#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительно возросла активность по разведке, нацеленная на Ivanti Connect Secure, особенно из-за уязвимости CVE-2025-0282, из-за которой количество сканирований увеличилось в 100 раз. Задействованы две кампании: в одной используется агрессивное сканирование из Румынии и Молдовы, в то время как в другой используется метод распределенной ботнет-сети через residential proxies и мульти-Облачные сервисы, чтобы избежать обнаружения. Обе кампании нацелены на конкретную конечную точку, связанную с этой уязвимостью высокого риска, подчеркивая ее потенциальное использование.
-----

Недавние действия по разведке, направленные против Ivanti Connect Secure, значительно активизировались: GreyNoise сообщила о 100-кратном увеличении числа проверок на наличие уязвимости CVE-2025-0282 в период с 21 по 28 января. Этот всплеск атрибутирован с двумя различными кампаниями, в каждой из которых используются разные методы и инфраструктура. Первая кампания, идентифицированная как действующая из кластера AS213790, характеризовалась активными действиями по сканированию преимущественно из Румынии и Молдовы, в результате чего было проведено более 34 000 сеансов.

В отличие от этого, во второй кампании был применен более скрытный подход к распределенному ботнете с использованием скомпрометированных хостов. Этот метод включал использование сетей residential proxy для использования законных IP-адресов и стратегию развертывания в нескольких облаках, в которой использовались различные поставщики облачных услуг для минимизации риска обнаружения. Оперативные методы предполагают либо одного актора, использующего различные инструменты, либо потенциально конкурирующие группы, осведомленные об уязвимости и действующие одновременно.

Обе кампании специально нацелены на конечную точку по адресу /dana-na/auth/url_default/welcome.cgi, которая привязана к CVE-2025-0282. Показатель по системе оценки вероятности использования этой уязвимости (EPSS) составляет 93,05%, что указывает на высокую вероятность ее использования, чего нельзя сказать о соответствующем CVE-2025-0283, у которого показатель EPSS значительно ниже и составляет 0,18%. Высокая степень использования CVE-2025-0282 подчеркивает настоятельную необходимость обновления своих систем организациями, использующими Ivanti Connect Secure.

Для защитников необходимы немедленные действия. Это включает в себя обеспечение применения исправлений для защиты от потенциальной эксплуатации с уделением особого внимания просмотру журналов на предмет любых попыток несанкционированного доступа к уязвимой конечной точке. Организациям следует пересмотреть свою уязвимость к сети, особенно в отношении любых подключенных к Интернету установок Ivanti, поскольку они могут быть включены в список нацеленных атак. Постоянный мониторинг и тщательная проверка внешних запросов к идентифицированной конечной точке имеют решающее значение, поскольку использование CVE-2025-0282, по-видимому, неизбежно.

#ParsedReport #CompletenessLow
29-01-2026

Tycoon 2FA Campaign Abusing *.contractors Domains for Gmail and Microsoft 365 Credential Harvesting

https://malwr-analysis.com/2026/01/29/tycoon-2fa-campaign-abusing-contractors-domains-for-gmail-and-microsoft-365-credential-harvesting/

Report completeness: Low

Threats:
Tycoon_2fa
Credential_harvesting_technique

Victims:
Gmail users, Microsoft 365 users, Outlook users

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566, T1566.002, T1583.001

IOCs:
Url: 29

Soft:
Gmail, Outlook

Algorithms:
zip, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по сбору учетных записей нацелена на пользователей Gmail и Microsoft 365, используя недавно зарегистрированные домены *.contractors для создания фишингов -страниц, имитирующих законные интерфейсы входа в систему. Такой подход позволяет злоумышленникам избежать обнаружения, захватывая не только имена пользователей и пароли, но и информацию, связанную с двухфакторной аутентификацией. Кампания иллюстрирует эволюционирующую природу тактики фишинга, которая использует социальную инженерию и, казалось бы, заслуживающие доверия домены для повышения шансов на успех.
-----

Недавний сбор учетных записей учетных данных было выявлено, в первую очередь ориентированных на пользователей Gmail и Microsoft 365/Outlook через эксплуатацию вновь регистрируемых *.производство земляных доменов. Эта кампания использует эти домены для создания фишинг-страниц, маскирующихся под легитимные интерфейсы входа, заманивая жертв введя свои учетные данные.

Техника, используемая в этой кампании, подчеркивает растущую тенденцию среди киберпреступников регистрировать доменные имена, которые должны казаться пользователям заслуживающими доверия, тем самым повышая вероятность успешных попыток фишинга. Используя недавно зарегистрированные домены, злоумышленники могут избежать обнаружения средствами безопасности, которые, возможно, еще не классифицировали эти адреса как вредоносные. Вредоносные страницы специально разработаны для захвата не только личных учетных данных, но и информации, связанной с процессами двухфакторной аутентификации (2FA), что делает атаки более убедительными.

В этом контексте крайне важно, чтобы пользователи были бдительны и проверяли подлинность URL-адресов, прежде чем вводить свои учетные данные, особенно при запросе информации для входа в систему по нежелательным электронным письмам. Кампания подчеркивает непрерывную эволюцию стратегий фишинга и необходимость повышения осведомленности пользователей и методов обеспечения кибербезопасности для защиты от подобных угроз. Эффективное использование тактики социальной инженерии в сочетании со злоупотреблением доменами, выглядящими законными, позиционирует эту кампанию как значительный риск для организационной и индивидуальной безопасности.

#ParsedReport #CompletenessHigh
30-01-2026

When Malware Talks Back

https://www.pointwild.com/threat-intelligence/when-malware-talks-back

Report completeness: High

Actors/Campaigns:
Aesxor

Threats:
Pulsar_rat
Donut
Lolbin_technique
Process_injection_technique
Credential_harvesting_technique
Stealer37
Costura_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Ngrok_tool
Teamviewer_tool
Radmin_tool

Victims:
Windows users, Cryptocurrency users, General enterprises

Industry:
Entertainment

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 16
Registry: 2
Command: 1
Path: 1
Hash: 6
IP: 1

Soft:
Discord, Telegram, Process Explorer, Microsoft Visual Studio, Windows security, Windows Scheduled Task, Coreftp, CyberDuck, FoxMail, FTPGetter, have more...

Algorithms:
md5, chaskey, zip, xor, base64, exhibit

Functions:
Main, CreateNoWindow, PostAsync, SendToTelegram

Win API:
CreateRemoteThread, OpenProcess, VirtualAllocEx, WriteProcessMemory

Languages:
ruby, powershell, jscript, dotnet, visual_basic, python, javascript

Links:
https://github.com/TheWover/donut
https://github.com/volexity/donut-decryptor
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания Pulsar RAT использует передовые методы уклонения, включая методы living-off-the-land и доставку полезной нагрузки в память. Заражение начинается с пакетного файла, который создает скрытый каталог и запускает встроенный загрузчик PowerShell, который использует операции XOR для запутывания полезной нагрузки и Внедрения кода в процесс в такие целевые объекты, как svchost.exe . Вредоносное ПО обладает широкими возможностями наблюдения, включая доступ к веб-камере и эксфильтрацию данных через службы обмена сообщениями, поддерживаемую модулями для подсчета пользователей и утечки информации.
-----

Расследование многоэтапной Вредоносной Кампании выявило развертывание троянца удаленного доступа (RAT) под названием Pulsar RAT, который использует сложные методы уклонения, такие как методы living-off-the-land и доставки полезной нагрузки в памяти. Цепочка заражения начинается с замаскированного пакетного файла, который настроен на сохранение с помощью раздела реестра для каждого пользователя. Этот файл запускает встроенный загрузчик PowerShell, сводя к минимуму наблюдаемые артефакты на диске.

Пакетный файл содержит логику для создания скрытого каталога и кодирования его полезной нагрузки с помощью Base64. После выполнения он извлекает и декодирует скрипт PowerShell, который содержит массив байтов, подлежащий побитовой операции XOR, а затем инициирует сложную процедуру Внедрения кода в процесс. Эта процедура включает в себя установку уровня взаимодействия Win32 для доступа к ключевым API Windows, последующее выделение памяти в целевом процессе — обычно svchost.exe — для ввода шелл-кода. Механизмы миграции процессов и мониторинга вредоносного ПО повышают его закрепление, позволяя ему переключаться на более безобидные процессы, такие как explorer.exe когда это необходимо.

Полезная нагрузка использует фреймворк Donut, облегчающий выполнение дополнительных полезных нагрузок, загружаемых из памяти, которые шифруются с использованием блочного шифра Chaskey для дополнительной скрытности. Вредоносное ПО также обладает надежными методами антианализа, с подпрограммами для обнаружения средств отладки и проверками среды, чтобы избежать запуска на виртуальных машинах или в изолированных средах.

В вредоносное ПО также встроено перечисление учетных записей пользователей и привилегий, что позволяет ему оценивать свои возможности для дальнейших вредоносных действий, включая закрепление с помощью запланированных задач и записей реестра. Кроме того, он отслеживает активность буфера обмена для адресов криптовалютных кошельков, отправляя обнаруженные данные на удаленный командный сервер.

Возможности наблюдения особенно сложны: вредоносное ПО может получать доступ к веб-камере жертвы, транслировать видео в реальном времени и захватывать аудио с помощью Windows Core Audio API. Эксфильтрация данных происходит по различным каналам, включая популярные платформы обмена сообщениями и автоматические скрипты, которые используют API для загрузки украденной информации. Оба пульсара.Модули Common и Stealer37 загружаются в память, причем последний, предположительно, выполняет утечку информации в широком спектре приложений и служб.

#ParsedReport #CompletenessHigh
30-01-2026

ShadowHS: A Fileless Linux PostExploitation Framework Built on a Weaponized hackshell

https://cyble.com/blog/shadowhs-fileless-linux-post-exploitation-framework/

Report completeness: High

Threats:
Shadowhs_tool
Hackshell_tool
Credential_harvesting_technique
Rondodox
Kinsing_miner
Xmrig_miner
Ebury
Credential_stealing_technique
Gminer
Lolminer
Gsocket_tool
Gs-netcat
Rustscan_tool
Dirty_pipe_vuln

Victims:
Enterprise environments, Cloud hosted linux environments

Industry:
Ics

CVEs:
CVE-2025-21756 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.235, <5.15.179, <6.1.131, <6.6.79, <6.12.16)


TTPs:
Tactics: 9
Technics: 1

IOCs:
Coin: 3
IP: 5
Domain: 3
File: 1
Hash: 26

Soft:
Linux, OpenSSL, Microsoft Defender, OpenSSH, AppArmor, Bitrix, WordPress, Docker, rsync

Algorithms:
gzip, sha256, base64, kawpow, aes-256-cbc, exhibit

Functions:
_once, gpu, rs, rs1

Win API:
decompress

Languages:
golang, perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cyble Research выявила сложную платформу для проникновения в Linux под названием ShadowHS, которая использует загрузчик без файлов и использует передовые методы скрытности для действий после эксплуатации. Фреймворк работает полностью в памяти, избегая записи на диск с помощью таких методов, как подмена argv 0 и анонимные файловые дескрипторы, что затрудняет обнаружение и судебно-медицинский анализ. В ShadowHS реализованы неактивные функции для получения учетных данных и перемещения внутри компании, оптимизированные для уклонения от систем обнаружения, что указывает на нацеленность на поддержание длительного доступа к нацеленным средам.
-----

Cyble Research & Intelligence Labs обнаружила сложную платформу для взлома Linux, известную как ShadowHS, которая использует загрузчик без файлов и вооруженный вариант hackshell для действий после эксплуатации. Этот фреймворк примечателен своим акцентом на скрытность и управляемые оператором взаимодействия, что отличает его от обычного вредоносного ПО для Linux, которое фокусируется на быстром распространении или монетизации. ShadowHS выполняется полностью из памяти, используя такие методы, как анонимные файловые дескрипторы, подмена argv 0 и предотвращение постоянных файловых артефактов, что значительно усложняет обнаружение и судебно-медицинский анализ.

Основным компонентом фреймворка является многоступенчатый зашифрованный загрузчик оболочки, который облегчает расшифровку, реконструкцию и выполнение полезной нагрузки без записи файлов на диск. После развертывания полезная нагрузка работает в памяти и при необходимости способна загружать дополнительные вредоносные компоненты, такие как эксплойты ядра или криптоминеры. Этот операционный дизайн в значительной степени ориентирован на осведомленность об окружающей среде и обнаружение средств контроля безопасности, гарантируя, что злоумышленники смогут оставаться незаметными в корпоративной среде.

Внутри фреймворк содержит бездействующие функциональные возможности, которые могут быть активированы, включая получение учетных данных, перемещение внутри компании и Несанкционированное использование ресурсов, обеспечивая гибкость в зависимости от целей оператора. Возможности скрытности усиливаются механизмами, которые отключают историю командной оболочки, скрывают артефакты команд и перемещают временные файлы, тем самым сводя к минимуму следы, оставляемые на скомпрометированных системах. Кроме того, полезная нагрузка предназначена для обнаружения конечных точек и антивирусных решений и уклонения от них, что позволяет операторам продолжать использовать скомпрометированную инфраструктуру без помех.

По сути, ориентированный на оператора характер ShadowHS, наряду с его изощренной тактикой уклонения и способностью проводить разведку, больше соответствует передовым платформам вторжения или инструментам red-teaming, а не более универсальному Linux- вредоносному ПО. Поскольку он активно проверяет наличие облачных агентов и инструментов мониторинга в облачных средах, его возможности адаптированы для эффективной работы в защищенных сетях. Проиллюстрированный продвинутый метод работы указывает на высокий уровень стратегического планирования со стороны злоумышленников, стремящихся к длительному доступу и контролю над системами, на которые нацелены.

#ParsedReport #CompletenessLow
30-01-2026

From Code to Coverage (Part 4): Hunting SOAPHound - The (!FALSE) Pattern

https://www.huntress.com/blog/ldap-active-directory-detection-part-four

Report completeness: Low

Threats:
Soaphound_tool
Impacket_tool
Bloodhound_tool

Victims:
Active directory environments

Industry:
Education

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1046, T1069.002, T1087.002

Soft:
Active Directory, ChatGPT, Claude

Functions:
Write-Host, GetUserSPNs

SIGMA: Found

Links:
https://github.com/FalconForce/SOAPHound/blob/main/SOAPHound/LDAP/LDAPFilter.cs
https://github.com/FalconForceTeam/SOAPHound
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В soaphound SOAPHound использует активный веб-веб-сервисы (веб) через SOAP/XML на порт 9389, затрудняющих обнаружение своим запросов будут являться localhost в журналы. Ключевое поведение включает интерпретацию несуществующих ссылок на атрибуты как ЛОЖНЫХ, изменение шаблонов запросов и использование согласованных значений SDFlags:0x7 во время операций, в отличие от других инструментов. Такое поведение скрывает оригинальный запросы в журналы и подчеркивает необходимость особых методов обнаружения ориентируясь на определенные шаблоны и флаги, связанные с SOAPHound.
-----

Анализ посвящен поведению инструмента SOAPHound, который использует Веб-службы Active Directory (ADWS) посредством обмена данными SOAP/XML через порт 9389, отмечая заметный переход от ранее обсуждавшихся инструментов перечисления на основе LDAP. Этот переход усложняет усилия по обнаружению, поскольку запросы SOAPHound, по-видимому, исходят от localhost в журналах событий с идентификатором 1644, тем самым скрывая фактический источник трафика.

В ходе тестирования был сделан важный вывод относительно того, как SOAPHound создает запросы. Ключевым выявленным поведением было то, что любые ссылки на несуществующие атрибуты в запросе интерпретируются как ЛОЖНЫЕ, а не как неопределенные, в соответствии с технической спецификацией Microsoft Active Directory. Это приводит к схеме, где любые такие запросы перевести в отрицание ложного, представленный как (! (Ложь)). Интересно, что такое поведение согласуется с различными типами запросов SOAPHound, что предполагает универсальную методологию, а не ограниченную конкретными случаями.

При сравнении реальных операций SOAPHound с лабораторными тестами было замечено заметное различие в отношении SDFlags. В отличие от SharpHound, который выборочно использует значения SDFlags 0x4 или 0x5 для перечисления дескрипторов безопасности, SOAPHound последовательно использует SDFlags:0x7 в различных операциях, независимо от того, запрашиваются ли дескрипторы безопасности. Такое жестко запрограммированное поведение указывает на особый подход в реализации ADWS, что повышает значимость методологий обнаружения.

Ключевые результаты этих исследований показывают, что понимание тонких преобразований запросов LDAP имеет решающее значение для обнаружения. Обманчивая схема ЛОЖНОГО отрицания означает, что исходные запросы могут стать фактически невидимыми в журналах, что усложняет судебно-медицинский анализ. Надежное обнаружение SOAPHound может быть достигнуто путем распознавания этого специфического шаблона и мониторинга наличия SDFlags в связанных запросах. Имея более четкое представление об операциях и поведении SOAPHound's, аналитики могут лучше предвидеть, как этот инструмент может уклоняться от обычных методов обнаружения, оставляя после себя уникальные криминалистические маркеры. Это создает основу для многоуровневых стратегий обнаружения, интегрирующих знания из всех четырех рассмотренных аналитических частей, что в конечном итоге расширяет возможности защиты от такой тактики в области кибербезопасности.

#ParsedReport #CompletenessMedium
30-01-2026

Inside the EmEditor supply chain compromise

https://www.reversinglabs.com/blog/emeditor-supply-chain-compromise

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Software vendors, Emeditor users

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1195, T1204.002, T1553.002, T1583.001

IOCs:
IP: 11
Domain: 24
Hash: 24
File: 2
Url: 5

Soft:
Twitter, Windows Installer, NGINX

Algorithms:
sha256, exhibit

Functions:
RemoveShortcut

Languages:
powershell, visual_basic

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на EmEditor демонстрирует продвинутую тактику злоумышленников, включающую в себя компрометацию законного процесса распространения программного обеспечения в два этапа: регистрацию доменов-двойников C2 и развертывание скрытого установщика. Использование некорректного установщика MSI затрудняет идентификацию подделанных компонентов, подчеркивая техническую сложность атак по Цепочке поставок. Кроме того, анализ выявил сервер C2, подключенный к загрузчику PowerShell stager, что еще раз иллюстрирует скрытые методы, используемые для облегчения выполнения вредоносного ПО.
-----

Компрометация цепочки поставок с участием EmEditor иллюстрирует сложную тактику, применяемую злоумышленниками для манипулирования распространением программного обеспечения. Атака проходила в два основных этапа, ознаменованных стратегическими подготовительными действиями и последующим использованием законного механизма распространения. Первоначально злоумышленники зарегистрировали похожие домены управления (C2) незадолго до взлома веб-сайта и подделки загрузок установщика. В частности, 19 декабря злоумышленники перенаправили кнопку "Загрузить сейчас" на бэкдорный установщик вместо аутентичной версии, которая была доработана до этой даты. Злоумышленники вновь появились 29 декабря, нацелившись на новую версию программного обеспечения, снова используя только что зарегистрированные домены и подписывая установщиков с намерением ввести пользователей в заблуждение.

Анализ вредоносного установщика MSI выявил значительные проблемы, связанные с выявлением поврежденных компонентов. Формат файла установщика Windows, который является типом составного файла, предлагает структурированный подход к хранению данных, но требует специального анализа, чтобы определить, где произошли изменения. Это подчеркивает сложность, связанную с анализом таких файлов при атаках по Цепочке поставок.

С точки зрения анализа инфраструктуры, злоумышленники использовали сервер C2, идентифицированный по IP-адресу 46.28.70.245, связанному с доменом emeditorde.com . В этой настройке запрос GET к домену возвращает HTTP-код состояния 301, постоянно перемещенный, перенаправляющий на загрузку PowerShell stager, что указывает на преднамеренный механизм, приводящий жертв к выполнению вредоносного ПО.

Для укрепления обороноспособности в статье освещаются важнейшие упреждающие меры. Особое внимание уделяется мониторингу брендов и доменов в качестве средств раннего предупреждения, позволяющих организациям обнаруживать похожие домены или домены с typo-squatted-домены, которые могут указывать на настройку инфраструктуры перед атакой. Внедряя механизмы упреждающего мониторинга, организации потенциально могут снизить риск, обеспечив своевременные защитные действия до того, как произойдет вторжение. Кроме того, организациям рекомендуется создавать предопределенные списки ответов на любые подозрительные регистрации доменов, напоминающих их бренд, в рамках надежной стратегии защиты. Это может включать проверку, мониторинг DNS и анализ внутренних угроз, превращая пассивное наблюдение в действенные меры реагирования для усиления защиты от таких угроз Цепочки поставок.

#ParsedReport #CompletenessLow
30-01-2026

Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft

https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: information_theft)
Unc6240

Threats:
Credential_harvesting_technique
Residential_proxy_technique
Nsocks_tool

Victims:
Corporate environments, Cloud saas users, Salesforce users, Cryptocurrency related entities

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1090, T1530, T1556.006, T1566.002, T1566.003, T1583.001, T1650, T1651, have more...

IOCs:
IP: 19
Email: 2
File: 4

Soft:
Salesforce, Slack, Microsoft Office, Chrome, Mac OS, Gmail, Outlook, OFFICE_365

Languages:
powershell

Platforms:
apple, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mandiant сообщает об активизации тактики вишинга со стороны хакерских группировок UNC6661 и UNC6671, уделяющих особое внимание сбору учетных записей для доступа к конфиденциальным корпоративным данным из приложений SaaS. UNC6661 использует сайты фишинга, имитирующие корпоративный брендинг, в то время как UNC6671 использует аналогичную тактику, в частности, захватывает учетные данные Okta и использует PowerShell для извлечения данных из SharePoint и OneDrive. Такая эволюция тактики сигнализирует о стратегическом сдвиге в сторону ориентации на более широкий спектр облачных платформ и установления отношений для дальнейшего использования.
-----

Компания Mandiant сообщила о значительном росте активности злоумышленников, связанных с брендом ShinyHunters, уделяя особое внимание сложным методам вымогательства и использованию веб-сайтов для сбора учетных записей для проникновения в корпоративную среду. Основной целью этих операций является получение доступа к конфиденциальным корпоративным данным, в частности, из облачных приложений "программное обеспечение как услуга" (SaaS), которые злоумышленники впоследствии извлекают для целей вымогательства.

Группа угроз UNC6661 была активна с начала по середину января 2026 года, выдавая себя за ИТ-персонал, чтобы манипулировать сотрудниками, заставляя их предоставлять свои учетные данные для единого входа (SSO) и коды Многофакторной аутентификации (MFA). Это было достигнуто путем направления жертв на сайты фишинга, которые копировали фирменный стиль их организаций. Домены для фишинга, связанные с UNC6661, обычно следовали шаблону именования, такому как companynamesso.com или companynameinternal.com , будучи зарегистрированным в NICENIC.

Другая группа, идентифицированная как UNC6671, примерно в то же время начала свои собственные операции по вымогательству, также выдавая себя за ИТ-персонал и направляя сотрудников на аналогичные сайты по сбору учетных записей. Однако домены, связанные с UNC6671, чаще регистрировались через Tucows. Примечательно, что UNC6671 успешно захватил учетные данные учетной записи Okta и использовал PowerShell для извлечения конфиденциальных данных из таких служб, как SharePoint и OneDrive. Их тактика также включала в себя небрендированные сообщения о вымогательстве и преследование сотрудников-жертв, что наводит на мысль об отдельном операционном идентификаторе от UNC6661.

Это действие согласуется с предыдущими операциями, связанными с UNC6240, где для первоначального доступа использовались методы вымогательства, в частности, нацеленные на данные из Salesforce. Текущие тенденции указывают на эволюцию ландшафта угроз, поскольку эти акторы расширяют сферу своей деятельности, нацеливаясь на более широкий спектр облачных платформ. Этот сдвиг не только отражает желание получить доступ к более конфиденциальным данным, но и подразумевает стратегический шаг акторов по установлению отношений с потенциальными жертвами, что открывает дополнительные возможности для эксплуатации.

Домены для фишинга, часто используемые в этой кампании, предназначены для того, чтобы выдавать себя за законные корпоративные порталы, что увеличивает риск кражи учетных данных. Поскольку злоумышленники используют коммерческие VPN и прокси-сервисы для маскировки своих операций, организациям рекомендуется подходить к этим показателям с осторожностью, уделяя особое внимание поиску нацеленных объектов и усилиям по корреляции, а не широкомасштабной блокировке. Выводы Mandiant подчеркивают необходимость бдительности и усиленных мер безопасности для защиты от этих эволюционирующих тактик вымогательства, которые отдают приоритет краже учетных данных для доступа к корпоративным системам.

#ParsedReport #CompletenessLow
30-01-2026

CVE-2026-24858: Patch Released for Fortinet FortiOS SSO Authentication Bypass

https://socradar.io/blog/cve-2026-24858-fortinet-fortios-sso-patch/

Report completeness: Low

Victims:
Fortinet customers, Federal civilian executive branch agencies

Industry:
Government

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)

CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
- fortinet fortios (le7.0.18, le7.2.12, <7.4.11, <7.6.6)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1098, T1190, T1556

IOCs:
IP: 10

Soft:
Fortinet FortiOS, Active Directory, Microsoft Office, Microsoft Defender