ПО нацелена на пользователей macOS с помощью вводящей в заблуждение рекламы поддельных приложений искусственного интеллекта на Facebook, в основном включающей операции фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2. ClickFix может извлекать пользовательские файлы, собирать конфиденциальную информацию с помощью поддельных запросов пароля и компрометировать различные веб-браузеры и крипто-кошельки, включая Ledger Live и MetaMask. Злоумышленники демонстрируют организованность с помощью нескольких доменов, перенаправляющих на вредоносный контент, что указывает на стратегию максимального охвата их кампании.
-----
Кампания ClickFix по вредоносному ПО в настоящее время нацелена на пользователей macOS с помощью рекламы в Facebook, рекламирующей поддельные приложения с искусственным интеллектом. Эта кампания, в частности, сосредоточена вокруг двух основных операций фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2, используя их авторитет, чтобы заманить пользователей к загрузке вредоносного программного обеспечения.
Вредоносное ПО, идентифицированное как ClickFix, обладает целым рядом возможностей, которые представляют значительный риск для систем macOS. Он может находить и извлекать пользовательские файлы и документы, а также отображать мошеннические запросы на ввод пароля для сбора конфиденциальной информации. Кроме того, ClickFix нацелен на различные веб-браузеры для извлечения файлов cookie, учетных данных для входа в систему и дополнительных данных, эффективно компрометируя учетные записи пользователей. Примечательно, что он может заменить законные браузерные расширения для криптокошельков, такие как Ledger Live и Trezor Suite, вредоносными аналогами, что приведет к потенциальным финансовым потерям.
Функциональность вредоносного ПО распространяется на взлом широкого спектра криптокошельков, включая Exodus, Electrum и Monero, а также расширений браузера, связанных с популярными сервисами, такими как MetaMask и Coinbase Wallet. Кроме того, это может скомпрометировать Менеджеры паролей, такие как Bitwarden и LastPass, подрывая безопасность пользователей на нескольких платформах.
Расследование BitDefender показывает, что злоумышленники, стоящие за этой кампанией, зарегистрировали различные домены, и все они перенаправляют на один и тот же вредоносный контент, что свидетельствует о хорошо организованных усилиях по максимальному охвату и эффективности. Кампания использует рекламную систему Facebook, но, как ожидается, также распространится на другие платформы, такие как Instagram и Threads.
В то время как тактика киберпреступников постоянно развивается, ожидается, что такие угрозы, как ClickFix, в будущем будут адаптироваться и использовать аналогичные методы для выдачи себя за различные бренды и приложения. Пользователи могут повысить свою безопасность, оставаясь бдительными и понимая ландшафт угроз, связанных с атаками ClickFix, тем самым снижая риск стать жертвой подобных мошенничеств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix вредоносного ПО нацелена на пользователей macOS с помощью вводящей в заблуждение рекламы поддельных приложений искусственного интеллекта на Facebook, в основном включающей операции фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2. ClickFix может извлекать пользовательские файлы, собирать конфиденциальную информацию с помощью поддельных запросов пароля и компрометировать различные веб-браузеры и крипто-кошельки, включая Ledger Live и MetaMask. Злоумышленники демонстрируют организованность с помощью нескольких доменов, перенаправляющих на вредоносный контент, что указывает на стратегию максимального охвата их кампании.
-----
Кампания ClickFix по вредоносному ПО в настоящее время нацелена на пользователей macOS с помощью рекламы в Facebook, рекламирующей поддельные приложения с искусственным интеллектом. Эта кампания, в частности, сосредоточена вокруг двух основных операций фишинга, которые выдают себя за законные платформы, такие как TradingView и Sora 2, используя их авторитет, чтобы заманить пользователей к загрузке вредоносного программного обеспечения.
Вредоносное ПО, идентифицированное как ClickFix, обладает целым рядом возможностей, которые представляют значительный риск для систем macOS. Он может находить и извлекать пользовательские файлы и документы, а также отображать мошеннические запросы на ввод пароля для сбора конфиденциальной информации. Кроме того, ClickFix нацелен на различные веб-браузеры для извлечения файлов cookie, учетных данных для входа в систему и дополнительных данных, эффективно компрометируя учетные записи пользователей. Примечательно, что он может заменить законные браузерные расширения для криптокошельков, такие как Ledger Live и Trezor Suite, вредоносными аналогами, что приведет к потенциальным финансовым потерям.
Функциональность вредоносного ПО распространяется на взлом широкого спектра криптокошельков, включая Exodus, Electrum и Monero, а также расширений браузера, связанных с популярными сервисами, такими как MetaMask и Coinbase Wallet. Кроме того, это может скомпрометировать Менеджеры паролей, такие как Bitwarden и LastPass, подрывая безопасность пользователей на нескольких платформах.
Расследование BitDefender показывает, что злоумышленники, стоящие за этой кампанией, зарегистрировали различные домены, и все они перенаправляют на один и тот же вредоносный контент, что свидетельствует о хорошо организованных усилиях по максимальному охвату и эффективности. Кампания использует рекламную систему Facebook, но, как ожидается, также распространится на другие платформы, такие как Instagram и Threads.
В то время как тактика киберпреступников постоянно развивается, ожидается, что такие угрозы, как ClickFix, в будущем будут адаптироваться и использовать аналогичные методы для выдачи себя за различные бренды и приложения. Пользователи могут повысить свою безопасность, оставаясь бдительными и понимая ландшафт угроз, связанных с атаками ClickFix, тем самым снижая риск стать жертвой подобных мошенничеств.
#ParsedReport #CompletenessLow
22-11-2025
Analysis of suspected APT-C-26 (Lazarus) group's attack operation using remote IT to deploy monitoring programs in disguise
https://www.ctfiot.com/283366.html
Report completeness: Low
Actors/Campaigns:
Lazarus
Industry:
Financial
Geo:
Asia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1021.001, T1078, T1113
IOCs:
Hash: 13
File: 6
Path: 1
Soft:
Windows Shell, Windows Defender, Windows Firewall, Windows Update service, Windows service, WeChat
Algorithms:
xor, md5
Win API:
DllRegisterServer, SHChangeNotify, DllUnregisterServer
22-11-2025
Analysis of suspected APT-C-26 (Lazarus) group's attack operation using remote IT to deploy monitoring programs in disguise
https://www.ctfiot.com/283366.html
Report completeness: Low
Actors/Campaigns:
Lazarus
Industry:
Financial
Geo:
Asia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1021.001, T1078, T1113
IOCs:
Hash: 13
File: 6
Path: 1
Soft:
Windows Shell, Windows Defender, Windows Firewall, Windows Update service, Windows service, WeChat
Algorithms:
xor, md5
Win API:
DllRegisterServer, SHChangeNotify, DllUnregisterServer
CTF导航
疑似APT-C-26(Lazarus)组织利用远程IT伪装部署监控程序的攻击行动分析 | CTF导航
APT-C-26LazarusAPT-C-26(Lazarus)组织是一个高度活跃的APT组织。该组织除了对金融机构和加密货币交易所感兴趣外,也对全球的政府机构、航空航天、军工等不同行业开展攻击活动,主要目的是获取资金和窃取敏感信...
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2025 Analysis of suspected APT-C-26 (Lazarus) group's attack operation using remote IT to deploy monitoring programs in disguise https://www.ctfiot.com/283366.html Report completeness: Low Actors/Campaigns: Lazarus…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа APT-C-26, известная как Lazarus, использует сложные удаленные ИТ-стратегии для развертывания пользовательского программного обеспечения для мониторинга, которое обеспечивает полный удаленный контроль над скомпрометированными сетями. Они проникают в организации, выдавая себя за законных ИТ-специалистов, что позволяет им незаметно извлекать конфиденциальную информацию. Этот метод не только угрожает безопасности данных, но и предоставляет группе стратегическую информацию для будущих кибератак, высвечивая меняющийся ландшафт киберугроз.
-----
В анализе подробно описана деятельность группы APT-C-26, широко известной как Lazarus, которая, как было замечено, использовала сложные удаленные ИТ-стратегии для развертывания индивидуальных программ мониторинга. Это конкретное программное обеспечение для мониторинга разработано для обеспечения полного удаленного управления рабочим столом, позволяя операторам поддерживать скрытый доступ к скомпрометированным сетям. Группа обычно привлекает отдельных лиц в качестве удаленного ИТ-персонала, который после интеграции в целевую организацию использует эти инструменты мониторинга для извлечения конфиденциальных данных без каких-либо предупреждений.
Операционная методология APT-C-26 подчеркивает значительную угрозу безопасности корпоративных данных. Проникая в организации под видом законной ИТ-поддержки, они получают возможность незаметно собирать ценную информацию. Такая тактика не только ставит под угрозу непосредственную безопасность данных пострадавших организаций, но также может помочь группе в организации более масштабных операций по кибератакам в будущем путем накопления стратегической информации и ресурсов. Продолжающееся использование таких скрытых методов указывает на эволюционирующий ландшафт киберугроз, где злоумышленники, такие как Lazarus, все чаще используют возможности удаленного доступа для достижения своих вредоносных целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа APT-C-26, известная как Lazarus, использует сложные удаленные ИТ-стратегии для развертывания пользовательского программного обеспечения для мониторинга, которое обеспечивает полный удаленный контроль над скомпрометированными сетями. Они проникают в организации, выдавая себя за законных ИТ-специалистов, что позволяет им незаметно извлекать конфиденциальную информацию. Этот метод не только угрожает безопасности данных, но и предоставляет группе стратегическую информацию для будущих кибератак, высвечивая меняющийся ландшафт киберугроз.
-----
В анализе подробно описана деятельность группы APT-C-26, широко известной как Lazarus, которая, как было замечено, использовала сложные удаленные ИТ-стратегии для развертывания индивидуальных программ мониторинга. Это конкретное программное обеспечение для мониторинга разработано для обеспечения полного удаленного управления рабочим столом, позволяя операторам поддерживать скрытый доступ к скомпрометированным сетям. Группа обычно привлекает отдельных лиц в качестве удаленного ИТ-персонала, который после интеграции в целевую организацию использует эти инструменты мониторинга для извлечения конфиденциальных данных без каких-либо предупреждений.
Операционная методология APT-C-26 подчеркивает значительную угрозу безопасности корпоративных данных. Проникая в организации под видом законной ИТ-поддержки, они получают возможность незаметно собирать ценную информацию. Такая тактика не только ставит под угрозу непосредственную безопасность данных пострадавших организаций, но также может помочь группе в организации более масштабных операций по кибератакам в будущем путем накопления стратегической информации и ресурсов. Продолжающееся использование таких скрытых методов указывает на эволюционирующий ландшафт киберугроз, где злоумышленники, такие как Lazarus, все чаще используют возможности удаленного доступа для достижения своих вредоносных целей.
#ParsedReport #CompletenessMedium
21-11-2025
EtherHiding: Fake CAPTCHAs, Click-Fix Lures, and Blockchain-Backed Payload Delivery
https://censys.com/blog/etherhiding-fake-captchas-click-fix-lures-blockchain-backed-payload-delivery
Report completeness: Medium
Threats:
Etherhiding_technique
Clickfix_technique
Credential_harvesting_technique
Amos_stealer
Vidar_stealer
Socgholish_loader
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1041, T1053.005, T1059.002, T1059.004, T1059.007, T1071.001, T1082, T1102.003, T1105, have more...
IOCs:
Coin: 4
File: 3
IP: 1
Url: 3
Domain: 2
Soft:
macOS, Telegram, Steam, curl
Wallets:
mainnet
Crypto:
binance
Algorithms:
base64, exhibit
Functions:
load_, authAndSync, getPassword, listenCommands, taskData, setDomain, RPC
Languages:
applescript, javascript, php
Links:
21-11-2025
EtherHiding: Fake CAPTCHAs, Click-Fix Lures, and Blockchain-Backed Payload Delivery
https://censys.com/blog/etherhiding-fake-captchas-click-fix-lures-blockchain-backed-payload-delivery
Report completeness: Medium
Threats:
Etherhiding_technique
Clickfix_technique
Credential_harvesting_technique
Amos_stealer
Vidar_stealer
Socgholish_loader
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1053.005, T1059.002, T1059.004, T1059.007, T1071.001, T1082, T1102.003, T1105, have more...
IOCs:
Coin: 4
File: 3
IP: 1
Url: 3
Domain: 2
Soft:
macOS, Telegram, Steam, curl
Wallets:
mainnet
Crypto:
binance
Algorithms:
base64, exhibit
Functions:
load_, authAndSync, getPassword, listenCommands, taskData, setDomain, RPC
Languages:
applescript, javascript, php
Links:
https://github.com/ethers-io/ethers.jsCensys
EtherHiding: Fake CAPTCHAs, Click-Fix Lures, and Blockchain-Backed Payload Delivery
EtherHiding represents a shift in how web-based attacks deliver malware. Learn how EtherHiding blends Fake CAPTCHAs, Click-Fix lures, and blockchain staging.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2025 EtherHiding: Fake CAPTCHAs, Click-Fix Lures, and Blockchain-Backed Payload Delivery https://censys.com/blog/etherhiding-fake-captchas-click-fix-lures-blockchain-backed-payload-delivery Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EtherHiding представляет собой новый метод доставки вредоносного ПО, использующий смарт-контракты в тестовой сети Binance Smart Chain для динамического управления полезной нагрузкой. Атака использует вредоносную полезную нагрузку JavaScript, замаскированную под reCAPTCHA, для доставки специфичного для ОС вредоносного ПО на основе обнаружения жертвы, используя манипуляции с буфером обмена для выполнения команд. Он сочетает в себе сбор учетных записей с децентрализованной инфраструктурой, что усложняет усилия по обнаружению и реагированию на возникающие киберугрозы.
-----
EtherHiding использует смарт-контракты в тестовой сети Binance Smart Chain для доставки вредоносного ПО через Интернет. Атака использует веб-внедрение вредоносной полезной нагрузки JavaScript, замаскированной под reCAPTCHA. Исходная полезная нагрузка - это закодированный в Base64 большой двоичный объект JavaScript, который создает запросы JSON-RPC с использованием библиотеки Ethers. Первый контакт осуществляется с помощью определенного смарт-контракта, возвращающего ответ в шестнадцатеричном коде, который декодируется в исполняемый JavaScript. Скрипт проверяет, автоматизирован ли браузер жертвы, и останавливает атаку при обнаружении безголовой автоматизации. Если проверки проходят успешно, он перенаправляется на смарт-контракт, специфичный для конкретной ОС, настраивая доставку вредоносного ПО в зависимости от операционной системы жертвы (Windows или macOS). Злоумышленники могут удаленно управлять флагом доставки с помощью блокчейн-транзакций, позволяя выборочно активировать или деактивировать его для конкретных жертв. Атака продвигается путем извлечения специфичного для операционной системы JavaScript, при этом жертвам вводится поддельная капча, запрашивающая заполнение буфера обмена вредоносными командами. В macOS вредоносное ПО устанавливается через терминал, в то время как Windows выполняет команды через диалоговое окно Запуска. Этот метод позволяет обойти многие меры безопасности, перекладывая ответственность за выполнение на пользователя. Вредоносное ПО собирает данные, относящиеся к конкретным пользователям, такие как имена пользователей и UUID-коды Аппаратного обеспечения, для сбора учетных записей и профилирования хоста. Конфиденциальные данные отправляются на командные серверы, которые динамически обрабатываются с помощью Социальных сетей. EtherHiding отражает эволюцию методов доставки вредоносного ПО, использующих децентрализованную инфраструктуру для уклонения от традиционного обнаружения и уделяющих особое внимание тактике социальной инженерии с помощью поддельных капч и манипуляций с буфером обмена.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EtherHiding представляет собой новый метод доставки вредоносного ПО, использующий смарт-контракты в тестовой сети Binance Smart Chain для динамического управления полезной нагрузкой. Атака использует вредоносную полезную нагрузку JavaScript, замаскированную под reCAPTCHA, для доставки специфичного для ОС вредоносного ПО на основе обнаружения жертвы, используя манипуляции с буфером обмена для выполнения команд. Он сочетает в себе сбор учетных записей с децентрализованной инфраструктурой, что усложняет усилия по обнаружению и реагированию на возникающие киберугрозы.
-----
EtherHiding использует смарт-контракты в тестовой сети Binance Smart Chain для доставки вредоносного ПО через Интернет. Атака использует веб-внедрение вредоносной полезной нагрузки JavaScript, замаскированной под reCAPTCHA. Исходная полезная нагрузка - это закодированный в Base64 большой двоичный объект JavaScript, который создает запросы JSON-RPC с использованием библиотеки Ethers. Первый контакт осуществляется с помощью определенного смарт-контракта, возвращающего ответ в шестнадцатеричном коде, который декодируется в исполняемый JavaScript. Скрипт проверяет, автоматизирован ли браузер жертвы, и останавливает атаку при обнаружении безголовой автоматизации. Если проверки проходят успешно, он перенаправляется на смарт-контракт, специфичный для конкретной ОС, настраивая доставку вредоносного ПО в зависимости от операционной системы жертвы (Windows или macOS). Злоумышленники могут удаленно управлять флагом доставки с помощью блокчейн-транзакций, позволяя выборочно активировать или деактивировать его для конкретных жертв. Атака продвигается путем извлечения специфичного для операционной системы JavaScript, при этом жертвам вводится поддельная капча, запрашивающая заполнение буфера обмена вредоносными командами. В macOS вредоносное ПО устанавливается через терминал, в то время как Windows выполняет команды через диалоговое окно Запуска. Этот метод позволяет обойти многие меры безопасности, перекладывая ответственность за выполнение на пользователя. Вредоносное ПО собирает данные, относящиеся к конкретным пользователям, такие как имена пользователей и UUID-коды Аппаратного обеспечения, для сбора учетных записей и профилирования хоста. Конфиденциальные данные отправляются на командные серверы, которые динамически обрабатываются с помощью Социальных сетей. EtherHiding отражает эволюцию методов доставки вредоносного ПО, использующих децентрализованную инфраструктуру для уклонения от традиционного обнаружения и уделяющих особое внимание тактике социальной инженерии с помощью поддельных капч и манипуляций с буфером обмена.
#ParsedReport #CompletenessLow
21-11-2025
Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds
https://permiso.io/blog/gainsight-breach-investigation-another-salesloft-style-attack-unfolds
Report completeness: Low
Actors/Campaigns:
Gainsight_breach (motivation: information_theft)
Salesloft_breach
Shinyhunters
Threats:
Supply_chain_technique
Victims:
Salesforce customers, Gainsight users, Integration providers
ChatGPT TTPs:
T1528
Soft:
Salesforce, SalesLoft Drift
Functions:
Query
Languages:
python, swift
Platforms:
apple
21-11-2025
Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds
https://permiso.io/blog/gainsight-breach-investigation-another-salesloft-style-attack-unfolds
Report completeness: Low
Actors/Campaigns:
Gainsight_breach (motivation: information_theft)
Salesloft_breach
Shinyhunters
Threats:
Supply_chain_technique
Victims:
Salesforce customers, Gainsight users, Integration providers
ChatGPT TTPs:
do not use without manual checkT1528
Soft:
Salesforce, SalesLoft Drift
Functions:
Query
Languages:
python, swift
Platforms:
apple
permiso.io
Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds
Salesforce says it saw unusual activity from a Gainsight app and revoked access. We don’t have technical details yet. In this blog, we cover what’s confirmed, what’s speculation, how this differs from SalesLoft, and the immediate hunts you can run while we…
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2025 Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds https://permiso.io/blog/gainsight-breach-investigation-another-salesloft-style-attack-unfolds Report completeness: Low Actors/Campaigns: Gainsight_breach…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
19 ноября Salesforce выявила необычную активность, связанную с Gainsight, что привело к отзыву всех токенов доступа к приложению. Этот инцидент совпадает с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники использовали учетные данные OAuth для несанкционированного доступа к Salesforce, что указывает на тенденцию нацеливания на сторонние интеграции для получения широкого доступа к системе. Хотя конкретные технические детали остаются нераскрытыми, методы обнаружения аномалий признаны важными для выявления подозрительных действий, связанных с этими интеграциями.
-----
19 ноября Salesforce предупредила клиентов о необычной активности, связанной с Gainsight, приложением, интегрированным с их CRM-платформой. В качестве меры предосторожности Salesforce немедленно отозвала все токены доступа, связанные с Gainsight. Этот инцидент имеет сходство с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники скомпрометировали инфраструктуру, похитив учетные данные OAuth, что облегчило несанкционированный доступ к экземплярам Salesforce. Этот доступ позволил злоумышленникам очистить данные обращения и извлечь другие учетные данные.
Хотя Salesforce и Gainsight не раскрыли конкретных технических деталей или признаков компрометации, в этих атаках прослеживается наметившаяся закономерность. Ориентируясь на сторонних поставщиков интеграции, таких как Gainsight и SalesLoft, злоумышленники могут получить доступ к многочисленным экземплярам Salesforce за один раз, поскольку каждый пользователь обычно авторизует свой собственный токен OAuth, предоставляя ряд разрешений. Эта стратегия подчеркивает эффективность компрометации единственного поставщика интеграции, а не нацеливания на отдельные организации.
В ходе расследования данные телеметрии показали, что законные соединения между Gainsight и Salesforce постоянно поступают с IP-адресов AWS, что позволяет предположить, что эти соединения могут исходить от таких сервисов, как AWS Lambda. Обычные операции включают вызовы API, согласованные с документированным поведением, а не с неожиданными аномалиями. Этот метод определения типичных действий имеет решающее значение для выявления потенциальных угроз.
Отсутствие конкретных индикаторов и IOC для текущего инцидента затрудняет прямое обнаружение, но признается, что механизмы обнаружения аномалий могут быть полезны для выявления подозрительных действий, связанных с Gainsight, в контексте Salesforce. Существующие стратегии обнаружения, разработанные в результате взлома SalesLoft, также могут помочь в выявлении кражи данных или в проведении разведки, если используется аналогичный вектор атаки.
По мере продвижения расследования продолжается мониторинг работы Gainsight и Salesforce, в связи с чем ожидается получение дополнительной технической информации, которая может послужить руководством для принятия превентивных мер в будущем. Инцидент подчеркивает важность надежной регистрации и мониторинга для предотвращения влияния подобных нарушений на данные клиентов и средства контроля доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
19 ноября Salesforce выявила необычную активность, связанную с Gainsight, что привело к отзыву всех токенов доступа к приложению. Этот инцидент совпадает с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники использовали учетные данные OAuth для несанкционированного доступа к Salesforce, что указывает на тенденцию нацеливания на сторонние интеграции для получения широкого доступа к системе. Хотя конкретные технические детали остаются нераскрытыми, методы обнаружения аномалий признаны важными для выявления подозрительных действий, связанных с этими интеграциями.
-----
19 ноября Salesforce предупредила клиентов о необычной активности, связанной с Gainsight, приложением, интегрированным с их CRM-платформой. В качестве меры предосторожности Salesforce немедленно отозвала все токены доступа, связанные с Gainsight. Этот инцидент имеет сходство с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники скомпрометировали инфраструктуру, похитив учетные данные OAuth, что облегчило несанкционированный доступ к экземплярам Salesforce. Этот доступ позволил злоумышленникам очистить данные обращения и извлечь другие учетные данные.
Хотя Salesforce и Gainsight не раскрыли конкретных технических деталей или признаков компрометации, в этих атаках прослеживается наметившаяся закономерность. Ориентируясь на сторонних поставщиков интеграции, таких как Gainsight и SalesLoft, злоумышленники могут получить доступ к многочисленным экземплярам Salesforce за один раз, поскольку каждый пользователь обычно авторизует свой собственный токен OAuth, предоставляя ряд разрешений. Эта стратегия подчеркивает эффективность компрометации единственного поставщика интеграции, а не нацеливания на отдельные организации.
В ходе расследования данные телеметрии показали, что законные соединения между Gainsight и Salesforce постоянно поступают с IP-адресов AWS, что позволяет предположить, что эти соединения могут исходить от таких сервисов, как AWS Lambda. Обычные операции включают вызовы API, согласованные с документированным поведением, а не с неожиданными аномалиями. Этот метод определения типичных действий имеет решающее значение для выявления потенциальных угроз.
Отсутствие конкретных индикаторов и IOC для текущего инцидента затрудняет прямое обнаружение, но признается, что механизмы обнаружения аномалий могут быть полезны для выявления подозрительных действий, связанных с Gainsight, в контексте Salesforce. Существующие стратегии обнаружения, разработанные в результате взлома SalesLoft, также могут помочь в выявлении кражи данных или в проведении разведки, если используется аналогичный вектор атаки.
По мере продвижения расследования продолжается мониторинг работы Gainsight и Salesforce, в связи с чем ожидается получение дополнительной технической информации, которая может послужить руководством для принятия превентивных мер в будущем. Инцидент подчеркивает важность надежной регистрации и мониторинга для предотвращения влияния подобных нарушений на данные клиентов и средства контроля доступа.
#ParsedReport #CompletenessHigh
21-11-2025
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets
https://dti.domaintools.com/threat-intelligence-report-apt35-internal-leak-of-hacking-campaigns-against-lebanon-kuwait-turkey-saudi-arabia-korea-and-domestic-iranian-targets/
Report completeness: High
Actors/Campaigns:
Charming_kitten (motivation: disinformation, information_theft, cyber_criminal, propaganda, cyber_espionage)
Irgc (motivation: cyber_espionage, propaganda)
Apt42
Oilrig
Muddywater
Abbas (motivation: cyber_espionage)
Threats:
Proxyshell_vuln
Credential_harvesting_technique
Mimikatz_tool
Thaqib_rat
Supply_chain_technique
Proxylogon_exploit
Masscan_tool
Aitm_technique
Cobalt_strike_tool
Dns_tunneling_technique
Rat-2ac2
Reverserdp_technique
Victims:
Government, Diplomatic, Telecommunications, Aviation, Intelligence, Customs agencies, Energy firms, Hospitals, Managed service providers, Food and manufacturing supply chains, have more...
Industry:
Logistic, Telco, Aerospace, Critical_infrastructure, Government, Foodtech, Petroleum, Military, Ngo, Energy, Education
Geo:
China, Israel, Iran, Saudi, Cyprus, Jordan, Qatar, Singapore, Korea, Kuwait, Iranian, Asia, Turkey, Afghanistan, Israeli, Yemen, Saudi arabia, Middle east, Turkish, Egypt, Tehran, Iraq, Syria, Lebanon
CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 17
Domain: 6
IP: 8
Path: 3
Command: 1
Soft:
Ivanti, curl, aegis, Microsoft Exchange, PyInstaller, Dropbox, ProtonDrive, Telegram, Windows service, ASP.NET, have more...
Algorithms:
7zip
Functions:
TaskClient
Languages:
python, java, powershell
Platforms:
intel, arm
21-11-2025
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets
https://dti.domaintools.com/threat-intelligence-report-apt35-internal-leak-of-hacking-campaigns-against-lebanon-kuwait-turkey-saudi-arabia-korea-and-domestic-iranian-targets/
Report completeness: High
Actors/Campaigns:
Charming_kitten (motivation: disinformation, information_theft, cyber_criminal, propaganda, cyber_espionage)
Irgc (motivation: cyber_espionage, propaganda)
Apt42
Oilrig
Muddywater
Abbas (motivation: cyber_espionage)
Threats:
Proxyshell_vuln
Credential_harvesting_technique
Mimikatz_tool
Thaqib_rat
Supply_chain_technique
Proxylogon_exploit
Masscan_tool
Aitm_technique
Cobalt_strike_tool
Dns_tunneling_technique
Rat-2ac2
Reverserdp_technique
Victims:
Government, Diplomatic, Telecommunications, Aviation, Intelligence, Customs agencies, Energy firms, Hospitals, Managed service providers, Food and manufacturing supply chains, have more...
Industry:
Logistic, Telco, Aerospace, Critical_infrastructure, Government, Foodtech, Petroleum, Military, Ngo, Energy, Education
Geo:
China, Israel, Iran, Saudi, Cyprus, Jordan, Qatar, Singapore, Korea, Kuwait, Iranian, Asia, Turkey, Afghanistan, Israeli, Yemen, Saudi arabia, Middle east, Turkish, Egypt, Tehran, Iraq, Syria, Lebanon
CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 17
Domain: 6
IP: 8
Path: 3
Command: 1
Soft:
Ivanti, curl, aegis, Microsoft Exchange, PyInstaller, Dropbox, ProtonDrive, Telegram, Windows service, ASP.NET, have more...
Algorithms:
7zip
Functions:
TaskClient
Languages:
python, java, powershell
Platforms:
intel, arm
DomainTools Investigations | DTI
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and…
Unmasking APT35 (Charming Kitten). New report analyzes leaked internal documents, revealing their operational profile, Exchange attack chains (ProxyShell, EWS), and quota-driven compromise strategies.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-11-2025 Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets https://dti.domaintools.com/threat-intelligence-report-apt35…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Утечка внутренних документов APT35, иранского государственного злоумышленника, выявила их структурированные кибероперации, нацеленные на такие страны, как Ливан и Южная Корея, наряду с внутренними иранскими целями. Технический анализ выявил использование ими изощренной тактики, такой как использование серверов Microsoft Exchange через ProxyShell, методы сбора учетных записей и троян удаленного доступа (RAT-2Ac2) для закрепления. Операции отражали дисциплинированную иерархическую структуру, ориентированную на детальную разведку, целенаправленное использование и сбор стратегической разведывательной информации.
-----
APT35, также известный как Charming Kitten, проводил систематические кибероперации, нацеленные на такие страны, как Ливан, Кувейт, Турция, Саудовская Аравия и Южная Корея, наряду с внутренними целями Ирана. Группировка действует под эгидой разведывательной организации Корпуса стражей Исламской революции (IO IRGC).
Утечка документов раскрывает использование сложной тактики, включая дампы LSASS, содержащие учетные данные в виде открытого текста и хэши NTLM для использования. В APT35 использовались методы удаленного доступа, такие как RDP-зонды и сбор учетных записей.
Выявленные методы эксплуатации включают атаки ProxyShell на серверы Microsoft Exchange. Организация имеет иерархическую структуру командования, а контроль за персоналом осуществляется с помощью ключевых показателей эффективности (KPI).
Среди ключевых сотрудников - Abbas Rahrovi, который руководил подставными компаниями для поддержки операций по кибершпионажу в подразделении 50 КСИР, уделяя особое внимание как наступательным кибероперациям, так и психологическим операциям.
APT35 сочетал обширную разведку с целенаправленной эксплуатацией ценных объектов, создавая списки приоритетных объектов для конкретных геополитических целей. Их оперативные стратегии были направлены на сбор разведывательной информации о государственных структурах и объектах инфраструктуры, одновременно расширяя возможности сбора учетных записей из коммерческих секторов.
Их инструментарий включал ориентированный на Windows троян удаленного доступа (RAT-2Ac2) для закрепления и сбора данных, поддерживаемый облегченными клиентскими инструментами для управления скомпрометированными системами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Утечка внутренних документов APT35, иранского государственного злоумышленника, выявила их структурированные кибероперации, нацеленные на такие страны, как Ливан и Южная Корея, наряду с внутренними иранскими целями. Технический анализ выявил использование ими изощренной тактики, такой как использование серверов Microsoft Exchange через ProxyShell, методы сбора учетных записей и троян удаленного доступа (RAT-2Ac2) для закрепления. Операции отражали дисциплинированную иерархическую структуру, ориентированную на детальную разведку, целенаправленное использование и сбор стратегической разведывательной информации.
-----
APT35, также известный как Charming Kitten, проводил систематические кибероперации, нацеленные на такие страны, как Ливан, Кувейт, Турция, Саудовская Аравия и Южная Корея, наряду с внутренними целями Ирана. Группировка действует под эгидой разведывательной организации Корпуса стражей Исламской революции (IO IRGC).
Утечка документов раскрывает использование сложной тактики, включая дампы LSASS, содержащие учетные данные в виде открытого текста и хэши NTLM для использования. В APT35 использовались методы удаленного доступа, такие как RDP-зонды и сбор учетных записей.
Выявленные методы эксплуатации включают атаки ProxyShell на серверы Microsoft Exchange. Организация имеет иерархическую структуру командования, а контроль за персоналом осуществляется с помощью ключевых показателей эффективности (KPI).
Среди ключевых сотрудников - Abbas Rahrovi, который руководил подставными компаниями для поддержки операций по кибершпионажу в подразделении 50 КСИР, уделяя особое внимание как наступательным кибероперациям, так и психологическим операциям.
APT35 сочетал обширную разведку с целенаправленной эксплуатацией ценных объектов, создавая списки приоритетных объектов для конкретных геополитических целей. Их оперативные стратегии были направлены на сбор разведывательной информации о государственных структурах и объектах инфраструктуры, одновременно расширяя возможности сбора учетных записей из коммерческих секторов.
Их инструментарий включал ориентированный на Windows троян удаленного доступа (RAT-2Ac2) для закрепления и сбора данных, поддерживаемый облегченными клиентскими инструментами для управления скомпрометированными системами.
#ParsedReport #CompletenessMedium
22-11-2025
WhatsApp compromise leads to Astaroth deployment
https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/
Report completeness: Medium
Actors/Campaigns:
Stac3150
Threats:
Astaroth
Maverick
Victims:
Whatsapp users
Industry:
Financial
Geo:
Brazil, Austria, Latin american
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1105, T1204.002, T1566.003
IOCs:
File: 1
Domain: 8
Url: 2
Soft:
WhatsApp, Selenium Chrome
Algorithms:
zip
Languages:
autoit, python, powershell, javascript
22-11-2025
WhatsApp compromise leads to Astaroth deployment
https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/
Report completeness: Medium
Actors/Campaigns:
Stac3150
Threats:
Astaroth
Maverick
Victims:
Whatsapp users
Industry:
Financial
Geo:
Brazil, Austria, Latin american
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1105, T1204.002, T1566.003
IOCs:
File: 1
Domain: 8
Url: 2
Soft:
WhatsApp, Selenium Chrome
Algorithms:
zip
Languages:
autoit, python, powershell, javascript
Sophos
WhatsApp compromise leads to Astaroth deployment
Another campaign targeting WhatsApp users in Brazil spreads like a worm and employs multiple payloads for credential theft, session hijacking, and persistence
CTT Report Hub
#ParsedReport #CompletenessMedium 22-11-2025 WhatsApp compromise leads to Astaroth deployment https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/ Report completeness: Medium Actors/Campaigns: Stac3150 Threats: Astaroth…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания STAC3150 нацелена на пользователей WhatsApp в Бразилии посредством многоэтапного распространения вредоносного ПО, использующего вредоносное ПО Astaroth, которое выполняется путем отправки сообщений с архивными вложениями, содержащими сценарий загрузки, который извлекает вторичную полезную нагрузку. Кроме того, была выявлена еще одна кампания, использующая банковский троянец Maverick для кражи учетных данных. Атаки в первую очередь затронули более 250 пользователей в Бразилии, что свидетельствует о растущем использовании тактики социальной инженерии с помощью надежных платформ обмена сообщениями.
-----
Недавняя хакерская кАмпания, отслеживаемая как STAC3150, нацеленная на пользователей WhatsApp в Бразилии, впервые была обнаружена 24 сентября 2025 года. Эта постоянная, многоэтапная попытка распространения вредоносного ПО использует платформу обмена сообщениями для компрометации систем с помощью развертываемого вредоносного ПО, известного как Astaroth. Начальная фаза атаки включает отправку сообщений, содержащих архивные вложения, в которых содержится скрипт загрузчика. Этот скрипт отвечает за извлечение множества вторичных полезных данных, эффективно облегчая внедрение вредоносного ПО Astaroth в систему жертвы.
В ходе отдельного расследования исследователи Counter Threat Unit (CTU) выявили другую кампанию, также нацеленную на бразильских пользователей WhatsApp, использующую платформу для развертывания банковского трояна Maverick, который в первую очередь нацелен на кражу учетных данных. Способ действия кампании STAC3150 начинается с первоначального сообщения, отправленного через WhatsApp с использованием функции "Просмотреть один раз", тем самым пытаясь избежать обнаружения и повысить вероятность вовлечения пользователя.
Анализ жертв, проведенный Sophos, показывает, что эта атака оказала воздействие на более чем 250 клиентов, преимущественно в Бразилии, где было расположено около 95% скомпрометированных устройств. Остальные пораженные устройства разбросаны по другим странам Латинской Америки, Соединенным Штатам и Австрии, что подчеркивает региональный масштаб угрозы. Эта кампания знаменует собой заметную тенденцию в области киберугроз, когда злоумышленники используют методы социальной инженерии через надежные коммуникационные платформы для реализации своих вредоносных планов. Последствия подчеркивают необходимость повышения осведомленности и бдительности пользователей популярных приложений для обмена сообщениями для снижения рисков, связанных с такими изощренными атаками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания STAC3150 нацелена на пользователей WhatsApp в Бразилии посредством многоэтапного распространения вредоносного ПО, использующего вредоносное ПО Astaroth, которое выполняется путем отправки сообщений с архивными вложениями, содержащими сценарий загрузки, который извлекает вторичную полезную нагрузку. Кроме того, была выявлена еще одна кампания, использующая банковский троянец Maverick для кражи учетных данных. Атаки в первую очередь затронули более 250 пользователей в Бразилии, что свидетельствует о растущем использовании тактики социальной инженерии с помощью надежных платформ обмена сообщениями.
-----
Недавняя хакерская кАмпания, отслеживаемая как STAC3150, нацеленная на пользователей WhatsApp в Бразилии, впервые была обнаружена 24 сентября 2025 года. Эта постоянная, многоэтапная попытка распространения вредоносного ПО использует платформу обмена сообщениями для компрометации систем с помощью развертываемого вредоносного ПО, известного как Astaroth. Начальная фаза атаки включает отправку сообщений, содержащих архивные вложения, в которых содержится скрипт загрузчика. Этот скрипт отвечает за извлечение множества вторичных полезных данных, эффективно облегчая внедрение вредоносного ПО Astaroth в систему жертвы.
В ходе отдельного расследования исследователи Counter Threat Unit (CTU) выявили другую кампанию, также нацеленную на бразильских пользователей WhatsApp, использующую платформу для развертывания банковского трояна Maverick, который в первую очередь нацелен на кражу учетных данных. Способ действия кампании STAC3150 начинается с первоначального сообщения, отправленного через WhatsApp с использованием функции "Просмотреть один раз", тем самым пытаясь избежать обнаружения и повысить вероятность вовлечения пользователя.
Анализ жертв, проведенный Sophos, показывает, что эта атака оказала воздействие на более чем 250 клиентов, преимущественно в Бразилии, где было расположено около 95% скомпрометированных устройств. Остальные пораженные устройства разбросаны по другим странам Латинской Америки, Соединенным Штатам и Австрии, что подчеркивает региональный масштаб угрозы. Эта кампания знаменует собой заметную тенденцию в области киберугроз, когда злоумышленники используют методы социальной инженерии через надежные коммуникационные платформы для реализации своих вредоносных планов. Последствия подчеркивают необходимость повышения осведомленности и бдительности пользователей популярных приложений для обмена сообщениями для снижения рисков, связанных с такими изощренными атаками.
#ParsedReport #CompletenessHigh
18-11-2025
Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329)
https://cert.gov.ua/article/6286219
Report completeness: High
Threats:
Gamybear
Lazagne_tool
Resocks_tool
Victims:
Educational institution, Education sector, Eastern ukraine
Industry:
Government, Ics
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
T1021.004, T1027, T1036, T1059.001, T1059.003, T1059.007, T1090, T1105, T1204.002, T1218.005, have more...
IOCs:
Hash: 54
File: 20
Url: 14
IP: 4
Domain: 2
Path: 5
Command: 5
Registry: 2
Soft:
OPENSSH, curl, Gmail
Algorithms:
zip, base64
Languages:
cscript, powershell
18-11-2025
Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329)
https://cert.gov.ua/article/6286219
Report completeness: High
Threats:
Gamybear
Lazagne_tool
Resocks_tool
Victims:
Educational institution, Education sector, Eastern ukraine
Industry:
Government, Ics
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
do not use without manual checkT1021.004, T1027, T1036, T1059.001, T1059.003, T1059.007, T1090, T1105, T1204.002, T1218.005, have more...
IOCs:
Hash: 54
File: 20
Url: 14
IP: 4
Domain: 2
Path: 5
Command: 5
Registry: 2
Soft:
OPENSSH, curl, Gmail
Algorithms:
zip, base64
Languages:
cscript, powershell