CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2025 Gainsight Breach Investigation: Another SalesLoft-Style Attack Unfolds https://permiso.io/blog/gainsight-breach-investigation-another-salesloft-style-attack-unfolds Report completeness: Low Actors/Campaigns: Gainsight_breach…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
19 ноября Salesforce выявила необычную активность, связанную с Gainsight, что привело к отзыву всех токенов доступа к приложению. Этот инцидент совпадает с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники использовали учетные данные OAuth для несанкционированного доступа к Salesforce, что указывает на тенденцию нацеливания на сторонние интеграции для получения широкого доступа к системе. Хотя конкретные технические детали остаются нераскрытыми, методы обнаружения аномалий признаны важными для выявления подозрительных действий, связанных с этими интеграциями.
-----
19 ноября Salesforce предупредила клиентов о необычной активности, связанной с Gainsight, приложением, интегрированным с их CRM-платформой. В качестве меры предосторожности Salesforce немедленно отозвала все токены доступа, связанные с Gainsight. Этот инцидент имеет сходство с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники скомпрометировали инфраструктуру, похитив учетные данные OAuth, что облегчило несанкционированный доступ к экземплярам Salesforce. Этот доступ позволил злоумышленникам очистить данные обращения и извлечь другие учетные данные.
Хотя Salesforce и Gainsight не раскрыли конкретных технических деталей или признаков компрометации, в этих атаках прослеживается наметившаяся закономерность. Ориентируясь на сторонних поставщиков интеграции, таких как Gainsight и SalesLoft, злоумышленники могут получить доступ к многочисленным экземплярам Salesforce за один раз, поскольку каждый пользователь обычно авторизует свой собственный токен OAuth, предоставляя ряд разрешений. Эта стратегия подчеркивает эффективность компрометации единственного поставщика интеграции, а не нацеливания на отдельные организации.
В ходе расследования данные телеметрии показали, что законные соединения между Gainsight и Salesforce постоянно поступают с IP-адресов AWS, что позволяет предположить, что эти соединения могут исходить от таких сервисов, как AWS Lambda. Обычные операции включают вызовы API, согласованные с документированным поведением, а не с неожиданными аномалиями. Этот метод определения типичных действий имеет решающее значение для выявления потенциальных угроз.
Отсутствие конкретных индикаторов и IOC для текущего инцидента затрудняет прямое обнаружение, но признается, что механизмы обнаружения аномалий могут быть полезны для выявления подозрительных действий, связанных с Gainsight, в контексте Salesforce. Существующие стратегии обнаружения, разработанные в результате взлома SalesLoft, также могут помочь в выявлении кражи данных или в проведении разведки, если используется аналогичный вектор атаки.
По мере продвижения расследования продолжается мониторинг работы Gainsight и Salesforce, в связи с чем ожидается получение дополнительной технической информации, которая может послужить руководством для принятия превентивных мер в будущем. Инцидент подчеркивает важность надежной регистрации и мониторинга для предотвращения влияния подобных нарушений на данные клиентов и средства контроля доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
19 ноября Salesforce выявила необычную активность, связанную с Gainsight, что привело к отзыву всех токенов доступа к приложению. Этот инцидент совпадает с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники использовали учетные данные OAuth для несанкционированного доступа к Salesforce, что указывает на тенденцию нацеливания на сторонние интеграции для получения широкого доступа к системе. Хотя конкретные технические детали остаются нераскрытыми, методы обнаружения аномалий признаны важными для выявления подозрительных действий, связанных с этими интеграциями.
-----
19 ноября Salesforce предупредила клиентов о необычной активности, связанной с Gainsight, приложением, интегрированным с их CRM-платформой. В качестве меры предосторожности Salesforce немедленно отозвала все токены доступа, связанные с Gainsight. Этот инцидент имеет сходство с предыдущим нарушением, связанным с SalesLoft, когда злоумышленники скомпрометировали инфраструктуру, похитив учетные данные OAuth, что облегчило несанкционированный доступ к экземплярам Salesforce. Этот доступ позволил злоумышленникам очистить данные обращения и извлечь другие учетные данные.
Хотя Salesforce и Gainsight не раскрыли конкретных технических деталей или признаков компрометации, в этих атаках прослеживается наметившаяся закономерность. Ориентируясь на сторонних поставщиков интеграции, таких как Gainsight и SalesLoft, злоумышленники могут получить доступ к многочисленным экземплярам Salesforce за один раз, поскольку каждый пользователь обычно авторизует свой собственный токен OAuth, предоставляя ряд разрешений. Эта стратегия подчеркивает эффективность компрометации единственного поставщика интеграции, а не нацеливания на отдельные организации.
В ходе расследования данные телеметрии показали, что законные соединения между Gainsight и Salesforce постоянно поступают с IP-адресов AWS, что позволяет предположить, что эти соединения могут исходить от таких сервисов, как AWS Lambda. Обычные операции включают вызовы API, согласованные с документированным поведением, а не с неожиданными аномалиями. Этот метод определения типичных действий имеет решающее значение для выявления потенциальных угроз.
Отсутствие конкретных индикаторов и IOC для текущего инцидента затрудняет прямое обнаружение, но признается, что механизмы обнаружения аномалий могут быть полезны для выявления подозрительных действий, связанных с Gainsight, в контексте Salesforce. Существующие стратегии обнаружения, разработанные в результате взлома SalesLoft, также могут помочь в выявлении кражи данных или в проведении разведки, если используется аналогичный вектор атаки.
По мере продвижения расследования продолжается мониторинг работы Gainsight и Salesforce, в связи с чем ожидается получение дополнительной технической информации, которая может послужить руководством для принятия превентивных мер в будущем. Инцидент подчеркивает важность надежной регистрации и мониторинга для предотвращения влияния подобных нарушений на данные клиентов и средства контроля доступа.
#ParsedReport #CompletenessHigh
21-11-2025
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets
https://dti.domaintools.com/threat-intelligence-report-apt35-internal-leak-of-hacking-campaigns-against-lebanon-kuwait-turkey-saudi-arabia-korea-and-domestic-iranian-targets/
Report completeness: High
Actors/Campaigns:
Charming_kitten (motivation: disinformation, information_theft, cyber_criminal, propaganda, cyber_espionage)
Irgc (motivation: cyber_espionage, propaganda)
Apt42
Oilrig
Muddywater
Abbas (motivation: cyber_espionage)
Threats:
Proxyshell_vuln
Credential_harvesting_technique
Mimikatz_tool
Thaqib_rat
Supply_chain_technique
Proxylogon_exploit
Masscan_tool
Aitm_technique
Cobalt_strike_tool
Dns_tunneling_technique
Rat-2ac2
Reverserdp_technique
Victims:
Government, Diplomatic, Telecommunications, Aviation, Intelligence, Customs agencies, Energy firms, Hospitals, Managed service providers, Food and manufacturing supply chains, have more...
Industry:
Logistic, Telco, Aerospace, Critical_infrastructure, Government, Foodtech, Petroleum, Military, Ngo, Energy, Education
Geo:
China, Israel, Iran, Saudi, Cyprus, Jordan, Qatar, Singapore, Korea, Kuwait, Iranian, Asia, Turkey, Afghanistan, Israeli, Yemen, Saudi arabia, Middle east, Turkish, Egypt, Tehran, Iraq, Syria, Lebanon
CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 17
Domain: 6
IP: 8
Path: 3
Command: 1
Soft:
Ivanti, curl, aegis, Microsoft Exchange, PyInstaller, Dropbox, ProtonDrive, Telegram, Windows service, ASP.NET, have more...
Algorithms:
7zip
Functions:
TaskClient
Languages:
python, java, powershell
Platforms:
intel, arm
21-11-2025
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets
https://dti.domaintools.com/threat-intelligence-report-apt35-internal-leak-of-hacking-campaigns-against-lebanon-kuwait-turkey-saudi-arabia-korea-and-domestic-iranian-targets/
Report completeness: High
Actors/Campaigns:
Charming_kitten (motivation: disinformation, information_theft, cyber_criminal, propaganda, cyber_espionage)
Irgc (motivation: cyber_espionage, propaganda)
Apt42
Oilrig
Muddywater
Abbas (motivation: cyber_espionage)
Threats:
Proxyshell_vuln
Credential_harvesting_technique
Mimikatz_tool
Thaqib_rat
Supply_chain_technique
Proxylogon_exploit
Masscan_tool
Aitm_technique
Cobalt_strike_tool
Dns_tunneling_technique
Rat-2ac2
Reverserdp_technique
Victims:
Government, Diplomatic, Telecommunications, Aviation, Intelligence, Customs agencies, Energy firms, Hospitals, Managed service providers, Food and manufacturing supply chains, have more...
Industry:
Logistic, Telco, Aerospace, Critical_infrastructure, Government, Foodtech, Petroleum, Military, Ngo, Energy, Education
Geo:
China, Israel, Iran, Saudi, Cyprus, Jordan, Qatar, Singapore, Korea, Kuwait, Iranian, Asia, Turkey, Afghanistan, Israeli, Yemen, Saudi arabia, Middle east, Turkish, Egypt, Tehran, Iraq, Syria, Lebanon
CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 17
Domain: 6
IP: 8
Path: 3
Command: 1
Soft:
Ivanti, curl, aegis, Microsoft Exchange, PyInstaller, Dropbox, ProtonDrive, Telegram, Windows service, ASP.NET, have more...
Algorithms:
7zip
Functions:
TaskClient
Languages:
python, java, powershell
Platforms:
intel, arm
DomainTools Investigations | DTI
Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and…
Unmasking APT35 (Charming Kitten). New report analyzes leaked internal documents, revealing their operational profile, Exchange attack chains (ProxyShell, EWS), and quota-driven compromise strategies.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-11-2025 Threat Intelligence Report: APT35 Internal Leak of Hacking Campaigns Against Lebanon, Kuwait, Turkey, Saudi Arabia, Korea, and Domestic Iranian Targets https://dti.domaintools.com/threat-intelligence-report-apt35…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Утечка внутренних документов APT35, иранского государственного злоумышленника, выявила их структурированные кибероперации, нацеленные на такие страны, как Ливан и Южная Корея, наряду с внутренними иранскими целями. Технический анализ выявил использование ими изощренной тактики, такой как использование серверов Microsoft Exchange через ProxyShell, методы сбора учетных записей и троян удаленного доступа (RAT-2Ac2) для закрепления. Операции отражали дисциплинированную иерархическую структуру, ориентированную на детальную разведку, целенаправленное использование и сбор стратегической разведывательной информации.
-----
APT35, также известный как Charming Kitten, проводил систематические кибероперации, нацеленные на такие страны, как Ливан, Кувейт, Турция, Саудовская Аравия и Южная Корея, наряду с внутренними целями Ирана. Группировка действует под эгидой разведывательной организации Корпуса стражей Исламской революции (IO IRGC).
Утечка документов раскрывает использование сложной тактики, включая дампы LSASS, содержащие учетные данные в виде открытого текста и хэши NTLM для использования. В APT35 использовались методы удаленного доступа, такие как RDP-зонды и сбор учетных записей.
Выявленные методы эксплуатации включают атаки ProxyShell на серверы Microsoft Exchange. Организация имеет иерархическую структуру командования, а контроль за персоналом осуществляется с помощью ключевых показателей эффективности (KPI).
Среди ключевых сотрудников - Abbas Rahrovi, который руководил подставными компаниями для поддержки операций по кибершпионажу в подразделении 50 КСИР, уделяя особое внимание как наступательным кибероперациям, так и психологическим операциям.
APT35 сочетал обширную разведку с целенаправленной эксплуатацией ценных объектов, создавая списки приоритетных объектов для конкретных геополитических целей. Их оперативные стратегии были направлены на сбор разведывательной информации о государственных структурах и объектах инфраструктуры, одновременно расширяя возможности сбора учетных записей из коммерческих секторов.
Их инструментарий включал ориентированный на Windows троян удаленного доступа (RAT-2Ac2) для закрепления и сбора данных, поддерживаемый облегченными клиентскими инструментами для управления скомпрометированными системами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Утечка внутренних документов APT35, иранского государственного злоумышленника, выявила их структурированные кибероперации, нацеленные на такие страны, как Ливан и Южная Корея, наряду с внутренними иранскими целями. Технический анализ выявил использование ими изощренной тактики, такой как использование серверов Microsoft Exchange через ProxyShell, методы сбора учетных записей и троян удаленного доступа (RAT-2Ac2) для закрепления. Операции отражали дисциплинированную иерархическую структуру, ориентированную на детальную разведку, целенаправленное использование и сбор стратегической разведывательной информации.
-----
APT35, также известный как Charming Kitten, проводил систематические кибероперации, нацеленные на такие страны, как Ливан, Кувейт, Турция, Саудовская Аравия и Южная Корея, наряду с внутренними целями Ирана. Группировка действует под эгидой разведывательной организации Корпуса стражей Исламской революции (IO IRGC).
Утечка документов раскрывает использование сложной тактики, включая дампы LSASS, содержащие учетные данные в виде открытого текста и хэши NTLM для использования. В APT35 использовались методы удаленного доступа, такие как RDP-зонды и сбор учетных записей.
Выявленные методы эксплуатации включают атаки ProxyShell на серверы Microsoft Exchange. Организация имеет иерархическую структуру командования, а контроль за персоналом осуществляется с помощью ключевых показателей эффективности (KPI).
Среди ключевых сотрудников - Abbas Rahrovi, который руководил подставными компаниями для поддержки операций по кибершпионажу в подразделении 50 КСИР, уделяя особое внимание как наступательным кибероперациям, так и психологическим операциям.
APT35 сочетал обширную разведку с целенаправленной эксплуатацией ценных объектов, создавая списки приоритетных объектов для конкретных геополитических целей. Их оперативные стратегии были направлены на сбор разведывательной информации о государственных структурах и объектах инфраструктуры, одновременно расширяя возможности сбора учетных записей из коммерческих секторов.
Их инструментарий включал ориентированный на Windows троян удаленного доступа (RAT-2Ac2) для закрепления и сбора данных, поддерживаемый облегченными клиентскими инструментами для управления скомпрометированными системами.
#ParsedReport #CompletenessMedium
22-11-2025
WhatsApp compromise leads to Astaroth deployment
https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/
Report completeness: Medium
Actors/Campaigns:
Stac3150
Threats:
Astaroth
Maverick
Victims:
Whatsapp users
Industry:
Financial
Geo:
Brazil, Austria, Latin american
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1105, T1204.002, T1566.003
IOCs:
File: 1
Domain: 8
Url: 2
Soft:
WhatsApp, Selenium Chrome
Algorithms:
zip
Languages:
autoit, python, powershell, javascript
22-11-2025
WhatsApp compromise leads to Astaroth deployment
https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/
Report completeness: Medium
Actors/Campaigns:
Stac3150
Threats:
Astaroth
Maverick
Victims:
Whatsapp users
Industry:
Financial
Geo:
Brazil, Austria, Latin american
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1105, T1204.002, T1566.003
IOCs:
File: 1
Domain: 8
Url: 2
Soft:
WhatsApp, Selenium Chrome
Algorithms:
zip
Languages:
autoit, python, powershell, javascript
Sophos
WhatsApp compromise leads to Astaroth deployment
Another campaign targeting WhatsApp users in Brazil spreads like a worm and employs multiple payloads for credential theft, session hijacking, and persistence
CTT Report Hub
#ParsedReport #CompletenessMedium 22-11-2025 WhatsApp compromise leads to Astaroth deployment https://news.sophos.com/en-us/2025/11/20/whatsapp-compromise-leads-to-astaroth-deployment/ Report completeness: Medium Actors/Campaigns: Stac3150 Threats: Astaroth…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания STAC3150 нацелена на пользователей WhatsApp в Бразилии посредством многоэтапного распространения вредоносного ПО, использующего вредоносное ПО Astaroth, которое выполняется путем отправки сообщений с архивными вложениями, содержащими сценарий загрузки, который извлекает вторичную полезную нагрузку. Кроме того, была выявлена еще одна кампания, использующая банковский троянец Maverick для кражи учетных данных. Атаки в первую очередь затронули более 250 пользователей в Бразилии, что свидетельствует о растущем использовании тактики социальной инженерии с помощью надежных платформ обмена сообщениями.
-----
Недавняя хакерская кАмпания, отслеживаемая как STAC3150, нацеленная на пользователей WhatsApp в Бразилии, впервые была обнаружена 24 сентября 2025 года. Эта постоянная, многоэтапная попытка распространения вредоносного ПО использует платформу обмена сообщениями для компрометации систем с помощью развертываемого вредоносного ПО, известного как Astaroth. Начальная фаза атаки включает отправку сообщений, содержащих архивные вложения, в которых содержится скрипт загрузчика. Этот скрипт отвечает за извлечение множества вторичных полезных данных, эффективно облегчая внедрение вредоносного ПО Astaroth в систему жертвы.
В ходе отдельного расследования исследователи Counter Threat Unit (CTU) выявили другую кампанию, также нацеленную на бразильских пользователей WhatsApp, использующую платформу для развертывания банковского трояна Maverick, который в первую очередь нацелен на кражу учетных данных. Способ действия кампании STAC3150 начинается с первоначального сообщения, отправленного через WhatsApp с использованием функции "Просмотреть один раз", тем самым пытаясь избежать обнаружения и повысить вероятность вовлечения пользователя.
Анализ жертв, проведенный Sophos, показывает, что эта атака оказала воздействие на более чем 250 клиентов, преимущественно в Бразилии, где было расположено около 95% скомпрометированных устройств. Остальные пораженные устройства разбросаны по другим странам Латинской Америки, Соединенным Штатам и Австрии, что подчеркивает региональный масштаб угрозы. Эта кампания знаменует собой заметную тенденцию в области киберугроз, когда злоумышленники используют методы социальной инженерии через надежные коммуникационные платформы для реализации своих вредоносных планов. Последствия подчеркивают необходимость повышения осведомленности и бдительности пользователей популярных приложений для обмена сообщениями для снижения рисков, связанных с такими изощренными атаками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания STAC3150 нацелена на пользователей WhatsApp в Бразилии посредством многоэтапного распространения вредоносного ПО, использующего вредоносное ПО Astaroth, которое выполняется путем отправки сообщений с архивными вложениями, содержащими сценарий загрузки, который извлекает вторичную полезную нагрузку. Кроме того, была выявлена еще одна кампания, использующая банковский троянец Maverick для кражи учетных данных. Атаки в первую очередь затронули более 250 пользователей в Бразилии, что свидетельствует о растущем использовании тактики социальной инженерии с помощью надежных платформ обмена сообщениями.
-----
Недавняя хакерская кАмпания, отслеживаемая как STAC3150, нацеленная на пользователей WhatsApp в Бразилии, впервые была обнаружена 24 сентября 2025 года. Эта постоянная, многоэтапная попытка распространения вредоносного ПО использует платформу обмена сообщениями для компрометации систем с помощью развертываемого вредоносного ПО, известного как Astaroth. Начальная фаза атаки включает отправку сообщений, содержащих архивные вложения, в которых содержится скрипт загрузчика. Этот скрипт отвечает за извлечение множества вторичных полезных данных, эффективно облегчая внедрение вредоносного ПО Astaroth в систему жертвы.
В ходе отдельного расследования исследователи Counter Threat Unit (CTU) выявили другую кампанию, также нацеленную на бразильских пользователей WhatsApp, использующую платформу для развертывания банковского трояна Maverick, который в первую очередь нацелен на кражу учетных данных. Способ действия кампании STAC3150 начинается с первоначального сообщения, отправленного через WhatsApp с использованием функции "Просмотреть один раз", тем самым пытаясь избежать обнаружения и повысить вероятность вовлечения пользователя.
Анализ жертв, проведенный Sophos, показывает, что эта атака оказала воздействие на более чем 250 клиентов, преимущественно в Бразилии, где было расположено около 95% скомпрометированных устройств. Остальные пораженные устройства разбросаны по другим странам Латинской Америки, Соединенным Штатам и Австрии, что подчеркивает региональный масштаб угрозы. Эта кампания знаменует собой заметную тенденцию в области киберугроз, когда злоумышленники используют методы социальной инженерии через надежные коммуникационные платформы для реализации своих вредоносных планов. Последствия подчеркивают необходимость повышения осведомленности и бдительности пользователей популярных приложений для обмена сообщениями для снижения рисков, связанных с такими изощренными атаками.
#ParsedReport #CompletenessHigh
18-11-2025
Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329)
https://cert.gov.ua/article/6286219
Report completeness: High
Threats:
Gamybear
Lazagne_tool
Resocks_tool
Victims:
Educational institution, Education sector, Eastern ukraine
Industry:
Government, Ics
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
T1021.004, T1027, T1036, T1059.001, T1059.003, T1059.007, T1090, T1105, T1204.002, T1218.005, have more...
IOCs:
Hash: 54
File: 20
Url: 14
IP: 4
Domain: 2
Path: 5
Command: 5
Registry: 2
Soft:
OPENSSH, curl, Gmail
Algorithms:
zip, base64
Languages:
cscript, powershell
18-11-2025
Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329)
https://cert.gov.ua/article/6286219
Report completeness: High
Threats:
Gamybear
Lazagne_tool
Resocks_tool
Victims:
Educational institution, Education sector, Eastern ukraine
Industry:
Government, Ics
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
do not use without manual checkT1021.004, T1027, T1036, T1059.001, T1059.003, T1059.007, T1090, T1105, T1204.002, T1218.005, have more...
IOCs:
Hash: 54
File: 20
Url: 14
IP: 4
Domain: 2
Path: 5
Command: 5
Registry: 2
Soft:
OPENSSH, curl, Gmail
Algorithms:
zip, base64
Languages:
cscript, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 18-11-2025 Cyberattack UAC-0241 against an educational institution in eastern Ukraine using the GAMYBEAR software tool (CERT-UA#18329) https://cert.gov.ua/article/6286219 Report completeness: High Threats: Gamybear Lazagne_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака UAC-0241, нацеленная на учебное заведение на востоке Украины, использовала вредоносное ПО GAMYBEAR, внедряя вредоносные исполняемые файлы, скрипты и документы-приманки, такие как "nakaz.pdf", чтобы ввести пользователей в заблуждение и облегчить заражение. Ключевые компоненты включали обратные скрипты оболочки, такие как "d3efafc.ps1", обеспечивающие несанкционированный доступ и сохраняющие контроль над скомпрометированными системами, в то время как дизайн GAMYBEAR's включал методы уклонения от обнаружения и применения тактики шпионажа, иллюстрирующие сложные и эволюционирующие ландшафты киберугроз.
-----
Кибератака UAC-0241 была нацелена на учебное заведение на востоке Украины с использованием программного обеспечения GAMYBEAR. Атака включала в себя развертывание нескольких Вредоносных файлов, выделяя различные векторы атаки и поведение вредоносного ПО, связанное с угрозой. Среди идентифицированных файлов ключевыми элементами были исполняемые файлы, файлы сценариев и документы, предназначенные для введения пользователей в заблуждение.
Примечательно, что процесс заражения начался с документа-приманки под названием "nakaz.pdf", предназначенного для того, чтобы заманить жертв к его открытию. Эта приманка сопровождалась несколькими запутанными скриптами и исполняемыми файлами, включая "zvit.hta", "update.js , " "updater.ps1" и многое другое, демонстрирующее многогранный подход к доставке вредоносного ПО. Так называемое вредоносное ПО GAMYBEAR было особо отмечено за его способность выполнять целый ряд функций, включая кражу информации и установление обратных подключений к оболочке.
В инфраструктуре атаки было заметно несколько сценариев обратной оболочки, включая "d3efafc.ps1", "f32fd002.ps1" и "operaupdater.ps1", все они были направлены на облегчение несанкционированного доступа к скомпрометированным системам. Наличие этих сценариев указывает на стратегию, направленную на поддержание контроля над целевой средой. Использование "svshosts.exe " и "ieupdater.exe ,"оба приписываются GAMYBEAR и предназначались для различных вредоносных операций, что усиливает роль вредоносного ПО в атаке.
В дополнение к возможностям эксфильтрации данных, такие компоненты, как "operupdate.exe " (отмечено как RESOCKS) и скрипты типа "dfafdfg.ps1" намекали на потенциальную дальнейшую тактику использования, включая функциональность SSH для выполнения команд и извлечения данных. Конструкция вредоносного ПО включала различные средства, позволяющие скрыть его действия от программного обеспечения безопасности и анализа, демонстрируя глубокое понимание методов уклонения.
Атака подчеркивает сохраняющуюся угрозу, исходящую от целенаправленных киберопераций в Украине, особенно в сфере образования, и иллюстрирует эволюционирующую природу киберугроз, связанных с использованием вредоносных программ для шпионажа или кражи информации. В целом, сложность и выполнение операции UAC-0241 представляют собой серьезную проблему в условиях продолжающегося цифрового конфликта.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака UAC-0241, нацеленная на учебное заведение на востоке Украины, использовала вредоносное ПО GAMYBEAR, внедряя вредоносные исполняемые файлы, скрипты и документы-приманки, такие как "nakaz.pdf", чтобы ввести пользователей в заблуждение и облегчить заражение. Ключевые компоненты включали обратные скрипты оболочки, такие как "d3efafc.ps1", обеспечивающие несанкционированный доступ и сохраняющие контроль над скомпрометированными системами, в то время как дизайн GAMYBEAR's включал методы уклонения от обнаружения и применения тактики шпионажа, иллюстрирующие сложные и эволюционирующие ландшафты киберугроз.
-----
Кибератака UAC-0241 была нацелена на учебное заведение на востоке Украины с использованием программного обеспечения GAMYBEAR. Атака включала в себя развертывание нескольких Вредоносных файлов, выделяя различные векторы атаки и поведение вредоносного ПО, связанное с угрозой. Среди идентифицированных файлов ключевыми элементами были исполняемые файлы, файлы сценариев и документы, предназначенные для введения пользователей в заблуждение.
Примечательно, что процесс заражения начался с документа-приманки под названием "nakaz.pdf", предназначенного для того, чтобы заманить жертв к его открытию. Эта приманка сопровождалась несколькими запутанными скриптами и исполняемыми файлами, включая "zvit.hta", "update.js , " "updater.ps1" и многое другое, демонстрирующее многогранный подход к доставке вредоносного ПО. Так называемое вредоносное ПО GAMYBEAR было особо отмечено за его способность выполнять целый ряд функций, включая кражу информации и установление обратных подключений к оболочке.
В инфраструктуре атаки было заметно несколько сценариев обратной оболочки, включая "d3efafc.ps1", "f32fd002.ps1" и "operaupdater.ps1", все они были направлены на облегчение несанкционированного доступа к скомпрометированным системам. Наличие этих сценариев указывает на стратегию, направленную на поддержание контроля над целевой средой. Использование "svshosts.exe " и "ieupdater.exe ,"оба приписываются GAMYBEAR и предназначались для различных вредоносных операций, что усиливает роль вредоносного ПО в атаке.
В дополнение к возможностям эксфильтрации данных, такие компоненты, как "operupdate.exe " (отмечено как RESOCKS) и скрипты типа "dfafdfg.ps1" намекали на потенциальную дальнейшую тактику использования, включая функциональность SSH для выполнения команд и извлечения данных. Конструкция вредоносного ПО включала различные средства, позволяющие скрыть его действия от программного обеспечения безопасности и анализа, демонстрируя глубокое понимание методов уклонения.
Атака подчеркивает сохраняющуюся угрозу, исходящую от целенаправленных киберопераций в Украине, особенно в сфере образования, и иллюстрирует эволюционирующую природу киберугроз, связанных с использованием вредоносных программ для шпионажа или кражи информации. В целом, сложность и выполнение операции UAC-0241 представляют собой серьезную проблему в условиях продолжающегося цифрового конфликта.
#ParsedReport #CompletenessMedium
21-11-2025
Summary summary of malicious campaigns during the week of November 15 - 21
https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-novembre/
Report completeness: Medium
Threats:
Snake_keylogger
Formbook
Btmob_rat
Copybara
Sturnus
Phantom_stealer
Xworm_rat
Remcos_rat
Mintsloader
Smishing_technique
Agent_tesla
Grandoreiro
Donutloader
Cloudeye
Dbatloader
Victims:
Italian targets, Generic targets affecting italy, Webmail users
Industry:
Financial, Education
Geo:
Aruba, Italia, Italy, Italian
IOCs:
Domain: 1
Url: 2
Soft:
Zimbra
Algorithms:
zip
21-11-2025
Summary summary of malicious campaigns during the week of November 15 - 21
https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-novembre/
Report completeness: Medium
Threats:
Snake_keylogger
Formbook
Btmob_rat
Copybara
Sturnus
Phantom_stealer
Xworm_rat
Remcos_rat
Mintsloader
Smishing_technique
Agent_tesla
Grandoreiro
Donutloader
Cloudeye
Dbatloader
Victims:
Italian targets, Generic targets affecting italy, Webmail users
Industry:
Financial, Education
Geo:
Aruba, Italia, Italy, Italian
IOCs:
Domain: 1
Url: 2
Soft:
Zimbra
Algorithms:
zip
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 15 – 21 novembre
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 71 malevole, di cui 44 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti…
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2025 Summary summary of malicious campaigns during the week of November 15 - 21 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-novembre/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В течение недели с 15 по 21 ноября CERT-AGID сообщила о 71 вредоносной кампании, затрагивающей итальянские организации, причем 44 были конкретно нацелены на Италию, и выявила 634 показателя компрометации (IoC). Было обнаружено тринадцать различных семейств вредоносных ПО, а также значительная угроза фишинга, нацеленная на 26 брендов, включая такие известные, как PagoPA и Aruba. Это подчеркивает необходимость усиления мониторинга различных киберугроз, включая тактику вредоносного ПО и фишинга, используемую злоумышленниками в регионе.
-----
В течение недели с 15 по 21 ноября CERT-AGID сообщила в общей сложности о 71 вредоносной кампании, воздействие на итальянские организации, причем 44 были нацелены конкретно на Италию, а 27 носили более общий характер, но все еще затрагивали регион. Примечательным аспектом этого отчета было предоставление 634 индикаторов компрометации (IoC) аккредитованным организациям, что способствовало лучшему обнаружению этих угроз и реагированию на них.
Для облегчения злонамеренной деятельности, наблюдаемой по всей Италии, был использован широкий спектр из 21 темы. Среди них анализ выявил 13 различных семейств вредоносных ПО, которые представляли угрозу в течение этой недели. Хотя в отчете не указаны все семейства вредоносных ПО, акцент на их идентификации подчеркивает необходимость бдительного мониторинга угроз вредоносного ПО в регионе.
Фишинг также стал серьезной проблемой, поскольку в течение недели мишенями стали 26 брендов. Заметными среди них были кампании, посвященные Пагопе, Арубе и автоторговле в Италии, что указывает на акцент на хорошо известных организациях для извлечения конфиденциальной информации у пользователей. Также упоминались кампании по фишингу веб-почты без брендирования, которые являются распространенной тактикой, применяемой киберпреступниками для эксплуатации ничего не подозревающих людей.
Общая ситуация свидетельствует о настоятельной необходимости повышения осведомленности и упреждающей защиты от различных киберугроз, особенно в связи с тем, что злоумышленники используют различные методы, такие как внедрение вредоносного ПО и схемы фишинга, для компрометации ничего не подозревающих пользователей и организаций в Италии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В течение недели с 15 по 21 ноября CERT-AGID сообщила о 71 вредоносной кампании, затрагивающей итальянские организации, причем 44 были конкретно нацелены на Италию, и выявила 634 показателя компрометации (IoC). Было обнаружено тринадцать различных семейств вредоносных ПО, а также значительная угроза фишинга, нацеленная на 26 брендов, включая такие известные, как PagoPA и Aruba. Это подчеркивает необходимость усиления мониторинга различных киберугроз, включая тактику вредоносного ПО и фишинга, используемую злоумышленниками в регионе.
-----
В течение недели с 15 по 21 ноября CERT-AGID сообщила в общей сложности о 71 вредоносной кампании, воздействие на итальянские организации, причем 44 были нацелены конкретно на Италию, а 27 носили более общий характер, но все еще затрагивали регион. Примечательным аспектом этого отчета было предоставление 634 индикаторов компрометации (IoC) аккредитованным организациям, что способствовало лучшему обнаружению этих угроз и реагированию на них.
Для облегчения злонамеренной деятельности, наблюдаемой по всей Италии, был использован широкий спектр из 21 темы. Среди них анализ выявил 13 различных семейств вредоносных ПО, которые представляли угрозу в течение этой недели. Хотя в отчете не указаны все семейства вредоносных ПО, акцент на их идентификации подчеркивает необходимость бдительного мониторинга угроз вредоносного ПО в регионе.
Фишинг также стал серьезной проблемой, поскольку в течение недели мишенями стали 26 брендов. Заметными среди них были кампании, посвященные Пагопе, Арубе и автоторговле в Италии, что указывает на акцент на хорошо известных организациях для извлечения конфиденциальной информации у пользователей. Также упоминались кампании по фишингу веб-почты без брендирования, которые являются распространенной тактикой, применяемой киберпреступниками для эксплуатации ничего не подозревающих людей.
Общая ситуация свидетельствует о настоятельной необходимости повышения осведомленности и упреждающей защиты от различных киберугроз, особенно в связи с тем, что злоумышленники используют различные методы, такие как внедрение вредоносного ПО и схемы фишинга, для компрометации ничего не подозревающих пользователей и организаций в Италии.
#ParsedReport #CompletenessMedium
20-11-2025
Inside DPRKs Fake Job Platform Targeting U.S. AI Talent
https://www.validin.com/blog/inside_dprk_fake_job_platform/
Report completeness: Medium
Actors/Campaigns:
Contagious_interview
Clickfake
Tradertraitor (motivation: financially_motivated)
Threats:
Clickfix_technique
Victims:
Software developers, Artificial intelligence researchers, Cryptocurrency professionals, Technical job seekers, Non technical job seekers
Industry:
Software_development, Financial, Military
Geo:
Dprks, North korean, North korea, Dprk, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1056.003, T1059.001, T1204, T1566, T1656
IOCs:
File: 4
Domain: 5
Command: 1
Url: 1
IP: 2
Soft:
curl, sudo
Algorithms:
zip
Languages:
powershell
20-11-2025
Inside DPRKs Fake Job Platform Targeting U.S. AI Talent
https://www.validin.com/blog/inside_dprk_fake_job_platform/
Report completeness: Medium
Actors/Campaigns:
Contagious_interview
Clickfake
Tradertraitor (motivation: financially_motivated)
Threats:
Clickfix_technique
Victims:
Software developers, Artificial intelligence researchers, Cryptocurrency professionals, Technical job seekers, Non technical job seekers
Industry:
Software_development, Financial, Military
Geo:
Dprks, North korean, North korea, Dprk, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1056.003, T1059.001, T1204, T1566, T1656
IOCs:
File: 4
Domain: 5
Command: 1
Url: 1
IP: 2
Soft:
curl, sudo
Algorithms:
zip
Languages:
powershell
Validin
Inside DPRK’s Fake Job Platform Targeting U.S. AI Talent | Validin
CTT Report Hub
#ParsedReport #CompletenessMedium 20-11-2025 Inside DPRKs Fake Job Platform Targeting U.S. AI Talent https://www.validin.com/blog/inside_dprk_fake_job_platform/ Report completeness: Medium Actors/Campaigns: Contagious_interview Clickfake Tradertraitor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант связанной с КНДР операции "Contagious Interview" нацелен на американских специалистов в области искусственного интеллекта и технологий через поддельный портал вакансий, который имитирует известные компании, чтобы завоевать доверие. В этой операции используются многоэтапные атаки, включая загрузчик "Обновления драйверов Microsoft" и захват буфера обмена для манипулирования действиями пользователя. Отфильтровывая таланты в областях с высокой ценностью, атака высвечивает изощренную тактику, используемую акторами КНДР для извлечения конфиденциальной информации и использования профессиональной идентичности.
-----
Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции "Contagious Interview" активно нацелен на американских специалистов в области Искусственного интеллекта и других технологических областях с помощью нелегальной платформы для трудоустройства. В отличие от предыдущей тактики, применяемой акторами КНДР, которая часто включала Маскировку под сотрудников для проникновения в компании, эта кампания направлена на то, чтобы скомпрометировать подлинных соискателей работы путем создания кажущегося законным портала вакансий. Платформа демонстрирует высокий уровень отточенности, используя визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы культивировать аутентичность и доверие.
Приманка предназначена для повышения доверия к платформе. Сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости. Объявления о вакансиях на этом сайте отражают реальные объявления о работе в США, с подробностями, отформатированными для имитации подлинности в названиях, описаниях и типах занятости. Стандартизированные приложения для различных ролей требуют конфиденциальной личной информации, включая имена, Адреса эл. почты и профили в LinkedIn, что закладывает основу для профилирования личности в соответствии с тактикой социальной инженерии КНДР.
Вредоносные операции осуществляются с помощью многоэтапной методологии атаки, примером которой, в частности, является программа загрузки "Обновления драйверов Microsoft", которая встроена в процесс подачи заявления о приеме на работу. Операция включает в себя захват буфера обмена, при котором прослушиватель событий запрограммирован на изменение содержимого буфера обмена всякий раз, когда пользователь пытается скопировать информацию с портала вакансий. Этот метод гарантирует, что скопированные команды будут заменены вредоносными последовательностями, разработанными злоумышленниками. Кроме того, сценарии PowerShell используются для извлечения встроенных сценариев без появления видимых пользователю предупреждений, что соответствует распространенной практике кибертактики КНДР.
Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической, отражая интерес КНДР к ценным технологическим талантам и инфраструктуре, которые могли бы расширить их возможности. Выдавая себя за уважаемых работодателей, таких как Anthropic и Yuga Labs, кампания служит не только приманкой, но и фильтром для людей, чьи навыки и связи в отрасли представляют ценность для сотрудников КНДР. Этот метод подчеркивает степень изощренности киберопераций КНДР и их эволюционирующие методы, направленные на извлечение информации и использование идентификационных данных из целевых секторов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант связанной с КНДР операции "Contagious Interview" нацелен на американских специалистов в области искусственного интеллекта и технологий через поддельный портал вакансий, который имитирует известные компании, чтобы завоевать доверие. В этой операции используются многоэтапные атаки, включая загрузчик "Обновления драйверов Microsoft" и захват буфера обмена для манипулирования действиями пользователя. Отфильтровывая таланты в областях с высокой ценностью, атака высвечивает изощренную тактику, используемую акторами КНДР для извлечения конфиденциальной информации и использования профессиональной идентичности.
-----
Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции "Contagious Interview" активно нацелен на американских специалистов в области Искусственного интеллекта и других технологических областях с помощью нелегальной платформы для трудоустройства. В отличие от предыдущей тактики, применяемой акторами КНДР, которая часто включала Маскировку под сотрудников для проникновения в компании, эта кампания направлена на то, чтобы скомпрометировать подлинных соискателей работы путем создания кажущегося законным портала вакансий. Платформа демонстрирует высокий уровень отточенности, используя визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы культивировать аутентичность и доверие.
Приманка предназначена для повышения доверия к платформе. Сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости. Объявления о вакансиях на этом сайте отражают реальные объявления о работе в США, с подробностями, отформатированными для имитации подлинности в названиях, описаниях и типах занятости. Стандартизированные приложения для различных ролей требуют конфиденциальной личной информации, включая имена, Адреса эл. почты и профили в LinkedIn, что закладывает основу для профилирования личности в соответствии с тактикой социальной инженерии КНДР.
Вредоносные операции осуществляются с помощью многоэтапной методологии атаки, примером которой, в частности, является программа загрузки "Обновления драйверов Microsoft", которая встроена в процесс подачи заявления о приеме на работу. Операция включает в себя захват буфера обмена, при котором прослушиватель событий запрограммирован на изменение содержимого буфера обмена всякий раз, когда пользователь пытается скопировать информацию с портала вакансий. Этот метод гарантирует, что скопированные команды будут заменены вредоносными последовательностями, разработанными злоумышленниками. Кроме того, сценарии PowerShell используются для извлечения встроенных сценариев без появления видимых пользователю предупреждений, что соответствует распространенной практике кибертактики КНДР.
Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической, отражая интерес КНДР к ценным технологическим талантам и инфраструктуре, которые могли бы расширить их возможности. Выдавая себя за уважаемых работодателей, таких как Anthropic и Yuga Labs, кампания служит не только приманкой, но и фильтром для людей, чьи навыки и связи в отрасли представляют ценность для сотрудников КНДР. Этот метод подчеркивает степень изощренности киберопераций КНДР и их эволюционирующие методы, направленные на извлечение информации и использование идентификационных данных из целевых секторов.
#ParsedReport #CompletenessMedium
20-11-2025
Multi-Level Cloaking Load Decryption and Driver-Level Blinding Countermeasures Analysis YouSnake (Silver Fox) Technique and Tactics Tracker
https://mp.weixin.qq.com/s/1Iwg1hNFqGVi4aXEStu0SA
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Cloaking_technique
Steganography_technique
Winos
Seo_poisoning_technique
Trojan/win32.swimsnake
Byovd_technique
Finalshell
Victims:
Antivirus vendors, Endpoint detection and response providers, Enterprise users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.009, T1041, T1059.003, T1059.005, T1071.001, T1140, T1562.004
IOCs:
Hash: 25
File: 29
Path: 5
Registry: 1
IP: 1
Domain: 1
Soft:
WeChat, Youdao, Windows Installer, InnoSetup, Windows Defender, Windows kernel, Microsoft Defender
Algorithms:
rc4, base64, zip, md5
Win API:
decompress, NtHandleCallback, NtQuerySystemInformation, NtOpenProcess, NtDuplicateObject
Languages:
powershell
Platforms:
x86, intel
20-11-2025
Multi-Level Cloaking Load Decryption and Driver-Level Blinding Countermeasures Analysis YouSnake (Silver Fox) Technique and Tactics Tracker
https://mp.weixin.qq.com/s/1Iwg1hNFqGVi4aXEStu0SA
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Cloaking_technique
Steganography_technique
Winos
Seo_poisoning_technique
Trojan/win32.swimsnake
Byovd_technique
Finalshell
Victims:
Antivirus vendors, Endpoint detection and response providers, Enterprise users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.009, T1041, T1059.003, T1059.005, T1071.001, T1140, T1562.004
IOCs:
Hash: 25
File: 29
Path: 5
Registry: 1
IP: 1
Domain: 1
Soft:
WeChat, Youdao, Windows Installer, InnoSetup, Windows Defender, Windows kernel, Microsoft Defender
Algorithms:
rc4, base64, zip, md5
Win API:
decompress, NtHandleCallback, NtQuerySystemInformation, NtOpenProcess, NtDuplicateObject
Languages:
powershell
Platforms:
x86, intel