#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга ConsentFix использует принудительное взаимодействие с пользователем для кражи токенов аутентификации OAuth, в частности первичных токенов обновления (PRT), направляя жертв на мошенническую страницу аутентификации Microsoft. Злоумышленник сначала заставляет пользователей вводить свой адрес электронной почты из заранее определенного списка адресатов, гарантируя, что будут введены в заблуждение только законные учетные записи. Усилия по обнаружению сосредоточены на мониторинге сетевого трафика на предмет необычных перенаправлений с локального хостинга, связанных с процессами Microsoft OAuth, поскольку они могут указывать на наличие активности фишинга.
-----

Кампания по фишингу, известная как ConsentFix, представляет собой новый подход к краже токенов аутентификации посредством принудительного взаимодействия с пользователем. Вдохновленный ранее документированными методами, такими как ClickFix и FileFix, ConsentFix специально нацелен на токены OAuth, которые необходимы для аутентификации пользователя.

В рамках этой кампании злоумышленник создает страницу фишинга, которая сначала предлагает жертве ввести действительный адрес электронной почты. Это электронное письмо должно соответствовать заранее определенному списку адресатов, гарантируя, что только законные пользователи смогут продолжить. Как только жертва вводит свою информацию, она перенаправляется на страницу проверки подлинности Microsoft, где ее взаимодействие происходит с сайта фишинга. При входе в систему пользователь генерирует код аутентификации, в частности первичный токен обновления (PRT), который затем перехватывается злоумышленником. Этот токен связан с устройством пользователя, которое должно соответствовать протоколам безопасности Microsoft, что указывает на то, что даже законные учетные данные могут быть скомпрометированы с помощью этого метода.

Чтобы усилить усилия по обнаружению и реагированию, потенциальный метод выявления действий, связанных с ConsentFix, включает мониторинг сетевого трафика на предмет наличия определенных шаблонов URL-адресов. Этот динамический индикатор поиска компромиссов (IOC) фокусируется на законных URL-адресах Microsoft, обычно используемых в процессах OAuth, в частности, на поиске необычных перенаправлений с локального хостинга. Учитывая, что такие перенаправления обычно не наблюдаются в большинстве организационных сред, их наличие может указывать на неблаговидную деятельность. Поиск использует шаблон регулярных выражений, который учитывает идентификаторы клиентов Microsoft, для перехвата попыток, использующих эти возможности OAuth в злонамеренных целях. Примечательно, что, хотя Azure CLI является основным приложением, замеченным в предыдущих инцидентах, тактика, используемая в ConsentFix, предполагает, что другие приложения также могут использоваться для аналогичного фишинга.

#ParsedReport #CompletenessLow
29-12-2025

Fire Ant: A Chinese Espionage Group Operating Beneath the Hypervisor

https://www.sygnia.co/webinars/fire-ant-apt-analysis/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage)

Victims:
Segmented environments

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1562

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская шпионская группа Fire Ant использует передовые технологии, которые работают на уровне гипервизора, чтобы избежать обнаружения и сохранить доступ к нацеленным сетям. Они перешли от тактики программ-вымогателей к методам, поддерживающим закрепление, повышение привилегий и перемещение внутри компании, что эффективно ставит под угрозу сегментированные системы, считающиеся безопасными. В их операциях используются виртуализированные среды, что подчеркивает растущую угрозу со стороны изощренных злоумышленников, которые могут манипулировать функциональными возможностями гипервизора в обход традиционных мер безопасности.
-----

Fire Ant китайской шпионской группы, которая разработала изощренные методы для работы ниже уровня гипервизора, что позволяет им избежать обнаружения при сохранении доступа к нацелен средах. Эта группа перешла от фокусировки на тактике оппортунистической вымогателей используя методы, которые облегчают закрепление, повышение привилегий, и тонкое перемещение внутри компании в рамках сегментированных системах с изолированной и безопасной.

Их деятельность включает в себя многоуровневые подходы, которые используют базовую архитектуру виртуализированных сред, эффективно позволяя им взламывать средства защиты, разделяющие различные сегменты. Эти приемы подчеркивают угрозу, исходящую от продвинутых злоумышленников, которые могут манипулировать функции гипервизора, тем самым минуя традиционные меры безопасности, которые, как правило, мониторинга и защиты операционных систем и потребительских приложений.

Операции Fire Ant's свидетельствуют о тревожной эволюции кибершпионажа, поскольку группа использует свои возможности для поддержания долгосрочного присутствия в нацеленных сетях, что делает их особенно опасными для организаций, использующих стратегии изоляции на основе гипервизоров для обеспечения безопасности. Этот случай подчеркивает необходимость усовершенствованных механизмов обнаружения и предотвращения, учитывающих угрозы, действующие на уровне гипервизора, поскольку обычные методы могут оказаться неэффективными против таких скрытых, изощренных векторов атак.

#ParsedReport #CompletenessLow
29-12-2025

Lateral Movement via Checkmk Edit

https://pentest.party/posts/2025/checkmk/

Report completeness: Low

Victims:
Checkmk users, It monitoring environments

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1027, T1059, T1078, T1105, T1199, T1210, T1552, T1555

IOCs:
File: 2

Soft:
Checkmk, Linux, curl

Languages:
python

Links:
have more...
https://github.com/dadevel/blog/blob/main/content/posts/2025/checkmk/
https://github.com/ufrisk/memprocfs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Оценка Checkmk выявила множество уязвимостей, особенно касающихся управления учетными данными и контроля доступа, включая обнаружение учетных данных VMware vCenter с высокими привилегиями в хранилище паролей. Централизованная архитектура системы в режиме распределенного мониторинга представляет риск, поскольку компромиссы на центральном узле могут позволить манипулировать конфигурацией на всех подключенных удаленных узлах. Эти слабые места облегчают потенциальное перемещение внутри компании внутри сетей и подчеркивают значительные проблемы безопасности, связанные с выполнением команд и повышением привилегий.
-----

Checkmk - это система мониторинга на основе агентов, которая использует TCP-порт 6556 для сбора данных от своих агентов. Во время недавнего пентеста было обнаружено несколько уязвимостей, присущих Checkmk, что делает его привлекательной целью для злоумышленников. Первоначально оценка выявила наличие учетных данных Checkmk в истории командной строки сервера Linux, что указывает на потенциальный маршрут несанкционированного доступа.

При попытке получить доступ к веб-интерфейсу Checkmk с этими учетными данными стало очевидно, что, хотя они были действительны, они были ограничены доступом к API, поскольку пользователь автоматизации был отклонен, но при вводе неправильных учетных данных генерировалась ошибка “неправильное имя пользователя или пароль”. Несмотря на ограничения аутентификации, Checkmk предлагает администраторам множество функциональных возможностей, включая возможность установки пакетов расширений как на стороне сервера, так и на стороне агента. При изучении этой функции был выявлен более простой метод выполнения команд на сервере Linux, указывающий на системные недостатки в том, как Checkmk управляет доступом и выполнением.

Кроме того, Checkmk включает в себя сохранять пароль провести учетные данные для различных внешних систем, он контролирует, что позволяет для легкого доступа, если злоумышленник получает выполнения команды на Checkmk хозяина. Во время тестирования высокого привилегированные учетные данные на платформе vSphere были извлечены из этого магазина, демонстрируя высокий профиль риска Checkmk с точки зрения управления учетными данными и связанных с ним привилегий.

Еще больше усложняя ситуацию с безопасностью, Checkmk может быть сконфигурирован в режиме распределенного мониторинга, когда центральный сайт имеет полный контроль над удаленными сайтами. Такая централизованная структура означает, что любые компромиссы на центральном узле могут привести к легкому манипулированию конфигурациями на всех подключенных удаленных узлах, что еще больше расширяет зону досягаемости злоумышленника.

Наконец, Checkmk Enterprise предлагает функцию, известную как Agent Bakery, которая облегчает распространение обновлений приложений среди агентов мониторинга с помощью подписанных установочных пакетов. Для установки этих пакетов требуется ключ, защищенный паролем, что создает дополнительный уровень безопасности. Однако необходимость вводить этот пароль при каждом запуске обновления потенциально может привести к возможному использованию, если злоумышленник получит достаточный контроль над системой.

Таким образом, оценка Checkmk выявила критические уязвимости и области потенциального использования, включая управление учетными данными, возможности выполнения и последствия централизованной архитектуры в распределенной системе мониторинга, все из которых могут способствовать перемещению внутри компании в сетях.

#ParsedReport #CompletenessLow
29-12-2025

Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure

https://aws.amazon.com/ru/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

Report completeness: Low

Actors/Campaigns:
Sandworm
Curly_comrades

Threats:
Credential_harvesting_technique
Curlyshell
Curlcat

Victims:
Critical infrastructure, Energy sector

Industry:
Energy, Critical_infrastructure, Telco

Geo:
America, Russian, Middle east, Russia

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2022-26318 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.1.3, <12.5.9, <12.7.2)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence_server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1071, T1078, T1190, T1557

IOCs:
IP: 8
File: 5

Soft:
Confluence, Hyper-V, GuardDuty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая российским государством киберкампания нацелена на критическую инфраструктуру Запада, в частности на энергетический сектор, используя неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, а не используя прямые уязвимости. Кампания включает в себя пассивный сбор учетных записей, при этом шаблоны атак указывают на возможность перехвата трафика аутентификации пользователей. Скомпрометированные устройства, размещенные на AWS из-за неправильных настроек клиентов, облегчают постоянный доступ, и существуют связи с другими хакерскими группировками, что свидетельствует о скоординированных усилиях, связанных с российским управлением военной разведки ГРУ.
-----

Amazon Threat Intelligence сообщила о масштабной спонсируемой российским государством киберкампании, нацеленной на критическую инфраструктуру Запада, с особым акцентом на энергетический сектор в период с 2021 по 2025 год. Эта кампания знаменует собой стратегический сдвиг, поскольку злоумышленники отошли от прямого использования уязвимостей и вместо этого используют неправильно сконфигурированные периферийные устройства клиентской сети в качестве основного средства для первоначального доступа. Такая адаптация не только облегчает сбор учетных записей, но и позволяет акторам сохранять более низкий статус и минимизировать затраты ресурсов.

Операции кампании по сбору учетных записей демонстрируют модель пассивного сбора, а не активного воровства, о чем свидетельствует промежуток времени, наблюдаемый между компрометацией устройств и последующими попытками аутентификации с помощью служб-жертв. Злоумышленники используют учетные данные скомпрометированной организации, что указывает на их способность перехватывать трафик аутентификации пользователей. Известные методики, согласующиеся с операциями, приписываемыми Sandworm, включают перехват сетевого трафика, а нацеливание на периферийные устройства сети играет решающую роль в размещении злоумышленников для перехвата учетных данных при передаче.

Дальнейший анализ показывает, что злоумышленники скомпрометировали инфраструктуру, размещенных на Amazon веб-сервисы (АРМ). Это не из-за каких-либо уязвимостей в себя АРМ; скорее, это произошло в результате ошибки в конфигурации устройства поддержки. Постоянные и интерактивный доступ был учрежден актор-контролируемых IP-адресов, подключение к зараженным экземпляры EC2, с указанием согласованного подхода к использованию программного обеспечения сетевой клиент бытовой техники.

Интересно, что полученные данные свидетельствуют о совпадении с другой хакерской группировкой, идентифицированной Bitdefender как "Curly COMrades". Эта связь указывает на потенциальное сотрудничество в рамках более широкой кампании, предположительно связанной с российским военным разведывательным управлением ГРУ.

В ответ на эти выводы Amazon предприняла меры по пресечению текущей деятельности этих злоумышленников, тем самым сократив доступную площадь для атак. Они взяли на себя обязательство продолжать сотрудничество с сообществом безопасности в целях усиления коллективной защиты от спонсируемых государством угроз, нацеленных на критически важную инфраструктуру. В преддверии 2026 года организациям энергетического сектора и других областей критически важной инфраструктуры рекомендуется уделять приоритетное внимание проверке журналов доступа на предмет попыток аутентификации, связанных с отмеченными индикаторами компрометации (IOCS).

#ParsedReport #CompletenessMedium
29-12-2025

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

https://securelist.com/honeymyte-kernel-mode-rootkit/118590/

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Toneshell
Tonedisk_tool
Plugx_rat

Victims:
Organizations in asia

Industry:
Government

Geo:
Thailand, Asia, Myanmar

ChatGPT TTPs:
do not use without manual check
T1014, T1055, T1106, T1543.003, T1553.002, T1562.001

IOCs:
File: 4
Path: 1
Domain: 2
Hash: 3

Soft:
Microsoft Defender

Algorithms:
xor, prng

Win API:
ZwQuerySystemInformation, CmRegisterCallbackEx, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutine, SeLocalSystemSid, CoCreateGuid

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года APT-группировка HoneyMyte использовала руткит в режиме ядра и бэкдор под названием ToneShell, используя для эксплуатации скомпрометированный драйвер с истекшим сроком действия цифрового сертификата. Этот драйвер действует как мини-фильтр, облегчая внедрение бэкдора, избегая обнаружения и скрывая процессы с помощью встроенного шеллкода. Бэкдор ToneShell, поставляемый с помощью этого загрузчика в режиме ядра, позволяет вредоносному ПО обходить проверки безопасности, подчеркивая передовые методы группы в борьбе с киберугрозами.
-----

В середине 2025 года было замечено, что APT-группировка, известная как HoneyMyte, применяла усовершенствованную вредоносную тактику, в частности, с помощью руткита в режиме ядра и бэкдора, идентифицированного как ToneShell. Ключевым элементом этой атаки был скомпрометированный файл драйвера, содержащий цифровой сертификат от Guangzhou Kingteller Technology Co., Ltd., который был использован после истечения срока его действия в 2015 году. Этот файл драйвера действует как мини-фильтр, предназначенный для облегчения внедрения троянца-бэкдора в систему, скрывая при этом вредоносные процессы и ключи реестра от обнаружения.

Технический анализ показал, что драйвер содержит встроенные шелл-коды в своем двоичном коде, которые выполняются как отдельные потоки пользовательского режима. Функциональность руткита в основном направлена на защиту драйвера и внедренного в него кода от любого системного процесса, пытающегося получить к ним доступ. Драйвер достигает этого путем взаимодействия с основными системными компонентами, в частности, путем вызова "ZwQuerySystemInformation" для получения адресов основных библиотек DLL, таких как `ntoskrnl.exe ` и`fltmgr.sys `, который он использует для дальнейших вредоносных действий.

Чтобы сохранить свою скрытность, драйвер регистрируется в диспетчере фильтров и устанавливает функцию обратного вызова перед операцией для запросов ввода-вывода. Этот обратный вызов запускается при запросе конкретной информации о файле, позволяя вредоносному ПО нарушать операции, связанные с его файлами, путем отказа в доступе. Более того, для защиты разделов реестра вредоносное ПО регистрирует процедуру обратного вызова, присваивая себе жестко заданное значение высоты, которое гарантирует, что его операции выполняются под допустимыми фильтрами в стеке ввода-вывода, эффективно скрывая свое присутствие.

Реализация полезной нагрузки вредоносного ПО включает в себя запуск процесса svchost, в который он вводит дополнительный шелл-код, позволяющий ему отслеживать новый идентификатор процесса и манипулировать им для своих текущих операций. На заключительном этапе атаки запускается бэкдор ToneShell, отмечающий первый случай, когда эта полезная нагрузка была доставлена через загрузчик в режиме ядра. Это нововведение позволяет бэкдору обходить традиционные проверки безопасности, происходящие в пользовательском режиме, используя возможности руткита, чтобы скрывать свои действия от инструментов мониторинга.

Доказательств, однозначно указывает на HoneyMyte злоумышленник, особенно с учетом конкретного использования ToneShell в качестве окончательной грузоподъемности и наличием дополнительных вредоносное ПО вредоносные программы обычно ассоциируется с этой группой, например PlugX и ToneDisk. Эта эволюционирующая тактика подчеркивает растущую изощренность киберугроз в среде и необходимость принятия надежных мер безопасности против подобных манипуляций на уровне ядра.

#ParsedReport #CompletenessMedium
29-12-2025

Golden Eye Dog (APT-Q-27) abused AWS S3 buckets to distribute the latest malicious payloads

https://xz.aliyun.com/news/90793?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog

Threats:
Procmon_tool
Process_hacker_tool

Geo:
Hong kong, Japan, India, China, California, San francisco, Philippines, Tokyo

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1583.001, T1583.003, T1583.004

IOCs:
Hash: 26
File: 6
Registry: 3
IP: 37

Soft:
qemu, process explorer, Chrome, Firefox, Sogou

Algorithms:
zip, base64, md5, crc-32, sha256, sha1

Functions:
smethod_0

Win API:
ShellExecuteExA

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, использует пакеты AWS S3 для распространения вредоносных полезных данных, что отражает растущую изощренность хакерских группировок, использующих законные Облачные сервисы для своих операций. Действия, приписываемые этой группе, были связаны с IP-адресами в основном в Гонконге и Индии, что свидетельствует о хорошо скоординированной инфраструктуре для крупномасштабных атак. Хотя специфика вредоносного ПО остается неопределенной, использование AWS указывает на возможное размещение двоичных файлов вредоносного ПО или инфраструктуры управления в облаке.
-----

APT-Q-27, также известный как Golden Eye Dog, был идентифицирован как использующий пакеты Amazon Веб-служб (AWS) S3 для распространения вредоносных полезных данных. Эта тактика подчеркивает растущую изощренность хакерских группировок в использовании законных Облачных сервисов для облегчения своих операций, избегая при этом мер обнаружения.

Вредоносные действия, приписываемые APT-Q-27, были прослежены до ряда IP-адресов, преимущественно расположенных в Гонконге и Индии, что указывает на обширное присутствие инфраструктуры, направленное на поддержку их операций. Наличие нескольких IP-адресов в этих регионах свидетельствует о хорошо скоординированном подходе к атакам на основе облачных вычислений, подчеркивая потенциал широкомасштабного распространения вредоносного программного обеспечения без использования традиционных методов размещения.

Конкретный характер вредоносных полезных нагрузок в отчете не был подробно описан; однако использование сегментов AWS S3 обычно указывает на стратегию, которая может включать размещение двоичных файлов вредоносного ПО или инфраструктуры управления (C2) в облачной среде Amazon. Это позволяет злоумышленникам использовать надежные и масштабируемые ресурсы для своей незаконной деятельности, а также использовать надежную платформу для сокрытия своих оперативных следов.

Учитывая растущую частоту подобных атак с использованием облачной инфраструктуры, организациям настоятельно рекомендуется усовершенствовать свои методы обеспечения безопасности в облаке. Это включает в себя осуществление строгого контроля доступа и мониторинга, разрешения ведро S3, чтобы предотвратить неправильное использование облачных ресурсов по субъектам угрозы как apt-Q-27. В качестве угроз продолжает расти, приспосабливаясь меры безопасности для защиты от этих форм эксплуатации будет иметь решающее значение в защите конфиденциальных данных и снижение рисков, связанных с киберугрозами.

#ParsedReport #CompletenessLow
29-12-2025

RondoDoX Botnet Weaponizes React2Shell

https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell

Report completeness: Low

Threats:
Rondodox
React2shell_vuln
Coinminer
Mirai
Credential_harvesting_technique

Victims:
Web applications, Iot devices

Industry:
Iot

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1190, T1496, T1505, T1583.001, T1583.003

IOCs:
File: 1
IP: 8
Hash: 4

Soft:
WebLogic, Drupal, WordPress, curl

Languages:
java

Platforms:
x86, mips, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 9, table: 1, chats: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4