#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Trojan.ChimeraWire на базе ОС Windows, вредоносное ПО определены компанией "Доктор Веб", предназначен для раздувания веб-трафик через кликер функциональность. Он поражает, прежде всего, через Python.Загрузчик.208, используя DLL Search Order угон, чтобы манипулировать iscsicpl.exe процесс. Ключевые методы включают пользователей-помогать исполнения, закрепление с помощью планировщика задач Windows, повышение привилегий через DLL hijacking, и тактику уклонения, например, шифрование, обфускацию, и поддерживать двустороннюю связь через веб-протоколы.
-----

Trojan.ChimeraWire - это сложное вредоносное ПО, выявленное специалистами "Доктор Веб", в основном работающее в системах Windows. Этот троянец обладает функциональностью кликера и предназначен для искусственного увеличения посещаемости веб-сайта путем имитации взаимодействия с человеком. Он отличается тем, что разработан на основе проектов с открытым исходным кодом, в частности zlsgo и Rod, которые используются для автоматизированного управления веб-сайтами и веб-приложениями.

Первоначальный метод заражения приписывается Python.Downloader.208, который использует метод перехвата DLL search order, включающий манипулирование iscsicpl.exe процесс для использования ISCSIEXE.библиотека dll в каталоге %SystemRoot%\SysWOW64\.

Trojan.ChimeraWire использует различные векторы атак в рамках платформы MITRE ATT&CK. Ключевые методы включают выполнение с помощью пользователя (T1204), при котором вредоносному ПО часто способствует выполнение Вредоносных файлов, библиотек или сценариев PowerShell. Злоумышленники могут использовать такие инструменты, как Командная оболочка Windows, Visual Basic и Python для достижения своих целей. Более того, он использует планировщик задач Windows для закрепления, используя такие методы, как объединение ключей запуска в реестре Windows или запуск запланированных задач.

Вредоносное ПО также включает в себя возможности для повышения привилегий, в частности, путем перехвата поиска DLL-файлов и обхода механизмов контроля учетных записей пользователей (UAC). Чтобы избежать обнаружения, он реализует тактику шифрования и запутывания, наряду с методологиями создания Скрытых окон и Деобфускации файлов или путей. Кроме того, троянец поддерживает двустороннюю связь по Веб-протоколам, что повышает эффективность его работы.

#ParsedReport #CompletenessHigh
11-12-2025

Hamas-Affiliated Ashen Lepus Targets Middle Eastern Diplomatic Entities With New AshTag Malware Suite

https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/

Report completeness: High

Actors/Campaigns:
Ashen_lepus (motivation: information_theft, cyber_espionage)
Wirte
Lastconn

Threats:
Ashtag
Ashenloader
Ashenstager
Ashenorchestrator
Dll_sideloading_technique
Rclone_tool
Ironwind

Victims:
Government entities, Diplomatic entities

Industry:
Military, Healthcare, Government

Geo:
Japan, Middle east, Korea, Turkish, Turkey, Egypt, Asia, Palestine, Morocco, Palestinian, Oman, India, Syria, Jordan, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036, T1041, T1071.001, T1074, T1102, T1104, T1105, T1204.002, have more...

IOCs:
File: 7
Domain: 12
Path: 4
Hash: 19
Url: 1

Algorithms:
sha256, base64, aes-256-ctr, xor, aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ashen Lepus, связанная с ХАМАСОМ APT-группировка, с 2018 года атакует дипломатические учреждения на Ближнем Востоке, используя продвинутый пакет вредоносного ПО AshTag. Их стратегия заражения начинается с доброкачественных PDF-файлов, которые приводят к загрузке архивов RAR, содержащих вредоносную полезную нагрузку, используя архитектуру C2, сочетающуюся с законными доменами для дополнительной скрытности. Пакет AshTag оснащен сложным .NET-бэкдором, расширяющим возможности для закрепления и удаленных команд, в то время как группа продолжает извлекать ценные данные после первоначальных компрометаций, усиливая текущие угрозы кибербезопасности в регионе.
-----

Ashen Lepus, связанная с ХАМАСОМ APT-группировка, известная своими операциями по кибершпионажу, нацелена на дипломатические учреждения по всему Ближнему Востоку с помощью сложного вредоносного ПО, получившего название AshTag. С момента своего основания в 2018 году, Ashen Lepus в основном сосредоточена на сборе информации из государственных структур в территориально ближайший таких областях, как Палестинской автономии, Египта и Иордании, с недавним расширением в таких странах, как Оман и Марокко.

Стратегия заражения группы использует многоэтапный подход, который начинается с, казалось бы, безобидного PDF-файла. Этот файл направляет жертв к файлообменным сервисам для загрузки RAR-архива, содержащего вредоносные полезные файлы. Заметен сдвиг в архитектуре command and control (C2); теперь группа регистрирует поддомены законных доменов, связанных с API и службами аутентификации, повышая операционную безопасность за счет смешивания вредоносной активности с обычным сетевым трафиком. Примерами могут служить домены с тематикой здравоохранения или технологий, что усиливает их усилия по сокрытию злонамеренных намерений.

Пакет вредоносных ПО AshTag представляет собой значительное усовершенствование по сравнению с предыдущими операционными инструментами. Более ранние кампании включали менее сложные методы доставки полезной нагрузки, в первую очередь завершение родительских процессов, что указывало на этапы тестирования разработки. Однако в текущей кампании используется полноценный модульный бэкдор .NET, предназначенный для скрытого закрепления и удаленного выполнения команд. Этот бэкдор маскируется под законную утилиту VisualServer, одновременно облегчая обмен данными C2 и выполнение дополнительных полезных нагрузок в памяти.

После выполнения компонент AshenLoader отправляет данные разведки на сервер C2 злоумышленника. Это демонстрирует умный механизм, при котором полезная нагрузка AshenStager встроена в HTML-теги веб-страницы сервера C2, метод, задокументированный в предыдущих действиях группы. Ashen Lepus продолжает активно заниматься кражей персональных данных после первоначального заражения, при этом злоумышленники позже получают доступ к скомпрометированным системам для подготовки документов к эксфильтрации.

Оперативные характеристики Ashen Lepus подчеркивают, что это постоянный злоумышленник, занимающийся текущими разведывательными операциями, особенно в контексте эскалации регионального конфликта. Их методов, тактик и процедур (ТПД) остаются неизменными с предыдущих кампаний, подчеркивая важность изучения арабского языка приманки, которые резонируют с нынешних ближневосточных политических и военных рассказов. Как эти субъекты угрозы адаптировать и расширять свои возможности, сохраняющаяся угроза нацелен лиц в области подчеркивает значительное и развивается кибербезопасность кибербезопасность.

#ParsedReport #CompletenessLow
11-12-2025

Hunting for Mythic in network traffic

https://securelist.com/detecting-mythic-in-network-traffic/118291/

Report completeness: Low

Actors/Campaigns:
Mythic_likho
Paper_werewolf
Unc2190

Threats:
Mythic_c2
Cobalt_strike_tool
Brc4_tool
Sliver_c2_tool
Havoc
Adaptixc2_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1090, T1090.001, T1102, T1132, T1572, T1573

Soft:
Docker, macOS, Linux, Discord, Slack

Algorithms:
base64, aes-256

Functions:
WriteRequest, Discord

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 10, dump: 4, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фреймворк Mythic - это продвинутый инструмент постэксплуатации, используемый хакерскими группировками, обладающий надежными возможностями командования и контроля (C2) с помощью архитектуры Docker. Он поддерживает различные языки программирования и коммуникационные протоколы, включая P2P и прямую исходящую связь, часто скрывая свой трафик, чтобы он не мешал обычной активности пользователя. Возникают проблемы с обнаружением, особенно при использовании зашифрованного трафика по протоколу HTTPS и таких платформ, как Discord и GitHub для скрытых операций, что указывает на продолжающуюся эволюцию фреймворка в области угроз.
-----

Фреймворк Mythic, растущий инструмент для постэксплуатации среди хакерских группировок, занимающихся киберугрозами, примечателен своими возможностями командования и контроля (C2). Построенный с использованием контейнерной архитектуры Docker, Mythic позволяет операторам управлять различными агентами, написанными на языках программирования, включая Go, Python и C#. Платформа поддерживает множество коммуникационных протоколов, таких как HTTP/S, WebSocket, TCP, SMB, DNS и MQTT, облегчая передачу данных между различными платформами, такими как Windows, macOS и Linux.

В структуре мифическая, две модели коммуникации особенно актуальны: одноранговая (P2P) и сообщения выход. Р2Р возможности очевидны при анализе сетевого трафика через примечательными показателями нашли в пакетах записи запрос SMB и стандартных моделей инициализацию TCP-соединений. Обнаружение P2P—трафика может использовать правила обнаружения Suricata, фокусируясь на конкретных структурах пакетов - особенно там, где определенные поля обнулены, а данные закодированы в формате base64, что предполагает действия по управлению.

Для тайных операций Mythic использует такие платформы, как Discord и GitHub, в качестве транспортных модулей, чтобы скрывать свой трафик, делая его похожим на обычную активность пользователя. При использовании Discord команды и результаты выполнения маскируются под обычные сообщения, при этом передача происходит по протоколу HTTPS и шифруется с помощью TLS. Аналогичным образом, транспортный модуль GitHub использует API GitHub для взаимодействия с агентами, позволяя агентам управлять проблемами и разветвлять файлы непосредственно в репозитории, таким образом обходя прямые взаимодействия C2.

В дополнение к скрытым моделям Mythic также поддерживает прямую исходящую связь, позволяя агентам напрямую взаимодействовать с сервером C2 через HTTP и HTTPS. Хотя HTTP-коммуникации подвержены обнаружению на основе сигнатур из-за незашифрованных метаданных, HTTPS-коммуникации усложняют обнаружение из-за шифрования, хотя агенты, использующие SSL-сертификаты по умолчанию, все еще могут выдавать идентифицируемые шаблоны трафика.

Кроме того, протокол WebSocket обеспечивает непрерывный цикл связи между агентами и их сервером C2, облегчая управление агентами mythic в режиме реального времени. Эволюционирующий характер фреймворка Mythic указывает на его постоянное внедрение и адаптацию злоумышленниками, в то время как последовательность в его коммуникационной стратегии предоставляет возможности для принятия защитных мер посредством анализа сетевого трафика. В целом, фреймворк Mythic демонстрирует как расширенные возможности в тактике постэксплуатации, так и проблемы, связанные с обнаружением таких сложных киберугроз.

#ParsedReport #CompletenessMedium
11-12-2025

Analyzing the Gentlemen Ransomware: The Threat Behind a Gentleman's Mask

https://asec.ahnlab.com/ko/91514/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Byovd_technique
Ransomware/win.gentlemencrypt.c5799091
Ransomware/win.gentlemencrypt.c5825597
Ransom/mdp.decoy.m961
Ransom/mdp.delete.m1105
Ransom/mdp.event.m1784
Ransom/mdp.command.m2255

Victims:
Corporate networks

Industry:
Healthcare

Geo:
America, Pacific, Apac, Middle east, Asia

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Windows Defender, MSSQL

Algorithms:
xchacha20, ecdh, base64, curve25519, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель The Gentlemen, выявленная в августе 2025 года, использует метод двойного вымогательства, проникая в корпоративные сети для эксфильтрации и шифрования данных, полагаясь на передовые методы, такие как изменение объектов групповой политики и использование неподписанных драйверов. Он разработан в Go и ограничивает свои операции с помощью проверки паролей, отключения защитника Windows и служб резервного копирования перед шифрованием. Используя X25519 для генерации общего секрета и XChaCha20 для шифрования файлов, он также изменяет фон рабочего стола зараженной системы и создает записку с требованием выкупа для жертв после заражения.
-----

Программа-вымогатель The Gentlemen, выявленная примерно в августе 2025 года, работает по модели двойного вымогательства, которая включает проникновение в корпоративные сети для эксфильтрации и шифрования данных, используя эту украденную информацию для вымогательства у жертв. Эта группа использует несколько передовых методов, обычно связанных со сложными операциями программ—вымогателей, таких как изменение объектов групповой политики (GPO) и использование неподписанных драйверов - практика, известная как "Принесите свой собственный уязвимый драйвер" (BYOVD). На данном этапе остается неясным, работает ли программа-вымогатель The Gentlemen по модели "Программа-вымогатель как услуга" (RaaS), поскольку не было выявлено никаких действий по ребрендингу или подгруппировке, связывающих ее с существующими семействами программ-вымогателей.

Разработанное на языке программирования Go, Gentlemen ransomware реализует различные меры для ограничения своей функциональности предполагаемой средой жертвы, полагаясь на проверку паролей в параметрах выполнения. Перед началом процесса шифрования он выполняет ряд предварительных действий: отключает защитник Windows и останавливает службы резервного копирования, такие как Veeam, а также службы баз данных, включая MSSQL и MongoDB. Кроме того, он эффективно очищает любые журналы или следы своей активности, чтобы препятствовать обнаружению.

Программа-вымогатель анализирует аргументы командной строки в начале своего выполнения, позволяя злоумышленникам указать критические параметры для управления целью шифрования, параметрами производительности и режимом работы. Примечательным аспектом его функциональности является использование алгоритмов шифрования. Он использует X25519 для установления общего секрета, полученного из случайно сгенерированного числа, с последующим использованием этого секрета с потоковым шифром XChaCha20 для шифрования файлов, обеспечивая генерацию уникального ключа и одноразового номера для каждого целевого файла.

После того, как вымогателей определяет, какие файлы для шифрования, он выполняет свою рутинную шифрования файла, который характеризуется структурированный подход к генерации ключей и использование. Кроме того, в качестве части своего поста-шифрование деятельности, Джентльмены изменяет фоновый рисунок рабочего стола из зараженной системе и выдает записку с требованием выкупа с именем "README-GENTLEMEN.txt", которая находится в каждом каталоге, где шифрования. Эта записка послужит прямой способ коммуникации с жертвами, информируя их о вымогательствах после сквозного шифрования важных данных.

#ParsedReport #CompletenessLow
11-12-2025

Extortion-as-a-Service: The Latest Threat Actor Criminal Ecosystem

https://levelblue.com/blogs/levelblue-blog/extortion-as-a-service-the-latest-threat-actor-criminal-ecosystem/

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters

Threats:
Locky
Quattro_tool
Callmix_tool
Procallmix_tool
Voicephishing_tool
Shebyte_tool
Angel_drainer

Victims:
Multiple sectors

Industry:
E-commerce

Geo:
German, French, Russia, Spanish, Italian

ChatGPT TTPs:
do not use without manual check
T1486, T1566, T1650

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вымогательство как услуга (EAAs) эволюционировало от моделей программ-вымогателей с двойным вымогательством, разделив такие функции, как кража данных и ведение переговоров, на отдельные сервисы с момента своего появления примерно в 2018 году. К 2023-2025 годам EAAs созрела, позволив независимым злоумышленникам монетизировать свою репутацию в области вымогательства, предлагая такие услуги, как ведение переговоров и управление сайтами утечек. Используемые методы включают социальную инженерию и фишинг, при этом цены на услуги часто занижаются двузначными числами, что позволяет максимизировать вовлеченность и финансовую выгоду жертв.
-----

Вымогательство как услуга (EAAs) возникло в результате эволюции моделей программ-вымогателей с двойным вымогательством, которые сочетают кражу данных с шифрованием для создания различных источников дохода в сфере киберпреступности. Эта модель, запущенная примерно в 2018 году, была разработана для разделения таких функций, как кража данных, согласование и публичное раскрытие информации, на отдельные сервисы. Рост EAA означает созревание преступного мира, становясь устоявшейся структурой к 2023-2025 годам, что обусловлено экономическими факторами, такими как снижение ставок выплат жертвам.

Эта среда привела к появлению независимых злоумышленников, которые монетизируют свою репутацию грозных вымогателей, предлагая такие услуги, как переговоры, запугивание и управление сайтами утечек, в качестве самостоятельных продуктов. Более того, признанные преступные организации начали выдавать лицензии на свои бренды аффилированным лицам, тем самым усиливая воздействие своих усилий по вымогательству. Известные инициативы, такие как Scattered LAPSUS$ Hunters, подчеркивают переход к структурированной модели обслуживания, способствующей не только доступу к вредоносному ПО, но и брендингу, который присущ признанному вымогателю.

Операционные модели в рамках EAAs характеризуются тактикой, управляемой человеком, которая включает социальную инженерию, атаки фишинга и гибридные кампании. Эти методы позволяют операторам эффективно привлекать потенциальных жертв и использовать оперативные знания для получения максимальной финансовой выгоды. Структура ценообразования на эти услуги, как правило, соответствует простой модели, основанной либо на тарифах за один звонок, либо на продолжительности, обычно выражаемой нижними двузначными числами в валюте США.

#ParsedReport #CompletenessLow
11-12-2025

Cato CTRL Threat Research: A Deep Dive into a New JSCEAL Infostealer Campaign

https://www.catonetworks.com/blog/cato-ctrl-deep-dive-into-new-jsceal-infostealer-campaign/

Report completeness: Low

Threats:
Jsceal

Victims:
Cryptocurrency users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1105, T1583.001

IOCs:
Domain: 47
File: 6
Hash: 4

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JSCEAL, расширенный Стиллер, ориентированных на пользователей криптовалют, превратилась в своего командования и управления (C2) инфраструктуры существенно с начала 2025. В августе 2025, смещаются к более простому методу с использованием одного слова доменных имен в разных доменах верхнего уровня и внедрен строгий контроль доступа, чтобы избежать обнаружения, блокирование не PowerShell пользователей-агентов. В PowerShell PowerShell, которые были переработаны для лучшего стелс, подчеркивая задачи по обнаружению этой Стиллер в условиях нормальной схемы движения.
-----

JSCEAL - это продвинутый стиллер информации, ориентированный на пользователей криптовалютных приложений, который значительно эволюционировал со времени своей первоначальной кампании в первой половине 2025 года. На раннем этапе кампании использовались механизмы командования и контроля (C2), использующие домены, названия которых состоят из нескольких слов, разделенных дефисом, и в основном опирающиеся на домены верхнего уровня .com. Эта стратегия позволила им разместить несколько поддоменов, создав универсальную инфраструктуру для своей деятельности.

В августе 2025 года операторы JSCEAL's обновили свою инфраструктуру C2, выбрав более оптимизированный подход с использованием доменных имен из одного слова — примеры включают "emberstolight.com ." Эта новая стратегия ввела более широкий спектр доменов верхнего уровня, таких как .org, .link и .net, предлагая системный подход к регистрации доменов, который обеспечивает быстрое масштабирование. Каждый новый домен C2 имеет единообразную структуру, последовательно включающую два поддомена: .faro и .api. Такая стандартизация указывает на продуманный, предсказуемый метод развертывания, который аналитики могут наблюдать во всей инфраструктуре новой кампании.

В обновленной инфраструктуре также реализованы строгие меры контроля доступа. Любой HTTP-запрос, в котором отсутствует пользовательский агент PowerShell, немедленно встречает ошибку HTTP 404, эффективно блокируя доступ из стандартных веб-браузеров и многих изолированных сред, которые могут использовать исследователи безопасности. Эта тактика значительно повышает скрытность JSCEAL's, усложняя усилия по обнаружению.

Более того, сценарий PowerShell, используемый в кампании, подвергся существенному рефакторингу. Во время перехода на новую инфраструктуру в августе 2025 года аналитики заметили обновленный загрузчик PowerShell и усовершенствованный build.zip посылка. В то время как JSCEAL работает тихо, не используя громких эксплойтов или уязвимостей, он оставил после себя идентифицируемые признаки, такие как частое подключение к жестко запрограммированному домену и постоянное использование PowerShell для связи со своими серверами C2.

Подводя итог, можно сказать, что кампания в августе 2025 года представляет собой тщательно продуманную эволюцию оперативной тактики JSCEAL с акцентом на скрытность и устойчивость. Операторы использовали законно выглядящую инфраструктуру, скрывая при этом свои вредоносные действия в рамках типичных схем трафика PowerShell. Этот продуманный подход подчеркивает проблемы обнаружения и смягчения последствий, которые создают современные стиллеры информации, такие как JSCEAL.

#ParsedReport #CompletenessMedium
11-12-2025

OT Network Security Threats: Industrial Routers Under Attack

https://www.forescout.com/blog/ot-network-security-threats-industrial-routers-under-attack/

Report completeness: Medium

Actors/Campaigns:
Chaya_005 (motivation: hacktivism)
Twonet (motivation: hacktivism)
Water_barghest

Threats:
Rondodox
Redtail
Shadowv2
Residential_proxy_technique
Ngioweb
Mozi
Mirai

Victims:
Industrial control systems, Ot perimeter devices, Plcs, Hmi webserver, Industrial routers, Industrial firewall, Ip camera, Medical device, Small and medium business vpn routers

Industry:
Healthcare, Iot

Geo:
Israel, Poland, America

CVEs:
CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- four-faith f3x36_firmware (2.0)

CVE-2018-4063 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sierrawireless airlink_es450_firmware (4.9.3)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2025-0108 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.7, <11.1.2, <11.2.4, 10.2.8)

CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor2960_firmware (1.3.1)


ChatGPT TTPs:
do not use without manual check
T1046, T1071.001, T1105, T1110, T1190, T1595

IOCs:
IP: 37
Url: 3

Soft:
Twitter, PAN OS, curl, busybox, UNIX

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние оценки киберугроз в сетях операционных технологий (OT) указывают на большое количество попыток аутентификации с использованием брутфорса на промышленных маршрутизаторах, при этом SSH и Telnet являются наиболее целевыми протоколами. Был идентифицирован новый кластер активности, Chaya_005, ориентированный на снятие отпечатков пальцев с уязвимых периферийных устройств, демонстрирующий поведение, подобное ботнет, без успешной доставки полезной нагрузки. Анализ выявляет уязвимости, которые можно использовать в средах OT, подчеркивая потенциальные риски для критически важной инфраструктуры, связанные с постоянным сканированием и попытками неэтичного использования.
-----

Недавний анализ киберугроз, нацеленных на сети операционных технологий (OT), показывает, что значительное внимание уделяется промышленным маршрутизаторам и связанным с ними устройствам периметра. Исследование показало, что 72% сетевых запросов были попытками аутентификации с помощью брутфорса с помощью таких протоколов, как SSH и Telnet, в то время как на HTTP и HTTPS приходилось 24% запросов, в основном связанных с попытками использования эксплойтов и загрузкой вредоносного ПО. Оставшиеся 4% запросов касались различных других протоколов, включая SIP и DNS, преимущественно не имеющих отношения к контексту ресурсов OT из-за отсутствия ответа от целевых устройств.

Отчетливый анализ распространения вредоносного ПО привел к выявлению нового кластера активности, обозначенного как Chaya_005. Этот кластер иллюстрирует попытки получения отпечатков пальцев уязвимых периферийных устройств, и это постоянно наблюдалось в течение последних двух лет, демонстрируя аналогичное поведение на нескольких IP-адресах и нацеливаясь на различные конечные точки, а не только на устройства одного поставщика. Анализ полезной нагрузки этих запросов выявляет сигнатуру, типичную для действий ботнет, хотя ни один файл не был успешно загружен с соответствующих серверов, что заставляет исследователей подозревать, что поведение может быть вызвано не известным злоумышленником или принадлежностью к национальному государству.

В рамках анализируемого периметра OT устройства включали три промышленных беспроводных маршрутизатора и промышленный брандмауэр различных производителей, а также четыре критически важных открытых ресурса, которые должны оставаться в автономном режиме, таких как ПЛК и HMI веб-сервера, которые были повреждены группой под названием TwoNet. Этот инцидент подчеркивает уязвимости, присущие средам OT, особенно когда критически важные компоненты инфраструктуры ненадлежащим образом подвергаются онлайн-угрозам.

Несмотря на всесторонний сбор данных, остается неясность в отношении мотивов и фактических последствий кластера Chaya_005. Хотя это может быть истолковано как незамерзающее сканирование исследователями или законными организациями, этот сценарий считается маловероятным в контексте наблюдаемого поведения, предполагающего потенциальные попытки неэтичной эксплуатации, нацеленные на уязвимые инфраструктуры OT. Постоянный характер этих атак и сохраняющаяся угроза целостности промышленных систем контроля требуют повышенной бдительности и упреждающих мер безопасности в области OT.