#ParsedReport #CompletenessLow
23-04-2026

UAT-4356's Targeting of Cisco Firepower Devices

https://blog.talosintelligence.com/uat-4356-firestarter/

Report completeness: Low

Actors/Campaigns:
Uat4356 (motivation: cyber_espionage)
Arcanedoor (motivation: cyber_espionage)

Threats:
Firestarter
Rayinitiator

Victims:
Network security devices, Technology

CVEs:
CVE-2025-20333 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (<9.12.4.72, <9.14.4.28, <9.16.4.85, <9.17.1.45, <9.18.4.47)

CVE-2025-20362 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (<9.12.4.72, <9.14.4.28, <9.16.4.85, <9.18.4.67, <9.20.4.10)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055, T1070.004, T1105, T1190

IOCs:
File: 2

Soft:
Unix

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-4356 нацелен на устройства Cisco Firepower, используя CVE-2025-20333 и CVE-2025-20362, которые разрешают несанкционированный доступ. Актор развертывает пользовательский бэкдор с именем FIRESTARTER, который взаимодействует с процессом LINA для обеспечения удаленного доступа и контроля. FIRESTARTER изменяет список подключений для сервисной платформы Cisco, чтобы он сохранялся при перезагрузках, но удалялся при жестких перезагрузках; он использует манипуляции с памятью для выполнения шелл-кода на основе входящих шаблонов XML, разделяя операционные сходства с RayInitiator.
-----

UAT-4356 активно нацелен на устройства Cisco Firepower, используя n-дневные уязвимости, идентифицированные как CVE-2025-20333 и CVE-2025-20362, что обеспечивает несанкционированный доступ к этим устройствам. После этого нарушения UAT-4356 развертывает пользовательский бэкдор, известный как FIRESTARTER, который использует общие технические возможности с шелл-кодом Stage 3, используемым RayInitiator. FIRESTARTER обеспечивает удаленный доступ и управление процессом LINA, критически важным компонентом устройств Cisco ASA и FTD, работающих на FXOS.

Чтобы поддерживать закрепление в системах компрометации, UAT-4356 изменяет список подключений для Cisco Service Platform (CSP), чтобы гарантировать, что FIRESTARTER запускается как часть последовательности загрузки устройства. Эта манипуляция позволяет бэкдору оставаться активным во время перезагрузок, в частности, запускаться во время плавных перезагрузок при получении сигналов завершения. Однако важно отметить, что жесткая перезагрузка — например, в результате отключения питания — устранит бэкдор с устройства. FIRESTARTER функционирует, внедряясь в процесс LINA, первоначально записывая свой код в резервную копию, прежде чем восстановить исходный CSP_MOUNT_LIST для выполнения бэкдора.

FIRESTARTER способен выполнять произвольный шелл-код, полученный с устройства. Он изменяет определенную функцию обработчика в памяти процесса LINA с помощью несанкционированной процедуры’ которая может анализировать входящие XML-данные по определенным шаблонам. Это особенно важно для идентификации XML-запроса WebVPN с назначенным префиксом; при обнаружении соответствующий шелл-код выполняется в памяти. Механизмы, используемые FIRESTARTER для загрузки вредоносного шелл-кода, манипулирования памятью и выполнения полезных нагрузок, заметно схожи с процессами, используемыми RayInitiator, что указывает на степень совпадения в их тактике работы.

Обнаружение FIRESTARTER на взломанных устройствах огневой мощи может включать в себя определение наличия специфических имен, таких как lina_cs и svc_samcore.войти. Контрмеры включают устройства реорганизация для снижения инфекций. Уязвимость эксплуатировалась UAT-4356 также подпадают под особые правила Snort и ClamAV с подписями для помощи в обнаружении угрозы. Эти меры безопасности необходимы для предотвращения несанкционированного доступа и контроля взломанных устройств в сетевых инфраструктур.

#ParsedReport #CompletenessHigh
23-04-2026

Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite

https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware/

Report completeness: High

Actors/Campaigns:
Unc6692

Threats:
Snowbelt
Snowglaze
Snowbasin
Passthehash_technique
Credential_harvesting_technique
Tunneler
Spear-phishing_technique
Process_injection_technique
Password_spray_technique

Victims:
Organizations

Industry:
Logistic, Healthcare

TTPs:
Tactics: 13
Technics: 65

IOCs:
File: 22
Url: 2
Domain: 3
Path: 5
Hash: 6

Soft:
Microsoft Teams, AutoHotkey, Chromium, Chrome, Microsoft Edge, Sysinternals PsExec, Windows Local Security Authority, LimeWire, FTK Imager, Active Directory, have more...

Algorithms:
base64, zip, aes-gcm, sha256

Functions:
taskService, init

Languages:
autoit, python, javascript, powershell

Platforms:
cross-platform, x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC6692 - это хакерская кампания, в ходе которой была использована передовая социальная инженерия и пользовательское ВПО, предназначенное для использования Облачных сервисов. Престпная группировка. Они инициировали кампанию фишинга, которая обманом заставляла жертв устанавливать SNOWBELT, вредоносное расширение для браузера, которое обеспечивало закрепление и привело к развертыванию SNOWGLAZE для мониторинга сети и перемещения внутри компании. Злоумышленники также использовали SNOWBASIN в качестве бэкдора для полного контроля и эксфильтрации данных, используя при этом корзины AWS S3 для запутывания своих операций, что усложняло усилия по обнаружению.
-----

В ходе хакерской кампании, организованной престпной группировкой UNC6692, продемонстрировано передовое сочетание социальной инженерии, пользовательского ВПО и стратегического использования Облачных сервисов для проникновения в систему защиты организации. Используя тактику, которая включала в себя выдачу себя за ИТ-персонал, UNC6692 запустил кампанию фишинга через электронную почту и Microsoft Teams. Злоумышленники создавали ощущение срочности, побуждая жертв принимать приглашения и переходить по Вредоносным ссылкам, что приводило к установке ВПО.

Эта кампания началась с потока электронных писем с фишингом, за которым последовало сообщение Microsoft Teams, предлагающее жертве установить "исправление" для рассылки спама по электронной почте. После этого жертва неосознанно загрузила скрипт AutoHotkey вместе с двоичным файлом из корзины AWS S3. После выполнения скрипт немедленно инициировал установку SNOWBELT, пользовательского вредоносного расширения для браузера, предназначенного для поддержания закрепления и облегчения дальнейших атак. Закрепление было установлено с помощью таких механизмов, как запланированные задачи, которые поддерживали расширение активным, управляя оперативным выполнением с помощью событий браузера.

Получив первоначальный доступ через SNOWBELT, злоумышленники использовали SNOWGLAZE, Tunneler на базе Python, для мониторинга внутренних сетей и облегчения перемещения внутри компании. Использование этого ВПО позволяет злоумышленникам передавать команды в SNOWBASIN, другой бэкдор, который обеспечивает полный административный контроль и эксфильтрацию данных с помощью HTTP-запросов. Акторы использовали различные методы для повышения привилегий, включая доступ к процессу LSASS для извлечения и эксфильтрации конфиденциальных учетных данных.

Экосистема SNOW демонстрирует модульность: SNOWBELT функционирует как расширение браузера для ретрансляции команд, SNOWGLAZE - как канал связи, а SNOWBASIN служит платформой для выполнения команд. Вся операция подчеркивает скоординированные усилия по использованию доверия организации к облачной инфраструктуре, эффективно маскируя вредоносные действия в рамках, казалось бы, законного трафика.

Кроме того, злоумышленники внедрили передовые методы, чтобы запутать свою деятельность и избежать обнаружения. Например, они использовали Облачные сервисы для операций командования и контроля, используя сегменты AWS S3 для размещения инфраструктуры фишинга и выполнения сбора учетных записей. Такой подход делает традиционные средства защиты сетевой безопасности, которые фокусируются на анализе репутации или статических показателях, менее эффективными против этой сложной модели угроз.

Методология, используемая UNC6692, иллюстрирует необходимость совершенствования организациями своих стратегий обнаружения путем мониторинга не только внутренних процессов, но и активности браузера и связанного с ним облачного трафика. В нем освещается меняющийся ландшафт киберугроз, где злоумышленники постоянно сочетают техническое уклонение с социальными манипуляциями, что требует принятия всеобъемлющих мер безопасности против таких многогранных угроз.

#ParsedReport #CompletenessLow
23-04-2026

Global Campaign Discovered with Modbus PLCs Targeted and China-Geolocated Infrastructure Observed

https://www.catonetworks.com/blog/global-campaign-discovered-with-modbus-plcs-targeted/

Report completeness: Low

Victims:
Industrial control systems, Programmable logic controllers, United states of america, France, Japan

Industry:
Government, Healthcare, Transport, Financial

Geo:
Japan, Americas, China, Asia, France

ChatGPT TTPs:
do not use without manual check
T0814, T0831, T0855, T1592, T1595

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cato Networks выявила глобальную кампанию, проводившуюся с сентября по ноябрь 2025 года, направленную на обмен данными по протоколу Modbus /TCP с подключенными к Интернету ПЛК, затронувшую 14 426 IP-адресов в 70 странах, главным образом в США. Злоумышленники использовали стратегию разведки, включающую автоматическое зондирование и целевые запросы на чтение, в основном используя функциональный код 0x03 для считывания регистров хранения, и обнаружили признаки о сбоях в работе из-за поведения, подобного отказу в обслуживании. Примечательно, что кампания включала потенциально манипулятивные запросы на запись с использованием функционального кода 0x10, указывающие на активные попытки изменить работу ПЛК, причем несколько источников, в частности, были связаны с деятельностью с повышенным риском, исходящей из Китая.
-----

В период с сентября по ноябрь 2025 года Cato Networks объявила о проведении глобальной кампании, нацеленной на связь по протоколу Modbus/TCP с подключенными к Интернету программируемыми логическими контроллерами (ПЛК). В этой деятельности было задействовано приблизительно 14 426 различных целевых IP-адресов в 70 странах, причем Соединенные Штаты пострадали в наибольшей степени. Кампания включала как автоматическое зондирование, так и более целенаправленные запросы, свидетельствующие о снятии отпечатков пальцев с устройств и потенциальных попытках манипулирования, особенно в отношении ПЛК, доступных через общедоступный Интернет.

Примечательно, что наблюдаемое поведение включало в себя большой объем запросов, направленных на чтение регистров хранения, с примерно 235 500 входящими запросами с 233 исходных IP-адресов. Это подавляющее большинство трафика, основанное на функциональном коде Modbus 0x03 для считывания регистров хранения, предполагает, что злоумышленники активно пытаются собрать данные с незащищенных ПЛК. Кроме того, количество входящих запросов часто достигало максимума, при этом некоторые случаи поведения, подобного отказу в обслуживании (DoS), были нацелены на ресурсы ПЛК, что могло снизить их производительность.

Кампания использовала двухэтапную стратегию разведки, начиная с базовой идентификации устройства (функциональный код 0x2B/0x0E) для сбора информации о поставщике, продукте и версии, за которой следовали целевые считывания из реестра. Примечательный пример включал почти 158 100 считываний, выполненных с помощью одного ПЛК, что указывает на попытку исчерпать ресурсы путем быстрого запроса к устройству, что согласуется с тактикой нарушения работы.

Особую обеспокоенность вызывало систематическое использование функционального кода Modbus 0x10, который облегчает запись нескольких регистров. Это действие продемонстрировало высокий уровень риска, поскольку оно напрямую влияет на поведение ПЛК. Автоматический поиск с определенного IP-адреса источника привел к получению 3240 запросов на запись, начиная с предопределенного регистрационного адреса, что свидетельствует о преднамеренной попытке изменить работу устройства.

Примечательно, что небольшая группа источников, геолокационно расположенных в основном в Китае, заподозрила некую разведку с более высокими намерениями, которая использовала менее распространенный метод расширенной идентификации устройств (функциональный код 0200). Эти источники также продемонстрировали сильные репутационные сигналы, указывающие на более сложный уровень таргетинга.

Анализ географического распределения атакованных IP-адресов показал, что большинство целей находятся в трех ведущих странах: США, Франции и Японии, на долю которых в совокупности приходится 61% атакованных IP-адресов. Это подтверждает мнение о том, что наблюдаемые действия представляют значительный операционный риск, особенно для организаций с незащищенными интерфейсами Modbus, поскольку вероятность успешных последующих атак возрастает при наличии таких уязвимостей.

#ParsedReport #CompletenessHigh
22-04-2026

Tropic Trooper Pivots to AdaptixC2 and Custom Beacon Listener

https://www.zscaler.com/blogs/security-research/tropic-trooper-pivots-adaptixc2-and-custom-beacon-listener

Report completeness: High

Actors/Campaigns:
Pirate_panda
Taoth

Threats:
Adaptixc2_tool
Toshis
Cobalt_strike_tool
Entryshell
Mythic_c2_tool
Merlin_tool
Antidebugging_technique

Victims:
Chinese speaking individuals, Defense sector, Military sector, Industrial sector, Taiwan, South korea, Japan

Geo:
Taiwan, Australia, Japan, American, Korea, China, Chinese

TTPs:
Tactics: 8
Technics: 27

IOCs:
File: 10
IP: 2
Url: 7
Command: 4
Domain: 1
Hash: 8

Soft:
SumatraPDF, Visual Studio, curl, VSCode, 738c8ea0b4 b,

Algorithms:
aes-128, base64, md5, aes, zip, cbc, rc4

Functions:
InjectedCode

Win API:
ShellExecuteW, CryptDeriveKey, GetSystemDefaultLangID

Links:
have more...
https://docs.github.com/en/rest/repos/contents?apiVersion=2026-03-10

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 марта 2026 года группа Tropic Trooper запустила многоэтапную атаку, нацеленную на лиц, говорящих по-китайски, на Тайване, в Южной Корее и Японии, используя троянскую версию SumatraPDF, встроенную во вредоносный ZIP-файл. В этой атаке использовался пользовательский загрузчик TOSHIS для выполнения полезных нагрузок и связи с C2, размещенным на GitHub, управляя запутанным трафиком с помощью шифрования RC4. Кампания включала такие тактики, как создание запланированных задач для закрепления и использование VS Code для удаленного доступа, наряду с идентифицируемыми инструментами, такими как Cobalt Strike Beacons и бэкдор EntryShell.
-----

12 марта 2026 года Zscaler ThreatLabZ выявил кампанию, атрибутируемую с группировкой Tropic Trooper, также известной как Earth Centaur или Pirate Panda. Эта кампания была нацелена на лиц, говорящих по-китайски, преимущественно на Тайване, и распространилась на Южную Корею и Японию, используя сложный многоэтапный подход к атаке. Первоначальный вектор включал троянскую версию программы чтения SumatraPDF, встроенную во вредоносный ZIP-архив, который содержал приманки для документов военной тематики, чтобы заманить жертв.

Услуги атака началась с исполнения обнаружив SumatraPDF двоичная, в которой используются пользовательские TOSHIS погрузчик для выполнения. Этот загрузчик предназначен для перенаправления потока управления с помощью недействительной подписью безопасности и выполнить вредоносный код путем введения кода duplicitously. Он запускает загрузка приманка маскировки PDF как легальный контент, а украдкой получение второго этапа выдаются от места управление (С2) сервера. Этот шеллкод впоследствии загружает и выполняет adaptixc2 Маяк AdaptixC2, отмечая сдвиг по доставке груза из предыдущих кампаний.

Агент Beacon AdaptixC2, интегрированный с кастомным прослушивателем, был развернут в среде C2, размещенной на GitHub. Эта уникальная настройка облегчала Двустороннюю связь, позволяя актору проводить тайные операции, одновременно маскируя свой трафик по стандартным Веб-протоколам. Агент использует шифрование RC4 для защиты своего трафика и извлекает свой внешний IP-адрес для повышения скрытности своей работы.

На протяжении всей кампании Tropic Trooper применял различные тактики, согласующиеся с предыдущими действиями, включая создание запланированных задач для поддержания закрепления и использование VS Code для удаленного доступа через функции туннелирования. Примечательно, что когда потенциальные цели считались ценными, операторы устанавливали VS Code, который позволял им устанавливать интерактивные удаленные сеансы с системами компрометации наряду с другими троянскими приложениями для маскировки.

Более того, было обнаружено, что на промежуточном сервере, использованном в атаке, размещены различные инструменты, такие как Cobalt Strike Beacons и бэкдор EntryShell — оба идентифицируемых маркера, связанных с Tropic Trooper. Это еще больше укрепило принадлежность к группе из-за идентифицируемых сигнатур, таких как конкретный загрузчик TOSHIS и использование троянских двоичных файлов как части их вектора заражения. Их оперативная безопасность также отражала тенденцию быстрого удаления beacon с GitHub, что препятствовало усилиям по обнаружению аналитиками безопасности.

Таким образом, атака Tropic Trooper иллюстрирует сложную и эволюционирующую методологию, включающую в себя изощренные стратегии развертывания ВПО, использование популярных платформ, таких как GitHub для связи C2, и тщательную оперативную безопасность, позволяющую избежать обнаружения. Кампания демонстрирует текущую зрелость методов работы с злоумышленниками и необходимость бдительного мониторинга возникающих угроз.

#ParsedReport #CompletenessMedium
23-04-2026

It pays to be a forever student

https://blog.talosintelligence.com/it-pays-to-be-a-forever-student/

Report completeness: Medium

Actors/Campaigns:
Uat4356

Threats:
Credential_harvesting_technique
Trufflehog_tool
Blackcat
Lolbin_technique
Firestarter
Coinminer

Victims:
Social networking, Organizations, Vulnerable devices

Industry:
Foodtech, Maritime

Geo:
Spain, American, Berlin, Germany

CVEs:
CVE-2025-20362 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (<9.12.4.72, <9.14.4.28, <9.16.4.85, <9.18.4.67, <9.20.4.10)

CVE-2025-20333 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (<9.12.4.72, <9.14.4.28, <9.16.4.85, <9.17.1.45, <9.18.4.47)


ChatGPT TTPs:
do not use without manual check
T1190, T1498, T1552, T1566, T1587.001

IOCs:
Hash: 10
File: 5

Soft:
QEMU, Mastodon, Windows Defender, Microsoft Defender, macOS

Algorithms:
sha256, md5

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает рост числа атак фишинга в качестве основного средства первоначального доступа, при этом киберпреступники используют инструменты искусственного интеллекта, такие как Softr, для быстрого создания страниц credential-harvesting. Количество случаев использования традиционных программ-вымогателей сократилось, но активность программ-вымогателей, предшествовавших вымогательству, значительна, что указывает на изменение тактики. Кроме того, злоумышленники используют легальные инструменты и общедоступные эксплойты для защиты, такие как Microsoft Defender, а также используют специфичные для macOS методы перемещения внутри компании, что свидетельствует о повышении сложности и адаптивности злоумышленников.
-----

Недавний анализ высвечивает эволюционирующую тактику, применяемую киберпреступниками, особенно в отношении использования инструментов искусственного интеллекта при атаках фишинга. Служба реагирования на инциденты Cisco Talos выявила заметный всплеск фишинга в качестве основного вектора первоначального доступа к киберугрозам. Значительным наблюдаемым событием является использование злоумышленниками Softr, инструмента веб-разработки, управляемого искусственным интеллектом, для быстрого создания страниц credential-harvesting. Этот сдвиг указывает на то, что даже те, кто обладает ограниченными техническими знаниями, могут проводить сложные кампании по фишингу в короткие сроки, используя доступные технологии.

В то же время, в то время как традиционное внедрение программ-вымогателей прекратилось, атрибутируемое с эффективным вмешательством Talos IR, действия, предшествующие вымогательству, остаются распространенными, составляя 18% случаев за последний отчетный период. Это наводит на мысль о тактическом повороте среди злоумышленников, которые адаптируют свои методы, а не отступают полностью. Снижение числа прямых атак программ-вымогателей может также указывать на стратегическое внимание к разведке и подготовительным маневрам, ведущим к потенциальным будущим требованиям о выкупе.

Барьер для проникновения киберпреступников значительно снизился, о чем свидетельствует использование законных инструментов разработчика, таких как TruffleHog и различных облачных API для идентификации открытых учетных данных. Эта тенденция усложняет систему защиты, поскольку злоумышленники все чаще используют легкодоступные ресурсы для организации атак, что затрудняет специалистам по Кибербезопасности обнаружение и смягчение последствий таких действий на фоне пробелов в протоколировании и мониторинге.

Другие заслуживающие внимания инциденты включают неправомерную роль американского эксперта по безопасности, который скомпрометировал переговоры о компрометации программ-вымогателей, предоставив группе BlackCat /Alphv критическую информацию. Это подчеркивает сложное взаимодействие между противниками и инсайдерами в области Кибербезопасности. Более того, злоумышленники инновационно использовали QEMU, эмулятор компьютера с открытым исходным кодом, для запуска скрытых сред для запуска программ-вымогателей, эффективно обходя защиту конечных точек и минимизируя свой цифровой след.

Еще больше усложняя ситуацию, злоумышленники используют общедоступные эксплойты, нацеленные на Microsoft Defender, превращая его в инструмент против организаций, которые он призван защищать. Эта манипуляция требует повышенной бдительности от служб безопасности, поскольку они сталкиваются с угрозами, возникающими в рамках их собственных защитных мер.

Наконец, появление специфичных для macOS методов living-off-the-land означает, что злоумышленники продолжают изучать встроенные системные функциональные возможности для перемещения внутри компании и выполнения в целевых средах, демонстрируя все большую изощренность стратегий атак. По мере того как противники совершенствуют свои методологии и используют ранее созданные средства защиты, необходимость постоянного обучения и адаптации в области Кибербезопасности становится все более актуальной.

#ParsedReport #CompletenessLow
23-04-2026

Inside a Telegram Session Stealer: How a Pastebin-Hosted PowerShell Script Targets Desktop and Web Sessions

https://flare.io/learn/resources/blog/telegram-session-stealerpastebin-hosted-powershell-script-targets-desktop-web-sessions

Report completeness: Low

Threats:
No-telegram
Raven_stealer

Victims:
Telegram users, Telegram desktop users, Telegram web users

TTPs:
Tactics: 8
Technics: 12

IOCs:
Domain: 1
File: 1
Url: 1

Soft:
Telegram, astebin, Pastebin, Matkap, Linux, Android, curl

Algorithms:
zip

Functions:
getUpdates, Remove-Item

Win API:
sendMessage

Win Services:
WebClient

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell с именем "Windows Telemetry Update" действует как средство перехвата сеансов Телеграм, нацеливаясь на данные сеанса из настольного приложения Телеграм. Он собирает метаданные, завершает процесс Телеграм для доступа к файлам сеанса и загружает данные в чат, контролируемый злоумышленником, через API бота Телеграм. Существуют два варианта сценария с улучшенными возможностями передачи файлов, что указывает на продолжающуюся разработку и акцент на использовании учетных данных пользователей с помощью уязвимостей в хранилище сеансовых ключей.
-----

Скрипт PowerShell с именем "Windows Telemetry Update" функционирует как перехватчик сеансов Телеграм.

Скрипт размещен на Pastebin и нацелен на данные сеанса для настольного приложения Телеграм.

Он собирает метаданные хоста (имя пользователя, имя хоста, общедоступный IP), прежде чем искать каталоги рабочего стола Телеграм.

Скрипт завершает работу приложения Телеграм для доступа к заблокированным файлам и компилирует данные сеанса в ZIP-архив.

Данные загружаются в контролируемой злоумышленником общаться с помощью телеграм бот АПИ.

Существует две версии скрипта; в первой была ошибка загрузки нескольких частей, устраненная во второй версии.

Обе версии содержат жестко запрограммированные токены бота для сбора данных о сеансе с помощью истории сообщений бота.

Сценарий разработан для обхода механизмов обнаружения и не показывает никаких признаков запутывания или закрепления.

Его выполнение является условным, проверяющим наличие данных сеанса Телеграм перед эксфильтрацией.

Неудачные попытки выполнения дают злоумышленникам обратную связь для мониторинга эффективности скрипта.

Все операции передаются на локальный адрес, указывающий на контролируемую среду тестирования.

Сценарий использует уязвимости в хранилище сеансовых ключей Телеграм, обеспечивая несанкционированный доступ без учетных данных пользователя.

Наличие как PowerShell, так и браузерных средств захвата сеансов означает эволюционирующую стратегию атаки.

Стратегии смягчения последствий включают блокировку связанных доменов и мониторинг небраузерных подключений к API Телеграм.

Пользователи, подозревающие заражение, должны отозвать активные сеансы Телеграм, сменить пароли и включить двухфакторную аутентификацию.

Ландшафт угроз показывает, что акторы совершенствуют методы таргетинга и эксфильтрации, используя такие платформы, как Телеграм.