#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Perseus - это новое вредоносное ПО для Android, основанное на более ранних угрозах, таких как Cerberus и Phoenix, нацеленное на устройства в Турции и Италии с помощью приложений, замаскированных под сервисы IPTV. Он использует службы специальных возможностей для удаленного управления в режиме реального времени, фокусируясь на извлечении конфиденциальных данных из пользовательских заметок и используя механизм dropper для обхода ограничений Android 13+. Вредоносное ПО обладает мощными методами антианализа, оценивающими факторы окружения устройства для обеспечения скрытности, и поддерживает различные команды для управления поведением устройства.
-----

Perseus - это недавно идентифицированное вредоносное ПО для Android, которое демонстрирует эволюцию мобильных угроз, основываясь на характеристиках более ранних семейств вредоносных ПО, таких как Cerberus и Phoenix. Он интегрирует передовые технологии и использует законные функциональные возможности системы, чтобы поддерживать ее эффективность и избегать обнаружения. Вредоносное ПО в первую очередь нацелено на такие регионы, как Турция и Италия, и распространяется с помощью приложений, Маскировок под сервисы IPTV, используя знакомство пользователей с такими приложениями для повышения доверия и увеличения числа заражений.

После развертывания Perseus способен осуществлять интерактивное удаленное управление зараженными устройствами в режиме реального времени с помощью служб специальных возможностей. Его конструкция позволяет полностью использовать устройство в сочетании с целенаправленным сбором данных, уделяя особое внимание извлечению конфиденциальной информации из пользовательских заметок в различных приложениях. Эта функция свидетельствует о стратегической эволюции от типичной кражи учетных данных к захвату контекстных и персональных данных, что повышает их ценность для злоумышленников.

Perseus использует механизм dropper для обхода ограничений Android 13+ во время боковой загрузки. Она включает в себя строгие меры по борьбе с анализом, проведение обширных экологических проверок для выявления и уклонения от "песочницы" или попыток анализа. Эти проверки оценивают различные аспекты устройства, такие как наличие SIM-карты, состояние отладки и подлинность компонентов Аппаратного обеспечения, что в конечном итоге обеспечивает высокую степень секретности эксплуатации.

Примечательно, что вредоносное ПО обладает отличными возможностями для мониторинга заметок, хранящихся на устройствах. Выполняя команду "scan_notes", он автоматизирует поиск популярных приложений для создания заметок и систематически извлекает их содержимое, которое часто содержит конфиденциальную информацию. Эта функция отражает инновационный подход к работе с ценными областями данных, которые обычно игнорируются другими вредоносными ПО.

Что касается функциональности, Perseus наследует функции дистанционного управления от своих предшественников, способные захватывать содержимое экрана с помощью команд скриншотов и взаимодействовать с элементами пользовательского интерфейса устройства в режиме реального времени. Поддержка различных команд позволяет злоумышленникам значительно манипулировать поведением устройства. Однако двойные ветви вредоносного ПО — с английской и турецкой версиями — иллюстрируют его локализованную стратегию таргетинга и предполагают улучшения пользовательского интерфейса и средств отладки в английской версии.

#ParsedReport #CompletenessMedium
19-03-2026

New Malware Highlights Increased Systematic Targeting of Network Infrastructure

https://eclypsium.com/blog/condibot-monaco-malware-network-infrastructure/

Report completeness: Medium

Actors/Campaigns:
Unc3886

Threats:
Condibot
Condi
Mirai
Xmrig_miner
Xmrigcc_tool
Brickstorm
J-magic
Tinyshell
Supply_chain_technique

Victims:
Network infrastructure, Linux devices, Servers, Internet of things devices, Routers, Network devices, Juniper network equipment, Fortinet devices

Industry:
Iot

Geo:
Singapore, Monaco, Chinese, India

ChatGPT TTPs:
do not use without manual check
T1041, T1095, T1105, T1110.001, T1190, T1222.002, T1496, T1498, T1542.001, T1595, have more...

IOCs:
Hash: 9
IP: 2

Soft:
Linux, curl, ubuntu, Ivanti

Crypto:
monero

Algorithms:
sha1, md5, exhibit, sha256

Functions:
select

Platforms:
arm, mips, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Eclypsium подчеркивает растущую тенденцию к киберугрозам, нацеленным на сетевую инфраструктуру, в первую очередь с участием национальных государств и финансово мотивированных акторов, использующих уязвимости в устройствах различных поставщиков, в частности Fortinet. Недавно выявленные варианты вредоносного ПО включают CondiBot, DDoS-ботнет, производный от Mirai, который преобразует устройства Linux в DDoS-узлы, и "Monaco", который использует SSH-атаки методом перебора для развертывания майнеров Monero, добиваясь закрепления с помощью сложных методов. Анализ выявляет тревожный переход от использования слабых мест паролей к использованию уязвимостей программного обеспечения, что позволяет злоумышленникам сохранять необнаруженный доступ и облегчать перемещение внутри компании.
-----

Недавнее исследование Eclypsium выявило тревожную тенденцию в киберугрозах, нацеленных на сетевую инфраструктуру, что имеет значительные последствия для предприятий. Исследование показывает, что как акторы национальных государств, так и финансово мотивированные группы, включая операции по крипто-майнингу, все чаще используют уязвимости в Сетевых устройствах, особенно от Fortinet, но также распространяются и на различных других поставщиков.

6 марта 2026 года Eclypsium обнаружил два новых недокументированных варианта вредоносного ПО: CondiBot, вариант DDoS-ботнет, производный от Mirai, и "Monaco", SSH-сканер и майнер криптовалют. CondiBot предназначен для преобразования устройств Linux, подвергшихся компрометации, в узлы для крупномасштабных DDoS-атак, используя надежный механизм, который использует различные утилиты передачи файлов для загрузки своих двоичных файлов. Это вредоносное ПО нацелено на различные архитектуры Linux и устанавливает постоянный контроль над устройствами, подвергшимися компрометации, отключая возможности перезагрузки и уничтожая конкурирующие ботнет.

Вариант "Monaco", написанный на Go, использует атаки методом грубой силы на SSH-серверы для получения доступа и развертывания майнеров криптовалюты Monero. После успешной компрометации устройства он перестраивает устройство для майнинга путем развертывания программного обеспечения XMRig и обеспечивает закрепление с помощью таких методов, как демонизация и процессы разветвления, чтобы пережить системные сигналы, которые привели бы к завершению работы майнера. Monaco ориентирована на широкий спектр устройств, включая серверы, маршрутизаторы и оборудование Интернета вещей, на различных архитектурах, таких как x86 и ARM.

Анализ указывает на резкий рост использования уязвимостей, связанных с Сетевыми устройствами, при этом среднее время использования составляет ноль дней. Этот сдвиг подчеркивает тревожную тенденцию, когда использование уязвимостей программного обеспечения превзошло традиционные уязвимости паролей в качестве основного метода первоначального доступа. Злоумышленники используют встроенную прошивку сетевых устройств, которые часто не отслеживаются стандартными средствами безопасности, что позволяет осуществлять длительный необнаруженный доступ.

Последствия этих атак серьезны, поскольку они могут способствовать перемещению внутри компании, позволяя злоумышленникам перемещаться по сетям и получать доступ к конфиденциальной информации. Ставя под угрозу базовые устройства, такие как маршрутизаторы и коммутаторы, они могут поддерживать закрепление, которое выдерживает обычные меры безопасности и перезагрузки устройств.

#ParsedReport #CompletenessLow
19-03-2026

Head Mare campaign with PhantomPxPigeon backdoor and infected TrueConf software installation files

https://securelist.ru/head-mare-campaign-phantompxpigeon-backdoor-and-trueconf-software/114998/

Report completeness: Low

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Victims:
Education, Science, Energy, Transport, Russia

Industry:
Energy

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1195.002, T1204.002, T1566.002

IOCs:
Hash: 12
Domain: 2

Soft:
TrueConf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года группа Head Mare нацелилась на организации образовательного и энергетического секторов в России, используя обманчивые приглашения на видеоконференции для установки нового бэкдора PhantomPxPigeon. В кампании была задействована компрометация серверов TrueConf, которые распространяли вредоносные клиентские приложения, создавая риски как для непосредственных целей, так и для внешних пользователей, которые непреднамеренно загрузили зараженное программное обеспечение. Предварительные оценки предполагают, что злоумышленники, возможно, воспользовались исправленной уязвимостью BDU:2025-10116, чтобы облегчить подмену клиентского приложения.
-----

В феврале 2026 года началась кампания, атрибутируемая с группой Head Mare, нацеленная на образовательные и научные учреждения, а также организации энергетического сектора по всей России. Эта вредоносная активность была активна по крайней мере с декабря 2025 года, используя вектор атаки, который включал вводящие в заблуждение приглашения на видеоконференции. Жертвам, которые переходили по ссылкам-приглашениям, было предложено установить службу для присоединения к видеозвонку, что непреднамеренно привело к установке в их системах нового бэкдора, идентифицированного как PhantomPxPigeon.

В последнее время кампания активизировалась, выявив многочисленные серверы TrueConf с компрометацией в организациях, особенно в транспортном секторе и научных кругах. Злоумышленники использовали эти серверы для распространения вредоносных версий клиентского приложения TrueConf. Такой подход не только затронул организации, на которые была направлена прямая атака, но и создал риск для других организаций, сотрудники которых могли неосознанно загрузить зараженное клиентское программное обеспечение.

Предварительные оценки показывают, что первоначальный вектор атаки для подмены клиентского приложения остается неизвестным. Однако предполагается, что злоумышленники могли воспользоваться известной уязвимостью, обозначенной как BDU:2025-10116, которая была публично идентифицирована и исправлена поставщиком в августе 2025 года. Организациям, использующим программное обеспечение TrueConf, рекомендуется убедиться, что они используют последние версии серверов в соответствии с рекомендациями производителя по безопасности.

Для дальнейшего снижения риска организациям следует убедиться, что все клиентские дистрибутивы, загруженные с серверов TrueConf, содержат действительные цифровые подписи TrueConf и не были подделаны, поскольку обнаруженные вредоносные версии не имеют такой аутентичности. Организациям рекомендуется подтвердить целостность программного обеспечения через официальный веб-сайт поставщика. Между тем решения "Лаборатории Касперского" способны обнаруживать и блокировать эти вредоносные программы, а их служба управляемого обнаружения и реагирования активно выявляет связанные с ними вредоносные действия.

#ParsedReport #CompletenessMedium
19-03-2026

Linux & Cloud Detection Engineering - TeamPCP Container AttackScenario

https://www.elastic.co/security-labs/teampcp-container-attack-scenario

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)

Threats:
Xmrig_miner
Socat_tool
Netcat_tool
Ncat_tool
Iodine_tool
Ngrok_tool
Wstunnel_tool
Proxychains_tool
React2shell_vuln
Frpc_tool

Victims:
Cloud native environments, Containerized environments, Kubernetes clusters, Web servers

TTPs:
Tactics: 7
Technics: 0

IOCs:
Url: 2
File: 4

Soft:
Linux, curl, busybox, aegis, Systemd, openssl, 3proxy

Algorithms:
base64, base32

Languages:
perl, ruby, php, lua, python

Links:
https://github.com/elastic/detection-rules/blob/ce3916f99fdf7e886d2889d7a815f59a248b7aff/rules/integrations/cloud\_defend/impact\_process\_killing.toml
have more...
https://github.com/elastic/detection-rules/blob/ce3916f99fdf7e886d2889d7a815f59a248b7aff/rules/integrations/cloud\_defend/execution\_payload\_downloaded\_and\_piped\_to\_shell.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается сложная многоэтапная атака группы вымогателей TeamPCP в контейнерных средах, демонстрирующая их методы - от выполнения вредоносных команд в контейнерах до установления закрепления и проведения разведки в кластерах Kubernetes. Первоначально группа получает интерактивное выполнение без записи файлов, а позже использует тактику перемещения внутри компании наряду с повышением привилегий, что указывает на их целенаправленный подход. Телеметрия с помощью инструмента Elastic D4C фиксирует закономерности этой последовательности атак, выделяя различные сомнительные поведения и действия, указывающие на "цепочку атак с криптоджекингом контейнеров"..
-----

В статье приводится подробный анализ многоэтапной атаки, выполненной группой программ-вымогателей TeamPCP в контейнерной среде, особое внимание уделяется тому, как инструмент Elastic D4C фиксирует и представляет телеметрию на различных этапах атаки. Операция иллюстрирует, как группа проходит весь жизненный цикл атаки, от первоначального выполнения до закрепления и, в конечном счете, достижения своих целей, которые могут включать криптоджекинг или внедрение программ-вымогателей.

Изначально злоумышленники добиваются интерактивного выполнения кода внутри контейнера без записи каких-либо файлов на диск, тем самым сводя к минимуму обнаруживаемые артефакты. Они используют такие команды, как curl, для загрузки скриптов и запуска интерпретатора оболочки, быстро выполняя вредоносные команды и пытаясь устранить конкурирующие процессы. Такое поведение, в частности целенаправленное отключение определенных процессов интеллектуального анализа данных, указывает на целенаправленную стратегию атаки и вызывает тревогу в системе телеметрии во время выполнения, которая фиксирует подозрительный характер вызова команд.

По мере продвижения атаки группа TeamPCP использует методы перемещения внутри компании, используя сценарий с именем kube.py , используя токены учетной записи службы для разведки в кластере Kubernetes. Этот этап отражает значительное повышение привилегий и доступа, поскольку злоумышленники методично собирают информацию об окружающей среде. Кроме того, попытка группы установить закрепление с помощью Служб systemd внутри контейнера представляет собой аномалию, поскольку такие действия обычно подразумевают намерения повлиять на хост-систему и находиться за пределами обычных жизненных циклов контейнера.

Последующие этапы включают развертывание средств туннелирования для поддержания постоянного подключения и выполнение закодированных полезных нагрузок для сокрытия злонамеренных намерений. Злоумышленники также проводят разведку, перечисляя ресурсы Kubernetes и используя уязвимые веб—серверы для получения доступа к оболочке - каждое из этих действий свидетельствует об их оперативном масштабе и изощренности.

Правила телеметрии D4C на протяжении всего процесса атаки эффективно обнаруживают целый ряд поведений, таких как необычное выполнение команд, исходящих с веб-серверов, установка необходимых инструментов и последовательные манипуляции с правами доступа к файлам. Такой всесторонний охват позволяет аналитикам безопасности распознавать закономерности, связанные с различными этапами операций TeamPCP's.

В заключении, связывающем воедино различные потоки телеметрии, анализ подчеркивает, что использование как журналов времени выполнения контейнера, так и журналов аудита Kubernetes имеет решающее значение для построения всеобъемлющего описания атаки. Обобщение предупреждений выявляет четкую последовательность событий, ведущих к "цепочке атак с криптоджекингом контейнеров", предоставляя защитникам последовательный обзор и полезную информацию о внутриконтейнерных угрозах и поведении, указывающих на действия по эксплуатации с высоким риском.

#ParsedReport #CompletenessLow
19-03-2026

MacSync Stealer: SEO Poisoning and ClickFix-Based macOS Malware Delivery Chain

https://www.cloudsek.com/blog/macsync-stealer-seo-poisoning-and-clickfix-based-macos-malware-delivery-chain

Report completeness: Low

Threats:
Macc_stealer
Seo_poisoning_technique
Clickfix_technique

Victims:
Macos users, Cryptocurrency wallet users, Ledger live users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.002, T1059.004, T1071.001, T1083, T1105, T1204.004, T1518, T1552.004, have more...

IOCs:
File: 6
Coin: 4

Soft:
macOS, Ledger Live, curl, Mac OS, openssl, Chrome, Opera, Firefox, IndexedDB, Chromium, have more...

Wallets:
electrum, coinomi, wassabi, bitcoincore

Algorithms:
zip, gzip, base64

Win API:
Arc

Languages:
applescript

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи обнаружили сложную цепочку доставки вредоносного ПО для macOS под названием MacSync Stealer, которая использует SEO poisoning и социальную инженерию в стиле ClickFix style для распространения полезной нагрузки, предназначенной для кражи информации. Этот многоэтапный загрузчик вредоносного ПО активируется с помощью вредоносной команды терминала и в конечном итоге развертывает средство кражи информации на основе AppleScript, которое собирает конфиденциальные данные, включая учетные данные браузера, данные криптовалютного кошелька и различные пользовательские документы для эксфильтрации на сервер управления. Вредоносное ПО также нацелено на криптовалютные приложения, в частности Ledger Live, и использует фрагментированные HTTP-запросы PUT для надежной кражи данных.
-----

Исследователи выявили сложную цепочку доставки вредоносного ПО для macOS под названием MacSync Stealer, которая использует SEO poisoning и социальную инженерию в стиле ClickFix style для распространения полезной нагрузки, предназначенной для кражи информации. Операция специально нацелена на пользователей, которые хотят загрузить PDF-версии популярных книг, перенаправляя их на мошенническую страницу подтверждения, которая запрашивает выполнение вредоносной команды терминала. Эта команда активирует многоступенчатый загрузчик вредоносного ПО, предназначенный для получения дополнительных вредоносных полезных данных с серверов, контролируемых злоумышленниками.

На заключительном этапе вредоносное ПО внедряет средство кражи информации на основе AppleScript, которое способно собирать конфиденциальные данные, такие как учетные данные браузера, криптовалютные кошельки, SSH-ключи, файлы конфигурации облака и другие конфиденциальные пользовательские документы. Вредоносное ПО сжимает эту информацию и отправляет ее на сервер управления, тем самым способствуя краже данных.

Процесс заражения начинается с использования тактики SEO, чтобы ввести пользователей в заблуждение и заставить их переходить по вредоносным результатам поиска. Это согласуется с тактикой социальной инженерии ClickFix, когда злоумышленники создают видимость решения законных проблем, чтобы обманом заставить жертв выполнять вредоносные команды. Основные действия вредоносного ПО включают получение команд с удаленного сервера, их выполнение с помощью AppleScript и скрытую фильтрацию данных.

Вредоносное ПО сканирует различные профили браузеров как на базе Chromium, так и на базе Gecko, специально нацеливаясь на файлы данных, связанные с расширениями криптовалютных кошельков. Он идентифицирует конкретные идентификаторы расширений, которые соответствуют криптокошелькам, и собирает их локальное хранилище расширений, а также данные IndexedDB. Кроме того, вредоносное ПО извлекает конфиденциальные файлы с рабочего стола пользователя, каталогов документов и загрузок, уделяя особое внимание файлам с определенными расширениями, включая .pdf, .docx и .бумажник.

Эксфильтрация данных осуществляется с помощью фрагментированных запросов HTTP PUT для обеспечения надежной передачи больших объемов информации. Вредоносное ПО также проверяет наличие Ledger Live, популярного криптовалютного приложения, и в случае обнаружения загружает файлы из мест, контролируемых злоумышленниками, тем самым, возможно, манипулируя транзакциями и получая постоянный доступ к финансовым ресурсам.

Эффективность этой кампании подчеркивает риски, связанные с простой тактикой социальной инженерии в сочетании с систематической доставкой вредоносного ПО, что потенциально может привести к полной компрометации системы в macOS. Примечательно, что вся выявленная вредоносная инфраструктура остается активной, что указывает на сохраняющуюся угрозу, к которой следует подходить с осторожностью и не запускать в неконтролируемых средах.

#ParsedReport #CompletenessMedium
20-03-2026

Attack case against MS-SQL server installing ICE Cloud scanner (Larva-26002)

https://asec.ahnlab.com/ko/92987/

Report completeness: Medium

Actors/Campaigns:
Larva-26002

Threats:
Ice_cloud_tool
Mimic_ransomware
Trigona
Anydesk_tool
Teramind_tool
Bitsadmin_tool

Victims:
Ms sql servers

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1046, T1059.001, T1090, T1105, T1110.001, T1197, T1219

IOCs:
File: 4
Path: 1
Url: 1
IP: 1
Domain: 1

Soft:
MS-SQL, Curl, mssql

Algorithms:
md5

Win Services:
sqlservr

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник Larva-26002 нацелен на неуправляемые серверы MS-SQL, используя уязвимости в программе массового копирования (BCP) для развертывания различных программ-вымогателей, включая Trigona и Mimic. Их атаки обычно начинаются с попыток брутфорса доступа к этим серверам, за которыми следуют манипуляции с утилитой BCP для распространения вредоносного ПО. Недавно они использовали вредоносное ПО на языке Go под названием ICE Cloud Client, которое действует как загрузчик для получения дополнительных инструментов и сканирования уязвимых серверов MS-SQL, используя жестко закодированные учетные данные.
-----

Злоумышленник Larva-26002 активно атаковал неуправляемые серверы MS-SQL, используя уязвимости, связанные с утилитой программы массового копирования (BCP). Эта группа известна тем, что внедряет различные разновидности программ-вымогателей, включая Trigona и Mimic, и со временем развила свою тактику и инструменты. В 2026 году они, в частности, внедрили написанное на языке Go вредоносное ПО под названием ICE Cloud Client, сканер, предназначенный для облегчения дальнейшей вредоносной деятельности.

Атаки обычно начинаются с брутфорса или попыток использования словаря на общедоступных серверах MS-SQL. Как только доступ получен, злоумышленник использует утилиту BCP— bcp.exe — для манипулирования и распространения вредоносных полезных данных. Этот метод включает хранение вредоносного ПО в определенных таблицах базы данных, из которых оно позже экспортируется для создания локально исполняемых файлов. Структуры команд с 2024 года обеспечивают согласованность, используя определенные ключевые слова в процессе генерации полезной нагрузки.

Функциональность ICE Cloud критически важна для фреймворка атак, функционирующего как загрузчик, который извлекает вредоносное ПО из сканера после взаимодействия с сервером командования и контроля (C&C). Загруженный клиент ICE Cloud использует случайное имя для имитации законных приложений при подготовке к сканированию целевых серверов MS-SQL на наличие уязвимостей. Интересно, что в двоичном файле представлены строки на турецком языке и смайлики, потенциально связанные с генеративным искусственным интеллектом, что указывает на сложный уровень развития. Операции сканирования в основном направлены на попытку аутентификации на серверах MS-SQL с использованием жестко закодированных учетных данных, результаты которых отправляются обратно на сервер C&C.

Стратегии смягчения последствий имеют первостепенное значение для организаций, управляющих базами данных MS-SQL. Предотвращение несанкционированного доступа может быть достигнуто за счет внедрения сложных паролей, регулярной смены паролей и поддержания обновленных решений безопасности. Более того, использование брандмауэров и других мер безопасности имеет решающее значение для баз данных, подключенных к внешним сетям, поскольку пренебрежение этими протоколами может привести к постоянным уязвимостям и продолжающейся эксплуатации злоумышленниками, такими как Larva-26002.

#ParsedReport #CompletenessLow
20-03-2026

CVE-2025-32975: Arctic Wolf Observes Exploitation of Quest KACE Systems Management Appliance

https://arcticwolf.com/resources/blog-uk/cve-2025-32975-arctic-wolf-observes-exploitation-of-quest-kace-systems-management-appliance/

Report completeness: Low

Threats:
Quest_kace_tool
Credential_harvesting_technique
Mimikatz_tool

Victims:
Quest kace systems management appliance users, Customer environments

CVEs:
CVE-2025-32976 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32978 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32977 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32975 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 1
File: 4
Command: 1

Soft:
curl

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Количество вредоносных действий возросло из-за использования CVE-2025-32975, критической уязвимости для обхода аутентификации в непатентованных экземплярах устройства управления системами Quest KACE. Злоумышленники могут выдавать себя за пользователей для административного захвата, используя такие методы, как удаленное выполнение команд через KPluginRunProcess, полезные нагрузки в кодировке Base64 для обмена данными управления и кражи учетных данных с помощью таких инструментов, как Mimikatz. Закрепление поддерживается путем создания учетной записи администратора, выполнения скрипта PowerShell и внесения изменений в реестр.
-----

Arctic Wolf сообщила о всплеске вредоносных действий, связанных с использованием CVE-2025-32975, критической уязвимости для обхода аутентификации, затрагивающей непатентованные экземпляры устройства управления системами Quest KACE (SMA), которые были общедоступны в Интернете. Эта уязвимость позволяет злоумышленникам выдавать себя за законных пользователей, облегчая полный административный захват. Ошибка была исправлена в мае 2025 года, но многие системы остаются не обновленными.

Первоначальный доступ к этим угрозам, вероятно, был получен путем использования функциональности KPluginRunProcess, позволяющей злоумышленникам выполнять удаленные команды после получения административного доступа. Анализ журналов показал использование полезных данных в кодировке Base64 и файлов, загруженных с определенного IP-адреса (216.126.225.156), устанавливающих канал связи для управления.

Оказавшись внутри системы, злоумышленники продемонстрировали закрепление, создав дополнительные учетные записи администратора с помощью процесса Quest KACE. Затем эти учетные записи были добавлены в административные группы, что усилило их контроль над устройством. Злоумышленники также выполняли скрипты PowerShell с обходом политики выполнения, запуская их в скрытом контексте для манипулирования системными конфигурациями для постоянного доступа. Кроме того, были замечены изменения в реестре, вероятно, направленные на сохранение доступа, даже если первоначальные точки опоры были нарушены.

Credential Harvesting был еще одной тактикой, применяемой злоумышленниками, использующими такие инструменты, как Mimikatz, для получения конфиденциальной информации. Это включало в себя вариант, замаскированный под asd.exe чтобы избежать обнаружения.

Чтобы снизить эти риски, организациям, использующим Quest KACE SMA, крайне важно обновиться до указанных исправленных версий, поскольку все версии, указанные ниже указанных исправлений, уязвимы. Более того, Arctic Wolf подчеркивает важность того, чтобы экземпляры KACE SMA не были доступны в общедоступном Интернете, рекомендуя обеспечить любой необходимый удаленный доступ с помощью VPN или брандмауэра.